Paradise.exe

@ProstoPoc вкинул в конференцию программу paradise.exe, которую нашёл на просторах даркнета. Архив с ней был выложен в канале DarkGodnota 21 июля 2018 года.

В разделе Ajuda (“помощь” с испанского) содержится текст, примерный перевод которого:

Вторая часть будет доступна после завершения первой.

Строчные и прописные регистры буквы имеют значение. -Тип: имена начинаются с заглавной буквы. Анализируйте всё.

Если вы закрываете программу, рекомендуется записывать ответы. (Ответами могут быть фразы и/или слова)

Первая часть

1.

В первом послании оказался двоичный код, еле заметный шифр морзе снизу и ссылка сверху.

Расшифровываем. Код даёт “Esteganografia“, морзянка – “HOPOLARIS“, а по ссылке загружается архив, паролем к которому служит декод морзянки. Внутри запароленного архива лежит (ну-ну, что вы думаете?) ещё один запароленный архив. И картинка.

Да, та же, что на фоне

Открываем картинку текстовым редактором и мотаем вниз, видим подпись “0o9i8u7y6t5r” – это пароль ко второму архиву. В нём находится файл click.bat.

Он открывает множество раз домен www.shafou.com, который сейчас недоступен, зато веб-архив показывает, что когда-то там размещался ужасающий скример(!) и внизу располагались QR-коды. Они рекламные, не обращаем внимания.

Если просмотреть содержание батника, то в нём заметна ссылка на onion-сайт. В данное время сайт не работает, но он тоже доступен в веб-архиве. Это Parazite, он имеет кучу ссылок на другие ресурсы. Он же является конечным ответом к данной задаче. Итак, Ответ – “Parazite”

2.

Во втором послании три текста, один из которых в b64, при декоде:

A bandeha faz parte da equie. 35.1982836#11.651302

Флаг является частью команды.“, координаты ведут в Средиземное море.

В другом тексте этого номера оказался hex-шифр, при расшифровке он дал фразу

Maybe i cry… or maybe i just see the planes falling of sky. 32 09 15.15 n 110 49 51.98 w

“Может я плачу … или, может быть, я просто вижу, как самолеты падают с неба.”

n – north (север), w – west (запад)

Это привело к аэропорту Aircraft Graveyard Arizona.

3.

В третьем послании изображение тарбозавра, взятое из гугла. В имени окна буква “H”.

4.

“VI IV” в названии окна. Отсылка к base64. Это и есть ответ.

Ответ – “base64”

5.

В названии окна написано EnCrypT10n (Encryption – Зашифровано), на картинке закодировано слово “Criptografia”.

Вторя часть

Треугольник в названии, цифры и путь /file/5p6n2wm48axfp6d/nexxt.rar внизу.

На этом предлагаемый путь решения всё. Преимущественно вкладывались @sidholly, @ProstoPoc и @beautiful_agony. Если вы представляете, как решить оставшиеся задания, то сообщайте.


А теперь альтернативное решение.

Сохранившаяся информация о дизассемблировании приложения Vitor Project.exe из файлов программы на португальском представлена первой и третьей частями. Недостающие главы назывались “Part 2: Tips on the riddle, metadata. – 04/17/2018“, “Part 4: Running the Binary – Screenshots – 06/02/2018” и “Part 5: Finding all the answers – Final. – 06/02/2018“. В них автор узнаёт, что данное приложение содержит весь механизм работы программы, включая, соответственно, правильные ответы.

Достаточно быстро ситуацию вырулил пользователь с именем Zecora. Ниже будет описана проделанная ею работа.

Вначале открываем Exeinfo PE, смотрим, не под .NET ли файл.

Убедившись, закидываем программу в любой .NET декомпилятор – например, dotPeek (так же можно поступать с простыми вирусами и мутными программами, определяя, что должно происходить при их запуске).

И… всё. Выписываем правильные ответы к первой части:

Если ответ к третьей загадке – слово “самолёт” на португальском. Пускай язык ещё можно угадать, но ответ ко второй является фраза “Альтернатива для Германии”. Как она может быть связана со Средиземным морем не очень ясно. Помимо того, в ответах, как указывал автор, важны регистры букв, и почему ответы на 3 и 4 пишутся с маленькой, а остальные с большой – тоже непонятно.

По первым буквам ответов выходит “paabdp”. Но, почему-то, верным решением первой части считается слово “pandp”.

Ответы к обеим частям:

После решения должна была открываться ссылка на дискорд. Там 5 каналов – “добро пожаловать”, “общий”, deep web, enigmas, ideas. Пусты все, кроме первых двух.

Перевод приветственного сообщения в первом канале:

Aham 24.03.2018

Добро пожаловать в Рай. Если вы добрались до сюда, скорее всего, вы обладаете интеллектом выше среднего, мы хотели бы, чтобы вы присоединились к группе для решения головоломок, не связанных с Deep Web. Конечно, мы также хотели бы поделиться знаниями по различным предметам. Если десять человек присоединятся, оставайтесь в группе и никому не говорите об этом, будьте анонимными и осторожными. Рекомендуется использовать Clownfish для разговоров в голосовом чате. Админы будут выбраны в зависимости от времени, которое они проводят в группе, способствуя различным целям. Спасибо за внимание и рассчитываем на ваше присутствие.

Вторая часть впереди, Апрестос может уйти… Только одна сила может это закончить.

 Добро пожаловать в Рай. Если вы добрались до сюда, мы надеемся, что вы очень умны и быстро думаете. Так что… если хотите, мы будем признательны, если вы присоединитесь к американской группе по ссылке ниже и поможете нам с другими головоломками или чем-то связанным с этим.

American Paradise – версия дискорд-сервера для общения на английском (осторожно, его заспамили шок-контентом).

В целом до конца добралось не слишком много людей, а чаты давно заброшены и не модерируются. Насчёт второй части ничего не известно.

Такое решение кому-то могло показаться нечестным, но когда идей для продвижения больше нету, оно становится единственным рациональным. Ещё, при наличии интереса, можно расспросить прошедших людей из дискорда об их путях достижения финала.


Сам создатель файла в дискорде уже не сидит, но попробуем узнать его получше. В профиле Aham’а указанны его ники в скайпе (tartaruganinja77) и в League of Legends (MarvimJV), а в файле приложения указана директория до базы данных – C:\Users\mxd46\Desktop\V.B Projects\Vitor 1\Vitor Project\Vitor Project\obj\Debug\Vitor Project.pdb. Интересно, что mxd46 – это, похоже, уникальный ник создателя проекта. Гугление по нему ничего не даёт, но найти того, кому он принадлежит, можно и без этого.

По запросу “tartaruganinja77” в гугле находится видео с португальского канала, в описании здесь указан скайп с этим ником. Имя канала – João Victor dos santos – напоминает название VitorProject.

Marvim ака Vitor ака Aham в 2012

И вроде бы всё совпадает, но ни одного намёка на загадки, программирование и интереса к тайным знаниям пока нет. Тогда ищем по второму нику Aham’а, находим другой канал на португальском, название MarvimXD аналогично MarvimJV. Видео здесь нет, зато среди дружественных ему каналов выделяется ещё один. Тоже Victor. И… число 3110 в урле как бы намекает.

Среди просмотренных и пролайканных видео всего 13 содержат слово “enigma” в названии. Значит, он. Можно сворачиваться.

Напоследок хочется напомнить о важности придумывания новых ников для новых проектов, если они не должны выдавать вашу старую деятельность, как о самом простом методе затирания информации, чтобы не разрушить всю задумку. Вместе с тем стоит следить, как они связаны между собой и возможно ли по одному найти другие, проводящие, например, ломаную линию из арг-квеста в даркнете до записанных в 2012 году видео по майнкрафту.

https://t.me/netstalking_godnota