mir-mir 18 окт 2019 в 12:12

Знакомьтесь: ransomware Nemty c поддельного сайта PayPal

7 мин

6.8K

Блог компании AcronisКриптография*Платежные системы*Антивирусная защита*

+20

Комментарии 11

namikiri 18 окт 2019 в 15:28

Я рядом уже написал отзыв о таких статьях, напишу и тут — спасибо, что такие статьи хоть изредка появляются на Хабре. А то всё доскер да прочие модные штуки. Спасибо вам.

korsarer 19 окт 2019 в 21:16

в Nemty есть пасхалка — ссылка на фото президента РФ Владимира Путина с матерной шуткой

Простите, но ради такого я сам себе этот шифровальщик скачаю :D

korsarer 19 окт 2019 в 21:27

шифровальщик написан на Object Pascal

Если бы об этом говорили на школьных уроках программирования, то возможно интерес к Pascal ABC у учеников был бы выше. Конечно я про школы, где всё еще Pascal на информатике.

korsarer 19 окт 2019 в 21:34

А где пример зашифрованных файлов? mir-mir кажется вы забыли прикрепить фотографию в пост. imgur.com/65UncP2

mir-mir 23 окт 2019 в 09:09

да, видимо забыли при публикации. Должен быть скрин:

Arcpool 20 окт 2019 в 10:49

Хм, если у него нарушена коммуникация по сети, где и как он берет ключи шифрования и где их хранит?

mir-mir 23 окт 2019 в 08:48

Для шифрования: Master открытый ключ RSA-8192 встроен в программу и используется для шифрования конфигурационного файла, в котором хранится ключ AES и секретный сессионный ключ RSA-2048. Файловые и сесссионные ключи генерируются на компьютере жертвы.

Для расшифровки:
Уникальный файловый IV, зашифрованный сессионным ключом RSA-2048, хранится в конец каждого зашифрованного файла. Файловый ключ AES и сессионный приватный ключ RSA-2048, зашифрованные мастер ключом, хранятся в конфиге (_NEMTY_[FileID]-DECRYPT.txt). Для расшифровки, конфиг загружается жертвой вручную через форму загрузки сервиса расшифровки в сети Tor.

Arcpool 23 окт 2019 в 16:48

В принципе понятно, ускользает назначение ключа RSA-2048. Для ускорения? Ведь можно было IV шифровать мастер ключом в принципе.

mir-mir 1 ноя 2019 в 09:45

RSA-2048 ключи — выполняют функцию сессионных ключей, основная задача которых предотвратить возможность использования одного декриптора для всех жертв / компьютеров / сессий

StJimmy 1 ноя 2019 в 09:46

Возможно, чтобы максимально уменьшить нагрузку на мастер-ключ.
У меня другой вопрос: зачем вообще шифровать IV?

mir-mir 1 ноя 2019 в 09:46

IV можно не шифровать. Это все равно не даст возможность жертве расшифровать файлы. В таком случае отпадет необходимость в использовании сесионной пары ключей ( RSA-2048). Т.е. достаточно будет зашифровать сгенерированный статический файловый ключ при помощи мастер публичного RSA ключа и сохранить его в зашифрованном файле. Однако, использование статического симметричного файлового ключа повышает шансы его перехвата путем снятия дампа памяти процесса шифровальщика во время его работы и дальше использовать этот ключ для расшифровки всех файлов жертвы с открытыми IV

Зарегистрируйтесь на Хабре, чтобы оставить комментарий