Осторожно, шифратор! (а может и нет) / Mints97 памаги :: пидоры помогите (реактор помоги)

anon

Осторожно, шифратор! (а может и нет)

Многоуважаемые пидоры, пидорессы и боевые вертолёты, помогите узнать что за файл мне прислали на почту. Думается мне что шифратор-вымогатель, но как узнать наверняка? Есть ли вообще какой-нибудь способ детектировать шифратор, помимо интуиции? ВирусТотал не обнаружил никаких проблем, но открыв файл в блокноте сразу идёт ссылка на сайт http://www.w3.org, на котором, судя по всему, занимаются разработкой шифраторов.

В общем вот ссылка на файл, ОСТОРОЖНО, чайникам и прочим дилетантам не лезть!
https://drive.google.com/file/d/1pygFfRp5zPOHq7fHqSIEIpBpyT87CLRN/view?usp=sharing

Подробнее
КУПОН НА 1 помощь
пидоры помогите,реактор помоги,Mints97 памаги,удалённое

Еще на тему

пидоры помогите(7689)

Развернуть

Комментарии 28 23.10.202115:12 ссылка 0.9

> ссылка на сайт http://www.w3.org, на котором, судя по всему, занимаются разработкой шифраторов.

Боюсь представить себе, как ты дошёл до такого вывода... О_О

Antaeus 23.10.202115:14 ответить ссылка 3.4

Снова интуиция, ничего более

$\УЗС ИНТЕРНЕТ ДЛЯ ВСЕХ □ Доступность Интернационализация Веб-безопасность Конфиденциальность ИНТЕРНЕТ И ПРОМЫШЛЕННОСТЬ В Автомобильная промышленность и транспорт Развлечения (телевидение и радиовещание) Издательский Веб-платежи Сеть данных Интернет и телекоммуникации Сеть вещей$

Bill Ein 23.10.202115:18 ответить ссылка ↑ -1.0

Твоя интуиция не додумалась загуглить, что такое W3C ?

Antaeus 23.10.202115:27 ответить ссылка ↑ -0.1

Увы, нет)

Bill Ein 23.10.202115:29 ответить ссылка ↑ -0.9

Это молдавский вирус, а автор поста молдавский хакер.

Forest Gimp 23.10.202115:16 ответить ссылка 2.6

На всякий случай удалю пару файлов с компа, чтобы он не обижался.

Теданор 23.10.202115:33 ответить ссылка ↑ 0.0

В общем, скачал запустил, а там пару редиректов и в итоге такая шняга. Какой-то фишинг на банковскую тематику, особо не разбирался.

На Ваше имя поступил денежный перевод на сумму 270 115 рублей.
Отправитель: Финансовый отдел
Вам необходимо вывести деньги в течение 24 часов! Иначе вся сумма будет возвращена отправителю.
Для перехода к получению выплаты нажмите "ОК"
Центр Выплат
Отаролитель. Е*«аый центр выплат ГрМДаиЛИ

Antaeus 23.10.202115:17 ответить ссылка 2.1

вот так ты и просрал 270 тыщ

Лесной 23.10.202115:18 ответить ссылка ↑ 2.7

Т.е. не шифратор, а тупо разводка. Чёт банальненько как-то...

Bill Ein 23.10.202115:21 ответить ссылка ↑ 0.0

Это то что тебе показали, йолуп. Скрытый пакет задач тихо был спрятан. Теперь мониторь сетевой трафик чтобы узнать с какого адреса щитварь будет брать инструкции.
Запуск подобного вообще производится исключительно на виртуалках изолированных.

ManKey 23.10.202115:33 ответить ссылка ↑ -0.6

Я не и не запускал, скачал тупо с почты и открыл в блокноте.

Bill Ein 23.10.202115:35 ответить ссылка ↑ 0.0

Ну я без виртуалки запустил и ничо.
Там XHTML файл с мусором и редиректом в первой строчке куда-то на фишинговый сайт.
Спрятать в таком "скрытый пакет задач" можно, только если у этих кулхацкеров в распоряжении 0-дэй эксплоит против самого популярного на текущий момент браузера. Но тогда
а) малварь не хранилась бы в файле, потому что при редиректе доступ к ней утрачивается;
б) ни один кулхацкер в здравом уме, обладая 0-дэем, который обычно стоит конских денег, не будет его использовать в настолько тупой атаке.

Antaeus 23.10.202115:45 ответить ссылка ↑ 0.0

А ты верующий в постоянно up to date операционки, умных юзверей и среднее образование?
Никакой нулевочки и не надо никогда было для того чтобы рансомнуть среднестатистического Васю. Юзер которого уломали запустить ЧТО УГОДНО уже сам по себе уязвимость. Даже если изначально это ссылка с рефералочным айдишнегом.
Сейчас им достаточно собрать стату по переходам и емейлам которые сработали. Собрать коллекцию долбаебов. Дальше уже адресно можно слать что угодно. И никакой 0-day не нужно искать или покупать. Простой exe на делфях с набором подьебонов из кукбука 20 летней давности. И никакой антивирь с апдейтами системы не помогут.

ManKey 23.10.202120:29 ответить ссылка ↑ 0.0

> Никакой нулевочки и не надо никогда было для того чтобы рансомнуть

Через XHTML, как у ОПа -- таки надо.

Antaeus 23.10.202120:32 ответить ссылка ↑ 0.0

Зачем? Вася и так сольет все что ты ему предложишь. Ведешь на страницу где предлагают "скачать и настроить клиент банк для получения выигранного лотерейного бонуса".

ManKey 23.10.202123:11 ответить ссылка ↑ 0.0

Я хоть и дилетант, но это развод уровня, "мой создатель не умеет в вирусы, удали у себя паку sysrem32".

Van-ay 23.10.202115:17 ответить ссылка 1.3

А заодно тебе прокинуты еще десяток файлов размером куда пожирнее которые будут теперь делать подмену выдачи поиска и пихать рекламу хуёв во все окна.

ManKey 23.10.202115:35 ответить ссылка ↑ 0.0

Ладно, убедил, скачиваю.

Zamfertiy 23.10.202115:40 ответить ссылка ↑ 0.0

Ок, Жду.

Antaeus 23.10.202115:48 ответить ссылка ↑ 0.0

Бггг. Ищи поинтереснее EXEшники

ManKey 23.10.202118:39 ответить ссылка ↑ 0.0

Какие ещё екзешники? Ты же выше написал, что малварь есть в этом конкретном файле, который ОП выложил. Всё, уже передумал?
Оно так бывает, когда хочется выебнуться, а скиллов по теме не хватает...

Antaeus 23.10.202118:56 ответить ссылка ↑ 0.0

Вай вай, кулхацкер миня задавил интеллектам.

Но по факту - я даже не знаю что там за файло у топик стартера. Ссылку не кликал. Я написал как обычно под ламаковый развод маскируют pay per install shitware с пейлоадом который не палится сразу.

ManKey 23.10.202120:09 ответить ссылка ↑ 0.0

Ну то есть ты полез раздавать умные советы, не разобравшись в ситуации.
Я так и написал.

Antaeus 23.10.202121:10 ответить ссылка ↑ 0.0

Виртуалка и пусть хоть горит синим пламенем.
А еще лучше - виртуалка на линуксе))

1nsanie 23.10.202115:24 ответить ссылка 0.5

Всем спасибо, всё прояснилось, думаю тему можно удалять)

Bill Ein 23.10.202115:31 ответить ссылка 0.0

Это тупое разводилово. Нет там шифратора. Это тупое говно тупого говна, ссылка на фальшивый сайт с фальшивым уведомлением о выплате. Это, блять, уровень нигерийского миллиардера. Или, даже космонавта.