Перейти к содержанию
Правила раздела

Помогите оценить ущерб

tactical

От tactical
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

tactical Новичок

tactical

Опубликовано
Опубликовано

Комп был заражен вирусом Trojan-PSW.Win32.Agent.tyt.

Описание здесь: http://www.securelist.com/ru/descriptions/...Win32.Agent.tyt

Он шифрует файлы и отправляет их по кускам в GET-запросах.

Мне необходимо оценить ущерб, т.е. определить какие файлы были "слиты", чтобы предпринять меры по снижению вероятный потерь.

Для этого надо расшифровать то, что вирь зашифровал. Путем анализа было определено что это что-то вроде BASE64, только используются вместо "+" символ "-" и вместо добавки "=" символ "*". Тупая замена не помогла, значит используется алфавит не обычный (ABC.....-/), а другой. Вариантов алфавита 64!(факториал) Это нереально по-моему перебирать. Поэтому я пришел к выводу, что надо колбасить исходники виря, но где их взять. То что было у меня на компе по-небрежности удалил, осталось только то, что вирь зашифровал.

Но описания алгоритма нигде нет. Есть-ли где-нибудь в интернете ресурс с исходниками, или более подробным анализов вирусов, чтобы определить алгоритм его шифрования. Искал указанный в описании sslkey.exe, нигде не нашел. Помогите!

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Вы легальный пользователь продуктов ЛК?

 

можете сделать запрос в ТП на описание механизмов шифрования.

https://my.kaspersky.com/ru/support/viruslab

тип запроса - запрос на описание вредоносного файла

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tubizzz
      NET:MALWARE.URL Помогите!!!!
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • unfamous1337
      Помогите удалить майнер!
      От unfamous1337
      Сегодня решил запустить пк и поиграть в доту и увидел что фпс просто ужасный хотя пк более менее для нее подходящий 
      Гуглил и нашел в пользователях имя John или как то так не помню Удалил его 
      Файла hosts нет на сайты зайти не могу с антивирусами а если и могу то файлы не запускаются пробовал приложения скачать по типу AVZ Не запускаются 
      Помогите 
×
×
  • Создать...