Перейти к содержанию

Вирус senator

indeedx
 Share

Рекомендуемые сообщения

safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, indeedx сказал:

думаю это сам вирус 

результат  проверки:

https://www.virustotal.com/gui/file/570cba42a0db3e4be01e41359ef78104464f21cd0c79ba1d21641f919739fe8d/detection

Сэмпл A42C7FF44C09822A.exe видимо был предназначен для другой атаки, т.е. он шифрует с идентификатором A42C7FF44C09822A, не ваш случай. Возможно планировали шифровать другое устройство, чтобы под каждый ID пользователь должен был выкупать дешифратор.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

по дешифровке файлов:

из тех файлов, то вы предоставили для расшифровки:
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Правило_системных_событии_2110_2.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

AnyDesk.exe.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

расшифровалось два файла
 

Цитата

 

Действие_txt_EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

Тариф_Mobile Taxi.txt.EMAIL=[senatorrans@gmail.com]ID=[8E9A415AB6660F85].SENATOR

 

но первый файл был изменен на правильное имя:

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

 

т.е. шаблон имени зашифрованного файла здесь такой должен быть:

Оригинальное имя файла с расширением.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

(если только в шифровальщике нет таких нюансов, что определенные файлы могут переименовываться по другому шаблону)

 

Есть предположение, что дешифратор рабочий, но что-то у вас с именами зашифрованных файлов напутано.

 

13 часов назад, thyrex сказал:

0B 00 00 00 BA 28 AE 97 11 1A 1D 05 ED E1 25 C3
BB DD 59 4B C1 53 08 0C 5B 79 2D 85 EA 2E 00 15
51 B2 D5 69 C4 86 8B 1C DE F6 42 3D 08 8F B5 70
04 30 02 CC

Может быть это оригинальное имя файла?

 

Кстати, во втором расшифрованном файле

Действие.txt.EMAIL=[senatorrans@gmail_com]ID=[8E9A415AB6660F85].SENATOR

этот блок тоже есть, (в двух других его нет)

Цитата

0B000000F19A11979BAFEF86EEB4617E918E0F73C6225F15AC0974B496912B74858BB470C59DB337DDEEB3B31C3D0B6A11955594

т.е. после 0B000000 может идти оригинальное имя файла, которое сравнивается с оригинальной частью файла в шаблоне зашифрованного файла. Если нет совпадения (или не найден этот блок) - получаем результат, что файл поврежден.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

И кстати, провел тестовое шифрование на App.Any.Run вторым сэмплом, скачал 4 небольших файла, проверил - во всех 4 файлах есть эта сигнатура 0B 00 00 00 в конце файла.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

увы, ни один из этих файлов не содержит маркер 0B 00 00 00, а значит, скорее всего, и не может быть расшифрованным.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Причем так повредиться файлы не могут даже при перезагрузке. Либо Вы что-то не договариваете, либо кто-то до Вас безнадежно испортил файлы.

Ссылка на комментарий
Поделиться на другие сайты
indeedx Новичок

indeedx

Опубликовано
  • Автор
Опубликовано

была принудительное выключение компа. Думаю по этому и некоторые файлы не донца дошифровались

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

А то, что у некоторых файлов приписанное вирусом в имени не соответствует формату, как объясните?

 

При принудительном выключении могут повредиться файлы в небольшом количестве (равном количеству потоков обработки шифратором), но явно не подавляющее большинство.

 

В общем тут больше вопросов, чем ответов...

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

@indeedx,

 

Еще раз проверил расшифровку файлов SENATOR скриптом Андрея и обратил внимание на следующий факт:

 

Его дешифратор лучше отработал чем у разработчиков SENATOR.

Если структура файла не повреждена и содержит футер с ключом, то файл расшифровывается, независимо от того как был изменен шаблон зашифрованного файла. 

Т.е., если имя не было правильно разрешено (а по умолчанию именем является подстрока до ".EMAIL="), то к существующему шаблону имени просто добавляется расширение .dec.

Дешифратор от SENATOR в этом случае ругается на повреждение файла.

 

Отсюда вывод такой:

 

Может следует проверить скрипт на важных для вас файлах? 

Вдруг структура файла не была повреждена (т.е. содержит футер с ключом после 0B 00 00 00, а некорректным является только имя зашифрованного файла.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
    • SiGiDi
      Вирус Петя, что делать
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

×
×
  • Создать...