HELP!!! Вирус шифровальщик!

[Kadabra]

я даже не знаю как так получилось. меня просто подозвали к компу. И сказали : "что то тут не так, исправь" . говорят ни какие почты не открывали...

знаем мы как это получается. сначала "ничего не делали", а потом винду приходится сносить просто дави на то, что само по себе ничего не ломается. либо по баннерам кликала, либо файлики в почте открывала.

[JesusChrist]

Удивляюсь как это работает. С одной стороны очевидно виноват пользователь. Чтобы не попадать в подобные ситуации, достаточно элементарных правил компьютерной гигиены. (сам не пользуюсь антивирусами уже лет 5 :idk: ) Но ведь пользователь иной раз не хочет их учить и именно для этого платит за антивирус. А антивирус, когда не справляется, отправляет в правоохранительные органы.

Скрытый текст

[свернуть]

А закончится это тем, что запретят ТОР и биткоины т.к. создатели шифровальщиков предлагают жертвам контактировать через него и расплачиваться биткоинами.

[morda911]

Но я все еще не понимаю, насколько нужно быть упоротым, чтобы не обратить внимание, что письмо с ссылкой на документ об оплате пришло с хостинга yahoo.co.jp от некоего "Вацлава Васичека" (польское же имя, разве не учила вас мама никогда не доверять полякам?) , что сам архив с файлом находится на сервере http://imakeupcourse.com , не задуматься и не насторожиться даже после того, как скачав архив видишь внутри файл с расширением .js .Человек все равно задорно кликает по файлу, да еще и не раз, да еще и удивляется, что ничего не открывается. (-: нет человеку конечно потом плохо, но я каждый раз представляя этот процесс не могу сдержать смеха. Естественный отбор. И даже доктор веб с актуальными базами и купленный как-то ругать не хочется.

Потому что документ приходит от кого-то знакомого, кто есть в адресной книге и с разумной темой. В ту контору, про которую я говорю, пришёл главбуху "акт сверки" от контрагента. Она поэтому и думать не стала, а открыла. Как потом выяснилось, в той конторе тоже пошифровало много.

[xaos-x]

ой, чот напугали, теперь не буду вообще в почту заходить, онли бумажные варианты, онли почта России

[kapustich]

Потому что документ приходит от кого-то знакомого, кто есть в адресной книге и с разумной темой. В ту контору, про которую я говорю, пришёл главбуху "акт сверки" от контрагента. Она поэтому и думать не стала, а открыла. Как потом выяснилось, в той конторе тоже пошифровало много.

Сори начало попустил. Открыла она exeшник или чет другое?

[DoctorLife]

Если это все на диске C и Windows Volume Shadow Copy включена - вытаскивай через Properties - Previous Versions.
Если нет - восстановить невозможно.

[Alekcan]

А я слышал что там на почту приходит просто вордовский файл, а при открытии происходит скрипт скачивания и запуска шифровальщика (это же вызывает меньше подозрений чем .js в архиве, нет?). Поищи в интернете и попробуй к Касперскому обратится , если файлы важны. Ну и храни любые важные изменения в облаках .

[NTmY]

Я до сих пор удивляюсь, что утилиты для дешифровки помогают. Что мешает генерировать случайный ключ, его использовать для AES-шифрования исходного документа и прицеплять к получившемуся добру, шифранув своим публичным RSA?

если шифровать большие объёмы одним ключом или шифруемое содержит заведомо известное или однородное содержание, то не очень сложно можно расшифровать. а городить огороды с рандомизацией шифруемого или использование набора сменяемых ключей представляет трудности для вирусописателя, ориентированного на лёгкое получение профита.

- - - Добавлено - - -

а админ который разрешил запускать неподписанные файлы на машине пользователя не лох ? почему ни контроль учетных записей не настроен ничего...

чем правильнее настроена инфобезопасность, тем неудобнее пользователю. правильный админ говорит как надо и с него взятки гладки, потому что бухгалтеру проще переделать свою работу на год, чем выполнять глупые рекомендации

[Namynnuz]

ориентированного на лёгкое получение профита

А он обязан после оплаты отправить ключ? Наоборот, всегда писали — ничего не платите мошеннику.

[NTmY]

А он обязан после оплаты отправить ключ?

ну, если он благородный, то да.

[shr]

Я до сих пор удивляюсь, что утилиты для дешифровки помогают. Что мешает генерировать случайный ключ, его использовать для AES-шифрования исходного документа и прицеплять к получившемуся добру, шифранув своим публичным RSA?

Не знаю, я так сильно в этой теме не разбирался. Возможно, в этом нет необходимости, т.к. и так пробив и улов у них большой. Кому-то может мозгов не хватает. Мб кто-то не все вычищает перед релизом (какие-нибудь дебажные функции для отладки на случай косяка \ мастер-ключи, хз). Кто-то мб мнит себя крутым и придумывает свою крипту, которую ломают.

если шифровать большие объёмы одним ключом или шифруемое содержит заведомо известное или однородное содержание, то не очень сложно можно расшифровать. а городить огороды с рандомизацией шифруемого или использование набора сменяемых ключей представляет трудности для вирусописателя, ориентированного на лёгкое получение профита.

Ты хочешь сказать, что для тебя не очень сложно будет взломать AES или RSA в описанных тобой условиях? ) Сказки какие-то или я отстал от жизни. Я еще понимаю, ребята из ведомств, но обычный чел с форума? ) Не верю.

[NTmY]

Ты хочешь сказать, что для тебя не очень сложно будет взломать AES или RSA в описанных тобой условиях? ) Сказки какие-то или я отстал от жизни. Я еще понимаю, ребята из ведомств, но обычный чел с форума? ) Не верю.

я рассказал алгоритм дешифровки, которому в школе учат в ответ на вопрос, как дешифровщики ещё работают. боже меня упаси это реализовывать.
я, кстати, алгоритм морды пропустил, там двойное шифрование, жуть просто. не знаю, стоит ли анализировать слабые места в алгоритме шифровальщика морды

[morda911]

Сори начало попустил. Открыла она exeшник или чет другое?

Я уже был приглашён смотреть на последствия, не знаю что было... А она сама не отличает.

- - - Добавлено - - -

если шифровать большие объёмы одним ключом или шифруемое содержит заведомо известное или однородное содержание, то не очень сложно можно расшифровать. а городить огороды с рандомизацией шифруемого или использование набора сменяемых ключей представляет трудности для вирусописателя, ориентированного на лёгкое получение профита.

Режим CBC спасёт начинающего шифровальщика.

- - - Добавлено - - -

А он обязан после оплаты отправить ключ? Наоборот, всегда писали — ничего не платите мошеннику.

В его случае профитнее прислать, тогда будут слёзные отзывы "пришлось башлять - расшифровали", и у новых жертв будет просто борьба между жадностью и желанием вернуть документы.

- - - Добавлено - - -

я рассказал алгоритм дешифровки, которому в школе учат в ответ на вопрос, как дешифровщики ещё работают. боже меня упаси это реализовывать.
я, кстати, алгоритм морды пропустил, там двойное шифрование, жуть просто. не знаю, стоит ли анализировать слабые места в алгоритме шифровальщика морды

Проанализируй.

чисто теоретически

Шифрование однократное: AES-CBC рандомным ключом. Ключ для AES зашифрован публичным RSA-1024 из тела вируса и присобачен к зашифрованному документу. Злоумышленнику присылается документ, тот вытаскивает из заголовка зашифрованный AES ключ, расшифровывает своим секретным RSA-1024, и высылает пострадавшему.
В результате ключ всё время разный, шифрование AES пока что не сломано, с уязвимостью даже 1024-х битного RSA не согласны Ривест, Шамир и Адлеман.

[свернуть]

[shr]

morda911, только по отдельности с каждым файлом так делать - заколебутся файлы туда-сюда гонять.

Кстати, что-то я сразу не сообразил. Если в вирусе есть функция дешифровки, то ребятам из антивируса не обязательно париться с криптой - им достаточно найти эту функцию и с ней разобраться.

[morda911]

morda911, только по отдельности с каждым файлом так делать - заколебутся файлы туда-сюда гонять.

Они ж не бесплатно. Если количество будет большим до страдания, они слишком быстро миллионерами станут.

Кстати, что-то я сразу не сообразил. Если в вирусе есть функция дешифровки, то ребятам из антивируса не обязательно париться с криптой - им достаточно найти эту функцию и с ней разобраться.

Алгоритм-то известен: https://ru.wikipedia.org/wiki/Advanc...ption_Standard Только без ключа это ничего не даёт.
Если кто-нить увидит инфу как расшифровывают и почему, киньте в меня ею, пожалуйста. Оченно любопытно.

[Федор_Сумкин]

mOons, прогони жесткий любой программой для низкоуровневого восстановления утеряных файлов. Мне в подобном случае помог rs-studio.

[shr]

morda911, да, я запутался. Без ключа в твоей схеме облом. Я на автомате подумал о варианте, когда все зашито в шифровальщике.
Кстати, да. Федор_Сумкин прав. Если автор шифровальщика затупил и не сделал безопасное удаление оригинала, то можно попытаться восстановить удаленные файлы, если их еще не перезатерло. Только опять-таки лучше делать бэкап винта полный, а потом спокойно работать.

[NTmY]

Проанализируй.

да, так почти идеально. будут некоторые сложные сложности с генерацией действительно случайных ключей на каждый файл, наверное. ну и предложение присылать файлы туда-обратно - это весьма трудоёмко.

[morda911]

ну и предложение присылать файлы туда-обратно - это весьма трудоёмко.

Обратно не надо, только туда, чтобы извлечь из него ключик, да и на каждый файл не нужно, зачем? Даже если бояться, что заголовки всех файлов одинаковые и будут шифроваться одинаковыми ключами, то можно дописывать впереди рандомных байтиков на длину ключа, при расшифровке выкидывать. Не TOP SECRET же.

Попробовать r-studio - это мысль!

[Nuclear.net]

а админ который разрешил запускать неподписанные файлы на машине пользователя не лох ? почему ни контроль учетных записей не настроен ничего...

сейчас можно купить хоть эцп дойчебанка которая была однажды украдена ботнетом и этой подписью подписать что угодно. стоят такие подписи от 20 баксов

позволю себе обьяснить как вирус шифрует все файлы. они шифруются одним и тем же паролем(таким длинеым что никто и никогда его не подберет). уникальным для каждой из жертвы. пароль этот скачивается с сервера шифровальщика в зашифрованом виде, (https по протоколу диффи хелмана), хранится он же на сервере чтобы вы могли его купить.
таким образом шифрование начинается после соединения с интернетом и получением пароля шифрования.
после этого шифровальщики отключают ваши любимые "предыдущие версии файлов" а именно службу теневого копирования и пока вы сидите на форуме он шифрует все файлы ключем который невозможно узнать, только если вы не делаете дамп оперативки во время шифрования файлов, а никто конечно из вас его не успеет и не сможет сделать. шифровальщик всегда обойдет антивирус потому что это уже гарантированно при покупке этого шифровальщика и проверено его покупателем (который вас доит на бабки)

спастись от этого никак нельзя и ничем только делая резервный диск ос и документов на внешний хард и выдергивая его из порта на время хранения. хотя одна защитная программа есть и это не антивир.

современные шифровальщики даже перезаписывают пустое место на жестком диске чтобы вы вообще ничего не восстановили и шифруют флешки.

я советую хранить важные файлы в облаке и открывать ВХОДЯЩИЕ офисные документы тоже в облаке в браузере например в google drive где они ничего вам не смогут сделать

вообще есть бесплатная программа которая блокирует вирусы и шифровальщики но производители антивирусов не особо ее афишируют чтобы нужна в антивирусах не снижалась.. профессионалы и так знают о ней, я напишу ее в личку тем кто занесет 300 р на телефон, подробности в личке. в подарок могу дать выловленный образец шифровальщика поиграться с ним если кому интересно (doc документ)