Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус *.hacked в котором *.zip открывается через TotalCommander

OlD_NiK
 Поделиться

Рекомендуемые сообщения

OlD_NiK Новичок

OlD_NiK

Опубликовано
Опубликовано (изменено)

Сервер 2016 был пробит через RDP через полчаса после очередных обновлений от MS

Пошифровано многое, но не все...

 

НО !!

некоторые zip-архивы открываются через Ctrl+PgDn

 

 

Есть здравые мысли по расшифровке ??

 

С уважением, Николай

 

 

Инструкции по восстановлению зашифрованных файлов.TXT

SDI_R539_hacked.rar

Изменено пользователем OlD_NiK
Ссылка на комментарий
Поделиться на другие сайты
OlD_NiK Новичок

OlD_NiK

Опубликовано
  • Автор
Опубликовано

Вирус действительно был. Залит был через учетку со словарным паролем ((

 

 

Я очень надеюсь что найдутся умельцы которые разберут это поделие на запчасти. Меня обнадеживает только то что архивы некоторые открываются в Тотале. и там НОРМАЛЬНОЕ содержимое внутри. 

 

Может стоит надеяться что там не AES 

 

С уважением, Николай

опороченный сисадмин

CollectionLog-2017.09.09-13.25.zip

Ссылка на комментарий
Поделиться на другие сайты
OlD_NiK Новичок

OlD_NiK

Опубликовано
  • Автор
Опубликовано

Вот разномастая коллекция.

 

С уважением, Николай

опороченный сисадмин

ramin_djawadi_-_main_title.mp3.rar

IrfanView_Wallpaper.bmp.rar

key.key.rar

serial.txt.rar

Capture.JPG.rar

Ссылка на комментарий
Поделиться на другие сайты
OlD_NiK Новичок

OlD_NiK

Опубликовано
  • Автор
Опубликовано

Расшифровки нет. Каждый файл шифруется своим ключом, который сохраняется в самом зашифрованном файле.

прочитайте название ветки внимательно 

 

у меня есть шифрованные зип-файлы которые открываются в Тотале по Ctrl+PgDn и там лежит оригинальное целое содержимое коротое спокойно вынимается 

 

это не AES гарантировано. это какой-то самопал

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Я умею читать.

 

Файлы БОЛЬШИХ РАЗМЕРОВ шифруются не полностью и потому ЧАСТЬ ИНФОРМАЦИИ из архива успешно можно извлечь

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sencity72
      [РЕШЕНО] вирус который маскируется под системный процесс Телефон Microsoft Windows
      Автор sencity72
      Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран
      CollectionLog-2025.04.25-19.02.zip
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      Автор CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • SimpleMan
      Помогите устранить вирус который засел в PowerShell
      Автор SimpleMan
      Недавно активировал Windows 11 Pro через командную строку cmd, через какой-то левый KMS сервер, не разобрался как это работает, 
      проработал так несколько дней, потом решил установить антивирус Касперского и он сразу же обнаружил Вредоносные ссылки через PowerShell 
      пример такой активаций есть везде, вот: https://vk.com/wall-188198781_5982
      Подскажите пожалуйста, как теперь устранить проблему?
      скриншот отчёта прилагаю
       
    • vanurt
      мега-вирус который сам себя восстанавливает
      Автор vanurt
      вирус сам себя восстанавливает,сразу же после удаления. находится по пути C:\ProgramData\kdaqmmepuqgl   помогите,как удалить его? переустановка или снос до заводских не вариант,файлов важных много...
      еще он восстанавливает себя через conhost и powershell,выяснил когда сидел в диспетчере задач и удалял его много раз.. 
    • KL FC Bot
      Защищаемся от атак в архивах ZIP, RAR, CAB, MSI, ISO и других | Блог Касперского
      Автор KL FC Bot
      Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
      Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
      Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
      Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
       
      View the full article
×
×
  • Создать...