5 5
Serg1969

Нужен дельный совет по вирусу-вымогателю!!!

Рекомендуемые сообщения

3 минуты назад, Warlord сказал:

ты просто MD5 не к делу приплёл

Я MD5 приплел как пример, понятное дело что шифровальщики не используют MD5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 14.03.2017 в 20:55, Arkadii007 сказал:

Так же можно сделать с папкой, или это будет не то? user sql уже существует. Файлы на ОС linux так же подвержены таким атакам?  

пользователь рабочего места не должен иметь прав администратора, всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Warlord сказал:

пользователь рабочего места не должен иметь прав администратора, всё.

Ну по сути да. А если еще и грамотно отредактировать права пользователя, то будет еще спокойнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Startwar сказал:

Я MD5 приплел как пример, понятное дело что шифровальщики не используют MD5.

ну так МД5 ты назад никак не расшифруешь, ни с каким ключом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Startwar сказал:

Ну по сути да. А если еще и грамотно отредактировать права пользователя, то будет еще спокойнее.

с файловыми базами 1С косяк, они-то требуют полных прав доступа. SQL сервер использовать надобно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Warlord сказал:

ну так МД5 ты назад никак не расшифруешь, ни с каким ключом.

Никак.. Я имел в виду, что в шифровальщике можно сам ключ зашифровать в MD5, зная по ID расшифрованную версию этого ключа. Это как пример как можно сделать, посмотрев на код шифровальщика, там куда все банальней, просто кучей функции ключ кодируется, в принципе потратив н-ное количество часов расшифровать можно, проблема в том что для результата нельзя не разу ошибиться, а результат ты можешь узнать только когда пройдешь все функции кода. Короче очень сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Warlord сказал:

с файловыми базами 1С косяк, они-то требуют полных прав доступа. SQL сервер использовать надобно :)

Можно как вариант завести сервер где будут вся механика 1С вместе с файлами, а к серверу подключаться по терминалу. Но блин покупать лицензию на сервер, на каждое подключение, и каждое подключение терминала, проще да, перейти на SQL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Startwar сказал:

Так я тебе и говорю что это невозможно. Как делают вымогальщики в теории.. Перед хэшированием, они ключевому слову присваивают id, то есть ключ еще не зашифрован, а когда файлы шифруются, создается файлик, куда нужно перевести денюжку, и какой ID нужно сообщить для того чтобы тебе сообщили ключ. Потому они по ID смотрят какой ключ, и присылают тебе, а зная ключ ты уже раскоридруешь файлы обратно. Не понятно? Могу наглядно показать =)

мне непонятно как можно обратить хеширование. покажите наглядно =) на примере любой хеш-функции - MD5, MD6, SHA-2, SHA-3, да хоть CRC. вообще любой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
32 минуты назад, Startwar сказал:

Никак.. Я имел в виду, что в шифровальщике можно сам ключ зашифровать в MD5, зная по ID расшифрованную версию этого ключа.

нет совершенно никакой необходимости в шифровании ключа шифрования - его гораздо проще случайным образом генерить на месте, а потом крупно и заметно вывести на экран пользователю, чтобы он вам же его и отправил, это куда проще, чем путаться в айдишниках. а ключ расшифровки вообще не требуется при шифровании, его хоть в открытом, хоть в хешированном виде хранить на компе жертвы смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, deadbeef сказал:

нет совершенно никакой необходимости в шифровании ключа шифрования - его гораздо проще случайным образом генерить на месте, а потом крупно и заметно вывести на экран пользователю, чтобы он вам же его и отправил, это куда проще, чем путаться в айдишниках. а ключ расшифровки вообще не требуется при шифровании.

Да блин. Про MD5 это был просто пример. Понятно что нет необходимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Startwar сказал:

Да блин. Про MD5 это был просто пример. Понятно что нет необходимости.

это говно, а не пример. "можно слетать на Луну, например, на катамаране". MD5 ни разу не алгоритм шифрования, даже близко не лежал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, deadbeef сказал:

мне непонятно как можно обратить хеширование. покажите наглядно =) на примере любой хеш-функции - MD5, MD6, SHA-2, SHA-3, да хоть CRC. вообще любой.

Зачем его обращать? Если перед тем как хэшировать я запомню нехэшированое значение под определенным ID, которое я сообщу пользователю, а потом просто посмотрю какое значение хэшировалось под таким ID?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Startwar сказал:

Зачем его обращать? Если перед тем как хэшировать я запомню нехэшированое значение под определенным ID, которое я сообщу пользователю, а потом просто посмотрю какое значение хэшировалось под таким ID?!

ну то есть в свете шифрования данных пользователя это выглядит так: скопировать всю инфу с жёсткого диска себе на сервер, то что осталось захэшировать (хотя блять зачем, удалить куда проще), а когда лох вышлет бабки - вернуть ему исходные данные. звучит гениально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, deadbeef сказал:

ну то есть в свете шифрования данных пользователя это выглядит так: скопировать всю инфу с жёсткого диска себе на сервер, то что осталось захэшировать (хотя блять зачем, удалить куда проще), а когда лох вышлет бабки - вернуть ему исходные данные. звучит гениально.

Зачем копировать всю инфу с жесткого диска? Вот как работают шифровальщики:

Цитата

троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее. 
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи: 
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем), 
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами, 
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку. 

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д. 

Негативное отступление. 

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали». 
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»… 

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»??? 
Что должен был подумать сотрудник? 
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital. 
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива». 
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост». 
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут). 
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно. 

Все счастливы, THE END.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, Startwar сказал:

Зачем копировать всю инфу с жесткого диска? Вот как работают шифровальщики:

и какое отношение это всё имеет к алгоритмам хеширования, пример одного из которых вы и привели? какие тут в задницу айди ключей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, deadbeef сказал:

и какое отношение это всё имеет к алгоритмам хеширования, пример одного из которых вы и привели? какие тут в задницу айди ключей?

Да твою же мать, В ЧЕТВЕРТЫЙ РАЗ, про хэширование это был пример.. ПРОСТО ПРИМЕР. Я нигде не говорил что в вирусах шифровальщиках используется хэширование. Пример, одностороннего метода кодирования. Что же ты такой тугой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 часов назад, Startwar сказал:

Это как MD5, шифрование в одну сторону.

это, напомню, ответ на вопрос

16 часов назад, Жуткий лентяй сказал:

Главное, в интернетах предлагают платно расшифровать - значит есть дешифровщики. Странно, что до сих пор в сеть не слили.

а теперь в ответ на просьбу показать связь между шифровкой-дешифровкой и MD5 или ЛЮБЫМ аналогичным алгоритмом вы кричите, что я тупой и связи нет и быть не может. яснопонятно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, deadbeef сказал:

это, напомню, ответ на вопрос

а теперь в ответ на просьбу показать связь между шифровкой-дешифровкой и MD5 или ЛЮБЫМ аналогичным алгоритмом вы кричите, что я тупой и связи нет и быть не может. яснопонятно...

Да блин. Потому что у тебя откуда то взялась связь между шифровкой-дешифировкой в данном случае с MD5, про MD5 я написал КАК ПРИМЕР. Еще раз КАК ПРИМЕР. Ты понимаешь это слово? Я нигде не говорил что в шифровщики файлов используют для кодирования MD5, при этом я уже пятый раз об этом пишу, а ты опять по кругу. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Startwar сказал:

Да блин. Потому что у тебя откуда то взялась связь между шифровкой-дешифировкой в данном случае с MD5, про MD5 я написал КАК ПРИМЕР. Еще раз КАК ПРИМЕР. Ты понимаешь это слово? Я нигде не говорил что в шифровщики файлов используют для кодирования MD5, при этом я уже пятый раз об этом пишу, а ты опять по кругу. 

я хочу понять вообще хоть какую-то связь между "односторонним кодированием, как пример - MD5" и "шифровкой-расшифровкой".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, deadbeef сказал:

я хочу понять вообще хоть какую-то связь между "односторонним кодированием, как пример - MD5" и "шифровкой-расшифровкой".

Все, я пожалуй сольюсь.. Уже на третий круг пошли.. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, Startwar сказал:

Все, я пожалуй сольюсь.. Уже на третий круг пошли.. 

ну дык потому, что связи никакой нет. просто пёрнул в лужу в надежде сойти за умного. несколько лет назад один школьник так научную выставку выиграл - сделал гениальный алгоритм сжатия. файл прогонял через md5, а при "распаковке" в точном соответствии с вашими заветами "просто брал айди и по нему отдавал исходные данные". процент "сжатия", сами понимаете, был сумасшедший, и жюри было в восторге. жаль, что распаковать файл на другом компьютере нельзя было даже теоретически...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, deadbeef сказал:

ну дык потому, что связи никакой нет. просто пёрнул в лужу в надежде сойти за умного. несколько лет назад один школьник так научную выставку выиграл - сделал гениальный алгоритм сжатия. файл прогонял через md5, а при "распаковке" в точном соответствии с вашими заветами "просто брал айди и по нему отдавал исходные данные". процент "сжатия", сами понимаете, был сумасшедший, и жюри было в восторге. жаль, что распаковать файл на другом компьютере нельзя было даже теоретически...

Да как скажешь. Тупому трудно объяснить что он тупой, проще игнорировать. Тупому нужен диалог в умных темах, и нужно показать что он что то понимает, для этого нужно зацепиться за какую нибудь фразу и показать всем что он что то понимает. Ну а о твоих познаниях на форуме давно все понятно. Удачи! Время тратить на словоблудов не хочу.. В игнор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

SPORA RANSOMWARE
Все Ваши рабочие и личные файлы были зашифрованы
Для восстановления информации, получения гарантий и поддержки, следуйте инструкции в личном кабинете.
Личный кабинет
xxxxs://spora.bz ›
Ваш ID ключа: USXXX-XXXXX-XXXXX-XXXXX
Что случилось?
1. Только мы можем восстановить Ваши файлы.
Ваши файлы были модифицированы при помощи алгоритма RSA-1024. Обратный процесс восстановления называется дешифрование. Для этого необходим Ваш уникальный ключ. Подобрать или «взломать» его невозможно.
2. Не обращайтесь к посредникам!
Все ключи восстановления хранятся только у нас, соответственно, если Вам кто-либо предложит восстановить информацию, в лучшем случае, он сперва купит ключ у нас, затем Вам продаст его с наценкой.
Если Вы не смогли найти Ваш ключ синхронизации
Нажмите здесь.

Про ID может так до тупаря дойдет.

Цитата

 

RSA-1024 имеет 1024 бита (309 десятичных знаков), и пока что не факторизовано. За факторизацию был объявлен денежный приз в 100000 долларов США.

Успешная факторизация RSA-1024 имеет важное значение для многих пользователей алгоритма RSA аутентификации с открытым ключом, т.к. наиболее часто используемая длина ключа — 1024 бита.

RSA-1024 = 13506641086599522334960321627880596993888147560566702752448514385152651060 48595338339402871505719094417982072821644715513736804197039641917430464965 89274256239341020864383202110372958725762358509643110564073501508187510676 59462920556368552947521350085287941637732853390610975054433499981115005697 7236890927563

 

Расшифровать его не возможно, но можно сохранить перед кодированием, и зная ключ раскодировать. Именно про это я говорил, когда приводил пример про MD5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Startwar сказал:

Про ID может так до тупаря дойдет.

Расшифровать его не возможно, но можно сохранить перед кодированием, и зная ключ раскодировать. Именно про это я говорил, когда приводил пример про MD5.

RSA-1024 предполагает ПУБЛИЧНЫЙ ключ, который можно писать на заборе и разбрасывать с вертолёта на листовках, именно он нужен для шифровки, и ПРИВАТНЫЙ, который никому не нужно сообщать кроме как для расшифровки. он не нужен на компе жертвы, его соответственно не нужно хранить там и не нужно шифровать, хэшировать или ещё как-то прятать. то, что в цитате - просто идентификационный номер компьютера, чтобы понять, какой приватный ключ отправлять жертве. но опять же связи с md5 или любым другим "односторонним кодированием" здесь НЕТ. если не считать таковой упоминание термина ID.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Каспер пропустит только так, это же ни просто вирус, а именно смс-вымогатель. Он стал многофунциональным, шифрует данные в папке МОИ ДОКУМЕНТЫ. А убирать его просто через АНТИ-СМС загрузочный диск. Он выходит постоянно раз в квартал. С начало его надо убрать, это само собой очистка реестра тонкая в ручную или как и говорил АНТИ-СМС. Эта гадость лезет на ХР сразу без всякого препятствия, так как обычный Каспер что мертвому препарка... На 7-ка уже не просто так, но если сами в инте запустили ложную ссылку от также залезит беспрепятственно.. Так как вы сами дает команду на загрузку, через нажатие на ложную ссылку...Платить нечего не надо, так как никакого ответа не получите, а лишь только все бабки уйдут с телефона.. Они так ранее делали на короткие номера... Ну это самом собой афера группы лиц.. Так как этот вредонос давно уже создан, его просто модефицируют и запускают в сеть...Дано надо было за хобот брать программистов, кто это писал.. Ведь вычислить не сложно, если захотят...Так как это не один или два злоумышленника. а группа лиц.. Кивали на бывших сотрудников от Касперского.. Они якобы так мстили ему, за то что он их обул.. Это история старая..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
5 5