Вопросы и обсуждение различных средств удаления вирусов

Aleso

Можно, но не всегда помогает, если не можете самостоятельно справится лучше обратится к профессионалам.

safety

Aleso написал: »

Можно, но не всегда помогает, если не можете самостоятельно справится лучше обратится к профессионалам.

AdwCleaner - это инструмент пост_очистки системы. Как правило, используется после удаления из системы всех активных зловредов.

safety

CryptoTester - новый инструментарий. разработан Майком Гиллеспи.

CryptoTester Changelog
**This program requires .NET Framework 4.5.2 or higher in order to run**

## [1.2.0.0]
- First public release

https://twitter.com/demonslay335/status/1068907109495046145

safety

+
Новый выпуск криптотестер v 1.2.0.1 для #ransomwareанализа. BLOB анализатор может принимать Base64 закодированные BLOB-объекты, а также добавил новый инструмент Key Finder! Просто поиск в exe для потенциальных крипто-ключей (например, крипто BLOB, XML, PEM)

CryptoTester Changelog

**This program requires .NET Framework 4.5.2 or higher in order to run**

## [1.2.0.2]
+ Bugfix for parsing of SIMPLEBLOBs
+ Tweaks to Key Finder display

## [1.2.0.1]
+ Added base64 decode to Blob Analyzer
+ Added Key Finder utility
+ Internal re-write of BLOB parsing

## [1.2.0.0]
- First public release

https://twitter.com/demonslay335/status/1071135681727078400

safety

+

## 1.2.0.3
+ Added Rijndael (192-bit blocksize) algorithm
+ Added Rijndael (256-bit blocksize) algorithm
+ Added RC5 (64-bit blocksize) algorithm
+ Added detection of any kind of BLOB to Key Finder
+ Added output of the bitlength for RSA keys found as PEM/XML/Base64 in Key Finder
+ Added button to automatically extract first (blocksize) of input as IV

Новый выпуск криптотестер для #ransomwareанализа. Добавлено Rijndael 192/256 бит, и RC5 64 бит алгоритмы, Key Finder теперь ищет любой тип BLOB, а также выводит keylength RSA. Также кнопка для извлечения первого BlockSize ввода в виде IV

https://twitter.com/demonslay335/status/1071623469249511425

safety

Разработчики Лаборатории Касперского добавили таки возможность в дешифраторах указать каталог для быстрой проверки возможности расшифровки файлов.

---

другой недостаток этого дешифратора с поддержкой множества вариантов и расширений зашифрованных файлов - это крайне неудобный выбор из огромного списка поддерживаемых форматов файлов.

safety

Новый CryptoTester релиз для #ransomwareанализа-v 1.2.0.4 добавляет RSA калькулятор (Calc закрытый ключ, если у вас есть простые, запрос фактордб для доступных простых, экспорт для использования), настраиваемые раунды для алгоритмов (например, Salsa20, RC5), и RC5 16 бит алгоритм |

## [1.2.0.4]
+ Added RSA Calculator utility to Blob Analyzer (Tools -> RSA Calculator)
+ Compare blob analysis now looks for any kind of BLOB
+ Added configurable Rounds for applicable algorithms (Advanced -> Rounds)
+ Added RC5 (16-bit blocksize) algorithm
+ Corrected RC5 wordsize wording (blocksize != wordsize)
- Removed "Salsa20_8" and "Salsa20_12" algorithms in favor of using Rounds config

https://twitter.com/demonslay335/status/1072613392651833344

safety

ESET Online Scanner обновлен до версии 3.0.17
https://www.eset.com/int/home/online-scanner/

Version 3.0.17.0

Added: Periodic scan - scans device once per month
Added: Quick scan - checks only the most vulnerable parts for malware
Added: Pause/Continue and Stop scan functionality
Added: Settings are now remembered and loaded with each run
Added: Notifications when a scan is finished
Added: Possibility to leave feedback
Improved: Completely redesigned UI
Improved: Handling of found detections

safety

New release of CryptoTester for #ransomware analysis. v1.2.0.5 is mostly bugfixes, but also adds base64 input, corrected Delphi RNG algorithm, ANSI C rand algorithm (LCG variant), and access RSA Calculator from main window. | https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip …

## [1.2.0.5]
+ Added base64 input for Encrypt/Decrypt tab
+ Fixed block mode and padding support for some algorithms
+ Fixed default IV size for some algorithms
+ Fixed Delphi (LCG) RNG algorithm
+ Added accessing RSA Calculator from main window
+ Fixed changing base for RSA Calculator variables
+ Added test vectors for IDEA algorithm
+ Additional error handling

+

https://twitter.com/demonslay335/status/1075169972983357440

safety

+
New release of CryptoTester for #ransomware analysis - v1.2.0.6 adds a custom Base Encoder (base64, more planned), RNG unit testing / corrections, export of RSA Calculator to private/public, plus extra RSA key validation and bugfixes (see changelog)

TmV3IHJlbGVhc2Ugb2YgQ3J5cHRvVGVzdGVyIGZvciAjcmFuc29td2FyZSBhbmFseXNpcyAtIHYxLjIuMC42IGFkZHMgYSBjdXN0b20gQmFzZSBFbmNvZGVyIChiYXNlNjQsIG1vcmUgcGxhbm5lZCksIFJORyB1bml0IHRlc3RpbmcgLyBjb3JyZWN0aW9ucywgZXhwb3J0IG9mIFJTQSBDYWxjdWxhdG9yIHRvIHByaXZhdGUvcHVibGljLCBwbHVzIGV4dHJhIFJTQSBrZXkgdmFsaWRhdGlvbiBhbmQgYnVnZml4ZXMgKHNlZSBjaGFuZ2Vsb2cp

| https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip …

## [1.2.0.6]
+ Added Base Encoder utility (Tools -> Base Encoder)
+ Added unit testing for RNG algorithms (automatically run on use in RNG Tester)
+ Added full validation of BLOBs
+ Added option to export RSA key as public or private key (RSA Calculator)
+ Added BSD libc rand (LCG) RNG algorithm
+ Added Java.util.Random (LCG) RNG algorithm
+ Added display of rounds used when encrypting/decrypting (on supported algorithms)
+ Fixed RSA decryption of data if it was originally encrypted by a CSP provider
+ Fixed random string generation with PowerShell and PowerShell5 RNG algorithms (to mimic -InputObject processing)
+ Fixed parsing of BLOBs if extra bytes are added in Blob Analyzer
+ Fixed export of BLOBs in Blob Analyzer to respect the proper output based on blob type
+ GUI fixes for RNG Tester
+

https://twitter.com/demonslay335/status/1077212409612390401

safety

Another quick release of CryptoTester for #ransomware analysis - v1.3.0.1 brings ASCII coloring, Search Bytes, modulues for RNG Tester, and some bug fixes. |
https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip …

## [1.3.0.1]
+ Added coloring of ASCII characters (orange) in hex editors
+ Added "Search Bytes" option (Operations)
+ Added modulus for RNG Tester
+ Fixed possible crash with comparing small files
+ Fixed filesize difference on drag-and-drop comparing
+ Fixed paste from context menu for hex editor
+ Fixed file info stats for manually edited hex
+ Tweaked tool menu options
+

New release of CryptoTester for #ransomware analysis. v1.3.0.0 brings fixed copy, ability to paste/edit input hex, display generated key, find PGP keys in exe, and addition of SharpAESCrypt. .NET 4.6.1+ required now. Check changelog for details. |

## [1.3.0.0]
+ Updated target framework to .NET 4.6.1
+ Updated several internal libraries
+ Fixed copy function in hex editors
+ Added paste function to input (left hex editor in Encrypt/Decrypt tab)
+ Added display of generated key (click on the length)
+ Moved "Get IV From Input" to Advanced toolstrip (removed button)
+ Added finding PGP public and private keys in Key Finder
+ Fixed possible crash on Key Finder
+ Fixed a few false positives in Key Finder
+ Removed restriction of PE files for Key Finder (allow searching of binary dumps, etc)
+ GUI fixes for Display Bytes
+ Added "SharpAESCrypt" algorithm
+

https://twitter.com/demonslay335/status/1080886657266651141

safety

CYBEREASON RANSOMFREE более не будет доступен для загрузки
8 декабря 2018 г.

Мы ценим Ваш интерес и поддержку RansomFree, и мы стремится предоставлять продукты и услуги высочайшего качества наши клиенты.
Однако мы решили прекратить доступность и поддержку Cybereason RansomFree (примечание: если вы ранее загрузили Cybereason RansomFree, он останется работоспособным на вашем компьютере для неопределенный период времени).

Начиная с 29 ноября 2018 года, мы прекратили разрешать новые загрузки RansomFree. Cybereason не будет поддерживать или предоставлять исправления,
обновления или новые версии программного обеспечения и не будет предоставлять какую-либо поддержку клиентов, которые продолжают его использовать.
Мы рекомендуем вам рассмотреть возможность лицензирования других продуктов Cybereason, которые могут предложить решение, соответствующее вашим потребностям и / или потребности вашей организации.

https://www.cybereason.com/hubfs/ransomfree-EOL-message.pdf

---

p.s. текущая версия 2.4.2
продукт подписан ‎17 ‎декабря ‎2017 ‎г. 20:22:04

safety

CryptoTester v1.3.0.2 released for #ransomware analysis. Added PasswordDeriveBytes (had to rearrange key GUI), PCKS#1 PEM parsing, UTF-16 string detection for keys, new string input to accept newlines, other bugfixes in changelog. | https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip …

## [1.3.0.2]
+ Added PasswordDeriveBytes for key generation
+ Added option to enable/disable RFC2898/Password Derive functions from auto deriving the IV (Advanced -> Auto Derive IV)
+ Added PKCS#1 PEM parsing ("BEGIN RSA PUBLIC KEY")
+ Added UTF-16/wide string detection to Key Finder
+ Added progress updates to Key Finder
+ Added string input for XML to Blob Analyzer
+ Added new input for strings that accepts newlines (e.g. PEM or Base64 input of Blob Analyzer)
+ Fixed auto-generation of Salsa20 IV
+ Fixed enabling of Encrypt/Decrypt buttons when pasting or typing in input hexbox
+ Fixed long error messages that would break the status label of windows

https://twitter.com/demonslay335/status/1085219840850382850

safety

Таки наглядный сервис анализа сэмплов реализован на https://app.any.run (ANY.RUN)

What does ANY.RUN analyze?

The service shows many aspects of testing, such as creating new processes, file and registry activity, network requests and much more in the real-time.

---

Что анализирует ANY.RUN?

Сервис показывает многие аспекты тестирования, такие как создание новых процессов, файловой и реестровой активности, сетевых запросов и многое другое в режиме реального времени.



пример анализа сэмпла Crysis.adobe здесь:
https://app.any.run/tasks/ed3b5c7e-dcd1-498f-8003-ae1921ae7d47

графическая схема процессов:


Изменения в реестре:


созданные файлы:


модифицированные файлы:


https://any.run/report/4b5b11e64fdf9d164ab4a592ecbf99032ae0ac79aecbf68fe6a59deffb8e6ef3/ed3b5c7e-dcd1-498f-8003-ae1921ae7d47#processes

safety

Так же видим что добавлен графический анализ процессов, созданных или модифицированных ключей реестра и файлов:



+дополнительные детали анализа процессов:


например,
в вышеприведенной задаче видим характерные маркеры для зашифрованных Crysis файлов.


+

safety

+
Update CryptoTester v1.3.0.3 for #ransomware analysis. Added ChaCha20, Little Endian option (for [X]TEA), IV from text, hex inputs ignore "0x" and commas (c/p from code), and some experimental cracking tools (from playing w/ CryptoPals challenges ?) | https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip …

## [1.3.0.3]
+ Added ChaCha20 (IETF) algorithm
+ Added Little Endian option (currently only flips byte order for TEA/XTEA, Advanced -> Little Endian)
+ Organized IV related options (Advanced -> IV)
+ Added option to add an IV from UTF8 text (Advanced -> IV -> Enter Text IV)
+ Added RSA Broadcast Attack tool (Cracking -> RSA -> RSA Broadcast Attack, only supports e=3 currently)
+ Added XOR Attack tool (Cracking -> XOR -> XOR Attack)
+ Fixed bug with syncing hex editor with byte stream used for encrypting when saving
+ Tweaked any input field that expects hex bytes to ignore "0x" prefixes and commas (make pasting from code easier)

https://twitter.com/demonslay335/status/1093255080760000515

safety

+
New release of CryptoTester v1.3.0.4 for #Ransomware Analysis. Key Finder can grab PEM stubs/chunks, plus lots of bug fixes. Have a ciphertext + plaintext + key, but don't know what encryption algorithm? Try "Bruteforce Algorithm" to automatically test all that the tool supports.

https://twitter.com/demonslay335/status/1127299047423913984

## [1.3.0.4]
+ Added extraction of some common PEM stubs (without BEGIN/END markers) to Key Finder
+ Fixed capture of PEM strings that are chunked in Key Finder
+ Fixed parsing of UTF16 strings in Key Finder
+ Fixed max length of characters allowed on input forms
+ Tweaked input fields expecting hex bytes to ignore "-"
+ Fixed pasting of hex strings in main window
+ Fixed bug with DeriveKey hashes using SHA-2 family of hashes
+ Fixed bug with DeriveKey hashes when used with AES-128
+ Added Generate Keystream (XORs two files from Compare tab, Operations -> Generate Keystream)
+ Added Bruteforce Algorithm (tries all algorithm, hash, block mode, padding mode combination with given key, Operations -> Bruteforcer Algorithm)

safety

+
New update to CryptoTester for #Ransomware Analysis. Dumped a truncated private RSA key from memory? Blob Analyzer can do the math and repair it (as long as enough data is there to work with). Also added tab for decompression (Deflate/GZip/BZip2/LZW/Zip) | https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip …

https://twitter.com/demonslay335/status/1137126497150521344

## [1.3.0.5]
+ Added repair option for private RSA key blobs (Blob Analyzer)
+ Added Decompression tab with Deflate, GZip, BZip2, LZW, and Zip algorithms
+ Added test vectors for Blowfish algorithm
+ Added C++ MT19937 (MT) RNG algorithm
+ Fixed bug with DeriveKey hashes when used with AES-256 (keysize is respected vs blocksize)

safety

CryptoTester v1.3.0.6 update for #ransomware #analysis. Added basic support for CNG blobs! More support for these as I learn about the format/algorithms later.
?
Also some extra RSA math - calculate primes from private exp, generate key, etc. | (link: https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip)

https://twitter.com/demonslay335/status/1147570778491236352

## [1.3.0.6]
+ RSA Calculator can now calculate primes (p and q) if given public and private exponents and modulus (n, e, and d)
+ Blob Analyzer repair option can fix private RSA key blobs with corrupted primes if above (n, e, d) variables are valid
+ Added basic support for CNG blobs in Blob Analyzer and Key Finder
+ Added generation of example RSA keys (cannot guarantee cryptographically safe!)
+ Fixed XSalsa20 algorithm

safety

360 Ransomware decryption tool:





1. расшифровка GandCrab 4.0/5.0/5.0.2/5.0.3/ 5.0.4/5.1/5.2
2. Petya Ransomware
3. TeslaCrypt v 3,4+
4. ранние варианты Crysis: xtbl, crypt, wallet

safety

Malwarebytes 4.0 выпущен с новым интерфейсом и механизмом сканирования

Malwarebytes выпустила версию 4.0 своего флагманского антивирусного продукта, а также новый модуль сканирования, новый пользовательский интерфейс, статистику угроз и многое другое.

В настоящее время Malwarebytes 3.x не обновляется автоматически до Malwarebytes 4.0. Если вы хотите перейти на эту новую версию, вам нужно скачать установщик прямо с сайта Malwarebytes.

Взгляд на новый интерфейс

Самое большое изменение, которое испытают пользователи, это новый пользовательский интерфейс. В Malwarebytes 4.0 основные разделы, состоящие из параметров карантина, сканера и защиты в реальном времени, четко отображаются на приборной панели.

Нажатие на раздел приведет к появлению всплывающей подсказки, где вы сможете изменить настройки, просмотреть карантин или выполнить сканирование.

Экран защиты в реальном времени изменился больше всего. В этом разделе пользователи теперь могут легко управлять различными средствами защиты, а также просматривать статистику по вредоносным сайтам, программам-вымогателям, эксплойтам или вредоносным программам и PUP, которые Malwaerbytes 4.0 предотвратил.

Кроме того, в этом разделе также будут отображаться последние сообщения из блога Malwarebyte.

Malwarebytes 4.0 поставляется с новым механизмом сканирования под названием «Katana», который включает в себя следующие функции:

Улучшенное обнаружение нулевого часа - выявляет новые угрозы по мере их возникновения и до того, как они могут нанести ущерб вашему устройству
Расширенное обнаружение вредоносных программ - блокирует еще больше вредоносных программ для улучшения защиты
Поведенческое обнаружение без сигнатур - определяет последние варианты семейства опасных вредоносных программ, которые пытаются уклониться от традиционных сигнатур с помощью упаковки, обфускации и шифрования во время выполнения, предлагая мгновенную защиту от новых угроз, которые традиционным антивирусам трудно обнаружить.

https://www.bleepingcomputer.com/news/software/malwarebytes-40-released-with-new-ui-and-scanning-engine/

safety

Updated CryptoTester for ? #Ransomware Analysis ?
. v1.3.0.7 adds decoded view of hex views, OpenSSL-compat derives (EVP_BytesToKey w/ MD5 or SHA256), preset crypto schemes (HiddenTear / OpenSSL), hex inputs now ignore: \t\r[]{}h, plus bugfixes. |

## [1.3.0.7]
+ Added decoded view for original/encrypted bytes - click on offset bar
+ Added OpenSSL-compatible Derives (EVP_BytesToKey) - MD5 (pre OpenSSL 1.1.0c), and SHA256 (post OpenSSL 1.1.0c)
+ Added Preset feature - presets common crypto schemes
+ Presets for HiddenTear and OpenSSL
+ Fixed a fallback for incorrectly declared PKCS#8 PEM keys
+ Fixed detection of SIMPLEBLOBs in Key Finder
+ Fixed acceptance of keys with new lines (e.g. PEM) for the main window
+ Tweaked input fields expecting hex byte to ignore tabs, carriage returns, "h" prefixes, and bracket/braces

https://twitter.com/demonslay335/status/1192540890537046016

safety

New CryptoTester v1.3.0.8 for #Ransomware #Analysis - input offset/len now accepts expressions, Key Finder detects ROT13/damaged keys in bins, bruteforce input with a list of keys, splice output, PHP mt_rand(), Blob Finder exports to clipboard and can generate keys... lots more!

## [1.3.0.8]
+ File offset/length now accept expressions, including variables for the file length; e.g. "length - x10"
x<number> = interpret number as hexidecimal
Example: x10 = 16
hex(<expression) = intepret expression as hexidecimal
Example: hex(10) = 16
Alias: h()
length = file length
Alias: len, filelen, filelength, filesize, size
block = blocksize of current selected algorithm
Alias: b
nearest(v, n) = round v to nearest n
Example: nearest(60, 16) = 64
Alias: near, n
+ Added "Sequential Bytes" input - automatically generates 0x00 - 0xFF up to given limit
+ Input "Zeroes" and "Sequential Bytes" can also accept above expressions
+ Fixed accepting newlines in Base Encoder
+ Added input/output length display to Base Encoder
+ Added detection of ROT13-encoded keys to Key Finder
+ Added detection of damaged (but repairable) BLOBs to Key Finder
+ Added Blob Generator tool to Blob Analyzer - generate a random cryptoblob with specified parameters
+ Added "Bruteforce Keys" tool - attempts decryption using a key list and the specified encryption parameters of the main window
+ Added "Splice Remaining Bytes" checkbox to splice bytes before/after selected offset to the output
+ Fixed "PHP mt_rand" and "PHP 7.1 mt_rand" RNG algorithms (RNG Tester)
+ Added base64 detection for dragging key file into "Key" textbox
+ Added drag-and-drop file into Blob Analyzer (auto-detects input type)
+ Added export to clipboard for base64, PEM, and XML (BlobAnalyzer) - resorted menu options

https://twitter.com/demonslay335/status/1210315882104328193

safety

CryptoTester v1.3.0.9 for #Ransomware Analysis

New: Import/export ASN.1 keys, XOR encryption detection, CTRL+A on hexboxes, Base58/Check encodings, hash iterations, added Misty1, Kasumi, and Fermet encryptions, plus fix for pasting hex to HxD.

## [1.3.0.9]
+ Fixed error with converting DWORDs
+ Fixed memory access errors when copy/paste contents to other hex editor programs (HxD in particular)
+ Added ASN.1 import and export to Blob Analyzer
+ Added basic XOR encryption detection to Compare files tab
+ Added Ctrl+A (select all) shortcut for all hex edit views
+ Added Base58 and Base58Check encodings to Base Encoder
+ Added Misty1 and Kasumi encryption algorithms (with unit tests)
+ Added Fermet encryption scheme (with unit test)
+ Added "Enter Text" for input
+ Added iterations for Hash

https://twitter.com/demonslay335/status/1220459029912309760

safety

CryptoTester v1.4.0.0 for #Ransomware Analysis

## [1.4.0.0]
+ Added entropy calculation for string outputs in RNG Tester
+ Seed, length, and modulus in RNG Tester now accepts expressions (e.g. x10)
+ Added modulus for string outputs in RNG Tester (as algorithm permits)
+ Added decoded views for Compare and Compress/Decompress tab - click on offset bar
+ Added new padding modes - Spaces (' ') and Ascii Zeros ('0') (used in Python crypto alot for some reason)
+ Added CertUtilEncode algorithm (certutil.exe -encode/-decode)
+ Fixed SymmetricAlgorithm's bug of not removing zero (0x00) padding
+ Fixed crash when clicking decode view with empty hex
+ Fixed crash when trying to open a file already open by another program
+ Fixed key length not populated in Blob Generator on load
+ Fixed accepting manual input of key length in Blob Generator
+ Added ASN.1 key usage for encrypt/decrypt
+ Added Addition/Subtraction encryption algorithms
+ Added Addition/Subtraction detection to Compare files tab
+ Added button to move output to input in Encrypt tab
+ Added button to swap original/encrypted in Compare files tab
+ Added search bytes buttons to all hex views
+ Added coloring of Newline sequence characters (purple) in hex editors
+ Minor version updates to library dependencies
+ Code rearranging/cleanup

https://twitter.com/demonslay335/status/1225819538652061696

safety

+
CryptoTester v1.4.0.1 for #Ransomware Analysis

## [1.4.0.1]
+ Added embedded Chrysanthemum.jpg and Desert.jpg (Windows 7 sample pictures) as input options
+ Added copy/paste for hex boxes in Compare tab
+ Added Ctrl+F (find) shortcut for all hex views
+ Added Ctrl+G (goto) shortcut for all hex views
+ Added Ctrl+O (Open File) and Ctrl+S (Save Output) shortcuts
+ Added selection length display to hex views
+ Added auto WORD/DWORD/QWORD conversion when selecting in hex views
+ Added some menu icons!
+ Enabled Compress button on Compress tab (note some algorithms are buggy, work in progress)
+ Enabled input menu for Compare tab (fills as Original)
+ Fixes with Swap button in Compare tab
+ Fixed block mode, padding mode, and IV for Serpent algorithm
+ Removed Input -> Raw Bytes (superceded by Paste option)

https://twitter.com/demonslay335/status/1228935649610301440

safety

CryptoTester v1.4.0.2 for #Ransomware Analysis

## [1.4.0.2]
+ Fixed Desert.jpg resource
+ Hex views:
+ Added Esc (cancel selection) shortcut
+ Added Home (go to beginning of current row) shortcut
+ Added End (go to end of current row) shortcut
+ Added auto ASCII/UTF-16 conversion when selecting
+ Changed shortcuts to go to very beginning (Ctrl+Home) and very end of file (Ctrl+End)
+ Fixed moving selection when start of selection is last byte
+ Fixed page up when exactly one page down from byte 0
+ Fixed clearing selection when pressing shift+up and start of selection is byte 0
+ Fixed clearing selection when pressing shift+down and start of selection is last byte
+ Fixed shift+up deselecting two rows
+ Fixed release selection when pressing Home on byte 0 and End on last byte
+ Added support for finding cryptoblobs as ASCII strings in Key Finder
+ Added Esc (close) shortcut for all dialogs
+ Added "Flip Endian" tool to Blob Analyzer and RSA Calculator
+ Added drag-n-drop file support to IV textbox
+ Added "Custom Constant" (Advanced) to manually set the constant bytes used in Salsa20 (overrides default sigma/tau)
+ Added explicit OAEP padding to dropdown for RSA to be more clear (previously used OAEP if anything but None)
+ Added AES XTS block mode
+ Added HMAC-SHA1, HMAC-SHA256, and HMAC-SHA512 derive functions
+ Added RSA (Raw) algorithm - provide d or e as Key, n as IV
+ Grouped algorithms by cipher type to make long dropdown easier to find an algorithm, now also shows full proper names for algorithms
+ Fixed detection of PEM keys without newlines in Key Finder
+ Fixed RC2, RC5, and RC6 algorithms to actually act like block ciphers - accept block mode, padding mode, and IV
+ Fixed RC4 keysize for CryptDeriveKey
+ Fixed RSA Calculator to parse hex like other inputs (ignore spaces, colons, commas, etc.)
+ Fixed progress bar of Bruteforce Keys tool
+ Redesigned Bruteforce Keys tool to accept a byte count (e.g. key file with raw byte keys appended)

https://twitter.com/demonslay335/status/1251929996928724994

safety

CryptoTester v1.5.0.0 for #Ransomware Analysis

## [1.5.0.0]
+ Key Finder:
+ Added detection of truncated base64 keys
+ Added support for finding ASN.1 key blobs
+ Added support for finding ASN.1 key blobs as ASCII strings
+ Added support for finding raw public modulus and exponent as ASCII strings
+ Added custom round and constant support for ChaCha20 algorithm
+ Added "Edit Title" to window context menu - changes the title of the window
+ Added AES GCM block mode (GCM tag is expected to be appended to the ciphertext)
+ Added Custom padding mode (enter any single byte to use as padding)
+ Added option to compute hash of output during encrypt/decrypt
+ Added support for PEM private RSA PKCS#8 keys
+ Added ECDH-secp256k1, ECDH-ED25519, and Curve25119 key exchanges as derive functions (will ask for Other's Public Key)
+ Added ability for algorithms to change UI labels as appropriate (e.g. "Raw RSA" uses "Modulus" and "Exponent" instead of "Key" and "IV")
+ Added ability for algorithms to enable/disable supported key format radio buttons
+ Added ability for algorithms to accept no key (e.g. ROT13, CertUtilEncode)
+ Added AutoIT (MT) RNG algorithm
+ Added checkbox to toggle syncronized scrolling of hex views
+ Added support for "Drop N" to RC4 algorithm (parses as an integer string)
+ Added coloring of 0x00 bytes in hex views (dark gray)
+ Added Sosemanuk algorithm and unit test
+ Added CRC32 and MD4 hash algorithms
+ Added String Encoder tool - convert between ASCII/UTF8/UTF16 strings and bytes
+ Added export of public/private keys to clipboard in RSA Calculator
+ Added ASN.1 export to RSA Calculator
+ Added OAEP_SHA1, OAEP_SHA256, OAEP_384, and OAEP_512 padding modes (for RSA)
+ Added custom "Position" (Advanced -> Custom) to manually set the stream position used in Salsa20/ChaCha20
+ Added custom "Matrix" (Advanced -> Custom) to manually set the initial state used in Salsa20/ChaCha20 (parses the key, nonce, constant, and stream position)
+ Added support for CNG RSA key blobs in Blob Analyzer, RSA Calculator, and for encrypt/decrypt
+ Added "Sum XOR" stream cipher - a running sum is created from each byte of the key and XOR'd with the plaintext (i.e. seen in MountLocker ransomware)
+ Added "RC4 Custom Sbox" algorithm (parses as an integer string)
+ Added checkbox for appending Input text or base64
+ Added ability to reverse input bytes (Advanced -> Reverse Input Bytes)
+ Minor updates to library dependencies
+ Fixed AES CFB mode decryption for inputs not % blocksize (overcomes bug in .NET provider)
+ Fixed ECB mode to ignore IV if provided
+ Fixed HiddenTear preset
+ Fixed Generate Keystream operation using offset > 0
+ Added support for offset < 0 to Generate Keystream operation (syncs end of file relatively based on smaller file)
+ RSA Calculator now calculates N from P and Q if not provided
+ Fixed support for ASN.1 private RSA PKCS#1 keys that have an outer sequence
+ Fixed support for ASN.1 public RSA PKCS#1 keys that have an inner sequence
+ Fixed import/use of PEMs with missing positive byte marker on parameters
+ Fixed crash on short key found in Bruteforce Keys tool
+ Fixed Base Encoder to accept larger inputs
+ Fixed RSA key verification to allow other solutions for D (was causing verification to fail on legitimate keys)
+ Fixed hex views scrolling two lines instead of one per scroll click
+ Fixed hex views synced scrolling with scrollbar and keys
+ Fixed File Option -> Offset to assume relative to end of input if parsed value is negative
+ Fixed duplicate output from Key Finder when it was opened and closed multiple times
- Removed ECB analysis in Compare (wasn't working correctly)
|_ Replaced with Hash Analysis (checks for digest of Original in Encrypted)

https://twitter.com/demonslay335/status/1365374560573526022

safety

Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows



У специалистов по реагированию на инциденты есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.

Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь отсортировать записи, имеющие отношение к расследованию.
Создан для специалистов по реагированию на инциденты

Журналы событий Windows - это реестр действий системы, содержащий сведения о приложениях и логинах пользователей.

Сложность проверки этих записей заключается в том, что их много, особенно в системах с высоким уровнем ведения журнала; поиск нужной информации может и может быть трудоемкой задачей.

Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении Countercept F-Secure, Chainsaw - это утилита командной строки на основе Rust, которая может просматривать журналы событий и выделять подозрительные записи или строки, которые могут указывать на угрозу.

Инструмент использует логику обнаружения Sigma rule для быстрого поиска журналов событий, имеющих отношение к расследованию.

«Chainsaw также содержит встроенную логику для обнаружения вариантов использования, которые не подходят для правил Sigma, и предоставляет простой интерфейс для поиска в журналах событий по ключевому слову, шаблону регулярного выражения или по конкретным идентификаторам событий».

F-Secure заявляет, что Chainsaw специально разработан для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.

В таких случаях специалисты, реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.

Пользователи могут использовать этот инструмент для следующих действий:

Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
Брутфорс локальных учетных записей пользователей
Логины RDP, сетевые логины и т. д.

Chainsaw, доступный как инструмент с открытым исходным кодом, использует библиотеку синтаксического анализатора EVTX и логику обнаружения, обеспечиваемую библиотекой TAU Engine от F-Secure Countercept. Он может выводить результаты в таблице ASCII, CSV или JSON.

https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/

https://github.com/countercept/chainsaw/releases/download/v1.0.2/chainsaw_x86_64-pc-windows-msvc.zip

safety

Microsoft выпустила Linux-версию очень популярной утилиты системного мониторинга Sysmon для Windows, позволяющую администраторам Linux отслеживать устройства на предмет вредоносной активности.

Для тех, кто не знаком с Sysmon (он же Системный монитор), это инструмент Sysinternals, который отслеживает систему на предмет вредоносной активности, а затем записывает любое обнаруженное поведение в файлы системного журнала.

Универсальность Sysmon проистекает из способности создавать пользовательские файлы конфигурации, которые администраторы могут использовать для отслеживания определенных системных событий, которые могут указывать на злонамеренную активность в системе.
Sysmon перенесен на Linux

Сегодня Марк Руссинович из Microsoft, соучредитель пакета служебных программ Sysinternals, объявил, что Microsoft выпустила Sysmon для Linux как проект с открытым исходным кодом на GitHub.

В отличие от Sysmon для Windows, пользователи Linux должны будут сами скомпилировать программу и убедиться, что у них есть все необходимые зависимости, с инструкциями, представленными на странице проекта GitHub.

Важно отметить, что для компиляции Sysmon вы должны сначала также установить проект SysinternalsEBPF.

После компиляции Sysmon вы можете увидеть файл справки, набрав sudo ./sysmon -h

После запуска Sysmon начнет регистрировать события в файле / var / log / syslog. Если вы не указали файл конфигурации для ограничения того, что регистрируется, вы обнаружите, что ваш файл системного журнала быстро увеличивается по мере запуска и завершения новых процессов.

Чтобы упростить фильтрацию журналов для определенных событий, вы можете использовать утилиту sysmonLogView для отображения событий, которые вы ищете.

Идентификаторы текущих событий, которые Sysmon для Linux может регистрировать, перечислены ниже:

1: SYSMONEVENT_CREATE_PROCESS
2: SYSMONEVENT_FILE_TIME
3: SYSMONEVENT_NETWORK_CONNECT
4: SYSMONEVENT_SERVICE_STATE_CHANGE
5: SYSMONEVENT_PROCESS_TERMINATE
6: SYSMONEVENT_DRIVER_LOAD
7: SYSMONEVENT_IMAGE_LOAD
8: SYSMONEVENT_CREATE_REMOTE_THREAD
9: SYSMONEVENT_RAWACCESS_READ
10: SYSMONEVENT_ACCESS_PROCESS
11: SYSMONEVENT_FILE_CREATE
12: SYSMONEVENT_REG_KEY
13: SYSMONEVENT_REG_SETVALUE
14: SYSMONEVENT_REG_NAME
15: SYSMONEVENT_FILE_CREATE_STREAM_HASH
16: SYSMONEVENT_SERVICE_CONFIGURATION_CHANGE
17: SYSMONEVENT_CREATE_NAMEDPIPE
18: SYSMONEVENT_CONNECT_NAMEDPIPE
19: SYSMONEVENT_WMI_FILTER
20: SYSMONEVENT_WMI_CONSUMER
21: SYSMONEVENT_WMI_BINDING
22: SYSMONEVENT_DNS_QUERY
23: SYSMONEVENT_FILE_DELETE
24: SYSMONEVENT_CLIPBOARD
25: SYSMONEVENT_PROCESS_IMAGE_TAMPERING
26: SYSMONEVENT_FILE_DELETE_DETECTED
255: SYSMONEVENT_ERROR

Как видите, многие из этих событий не относятся к Linux, например, события реестра или WMI, поэтому вам нужно будет соответствующим образом скорректировать конфигурацию.

Sysmon - это мощный инструмент, широко используемый в средах Windows как часть набора инструментов безопасности организации.

С добавлением Linux целый новый сегмент системных администраторов может использовать его для обеспечения бесплатного мониторинга системы на предмет вредоносной активности.

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-linux-version-of-the-windows-sysmon-tool/