Astrologowie ogłaszają tydzień ransomware, populacja chcących kupić bitcoin zwiększa się
https://sekurak.pl/petya-ransoware-zbiera-zniwo-na-calym-swiecie-moze-byc-gorzej-niz-z-wannacry/
#bitcoin
https://sekurak.pl/petya-ransoware-zbiera-zniwo-na-calym-swiecie-moze-byc-gorzej-niz-z-wannacry/
#bitcoin
ta rozmowa
#mahonek
#mahonek
źródło: comment_TwG7f3Zrep7G3A9fjnXqYPWHb4OdybLh.jpg
Pobierz
Pomijam kwestie typu wątki chodzące w tle, dekompresje GZip i takie p--------o, nie mam już piwa to chyba by było na tyle.
Trza coś streama poogladać
#danielmagical #ruchamcizone
Trza coś streama poogladać
#danielmagical #ruchamcizone
źródło: comment_qfINQsyXbAX2QtJ8tUWBANnsCxViCeG1.jpg
Pobierz
Wyeksportowane pliki (szczegóły w poprzednim wpisie):
http://www42.zippyshare.com/v/ncrIXoFt/file.html
#danielmagical
http://www42.zippyshare.com/v/ncrIXoFt/file.html
#danielmagical
@iksDe2137:
to za pomocą js i kontrolek activex modyfikuje rejestr?
I jeszcze ma zahardkodowaną scieżkę "C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.exe"
Trzeba wejść na zainfekowaną stronę internet explolerem aby to zadziałało?
to za pomocą js i kontrolek activex modyfikuje rejestr?
I jeszcze ma zahardkodowaną scieżkę "C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.exe"
Trzeba wejść na zainfekowaną stronę internet explolerem aby to zadziałało?
dalej mamy rozpakowanie i uruchomienie kilku plików odpowiednio zakodowanych jako base64, robi się coraz ciekawiej :D
#danielmagical
#danielmagical
źródło: comment_op2WpUSQyzC13JZJcW07LQbNRjvhEDKH.jpg
Pobierzzaraz bedzie update ( ͡° ͜ʖ ͡°)
@iksDe2137: zawołaj jak będzie coś nowego
( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡
źródło: comment_jCDRe4zj7qFjnvLKXqBZ40y6dgnEGaYT.jpg
PobierzKod mieści się w jednej klasie, po wstępnej deobfuskacji:
http://wklej.org/id/3207468/
( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)
#danielmagical
http://wklej.org/id/3207468/
( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)
#danielmagical
Rozkminilem troche ten kod wirusa co wrzucaliscie, oto progress:
Kod napisany w .NET, poniżej wyodrębniona przeze mnie dll'ka:
*http://www16.zippyshare.com/v/Vy3CZqvc/file.html
Kod zaciemniony, ale można przystąpić do jego analizy, np programem
Kod napisany w .NET, poniżej wyodrębniona przeze mnie dll'ka:
*http://www16.zippyshare.com/v/Vy3CZqvc/file.html
Kod zaciemniony, ale można przystąpić do jego analizy, np programem
źródło: comment_hXgyVXLhxnEw8KtRVIeBUnPhOjVKkKju.jpg
Pobierz
'dlatego twoją se pożyczyłem' XD
#danielmagical
#danielmagical
jakby się tak zastanowić to łoboda ma algorytm prosty niczym ten biedronki
#danielmagical
#danielmagical
@iksDe2137: If donejt = true then RUCHAM CI ZONE else WYSYŁAĆ DONEJTY BO WAM WYRUCHAM ZONY
#danielmagical