Крипто-вируси /ransomware/

[Jack Krauser]

УЛОВИХ ГАДА! в момента енкрипторът се кипри на флашката ми и чака утре да пиша на касперски
дано измъдрят декриптор, че болката на пациента в момента се измерва в няколко хиляди снимки...

Без частния ключ няма как да направят декриптор, дори след и сто години, а частния ключ е различен за всеки заразен компютър.. Тия последните криптовируси използват RSA и AES алгоритми за шифроване, които не могат да бъдат разбити.
Твоят човек тъкмо ще се научи по трудия начин, че важни файлове не се държат на компютъра и защо трябва да се правят резервни архиви на друг носител.

[glowndark]

Освен снимки, какви други файлове се заразяват?

Всичко което вируса прецени че е ценно. Документи, снимки, бази...
На един зъболекар беше му криприрал базата с данни на софтуера...

[ivodivo]

Обаче до сега не съм срещал да се криптират видео файлове - предполагам понеже са по големи...

[VanDan]

За няколко версии се появиха тулове, които се справят с декриптирането. Може да отнеме много време (по над 20-30часа) или да не оправи всички файлове, но има доста постове, в които засегнатите писаха, че са оправили файловете си.
Всяка версия (те са няколко и се появяват нови) криптира файлове с такива разширения, каквито е задал автора. На 99% от масово използваните файлове ексел, уърд, текстови, музика, снимки- .xls(x) .doc(x) .txt .mp3 .jpg .gif и т.н. Вирусът нищо не преценява и не дели файловете на повече или по-малко "ценни". Просто авторът залага в кода му, кои файлови разширения да търси на всички ресурси - локални и мрежови, където потребителя има права да пише.

[Jack Krauser]

За няколко версии се появиха тулове, които се справят с декриптирането. Може да отнеме много време (по над 20-30часа) или да не оправи всички файлове, но има доста постове, в които засегнатите писаха, че са оправили файловете си.

Доколкото знам, декриптирането с тулове беше възможно само при старите версии, които омазваха само първите няколко бита/хедъра на файловете. За новите пишe, че използват AES за шифроване, което няма как да бъде разбито и както казах, за всеки заразен компютър се генерира различен частен ключ.
Покрай тая тема ми стана интересно и се зачетох, за колко време може да се разбие AES-256 с брут-форс.
Излиза, че ако се включат 1 милиард видеокарти(картите се справят по-добре от процесорите) да работят паралелно в една гигантска мрежа, времето, което ще им отнеме да разбият шифъра е приблизително
(9 на степен 50) години!

[VanDan]

Не казвам, че ще има тулове за всички видове, а че е възможно да има за някои модификации. Очевидно този "бизнес", благодарение на "простота" си на действие и на сигурните за изнудвача разплащания в биткоини, върви добре и се очаква да излизат все по-нови и "добри" версии.

[Features]

Тъкмо смятах да пиша нова тема, с въпрос дали някой не е открил лек против крипто вирусите и се натъкнах на тази. Две машини изгоряха днес при мен. Не го бях срещал това чудо около четири години и днес - хоп... Едната машина е с много файлове повечето от които важни и ще направя някакви опити за възстановяване. При мен е locky. Има ли някакво тулче за него? Някой опитвал ли е възстановяване с ShadowExplorer и постигал ли е някакъв успех. Общо взето, от предишните ми опити знам че е кауза пердута, но ще направя някакви опити. Имам бекъпи на тази машина до януари месец, когато бе преместена в друга мрежа и колегите не са оправили бекъпа.

[FearMe]

новите версии прецакват точките на възстановяване, така че shadowexplorer е безполезен

за locky четох нещо наскоро, но нямам спомен дали обнадеждаващо или примирително...

[Features]

Преди няколко месеца, поради някой размествания и нововъведения, много си нарушихме сигурността и очаквах да се случи точно това. Тогава поисках да направим нещо по въпрпоса с правата, но... "Бизнесът" искал така и ние не трябвало да му пречим.

[ivodivo]

Явно още има мериджейновци дето смятат че ИТ-тата им пречат...ще се научат по трудния начин...

И ние имахме локи-та преди месец - но жертвата не бе от особено значение и не сме търсили варианти за лекуване на файловете.

[justify]

новите версии прецакват точките на възстановяване, така че shadowexplorer е безполезен

за locky четох нещо наскоро, но нямам спомен дали обнадеждаващо или примирително...

Е, и при мен беше от "новите" и прецака всички точки на възстановяване.Имах точки за възстановяване от предишна преинсталация на същия Уиндоус, ама не стана.

Имах и дисков образ на Уиндоуса и с него "можеше да стане", ама си ползвах възможностите на самия лаптоп за преинсталция...

[MitkoS]

За домашните потребители с Win 8.1 и Win 10
Control Panel /File History
би трябвало значително да облекчи проблема (при бъдещо заразяване).

[VanDan]

Вчера ме извика един доцент и при него беше версия (мисля, че е RSA 4096 TeslaCrypt 4.0), която не сменя разширенията, а само криптира. В "указанията" си изисква слагане на браузър Тор и през него да бъде отворена определена страница с инструкции. От файловете за изображения бе пропуснало само тези .bmp . От видео .avi бяха ударени. Главният удар за него бяха .doc .xls .pdf . Заминаха му на човека 3 дисертации (негови и на познати) и материал за още толкова - данни от проведени наблюдения и контролни изследвания за поне 20г. В началото беше уж хладнокръвен и спокоен, но полека като осъзна, че почти няма шанс да ги възстановя и настроението му рязко се промени с завършек ругатни по адрес на тези "пусти техники". За него съм сигурен, че нищо непознато не отваря и не ходи по съмнителни места. Станало е най-вероятно след като е отворил мейл от познат контакт - деловодството на МУ, в който са му пратили уърдовски документ като прикачен файл. И като поразпитахме се разбра, че преди това имало и други засегнати.

[ivodivo]

Точно по рано писах как става заразата обикновено по мейла идва писъмце - може и от собствени ти адрес да е - уордовски файл с макрос обикновено зипнат. Когато стартираш и се изпълни макроса се инжектира самия вирус и се стартира. Визуално се вижда отворен празен уордски файл... Ако обаче са ти забранени макросите - не се изпълнява макроса!
Нали това е от моя личен опит и тестче което правих по рано...Естествено може варианти много подобни да има за да пуснеш духа от бутилката...
Самия макрос не можах да му видя кода щото е защитен с парола...

[Features]

Нищо не успях да направя. "RSA 2048 and AES-128 ciphers", разширение Locky... Мисля че RSA 2048 bit за момента няма разбиване при каквато и да е атака и при каквито и да е условия. Единствения начин е ако са допуснали някаква груба грешка при писането на вируса, позволявайки ключа да се прихване някъде по веригата (примера с memory dump), но не го проверих.За директна атака на алгоритъма може да се забрави, без значение кой какви суперкомпютри има или ще има в близките години. Папките се виждат със старите си имена, но, всичко що е word, exel, pdf, doc, jpeg ...е с променено име 30-тина цифри и букви. Днес говорих с няколко колеги и разбрах че не е само при нас този проблем и епидемията е доста голяма. Има дори болници, чиято база данни е напълно криптирана, защото вирусът сканира локалните дискове + мапнатите устройства. Днес разкарах всичко мап-нато и оставих шорткъти. Това трябваше да стане отдавна, но... бизнесът искаше така. Можех да се помъча още малко, но мисля че ако сега успея по някакъв начин, отново няма да бъда чут и утре ще се случи същото. Според мен, заразата при нас се е разпространила от една заразена машина и останалите през Google Drive.