Комментарии 68
Интересно, какая добрая сила удерживает авторов многих файлошифровщиков от использования ассиметричной криптографии?
Никакая, ее уже используют.
То, что ее используют совершенно не удивительно. Удивительно, что ее используют не все.
Необходимо иметь хост, на который будут сливаться ключи. Если шифровать одним, то или подберут ключ, или найдут способ выкрасть. Поэтому «умные» шифровальщики либо генерят пару для каждой инфицированной системы, либо получают открытый ключ с сервера. Так делают умные и неленивые. Глупые или ленивые используют симметричное шифрование, потому что все равно получать профиты.
> Необходимо иметь хост, на который будут сливаться ключи.
разве что для удобства «пользователя»
> Если шифровать одним, то или подберут ключ
Лично мне неизвестны подтвержденные случаи факторизации даже старой доброй RSA 2048.
> выкрасть
выкрасть закрытый ключ с подконтрольного злоумышленнику (и неизвестного широкой общественности) хоста задача на несколько порядков затруднительней, чем вытащить ключ (симметричного шифрования) вшитый в бинарник криптора.
> Глупые или ленивые
Очень похоже на объяснение феномена, однако масштаб глупости и ленности поражает.
разве что для удобства «пользователя»
> Если шифровать одним, то или подберут ключ
Лично мне неизвестны подтвержденные случаи факторизации даже старой доброй RSA 2048.
> выкрасть
выкрасть закрытый ключ с подконтрольного злоумышленнику (и неизвестного широкой общественности) хоста задача на несколько порядков затруднительней, чем вытащить ключ (симметричного шифрования) вшитый в бинарник криптора.
> Глупые или ленивые
Очень похоже на объяснение феномена, однако масштаб глупости и ленности поражает.
Эта добрая сила удерживает далеко не всех авторов, но к счастью, она пока что предотвращает появление шифровальщиков с более опасными способами проникновения, чем вложение в e-mail.
Ассиметричное шифрование — ресурсоемкое, поэтому им шифруют ключи симметричного, или незначительные по размеру данные.
Спасибо, Кэп!
А каким образом это его использовать (для шифрования ключей симметричного, которым зашифрованы файлы) не дает?
А каким образом это его использовать (для шифрования ключей симметричного, которым зашифрованы файлы) не дает?
Кроме ресурсоёмкости есть ещё интересные особенности. За все алгоритмы не поручусь, но в RSA размер шифруемых данных не должен превышать длину ключа. Ключ — это модуль, по которому берётся результат возведения в степень шифруемых данных, степень чаще всего одна и та же, 65537. Понятно, что если модуль равен n, то получаемые шифрованные (и расшифрованные же) значения будут лежать в диапазоне от 0 до n-1, в битах же можно подстраховаться и ограничить значения до 2^(m-1), где m = log2(n). Если взять слишком большое шифруемое значение, большее n, то расшифровка станет попросту невозможна, получится мусор. Если же шифруемое число слишком маленькое, его необходимо «добить» до этого 2^(m-1), иначе простой перебор может сломать всю схему. Правила выравнивания (padding) тоже описываются в стандартах.
Алгоритм ГОСТ 34.10-2012 (на эллиптических кривых) из OpenSSL вообще режет данные до 256 бит принудительно, в документации говорится, что шифрование предназначено исключительно для сессионных ключей, которые, сюрприз-сюрприз, в симметричном алгоритме именно 256 бит длиной. ЭЦП, впрочем, может быть 256 или 512 бит. Не знаю, особенность реализации это или самого алгоритма, он для моего понимания слишком сложен, в отличие от RSA, так что не разбирался.
Смысл всего написанного выше в том, что криптографы не зря категорически не рекомендуют реализовывать алгоритмы самостоятельно. Даже если всё сделано верно, создать побочные каналы утечки данных (выравнивание, генерация ключей, некоторые не строго определённые параметры типа экспоненты и т.д.) можно очень просто, если не знать досконально всех особенностей этих алгоритмов. И уже неоднократно этим пользовались аналитики из антивирусных компаний, чтобы сделать генераторы ключей и декрипторы, хотя, казалось бы, сами алгоритмы выглядят непробиваемыми, с длиннющими ключами и страшными картинками на весь экран.
Алгоритм ГОСТ 34.10-2012 (на эллиптических кривых) из OpenSSL вообще режет данные до 256 бит принудительно, в документации говорится, что шифрование предназначено исключительно для сессионных ключей, которые, сюрприз-сюрприз, в симметричном алгоритме именно 256 бит длиной. ЭЦП, впрочем, может быть 256 или 512 бит. Не знаю, особенность реализации это или самого алгоритма, он для моего понимания слишком сложен, в отличие от RSA, так что не разбирался.
Смысл всего написанного выше в том, что криптографы не зря категорически не рекомендуют реализовывать алгоритмы самостоятельно. Даже если всё сделано верно, создать побочные каналы утечки данных (выравнивание, генерация ключей, некоторые не строго определённые параметры типа экспоненты и т.д.) можно очень просто, если не знать досконально всех особенностей этих алгоритмов. И уже неоднократно этим пользовались аналитики из антивирусных компаний, чтобы сделать генераторы ключей и декрипторы, хотя, казалось бы, сами алгоритмы выглядят непробиваемыми, с длиннющими ключами и страшными картинками на весь экран.
А зачем вообще шифровать, если можно просто удалять и прописывать нулями? Все равно ведь пипл заплатит через какое-то время
Если просто удалять по одному, то пользователь может выключить компьютер и подключив диск к другому компьютеру вытащить данные.
Имеется ввиду затереть сразу все файлы а написать что они зашифрованы. br0x Вы злодей :)
<сарказм>
А как ещё «бороться» с пользователями игровой прошифки и наполнения для неё версиями „Торрент эдишн“?
</сарказм>
А как ещё «бороться» с пользователями игровой прошифки и наполнения для неё версиями „Торрент эдишн“?
</сарказм>
Вшить в видеокарты ATI/Nvidia частоты, не позволяющие играть в 3D?
А требование выкупа зашить в заставку при запуске (некоторые биосы/редакторы точно позволяли это)
В случае с Intel — патчим uefi, может быть там кое-что интересное…
Забыл название технологии, суть: windows запускает бинарник, вшитый в uefi…
А требование выкупа зашить в заставку при запуске (некоторые биосы/редакторы точно позволяли это)
В случае с Intel — патчим uefi, может быть там кое-что интересное…
Забыл название технологии, суть: windows запускает бинарник, вшитый в uefi…
Windows Platform Binary Table
Lenovo отличилась снова: bloatware оказалось встроенным в BIOS ноутбуков компании
Пруф.
Lenovo отличилась снова: bloatware оказалось встроенным в BIOS ноутбуков компании
Пруф.
Ничто не мешает это сделать и при шифровании — процесс шифрования занимает около недели. И лишь когда весь список будет обработан — выскакивает сообщение, вирь вылазит из тьмы и просит денег.
Профилактика вполне эффективна — стоит лишь контролировать ресурсы своей системы, и отлавливать тех, кто ими пользуется без спроса. Так можно поймать вирь на раннем этапе, и не потерять слишком много информации — вирь вынужден шифровать кучу мусора, т.к. не в состоянии идентифицировать важные данные.
Профилактика вполне эффективна — стоит лишь контролировать ресурсы своей системы, и отлавливать тех, кто ими пользуется без спроса. Так можно поймать вирь на раннем этапе, и не потерять слишком много информации — вирь вынужден шифровать кучу мусора, т.к. не в состоянии идентифицировать важные данные.
Корпоративная этика: если все вирусы после оплаты будут восстанавливать файлы, то им продолжат платить. А если никто ничего восстанавливать не будет, то платить никто просто не будет, т.к. файлов никак не вернуть.
Да, в этом есть смысл. Пираты, живущие по кодексу чести)
Приходится, иначе им не будет доверия… Хотя напрашивается жестокая идея, как лишить их бизнеса: сделать несколько атак таких же локеров, которые стирают файлы и требуют деньги, ничего не восстанавливая и ещё и издеваясь над заплатившими. Тогда процент платящих будет намного ниже и бизнес перестанет быть рентабельным для всех. К сожалению, для этого должны пострадать очень много юзеров, что неприемлемо.
Идея хорошая. Те, кто борется с киберпреступностью, могли бы развить её и реализовать. Реальных жертв можно было бы заменить на подставных, развернув информационную кампанию, чтоб везде появлялись статьи про массовые вирусы-вымогатели, ничего не дешифрующие после оплаты. Это ударило бы по доходам вирусописателей, но до конца всё равно не победило бы.
Совершенно верно. Честность это самый дорогой товар в мире, даже в криминальном. Кидал и отморозков никто не любит.
Помнится, в эпоху винлокеров примерно один из десяти возвращал какой-нибудь код разблокировки. Ко мне тогда довольно много народу обращалось со словами «я им заплатил, как просили, для надежности два раза, а они...»
Ох и сильно же этот вымогатель воздействует на пользователя! До такой степени, что юзер, потея от ужаса, беспомощно наблюдает, как улетают его файлы, но при этом даже не помышляет о том, чтоб вырубить комп.
Значок приложения уж больно смахивает на дефолтный у WinForms из Visual Studio
Как видно про mkv и flac этот шифровальщик не знает. Кстати можно все важные для себя расширения переименовать, например doc>doc1, на работоспособность используемого их софта скорее всего не повлияет, а от шифровальщиков защитит. Можно даже батник написать и в планировщик закинуть, который будет это делать периодически автоматом. Правда еще вопрос проверяется ли только первое вхождение, тогда лучше что-то вроде doc>dc1.
До чего все-таки страшные стали зловреды, раньше подцепишь трояна, ну пароли уведет, поменяешь потом, спам будет рассылать, а теперь все ценное портят. Бэкапы, конечно, спасут, но их еще надо своевременно делать.
До чего все-таки страшные стали зловреды, раньше подцепишь трояна, ну пароли уведет, поменяешь потом, спам будет рассылать, а теперь все ценное портят. Бэкапы, конечно, спасут, но их еще надо своевременно делать.
Те бэкапы, которые делает среднестатистический пользователь, зачастую бессильны против таких троянов. Потому что если бэкап делается простым копированием на внешний диск, то троян зашифрует и его тоже.
А если в облако, то облако вполне может успеть синхронизироваться с зашифрованным диском.
А если в облако, то облако вполне может успеть синхронизироваться с зашифрованным диском.
Только облака нормальные имеют версионирование
Изменяется имя файла, то есть в конце добавляется расширение другое, значит файлы в облаке останутся прежние.
В описании каждого нового шифровальщика, с замиранием сердца ищу расширение .TIB.
Пока не видел.
Пока не видел.
А на отдельный раздел? Acronis вполне так делает. У обычного пользователя не туда доступа.
Более того, на отдельный сервер, под учёткой службы акрониса, но мало-ли)
Вернее уязвимость есть.
Бухи заходят на сервер RemoveApp под админскими учётками. Без этого никак. И хотя сами они сидят под пользовательскими и это, физически, другой сервер всё-ж у них есть доступ с админскими правами. Надо, наверное, вывести backup-сервер из AD
Бухи заходят на сервер RemoveApp под админскими учётками. Без этого никак. И хотя сами они сидят под пользовательскими и это, физически, другой сервер всё-ж у них есть доступ с админскими правами. Надо, наверное, вывести backup-сервер из AD
Буквально недавно компания Veeam представила интересную новую функцию в своем продукте по созданию бэкапов, направленную на противодействие криптолокерам. При использовании USB-устройств для хранения бэкапов можно настроить автоматическое отсоединение съемного устройства после завершения резервного копирования (Eject removable storage once backup is completed).
Считаю эту функцию весьма актуальной, в связи с участившимися всплесками активности криптолокеров.
Считаю эту функцию весьма актуальной, в связи с участившимися всплесками активности криптолокеров.
Вообще-то зловреды с этого начинали — показать картинку и форматнуть винт или БИОС. Потом уже начались ботнеты и пароли. Развитие пошло по спирали.
Защищаться от шифровальщиков надо не этими бабушкиными способами, а нормальной политикой безопасности системы, когда, если скачал экзешник, то, чтобы его запустить, нужно пару раз явно подтвердить, что ты этого хочешь. А если и запустил, то это не даёт софту по умолчанию право править ядро, ставить драйверы или лезть в файлы другого пользователя.
У меня есть сервачок-файлопомойка, так там есть shadow-копии всех ценных файлов. И копии с этого сервака никак нельзя удалить (заблокированы команды работы с ФС) и диск нельзя форматнуть (заблокирован низкоуровневый доступ) и в ядро нельзя встроиться (цифровая подпись). Вот там вообще ни один зловред ничего не испортит, в худшем случае зафлудит пустое место.
Но народу, видите ли, неудобно, когда ты скачал exe-шник а ещё надо разрешения ему выдавать, народ, видите ли, пугается вопросов UAC и отключает его нафиг целиком. А потом возмущаются, чего мол, так много троянов…
Защищаться от шифровальщиков надо не этими бабушкиными способами, а нормальной политикой безопасности системы, когда, если скачал экзешник, то, чтобы его запустить, нужно пару раз явно подтвердить, что ты этого хочешь. А если и запустил, то это не даёт софту по умолчанию право править ядро, ставить драйверы или лезть в файлы другого пользователя.
У меня есть сервачок-файлопомойка, так там есть shadow-копии всех ценных файлов. И копии с этого сервака никак нельзя удалить (заблокированы команды работы с ФС) и диск нельзя форматнуть (заблокирован низкоуровневый доступ) и в ядро нельзя встроиться (цифровая подпись). Вот там вообще ни один зловред ничего не испортит, в худшем случае зафлудит пустое место.
Но народу, видите ли, неудобно, когда ты скачал exe-шник а ещё надо разрешения ему выдавать, народ, видите ли, пугается вопросов UAC и отключает его нафиг целиком. А потом возмущаются, чего мол, так много троянов…
уже объясняли — от гос.органов ходят экселевские фалы со скриптами — без них там каша. Соотв когда с похожего на ЦБ адреса приходит заскриптованный файл — «новые положения обмена валюты для банков (вступают в действие с понедельника).doc» — как должен поступить финдир в пятницу вечером? Особенно если админ и безопасник уже свалили…
«новые положения обмена валюты для банков (вступают в действие с понедельника).doc .exe» -же
На грамотно настроенном сервере письма с таким файлом во вложении не будут доставлены. Ключевое слово: «грамотно».
В грамотно построенной операционной системе
Такой или иной экзешник, полученный по почте или через флешку, никогда не получит прав доступа к документам пользователя и тем более к «0 кольцу» системы. Почта изначально задумывалась как средство передачи текстовых сообщений (кому, тема, «Приветы»). Это уже позже придумали как файлы цеплять. С заражением нужно бороться на уровне ОС, а не встраивать в «роутеры информации» средства анализа и контроля.
Ключевое слово: «грамотно».
Такой или иной экзешник, полученный по почте или через флешку, никогда не получит прав доступа к документам пользователя и тем более к «0 кольцу» системы. Почта изначально задумывалась как средство передачи текстовых сообщений (кому, тема, «Приветы»). Это уже позже придумали как файлы цеплять. С заражением нужно бороться на уровне ОС, а не встраивать в «роутеры информации» средства анализа и контроля.
А что, скрипты в Excel не sandbox-ятся нормально? Если нет — признать Excel программой-зловредом и запускать в виртуалке, с зарегулированным доступом к собственно документам.
НЛО прилетело и опубликовало эту надпись здесь
Новый виток борьбы canon vs nikon.
.raw вирь шифрует, а о .nef не знает.
.raw вирь шифрует, а о .nef не знает.
Все эти вирусы — следствие поведения самих пользователей. Только императивный доступ!
Расскажу на своем примере — работаю в ВУЗе. Все машины в моем поле зрения были поставлены на простую схему «Администратор» для меня, «Пользователь» для всех. Все необходимые программы (7zip, Sumatra и тд) ставятся заранее. Необходимо новое ПО — заявка и обоснование.
Расскажу на своем примере — работаю в ВУЗе. Все машины в моем поле зрения были поставлены на простую схему «Администратор» для меня, «Пользователь» для всех. Все необходимые программы (7zip, Sumatra и тд) ставятся заранее. Необходимо новое ПО — заявка и обоснование.
Все необходимые программы (7zip, SumatraИ не говорите — что вообще этим людишкам надо-то? — кирзачи, портянки — есть, перловки — навалом, плац покрашен, в строю песни поют — радуются… чего не хватает?
Это вы из-за того, что «императивный» однокоренное с «империя»? :D
А вообще, Autodesk пакет с серверной лицензией, OCR и профильный по кафедрам. Там хороший набор ПО, просто он весь записан был в изначальное ТЗ :)
А вообще, Autodesk пакет с серверной лицензией, OCR и профильный по кафедрам. Там хороший набор ПО, просто он весь записан был в изначальное ТЗ :)
А скрипты в автодесковых файлах вы тоже не даёте пользователям запускать?
А поработать с тем же самым учебнымм файлом дома? (т.е воткнуть флешку) тоже?
(я так понял что это ВУЗ и вы — препод (и привыкли всехсчитать идиотами строить)
А поработать с тем же самым учебнымм файлом дома? (т.е воткнуть флешку) тоже?
(я так понял что это ВУЗ и вы — препод (и привыкли всех
Тут у меня для вас два аргумента:
• т.к. это лицензия, пакет постоянно обновляется;
• из того, что я понял по поводу этих скриптов (до этого не слышал, в гугле первые ссылки по запросу autodesk script virus) — они влияют только на сам автокад. Это не проблема. Стерли машину => восстановили из слепка (на каждый комплект железа свой слепок, таких «локальных» парков не много, поэтому могу позволить) => подключили к серверу лицензий, через 5 минут работа продолжается.
А вообще, опять же, не встречался со скриптами в принципе (сам за автокадом не работаю), поэтому не знаю как они себя ведут под обычным пользователем. Во всяком случае, никто еще не жаловался.
• т.к. это лицензия, пакет постоянно обновляется;
• из того, что я понял по поводу этих скриптов (до этого не слышал, в гугле первые ссылки по запросу autodesk script virus) — они влияют только на сам автокад. Это не проблема. Стерли машину => восстановили из слепка (на каждый комплект железа свой слепок, таких «локальных» парков не много, поэтому могу позволить) => подключили к серверу лицензий, через 5 минут работа продолжается.
А вообще, опять же, не встречался со скриптами в принципе (сам за автокадом не работаю), поэтому не знаю как они себя ведут под обычным пользователем. Во всяком случае, никто еще не жаловался.
ок. т.е. об этом векторе атаки вы узнаете уже по факту.
Вот и вся цена ваших императивов.
Впрочем если ваши пользовтаели ценного контента не генерят и результатов их работы вам не жалко — то действительно пофигу. Соотв. ваш подход только для таких случаев и годен.
Вот и вся цена ваших императивов.
Впрочем если ваши пользовтаели ценного контента не генерят и результатов их работы вам не жалко — то действительно пофигу. Соотв. ваш подход только для таких случаев и годен.
Ну да, я из тех людей, что не могут знать всего на свете :)
По поводу ценного контента — студенты и преподаватели являются пользователями. Их контент сводится к воспроизведению действий, указанных в методичке. Т.е. при потере данных никто особо не расстроится.
Но опять же — за 3 с лишним года я ни разу не сталкивался. Столкнулся бы — и с этим что-то придумал. Пока такой необходимости не было.
По поводу ценного контента — студенты и преподаватели являются пользователями. Их контент сводится к воспроизведению действий, указанных в методичке. Т.е. при потере данных никто особо не расстроится.
Но опять же — за 3 с лишним года я ни разу не сталкивался. Столкнулся бы — и с этим что-то придумал. Пока такой необходимости не было.
Т.е. при потере данных никто особо не расстроится.Завидую! (ушёл спать, напевая «если у вас нету данных — вам их не потерять»)
Вы это… Дайте вариант, при котором у вас будет гарантия полной защиты от угроз и потерь данных.
Защита от трёхсотчасового гамма-всплеска в понятие «полная» входит?
Естественно! Причем по всей планете.
Вывод — что системы безопасности не нужны в принципе, так как ничего не гарантируют?
Вывод — что системы безопасности не нужны в принципе, так как ничего не гарантируют?
Этот же вывод, но в «градациях серого»: вероятность события, умноженная на ущерб = цена вопроса.
Соотв (цена мероприятий по защите) / (цену вопроса) не должна превышать где-то 1.3 (те самые пресловутые 30% прибыльности, за которые капиталист готов пуститься во все тяжкие).
если цифра сильно отлоняется от этой в какую-либо строну — или кто-то кого-то на… или кто-то чего-то недопонимает, т.е сильно неоправданно рискует.
Соотв (цена мероприятий по защите) / (цену вопроса) не должна превышать где-то 1.3 (те самые пресловутые 30% прибыльности, за которые капиталист готов пуститься во все тяжкие).
если цифра сильно отлоняется от этой в какую-либо строну — или кто-то кого-то на… или кто-то чего-то недопонимает, т.е сильно неоправданно рискует.
>И не говорите — что вообще этим людишкам надо-то? — кирзачи, портянки — есть, перловки — навалом, плац покрашен, в строю песни поют — радуются… чего не хватает?
Ну тогда чего к человеку цепляетесь? Решение достаточно надежное для своих денег, и не стоит изобретать «вирусы в скриптах автокада» — старый добрый аппаратный кейлоггер вполне справиться с утечкой данных.
Ну тогда чего к человеку цепляетесь? Решение достаточно надежное для своих денег, и не стоит изобретать «вирусы в скриптах автокада» — старый добрый аппаратный кейлоггер вполне справиться с утечкой данных.
А как эти меры защитят от шифрования пользовательских файлов? Если сами пользователи имеют доступ к файлам, вирус точно так же сможет их менять. А запустить они его могут из почты, с флешки и т.д.
Они его не могут запустить. Что Петя, что данный «фрукт», основную работу начинают только после запуска исполняемого. А обычный пользователь не может запустить неизвестный системе исполняемый файл.
А через уязвимости браузера шифровальщик может пролезть?
Можно еще кстати запретить удаление/модификацию средствами NTFS, оставить доступ только на чтение.
Можно еще кстати запретить удаление/модификацию средствами NTFS, оставить доступ только на чтение.
Конечно может. Тот же flash — решето еще то. Но! все программы запускаются с правами обычного пользователя. Сомневаюсь, что они могут чего-то серьезного сделать с системой (если вообще могут) посредством этих уязвимостей.
Да и повторюсь — контент и его защита является проблемой самого пользователя, я в принципе не вижу достаточно прозрачной схемы контролировать контент для довольно широкого профиля его генерации (начиная документами и заканчивая чертежами).
Да и повторюсь — контент и его защита является проблемой самого пользователя, я в принципе не вижу достаточно прозрачной схемы контролировать контент для довольно широкого профиля его генерации (начиная документами и заканчивая чертежами).
Такой подход для гуманитарки хорош, а как дела у программистов? Им тоже на каждый «скомпиленный экзешник» заявку писать?
Не сталкивался с контролем машин для «низкоуровневой» разработки, но предполагаю, ограничение на IDE и пусть внутри ковыряются.
На том же Visual Basic у нас отлично преподают и обучают. Конечно вопрос целесообразности изучения данного языка в принципе, но… как паттерны, могу предположить что будет полезным.
На том же Visual Basic у нас отлично преподают и обучают. Конечно вопрос целесообразности изучения данного языка в принципе, но… как паттерны, могу предположить что будет полезным.
Вот хорошая практика. Сто раз подумают, прежде чем пересобирать.
Чего только не придумают люди, лишь бы не делать backup-ов.
Мой вариант защиты:
1. Архивы создаются автоматически (бесплатных программ море), только расширения архивов меняются на нетипичные. Например .dll или .drv
2. В специальную скрытую папку закинута наживка в виде некоего ненужного файла типа «Договор.docx»
3. На жестком диске создан дополнительный раздел, который отформатирован, но ему не присвоена буква.
4. По расписанию запускается батник, который проверяет наличие файла наживки. Если файл на месте, то скорее всего «В Багдаде все спокойно» и можно запускать процедуру слива накопившихся архивов на скрытый раздел, предварительно разделу назначается буква (к примеру «W:»), после окончания слива раздел размонтируется (буква драйва удаляется).
5. Если же файла на месте нет, или есть но другой, то «Алярм!», скорее всего в системе завелся шифровщик.
Что используем: effector saver, synchredible, diskpart.
1. Архивы создаются автоматически (бесплатных программ море), только расширения архивов меняются на нетипичные. Например .dll или .drv
2. В специальную скрытую папку закинута наживка в виде некоего ненужного файла типа «Договор.docx»
3. На жестком диске создан дополнительный раздел, который отформатирован, но ему не присвоена буква.
4. По расписанию запускается батник, который проверяет наличие файла наживки. Если файл на месте, то скорее всего «В Багдаде все спокойно» и можно запускать процедуру слива накопившихся архивов на скрытый раздел, предварительно разделу назначается буква (к примеру «W:»), после окончания слива раздел размонтируется (буква драйва удаляется).
5. Если же файла на месте нет, или есть но другой, то «Алярм!», скорее всего в системе завелся шифровщик.
Что используем: effector saver, synchredible, diskpart.
Где его можно найти?(ничего плохого не замышляю) Просто хочется посмотреть бинарник.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Криптовымогатель Jigsaw играет с пользователем, как персонаж фильма «Пила» (+ инструкция по обезвреживанию)