Перейти к содержанию

sh00m

Новички
  • Публикаций

    5
  • Зарегистрирован

  • Посещение

Репутация

0

Информация о sh00m

  • Статус
    Новичок
  1. Анализ показал, что если на фазе шифрования файлов энкодер прервали - всё очень плохо: в этом случае в stdout'е ничего ещё не будет и файл keys.enc еще не будет создан. Последовательность такая: проход по дереву фс и шифрование файлов переименование зашифрованных файлов (base64- кодирование оригинальных имен ) вывод ключей в stdout шифрование ключей и запись keys.enc Прерывание на фазе 1 или 2 фатально в смысле потери ключей для всех!
  2. Всё - расходимся: Алгоритм работы этого зловреда такой: Файлы размером < 1000000 байт шифруются полностью. У файлов, бОльших указанного размера, шифруются первые 1000000 байт и записываются в конец файла. Исходные данные перезаписываются мусором; Generate_key возвращает криптостойкий ключ для алгоритма (AES) шифрования файлов; Для каждого файла генерируется свой уникальный ключ; В теле шифровальщика зашит публичный ключ RSA (он нужен для шифрования использованных ключей AES); Файл keys.enc содержит зашифрованные с помощью этого паблик-ключа RSA использованные файловые AES-ключи. Итог
  3. Обязательно отпишу, собственно сейчас основная задача получить питоновский исходник из приложенного к первому посту elf'а, это по силам любому реверс-инженеру знакомому с отладчиком под никсами, как только увидим сам скрипт nextcry.py сразу всё станет понятно(есть возможность расшифровать или нет). У меня есть надежда, что кто-то на форуме сможет это сделать ...
  4. Уже создал, но подумал, может у кого-то есть релевантный опыт и он сможет помочь ... или мои материалы будут кому-то полезны.
  5. Коллеги, обнаружил нового зловреда (он себя называет NextCry) на своём linux-сервере NextCloud. Антивирус Касперского его не обнаруживает! Во вложении (пароль 123) файлы с промежуточными результатами моего анализа (логи strace, ltrace, gdb, телом шифровальщика, зашифрованными файлами и файлами которые он распаковывает во временную папку). Шифровальщик целенаправленно поражает nextcloud сервера (читает директорию с данными из его конфига и их шифрует). Написан на python и предположительно упакован в исполняемый elf-файл программой pyinstall, после чего динамически обсфуцирован pwnstaller. К
×
×
  • Создать...