milex May 6 2015 at 13:13

Trojan-Downloader.Win32.Cabby.cemx — Часть первая — Распаковка

12 min

36K

Information Security*Reverse engineering*

From sandbox

+30

Comments 17

vah_13 May 6 2015 at 14:55

а этот зверь шифрует все подряд или только с определенным расширением файлы *.rar *.doc?

priv8v May 7 2015 at 07:29

Шифрует заранее заданные расширения, doc в их числе точно помню был.

milex May 7 2015 at 07:40

Чтобы закрыть данный вопрос:

Ti_Fix May 6 2015 at 14:58

Приятно было прочитать, буду ждать продолжения. Вы используете плагин от OllyDebugger, но не используете сам отладчик OllyDebugger, чем это вызвано?

priv8v May 7 2015 at 07:28

Автор и использует по сути OllyDbg — он использует ее кастомную сборку.

Ti_Fix May 7 2015 at 08:22

Спасибо за пояснение, давно сам не запускал OllyDbg.

Dywar May 6 2015 at 17:12

Интересно, продолжение ждемс.

vah13*
Офисные документы и фото, доступ к которым не требует дополнительных прав.

Ti_Fix*
Имунка поддерживает питон, пофикшены некоторые баги ольки, и можно использовать плагины ольки, вроде как специально сделан для изучения малвари.

vah_13 May 6 2015 at 18:25

а удалось расшифровать их вручную, без там выплаты бтц и другое

milex May 6 2015 at 18:36

Посмотрите, в самом начале статьи есть ссылка на securelist. Там все довольно подробно описано — и какие типы файлов шифрует, и почему практически нереально расшифровать. Нам повезло — счет зараженных ПК был на единицы и критические файлы для вируса были недоступны. В следующей статье будет описана логика самого Downloader'а, не CTB-Locker'а (про него и так неплохо написано на securelist). Хотя если будет время, то попробую тоже разобрать подробно, но это дело не ближайшей перспективы.

vah_13 May 6 2015 at 19:43

круто, спасибо

amaranth May 7 2015 at 06:49

Работаю сетевым инженером в одной из компаний в группе компаний из трех букв

Боюсь даже представить эти 3 буквы :)

hopungo May 7 2015 at 10:21

2. Пользователь открывает архив и запускает из него .scr

Сидя под админом? Да за такое ж расстрелять мало!

milex May 7 2015 at 10:39

Причем тут админ? У пользователей обычные пользовательские учетки, но при этом ведь никто им запускать бинарники не запрещает, они же пользуются различным ПО. Scr по сути своей такой же PE файл, как и exe, и, следовательно, его ему тоже никто не запрещает запускать. Криптолокер шифрует только пользовательские файлы, поэтому противоречий с правами не возникает.

hopungo May 7 2015 at 10:53

Упс, хотел здесь написать, ответил ниже

hopungo May 7 2015 at 10:52

Ну хоть пользовательские учётки, и то ладно. Но я бы серьёзно присмотрелся к тому админу, который разрешает запускать файлы, присланные по почте. Scr из exe получаются простой сменой расширения. А те, кто запускает экзешники не глядя — достойны расстрела.

milex May 7 2015 at 10:55

А для этого уже информационная безопасность должна проводить хоть какие-то мероприятия по обучению пользователей, а не смотреть на технические средства, как на 100% панацею.

Dywar May 7 2015 at 18:45

Как вы отличите файл присланный по почте, скаченный в «temp» и/или перемещенный на рабочий стол, от файла который там лежал месяц до этого?

P.S. В Linux практикуют запрет запуска из «temp» например, но это осложнит жизнь при обновлениях другого ПО для Windows.
Не тратьте время на разбор деталей с почтой, я знаком с тем на что способны/неспособны корпоративные AV для почтовых серверов.