[расшифровать] вирус-шифровальщик
если он шифрует в SHA256 или что-то подобное, то без ключей вряд ли что-то получится
а куда предлагают платить?
Если комп под виндой (7 или 8), то на нем могли быть включены теневые копии на системном разделе - из них можете восстановить файлы.
шифрует в SHA256
Никак не расшифровать, об этом уже писали неоднократно.
http://www.teleport2001.ru/teleport2001-ru/2014-10-23/53235-...
http://www.teleport2001.ru/teleport2001-ru/2014-10-23/53235-...
Система особо не тронута, зашифрованы файлы с другого раздела (jpg, doc, rar и т.п.), редкие расширения не шифровались. Каких-либо настроек по резервному копированию нет, а по умолчанию они видимо выключены.
Никак не расшифровать, об этом уже писали неоднократно.Ну наконец-то до вирусописателей дошло. А то мне уже обидно было за уровень их развития, когда читал новости об очередном дешифрованном шифровальщике. Наука шифрования уже вроде давно вперёд шагнула, а программисты так и не удосужились качественно реализовывать её в коде.
Ага, +1
Вообще, дело было еще хуже, когда вирусов хватало только на "положить порнобаннер в аппдату".
А про расшифровку - криптография не терпит дилетантов таки, и ошибок при реализации давно описанного и сотни раз облизанного алгоритма, можно наделать массу.
Вообще, дело было еще хуже, когда вирусов хватало только на "положить порнобаннер в аппдату".
А про расшифровку - криптография не терпит дилетантов таки, и ошибок при реализации давно описанного и сотни раз облизанного алгоритма, можно наделать массу.
Ну, да, я до сих пор путаю хэширование и шифрование 
Я правильно понимаю что ismolnikу лучше вирус не высылать? 
Насчёт никак не расшифровать - насколько я понял ответ от Касперского, они имеют ввиду, что универсального дешифратора сделать не получится. У меня не совсем такой вирус, а возможно его модификация. Я исходил из наличия отдельных отзывов по другим шифровальщикам, что расшифровать удавалось (потратив много времени).
Насчёт никак не расшифровать - насколько я понял ответ от Касперского, они имеют ввиду, что универсального дешифратора сделать не получится. У меня не совсем такой вирус, а возможно его модификация. Я исходил из наличия отдельных отзывов по другим шифровальщикам, что расшифровать удавалось (потратив много времени).
Так они сейчас делают ещё интереснее - заражается сразу двумя вирусами - шифровальщиком и кражей паролей. Читал про случаи, когда после шифрования на комп заходили удалённо и тёрли все имеющиеся незашифрованные бэкапы, после чего уже требовали оплату дешифровки.
антивирус-то был на компе?
Насчёт никак не расшифровать - насколько я понял ответ от Касперского, они имеют ввиду, что универсального дешифратора сделать не получится. У меня не совсем такой вирус, а возможно его модификация. Я исходил из наличия отдельных отзывов по другим шифровальщикам, что расшифровать удавалось (потратив много времени).Смотри, тут всё просто. В каждом файле часть некоторую часть байтов заменили на их зашифрованный аналог. Чтобы расшифровать, надо:
1) Определить хотя бы один зашифрованный кусок с точностью до байта. Скорее всего, первые 255 байт файла подойдут. В принципе, можно определить точнее, дизассемблировав вирус.
2) Найти оригинальный вариант файла (вдруг где-то осталась резервная копия фоток, в почте, например).
3) Подобрать ключ для расшифровки. В случае нормального алгоритма на это уйдёт каких-то сотня лет (поправьте меня, если я ошибаюсь).
4) Для каждого зашифрованного файла найти, какие именно байты зашифрованы. Вирус выбирает эти куски случайным образом, так что только вручную. Смотришь в бинарный код и думаешь - нравится тебе эта последовательность байтов или не очень. В принципе, можно перебрать все варианты. Ещё пару сотен лет кропотливого ручного труда - и золотой ключик наш.
5) Пробуешь расшифровать. Если результат всё равно фиговый, поворяешь пункт 4 (или даже 3).
6) PROFIT!
Для каждого зашифрованного файла найти, какие именно байты зашифрованы.Эм-м-м-м.. Все криптолокеры, которые я рассматривал, шифруют файлики с помощью GPG — обфусцированный скрипт скачивает с некого сервера в тырнеете сам преднастроенный ГПГ и некоторые дополнительные утили (типа sdelete), строит список файлов для шифрования на основе расширений, скармливает список файлов ГПГ, после завершения шифрования удаляет файлы-оригиналы и раскладывает рядом с ними сообщение о том, как получить информацию назад.
Эм-м-м-м.. Все криптолокеры, которые я рассматривал, шифруют файлики с помощью GPG — обфусцированный скрипт скачивает с некого сервера в тырнеете сам преднастроенный ГПГ и некоторые дополнительные утили (типа sdelete), строит список файлов для шифрования на основе расширений, скармливает список файлов ГПГ, после завершения шифрования удаляет файлы-оригиналы и раскладывает рядом с ними сообщение о том, как получить информацию назад.Конкретно фантомас шифрует не файл целиком, а отдельные рандомно выбранные куски.
Вроде нет, знаю, что при проверке cure it, вирус не обнаружился. Насчёт самого заражения - очевидно, что сами виноваты.
Да, спасибо, почитал. Забавно.
я к тому, что если на компе был лицензионный антивирус, то можно обратиться в техподдержку
Да там не вирус по сути. Приходит письмо с налоговой, а там во вложении ссыль - мол, перейдите, скачайте прогу и запустите.
Люди качают и запускают. Прога - шифровальщик, а не вирус, напр. как запустить создание архива с паролем WinRar.
Приносили давеча такой комп (antivirusebola.com) - отдал обратно. Ничего с ним сделать нельзя. Проблема с августа этого года.
По мне - это хорошее лекарство от идиотии.
Люди качают и запускают. Прога - шифровальщик, а не вирус, напр. как запустить создание архива с паролем WinRar.
Приносили давеча такой комп (antivirusebola.com) - отдал обратно. Ничего с ним сделать нельзя. Проблема с августа этого года.
По мне - это хорошее лекарство от идиотии.
Без администраторского пароля вирус навирусит или нет?
Нет, лицензионного точно не было, но из Касперского ответили что нет возможности дешифровать и что вирус будет добавлен в их ближайшую базу.
Без администраторского пароля вирус навирусит или нет?Почему бы и нет? Юзерские файлы не требуют админского пароля на доступ.
Да там не вирус по сути. Приходит письмо с налоговой, а там во вложении ссыль - мол, перейдите, скачайте прогу и запустите.Мне интересно, сколько компьютеров в налоговой уже таким образом заражено.
Я хз в чем проблемы, семь бед - один SRP.
Да, нервирует пользователей, да, первоначально внедрять через боль, слезы и сопли, но потом - красота.
Если бы еще не банки как поставщик самого херового софта на широком рынке пользователей в наших краях...
Да, нервирует пользователей, да, первоначально внедрять через боль, слезы и сопли, но потом - красота.
Если бы еще не банки как поставщик самого херового софта на широком рынке пользователей в наших краях...
SRP?
software restriction policy - позволяет запускать исполняемые файлы только из определенных мест.
Цель - Запускать бинарики только из тех папок, куда пользователь писать не может.
Да, конечно, при этом остаются всякие отаки на уязвимости в приложениях и сервисах, но будем честны, даже в наш 21 век дохренапроцентов зловредов приходят "письмом из налоговой"
Цель - Запускать бинарики только из тех папок, куда пользователь писать не может.
Да, конечно, при этом остаются всякие отаки на уязвимости в приложениях и сервисах, но будем честны, даже в наш 21 век дохренапроцентов зловредов приходят "письмом из налоговой"
Я хз в чем проблемы, семь бед - один linux.
Да, нервирует пользователей, да, первоначально внедрять через боль, слезы и сопли, но потом - красота
Оставить комментарий
kusto
Добрый день!*Один мой знакомый* поймал модификацию вот такого вируса через mail-почту от якобы налоговой:
http://blog.kaspersky.ru/cryptolocker-cryakl-fantomas/5837/
Советую обратить внимание - вирус распространяется в письмах от якобы госорганов (конкретно это было написано что отправитель @nalog.ru).
Итог на данный момент - вирус удалён (сохранены копии экзешников предположительно вируса), файлы зашифрованы. Зловреды просят 30к за расшифровку файлов. Ничего особо важного на компе не было, так что кормить зловредов повода нет, но было бы неплохо в итоге расшифровать (есть есть такая техническая возможность).
Поэтому спрашиваю здесь - есть ли у кого-то желание из каких-то соображений попробовать расшифровать? Либо можете порекомендовать какие-то программы-дешифраторы или организации, занимающиеся этим на бесплатной основе (антивирусные конторы отвечают, что если не лицензионный пользователь - то не занимаются подобными вопросами, в Касперском ответили что нехватает данных для расшифровки, вирус удаляет информацию, использующуюся при шифровании).
Входные данные:
1) экзешники вируса (предположительно).
2) ссылка из почты, откуда произошло заражение (предположительно).
3) образец зашифрованного и расшифрованного файла (оригинальные файлы формата jpg, расшифровку пары файлов прислали зловреды как пример, что они могут расшифровать).
PS: если кто изъявит желание - пишите в пм электронку куда высылать.