\¡¯\ªØ\»\­\«©\¡ñ\ªÓ\«¿\¡ë

by¢Â¡ø\«£\«³\³¢Â¢Ã\ª£\«³\¢´\«À\¢ð\ª¿\«Ñ

Petya¢Â¡ø\ª®\¡ò\¹\¢´¡ëª©¹©Á²½\«±\«Ñ\µ\«¢\¢Ã\¡ø\¡ñ

¢Â¢Â4·«Â3©¡«ä¹¹¢Ä·¢Â¡ò¡ëª©¹©Á²½\¹\­¢Â¼\«¢¢ðª³¢ðª£¢ð¢ð¢ð©¡¢ð«²¢ð«´¾ªä¢ð·¢ð¢´ª£ª±µ­¢ð·¢ð¢Ä¢Â¡ò


¢Â¢ÂPetya¢ðªÁ¼ªã¡ë­¢ðª´¢ðªÒ¢ðª¿¢ð«´¢ð¢Ì²ªª¢ð¡¯¢ð«±¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Ä·¢ð·¢ð¢ð\«±\«Ñ\µ\«¢\¢Ã\¡ø\¡ñ¢ðª¢¢Â¡ò\ª®\¡ò\¹\¢´¾«©¢ðªÂ\ªØ\¢Â\¢ð\«³¢ð«Ò¡ëª©¹©Á²½¢ð¹¢ð«³ª¤«©¢ð«Á¢ð«´¢ðª³¢Â¡ñ\ª®\¡ò\¹\¢´ª¡¡­ª¤ªÂ¢ð«Ò\«¿\ªª\¢´¢ð·¢ð©¡¢ðªå¢ðª²¢ð«Ñ¢ðª±»ª²¢ð¢ðª´¢ì¢ðª³¢ðª´¢ð«±¢ðª´¢ð¢ð¾«Øª¤ªÓ¢ðª³¢ð¹¢ð«³¢Â¡ò¢ù«Ðª¤ªÂª©¢ì¢ðª³¢ðªÁ¢Â¡ñ\ªØ\¢Â\¢ð\«³\·\¹\©¡\«¢¢ðªÂMFT¢Âª´master file table¢Âª³¢ð«Ò¡ëª©¹©Á²½¢ð¹¢ð«³¢Â¡ò¢ðª£¢ð©°¢ð«´OS¢ð«¢ð«±\ªØ\¢Â\¢ð\«³¢ðªÂ¡ëªÀªªªÓ¢ð¢Ì©¡ªªª£«´¢ðª®¢ð­¢ðª´¢ð¢´¢ðª´¢ð«³¢ð³¢ðª²¢ð«Ò¡ëªØªÀ¡ò¢ð¹¢ð«³¢Â¡òPetya¢ðªÁ¢Â¡ñ\ªÓ¢Â¼\ª²\­\ªª\ª²¢ðª²©¡¡Þª¿ª¿¢ðª³¼«¢Äª²¢ð«Ò\ª®\¡ò\¹\¢´¢ðªÂMBR¢Âª´master boot record¢Âª³¢ðª³\¢ð\«Ñ\¹\ª²¢Â¼\«³¢ð¹¢ð«³¢Â¡ò¢ð¢Ä¢ðª¢¢ð·¢Â¡ñª²«³ªÀ¢íªÂ¡ñ¢ðª³³«²©¡¡ë¢ð¹¢ð«³¢ðªÂ¢ðª®¢ðªÁ¢ðª´¢ð¢´¢Â¡ñª¢ªÓ¢ð¢ð²«²ªÀªÀ¾«©¢ðª³\·\¹\©¡\«¢¢ð«Òª±«äµ«À¢ð¹¢ð«³ª´«òª³¢Â¢ðª³¢ðª£¢ð¢ð¢ð©¡¢ðªÂª¢«¤ªÀª¢¢ð«Òª±½¼¡¯¢ð¹¢ð«³¢Â¡ò

¢Â¢ÂMFT¢ð«Òª¡ª¢¢ð¢Ã¢ðª²ª¡ª®ª¡«¡¢ð¢´¹¢ù·«¤¢ðª®¢ð­¢ð«³¢Â¡ò\ª®¢Â¼\¢Ä\ªØ\¢Â\¢ð\«³¢ð«Ò¡ëª©¹©Á²½¢ð¹¢ð«³¢ð«²¢ð«´¢ùª³¢ð«¡¢ð©¡ªª»»©Ð¡­ªÓ¢ðª®¢ëªÐ¢ð«¢¢ðªÂ¢ðª¢¢Â¡ò¢ð½¢ð«À¢ðª®¢ð«¤ª¡¡­ª¤ªÂª©¢ì¢ðª´·«³²ªÀ¢ðª²¢ð·¢ð©¡¢ðªÁ¡ëª©¹©Á²½¢ðª²©¡¡Þ¢ð¢±¢Â¡ñ¢ð¹¢ðª´¢ð«Á¢ðª¡\ª®¢Â¼\¢Ä¢ðª³\¡ñ\¢´\»\¹¢ðª®¢ð­¢ðª´¢ð¢´¢ðª´¢ð«³¢Â¡ò

Petya, Press Any Key!

¢Â¢ÂPetya¢ðªÁ2ªªª´³¢Ì¢ðª®¼ª¤¹ªÔ¢ð¹¢ð«³¢Â¡òª¤«²1ªªª´³¢Ì¢ðªÁ\«¡\¢ð\«Ñ¢ðªÂ\ª±\«¿\ªª\ªÐ¢Â¼¢ðª®¢Â¡ñ¡ëª´²¼¢ð«Ò¼ª¤¹ªÔ¢ð¹¢ð«³¢Â¡ò

  • \\.\PhysicalDrive¢ð«Òª£¾ª¢ªäª¡«¢¢ë«Â¢ð·¢ð©¡MBR¢ðª³¡­¢ùª¢¡à¢ðµ¢ð»¢ð«³
  • ¡ë«ÀªÁ¡ñ¢ðªÂ¡ëª©¹©Á\­¢Â¼¢ð«Òª¢¢±ª¢¢î¢ð¹¢ð«³¢Â¡ò¢ð³¢ð«À¢ðª³¢ðªÁ16\Ð\¢ð\ª²¢ðªÂ\«±\«Ñ\ª¢\«¢¢ðª´\ª®\¡ò\¹\¢´¡ëª©¹©Áª¿ªÐ¢ðªÂ\­¢Â¼¢ðª²ª¤ª´¡Þ©Î¡ëª©¹©Á¢Âª´EC¢Â¡ñElliptic Curve¢Âª³¢ðªÂ\­¢Â¼\ªâ\¡ñ¢ð¢Ì¡­©°¢ð©°¢ð«À¢ð«³¢Â¡ò¢ð³¢ðªÂ»©Ðª©ª¢¢ðª®¢Â¡ñ©¡ªªª´ªÀ¢ðª´¢ÂªÓª±«ä¹©Á\³¢Â¼\ª±¢Â¡ß¢ð«¤ª¿ªÐ¡ëªØ¢ðµ¢ð«À¢ð«³
  • ¢ð¡ñ¢ðª²¢ðª®MBR¢ðª³¡­¢ùª¢¡à¢ð·¢ð¢Ä\³¢Â¼\ª±¢ðª®»ª²¢ð¢Ã¢ð¢Ä¢ð«¡¢Â¡ñ\ª®\¡ò\¹\¢´¢ðªÂ¡ëª©¹©Á\­¢Â¼¢ðª²ª±«ä¹©Á\³¢Â¼\ª±¢ð«Ò\ª®\¡ò\¹\¢´¢ðª³ª´ªòª¤¢±¢ð¹¢ð«³¢Â¡ò¢ð½¢ðªÂª¤¾¢ðªÂª¢¢±ª¢¢î¢ðµ¢ð«À¢ð¢Ä¡ëª©¹©Á\ª®¢Â¼\¢Ä¢ðªÁ¢ð¹¢ðªã¢ð©¡ª®ª³¡­©Ð¢ðµ¢ð«À¢ð«³
  • ¢ðª´¢ð«Ñ¢ðªÂ·ªã¹©Ã¢ð«¤¢ðª´¢ð·¢ðª³\©°\·\«Ñ¢ð«Ò\·\«ª\ªª\ª²\ª¢\¢Ã\«Ñ¢ð·¢Â¡ñMBR¢ðªÂ\³¢Â¼\ª±¢ðª®\ªÓ¢Â¼\ª²¢ð¹¢ð«³

¢Â¢ÂPetya¢ðªÁª²«Ñª¤Ð¾ªÂ\­¢Â¼¢ðª³¢ð«²¢ð«³¡ëª©¹©Á²½¢ðª²ª²ª¤ª¡¡à¢ðªÂ¢ð¢Ä¢ð«¡¢ðª³¢Â¡ñª¤ª´¡Þ©Î¢ùª´ª¢©Ð¡ëª©¹©Á\¹\­¢Â¼\«¢¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢ð¢ð¢ð«³¢Â¡ò192\ªÑ\ªª\ª²¢ðªÂ¢±©Ì³«¢±¡ë¢ðª²secp192k1¢ùª´ª¢©Ð\ªÐ\«±\«¡¢Â¼\¢Ä¢ðªÁ¢Â¡ñ\ª±\«¿\ªª\ªÐ¢Â¼¢ðªÂ\Ð\¢ð\ª´\«´¢ðª³\ªÁ¢Â¼\ª±\³¢Â¼\ª®\¡ò\«Ñ\¡ë¢ðµ¢ð«À¢ð©¡ª®ªå¢Ä¢î¢ðµ¢ð«À¢ð«³¢Â¡òPetya¢ðªÁ\µ¢Â¼\Џ¢ðªÂ¢±©Ì³«¢±¡ë¢ð«Ò¼«²©¡ª¢¢ð·¢Â¡ñECDH¢Âª´Elliptic Curve Diffie-Hellman¢Âª³\¡ñ\«³\¡­\«´\¢ë\«¢¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢ù¢Ãª¿­¢ðªÂª²«³ªÀ¢í¢±¡ë¢ð«Ò¹½ªªªå¢ð¹¢ð«³¢Â¡ò¢ð³¢ðªÂ¢ù¢Ãª¿­ª²«³ªÀ¢í¢±¡ë¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡16\Ð\¢ð\ª²¢ðªÂ\ª®\¡ò\¹\¢´¡ëª©¹©Á\­¢Â¼¢ð«ÒAES¡ëª©¹©Á²½¢ð¹¢ð«³¢Â¡ò¢ù¢Ãª¿­ª²«³ªÀ¢í¢±¡ë¢ðªÁ¢ð³¢ðªÂ\©°\«³\¢Ã\¡ø\¡ñ¢ðª²\µ¢Â¼\Џ¢ð·¢ð«»ª²ª¿ªÐ¢ðª®¢ð­¢ðª´¢ð¢ð¢Â¡ò\Ð\¢ð\ª´\«´¢ð«ÒASCII¢ðª³\¡¯\«Ñ\³¢Â¼\ª®\¡ò\«Ñ\¡ë¢ð¹¢ð«³Base58¢ðª³¢ð«²¢ð«´¢Â¡ñ¢ð³¢ðªÂ\©°\«³\¢Ã\¡ø\¡ñ¢ðªÂª¤ª´¡Þ©Î¢ùª´ª¢©Ð¢ðªÂ¢±©Ì³«¢±¡ë¢ðª²¢ð¢ð¢ðªª¢ð·¢ð«®¢ðª³\ª®\¡ò\¹\¢´¡ëª©¹©Á\­¢Â¼¢ð«Ò\ªÐ\ªª\¡Þ¢Â¼\¢±¢ð¹¢ð«³¢Â¡ò¢ð³¢ð³¢ðª®©¡ª¢¢ð«±¢ð«À¢ð«³\ªÐ\ªª\¡Þ¢Â¼\¢±¢ð¢Ì¢Â¡ñ¢±«©¢ðª³ª¢ªÓ¢ð¢ð\¹\¢´\«´¢Â¼\«Ñ¾«©¢ðª®ª£«Ñ¼¡¯¢ðµ¢ð«À¢ð«³¢ÂªÓª±«ä¹©Á\³¢Â¼\ª±¢Â¡ß¢ðª®¢ð¡ñ¢ð«³¢Â¡ò

Petya physdrive
Petya\ª±\«¿\ªª\ªÐ¢Â¼¢ðª³¢ð«²¢ð«³Physicaldrive¢ðªÂª¡«¢¢ë«Â

Petya server pubkey
\ª±\«¿\ªª\ªÐ¢Â¼©¡«¤ª±«Ô¢ðª³¢ð¡ñ¢ð«³Petya\µ¢Â¼\Џ¢ðªÂª¤ª´¡Þ©Î¢ùª´ª¢©Ð¡ëª©¹©Á¢ðªÂ¢±©Ì³«¢±¡ë

Petya ecc params
\ª±\«¿\ªª\ªÐ¢Â¼©¡«¤ª±«Ô¢ðª³¢ð¡ñ¢ð«³Petya¢ðªÂsecp192k1¢ðªÂ¢ùª´ª¢©Ð\ªÐ\«±\«¡¢Â¼\¢Ä

Petya encode pubkey
ASCII\¡¯\«Ñ\³¢Â¼\ª®\¡ò\«Ñ\¡ë¢ðªÂPetya\ª±\«¿\ªª\ªÐ¢Â¼¢ðªÂª¤ª´¡Þ©Î¢ùª´ª¢©Ð¡ëª©¹©Á¢ðªÂ¢±©Ì³«¢±¡ë

Petya gen salsa20 key
Petya\ª±\«¿\ªª\ªÐ¢Â¼¢ðªÂsalsa20\Ð\¢ð\ª²ªÂ«Ñ¢ðªÂª¢¢±ª¢¢î

¢Â¢Â¡­¢ùª¢¡à¢±«©¢Â¡ñ\©°\·\«Ñ¢ðªÁMBR¢ðªÂ\³¢Â¼\ª±¢ðª®\ªÓ¢Â¼\ª²¢ð¹¢ð«³¢Â¡ò¢ð³¢ð«À¢ðªÁ¡ëª´²¼¢ðªÂ¢ð«²¢ð¢Ã¢ðª³¢ðª´¢ð«³¢Â¡ò

  • ¢ð©°¢ð¢ë\ª®\¡ò\¹\¢´¢ð¢Ì¡­¢ùª¢¡à¢ð·¢ð©¡¢ð¢ð¢ð«³¢ð«¢ð«Ò³ªÂª®¡ø¢ð¹¢ð«³
  • ¡­¢ùª¢¡à¢ð·¢ð©¡¢ð¢ð¢ðª´¢ð¡Þ¢ð«À¢ðе¢ù¢ðªÂCHKDSK²«²ªÀªÀ¢ð«Òª±½¼¡¯¢ð·¢Â¡ñ¡ëª©¹©Á\­¢Â¼¢ðª³¢ù¢Ãª¿­ª²«³ªÀ¢í\­¢Â¼¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡MFT¢ð«Ò¡ëª©¹©Á²½¢ð¹¢ð«³
  • \ª®\¡ò\¹\¢´¢ðªÂ¡ëª©¹©Á²½¢ðª³salsa20¢ð«Òª¿ªÐ¢ð¢ð¢ð«³¢Â¡ò¡ëª©¹©Á²½¢±«©¢ðªÁª©«Ó³¢ë\­¢Â¼¢ð«Òª®ª³¡­©Ð¢ð¹¢ð«³
  • ª¢ªÓ¢ð¢ð¢ÂªÓ\¹\«\«³\¹\¢´\«´¢Â¼\«Ñ¢Â¡ß¢Â¡ñª¤³¢ð¢ð¢ð©¡Tor¢ðªÂ¡Þ¡ò¢ð·\µ¢Â¼\ªÑ\¹¢ðªÂURL¢ð¢Ì¢ð¡ñ¢ð«³²«²ªÀªÀ¢ðª²¢ÂªÓª±«ä¹©Á\³¢Â¼\ª±¢Â¡ß¢ð«Òª±½¼¡¯¢ð¹¢ð«³¢Â¡ò¢ÂªÓª±«ä¹©Á\³¢Â¼\ª±¢Â¡ß¢ðª²¢ðªÁ¢Â¡ñ\µ¢Â¼\Џ¢ðª®¢ð·¢ð«³«¢ð¡Þ¢ðª´¢ð¢ð¡ëª©¹©Á²½¢ðµ¢ð«À¢ð¢Ä\«¡\ªª\»¢Â¼\¢±¢ðª®¢ð¡ñ¢ð«³
Petya debug environment
Petya¢ð¢Ì¡­ª£¢ù­¢ð«Ò¼«²¢ð«´ªÀ«¡¢ð¹¢ðª²¢ð³¢ð«¿

petya_disk_encryption
salsa20¢ðª®\ª®\¡ò\¹\¢´¢ð«Ò¡ëª©¹©Á²½¢ð¹¢ð«³¢ëªò¢ðªÂ¢Â¡ñµ¢ù¢ðªÂ¢ÂªÓCHKDSK¢Â¡ß¢ðª³¡­©¬¢ð¹¢ð«³MBR¢ðªÂ\³¢Â¼\ª±

Petya salsa20 expand32
MBR¢ðª³ªªªÓ¢ð«¢ð«À¢ð«³salsa20¢ðªÂ\³¢Â¼\ª±

¢Â¢Âª¤ª´¡Þ©Î¢ùª´ª¢©Ð\¡ñ\«³\¡­\«´\¢ë\«¢¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¡ëª©¹©Á\­¢Â¼¢ð«Òª±«ä¹©Á¢ðª®¢ð­¢ð«³¢ðªÂ¢ðªÁ¢Â¡ñ¢ð«¤¢ðªÁ¢ð«£\µ¢Â¼\Џ¢ð·¢ð«¢ðª´¢ð¢ð¢Â¡ò¢ð³¢ð«À¢ðªÁ\©°\«³\¢Ã\¡ø\¡ñ¢ðª³¢ð«²¢ðªª¢ð©¡\­¢Â¼¢ð¢Ìª®ª³¡­©Ð¢ðµ¢ð«À¢ð¢Ä¢ð¢Ä¢ð«¡¢ðª¢¢Â¡ò¢ð©°¢ð¢Ä¢Â¡ñ¢ð¢Ä¢ðª²¢ð¡¯ª®ª³¡­©Ð¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ðª´¢ð«¢ðªª¢ð¢Ä¢ðª²¢ð·¢ð©¡¢ð«¤¢Â¡ñ\©°\·\«Ñ¢ð¢Ì\«¿\ªª\¢´¢ðµ¢ð«À¢ð©¡»ª²¢ð¡¯¢ðª´¢ð¢ð¢ð©°¢ð©°¢ðª¢¢Â¡ò\«´\«\Ð\«´\ª®\¡ò\¹\¢´¢ðª®MBR¢ð«Òª±«äµ«À¢ð·¢ð¢Ä¢ðª²¢ð·¢ð©¡¢ð«¤ªÀ«Ò¢ðª³¢ðªÁªÂ¢í¢ð¢Ä¢ðª´¢ð¢ð¢ðª¢¢ð«¿¢ð¢Ã¢Â¡ò¢ðª´¢ð¼¢ðª´¢ð«±MFT¢ð¢Ì¢ð¢ð¢ð©°¢ðª¢¡ëª©¹©Á²½¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢ð«¢ð«±¢ðª¢¢Â¡òª¿«òªÁª¢¾«©¢ðªÁ¢ù¢Ãª¿­ª²«³ªÀ¢í¢±¡ë¢ð«Òª±«äµ«À¢ð·¢ð©¡¢Â¡ñ\«´\«\Ð\«´\ª®\¡ò\¹\¢´¢ðª®\ª®\¡ò\¹\¢´¡ëª©¹©Á²½\­¢Â¼¢ð«Òª±«ä¹©Á¢ð·¢ð©¡ªÀ«¡¢ð¹¢ð³¢ðª²¢ðªÁ²ª£ª®½¢ðª¢¢Â¡ò¢ð·¢ð«¢ð·¢ð½¢ðªÂ¢ð¢Ä¢ð«¡¢ðª³¢ðªÁ¢Â¡ñ¢±µ¢Â¹¢ðªÂª¤ª´¡Þ©Î¢ùª´ª¢©Ð¡ëª©¹©Á¢ðªÂ\­¢Â¼\ªâ\¡ñ¢ð«Ò©¡©Ð¼«´¢ð·¢ðª´¢ð¡Þ¢ð«À¢ðЏ¢ðª´¢ð«±¢ðª´¢ð¢ð¢ðªÂ¢ðª¢¢ð¢Ì¢Â¡ñª±¢Ìª¿¡ß¢ðª´ª¤ª´¡Þ©Î¢ùª´ª¢©Ð¢ðªÂ\ª®¢Â¼\¢Ä¢ðªÁ¢ð¹¢ðªã¢ð©¡\ª±\«¿\ªª\ªÐ¢Â¼¢ð¢Ìª®ª³¡­©Ð¢ð·¢ð©¡¢ð·¢ð©°¢ðªª¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð³¢ð«À¢ðªÁ¢ð©°¢ð«³¢ðª®²ª²¢ðª³©¡©Ð¢ð«³¢ð¢Ä¢ð«¡¢ðªÂ¢±¡ë¢ð¢Ì2¢ðª£¢ð¡ñ¢ðªª¢ð©¡¢Â¡ñ¡ëªØ¢Ä©°ª©¢ì¢ðª³ª´ªÒª´«ò¢ð«ÒªÀµ¢ð¢´¢ð·¢ð¢Ä¢ð«²¢ð¢Ã¢ðª´¢ð«¤¢ðªÂ¢ðª¢¢Â¡ò

¢Â¢Â\µ¢Â¼\Џª¤¢Ã¢ðª®¢ðªÁ¢Â¡ñª±«ä¹©Á\³¢Â¼\ª±¢ðªÂ\ª®\³¢Â¼\ª±¢ð¢ÌµªØ¢ðªÂ½«®ª²ªÓ¢ðª®¹ªÔ¢ð«Á¢ð«À¢ð«³¢ð³¢ðª²¢ð¢Ìª¡ªåª£«´¢ðµ¢ð«À¢ð«³¢Â¡ò

  • Base58¢ðª®ª±«£¹©Á²½¢ðµ¢ð«À¢ð¢Ä\Ð\¢ð\ª´\«´\ª®¢Â¼\¢Ä¢ð«Ò\ª®\³¢Â¼\ª±¢ð¹¢ð«³
  • \©°\«³\¢Ã\¡ø\¡ñ¢ðªÂ¢±©Ì³«¢±¡ë¢ðª²¡ëª©¹©Á²½¢ðµ¢ð«À¢ð¢Ä\ª®¢Â¼\¢Ä¢ð«Òª©¢±³«¢ð¹¢ð«³
  • ¢±©Ì³«¢±¡ë¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢Â¡ñ¢ù¢Ãª¿­ª²«³ªÀ¢í¢±¡ë¢ð«Ò¹½ªªªå¢ð¹¢ð«³
  • ¢ð³¢ðªÂ¢ù¢Ãª¿­ª²«³ªÀ¢í¢±¡ë¢ð«Òª¿ªÐ¢ð¢ð¢ð«³¢ðª²¢Â¡ñ\µ¢Â¼\Џ¢ðªÁAES¢ð«Ò»ª²¢ðªª¢ð©¡\ª®\¡ò\¹\¢´¡ëª©¹©Á²½\­¢Â¼¢ð«Òª±«ä¹©Á¢ðª®¢ð­¢ð«³
  • ¢ð³¢ð³¢ðª®¹¢ù·«¤¼ªÔ¢ðªÁ¢Â¡ñ\«¿\ªª\¢´¢ðµ¢ð«À¢ð¢Ä\©°\·\«Ñ¢ð«Ò²«Òª´«ä¢ðª®¢ð­¢ð«³¡ëª©¹©Á²½\­¢Â¼¢ð«Ò¢±µ¢ðª³ªÀ«¡¢ð¹¢ð³¢ðª²¢ð¢Ì¢ðª®¢ð­¢ð«³

¢Â¢Â¡ë«ÀªÂ«ª¢ðª²¢ð·¢ð©¡¢Â¡ñª©«Ó¼ªÒ¢ðªÂ\«±\ªä¢ðªÂ\©°\·\«Ñ¾«©¢ðªÂª±«ä¹©Á\³¢Â¼\ª±¢ðªÂ1¢ðª£¢ðªÁ¼¢Â¢ðªÂ¢ð«²¢ð¢Ã¢ðª³¢±«¢ð¡¯¢ð«³¢Âª´\ªÁ\¢ð\ªØ\«Ñ¢ðª²ª¢«²©¡¢Ì¢ðªÂ2ª´¢±»«â¢ðªÁ¢ë«Á½«ä¢Â¡ò\µ¢Â¼\Џ¢ðªÁ¢ð³¢ð«À¢ð«Ò\ª®\³¢Â¼\ª±¢ðª³»ª²ª¿ªÐ¢ð·¢ðª´¢ð¢ð¢Âª³¢Â¡ò

Q5rL1YMqnJPCsCgji4KcDv5XnQrtqttBQ7tfbAq7QStmTXNQ6Voepeaiem8uzaQxYq3LwpvMCXBvMx2Mmqkdt8Fi

¢Â¢Â¢ð³¢ðªÂ\³¢Â¼\ª±¢ð«Òª±¢±½«¢¢ðªÂBase58\¡ñ\«³\¡­\«´\¢ë\«¢¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡\ª®\³¢Â¼\ª±¢ð¹¢ð«³¢ðª²¢Â¡ñ¡ëª´²¼¢ðªÂ\ª®¢Â¼\¢Ä¢ð¢Ìª¢¢±ª¢¢î¢ðµ¢ð«À¢ð«³¢Âª´ª¢«¤ªÀª¢¢ðªÂ¢ð¢Ä¢ð«¡¢ðª³¢Â¡ñ\©°\«³\¢Ã\¡ø\¡ñ¢ð¢Ìª¢¢±ª¢¢î¢ð¹¢ð«³¢±©Ì³«¢±¡ë¢ð«ÒªÂЏ¢ðª®¢Â¡ñ\ª®\¡ò\¹\¢´¢ð«Ò¡ëª©¹©Á²½¢ð¹¢ð«³\­¢Â¼¢ð«Òª¢ªÓ¢ðª®¼¡¯¢ð¹¢Âª³¢Â¡ò

Petya decryption code opened

¢Â¢Â\µ¢Â¼\Џ¢ðªÂ\©¬\«³\¡ßªÀµ¢ð·¢ðª®\©°\·\«Ñ¢ð«Òª±«äµ«À¢ð¹¢ð«³ª¿¡ò¡ë«À¢ðªÂª´«òª³¢Â¢ðªÁ¢Â¡ñ\ª®\Ð\ªª\¢Ì¢ð«Ò»ª²¢ðªª¢ð©¡¡­¢ùª¢¡à\¡ß\«¿\»\¹¢ðªÂª©ªÑªª©Á¢ðª®salsa20¢ðªÂ\­¢Â¼¢ð«Òª´«¡ª¤¢ì¢ð¹¢ð«³¢ð³¢ðª²¢ðª¢¢Â¡ò¢ð³¢ð«À¢ðªÁª£ªÀ¾«Á¢ðªÂ\³\«Ñ\ªÔ\«©¢Â¼\¢Ä\©Á¢Â¼\¢ù¢ðª³¢ðª²¢ðªª¢ð©¡¢ðªÁ¢Â¡ñ¢ð¡ñ¢ð©°¢ð«´ªÀ\ªÂªÁª©¢ì¢ðª´ª¤Ð¹³¼«´ªªª´¢ðª®¢ðªÁ¢ðª´¢ð¢ð:)¢Â¡ò

\ª²\«´\ªÑ\¡ñ¢Â¡ø

  • Petya¢ðªÁ¢ð³¢ðª¡¢ð«±¢Âª´https://github.com/alexwebr/salsa20¢Âª³¢ðªÂsalsa20¢ðªÂ¼ª¤ª¡«Ø¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢ð¢ð¢ð«³¢ð«²¢ð¢Ã¢ðª¢
  • Petya¢ðªÁ³ªÂ¼ª¤¢ðª³¢ÂªÓEvil Maid CHKDSK¢Âª´https://github.com/alexwebr/evilmaid_chkdsk¢Âª³¢Â¡ß¢ðªÂ¡Þ©¡¢ùª¡¢ð«Ò¼«Ø¢ð¡Þ¢ð©¡¢ð¢ð¢ð«³

Sofacy¢ð¢ÌCarberp¢ðª²Metasploit¢ðªÂ\³¢Â¼\ª±¢ð«Ò¢ë©¡ª¿©Ìª¿ªÐ¢ð¹¢ð«³

1. ¢ð©°¢ð¡¯¢ð¢Ì¢ð­

¢Â¢ÂSofacy Group¢Âª´Pawn Storm¢ð©°¢ð¢Ä¢ðªÁAPT28¢ðªÂª´ªÀªÀ¾¢ðª®¢ð«¤ªªªÂ¢ð«±¢ð«À¢ð«³¢Âª³¢ðªÁ¢Â¡ñª²«¢¢ð«±¢ðªÂ»ª©³ªò¢ð¡Þ¢ð«³APT\­\«ª\«Ñ\ªâ¢Â¼\«Ñ¢ðª³¢ð¢ì¢ð¢ð¢ð©¡\¼\«¿\ª®\¢ð\¡¯\¢´\¹\¡ß\«¿\¢ð\ª²¢ð«Ò\ª®\¡ß\«¿\¢ð¢ð¹¢ð«³¢ð³¢ðª²¢ðª®¢ð«²¢ð¢´ªªªÂ¢ð«±¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¡ë«ÀªÂ«ª¢ð«Òµ«Ñ¢ð²¢ð«³¢ðª²¢Â¡ñSofacy Group¢ð¢Ì¢ëª®¢ù«¡ª¿©Ìª¿ªÐ¢ð·¢ð¢Ä2·«Á¢ðªÂ\¼\«¿\ª®\¢ð¢ðªÁ¢Â¡ñMicrosoft Office¢ðªÂCVE-2015-2424¢ðª²Java¢ðªÂCVE-2015-2590¢ðª²¢ð¢ð¢ð¢Ãª¢ª²¼«©ª¢­¢ðªÂ¡ë­ª¿ªÐ¢ðª¢¢ðªª¢ð¢Ä¢Â¡ò

¢Â¢Â¢ð³¢ðªÂ¡ë­ª¿ªÐ¢ð¢Ìª¢¢î¢±«ã¢ð¹¢ð«³¢ðª²Sofacy¢ðªÂ\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª¢\³\«Ñ\ªò¢Â¼\ª¿\«Ñ\ª²¢ð¢Ì\¢ð\«Ñ\¹\ª²¢Â¼\«³¢ðµ¢ð«À¢ð«³¢ð¢Ì¢Â¡ñ²©Á¢Â¹¢ð¢Ì¢ë¡ò¢ð©°¢ðª®ªÀªä¢ðª³¢ð·¢ð©¡¢ð­¢ð¢Ä\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª¢¢ðª²¢ðªÁ¡ëªå¢ðª´¢ðªª¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð³¢ðªÂ\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª¢¢ðªÁ¡ë­ªÀ¾¹«¤¢ð­Carberp¢ðªÂ\½¢Â¼\¹\³¢Â¼\ª±¢ð«Ò\ªã¢Â¼\¹¢ðª³¢ð·¢ð©¡¢ð¢ð¢ð«³¢Â¡òª©«Ó³¢ë\³¢Â¼\ª±¢ðªÁ2013ª®¢´¢ðªÂ²©¡¢ðª³ªÁ³¢ð¡¯¢ð¢ð¢ð·¢Â¡ñ\ªÐ\ªÓ\«´\ªª\¢´\ª±\«¡\¢ð\«Ñ¢ðª²¢ðª´¢ðªª¢ð¢Ä¢ð«¤¢ðªÂ¢ðª¢¢Â¡ò

1.1 Firefox¢ðªÂ\ªÓ¢Â¼\ª²\¹\ª²\«±\ªª\¡ß·¢Ä\¡ñ\ª±\¢ì\«Ñ

¢Â¢Â²©Á¢Â¹¢ðªÁ¢ë¡òª®¢´¢ðªÂ½ªØ¢Â¡ñ\¼\«¿\ª®\¢ð\¡¯\¢´\¹\¡ß\«¿\¢ð\ª²¢ðª²¢ðªÁª´ªÀ¢ðª³¢Â¡ñFirefox¢ðªÂ\ªÓ¢Â¼\ª²\¹\ª²\«±\ªª\¡ß·¢Ä\¡ñ\ª±\¢ì\«Ñ¢ðª´¢ðª±ª´ªÀ¢ðªÂ¼«´ªªª´¢ðª®\ª®\¡ß\«¿\¢ð¢ðµ¢ð«À¢ð¢Ä¢Â¡ñCarberp\ªã¢Â¼\¹¢ðªÂ\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª¢¢ðª³¢ð«¤ª¡©Ì¢ù©Ì¢ð·¢ð¢Ä¢Â¡ò¢ðª¢¢ð¢Ì\ªÓ¢Â¼\ª²\¹\ª²\«±\ªª\¡ß·¢Ä¢ðªÂ\¡ñ\ª±\¢ì\«Ñ¢ðª²¢ðªÁ²¢Ä¢ðª¢¢ð«¿¢ð¢Ã¢ð«¢Â¢íMozilla¢ðª³¢ð«²¢ð«À¢ðЏ¢Â¡ñ\ªÓ\«±\¢Ã\¢ù¢ð«Ò¢ë©¡µ¢´©¡¡ë¢ð¹¢ð«³¢ð³¢ðª²¢ðª´¢ð¢´\¢ð\«Ñ\¹\ª²¢Â¼\«³¢ð¢ì¢ð«²¢ðªÑ»ª²ª¿ªÐ¢ð¢Ì²ª£ª®½¢ðª´\¡ñ\ª±\¢ì\«Ñ¢ðªÂ¡ë«À¼«Á¢ðª²¢ðªÂ¢ð³¢ðª²¢ðª¢¢Â¡ò

¢Â¢Â¢ð³¢ðªÂSofacy¢ðªÂ\¡ñ\ª±\¢ì\«Ñ¢ðªÂ\¢ð\«Ñ\¹\ª²¢Â¼\«³¢ðªÁ¢Â¡ñ¼«®¢ðª³\½¢Â¼\·\«ª\«³\¡¯\«Ñ\¢±\ª³\¡ñ\«´\«Ñ\¡ë¢ðª³ª¿«´¢ðªª¢ð©¡¢ð¢ð¢ð«³¢Â¡ò\©Á¢Â¼\¢ù¢ð¢Ì¡ë­¡ëªØ¢ðªÂ¢ð¡ñ¢ð«³Web\µ\¢ð\ª²¢ð«£¢Ä¢´³²¢ðµ¢ð«À¢ð¢ÄWeb\µ\¢ð\ª²¢ð«Òª³¢Ì¢ð«À¢ð«³¢ðª²¢Â¡ñ¢ð³¢ðªÂ\¡ñ\ª±\¢ì\«Ñ¢ð«Ò\¢ð\«Ñ\¹\ª²¢Â¼\«³¢ð¹¢ð«³¢ð«²¢ð¢Ã¢ðª³ª¤\¢ðµ¢ð«À¢ð«³¢ðªÂ¢ðª¢¢Â¡ò

HTML5 Rendering Enhancements 1.0.
¢Ä©°1¢Â¡øSofacy¢ðªÂ\¡ñ\ª±\¢ì\«Ñ¢ÂªÓHTML5 Rendering Enhancements¢Â¡ß

¢Â¢Â\«¡\¢ð\«Ñ¢ðªÂ\³¢Â¼\ª±¢ðªÁ¢Â¡ñ\¡ñ\ª±\¢ì\«Ñ¢ðªÂ\ªÐ\ªª\¡Þ¢Â¼\¢±©¡«¤¢ðª³¢ð¡ñ¢ð«³bootstrap.js¢ðª³³ª´ª®¼¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò\¡ñ\ª±\¢ì\«Ñ¢ð¢Ìª¿­¢±«â¢ðª³¢ðª´¢ðªª¢ð¢Ä»©Ðª©ª¢¢ðª®¢Â¡ñª¡¡ë½ªÒ¢ðªÂJavaScript¢ðªÁSofacy¢ðªÂCarberp\ªã¢Â¼\¹¢ðªÂ\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª¢¢ð«Ò¼¢Â¢ðªÂURL¢ð«¢ð«±\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª±¢ð¹¢ð«³¢Â¡ò

hxxp://dailyforeignnews.com/2015/04/Qih/north-korea-declares-no-sail-zone-missile-launch-seen-as-possible-reports/579382/hazard.edn

¢Â¢Â\ªâ\¢ð\«¿¢Â¼\ª±¢ðªÁvmware_manager.exe¢ðª²¢ð·¢ð©¡\«¿¢Â¼\«\«³¢ðª³ª´ªòª¤¢±¢ðµ¢ð«À¢ð«³¢Â¡ò

¢Â¢Â¢ð³¢ðªÂ\ªÓ¢Â¼\ª²\¹\ª²\«±\ªª\¡ß·¢Ä\¡ñ\ª±\¢ì\«Ñ¢ðªÂµ»½ªÐ¢ðªÁ¢Â¡ñ¡­¡ëª¡¡­¢ðª³¢Ä·µ¢Ì¢ðªÂ¢ð«¤¢ðªÂ¢ðª²¢ð¢ð¢ð¢Ã¢ð«Á¢ð¡Þ¢ðª®¢ðªÁ¢ðª´¢ð¢ð¢Â¡ò2007ª®¢´¢ðª³¢ðªÁ\ª±\­\«©\«¡\«Ñ\ª²²½¢ðµ¢ð«À¢ð©¡¢ð¢ì¢ð«´¢Â¡ñ¼«®¢ðª³ª¢©Ì¢ë©Îª©¢ì¢ðª³ªÀª¤ªÁª®¢ðª´\¡ñ\¡ß\«´\¡Þ¢Â¼\·\«®\«Ñ¢ðª®»ª²¢ð«Á¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð·¢ð«¢ð·¢ðª´¢ð¢Ì¢ð«±¢Â¡ñSofacy¢ð¢Ì¢ð³¢ðªÂ¼«´ª³¢Â¢ð«Ò»ª²¢ðªª¢ð©¡¢ð¢ð¢ð«³¢ðªÂ¢ð«ÒªÀªä¢ðª³¢ð¹¢ð«³¢ðªÂ¢ðªÁ¢Â¡ñ½«±¢ð«¡¢ð©¡¢ðªÂ¢ð³¢ðª²¢ðª¢¢Â¡òSofacy¢ðªÂbootstrap.js\ªØ\¢Â\¢ð\«³©¡«¤¢ðªÂ\³¢Â¼\ª±¢ðªÂª¤«®ª²¾¢ðªÁ¢Â¡ñMetasploit¢ð«¢ð«±ª£¾ª¢ªä\³\ªÔ¢Â¼¢ðµ¢ð«À¢ð¢Ä¢ð«¤¢ðªÂ¢ðª®¢Â¡ñ{d0df471a-9896-4e6d-83e2-13a04ed6df33}¢ðª²¢ð¢ð¢ð¢ÃGUID¢ð«£¢ÂªÓHTML5 Rendering Enhancements¢Â¡ß¢ðª²¢ð¢ð¢ð¢Ã\¡ñ\ª±\¢ì\«ÑªÀ¾¢ð¢Ì¡­©°¢ð©°¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð½¢ðªÂ¡ë«Àª´«ò¢ðª®¢Â¡ñ\ªâ\¢ð\«¿¢Â¼\ª±¢ð«Ò\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª±¢ð¹¢ð«³ª±«Ôª´¢Ì¢ðªÁMozilla¢ðªÂ\³¢Â¼\ª±ª´ªÒ¢ðªÂ1¢ðª£¢ð«¢ð«±\³\ªÔ¢Â¼¢ð·¢ð©¡¢ð¢ð¢ð¢Ä¢Â¡ò

2. \ª±\«¿\ªª\ªÐ¢Â¼¢ðª²DLL¢ðª³¡­©¬¢ð¹¢ð«³µ»½ªÐ¾©Ãª´«Ñ

¢Â¢Â¢ð³¢ðªÂ\¡¯\¢´\¹\¡ß\«¿\¢ð\ª²¢ð«Ò»ª²ª¿ªÐ¢ð·¢ð¢Äª´¢±½«Ð\ªØ\¢Â\¢ð\«³¢ð«£\¡ñ\ª±\¢ì\«Ñ¢ðªÁ¢Â¡ñPE¼ª¤¹ªÔ\ªØ\¢Â\¢ð\«³¢ð«Ò¡Þ¢Ä¢ð«Ñ¢ðª®¢ð¢´¢ð«³¢Â¡ò¢ð³¢ðªÂ¼ª¤¹ªÔ\ªØ\¢Â\¢ð\«³¢ðªÁ¢Â¡ñ¼«¢Äª²¢ðª³ª¡ª²¢ð©Î¹©Ð¢ð©°¢ð«À¢ð©¡¢ð¢ð¢ð«³DLL¢ð«Ò\·\¹\©¡\«¢¢ðª³\¢ð\«Ñ\¹\ª²¢Â¼\«³¢ð¹¢ð«³¢ð«¤¢ðªÂ¢ðª¢¢Â¡ò¼ª¤¹ªÔ\ªØ\¢Â\¢ð\«³¢ðªÂª¤«®¢ð­¢ðµ¢ðªÁ100KB©¡«¤³¡ë¢ðª®¢Â¡ñ\ªØ\¢Â\¢ð\«³¡ëµ½ªÀ¢ðªÁ¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ðª´¢ð¢ð¢Â¡ò¡ë«Àª´«ò¢Â¡ñ\¢ð\«Ñ\¹\ª²¢Â¼\«³¢ð¹¢ð«³DLL¢ðªÁª±¢±½«¢ª©¢ì¢ðª´Windows API¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¡ëµ½ªÀ¢ðµ¢ð«À¢ð©¡¢ð¢ì¢ð«´¢Â¡ñ\ª®\¡ò\¹\¢´¢ðª³\ª±\«¿\ªª\¡ß¢ð¹¢ð«³ª¡¡ë¢ðª³RtlDecompressBuffer¢ðª®ª©¢±³«¢ð¹¢ð«³¢Â¡ò²©Á¢Â¹¢ð¢Ì¢±«¢ð©¡¢ð­¢ð¢Äª¡¡­\µ\«Ñ\¡ß\«³¢ð¢Ìª¿­¢ð¹¢ð«³½ª©ª¿¡ß¢ð«¢ðª£¢ù¢Ãª£ªÀ¢ðªÂ©¡ªªª£¡ø¢ðªÁ¢Â¡ñ¢ÂªÓjhuhugit.temp¢Â¡ß¢ðª²¢ð¢ð¢ð¢ÃªÀ¾ª¡¡ë¢ðªÂ¡ë«À»©Ð\ªØ\¢Â\¢ð\«³¢ðª¢¢Â¡ò¢ð³¢ðªÂ\ªØ\¢Â\¢ð\«³ªÀ¾¢ðªÁ¢Â¡ñ¼ª¤¹ªÔ\ªØ\¢Â\¢ð\«³©¡«¤¢ðª³¢ð¡ñ¢ð«³¢ðªå¢ðªäª¿¡ò¡ë«À¢ðªÂª´¢Äª´¢±¢ðªÂª´¢±»«âªÂ«Ñ¢ðª¢¢Â¡òª¤¾¢ðªÂª´¢±»«âªÂ«Ñ¢ðªÁ¢Â¡ñ¢±ª®ª£«´¢ðªÂ11\Ð\¢ð\ª²¢ðªÂ\­¢Â¼¢ð«Ò»ª²¢ðªª¢ð¢ÄXOR\¡ñ\«³\¡­\«´\¢ë\«¢¢ðª³¢ð«²¢ð«´©¡«Ð©¡ª±²½¢ð¢Ì¢Ä©°¢ð«±¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¡ë«Àª±«Ô¢ðªÂ\µ\«Ñ\¡ß\«³¢ðª³¢±½¢ð«À¢ð«³¢ù½ªÀ¡ò¢ð«Ò¡ë«â¢ð¢´ª´ªÀ¢ðªÂª´¢±»«âªÂ«Ñ¢ðªÁ¢Â¡ñ¢ÂªÓbRS8yYQ0APq9xfzC¢Â¡ß¢ðª²¢ð¢ð¢ð¢Ã¡ëª©¹©Á\­¢Â¼¢ðª¢¢Â¡òGitHub¢ðª³¢ð¡ñ¢ð«³Carberp¢ðªÂ\½¢Â¼\¹\ª£\«´¢Â¼¢ðª®¢±«¢ðª£¢ð«¢ðªª¢ð¢Ä¢±ª®ª£«´¢ðªÂ¢ÂªÓ\«¡\¢ð\«Ñ\ªÐ\¹\«Á¢Â¼\ª±¢Â¡ß¢ðªÂ1¢ðª£¢ðª²¡ë«Àªª¡ß¢ð¹¢ð«³¢ð«¤¢ðªÂ¢ðª¢¢ðªª¢ð¢Ä¢Â¡ò

¢Â¢Â¢ð³¢ðªÂDLL¢ðªÁ¢Â¡ñOS¢ðªÂ¼ª¤¹ªÔ\ªØ\¢Â\¢ð\«³¢ðª®¢ð¡ñ¢ð«³rundll32.exe¢ð«Ò»ª²¢ð¢ð¢Â¡ñ¢ÂªÓinit¢Â¡ß¢ðª²¢ð¢ð¢ð¢ÃªÀ¾ª¡¡ë¢ðª®\¡¯\¢´\¹\ªò¢Â¼\ª²¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢ð«¤¢ðªÂ¢ð¢Ì¼ª¤¹ªÔ¢ðµ¢ð«À¢ð«³¢Â¡òDLL¼«ª¤ªÂ¢ðª³¢ðªÁª¤¢Ä¢ð¢´¢ðªÂµ¢Âª®½¢ðªÁ¢ðª´¢ð¢ð¢Â¡òªª¡Þ½«ª¢ðª³\«³¢Â¼\¡ß¢ð·ª¤³¢ð¡Þ¢ð©¡¢Â¡ñ30ª´¢Ì¢ð¡­¢ðª²¢ðª³·«²¢ð©°¢ðªª¢ð¢ÄC2\µ¢Â¼\з²¢ðªÂ¢ð¢Ã¢ðª¡¢ðªÂ1ª¤©Á¢ðª³ªÀ«£¢ð¢ð¹«®¢ð«Á¢ð»¢ð«Ò¹ªÔ¢ð¢Ã¢Â¡ò²©Á¢Â¹¢ðªÁª¢¢±¢ð­¢ð©¡¢ð¢ð¢ð«³\ªâ\¢ð\«¿¢Â¼\ª±¢ð«Ò¢ð³¢ð«À¢ð«±¢ðªÂ\µ¢Â¼\Џ¢ð«¢ð«±¢ð¢ð¢ð©°¢ðª¢¼«²©¡ª¢¢ðª®¢ð­¢ð©¡¢ð¢ð¢ðª´¢ð¢ð¢ð¢Ì¢Â¡ñ\³¢Â¼\ª±¢ðª³¡­©Ã¢ðª©¢ð¢´¢ðª²¢Â¡ñDLL¢ðªÁ¢ëª®½«±¢ðª³¼«¢Äª²¢ð¢Ì¼ª¤¹ªÔ¢ðµ¢ð«À¢ð¢Ä¢ðª²¢ð­¢ðª²¢ð©°¢ðªª¢ð¢Ä¢ð¢´©¡¡Þ¢ð¢±ª´«òª³¢Â¢ðª®\ªâ\¢ð\«¿¢Â¼\ª±¢ðªÂ¼ª¤¹ªÔ¢ðªÂ¢ð©Î¢ð«Ò¹ªÔ¢ð¢Ã¢Â¡òC2\µ¢Â¼\Џ¢ðªÂ\¡ñ\ª±\«À\¹¢ð«£ª¤¾¢ðªÂª¢©Îª£«´\ª®¢Â¼\¢Ä¢ðªÁ¢Â¡ñ©¡¡Þ¢ð¢±11\Ð\¢ð\ª²¢ðªÂXOR\­¢Â¼\¡ñ\«³\¡­\«´\¢ë\«¢¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡©¡«Ð©¡ª±²½¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð³¢ð«À¢ð©°¢ðª®¢ðªÂ¢ðª²¢ð³¢ð«¿¼«´¢ð¢Ì¹©Ð¢ð«Ñ¢ðª®¢ð¢ð¢ð«³¢ð«²¢ð¢Ã¢ðª´¢ð³¢ðª²¢ðªÁ²¢Ä¢ð«¤¢ðª´¢ð¢ð¢ð¢Ì¢Â¡ñ©¡¡Þ¢ð¢±Carberp¢ðªÂ\ªÐ\¹\«Á¢Â¼\ª±¢ð¢Ì¢Â¡ñ¢ð·¢ð«¢ð«¤²©Á¢Â¹¢ð¢Ì¢±«¢ð©¡¢ð­¢ð¢Ä¢ð¹¢ðªã¢ð©¡¢ðªÂDLL¢ðª®»ª²¢ð«Á¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò²©Á¢Â¹¢ðªÁ¢ð³¢ðªÂ¡­©¬ªÁ¡ñª¢­¢ð«Òª²¢´¢±«¢ð·¢ð«²¢ð¢Ã¢ðª²¢ð¹¢ð«³¢ðªå¢ðª±¢Â¡ñ¹\¡­«Ð¢Ä¡­¢ð«Ò¢ð½¢ð½¢ð«±¢ð«À¢ð¢Ä¢Â¡ò

¢Â¢ÂDLL¢ðªÂ\«´\Џ¢Â¼\¹\¡¯\«Ñ\¢±\ª³\¡ñ\«´\«Ñ\¡ë¢ð«Òªª«¿¡ëªØ¢Ä¼¢ð¢´¹ªÔ¢ð¢Ã¢ð³¢ðª²¢ðª®¢Â¡ñ¢ð³¢ðªÂ\ªØ\¢Â\©Î\«´¢Â¼¢ðªÁCarberp¢ðªÂ\½¢Â¼\¹\³¢Â¼\ª±¢ð«Ò\ªã¢Â¼\¹¢ðª²¢ð·¢ð©¡¢ð¢ð¢ð«³¢ð³¢ðª²¢ð¢ÌªÀª¢³ªÂ¢ðª³¢ðª´¢ðªª¢ð¢Ä¢Â¡ò\³¢Â¼\ª±¢ðªÂ\«À\ªò\¢±\ª²\«´¢ðªÁGitHub¢ðª®¢±«¢ðª£¢ð«¢ð«³¢ð«¤¢ðªÂ¢ðª²¢ð©°¢ðªª¢ð¢Ä¢ð¢´©¡¡Þ¢ð¢±¢ðª®¢ðªÁ¢ðª´¢ð¢ð¢ð¢Ì¢Â¡ñ¢±«©½ªÒ¢ð¹¢ð«³¼«®ª£\¢ð«Ò¢ð¹¢ð«³¢ðªÂ¢ðª³½½ª´¢Ì¢ðª´¢ðªå¢ðª±»¡àª£ªÀ¢ðªª¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ë¡ò²«ÑSofacy¢ð¢Ì»ª²¢ðªª¢ð¢ÄCarberp¢ðªÂ\½¢Â¼\¹¢ð«Ò\ªã¢Â¼\¹¢ðª³¢ð·¢ð¢Äµ¢Âª®½¢ðª³¢ðªÁ¢Â¡ñAPI²«Ò·«²\¡ñ\«³\¡­\«´\¢ë\«¢¢ðª²\³¢Â¼\ª±\¢ð\«Ñ\¢±\¡ø\¢´\·\«®\«Ñ\«¡\«\ª³\¢ë\«¢¢ð¢Ì¡­©°¢ð©°¢ð«À¢ð«³¢Â¡ò¢ð©°¢ð¢Ä\«±\«Ñ\ª¢\«¢¢ðª´URL¢ð«Òª¢¢±ª¢¢î¢ð¹¢ð«³¢ð¢Ä¢ð«¡¢ðª³ª¿ªÐ¢ð¢ð¢ð¢Ä\¡ñ\«³\¡­\«´\¢ë\«¢¢ð«¤¢Â¡ñª¤«®¢ð©°¢ð«¢ðª³¢ðªÁCarberp¢ðª³¡­©Ã¢ðª©¢ð¢ð¢ð©¡¢ð¢ð¢ð«³¢Â¡ò

3. Carberp¢ðªÂ\½¢Â¼\¹\³¢Â¼\ª±¢ðª²¢ðªÂª²©Á³ªÑ

3.1. API²«Ò·«²\¡ñ\«³\¡­\«´\¢ë\«¢

¢Â¢Â¢±©Ì³«¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³Carberp¢ðªÂ\½¢Â¼\¹\³¢Â¼\ª±¢ðª®¢ðªÁ¢Â¡ñ¼ª¤¹ªÔ»©Ð¢ðª³API¢ð¢Ì²«Ò·«²¢ðµ¢ð«À¢ð«³¢Â¡ò¢ð³¢ð«À¢ðª³¢ðªÁ¡ëª´²¼¢ðªÂ¢ð«²¢ð¢Ã¢ðª´\³¢Â¼\ª±¢ðªÂ¹½ª¤¢ð¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢ð¢ð¢ð«³¢Â¡ò

#define pLoadLibraryA   pushargEx< DLL_KERNEL32, 0xC8AC8026, 2 >

¢Â¢ÂªÂ«ª¢ðª®¢ðªÁ¢Â¡ñpLoadLibraryA¢ðª²¢ð¢ð¢ð¢Ã¡­©¬¢Ä«Ô¢ð¢Ìª´ªÀ¢ðªÂpushargEx¡­©¬¢Ä«Ô¢ðª®ª£«´µª¡¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð³¢ðªÂ¡­©¬¢Ä«Ô¢ðª³¢ðªÁ¡ëª´²¼¢ðªÂ¡ë«â¢Ä«Ô¢ð¢Ìª¿¢Ä¢ð¡¯¢ð«±¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò

  • \«¤\¢±\«©¢Â¼\«³¢ðªÂ¼¡Þª´ªÀ»ªÒ¢ðª²¢ð·¢ð©¡¢Â¡ñ¢ð³¢ðªÂªÂ«ª¢ðª®¢ðªÁDLL_KERNEL32
  • ¡­©¬¢Ä«ÔªÀ¾¢ðªÂ\ªÁ\ªª\·\«©ªªª¿¢ðª²¢ð·¢ð©¡C8AC8026¢Â¡ò¢ð³¢ð«À¢ðªÁ¼ª¤¹ªÔ»©Ð¢ðª³·¡ß»»¢ðµ¢ð«À¢ð«³
  • ¡­©¬¢Ä«Ô¢ðªÂ\­\«ª\ªª\·\«©¢ðªÂ\¢ð\«Ñ\ª®\ªª\¢´\¹¢ðª²¢ð·¢ð©¡¢ÂªÓ2¢Â¡ß

¢Â¢Â¢ð³¢ðªÂpushargEx¡­©¬¢Ä«Ô¢ðªÁª´¡ò¢Ä«Ô¢ðªÂª£«´µª¡¢ðª³¢ð«²¢ð«´¢Â¡ñ¢±«¹©Ð¢ð©°¢ð«À¢ð«³¡ë«â¢Ä«Ô¢ðªÂ¢Ä«Ô¢ðªÂ¢ð¹¢ðªã¢ð©¡¢ðª³ª¤Ð¡Þ©Ð¢ð¹¢ð«³¢Â¡ò¡ë«â¢Ä«Ô¢ð¢Ì5¢±ª£¢ðªÂ¾«À¹«®¢ðªÂª£«´µª¡¢ð«Ò¡ëª´²¼¢ðª³ªÂ«ª¼¡¯¢ð¹¢ð«³¢Â¡ò

inline LPVOID pushargEx(A a1, B a2, C a3, D a4, E a5)
{
    typedef LPVOID (WINAPI *newfunc)(A, B, C, D, E);
    newfunc func = (newfunc)GetProcAddressEx2( NULL, h, hash, CacheIndex );
    return func(a1, a2, a3, a4, a5);
}

¢Â¢ÂPushargEx¢ðªÁGetProcAddressEx2¢ðª³¹ªÔ¢ð­¢ðª£¢ð¢´¢Â¡ò¢ð³¢ðªÂ¡­©¬¢Ä«Ô¢ðªÁªÀ¾ª¡¡ë¢ðªÂ\ªÁ\ªª\·\«©ªªª¿¢ðª³¡­©Ã¢ðª©¢ð­API¢ðªÂ¡­©¬¢Ä«Ô\¡ñ\ª±\«À\¹¢ð«Ò³«£¢ð«´½Ð¢ð¹¢ð«¤¢ðªÂ¢ðª¢¢Â¡ò¢ð½¢ðªÂ¢±«©¢Â¡ñª©«Ó³¢ë\¡ñ\ª±\«À\¹¢ðªÂ¡­©¬¢Ä«Ô¢ð¢Ì¼ª¤¹ªÔ¢ðµ¢ð«À¢ð«³¢Â¡ò¢ð³¢ðªÂ¢ð«²¢ð¢Ã¢ðª´¹½ª¤¢ð¢ðª³¢ð·¢ð¢ÄªÀªäª©¢ì¢ðªÁ¢Â¡ñª£ªÀ¾«Á\³¢Â¼\ª±©¡«¤¢ðª³¢ð¡ñ¢ð«³ª±¢±½«¢ª©¢ì¢ðª´Win32¢ðªÂAPI¡­©¬¢Ä«Ô¢ð«Ò¢Â¡ñ¢ÂªÓp¢Â¡ß¢ðª²¢ð¢ð¢ð¢Ãª´¢±»«â¢ð«Ò¡­©¬¢Ä«ÔªÀ¾¢ðªÂª¢«²©¡¢Ì¢ðª³ª£ª±²ªª¢ð·¢ð©¡»ª²¢ð¡¯¢ð«³¢ð«²¢ð¢Ã¢ðª³¢ð¹¢ð«³¢ð³¢ðª²¢ðª¢¢Â¡ò¢ð½¢ðªÂ·«³²ªÀ©¡ª¢¢ð«±¢ð«À¢ð«³\³\«Ñ\ªÐ\¢ð\«³¢±«©¢ðªÂ\³¢Â¼\ª±¢ðªÁ¢Â¡ñ¢ð¡ñ¢ð©°¢ð«´©¡ª±¢ð©Î¢ð«£¢ð¹¢ð¢ð¢ð«¤¢ðªÂ¢ðª®¢ðªÁ¢ðª´¢ð¢ð¢Â¡ò¢ð·¢ð¢Ä¢ð¢Ì¢ðªª¢ð©¡\«´\Џ¢Â¼\¹\¡¯\«Ñ\¢±\ª³\¡ñ\«´\«Ñ\¡ë¢ðªÂ²«¡ª£©Ì¢ðª³»©Ð¡­ªÓ¢ð¢Ì¢ð«¢ð«¢ð«³¢ð«²¢ð¢Ã¢ðª³¢ðª´¢ð«³¢Â¡ò¢ð©°¢ð¢Ä¢Â¡ñ¢ð³¢ðªÂ¢ð«²¢ð¢Ã¢ðª´¡­¡ëª¡¡­¢ðª´¡ëªÀªªªÓ©¡ª²ªÂ¢í\³¢Â¼\ª±¢ðª³¢ð«²¢ð«³²¢±·ªª¢ð«¤¢ð¡ñ¢ð«³¢Â¡ò\³¢Â¼\ª±\¢ð\«Ñ\¢±\¡ø\¢´\·\«®\«Ñ¢ðª³¢ðªÁª©ªÔ¹«®¢ð¢ÌªÂª±¢ð¢ð¢ðªÂ¢ðª¢¢Â¡ò

¢Â¢ÂCarberp¢ðªÂ\½¢Â¼\¹\ª£\«´¢Â¼¢ðª³¢ðªÁAPI¢ðªÂ\ªÁ\ªª\·\«©ªªª¿¢ðª²¢Â¡ñª¤Ð¡Þ©Ð¢ð¹¢ð«³\­\«ª\ªª\·\«©¢ðªÂ\¢ð\«Ñ\ª®\ªª\¢´\¹¢ðªÂ\«´\¹\ª²¢ð¢Ì¡­©°¢ð©°¢ð«À¢ð«³¢Â¡ò¡ëª´²¼¢ðªÂ¢ð«²¢ð¢Ã¢ðª´ª¡ª®ª©¡¯¢ðª´\«´\¹\ª²¢ðª¢¢Â¡ò

Carberp API list.
¢Ä©°2¢Â¡øCarberp¢ðªÂAPI\«´\¹\ª²

¢Â¢Â¢ð³¢ð³¢ðª®Sofacy¢ðªÂ\Ð\¢ð\ª´\«´\³¢Â¼\ª±¢ðª³ªÀ«¡¢ð«¿¢ð¢Ã¢Â¡òµªØ\³\«Ñ\ªÐ\¢ð\«³¢ð·¢ð¢Ä\³¢Â¼\ª±ª´ªÒ¢ðªÂ¼ª¤ªÂ«ª¢ð«¢ð«±¢Â¡ñSofacy¢ð¢Ì©¡¡Þ¢ð¢±\ªÁ\ªª\·\«©\¡ñ\«³\¡­\«´\¢ë\«¢¢ðª²\¢ð\«Ñ\ª®\ªª\¢´\¹¢ðªÂ¢ëªÂª²ªÓª´«ò¼¡ë¢ð«Ò¢ëªÂª¿ªÐ¢ð·¢ð©¡¢ð¢ð¢ð«³¢ð³¢ðª²¢ðªÁªÀª¢ª®«Ò¢ðª¢¢Â¡ò

Sofacy GetModuleHandleA
¢Ä©°3¢Â¡øSofacy¢ðªÂGetModuleHandleA

¢Â¢ÂGetModuleHandleA¢ðªÁ¢Â¡ñSofacy¢ð¢Ì©¡¡ëª©¢ì¢ðª³²«Ò·«²¢ð¹¢ð«³¢Ä«Ôª¤¢Ä¢ð¢´¢ðªÂ¡­©¬¢Ä«Ô¢ðªÂ1¢ðª£¢ðª³²«¡¢ð¢î¢ðª´¢ð¢ð¢Â¡ò¢ð¢Ä¢ðª¢¢ð·¢ð½¢ð«À¢ð«±¢ðªÂ¡­©¬¢Ä«Ô¢ðªÁ¢ð¹¢ðªã¢ð©¡¢Â¡ñCarberp¢ðªÂ\½¢Â¼\¹\³¢Â¼\ª±¢ðª²¡­¡ëª¡¡­¢ðª³¡ë«Àªª¡ß¢ð¹¢ð«³¢Â¡ò\ªÁ\ªª\·\«©ªªª¿¢ð«£¡ë«â¢Ä«Ô¢Â¡ñ\¢ð\«Ñ\ª®\ªª\¢´\¹ªªª¿¢ð©°¢ðª®¢ð«¤¢ðª¢¢Âª´¢Ä©°2¢ðªÂ\¢ð\«Ñ\ª®\ªª\¢´\¹ª²ªÓ¹©Á¢ðªÂ#43¢ð«Ò¢±«¢ð©¡¢ðªå¢ð·¢ð¢ð¢Âª³¢Â¡ò

¢Â¢ÂAPI²«Ò·«²ª±«Ôª´¢Ì¢ð©°¢ðª®¢ðµ¢ð«±¢ðª³¡­ªÐ»¢Â¢ð·¢ð©¡¢ð¢ð¢ð¢´¢ðª²¢Â¡ñGetProcAddressEx¢ð¢ì¢ð«²¢ðªÑGetProcAddressEx2¢ðª²ªÀ¾ª±ªØ¢ð¡Þ¢ð«±¢ð«À¢ð¢Ä¡­©¬¢Ä«Ô¢ðª³ªª©Ì¢ð·¢ð¢ðªÂ«¢»¡àª¢­¢ð¢Ì¢±«¢ð«±¢ð«À¢ð¢Ä¢Â¡òCarberp¢ðªÂ\½¢Â¼\¹¢ðª²Sofacy¢ðªÂ\Ð\¢ð\ª´\«´¢ð«ÒµªØ\³\«Ñ\ªÐ\¢ð\«³¢ð·¢ð¢Ä\³¢Â¼\ª±¢ðªÂGetProcAddressEx2¢ðªÂ\¹\¢´\«´¢Â¼\«Ñ\·\«®\ªª\ª²¢ð«Ò¢Â¡ñ¡ëª´²¼¢ðª³ª´ª¤¢ðªã¢ð©¡¼¡¯¢ð¹¢Â¡ò

GetProcAddressEx2 from Carberp and Sofacy.
¢Ä©°4¢Â¡øCarberp¢ð¢ì¢ð«²¢ðªÑSofacy¢ðªÂGetProcAddressEx2

¢Â¢ÂCarberp¢ðªÂ\½¢Â¼\¹¢ðª²Sofacy¢ðªÂ\Ð\¢ð\ª´\«´¢ð«ÒµªØ\³\«Ñ\ªÐ\¢ð\«³¢ð·¢ð¢Ä\³¢Â¼\ª±¢ðªÂGetProcAddressEx¢ðªÂªÂ«¢»¡àª¢­¢ðªÂª²©Á³ªÑ¢ðªÁ¡ëª´²¼¢ðªÂ¢ð«²¢ð¢Ã¢ðª³¢ðª´¢ð«³¢Â¡ò

GetProcAddressEx from Carberp and Sofacy
¢Ä©°5¢Â¡øCarberp¢ð¢ì¢ð«²¢ðªÑSofacy¢ðªÂGetProcAddressEx

¢Â¢Â¾«©µ­¢ðªÂµªØ\³\«Ñ\ªÐ\¢ð\«³¢ð·¢ð¢Ä\³¢Â¼\ª±ª´ªÒ¢ðª³¢ð¢ì¢ð¢ð¢ð©¡¢ðªÁ¢Â¡ñ¡ëªØ¢Ä©°ª©¢ì¢ðª³¢ð¹¢ðªã¢ð©¡¢ðªÂ¡­©¬¢Ä«Ô¢ðª²ª´ªÐ¢Ä«Ô¢ðªÂªÀ¾ª¡¡ë¢ð¢ÌCarberp¢ðªÂ\½¢Â¼\¹¢ðª³½¾¢ð¢Ã¢ð«²¢ð¢Ã¢ðª³¢ð·¢ð¢Ä¢Â¡ò¢ð³¢ð«À¢ðªÁªª¡Þ¢ðª³ª¢«¤ªÀª¢¢ðªÂ¢ð¢Ä¢ð«¡¢ðª¢¢Â¡ò

3.2. \³¢Â¼\ª±\¢ð\«Ñ\¢±\¡ø\¢´\·\«®\«Ñ

¢Â¢ÂSofacy¢ðªÁ¢Â¡ñ\ª¿\ªª\ª²\«Á¢Â¼\¢´¼©Ð¢ð«´¢ðªÂ\³¢Â¼\ª±¢ð¹¢ðªã¢ð©¡¢ðª³¢ð¢ì¢ð¢ð¢ð©¡\³¢Â¼\ª±\¢ð\«Ñ\¢±\¡ø\¢´\·\«®\«Ñ¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¼«¢Äª²¢ðªÂ¡­©¬¢Ä«Ô¢ð«Ò\ªÓ\«±\¢Ã\¢ù¢ðªÂ\¡ß\«¿\»\¹·²¢ðª³\¢ð\«Ñ\¢±\¡ø\¢´\·\«®\«Ñ¢ð¹¢ð«³¢ðªÂ¢ðª¢¢Â¡ò\¡ß\«¿\»\¹·²¢ð«Òªªµ¢ð¹¢ð¢Ä¢ð«¡¢ðª³¢Â¡ñCarberp¢ðªÂ\¡ß\«¿\»\¹ªÀ¾\ªÁ\ªª\·\«©\¡ñ\«³\¡­\«´\¢ë\«¢¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð³¢ðªÂ¢ð«²¢ð¢Ã¢ðª´»ª©ª¡ª²¢ð©Î¢ðª³¢ð·¢ð¢ÄªÀªäª©¢ì¢ðªÁ¢Â¡ñ½½ªª©Áª²¢Ì¢ù«©\ªÐ¢Â¼\½\ª´\«³\ªØ\¢Â\¢ð\¡ñ\¢Ã\¢í¢Â¼\«³¢ð«£¢ð½¢ðªÂª¤¾¢ðªÂ\ªÑ\©¬\¢ð\ªÑ\¡ñ¢±¢ÂªªªÂ\·\¹\©¡\«¢¢ð«Ò¡Þ¢ì²«Ñ¢ð¹¢ð«³¢ð¢Ä¢ð«¡¢ðª¢¢Â¡ò

¢Â¢Â\³¢Â¼\ª±\¢ð\«Ñ\¢±\¡ø\¢´\·\«®\«Ñ¢ðªÁInjectIntoProcess¢ðª²¢ð¢ð¢ð¢ÃªÀ¾ª¡¡ë¢ðªÂ¡­©¬¢Ä«Ô¢ð«¢ð«±³«»ªÁ¢ð¹¢ð«³¢Â¡ò¢ð³¢ðªÂ¡­©¬¢Ä«Ô¢ðªÁ\¡ß\«¿\»\¹¢ð«Ò\¢ì¢Â¼\¡ß\«Ñ¢ð·¢ð©¡InjectCode4 ¢ðª³¢ð«²¢ð«´\³¢Â¼\ª±¢ð«Òªª«¿©¡©Ð¢ð·¢Â¡ñCreateRemoteThread¢ðª®¼ª¤¹ªÔ¢ð¹¢ð«³¢Â¡ò¡ëª´²¼¢ðª³Carberp¢ðªÂ\³¢Â¼\ª±ª´ªÒ¢ð«Ò¼¡¯¢ð¹¢Â¡ò

InjectCode4 from the Carberp source.
¢Ä©°6¢Â¡øCarberp¢ðªÂ\½¢Â¼\¹¢ðª³¢ð¡ñ¢ð«³InjectCode4

¢Â¢ÂSofacy¢ðªÂ\Ð\¢ð\ª´\«´¢ðª³¢ð¡ñ¢ð«³InjectIntoProcess¢ðª²InjectCode4¢ð¢Ì¢Â¡ñ¢ð³¢ðªÂµ¢Âª®½¢ð«Ò·«³¢ðªÑª±ªØ¢ð¡Þ¢ð©¡¢ð¢ð¢ð«³¢Â¡ò

InjectIntoProcess from Sofacy
¢Ä©°7¢Â¡øSofacy¢ðª³¢ð¡ñ¢ð«³InjectIntoProcess

Figure 8: InjectCode4 from Sofacy
¢Ä©°8¢Â¡øSofacy¢ðª³¢ð¡ñ¢ð«³InjectCode4

3.3. \©Î\¹\©¡\«´\¡ñ\¹¢ðª´\«¡\¢ð\«Ñ\ªÐ\¹\«Á¢Â¼\ª±

¢Â¢ÂCarberp¢ðªÂ\½¢Â¼\¹¢ðª³¢ðªÁ¢Â¡ñMainPassword¢Â¡ñ¢ð¡ñ¢ð«³¢ð¢ð¢ðªÁRC2_Password¢Â¡ñDebugPassword¢ðª²¢±©¡¢ðЏ¢ð«À¢ð«³\ªÐ\¹\«Á¢Â¼\ª±¢ð¢Ìª¤¢±¢ë©Î¢ð¹¢ð«³¢Â¡ò¢ð³¢ðªÂ\ªÐ\¹\«Á¢Â¼\ª±¢ðªÂ¼«²¢ð«´©¡ª¢¢ð«³ªªª¿¢ðªÂ1¢ðª£¢ð¢Ì¢ÂªÓbRS8yYQ0APq9xfzC¢Â¡ß¢ðª²¢ð¢ð¢ð¢Ã¢ð«¤¢ðªÂ¢ðª®¢Â¡ñSofacy¢ðª®¢ð«¤»ª²ª¿ªÐ¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡òCarberp¢ðª³¢ð¢ì¢ð¡Þ¢ð«³¢ð³¢ðªÂ\ªÐ\¹\«Á¢Â¼\ª±¢ðªÂªÀªäª©¢ì¢ðªÁ¢Â¡ñ¢ð¢Ä¢ðª²¢ð¡¯¢ðÐHTTP\ª²\«±\ªØ\¡ò\ªª\¢´¢ðªÂ¡ëª©¹©Á²½¢ðª¢¢Â¡ò¡ë«Àª´«òSofacy¢ðª®¢ðªÁ¢Â¡ñ¢ð©°¢ðªª¢ð¢Ä¢ð¢´¡ëªå¢ðª´¢ð«³ª´«òª³¢Â¢ðª®»ª²ª¿ªÐ¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡òSofacy¢ðª®¢ðªÁAPI²«Ò·«²¢ðªÂ¢ð¢Ä¢ð«¡¢ðªÂ\¡ñ\«³\¡­\«´\¢ë\«¢¢ðª³¼«´¢ð¢Ì²ªª¢ð¡¯¢ð«±¢ð«À¢ð©¡¢ð¢ì¢ð«´¢Â¡ñ¢ð½¢ð³¢ðª®¢ð³¢ðªÂ\ªÐ\¹\«Á¢Â¼\ª±¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡¢ð¢ð¢ð«³¢Â¡òCarberp¢ðª®¢ðªÁ¢Â¡ñAPI²«Ò·«²ª±«Ôª´¢Ì¢ðª³¢ð¢ì¢ð¢ð¢ð©¡ª´¢Äª´¢±¢ðª®DDLªÀ¾¢ðªÂ\«´\¹\ª²¢ð«Ò»«ò¢ðªª¢ð©¡¢ð¢ð¢ð«³¢Â¡òGetProcAddressEx2¢ð¢Ì»²¾ª²¢ð¹¢ð«³\¢ð\«Ñ\ª®\ªª\¢´\¹\ªÐ\«±\«¡¢Â¼\¢Ä¢ðªÂ¢ð³¢ðª²¢ðª¢¢Â¡òSofacy¢ðª®¢ðªÁ¢ð³¢ðªÂ\«´\¹\ª²¢ðªÁ¢Â¡ñCarberp¢ðªÂ¢ÂªÓ\«¡\¢ð\«Ñ\ªÐ\¹\«Á¢Â¼\ª±¢Â¡ß¢ð«Òª¿ªÐ¢ð¢ð¢ð©¡ªª¡Þ½«ª¢ðª´XOR\ªã¢Â¼\¹¢ðªÂ\¡ñ\«³\¡­\«´\¢ë\«¢¢ðª®©¡«Ð©¡ª±²½¢ð¢Ì¢ðª´¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³¢Â¡ò

4. ·«³ªÁª¢

¢Â¢Âª³ªä\ªÓ\«¿\¡ëµ­»«Ó¢ðª®¼¡¯¢ðµ¢ð«À¢ð¢Äª´¢Ìª¢ªÁ¢ðª³¡­©Ã¢ðª©¢ð¡Þ¢ðЏ¢Â¡ñ¢Ä·¢ð¢Ä¢ðª´Sofacy¢ðªÂ\ª¢\¢Ã\«Ñ\«¿¢Â¼\ª¢¢ðªÁCarberp¢ðªÂ\½¢Â¼\¹\³¢Â¼\ª±¢ð«Ò\ªã¢Â¼\¹¢ðª³¢ð·¢ð©¡¢ð¢ð¢ð«³¢Â¡ò¢ð·¢ð«¢ð·¢ðª´¢ð¢Ì¢ð«±ª²«Ñ¾«Á¢ðª³ª¤«®¢ð­¢ðª´¡ë«ª¢ð¢ð¢ð«¤¢ð¡ñ¢ð«³¢Â¡ò¢ð¢Ä¢ðª²¢ð¡¯¢ðÐAPI¢ðªÂ²«Ò·«²¢ð«£¢Â¡ñCarberp¢ðªÂ\«¡\¢ð\«Ñ\ªÐ\¹\«Á¢Â¼\ª±¢ðªÂ»ª²ª¿ªÐ¢ðª²¢ð¢ð¢ðªª¢ð¢Ä¢ð«¤¢ðªÂ¢ðª¢¢Â¡ò¢ð½¢ðªÂ¡­©¬ªÁ¡ñ¢ðª³¢ðª£¢ð¢ð¢ð©¡²©Á¢Â¹¢ð¢Ì²¼¢ð»¢ð«³·«³ªÁª¢¢ðª²¢ðªÁ¢Â¢íSofacy¢ðªÂ¡ë«ÀªÀ¡ò¢ðªÁ¢Â¡ñCarberp¢ðªÂ\½¢Â¼\¹\³¢Â¼\ª±¢ðªÂ\¡ß\«±\¢ð\ªã¢Â¼\ª²¢ðª´\½¢Â¼\¹\ª£\«´¢Â¼¢ð«Òª´ªòª¿­¢ð·¢ð©¡¢ð¢ð¢ð«³¢ð³¢ðª²¢ð«Ò¡ëªØªÀ¡ò¢ð¹¢ð«³¢ðª²¢Â¡ñ²©Á¢Â¹¢ðªÁ¹ª¿¢ð¡¯¢ð©¡¢ð¢ð¢ð«³¢Â¡òAPI¢ðªÂ²«Ò·«²ª±«Ôª´¢Ì¢ðª®DDLªÀ¾¢ð«Òª´ªò¢±«Â¢ð¹¢ð«³¢ð¢Ä¢ð«¡¢ðª³\ªÐ\¹\«Á¢Â¼\ª±¢ð«Ò»ª²ª¿ªÐ¢ð·¢ð©¡¢ð¢ð¢ð«³¢ð³¢ðª²¢ðªÁ¢Â¡ñGitHub¢ðª®¡ë«Àª²ªÀ¢±©Ì³«¢ðµ¢ð«À¢ð©¡¢ð¢ð¢ð«³\½¢Â¼\¹¢ð«²¢ð«´¢ð«¤¢Ä·¢ð·¢ð¢ð¢ð³¢ðª²¢ð«Ò¼¡¯¢ë¢ù¢ð¹¢ð«³¢ð«¤¢ðªÂ¢ðª¢¢Â¡ò¢ð³¢ð«À¢ðªÁSofacy¡ë«ÀªÀ¡ò¢ðªÁªª¡Þ¢ðª³\½¢Â¼\¹\ª£\«´¢Â¼¢ð«Ò\³\ªÔ¢Â¼¢ð·¢ð©¡³«ª²¢´¢ð«Ò·ªÐª¤³¢ð·¢ð©¡¢ð¢ð¢ð«³¢ð³¢ðª²¢ð«Ò¡ëªØªÀ¡ò¢ð¹¢ð«³¢ðªÂ¢ðª¢¢ð«¿¢ð¢Ã¢ð«¢Â¢í¢ð¡ñ¢ð«³¢ð¢ð¢ðªÁ¢Â¡ñª±«Ðª¤©ÁªÂ¡ñ¢ðª®ªª¢´¢ð«ª´ªÀ¢ðªÂ¢Äª¿ª´¢ì¢ð¢Ì¢ðµ¢ð«±¢ðª³³«ª²¢´¢ð«Ò½ª©¢ðª¿¢ð©¡¢ð¢ð¢ð«³¢ðªÂ¢ðª¢¢ð«¿¢ð¢Ã¢ð«¢Â¢í¢ð³¢ð«À¢ðª³¢ðª£¢ð¢ð¢ð©¡¢ðªÁ¢Â¡ñ²©Á¢Â¹¢ðªÁ¢ð©°¢ðª¢ª®ª£¡ë¢î¢ð·¢ð©¡¢ð¢ð¢ðª´¢ð¢ð¢Â¡ò¢ð·¢ð«¢ð·Sofacy¢ðª²¢ðªÂ¢ðª£¢ðª´¢ð¢Ì¢ð«´¢ð«£¢Â¡ñ¢ðµ¢ð«±¢ðª³²ªª¢ð¡¯¢ð©¡¢Âª´Carberp¢ð«Ò\ªã¢Â¼\¹¢ðª³¢ð·¢ð©¡¢ð¢ð¢ð«³¢Âª³Anunak¢ð«£Carbanak¢ðª³¢ð«²¢ð«³¢ëª®¢ù«¡¢ðªÂ\¢ð\«Ñ\·\ª®\«Ñ\ª²¢ðª³¢ð«²¢ð«´¢Â¡ñCarberp¢ð¢Ì¢ð¢ð¢ð©°¢ðª¢¢ðª³·«Ò¢ë©Î¢ðª®¢ð¡ñ¢ð«³¢ð³¢ðª²¢ð¢Ì¼¡¯¢ë¢ù¢ðµ¢ð«À¢ð«³¢Â¡ò

5. \ªÁ\ªª\·\«©ªªª¿

bootstrap.js¢Â¡ø

e7d13aed50bedb5e67d92753f6e0eda8a3c9b4f0

\ª±\«¿\ªª\ªÐ¢Â¼¢Â¡ø

b8aabe12502f7d55ae332905acee80a10e3bc399
015425010bd4cf9d511f7fcd0fc17fc17c23eec1
51b0e3cd6360d50424bf776b3cd673dd45fd0f97
4fae67d3988da117608a7548d9029caddbfb3ebf
b7788af2ef073d7b3fb84086496896e7404e625e
63d1d33e7418daf200dc4660fc9a59492ddd50d9
b4a515ef9de037f18d96b9b0e48271180f5725b7
f3d50c1f7d5f322c1a1f9a72ff122cac990881ee

DLL¢Â¡ø

5c3e709517f41febf03109fa9d597f2ccc495956 ¢Âª´µªØ\³\«Ñ\ªÐ\¢ð\«³¢ðµ¢ð«À¢ð¢Ä\³¢Â¼\ª±¢ðªÂªÂ«ª¢Âª³
ed9f3e5e889d281437b945993c6c2a80c60fdedc
21835aafe6d46840bb697e8b0d4aac06dec44f5b
d85e44d386315b0258847495be1711450ac02d9f
ac61a299f81d1cff4ea857afd1b323724aac3f04
7319a2751bd13b2364031f1e69035acfc4fd4d18
b8b3f53ca2cd64bd101cb59c6553f6289a72d9bb
f7608ef62a45822e9300d390064e667028b75dea
9fc43e32c887b7697bf6d6933e9859d29581ead0
3b52046dd7e1d5684eabbd9038b651726714ab69
d3aa282b390a5cb29d15a97e0a046305038dbefe


\Ð\ªª\¢´\ª´\«Ñ\Џ¢Â¼
Ustreamª¢¢±ªª©Á·ªÐ\¡ñ¢Â¼\«\¢ð\ªÓ
¢Ä·ªª«©µ­»«Ó
\»\­\«©\«´\©¡\¡ò¡­©¬ªÁ¡ñ\«´\«Ñ\¢´
\»\­\«©\«´\©¡\¡òµ¢Â¡­©¬

ª¢¢´ª±ªä¡­©¬ªÁ¡ñ

\»\­\«©\«´\©¡\¡ò¡­©¬ªÁ¡ñªªª£ª¤ªÂ

¢±¢Ãµ©Áµ¢Â¡­©¬¢Â¢Ãª¤«®³©¬
¢Äª¿µ¢ðµ­»«Ó¢ðª²»²¾ª²¢±µª¿ª¿¡ë«Àª¿¡à
¾ªä¢ëªã\«\©¡\¡­\«´
\«¡\ª®\¡ò\¡ñ¡­©¬·¢±¼ªÔ¢ðªÂ³¡øª¿ª¿¢ð©¬
\¡¯\ªØ\»\­\«©\¡ñ\ªÓ\«¿\¡ë\«¡\«Ñ\Џ¢Â¼
\¡¯\ªØ\»\­\«©\¡ñ\ªÓ\«¿\¡ë\«¡\«Ñ\Џ¢Â¼
\©Î\ªª\³¢Â¢Ã\ªÒ\ªª\ªò\ª¿\«Ñ
\¡¯\ªØ\»\­\«©\¡ñ CRO¢Âª´\»\­\«©\«´\©¡\¡ò¢±¢Ãµ©Á½«´¼«®ª¢ª´¢±¢Ãµ©Á¡ë¡à¢Âª³¢Âª´\©¬\«³\·\«Ñ\­¢Âª³
(Twitter\¡ñ\«\¢Ã\«Ñ\ª²)
(¢±¢Ãµ©Á½«´Twitter)
\·\«®¢Â¼\«Ñ¢Â¢Ã\µ\«´\Ð\«Ñ
\¡¯\ªØ\»\­\«©\¡ñ \»\­\«©\«´\©¡\¡ò¢Â¢Ã\¡ñ\ª±\Ð\¢ð\¢ù¢Â¼¢Âª´\©¬\«³\·\«Ñ\­¢Âª³
(Twitter\¡ñ\«\¢Ã\«Ñ\ª²)
¹«¤¡­ªÓ ¹«£ª©µ
\«¡\¢Ä¢Â¢Ã\¡ñ\½\·\¡¯\¢ð\ª£ª¤«©ª±½
(¢±©Ì¼¡ë\ªÓ\«¿\¡ë)
(Twitter\¡ñ\«\¢Ã\«Ñ\ª²)
ª¢¡Þ©Î· ª¿µ©¡«Ñ
³«Ô¼¡ë²«Ð¼ªÒ\»\­\«©\¡ñ\ªÓ\«À\¢ð\«Ñ ¢ëª®¹«¤µ»½ªÐª¢ªØª®¢ð¼ªÔ
(¢±©Ì¼¡ë\ªÓ\«¿\¡ë)
(¢Äª¿ª´¢ì¾ªÒ²©Ã)
¡­«£¡ë©Á ª®«Â¼«ã
\ª®\«¿\¢ð\ª² \ª²¢Â¼\©°\ª£ \«´\¹\¢´\µ¢Â¼\ªÑ\¹³«Ô¼¡ë²«Ð¼ªÒ (¢Âª¡2013ª®¢´3·«Â ³«Ô¼¡ë²«Ð¼ªÒ\«±\ªª\¢´) ¾©Ãª´«Ñ\»\­\«©\«´\©¡\¡òª¤«®³©¬¡Þ¢Âª¤«®³©¬¢Â¢ÂµªÒ¡ë¡à¢±¢Ãµ©Á¡ë¡à
(Twitter\¡ñ\«\¢Ã\«Ñ\ª²)

(¢Äª¿ª´¢ì¾ªÒ²©Ã)
ª´¢Â¢Ä¹ ª¤«®¡­«Â
³«Ô¼¡ë²«Ð¼ªÒ\µ\¢ð\Џ¢Â¼\ª®\¡ò\ªØ\¡ø\«Ñ\¹¢±¢Ãµ©Á½«´ ¾«©µ«±ª´¢Ìª¢ªÁ¡­¡Þ
CDI-CIRT\«¡\«Ñ\Џ¢Â¼
(¢Äª¿ª´¢ì¾ªÒ²©Ã)
¡Þ­»«Ô¢Â¢Âª¿µ»ª´
³«Ô¼¡ë²«Ð¼ªÒFFRI ª¤«©ª±½¼«²ª£«ãªÀ«Ò¼ªÒª£¹
(¢Äª¿ª´¢ì¾ªÒ²©Ã)
ª´¢Âª³ªä¢Â¢Â²ª¤ª¢¢î
³ªâª©·³«Ô¼¡ë²«Ð¼ªÒ
¼¹¹ªÔªÀ«Ò¡ë¡à
OWASP Japan
\¡ñ\ª±\Ð\¢ð\¢ù\«´¢Â¼\ªä¢Â¼\ª±
Rakuten-CERT representative
(¢Äª¿ª´¢ì¾ªÒ²©Ã)
¢Äª¢ª©ª£ µ¢î²«¿
\¡¯\ªØ\»\­\«©\¡ñ³«Ô¼¡ë²«Ð¼ªÒ \¡ß\«¿\ª¢\¢´\ª²\¡ë\«³¢Â¼\¡ß ª±«Ôª£¹
ª±ªã¡ëª¤ ª¿ªÂ²©Ã
\¡¯\ªØ\»\­\«©\¡ñ³«Ô¼¡ë²«Ð¼ªÒ \¡ß\«¿\ª¢\¢´\ª²\¡ë\«³¢Â¼\¡ß
\³¢Â¼\ªò\«À¢Â¼\ª²\»¢Â¼\«³\¹\ª¡¢Â¼\«¢
\¡¯\ªØ\»\­\«©\¡ñ³«Ô¼¡ë²«Ð¼ªÒ (\¡¯\ªØ\»\­\«©\¡ñ\ªÓ\«¿\¡ë¢±©Ì¼¡ëTwitter\¡ñ\«\¢Ã\«Ñ\ª²)

³¢ð³¡ëµ­»«Óª³ªòªÀ«Ø
³«Ô¼¡ë²«Ð¼ªÒ\¢ð\«¡¢Â¼\¢±\¢ë¢Â¢Ã\¡ñ\«Ñ\ª±¢Â¢Ã\«Á¢Â¼\¢ë
\¡¯\ªØ\»\­\«©\¡ñ\«¡¢Â¼\«³\©°\¢Ì\¢±\«Ñ

\ªÓ\«¿\¡ë¢ðª³¢ëªä¢ð«±¢ðª´¢ð¢ð\«¡\«³\©°\¢Ì¢±ª¤ª£«´¾©Ãª´«Ñ¢ð«£¢Â¡ñµ»½ªÐ¼ªÔ\¢ð\«Ñ\¢Ä\ªÑ\«©¢Â¼¢Â¡ñª¢½ª±ª´¾©Ãª´«Ñ¢Â¡ñµ»½ªÐ²«Òª¢«¤¢ð«Ò·ª®¢ëªä¢ð·¢ð©¡ª³«²·«Â¡ë«À²«Ñª®ªå¢Ä¢î¢ð·¢ð©°¢ð¹¢Â¡ò\¡ñ\ª±\«À\¹¢ðªÂ¢ð©Î¢ðªÂª©ÐªÁ¢Ä¢ðª®¹©¬©¡ª±ªÀµªÂª¡¢Â¡ò

\¡¯\ªØ\»\­\«©\¡ñ\ªÓ\«¿\¡ë¡òªÐ¡òªÒ\³¢Â¼\ª±
QR\³¢Â¼\ª±