Удивляюсь как это работает. С одной стороны очевидно виноват пользователь. Чтобы не попадать в подобные ситуации, достаточно элементарных правил компьютерной гигиены. (сам не пользуюсь антивирусами уже лет 5 :idk: ) Но ведь пользователь иной раз не хочет их учить и именно для этого платит за антивирус. А антивирус, когда не справляется, отправляет в правоохранительные органы.
А закончится это тем, что запретят ТОР и биткоины т.к. создатели шифровальщиков предлагают жертвам контактировать через него и расплачиваться биткоинами.Скрытый текст
[свернуть]
Но всех бессмертней тот, кому сквозь прах земли
Какой-то новый мир мерещился вдали — Несуществующий и вечный,
Кто цели неземной так жаждал и страдал,
Что силой жажды сам мираж себе создал
Среди пустыни бесконечной.
Потому что документ приходит от кого-то знакомого, кто есть в адресной книге и с разумной темой. В ту контору, про которую я говорю, пришёл главбуху "акт сверки" от контрагента. Она поэтому и думать не стала, а открыла. Как потом выяснилось, в той конторе тоже пошифровало много.
Последний раз редактировалось morda911; 11.10.2016 в 20:58.
ой, чот напугали, теперь не буду вообще в почту заходить, онли бумажные варианты, онли почта России
Последний раз редактировалось xaos-x; 11.10.2016 в 21:33.
Если это все на диске C и Windows Volume Shadow Copy включена - вытаскивай через Properties - Previous Versions.
Если нет - восстановить невозможно.
Кто здесь?
А я слышал что там на почту приходит просто вордовский файл, а при открытии происходит скрипт скачивания и запуска шифровальщика (это же вызывает меньше подозрений чем .js в архиве, нет?). Поищи в интернете и попробуй к Касперскому обратится , если файлы важны. Ну и храни любые важные изменения в облаках .
если шифровать большие объёмы одним ключом или шифруемое содержит заведомо известное или однородное содержание, то не очень сложно можно расшифровать. а городить огороды с рандомизацией шифруемого или использование набора сменяемых ключей представляет трудности для вирусописателя, ориентированного на лёгкое получение профита.
- - - Добавлено - - -
чем правильнее настроена инфобезопасность, тем неудобнее пользователю. правильный админ говорит как надо и с него взятки гладки, потому что бухгалтеру проще переделать свою работу на год, чем выполнять глупые рекомендации
Не знаю, я так сильно в этой теме не разбирался. Возможно, в этом нет необходимости, т.к. и так пробив и улов у них большой. Кому-то может мозгов не хватает. Мб кто-то не все вычищает перед релизом (какие-нибудь дебажные функции для отладки на случай косяка \ мастер-ключи, хз). Кто-то мб мнит себя крутым и придумывает свою крипту, которую ломают.
Ты хочешь сказать, что для тебя не очень сложно будет взломать AES или RSA в описанных тобой условиях? ) Сказки какие-то или я отстал от жизни. Я еще понимаю, ребята из ведомств, но обычный чел с форума? ) Не верю.
Последний раз редактировалось shr; 11.10.2016 в 22:17.
План сохранения сообществ на случай закрытия sc2tv, Опрос и обсуждение
sc2tv open source - Список чатов сообществ (пока руки не дошли начать пополнять), old chat, sig
баскетбол в спб?
я рассказал алгоритм дешифровки, которому в школе учат в ответ на вопрос, как дешифровщики ещё работают. боже меня упаси это реализовывать.
я, кстати, алгоритм морды пропустил, там двойное шифрование, жуть просто. не знаю, стоит ли анализировать слабые места в алгоритме шифровальщика морды
Я уже был приглашён смотреть на последствия, не знаю что было... А она сама не отличает.
- - - Добавлено - - -
Режим CBC спасёт начинающего шифровальщика.
- - - Добавлено - - -
В его случае профитнее прислать, тогда будут слёзные отзывы "пришлось башлять - расшифровали", и у новых жертв будет просто борьба между жадностью и желанием вернуть документы.
- - - Добавлено - - -
Проанализируй.
чисто теоретически
Шифрование однократное: AES-CBC рандомным ключом. Ключ для AES зашифрован публичным RSA-1024 из тела вируса и присобачен к зашифрованному документу. Злоумышленнику присылается документ, тот вытаскивает из заголовка зашифрованный AES ключ, расшифровывает своим секретным RSA-1024, и высылает пострадавшему.
В результате ключ всё время разный, шифрование AES пока что не сломано, с уязвимостью даже 1024-х битного RSA не согласны Ривест, Шамир и Адлеман.[свернуть]
Последний раз редактировалось morda911; 11.10.2016 в 22:55.
morda911, только по отдельности с каждым файлом так делать - заколебутся файлы туда-сюда гонять.
Кстати, что-то я сразу не сообразил. Если в вирусе есть функция дешифровки, то ребятам из антивируса не обязательно париться с криптой - им достаточно найти эту функцию и с ней разобраться.
План сохранения сообществ на случай закрытия sc2tv, Опрос и обсуждение
sc2tv open source - Список чатов сообществ (пока руки не дошли начать пополнять), old chat, sig
баскетбол в спб?
Они ж не бесплатно. Если количество будет большим до страдания, они слишком быстро миллионерами станут.
Алгоритм-то известен: https://ru.wikipedia.org/wiki/Advanc...ption_Standard Только без ключа это ничего не даёт.
Если кто-нить увидит инфу как расшифровывают и почему, киньте в меня ею, пожалуйста. Оченно любопытно.
Последний раз редактировалось morda911; 11.10.2016 в 23:22.
mOons, прогони жесткий любой программой для низкоуровневого восстановления утеряных файлов. Мне в подобном случае помог rs-studio.
morda911, да, я запутался. Без ключа в твоей схеме облом. Я на автомате подумал о варианте, когда все зашито в шифровальщике.
Кстати, да. Федор_Сумкин прав. Если автор шифровальщика затупил и не сделал безопасное удаление оригинала, то можно попытаться восстановить удаленные файлы, если их еще не перезатерло. Только опять-таки лучше делать бэкап винта полный, а потом спокойно работать.
Последний раз редактировалось shr; 11.10.2016 в 23:28.
План сохранения сообществ на случай закрытия sc2tv, Опрос и обсуждение
sc2tv open source - Список чатов сообществ (пока руки не дошли начать пополнять), old chat, sig
баскетбол в спб?
Обратно не надо, только туда, чтобы извлечь из него ключик, да и на каждый файл не нужно, зачем? Даже если бояться, что заголовки всех файлов одинаковые и будут шифроваться одинаковыми ключами, то можно дописывать впереди рандомных байтиков на длину ключа, при расшифровке выкидывать. Не TOP SECRET же.
Попробовать r-studio - это мысль!
Последний раз редактировалось morda911; 11.10.2016 в 23:45.
сейчас можно купить хоть эцп дойчебанка которая была однажды украдена ботнетом и этой подписью подписать что угодно. стоят такие подписи от 20 баксов
позволю себе обьяснить как вирус шифрует все файлы. они шифруются одним и тем же паролем(таким длинеым что никто и никогда его не подберет). уникальным для каждой из жертвы. пароль этот скачивается с сервера шифровальщика в зашифрованом виде, (https по протоколу диффи хелмана), хранится он же на сервере чтобы вы могли его купить.
таким образом шифрование начинается после соединения с интернетом и получением пароля шифрования.
после этого шифровальщики отключают ваши любимые "предыдущие версии файлов" а именно службу теневого копирования и пока вы сидите на форуме он шифрует все файлы ключем который невозможно узнать, только если вы не делаете дамп оперативки во время шифрования файлов, а никто конечно из вас его не успеет и не сможет сделать. шифровальщик всегда обойдет антивирус потому что это уже гарантированно при покупке этого шифровальщика и проверено его покупателем (который вас доит на бабки)
спастись от этого никак нельзя и ничем только делая резервный диск ос и документов на внешний хард и выдергивая его из порта на время хранения. хотя одна защитная программа есть и это не антивир.
современные шифровальщики даже перезаписывают пустое место на жестком диске чтобы вы вообще ничего не восстановили и шифруют флешки.
я советую хранить важные файлы в облаке и открывать ВХОДЯЩИЕ офисные документы тоже в облаке в браузере например в google drive где они ничего вам не смогут сделать
вообще есть бесплатная программа которая блокирует вирусы и шифровальщики но производители антивирусов не особо ее афишируют чтобы нужна в антивирусах не снижалась.. профессионалы и так знают о ней, я напишу ее в личку тем кто занесет 300 р на телефон, подробности в личке. в подарок могу дать выловленный образец шифровальщика поиграться с ним если кому интересно (doc документ)
Последний раз редактировалось Nuclear.net; 12.10.2016 в 10:05.
Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)