Comments 74
Господи, что за бездарности писали эти вирусы, которые можно расшифровать за 6 суток.
Такие вот «спецы». Вы, наверное, как и они, думаете, что уж Ваш шифр никто в мире не вскроет. Кстати, данные староваты. На новом серваке на i7 я подобные случаи расшифровываю за 24 часа. Вот прогресс то куда шагнул…
Мой шифр никто в мире не вскроет, потому что мой шифр использовал бы стандартные алгоритмы, проверенные временем.

(рассуждения чисто теоретические, не подумайте чего)
… так думает каждый «кул-хацкер2». Однако, на каждый «лом» находится другой, побольше.
Я в 16 лет думал, что XOR по ключу дает полностью равномерный «белый шум» и очень радовался… Потом радовался полиморфному шифрованию… А потом понял, что более-менее надежны системы вроде PGP, да и то, не факт, что будут и они скомпрометированы, как AES.
Как я Вам искренне соболезную…
Я в свои 16 лет думал, что круче велика BMX ничего нет в мире. Потом я радовался, когда в парке закатали новую велосипедную дорожку. А далее я понял, что надо не институты «заканчивать», а брать в руки книжку «Windows Server 2003».

Уж извините, но мне Ваш текст кажется «сомнительным». А всё от того, что я не полез сразу в ВИКИ и не стал искать значения всех ваших слов. Иначе, спустя 30 минут я Вам накатал бы диссертацию на эту тему;)
Ведь Вам тоже будет неприятно, что вы в своих расчетах просто не учли возможность DFT при возникновении банальных TRD, это если не учитывать SSHD, которые надо было бы использовать в такой ситуации.
XOR, полиморфные шифровщики, PGP и AES — это для вас неизвестные слова?
Не стану с Вами спорить в силу своей тотальной безграмотности в области шифрования.
И неприятно мне не будет, поскольку не тратил время и силы по данному вопросу.
А далее я понял, что надо не институты «заканчивать», а брать в руки книжку «Windows Server 2003».

я не полез сразу в ВИКИ и не стал искать значения всех ваших слов.

Знаете, есть такое слово — «кругозор». Если человек много лет назад взял в руки одну из книг «Windows Server 2003», но при этом до сих пор не знает слов «XOR», «AES» и «PGP», то мне кажется, что ему не стоило брать в руки эту книжку, да и вообще IT — это не для него. Без обид.
Тем более, Википедия — неплохая отправная точка перед покупкой книги — чисто, чтобы решить, а нужно ли тебе это. За всю жизнь не станешь «аникеем», либо ты разбираешься в чем-то конкретном хорошо, либо во всем никак. Но «слышать звон» обо всем тоже полезно.
>Я в 16 лет думал, что XOR по ключу дает полностью равномерный «белый шум» и очень радовался

Белый, не белый, но «XOR по ключу» является невзламываемым способом шифрования, если размер ключа не меньше размера шифруемых данных, сам ключ сгенерирован случайным образом и не используется для шифрования других данных. :)
OTP (One Time Password) — это в принципе единственный «идеальный» способ шифрования, но он технически неприменим потому что если можно безопасно хранить/передавать ключ такой-же длины как и данные, то что мешает по этому каналу передавать сами данные?

А по поводу того что пишет автор — дилетанство. Легко вскрывается RC4 и DES потому что для современных процов он слабоват, да и есть обходные пути. С AES всё намного сложнее и даже если известны первые символы файла (дешифровщик просит именно .doc файл для теста), подбор длинного пароля может занять годы. Просто вирусописатели сильно не заморачивались длиной пароля. Но когда их начали активно подбирать, решили таки перейти на один из самых стойких на данный момент алгоритмов. Тут вопрос не в том, что им лень, вопрос в том, что код нужно клепать быстро и устаревает (попадает в антивирусные базы) он быстро, т.ч. тут не до исследований. Клепают из готовых блоков каждые 2-3 недели новый вариант. Минимум усилий — максимум прибыли.

Из личного опыта: на подбор пароля к zip архиву было безуспешно потрачено 3 месяца 32-х ядерного сервера. Архив создан в 7zip и использует шифрование AES, человек не поленился придумать сложный пароль. Подбирал профессиональным инструментом. Скорость подбора (если не изменяет память) 300М вариантов в секунду.
Скажите спасибо что они вообще шифруют, а не затирают рандомом(хотя похоже это сделано для того что бы продемонстрировать дешифрацию файла)…
Да видел я такие вирусы. Их очень мало, они не получают распространения и не носят практического назначения. А вообще, я мог бы и ответить, что мне «похрен», у меня есть «бэкапы;)»
Всегда интересовал вопрос, неужели все же не вышлют дешифратора? Ведь это вопрос имиджа, если можно о нем говорить в данной ситуации, но все же. Сами ведь себя наказывают, если допустим зашифровался не 1 компьютер, а несколько в компании. Тогда заплатив раз и не получив ключа, будут искать иные способы, что отразится для злоумышленников очевидным убытком.
Ведь совершенно не сложно написать дешифратор для своего же шифровальщика.
Наверное зависит от вируса. Недавно была новость про вирус, зашифровавший файлы в каком то департаменте полиции США, я так понял, что они заплатили и получили расшифровку.
Вы правильно поняли. Они тупо заплатили и получили расшифровку (дешифратор).
Вы, надеюсь, понимаете, что они опустились «ниже плинтуса»?
А нафига высылать? Для поддержания своего имиджа? В надежде, что этот пользователь побежит по форумам писать, что мне помогли «эти бравые ребята»?
Это похоже на «синдром заложника».
А зачем тогда файлы действительно шифруют? Ведь могли бы просто перезаписывать мусором, и поверх этого показывать баннер «Файлы зашифрованы, требуем 100500 денег!»
Затем, чтоб все думали, что восстановить реально! И потом некоторым показывать, что восстановить действительно реально.
А 9600символов — это мало? Хотя это почти первая статья на данном сайте. Буду конечно исправлять…
Интересно, почему вирмейкеры каждый раз изобретают велосипеды (с квадратными колесами). Встроить в троянца кусок TrueCrypt'а, AESCrypt'а или GnuPG какого-нибудь — и всё! Никакая антивирусная лаборатория не вернет файлы, ни через 5 суток, ни через 5000.
Узкое место только в генерации и передаче ключей, но и здесь проблема решаема (тот же GPG?).
«Вот ви такой умний, да?»
Как Вы думаете, кто пишет вирусы? Школьники после уроков? Нихрена.
Их пишут алчные программисты, желающие быстрой наживы. И уж если у них была бы хоть одна возможность внедрить Ваши примеры — они бы их внедрили.

А вообще Какого «буя» ВЫ даёте им советы? Может Вы причастны?
А ведь информация с хабра достаточно быстро и широко разносится по интернету.
Не боитесь, что следующий вирус будет использовать озвученную информацию? ;)
Какую озвученную? Я так то наоборот пытаюсь тут выложить максимум известной информации. А дальше уж стоит бояться, что НАШИ «Касперские» и " ВЭБы" ПЕРВЫМИ не среагируют на топики Хабра;)
Уж если они не следят за хабром — то мне вообще не охото с ними иметь что то общее…
> Не боитесь, что следующий вирус будет использовать озвученную информацию?
Будет, обязательно. Но вряд ли в этом будет заслуга хабра. Такие идеи лежат на поверхности и приходят в голову сразу многим независимо.

Не так давно тут кто-то говорил, что с локерами и крипторами нужно бороться, отслеживая получателя платежа. И что bitcoin был бы идеальным выбором для вируса-вымогателя. Проходит некоторое время — бабах! — появился локер, который требует выкуп через bitcoin.
Встроить в троянца кусок TrueCrypt'а, AESCrypt'а или GnuPG какого-нибудь — и всё!

У меня подозрение, что это будет «красной тряпкой для быка», и антивирус на такое завопит как резанный ещё до запуска :)
p.s: вирусам скрытность нужна, а потому костыли — велосипеды :)
Это же всё опенсорсные продукты. Код можно так перекомпилить-перевыкомпилить, что не только антивирус — родная мама не узнает.
деобяускацию, ясное дело, можно применить любую, но алгоритмы шифрования всё равно будут видны, к тому же прошу обратить внимание, что используются исключительно быстрые алгоритмы, а жанные шифруются е полностью. В общем анализ поведения тоже заподозрит неладное
Буду банален, но резервные копии же ж. И не надо расшифровывать мусор ни месяц, ни сутки.
Хоть как «P.S.» упомяните про них в статье, как напутствие будущим… :)
На один из вариантов шифровальщика-вымогателя попала недавно контора моего товарища. Бекапы? Да, они были, делались ежесуточно на подключенный USB-диск и раз в неделю по сети на соседний сервер. Но, как уже можно догадаться, вирус точно также зашифровал и файлы резервных копий (архивы zip) на USB-диске и сетевом диске.
Так что сам по себе факт бекапа ничего не дает, нужно тщательно продумывать бекап так, чтобы и резервные копии не подверглись заражению.
Сейчас я уже настроил товарищу бекап в облачное хранилище по scp+ftp, но все еще сижу и думаю, как бы еще снизить риск «расползания» заразы по бекапам.
Ну, это проблема разделения полномочий. Заразам доступ к бэкапам давать нельзя ) Иначе это и не бэкап получается, а проходной двор.
Ну, как правило, дефолтный админ имеет доступ, если зараза работает от его привилегий — то дотянется всюду. Заранее себя насиловать, предварительно отнимая у админа права на бекапы — тот еще рекурсивный mindfuck, особенно если это не корпорация какая, а маленький интернет-магазин, где 8 сотрудников всего. У них и админа-то нет никакого, иногда помогаю им что-то наладить, по возможности.
Еще раз повторю мысль. Она короткая. Выделю ее. _Бэкап_должен_БЫТЬ_. Здесь же описывается ситуация «бэкапа НЕТ».
Он перестал существовать, потому что «как правило, дефолтный админ имеет доступ...».
Растекаться «мыслью по древу» о решениях мы не будем. Каждый найдет в итоге свое. Сразу или «уже» )
И даже описание вот таких ошибочных вариантов в комментариях опять же кого-то подтолкнут к необходимости еще раз подумать. Всё на пользу )
Я рад, что основную мысль, наконец, удалось донести, что комментариев она не вызывает.
До меня не требовалось никаких мыслей доносить, поэтому остальное я просто проигнорировал, потому как ценной информации мозг там не уловил.
Приветствую!
Осмелюсь предложить такую схемку:
— Право записи в директории на usb-диск и соседний сервер — отдельная учетная запись(от имени которой запускается бэкап), Администраторов — исключить.
— на чтение — группа пользователей(дабы иметь возможность восстанавливать информацию рядовыми сотрудниками)

Эта гениальная схема — первое и самое простое, что вообще можно придумать. И именно о ней и ее производных я говорил, когда писал
Заранее себя насиловать, предварительно отнимая у админа права на бекапы — тот еще рекурсивный mindfuck, особенно если это не корпорация какая, а маленький интернет-магазин, где 8 сотрудников всего.
Эмм. А тупо спрятать бекап сервер за нат, и делать так, что бекап сервер сам забирает нужное фейло по расписанию не?
БЛИИИИИИН! Вам бы почитать вырезку из моей предыдущей статьи!

КАК Я ДЕЛАЮ БЭКАП С ДОМАШНИМ ПК:

1. Все фотки и документы раз в день ночью, благодаря автоматизации, копируются на винт «F» в 1ТБ в папку «Х».
2. Эта папка «Х» является исходной папкой для облака «Mail.ru Cloud», соответственно всё выгружается в облако.
3. Каждые пару дней акронис клонирует винт «F» на диск «G» тоже в 1ТБ.
4. Все фотки и документы раз в неделю копируются на этот же диск «F» но в папку «Y»,
5. которая является исходной папкой для облака Яндекс.Диск, и они благополучно выгружаются в облако Яндекса.
6. А еще, иногда, раз в месяц, я беру свободный винт с работы, и несу домой. Там копирую все фотки и документы на него, клею бирку «14.12.2013. Доки, фотки», и отношу винт обратно на работу, где тот пылится на полке в ожидании следующего раза.
7. Ну и, иногда, тоже раз в месяц, все фотки я копирую на переносной винт, чтоб всегда держать с собой, в случае, если захочется показать в гостях другу как круто мы с сыном оторвались на лыжной базе.
8. Я уж и не говорю, что раз в полугодие у меня случается «параноя» и я скидываю фотки и доки в совсем сторонний малораспространенный облачный сервер. Так, на всякий случай.
Все эти бекапы на соседний диск в папочки Х и У ничем не помогут при попадании вируса на комп. Он успешно пройдется по всем дискам и папкам, а далее они уже весело и бодро синхронизируются зашифрованные на яндекс диск и куда там еще. Автоматизация, она такая, сработает отлично!
А таскать раз в месяц «свободный винт с работы» есть возможность не у всех, да и как-то это уже не в ту степь.
Вот ерунда же. Откровенная. Сколь ко времени Вам потребуется для того, чтоб распознать что вирус зашифровал файлы? Сутки?
Я вот сразу такую «ерунду» опознаю. Всё таки я на то и есть, чтоб подобную фигню распознавать.

Я сегодня узнал что у меня файлы зашифровались. Ой… Заливаем вчерашний образ (позавчерашний) и «ЧИК»! Я работаю дальше как будто ничего и не было. Бэкапы рулят!

Он успешно пройдется по всем дискам и папкам, а далее они уже весело и бодро синхронизируются зашифрованные на яндекс диск


А я что, просто так получаю зарплату? Это надо быть каким «жОским» админом чтоб позволить гулять «вирусне» в своей сети?
Я даже не хочу отвечать на этот поток эмоций. Вроде 28 лет, а как будто шестиклассник-двачер за клавиатурой, честное слово.
Я даже не хочу комментировать этот поток комментариев. Вроде 29 лет, а всё стараетесь одной строкой перечеркнуть все начинания НОВОГО пользователя на хабре… Поступок, достойный музшсчины…
Короче. Идешь ты в попу. Я до конца не разобрался с этой хренью+)))))
Маловато скобочек.
Вот, держи:
))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
О. Спасибо. А я думаю, кто у меня все скобки списдел.
Зачем тебе столько?
А вообще, харэ засирать мою дебютную тему. Я ведь все таки старался не один день…
UFO landed and left these words here
Сейчас история повторяется. И ещё с более большими проблема у пользователей. И как всегда Касперский вообще игнорирится от всего, но и Dr Web рапортует, что тоже не особо помогает. На работе пк подхватили keybtc@gmail_com
Я слушал передачу про keybtc после чего попытался найти какую-то информацию про вектор атаки, который они используют и по-быстрому не получилось.

Не могли бы вы подробнее описать как произошло заражение?

Конечно. На почту пришло письмо с темой: Акт сверки-взаиморасчётов.

Напарник прочитал письмо в котором было написано, что предприятие которое нам поставляло продукцию нашло расхождение в документах и просит свериться. К письму было прикреплен архив zip. После открытия на 2х пк на обоих видоизменились файлы с известными нам расширениями.

А теперь пришло письмо, что за 73 файла дешифровки просят 18 тыс рублей.
псевдо вордовский документ ( как оказалось имевшим расширение .js)
Ага попробовал щас себе послать — винда спрашивает при запуске — точно ли вы хотите запустить исполняемый файл.

А какая верися винды у вас?
Я просто зазиповал пустой test.js и послал его себе сам. А бекап у вас как устроен?
Автор, как с вами связаться? Хотелось бы совет по восстановлению данных.
Only those users with full accounts are able to leave comments. Log in, please.