Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус senator

indeedx
 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, indeedx сказал:

думаю это сам вирус 

результат  проверки:

https://www.virustotal.com/gui/file/570cba42a0db3e4be01e41359ef78104464f21cd0c79ba1d21641f919739fe8d/detection

Сэмпл A42C7FF44C09822A.exe видимо был предназначен для другой атаки, т.е. он шифрует с идентификатором A42C7FF44C09822A, не ваш случай. Возможно планировали шифровать другое устройство, чтобы под каждый ID пользователь должен был выкупать дешифратор.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

по дешифровке файлов:

из тех файлов, то вы предоставили для расшифровки:
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Правило_системных_событии_2110_2.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

AnyDesk.exe.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

расшифровалось два файла
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

но первый файл был изменен на правильное имя:

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

 

т.е. шаблон имени зашифрованного файла здесь такой должен быть:

Оригинальное имя файла с расширением.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

(если только в шифровальщике нет таких нюансов, что определенные файлы могут переименовываться по другому шаблону)

 

Есть предположение, что дешифратор рабочий, но что-то у вас с именами зашифрованных файлов напутано.

 

13 часов назад, thyrex сказал:

0B 00 00 00 BA 28 AE 97 11 1A 1D 05 ED E1 25 C3
BB DD 59 4B C1 53 08 0C 5B 79 2D 85 EA 2E 00 15
51 B2 D5 69 C4 86 8B 1C DE F6 42 3D 08 8F B5 70
04 30 02 CC

Может быть это оригинальное имя файла?

 

Кстати, во втором расшифрованном файле

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

этот блок тоже есть, (в двух других его нет)

Цитата

0B000000F19A11979BAFEF86EEB4617E918E0F73C6225F15AC0974B496912B74858BB470C59DB337DDEEB3B31C3D0B6A11955594

т.е. после 0B000000 может идти оригинальное имя файла, которое сравнивается с оригинальной частью файла в шаблоне зашифрованного файла. Если нет совпадения (или не найден этот блок) - получаем результат, что файл поврежден.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

И кстати, провел тестовое шифрование на App.Any.Run вторым сэмплом, скачал 4 небольших файла, проверил - во всех 4 файлах есть эта сигнатура 0B 00 00 00 в конце файла.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Причем так повредиться файлы не могут даже при перезагрузке. Либо Вы что-то не договариваете, либо кто-то до Вас безнадежно испортил файлы.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

А то, что у некоторых файлов приписанное вирусом в имени не соответствует формату, как объясните?

 

При принудительном выключении могут повредиться файлы в небольшом количестве (равном количеству потоков обработки шифратором), но явно не подавляющее большинство.

 

В общем тут больше вопросов, чем ответов...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

@indeedx,

 

Еще раз проверил расшифровку файлов SENATOR скриптом Андрея и обратил внимание на следующий факт:

 

Его дешифратор лучше отработал чем у разработчиков SENATOR.

Если структура файла не повреждена и содержит футер с ключом, то файл расшифровывается, независимо от того как был изменен шаблон зашифрованного файла. 

Т.е., если имя не было правильно разрешено (а по умолчанию именем является подстрока до ".EMAIL="), то к существующему шаблону имени просто добавляется расширение .dec.

Дешифратор от SENATOR в этом случае ругается на повреждение файла.

 

Отсюда вывод такой:

 

Может следует проверить скрипт на важных для вас файлах? 

Вдруг структура файла не была повреждена (т.е. содержит футер с ключом после 0B 00 00 00, а некорректным является только имя зашифрованного файла.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • SergeyUfa
      Вирус на сайте
      Автор SergeyUfa
      Здравствуйте, помогите пожалуйста, на сайте завелся вирус, при переходе из поисковых систем, в некоторых разделах сайта появляется текст ведущий нелегальные казино и порно-контент, сайт на битриксе, не как отловить не можем, все модули проверили, может кто сталкивался?
    • sNg
      Неудаляемый вирус
      Автор sNg
      Доброго времени суток. Имеется вот такая история:
      Купил новый ноутбук (HP Laptop 17-cp0035ua). С покупки был с предустановленным DOS. Я его снес, накатил Win10. После установки, на чистой винде в браузере начали странно себя вести страницы, а именно редиректить при открытии на всякие сайты. Первостепенно редиректит на 89.208.107.49. Работает не со всеми сайтами, случайно. Решил переустановить, подумал в установочнике вирус или на флешке.
      Установил с официальных дистрибутивов на новой флешке. Результат тот же. На абсолютно голой системе без драйверов такая же ситуация, редирект на те же сайты.
      Ладно, решил копать дальше. Проверил систему Malwarebytes, нашел вирус, удалил, но ситуация не исправилась. 
      Проверил систему KVRT. Не нашел ничего.
      Проверил систему из под live usb Eset. Нашел вирус injector.autoit в загрузочнике и всякую мелочь. Удалил. Ура, подумал я, наконец решилось, но нет. После очередной новой установки результат тот же.
      Решил решить проблему радикально - сменить ssd. Сменил. И проблема осталась. Менял оперативку. Результат тот же. Обновил БИОС. Результат тот же.
      НО! Если включить VPN (WARP) или вручную сменить DNS в настройках то проблема пропадает. Но сам вирус или что это такое остается. 
×
×
  • Создать...