HIDDENEXT/Worm.Gen - par otazok

Ahoj,

jeden znamy chytil nejaky kryptovaci virus, jedine avira ho oznacuje HIDDENEXT/Worm.Gen, ostatne antiviry ho nepoznaju vobec.

Zasifrovalo mu to pripony txt, zip, pdf a dbf (mozno aj ine, zatial neviem). Nie som pri tom stroji, mam momentalne len vzdialeny pristup na pc s nazdielanymi datami (tiez su zasifrovane a premenovane). Vzor premenovania je takyto: ZIAD.TXT.id-4804679860_btcpay@aol.com. Vysledne subory su vsak vacsie o cca 200-500 bajtov ako povodny original.

1. Moze byt virus/cerv alebo nejaka zrada aj v tych zasifrovanych suboroch? Maju priponu .com, co je samozrejme tiez aj spustitelna pripona. Mate niekto skusenosti? Preco su tie zasifrovane vacsie?

2. Najaky tip na rozsifrovanie? Ak nie, bude sa dat bez toho zit, ale usetrilo by to dost prace.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
je txt čitelný v jakémkoliv editoru? co má za hlavičku? kmochna 07.04.2015 12:15	kmochna	07.04.2015 12:15
no tak untitled2 je povodne txt subor s nulovou velkostou. A untitled1 je zaciatok zip archivu, teda… Palos9 07.04.2015 12:48	Palos9	07.04.2015 12:48
com zvyčajně začíná mz. dedukcí lze předvídat spouštěcí rutinu, jak jsi psal. na stroji nedovol rest… kmochna 07.04.2015 13:04	kmochna	07.04.2015 13:04
No to bude dost problem, pc su daleko (velmi) a teda nudzovy rezim je bez sance. Zatial som tie 'nen… nový Palos9 07.04.2015 14:02	Palos9	07.04.2015 14:02
každou slabinou čehokoliv je potřeba se spustit po startu, to třeba pomocí sysinternals autoruns dok… nový kmochna 07.04.2015 14:13	kmochna	07.04.2015 14:13
To mas pravdu. Ale ak sa uz pridal niekde do nejakej cesty pri spusteni, tak ja to teraz uz zistim l… nový Palos9 07.04.2015 14:24	Palos9	07.04.2015 14:24
admin to uvidí. nový kmochna 07.04.2015 14:39	kmochna	07.04.2015 14:39
Takze vcera som mal ten stroj na stole, nenasiel som absolutne nic. Eset tam bol aktivny, sice v.4.x… poslední Palos9 15.04.2015 11:50	Palos9	15.04.2015 11:50

je txt čitelný v jakémkoliv editoru? co má za hlavičku?

no tak untitled2 je povodne txt subor s nulovou velkostou.
A untitled1 je zaciatok zip archivu, teda zacinalo to na PK...

Hlavne mam obavu, ci tam nie je nejaky kod, ktory po kliknuti povoli nejaku dieru v PC. Lebo klikali na tie subory aj na nenakazenych strojoch, a kedze je to .com tak mam obavy, co to vlastne spravilo. A nie som tam fyzicky, tak to mam len sprostredkovane plus to co viem stiahnut z toho zdielaneho adresara...

untitled1.png 38.13 KiB untitled2.png 25.16 KiB

com zvyčajně začíná mz. dedukcí lze předvídat spouštěcí rutinu, jak jsi psal. na stroji nedovol restart- teprve až prozkoumáš, co se má zavést. pak bych systém zavedl do zaručeně čistého nouzáku, někam, kam ten přizdisráč nebude chtít.

No to bude dost problem, pc su daleko (velmi) a teda nudzovy rezim je bez sance. Zatial som tie 'nenakazene' pc preskenoval hlbkovo nodom, nenaslo nic, uvidime...

Ten PC zavireny budem mat u seba az o jeden-dva dni. Az potom uvidim, co tam vlastne je...

každou slabinou čehokoliv je potřeba se spustit po startu, to třeba pomocí sysinternals autoruns dokážeš na dálku.

To mas pravdu. Ale ak sa uz pridal niekde do nejakej cesty pri spusteni, tak ja to teraz uz zistim len tazko. Mozem teraz spustit autoruns od SI ale vlastne bud neuvidim nic/ak je to ciste/ alebo tiez neuvidim nic/ak uz sa zapisal niekam/.

admin to uvidí.

Takze vcera som mal ten stroj na stole, nenasiel som absolutne nic. Eset tam bol aktivny, sice v.4.xx ale s aktualnymi definiciami - ten to pustil. Preskenovane z live cd od avira aj kaspersky.
Zvlastne, asi to zasifroval a zmazal sam seba... Alebo ho este nic nedetekuje. Google na vyraz btcpay@aol.com neponuka prakticky nic. Pre istotu preinstalovane, snad sa to uz nebude opakovat.

Zpět do poradny Odpovědět na původní otázku Nahoru