Ныне модно называть это не гейтом, а панелькой. В общем похуй, процесс обновление стилера идёт. Не очень-то и полным ходом, но всё же идёт. Сейчас вот закончил (не факт, но надеюсь на это) быдлокоденг панельки. Скрин сего чуда кликабелен:

Я отказался от старой концепции (ну ебать как это слово не подходит предложению со словом "ебать") хранения отчетов на хосте. Учитывая выпил такой фичи как файловый (и остальной тоже) граббинг, весьма удобным будет хранение отчетов в одной папочке. Сейчас сам обкатываю и пытаюсь сделать удобнее. Некоторые элементы дизайна было нагло спижжены у WSO, ибо красиво.

А вообще пиздец как это можно было раньше юзать. Мне это неизвестно, ибо вот только сейчас я сам начал юзать стилер (пиздец эпичный ебанизм, да?).

По секурности гейта - тут всё осталось по-прежнему, надо менять папочку, в которую складируются отчеты и всё будет ок (пока какой-то хацкер не найдет ебанутейшей уязвимости в этой сотне строк).

Короче говоря, апдейт точно будет, точнее сказать пока хуй выйдет.

Злые хацкеры добрались и до стилера - поломали его в сраные дрова. Теперь без памперса открывать отчеты - что яйца в блендер совать. Открываете отчет, в темп вам дропается бинарь и запускается. В отчете, что прислали мне, был спрятан билд самого же UFR'а. Отчет со спрятанным EXE будет большим (за <5кб отчеты думаю напрягаться не стоит).

Вся поебота из-за говнокода парсера - переполнение буфера, ёмаё. И ВОТ НАХУЯ БЫЛО МНЕ ПОСТИТЬ СОРЦЫ ПАРСЕРА БЛЯДЬ?!

В общем, нужно ждать опдейта. Хотя далеко не факт, что там не будет другой подобной хуйни - всегда нужно быть на стрёме!

И еще: спасибо добрым людям за содействие о собщение об оном багесе; спасибо злым хацкерам что... ковыряетесь в моем говнокоде?

Первое - в апдейте есть весьма эффективный и простой касперо-отсасывающий элемент - упаковка UPX'ом по дефолту. После этого дексорист нихуя сделать не может. Terrorist win.

Была сделана фича смены обоев рабочего стола. Для наглядности, эффектности и эффективности.

По мелочи - теперь есть фича дропа в авторан, а то вдруг хуюзер выключит тачку и забудет о файлеках своих - мы ему напомним. Еще есть опциональная фича дропа текстовиков с инфой (тот текст что вбивается в билдере - он пишется в эти фаелы) всюду. Эт сделано чтоб хуюзер не пропустил сей важный момент в своей жизни, ведь файлеки дропнутся и в Мои Документы, и в автозагрузку, и в меню Пуск->Программы тоже, по всему харду в общем.

Ну и на последок сделана фича быдло-скрытия: во всех дропнутых (билд в темпе, текстовики и картинка рабочего стола) и пошифрованных файлах дата изменения не меняется, ну чтоб не отследить момент запуска билда и источник заразы.

Линк на тулзу - Encoder Builder v2.4

САБЖ. Пацан повесился из-за локера. Ну что уж тут сказать-то. Если бы каждый дебил, увидев локер, вешался (а лучше самовыпил из огнестрела) — чесслова, дышать было бы гораздо легче.

Действительно жалко автора этого локера, которого ежели найдут - то посодют весьма жёстко. Вазонез не юрист, но уверен что впаяют по самые помидоры.

И да, эпичные тексты в локерах про ЦП, ФСБ и ФБР наконец-то на кого-то подействовали!

Вся проблема состоит в возможности рекавера файлов пошифрованных ксористом аверскими тулзами. Билд в одном месте компактно и уютно хранит инфу об используемом алгоритме и ключе, как не прячь - пореверсив можно достать. А что если банально упростить (хотя с другой стороны это будет усложнением) базовый алго - пусть билд сам выбирает алгоритм. Но тут тоже есть проблемы, ведь выбор будет происходить по каком-либо признаку в системе (или по рандому, но этот рандом нужно сохранять для декрипта), тут-то аверы и вылезут с тулзой.

Но есть еще один вариант - сам код шифрования делать рандомным. Оставить парочку базовых алгоритмов, пусть на этапе создания билда их можно выбирать, на их основе производить шифрование - но до или после обработки файлов оные дополнительно изменять, банальная цепочка add/sub/xor и т.п. Опять же появляется проблема - эту цепочку нужно как-то задавать и хранить, и делать это в конфиге - повторение ошибки. Тогда стоит делать это в коде, написать в стабе заготовку из цепочки команд и на этапе создания билда менять ключ (а если еще выебнуться - менять местоположение этого кода плюс банальное разбавление мусором). Хотя и на эту жопу можно найти решение, ответного дексориста надо будет только подождать.

Вообще, если полностью отказаться от хранения инфы в ресурсах и перенести всё в кодосекцию, прятки заметно упрощаются, любой пакер/криптор будет обламывать поиск ключа.

И да, как и ожидалось — супер-крипторы для облома тулзы не требуются: банальный упикс, сжимая ресурсы, делает автоматическое получение ключека невозможным.

Дексорист v2.22.2.0 (ололо-актуальная версия) конечно же восстанавливает файлеки текущей (v2.32) версии паблик-энкодера. Если юзать крипторы-инжекторы, которые по сути держат закриптованный фаел у себя в контейнере, то тулза идет лесом и нужно снятие крипта для получения ключа и рекавера файлов. Аффтары перекодели алго поиска конфига в ресурсах, теперь это не обращение с ресурсу с константным именем (что было в духе высера первокура), а энум всех ресурсов, попытка декрипта каждого и поиска в них метки. Метку достают из реестра — юзеру дают выбрать один из заксореных фаелов, смотрят его расширение, топают в HKEY_CLASSES_ROOT\%расширение%, узнают там строку для поиска в этом же разделе (чесслова не ибу как оно называется, просто рандомная строка, которая и указывает на раздел с инфой о местоположении дропнутого бинарника энкодера) - 15 рандомных для каждого билда символов латиницы. Ресурс декриптуют (первые 16 байт конфига - ключ для ксора), и ищут эту строку, если находят — то ключ определяют как верный и юзают его для декрипта.

По-другому не сделаешь, оно ведь перечисляет все ресурсы. Подсунуть перед реальным конфигом фейковый вполне реально - пара сотен рандомных байт, первые 16 обязательно рандомные, куда-нибудь внутрь них всунуть эту строку из реального ресурса и заксорить весь конфиг первыми 16-ю байтами и прицепить перед реальным конфигом, думаю файлеки будут убиваться на отлично. Как не изъебывайся, при таком алгоритме поиска конфига, такой вот хитро-невъебенный фэйковый конфиг можно будет делать всегда, варьироваться будет только уровень сложности и гиморности создания оного. Логичным было бы смотреть по коду какой он id ресурса юзает, но в реальности крипторы такую возможность жесткачем обламывают.

Самым же простейшим и адекватным является убивание самого бинаря энкодера, т.е. отсутствие дропа и самоудаление оригинального файла после работы. Тогда для компенсации нужно дропать скрипт/батнек с сообщением и в реестре ассоциировать с ним заксоренные файлы - чтоб юзер не забывал о необходимости платного рекавера файлов. Тогда в системе вообще не будет ключа. Вазонез не крипто-знаток, но без ключа, банальный 128-битный ксор является граблями. Хотя учитывая схожие хедеры файлов одного типа, 16 байт для ключа мало - на будущее нужно юзать килобайт и более.

Вполне вероятно, что если юзать обычное самоудаление (через консольку или батник), то файл можно вернуть и получить ключ. Себя нужно перезаписывать. Возможно это даже лучше самоудаления, вместо del %encoder% >> NUL исполнять что-то вроде dir > %encoder%.

С самоудалением же появляются грабли - реально ли юзеру вернуть файлы. Билд отработан, удален, файлы зашифрованы и при запуске оных отрабатывает скрипт с сообщением об оплате - как органично реализовать декрипт? В текущем состоянии, из-за массового употребления локеров (особенно те, в которых фича снятия по коду/времени не реализована вообще - убил бы, я против нечестного вымогательства, пиздец термин, ага), сообщения на форумах в духе "оплатил - файлы вернул" смотрятся как убогий пиар злых злядских злоумышленников, что печально. В этом варианте развития событий нихуя толкового и адекватного я придумать не могу. Второй бинарь для декрипта, а-ля жпкодэ - это хуёвничество, уж извините.