IPB

Welcome Guest ( Log In | Register )

19 Pages V  « < 4 5 6 7 8 > »   
Reply to this topicStart new topic
> Поймала ftcode - что теперь делать?
Hackwrench
post 27.02.2013 14:56
Post #101


Member
**

Group: Members
Posts: 16
Joined: 26.02.2013




QUOTE(ShpurloS @ 27.02.2013 13:48) *
CODE
[byte[]]$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek);
$basekey="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey));
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false));

помоему это дешифруется обратно по enckey (который в TXT файлах остается), но знаний по PS что-то не хватает...

это дешифруется обратно из $enckey в $ek ЗАКРЫТЫМ ключом, парным к открытому $basekey. Но его (закрытого ключа) тут нет. Увы.
Go to the top of the page
 
+Quote Post
DrDru
post 27.02.2013 15:03
Post #102


Newbie
*

Group: Members
Posts: 9
Joined: 26.02.2013




QUOTE(widmo @ 27.02.2013 13:46) *
все получилось!!!

брал не с хабра, а вот это..

CODE
$ek='код из файла материнки';

$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek); # UID компьютера
$basekey="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey)); # импорт объекта с данными ключа
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false)); # шифрование UID компьютера RSA

function Decrypt-File($item, $Passphrase){
    $salt="BMCODE hack your system";
    $init="BMCODE INIT";
    $r = new-Object System.Security.Cryptography.RijndaelManaged;
    $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
    $salt = [Text.Encoding]::UTF8.GetBytes($salt);
    $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
    $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
    $r.Padding="Zeros";
    $r.Mode="CBC";
    $c = $r.CreateDecryptor();
    $ms = new-Object IO.MemoryStream;
    $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
    $cs.Write($item, 0,$item.Length);
    $cs.Close();
    $ms.Close();
    $r.Clear();
    return $ms.ToArray();
}
#$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
$disks="L:\";#диск, на котором нужно исправить файлы (у нас сетевой загадился)
foreach($disk in $disks){
    gci $disk.root -Recurse -Include "*.FTCODE" | % {
        try {
            $file=[io.file]::Open($_, 'Open', 'ReadWrite');
            if ($file.Length -lt "40960"){$size=$file.Length}
            else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
            $ToEncrypt = $file.Read($buff, 0, $buff.Length);
            $file.Position='0';
            $Encrypted=Decrypt-File $buff $ek;
            $file.Write($Encrypted, 0, $Encrypted.Length);
            $file.Close();
            $newname=$_.name -replace '\.FTCODE','';
            rename-item -Path $_.FullName -NewName $newname -Force;
        }    
        catch{}
    }
}


файл скрипта надо кинуть на диск, который чистим


А каким образом Вы заставили powershell выполнить этот скрипт?
PS: Прошу прощения за такой вопрос. Как-то не сталкивался раньше с этим.
Go to the top of the page
 
+Quote Post
ShpurloS
post 27.02.2013 15:06
Post #103


Newbie
*

Group: Members
Posts: 5
Joined: 30.03.2009




QUOTE(Hackwrench @ 27.02.2013 13:56) *
это дешифруется обратно из $enckey в $ek ЗАКРЫТЫМ ключом, парным к открытому $basekey. Но его (закрытого ключа) тут нет. Увы.

Грустишки. Значит имея такое в скрипте, а в файле "System Product Name" - 'good' шансов по нулям(
Go to the top of the page
 
+Quote Post
widmo
post 27.02.2013 15:07
Post #104


Advanced Member I
***

Group: Members
Posts: 60
Joined: 25.02.2013




QUOTE(DrDru @ 27.02.2013 14:03) *
А каким образом Вы заставили powershell выполнить этот скрипт?
PS: Прошу прощения за такой вопрос. Как-то не сталкивался раньше с этим.


сохраните скрипт в блокноте как 1.ps1 , а в шеле наберите cd Папка_со_скриптом Энтер, потом .\1.ps1 Энтер
Go to the top of the page
 
+Quote Post
kadaber
post 27.02.2013 15:11
Post #105


Member
**

Group: Members
Posts: 11
Joined: 27.02.2013




Hackwrench, спасибо!
вроде расшифровывает файлы! разница в том, что я в строках
CODE
$salt="BMCODE hack your system"
   $init="BMCODE INIT"

переименовал BMCODE в FTCODE
Go to the top of the page
 
+Quote Post
romal
post 27.02.2013 15:12
Post #106


Member
**

Group: Members
Posts: 12
Joined: 26.02.2013




А никто не понял почему скрипт расшифровывает только файлы, которые в профиле лежат? Указываю же весь диск С. Может у кого нить по другому?
Go to the top of the page
 
+Quote Post
widmo
post 27.02.2013 15:13
Post #107


Advanced Member I
***

Group: Members
Posts: 60
Joined: 25.02.2013




QUOTE(romal @ 27.02.2013 14:12) *
А никто не понял почему скрипт расшифровывает только файлы, которые в профиле лежат? Указываю же весь диск С. Может у кого нить по другому?


у нас все расшифровываются. попробуйте мой вариант скрипта (выше)
Go to the top of the page
 
+Quote Post
dinder
post 27.02.2013 15:18
Post #108


Member
**

Group: Members
Posts: 16
Joined: 26.02.2013




на ХР повершел выдает ошибку...
Go to the top of the page
 
+Quote Post
Hackwrench
post 27.02.2013 15:21
Post #109


Member
**

Group: Members
Posts: 16
Joined: 26.02.2013




QUOTE(romal @ 27.02.2013 14:12) *
А никто не понял почему скрипт расшифровывает только файлы, которые в профиле лежат? Указываю же весь диск С. Может у кого нить по другому?

В правах дело наверняка... попробуй поэкспериментировать с пользователями, от которых скрипт запускается. Или, как вариант, можно все шифрованные файлы себе на рабочий стол скопировать)))
Go to the top of the page
 
+Quote Post
Greeanpark
post 27.02.2013 15:29
Post #110


Newbie
*

Group: Members
Posts: 2
Joined: 27.02.2013




пытаюсь запустить скрипт выдало ошибку
CODE
PS D:\db> 1.ps1
Неверная числовая константа: 1..
строка:1 знак:3
+ 1. <<<< ps1
    + CategoryInfo          : ParserError: (1.:String) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : BadNumericConstant
Go to the top of the page
 
+Quote Post
Boginya
post 27.02.2013 15:34
Post #111


Newbie
*

Group: Members
Posts: 5
Joined: 26.02.2013




QUOTE(widmo @ 27.02.2013 14:13) *
у нас все расшифровываются. попробуйте мой вариант скрипта (выше)

а если в файле материнки одно лишь слово goode? Прощай надежда на дешифратор?
Go to the top of the page
 
+Quote Post
lfcn
post 27.02.2013 15:36
Post #112


Newbie
*

Group: Members
Posts: 3
Joined: 27.02.2013




QUOTE(Boginya @ 27.02.2013 14:34) *
а если в файле материнки одно лишь слово goode? Прощай надежда на дешифратор?


такой же вопрос
и стоит ли расчитывать на появление утилиты помогающей справится с этим несчастьем?
а то некоторые даже не представляют что такое powershell
Go to the top of the page
 
+Quote Post
Hackwrench
post 27.02.2013 15:38
Post #113


Member
**

Group: Members
Posts: 16
Joined: 26.02.2013




QUOTE(Greeanpark @ 27.02.2013 14:29) *
пытаюсь запустить скрипт выдало ошибку
CODE
PS D:\db> 1.ps1
Неверная числовая константа: 1..
строка:1 знак:3
+ 1. <<<< ps1
    + CategoryInfo          : ParserError: (1.:String) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : BadNumericConstant

потому, что ".\1.ps1", а не просто "1.ps1" надо))) Он "1.ps1" воспринимает как команду вывести константу, а не запустить скрипт)))
Go to the top of the page
 
+Quote Post
L1eto
post 27.02.2013 15:39
Post #114


Newbie
*

Group: Members
Posts: 7
Joined: 27.02.2013




QUOTE(lfcn @ 27.02.2013 14:36) *
такой же вопрос
и стоит ли расчитывать на появление утилиты помогающей справится с этим несчастьем?
а то некоторые даже не представляют что такое powershell


Если good в файле материнке, скорее абзац. Так как все удачи описываемые тут, только если в файле есть ключик ((
Go to the top of the page
 
+Quote Post
Hackwrench
post 27.02.2013 15:43
Post #115


Member
**

Group: Members
Posts: 16
Joined: 26.02.2013




QUOTE(lfcn @ 27.02.2013 14:36) *
такой же вопрос
и стоит ли расчитывать на появление утилиты помогающей справится с этим несчастьем?
а то некоторые даже не представляют что такое powershell

Единственная надежда - попробовать восстановить предыдущую версию файлика с моделью материнки.
Если такое возможно - тальше теоретически возможно написание программки, которая сначала выясняет модель материнки, потом находит и восстанавливает до предыдущего состояния файлик, названный в честь неё, потом берет из него ключ, подставляет в скрипт... И этот самый скрипт запускает))) Будем надеяться на лучшее и ждать новостей от ребят из лаборатории))))

Ну, или кто-то все-же допишется до хостера зловредческого сайта))))

This post has been edited by Hackwrench: 27.02.2013 15:45
Go to the top of the page
 
+Quote Post
lfcn
post 27.02.2013 15:48
Post #116


Newbie
*

Group: Members
Posts: 3
Joined: 27.02.2013




QUOTE(Hackwrench @ 27.02.2013 14:43) *
Единственная надежда - попробовать восстановить предыдущую версию файлика с моделью материнки.
Если такое возможно - тальше теоретически возможно написание программки, которая сначала выясняет модель материнки, потом находит и восстанавливает до предыдущего состояния файлик, названный в честь неё, потом берет из него ключ, подставляет в скрипт... И этот самый скрипт запускает))) Будем надеяться на лучшее и ждать новостей от ребят из лаборатории))))

Ну, или кто-то все-же допишется до хостера зловредческого сайта))))


проблема в том что тут стоит хп и восстановления файлов нет
пробовал откатить систему на пару дней назад - половина ярлыков на рабочем столе заработали и почемуто начала открываться старая бухгалтерия 1с 7ой версии
вобщем пока сносить систему и восстанавливать вручную бухгалтерию не стоит??
Go to the top of the page
 
+Quote Post
Joystik
post 27.02.2013 15:50
Post #117


Newbie
*

Group: Members
Posts: 7
Joined: 25.03.2010
From: Moscow




QUOTE(Hackwrench @ 27.02.2013 14:43) *
Единственная надежда - попробовать восстановить предыдущую версию файлика с моделью материнки.
Если такое возможно - тальше теоретически возможно написание программки, которая сначала выясняет модель материнки, потом находит и восстанавливает до предыдущего состояния файлик, названный в честь неё, потом берет из него ключ, подставляет в скрипт... И этот самый скрипт запускает))) Будем надеяться на лучшее и ждать новостей от ребят из лаборатории))))

Ну, или кто-то все-же допишется до хостера зловредческого сайта))))


Не получится, файл пишется как раз поверх предыдущего, начало пароля затирается.
Go to the top of the page
 
+Quote Post
widmo
post 27.02.2013 15:53
Post #118


Advanced Member I
***

Group: Members
Posts: 60
Joined: 25.02.2013




QUOTE(Greeanpark @ 27.02.2013 14:29) *
пытаюсь запустить скрипт выдало ошибку
CODE
PS D:\db> 1.ps1
Неверная числовая константа: 1..
строка:1 знак:3
+ 1. <<<< ps1
    + CategoryInfo          : ParserError: (1.:String) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : BadNumericConstant



запускать так надо .\1.ps1 Энтер
Go to the top of the page
 
+Quote Post
Volchonok200
post 27.02.2013 16:03
Post #119


Newbie
*

Group: Members
Posts: 6
Joined: 27.02.2013




Тоже обнаружился фалик с текстом Good . Видимо на хрюше ломать этот вирус - гнилое дело..
Go to the top of the page
 
+Quote Post
pnikolaev
post 27.02.2013 16:05
Post #120


Newbie
*

Group: Members
Posts: 1
Joined: 27.02.2013




QUOTE(widmo @ 27.02.2013 13:46) *
все получилось!!!

брал не с хабра, а вот это..

CODE
$ek='код из файла материнки';

$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek); # UID компьютера
$basekey="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey)); # импорт объекта с данными ключа
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false)); # шифрование UID компьютера RSA

function Decrypt-File($item, $Passphrase){
    $salt="BMCODE hack your system";
    $init="BMCODE INIT";
    $r = new-Object System.Security.Cryptography.RijndaelManaged;
    $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
    $salt = [Text.Encoding]::UTF8.GetBytes($salt);
    $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
    $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
    $r.Padding="Zeros";
    $r.Mode="CBC";
    $c = $r.CreateDecryptor();
    $ms = new-Object IO.MemoryStream;
    $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
    $cs.Write($item, 0,$item.Length);
    $cs.Close();
    $ms.Close();
    $r.Clear();
    return $ms.ToArray();
}
#$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
$disks="L:\";#диск, на котором нужно исправить файлы (у нас сетевой загадился)
foreach($disk in $disks){
    gci $disk.root -Recurse -Include "*.FTCODE" | % {
        try {
            $file=[io.file]::Open($_, 'Open', 'ReadWrite');
            if ($file.Length -lt "40960"){$size=$file.Length}
            else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
            $ToEncrypt = $file.Read($buff, 0, $buff.Length);
            $file.Position='0';
            $Encrypted=Decrypt-File $buff $ek;
            $file.Write($Encrypted, 0, $Encrypted.Length);
            $file.Close();
            $newname=$_.name -replace '\.FTCODE','';
            rename-item -Path $_.FullName -NewName $newname -Force;
        }    
        catch{}
    }
}


файл скрипта надо кинуть на диск, который чистим

Не очень понял: а что за код из файла материнки?
Это файл READ_ME_NOW имеется ввиду?
Go to the top of the page
 
+Quote Post

19 Pages V  « < 4 5 6 7 8 > » 
Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 27.06.2017 18:01