Come posso sapere se il mio client è stato infettato da CryptoWall?

0

Oggi un cliente ha eseguito un file che credevano essere qualcos'altro, hanno detto che appariva una finestra nera, quindi ho controllato il codice per vedere cosa ha funzionato in CMD, ma non riesco a capire cosa sta facendo.

Ho appena letto su CryptoWall 3 e sono preoccupato che possa esserlo ora.

Questo era il codice nel file che gestiva: link

Ed ecco una versione decrittata che ho ottenuto da un convertitore online: link

Non riesco a capire cosa sta facendo con il file jpg e exe. È questo CryptoWall? In caso contrario, che cos'è e dovrei essere preoccupato?

Ho eseguito una scansione utilizzando Vipre e si è rivelato chiaro.

    
posta Lewis Lebentz 10.03.2015 - 01:31
fonte

1 risposta

3

Il file in questione non esiste (404). Quello che fa il codice, sta scaricando il file rep.jpg come 83152553.exe.

Il codice è equivale con il tasto destro del mouse sul link ( link ), salvare come, salvare su harddrive e quindi rinominare rep.jpg a 83152553.exe, quindi possibilità di esecuzione del file.

Il motivo per cui un file JPG è quello di aggirare le restrizioni di caricamento sui siti Web che consentono solo il caricamento di determinati tipi di file. Rinominando 83152553.exe su something.jpg (e rinominandolo di nuovo quando l'exploit scarica il payload), l'utente malintenzionato può caricare il file su un sito di hosting di immagini, ad esempio.

Dato che il file è stato rimosso, non posso rispondere alla tua domanda se il suo Cryptowall o meno. Questo è un semplice script per il download di un carico utile che scarica un carico utile arbitrario da un sito Web, il carico utile può essere qualsiasi cosa, da un keylogger personalizzato a un semplice worm di diffusione di rete, a un oggetto casuale. Solo qualsiasi cosa L'unico modo per saperlo è caricare il file rep.jpg / 83152553.exe su Virustotal se hai ancora il file.

    
risposta data 10.03.2015 - 04:52
fonte

Leggi altre domande sui tag