Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

Давайте думать вместе.

RSS
 
Александр Учватов
Александр Учватов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.02.2015
Размещено 20.02.2015 18:55:36
Давайте думать вместе.

Вот шифрованный файл: http://s-file.ru/files/phpavuWS6.xtbl (оригинальное имя rd+xai+z6ph4YbvNzCcK+eZgVzSxIHduxYT3k+jHvW8=.xtbl)
Вот дешифрованный: http://s-file.ru/files/php79oPaI.jpg (оригинальное имя CSC_0034.JPG)

Вот - "сигнатура", которая в README.TXT : CF4116649E5FC6B85CAF|0

"Шифровальщики" в течении 3 минут прислали дешифрованный файл.

ЗЫ. Кстати, все имена файлов JPG оканчиваются на =.

PSPS. Кстати, размеры файлов НЕ ОТЛИЧАЮТСЯ.
Изменено: Александр Учватов - 20.02.2015 19:08:31

Ответы

Пред. 1 2 3
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 13:17:42
идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12
[ Как создать образ автозапуска? ]
 
Андрей Савченко
Андрей Савченко
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.05.2015
Размещено 18.05.2015 13:53:18
Цитата
santy написал:
идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12
Да, немного отличаются, а на третий и т.д. разы вы не пробовали?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 16:21:49
и на третий раз первая часть кода совпадает, а на т.д. уже не проверял.
[ Как создать образ автозапуска? ]
 
Андрей Савченко
Андрей Савченко
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.05.2015
Размещено 18.05.2015 16:39:51
Цитата
santy написал:
и на третий раз первая часть кода совпадает, а на т.д. уже не проверял.
Ясно, но это идентификатор ключа, а Вы не пробовали отловить рекомендованной программой сам ключ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 15:57:05
пока нет возможности проводить новые тесты по xtbl
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 08.08.2015 14:20:48
Не нужно выкладывать вирусы на форуме, для этого есть специальная форма.

Файл  отправлен в вирлаб...
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 08.08.2015 14:35:56
Thank you for your submission.
The detection for this threat will be included in our next signature update, expected version: 12065.

1.exe - Win32/Filecoder.NEQ trojan
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.09.2015 10:04:06
хороший обзор по шифратору xtbl
https://securelist.ru/analysis/obzor/26790/shifrovalshhik-shade-dvojnaya-ugroza/
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3
Читают тему