Автоматизированный Крипт сервис ExeCrypt.com 2.0

[execrypt.com]

Автоматизированный Крипт сервис ExeCrypt.com reloaded 2.0

:: ExeCrypt это:

• Автоматизированный Крипт x32 EXE PE файлов (а также и DLL и x64 Exe).
• Автоматизированный интерфейс приёма оплаты (WebMoney, BitCoin).
• Чистый C++, без зависимостей от сторонник библиотек.
• Криптор Полиморфный. Генерируется исходник на C++, морфится код криптора и декрипторы, генерируются исполняемый мусорный код, фэйковый импорт и случайные связки API вызовов, которые !реально исполняются а не перепрыгиваются!
• Безлимитные тарифы и разовые крипты.
• Работоспособность в системах от WinXP SP2 до Windows 10 TP x32 и x64, WinServer 2003-2013.
• Умный PE Loader (настройка образа в памяти), поддержка механизмов TLS, SEH, восстанавливаем стек, регистры.
• Поддержка файлов трансформеров Exe->Dll.
• Отображение результата детектов у криптованного файла сразу на !двух авчекерах: avdetect и scan4you. - Вы Сами решаете оплачивать за файл или нет!
• Сохранение оверлея, добавление в файл манифеста, произвольная генерация версии инфо.
• Умный Генератор фэйковых ресурсов, картинок, диалогов, морфер иконок.
• Продвинутый антиэмулятор. Файл запускается моментально, без задержки запуска и прочих нубби триков.
• Правильный формат PE файла на выходе из под компилятора, выровненная энтропия.
• Возможность заказать собственный приватный крипт на отдельном сервере.
• Автозаливы криптованных файлов на ваши фтп по требованию.
• Наличие API Интерфейса, доступны примеры на PHP и C.
• Грамотный саппорт, возможность проверки файла на работоспособность при первом крипте.
• Гарантии на закриптованные файлы.
• Работаем 24х7, всегда FUD.
• и многое другое...

Наш сайт: www.execrypt.com
Наши контакты:
• support_execrypt@exploit.im
• support_execrypt@zloy.im

Проверка на xss.pro/ - _https://xss.pro/index.php?topic=25617
Обзор на exploit.im - https://exploit.in/forum/index.php?showtopic=86401

 

[TrueMind]

[mod][TrueMind:] Проверка пройдена![/mod]

-Предисловие: Т.к. не все мемберы могут понять, что я демонстрирую на скриншотах и выражаю в виде дизасмов, весь текст, что выделен зеленым цветом - мои скромные комментарии и пояснения.

ExeCrypt:

На проверку крипта были отосланны три ехе файла.
ЯП: С++. (Microsoft Visual C++ 9.0 - Visual Studio 2008)

Строение и хранение:

Как сказал ТС, в текущей реализации шифрованный буфер скрыт в секции .rsrc, но опционально буфер могут размазать по всем секциям так называемыми "чунками", с контролем за энтропией на каждом участке буфера.

Энтропия:
1.

2.

Как нам показывает утилита exeinfo-pe, в строке Diagnose: Very not packed, это очень хороший признак того, что энтропия у файла выровнена верно.

Импорт:

Импорт также морфится. Как я понял, в импорте у ТСа генерируются библиотеки по статистике появления тех или иных апи, подобно легитимному софту.

Ресурсы:
1.

2.

3.

Видно, что версия инфо генерируется рандомная.

Опционально генерятся фейк ресурсы:

Код:
1.

2.

3.

Как мы можем видеть, поток управления и вправду не скачет через апи вызовы а заходит в них, чтож хороший тон. Также видно что помимо мусора в WinMain, генерируются мусорные функции, которые вызываются в произвольном порядке.

Графы потока управления кода:
1.

2.

3.

Видно что графы разнятся, и что код не плоский, с нормальной рандомизацией.

* Размеры файлов на выходе могут достигать +-150 кб. ТС прокомментировал этот факт тем, что для обхода детекта аваста ево-ген приходится сильно пампить файл мусорными байтами.

Морфер иконок:
ТС настоял на том, чтобы я проверил и его дополнительно предоставляемую услугу - морфер иконок, чтож, вот он:

На вход подаётся иконка (нюанс морфа в том, чтобы в ней был подвид 32 битных иконок, именно они морфятся, остальные удаляются):

Указывается желаемое кол-во морфленных иконок, и запускается морф, и через пару секунд в указанной папке появляется стопка морфленных иконок:

Визуально не отличимо для глаза:

Но на уровне байт это абсолютно разные файлы:

Чтож, тех кто дочитал до этого места могу поздравить, и поделиться тестами самой няши - рантайм тестами:

Стоит отметить, что ТС сам вызвался устроить данного рода проверку, что меня несомненно порадовало - так как не так сильно важно, что статическеские тесты покажут на AvDetect или scan4you, как важно что покажут реальные тесты при запуске на реальных системах с живыми аверами последних версий и с последними обновлениями.
*Тесты проводились на Windows 7 х32 и х64 разрядностей отдельно.
**Тесты проводились на криптованном Putty (патти).

Win 7 86:
Avast - Good
AVG - Good
Avira - Good
BidDef - Good
Eset Nod32 Smart Security - Good
G-data - Good
KIS - Good
McAfee LiveSafe + Internet Security - Good
Norton - Good
Trend Micro Internet Security - Good
MSE - Good

Win 7 x64:
Avast Premier - Good
AVG 2015 - Good
ESET NOD32 Antivirus - Good
ESET Smart Security - Good
Kaspersky Internet Security - Good
Trend Micro Internet Security - Good
McAfee LiveSafe – Internet Security - Good
Bitdefender 2015 - Good
G-data - Good
Norton Security - Good
Avira Start Antivirus Pro- Detected
MSE - Good

*Не ясно повела себя авира на х64 системе - указала что детект облачный, но мне всё таки показалось что это сигнатура...

Статические детекты:
http://avdetect.com/result/456fe4792a79d70...f792098916f63d5
http://scan4you.net/result.php?id=cfbb2_falnjp

В целом данный тест можно назвать зачетным, т.к. по сути все топовые ав вендоры позволили запустить файл без каких-либо, алертов и предупреждений.

Видео отчеты о запусках с рантайм тестами заливаю на мегу.
Осторожно! В распакованном виде видео весит кучу гигов . В сжатом виде ~95 mb +~15 mb тесты на MSE, которые залил позже:
https://mega.co.nz/#!HpsCEBpZ!PilBS...YGKOSacU75-Ju4c - видео тестов.
https://mega.co.nz/#!P0MiEQAB!iX_nA...rtW46sDA9TtSKkY - +мсе
https://mega.co.nz/#!f9tmxYBA!sh6-J...WJZP47_fTzeM5aA - скриншоты в архиве.
Пасс на архивы: 12345

P.s. В целом от качества крипта и от общения с ТСом осталось приятное впечатление.
P.s.s. Овнерам других крипт сервисов предлагаю идею проверки на рантайм-тесты на аверах провести вместе, дабы иметь представление о реальной обстановке дел при запуске файла, а не только на статичном скане.
P.s.s.s. Спасибо за внимание!

 

[Blackbeard]

интересный сервис

 

[Sauron]

on the price and adequate
against, has greatly increased the stub file.exe is greater than 500kB,
exemple:bot locker,size file.exe,660kb,increased to +1.145mb,that's bad

 

[execrypt.com]

TrueMind, спасибо Вам за обзор!

Sauron

on the price and adequate
against, has greatly increased the stub file.exe is greater than 500kB,
exemple:bot locker,size file.exe,660kb,increased to +1.145mb,that's bad

If input file size is stronger then 200 kb, output will be increased anyway to leave entropy level at normal value. Feel free to compress crypted file with any executable compressor like UPX and you will get file size like input. But we do not interested in crypting file more then 400-500 kb, because it is hard to support for a long FUD and due to entropy file must be pumped anyway.

 

[integra]

Так агде\кто проводил раантайм тесты?

 

[execrypt.com]

Я и TrueMind.
А на вопрос где, читайте внимательней обзор.

*Тесты проводились на Windows 7 х32 и х64 разрядностей отдельно.
**Тесты проводились на криптованном Putty (патти).

 

[execrypt.com]

Предоставляю услугу Качественного ручного крипта с персональным (уникальным) стабом (генерируется и морфится разные код, импорт, апи, ресурсы), C++ без зависимостей и фреймворков!
Гарантия 12 часов*. Цена $50.
Прямой контакт:

* - гарантия распространяется только на непрогруженный файл

 

[Jartes]

Все очень круто конечно. Но файл после такого крипта почему-то начианет палиться, как новогодняя елка, сразу через 20 минут после покупки. Собственно до начала его использования. И по новому закриптоваться этим же криптором уже не может.

 

[execrypt.com]

Все очень круто конечно. Но файл после такого крипта почему-то начианет палиться, как новогодняя елка, сразу через 20 минут после покупки. Собственно до начала его использования. И по новому закриптоваться этим же криптором уже не может.

Такое может происходить в момент, когда саппорт заливает новый чищенный движок в замен тому, что палится, в итоге некоторые файлы успевают замениться, а другие в силу того, что в этот момент происходит рекрипт - клиенту достаётся грязный крипт. Этот вопрос решается простым обращением к саппорту, который бесплатно позволит перекриптовать Ваш файл с устраивающим Вас результатом.
В любом случае этот и подобные вопросы решаются через саппорта.
Мы всегда идем на уступки и готовы помочь в завясящих от нас вопросах нашим клиентам.

хотели бы получить руку на этом

Is your native language is English? If so, then please feel free to write us in English.
Google Translate is seems very ugly

 

[execrypt.com]

Из новостей хотелось бы добавить тот факт, что мы модифицировали наш апи, пофиксили мелкие баги, и баг с переполнением файлов по кол-ву. Вы сами можете удалять ваши файлы после скачки, а также теперь доступен опциональный выбор на скан на авдетекте или\и скан4ю после крипта прям из апи!

Скачать наш апи можно тут:
Download API file (для PHP >= 5.2.0)
Download API file (для PHP >= 5)

 

[execrypt.com]

Мы спешим сообщить Вам, что после довольно мощной Ддос атаки мы были недоступны в ночь на 6-ое мая и частично недоступны на утро 7-го мая для IP некоторых стран как временное решение, пока наш антиддосер не отфильровал 100% запросов и не вернул работу в стандратный режим.

Хотелось бы также отметить, что никакая Ддос атака не помешает нам исполнять наши обязанности перед клиентами, и файлы клиентов обрабатывались саппортами вручную по запросу через жабер, а уже к обеду был поднят и приведен в актуальное состояние наш второй сервер зеркало (http://execrypt.org) уже на другом хостере и с альтернативной защитой Антиддоса.

Разовый крипт теперь стоит $15! И да, это нативный c++, никаких зависимостей от сторонних библиотек. (Просто мы понимаем, что при текущих тенденциях не все могут позволить себе безлимитные тарифы, а $15 за разовый крипт уже более адекватная цена.). С полной тарификацией Вы можете ознакомиться у нас на сайте.

Поздравляем всех с наступающим Днем Победы!
Всем мирного неба над головой и спасибо что Вы остаетесь с нами!

 

[execrypt.com]

Небольшое эссе по детекту софта в памяти.

Для начала хотелось бы отметить тот факт, что Eset NOD32 и MSE уже активно обнаруживают в памяти до 80% всего софта.
Одни считают, что во всем виноват крипт, другие же утверждают, что проблемы конкретно с софтом.
Отчасти оба утверждения являются неверными, и давайте попробуем разобраться почему.
Так называемые "новые технологии" антивирусов (детект софта в памяти) застали врасплох и крипторов и софтописателей.

У крипторов есть несколько путей решения данного вопроса, !но существующие сегодня решения далеко не идеальны и подчас неприменимы в реале.
Мы проработали два варианта, и они оказались в разной степени не эффективными, и вот почему:

Для первого метода существенным ограничением является невозможность поддержки многопоточных приложений. Они тупо переставали работать после применения способа через так называемую отладку исключений, где пошифрованный код приложения с помощью прерываний расшифровывается по частям с помощью наших декрипотров. (Т.е. ограничение в этом случае - возможность таким способом криптовать только однопоточный софт.)
Во втором случае, (так как сигнатуры чаще всего ставят на секцию кода), нам нужно было под каждый софт затачивать код криптора (выискивать и ставить в опредленных стратегических местах т.н. патчи (безусловные переходы), перехватывать их, и используя свои обработчики дешифровать код по частям), что оказалось непосильной задачей в масштабе кучи различного софта.

Самым актуальным и эффективным методом на сегодняшний день является именно морфинг сорцов.
Так как у нас уже сложился довольно большой опыт и приличное количество наработок в этой сфере, мы можем (с некоторыми ограничениями) обеспечить недетектируемость вашего софта в памяти путем частичного\полного морфинга исходного кода (в настоящий момент есть возможность морфить только C\C++ код). Задача морфа исходного кода в масштабе целого проекта - задача достаточно сложная, ресурсоемкая, и в бОльшей степени должна сопровождаться ручными вмешательствами (для правильной работы парсера, при разборе исходного кода, оригинальный код сначала нужно привести в определенный, понятный парсеру вид), нужно не перебить заложенного в оригинальный код полезный функционал, не вызвать последующих ошибок и перегузок в процессе перестроения графа потока управления, исключить возможность присутствия бесконечных циклов и прыжков в не размеченную область памяти и просто огромная куча других нюансов.

Что это даст в конечном итоге?
1. Софт перестанет обнаруживаться в памяти Eset NOD32 и MSE, что даст хороший прирост в вашем деле (смотрите сноску в конце поста со статой на инюнь 2015 года по охвату рынка соответствующими антивирусами).
2. Софт станет существенно сложнее реверсить вручную и автоматизированным роботам станет сложнее классифицировать софт однозначно.

Стоимость услуги и любые другие условия обговариваются сугубо индивидуально.

И да, мы хорошо понимаем, что исходный код Вашего софта это сугубо приватная ценность для Вас, но как уже было сказано выше, на данный момент просто нет другого реального способа решить данную проблему детекта в памяти. Со своей стороны мы гарантируем отсутствие утечек, исключающие возможность попадания любых ваших файлов в третьи руки.

По интересующим Вас вопросам обращайтесь на corusell@exploit.im.

Стата за июнь 2015-го года по покрытию антивирусами рынка.

https://www.opswat.com/resources/reports/an...ce-january-2015

 

[execrypt.com]

Внимание! На дворе август месяц, а у нас весь месяц будет проходить акция "execryptификация"
А это значит, что при обращении к нашим саппортам и отправки им кодового слова ("execryptификация"), вы получаете скидку на разовый крипт в размере 5$ на весь месяц (до 31.08.15 включительно), т.е. разовый крипт для вас будет всего 15$.
И это не единственная приятная новость. Тем временем мы проверили совместимость нашего крипта с недавно вышедшей официальной версией Windows 10, и спешим сообщить, что всё работает на ура.
Также мы разработали эффективные алгоритмы (антиэмуляторы) противодействия AVVM MSE, и они уже успели доказать свою состоятельность и стойкость.

p.s. Недавно один наш заказчик задал нам интерсный вопрос:
- А как я, (малоопытный в делах крипта) могу проверить качество крипта от разных крипторов и выбрать лучший вариант для себя, ведь предложений на рынке предостаточно.
Поразмышляв немного нами был дан ему следующий ответ:
- Предложений на рынке и вправду прилично, но суть заключается в том, что сделать крипт FUD один или несколько раз сможет даже среднего класса кодер, а вот держать реальный трафик, измеряющийся десятками и сотнями тысяч К трафа в сутки на протяжении длительного (несколько лет) времени сможет только тот криптор (или команда), чья квалификация и навыки в противодействии АВ нарабатывались временем, попутно развивая технологии противодействия.

Возможно кому-то будет интересен наш ответ на данный вопрос, и ах да...
Желаем Вам, уважаемые пользователи, работать с исключительно грамотными и опытными в этих делах крипторами, ведь ваш каждый спалившийся инсталл, это потенциальный удар по вашему бюджету.

Всем мира.

 

[DarckSol]

Был спорный момент, списался с владельцем проекта, все решилось за 15 минут.
Сервис нормальный, админы адекватны. Буду использовать их услуги в дальнейшем.

 

[execrypt.com]

Всем спасибо за Ваши отзывы, мы же в свою очередь всеми силами стараемся оправдать оказанное нам доверие.
Сейчас мы встраиваем в криптор новый движок, основанный на генетических алгоритмах, и скоро покажем еще лучшее качество и еще более долгоиграющий фуд.
Хочется напомнить, что у нас имеется дубликат API на втором сервере (на случай, если вдруг наш могучий антиддос вдруг заблокировал вас) и вы можете настроить запасной вариант на него.
За более подробной информацией пожалуйста обращайтесь к нашим саппортам.