Доброго времени суток.
Ищу модуль шифровальщика CRYPTED000007 для последующего анализа.
Модуль шифрует содержимое файла и имя, так же к имени файла добавляет .[идентификатор].CRYPTED000007. К сожалению владелец зашифрованных файлов снёс ОС вместе с вирусом. Может у кого-нибудь есть или кто-то уже анализировал этот вирус. Всё что удалось найти в просторах интернета, это что модуль использует алгоритм шифрования RSA-3072. Но это не точная информация.
Заранее спасибо за ответ.

| Сообщение посчитали полезным:

alex-login пишет:
К сожалению владелец зашифрованных файлов снёс ОС вместе с вирусом.
Можно только посочувствовать.
Как правило, шифровальщики используют быстрые симметричные алгоритмы для скорости шифрования.
Ну а если там все же RSA битностью выше 768 бит, шансы расшифровать (получить ключ для расшифровки) стремиться к нулю.
P.S. Забрел на страничку -->Dr.Web<--
забавно и наводит на нехорошие мысли о Dr.Web-е, раз они, помимо продажи лицензий на свой шлак, еще
и занимаются расшифровкой файлов, после шифровальщиков, за деньги
Невольно возникает вопрос об авторстве...

| Сообщение посчитали полезным:

BlackCode пишет:
еще
и занимаются расшифровкой файлов, после шифровальщиков, за деньги
вот подлецы

| Сообщение посчитали полезным: Medsft, Belg

BlackCode пишет:
Невольно возникает вопрос об авторстве
Я думаю, что если они и не расшифровывают, то скорее всего являются посредниками между клиентом и вымогателями. Т.к. для расшифровки они просят не только файлы, но и текст, где указан e-mail вымогателя.

BlackCode пишет:
шансы расшифровать стремятся к нулю
Если честно, я тоже так думаю. Но имея оригинал и зашифрованный файлы, есть такое ощущение, что ключ дописан в конец шифрованного файла. Скорее всего это не так, но интересно было бы покопаться в модуле самого вируса.

| Сообщение посчитали полезным:

SDK пишет:
вот подлецы
Этому есть другое определение, нецензурное
Если б господа из Dr.Web, для расшифровки файлов использовали свои ресурсы в виде зарплаты для спецов, электроэнергии для брута, факторизации.. и т.п. Это было бы понятно.
Но в данном случае, они ничем не лучше вымогателей.
alex-login пишет:
скорее всего являются посредниками между клиентом и вымогателями
Я так и подумал, и имеют свою моржу за это, чем приближают себя к этим же вымогателям

| Сообщение посчитали полезным:

alex-login пишет:
Я думаю, что если они и не расшифровывают, то скорее всего являются посредниками между клиентом и вымогателями. Т.к. для расшифровки они просят не только файлы, но и текст, где указан e-mail вымогателя.

Возможно просто конкретную ревизию вируса по readme.txt определяют.

--> Link <--В конце статьи есть мд5 файлов, правда он не очень-то помогает в поиске. На форуме касперского один порывался выложить сам вирус, ему пальчиком погрозили. Возможно с ним можно связаться попробовать. --> Link <--

alex-login пишет:
алгоритм шифрования RSA-3072
Какое фиаско, если конторы, расшифровывающие файло за деньги, их действительно расшифровывают. Когда на фотографии видны уши фотографа.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Привет. У меня остался вирус

| Сообщение посчитали полезным:

san233Так выложи

| Сообщение посчитали полезным:

--> Link <--

| Сообщение посчитали полезным:

У меня сейчас комп стоит на ремонте. Успели вырубить не все зашифровал. Тело найду выложу

| Сообщение посчитали полезным:

BlackCode пишет:
Если б господа из Dr.Web, для расшифровки файлов использовали свои ресурсы в виде зарплаты для спецов, электроэнергии для брута, факторизации.. и т.п. Это было бы понятно.

звучит так, как-будто использовали ваши ресурсы и не заплатили

| Сообщение посчитали полезным:

BlackCode

> занимаются расшифровкой файлов, после шифровальщиков, за деньги

Это же авер, понятно что им проще создать угрозу самим, чем устранить внешнюю. На разбор сложной атаки нужно привлекать кучу человеко-часов и не факт что получится. Но зачем это, если в результате нужен только статус. Проще свой вредонос запилить и с абсолютной точностью его вычистить спустя время, экономится время, профит тот же.

-----
vx

| Сообщение посчитали полезным: BlackCode

difexacaw пишет:
Это же авер, понятно что им проще создать угрозу самим, чем устранить внешнюю. На разбор сложной атаки нужно привлекать кучу человеко-часов и не факт что получится. Но зачем это, если в результате нужен только статус. Проще свой вредонос запилить и с абсолютной точностью его вычистить спустя время, экономится время, профит тот же.
Абсолютно в точку!

| Сообщение посчитали полезным:

BlackCode

Учитывая что дрвеб всегда был говяным авером, не способным апдейтить свою вм годами, то там напряг с аналитиками. Это значит что они не могут дать задание на разбор какого то семпла толпе народа, им ведь нужно платить, а отдел маркетинга и смежные выполняют планирование - им нужен конкретный ответ по решению и срокам. Если такого ответа нет, а его предоставить невозможно обычно, то проще посадить индуса, который по старым суркам соберёт новый вредонос, а отдел ceo прокрутит всё это дело. Даже если атаки полностью исчезнут, работа авера и доход не прекратится - эта система сама себя кормит.

-----
vx

| Сообщение посчитали полезным:

Посмотрел условия --> по ссылке <--:

Услуга расшифровки бесплатна
для владельцев действующих коммерческих лицензий Dr.Web Security Space, Dr.Web Enterprise Security Suite (Комплексная защита) и подписчиков услуги «Антивирус Dr.Web» (тарифный пакет Dr.Web Премиум) — при соблюдении ими этих условий на момент инцидента.

Для пользователей других антивирусов услуга платная.

В чём проблема то?

-----
EnJoy!

| Сообщение посчитали полезным:

Как его добавить? архив весит 11mb

| Сообщение посчитали полезным:

Ни др.веб ни касперский, при наличии лицензии на момент инцидента не расшифровывают, подавал и туда и туда запросы, запросы они принимают, но в большинстве вариантов ответ "не удалось расшифровать". Да и на форумах у них часто мелькает, что алгоритм в последних вариантах шифровщиков такой что расшифровать его практически невозможно, и кстати даже сами зловреды (вирусописатели) не помогут в расшифровке, это просто способ бабла поднять, раньше да, были темы что оплачивали и получали расшифровщик. Сейчас хоть кто-то слышал что после оплаты файлы удавалось восстановить?

Кстати комп про который я писал успели только несколько первых папок зашифроваться, одна из них была Налогоплательщик ЮЛ? там файлов много и объем не маленький, на ней и вырубить успели комп видимо. Отсюда вывод шифрует не хаотично, а начиная от корня каждую папку. до users папки было далеко, рабочий стол и доки не пострадали )))

| Сообщение посчитали полезным:

alfaservice пишет:
шифрует не хаотично, а начиная от корня каждую папку
Помещать в папку _0000000000 файловые ссылки на BD Remux ))

alfaservice пишет:
это просто способ бабла поднять, раньше да, были темы что оплачивали и получали расшифровщик
Типа "благородные вымогатели", как мило, ну-ну.

С тем же Петей были варианты, когда ключ расшифровки вообще не сохранялся и не отправлялся вымогателям, а удалялся сразу после шифрования.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Типа "благородные вымогатели", как мило, ну-ну.
я серьезно, если кто помнит когда на серверные ОС были нацелены шифровальщики, и требовали за расшифровку 10К нашими... были такие кто платил и вроде как восстанавливали... у меня организаций много было на обслуживании по 1С, соврать бы не смогли т.к. базы накрываются сразу dbf cdx и т.д. и кстати хорошо что зловред не анализирует заголовок файла. Я начал архивы баз делать с расширениями sys и dll ни в одной проге не были тронуты ровно как и exe. Так удалось отсидеться во время наплыва )))

В нашей стране, да и везде в принципе. Пока будут любители легко заработать, будут любители легко заработать на любителях легко заработать ©

Jupiter пишет:
Помещать в папку _0000000000 файловые ссылки на BD Remux ))

ага и желательно еще циклических

| Сообщение посчитали полезным:

Собственно о чем спор?
То что аверы не "чисты на руку", это давно и всем известно.
Только, что в суд на них никто не подавал по причине "труднодаказуемости" подобных фактов.. плюс сами "предохранители" не всегда в адеквате и коррумпированные..
Про судей вообще молчу... там вообще жо=а, ибо
они по своей природе далеки от IT.. кроме "косынки" на компе ничего не знают.. да им на это "положить сверху".
Верх "мастерства" нынешних судей - это хулиганка, избиение с нанесением тяжких ТП.
IT для них - это космос... что-то недосягаемое для их примитивного мозга. Увы это реали.
Тем и пользуются российские аверы.. чтобы денюшек рубануть побольше.. хул..и коммерция.
Есть такое понятие в психологии "Причинно-следственная связь".
Так вот используя данное бесхитростное понятие, сразу становится видна прямая заинтересованность
"антивирусных" компаний в появлении "жуткого зловреда, шифрующего все и вся)" и все "плюшки" которые получает та или иная авер контора)
А значит.... если есть прямой профит от зловредов.. то где хоть малая гарантия непричастности тех кто нас "защищает" к написанию данного говна?
НИКАКОЙ! Всем мира

| Сообщение посчитали полезным:

difexacaw. Из аверов, как мне кажется, всего один играет честно и по правилам (и по глубине анализа - далеко впереди всех остальных) - Microsoft со своим MSSE. Если хомякам что-то ставить, то его. А вообще, антивирусы не нужны..

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: BlackCode

ntldr пишет:
difexacaw. Из аверов, как мне кажется, всего один играет честно и по правилам (и по глубине анализа - делает всех остальных как стоячих) - Microsoft со своим MSSE. Если хомякам что-то ставить, то его. А вообще, антивирусы не нужны..
Собственно я его только и юзаю..

| Сообщение посчитали полезным:

А я давно уже закрутил все гайки самопальным софтом (совсем примитив, ничего сложного. чисто для себя...), чтобы исполнялось только то что явно разрешено, только с положенного места и только с минимально достаточными правами. Гемор настраивать, в первые N лет, а потом привыкаешь... От 0day эксплоита (с local root) и трояном в памяти оно конечно не спасёт....

От трояна шифровальщика хорошо спасают автоматические бекапы. Как шутят сисадмины, люди делятся на два типа: те кто делают бекапы и те кто ищё их проверяет.... Хранить что-то важное в единственной копии - глупость.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
спасают автоматические бекапы
Спасают не спорю, но в моей практике было и такое, что шифровались и бэкапы тоже

| Сообщение посчитали полезным:

клерк а тебя что из веба уже поперли ? и года не проработал ?

было уже обсуждение - где знание и опыт клерка используется на практике ?
так никто и не смог припомнить, даже малварщикам нечего взять с этих идей

| Сообщение посчитали полезным:

reversecode пишет:
клерк а тебя что из веба уже поперли ? и года не проработал ?
он в бане до 19/11/2018 08:09
через неделю ответит
P.S. Я понимаю, что для большинства Клерк личность одиозная, НО это никак не умоляет его
знания и опыт, что заслуживает только уважение) ИМХО)

| Сообщение посчитали полезным:

ntldr пишет:
А я давно уже закрутил все гайки самопальным софтом (совсем примитив, ничего сложного. чисто для себя...), чтобы исполнялось только то что явно разрешено, только с положенного места и только с минимально достаточными правами. Гемор настраивать, в первые N лет, а потом привыкаешь... От 0day эксплоита (с local root) и трояном в памяти оно конечно не спасёт....

Мне когда мсрем скидывал фотки того же, что описано в цитате
А по моему проще рассматривать свою систему как изначально уязвимую, тогда большинство(а то и все) проблемы испарятся сами собой.

| Сообщение посчитали полезным:

Не травите клерка, пожалуйста.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: BlackCode

ntldr пишет:
Не травите клерка, пожалуйста.
Да при чем тут крелк, вы идею оцените Она меняет всё

| Сообщение посчитали полезным:

ntldr пишет:
Не травите клерка, пожалуйста.
ок тогда пристрелим или повесим

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: