Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

Давайте думать вместе.

RSS
 
Александр Учватов
Александр Учватов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.02.2015
Размещено 20.02.2015 18:55:36
Давайте думать вместе.

Вот шифрованный файл: http://s-file.ru/files/phpavuWS6.xtbl (оригинальное имя rd+xai+z6ph4YbvNzCcK+eZgVzSxIHduxYT3k+jHvW8=.xtbl)
Вот дешифрованный: http://s-file.ru/files/php79oPaI.jpg (оригинальное имя CSC_0034.JPG)

Вот - "сигнатура", которая в README.TXT : CF4116649E5FC6B85CAF|0

"Шифровальщики" в течении 3 минут прислали дешифрованный файл.

ЗЫ. Кстати, все имена файлов JPG оканчиваются на =.

PSPS. Кстати, размеры файлов НЕ ОТЛИЧАЮТСЯ.
Изменено: Александр Учватов - 20.02.2015 19:08:31

Ответы

Пред. 1 2 3
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 13:17:42
идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12
[ Как создать образ автозапуска? ]
 
Андрей Савченко
Андрей Савченко
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.05.2015
Размещено 18.05.2015 13:53:18
Цитата
santy написал:
идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12
Да, немного отличаются, а на третий и т.д. разы вы не пробовали?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 16:21:49
и на третий раз первая часть кода совпадает, а на т.д. уже не проверял.
[ Как создать образ автозапуска? ]
 
Андрей Савченко
Андрей Савченко
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.05.2015
Размещено 18.05.2015 16:39:51
Цитата
santy написал:
и на третий раз первая часть кода совпадает, а на т.д. уже не проверял.
Ясно, но это идентификатор ключа, а Вы не пробовали отловить рекомендованной программой сам ключ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 15:57:05
пока нет возможности проводить новые тесты по xtbl
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 08.08.2015 14:20:48
Не нужно выкладывать вирусы на форуме, для этого есть специальная форма.

Файл  отправлен в вирлаб...
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 08.08.2015 14:35:56
Thank you for your submission.
The detection for this threat will be included in our next signature update, expected version: 12065.

1.exe - Win32/Filecoder.NEQ trojan
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.09.2015 10:04:06
хороший обзор по шифратору xtbl
https://securelist.ru/analysis/obzor/26790/shifrovalshhik-shade-dvojnaya-ugroza/
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3
Читают тему