| Сейчас на форуме: igorcauret, Rio (+6 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Encoder.858 - почему никто не может расшифровать ? |
| Посл.ответ | Сообщение |
|
|
Создано: 13 марта 2015 16:03 · Поправил: YURETZS · Личное сообщение · #1 Произошло заражение системы трояном-шифровальщиком Trojan.Encoder.858, Весь медиаконтент имеет такой вид: Code:
Создатели трояна просят 5000 руб за расшифровку, при этом в качестве доказательства показательно расшифровывают присланный файл. При этом Дрвеб-овцы единогласно утверждают что расшифровать файл не возможно, даже при наличии движка-дешифратора. В чем здесь грабли ? Если используется симметричный RSA, то при шифровке наверняка ключ должен был сохраниться на компе перед отправкой его злоумышленникам, так ? Может кто-нибудь грамотно разъяснить как этот троян шифрует файлы, что никто не берется их расшифровать ? Оригинал троянца и зашифрованные файлы в наличии, пока не прибил.  |
|
|
Создано: 13 марта 2015 16:04 · Личное сообщение · #2 С коих это пор RSA симметричный? Гугл асимметричная криптография. |
|
|
Создано: 13 марта 2015 16:08 · Личное сообщение · #3 ошибся, Симметричное на основе RSA |
|
|
Создано: 13 марта 2015 16:23 · Поправил: reversecode · Личное сообщение · #4 давайте я вам дам запароленный архив и вы будете его взламывать?! /thread |
|
|
Создано: 13 марта 2015 16:28 · Личное сообщение · #5 YURETZS пишет: Может кто-нибудь грамотно разъяснить как этот троян шифрует файлы, что никто не берется их расшифровать ? А что, на форумах Др.Веба или ЛК объяснений не найти? Общий подход: файлы шифруются быстрым симметричным алгоритмом, чаще всего AES, а ключ к нему шифруется публичным ключом RSA достаточной длины, приватный ключ есть только у разработчиков вируса, получить его факторизацией N за приемлемое время нереально. Сбрутить ключ AES тоже нереально, а восстановить его могут только вирусописатели. Если файлы ценные - заплатите, не надо ругать аверов, они не всесильны. Кстати, можете написать заявление правоохранителям, т. к. уголовно наказуемое деяние налицо. Но на результат особо не рассчитывайте. Пока еще не слышал, что нашли хотя бы одного вымогателя. | Сообщение посчитали полезным: YURETZS, Artem_N |
|
|
Создано: 13 марта 2015 16:55 · Личное сообщение · #6 Prober Теперь понятно, Thanx. Тады смело Format C: - больше желания возиться с этим барахлом не возникает  Хотя при симметричной шифровке ключ возможно где-то и остался, например в pagefile.sys Но искать иголку в стоге сена слишком муторно и не факт что ее найдешь, аффтар троянца наверняка после зашифровки ключег тщательно затер. |
|
|
Создано: 13 марта 2015 17:21 · Личное сообщение · #7 YURETZS пишет: аффтар троянца наверняка после зашифровки ключег тщательно затер А кто сказал, что он его хранил в теле ? Да и вероятность того, что кто-то до него бы добрался ничтожно мала.Заражение шифровальщиком - это пример того, что не всегда стоит доверять файлам из интернетика и хоть какие-то навыки исследования, интуицию и защиту от вирусов нужно иметь.Наукой будет впредь. ----- TEST YOUR MIGHT |
|
|
Создано: 13 марта 2015 17:33 · Личное сообщение · #8 unknownproject пишет: Заражение шифровальщиком - это пример того, что не всегда стоит доверять файлам из интернетика и хоть какие-то навыки исследования, интуицию и защиту от вирусов нужно иметь.Наукой будет впредь. Надо же, капитан очевидность, здесь обсуждаются варианты восстановления дефакто зашифрованного медиаконтента, а не кто и когда прое...л. Ко мне обратились за помощью пролечить ноутбук ребенка, а не прочитать мораль как и где пользоваться интернетом  Добавлено спустя 11 минут reversecode давайте я вам дам запароленный архив и вы будете его взламывать?! Одно дело ты мне даешь рар-архив, запакованный с паролем на твоем компе и у меня нет и намека на кей. В данном случае у меня имеется система, где происходило шифрование, и парль вводился НЕ с клавы, а скорее всего генерился рандомно, и возможно, сделав BSOD во время шифрации из дампа можно было выудить ключ. Я просто хочу выяснить, почему Вебовцы со 100-процентной уверенностью говорят, что в зараженной системе ключ не найти. |
|
|
Создано: 13 марта 2015 17:53 · Поправил: DimitarSerg · Личное сообщение · #9 YURETZS пишет: Вебовцы со 100-процентной уверенностью говорят, что в зараженной системе ключ не найти Может надо глянуть в сторону работы напр. CryptGenRandom ? Обычно её используют в таких целях, при чём всё реализовывается на MS'овских cryptoapi (рандом (ключ для аеса)+аес+рса), чтобы ничего лишнего не тянуть в тело малвари. ----- ds |
|
|
Создано: 13 марта 2015 18:05 · Личное сообщение · #10 как раз таки в малваре все, свое что бы по максимуму не зависеть от системы ну давайте  устройте потрошение этого вируса, раз уж он на руках
|
|
|
Создано: 13 марта 2015 18:19 · Личное сообщение · #11 Чем-то пожат, а для дебага нужон тестовый комп или ВМ, пока нет такового. |
|
|
Создано: 13 марта 2015 18:27 · Личное сообщение · #12 так вы выкладывайте его)) может кто и так разберет тем более дебаг особо не всегда и нужен, ида в статике и так все разберет, а остальное emu86 плагином добьет или через борщ |
|
|
Создано: 13 марта 2015 18:28 · Личное сообщение · #13 Имея источник заразы можно судить о наличии ключа, использованного в процессе шифрования.Ничего не мешало считывать его из скрипта или бд на серваке в зашифрованном виде. ----- TEST YOUR MIGHT |
|
|
Создано: 13 марта 2015 18:29 · Поправил: YURETZS · Личное сообщение · #14 пас ySjh58G26d7um31A9sNR |
|
|
Создано: 13 марта 2015 18:39 · Личное сообщение · #15 не представляю как можно было заразится, когда MS Essentials кричит на него и не дает распаковать ))) |
|
|
Создано: 13 марта 2015 19:01 · Поправил: unknownproject · Личное сообщение · #16 В temp создается state. Его тело: Code:
Имеем дело с тор сервером. ----- TEST YOUR MIGHT |
|
|
Создано: 13 марта 2015 19:01 · Личное сообщение · #17 reversecode Не знаю, на этом буке стояла 8-ка, видать как в магазине поставили так и юзали, без антивиря, браузером я так понял ходили штатным IE |
|
|
Создано: 13 марта 2015 19:07 · Личное сообщение · #18 он Добавлено спустя 0 минут там ЕСС переделанный если верить кс |
|
|
Создано: 13 марта 2015 19:21 · Поправил: YURETZS · Личное сообщение · #19 reversecode /1426263372/ Этот андромом зовется, мод скорее всего. |
|
|
Создано: 14 марта 2015 09:01 · Личное сообщение · #20 YURETZS пишет: на этом буке стояла 8-ка Фи! Сейчас в моде Linux (xbuntu, Mint) - ставьте его и забудьте про Encoder.858 (прям лозунг получился) |
|
|
Создано: 14 марта 2015 09:26 · Личное сообщение · #21 ELF_7719116 пишет: Фи! Не просто фи.Там еще и аппаратная привязка и винду придется сносить с штатного харда или перешивать биос. ----- TEST YOUR MIGHT |
|
|
Создано: 14 марта 2015 17:50 · Личное сообщение · #22 ELF_7719116 Да поставить можно всё что угодно, это уже вторично, а первично мне приносят на лечение уже по факту зараженную систему с пошифрованным контентом. С линуксами у нас народ не очень дружит, поэтому ставлю в основном 7-ку (своя сборка) с клона. Добавлено спустя 2 минуты unknownproject Ну какая нафик привязка, в биосе убираешь секурити бут, ставишь легаси и хард под ноль, делов то... Иногда код требует для установки легаси, но это всё штатно. |
|
|
Создано: 14 марта 2015 20:49 · Поправил: OLEGator · Личное сообщение · #23 А енкодер этой версии довольно хорошо разошёлся. Уж я живу в такой глуши, но и здесь уже трое обратились с таким заражением. На обоях картинка с текстом вымогания, а на дисках текстовые документы с записочкой. Тело походу самоуничтожается, не нашёл я его на машинах. Всем пострадавшим говорю: запишите зашифрованные данные на болванку (вместе с записочкой, где некий ID записан), авось внуки расшифруют.
----- AutoIt |
|
|
Создано: 14 марта 2015 21:19 · Личное сообщение · #24 Что-то вы такую полемику развели на ровном месте. Достаточно сказать, что при условии, что N>768 - факторизация за допустимое количество времени нереальна, следовательно не важно, есть публичный ключ в теле вируса/пейджфайле/черт знает где еще или нет, просто платите деньги или форматируйте. | Сообщение посчитали полезным: Quadcon |
|
|
Создано: 15 марта 2015 20:31 · Личное сообщение · #25 TryAga1n, ну это смотря как вирус написан. По крайней мере раньше, допускали уйму ошибок на разных этапах, что практически компрометировало любой их ключ: либо с рандомом косяк, либо сохраняли ключ на диск на каком-то этапе и не удаляли его нормально, либо использовали симметричное шифрование. Но сейчас, после CryptoLocker, вроде как нормально делают, хрен расшифруешь. Ключ генерируется на сервере и вирусу отдается только публичный. |
|
|
Создано: 18 марта 2015 20:47 · Личное сообщение · #26 Интересно еще, как удаляются данные. Когда ценных данных не так уж и много, можно сдампить диск и r-studio посмотреть, что там было удалено и осталось, к примеру. Если не затёрто, конечно. А так - да, дохлый номер, ничего не восстановишь, если у автора руки прямые) ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей. |
|
|
Создано: 19 марта 2015 09:00 · Поправил: gurololicon · Личное сообщение · #27 Crawler CTB-Locker делает как-то так Code:
|
|
|
Создано: 19 марта 2015 10:17 · Личное сообщение · #28 Crawler пишет: ничего не восстановишь, если у автора руки прямые и чаще всего все просто верят, что они таки прямые... но оочень далеко не всегда это так) недавно тут вроде проскакивал кейгенми с RSA-2048... довольно забавная вещь, и находишь дырку, только потому, что знаешь что это возможно иначе доходишь до размера ключа и говоришь забудь
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
eXeL@B —› Вопросы новичков —› Encoder.858 - почему никто не может расшифровать ? |
Для печати