Вход | Регистрация
 
Информационные технологии :: Администрирование

Разве уже научились расшифровывать файлы после вирусов шифровальщиков?

Разве уже научились расшифровывать файлы после вирусов шифровальщиков?
Я
   Ванпанчмен
 
26.03.19 - 21:32
В майлру реклама часто стала появляться, такого плана:
https://i.ibb.co/w71pP8S/image.png

Зашел на их сайт, вроде реальная контора, даже есть телефон 8-800...

Это развод? Мне так то не нужно ничего расшифровывать, просто интересно что за хрень.
 
 
   palsergeich
 
1 - 26.03.19 - 21:35
(0) Конечно развод.
Некоторые алгориттмы абсолютно бесплатно утилитами дрвеба и каспера можно попытаться разблокировать
   palsergeich
 
2 - 26.03.19 - 21:36
Но если у них алгоритма взлома этого шифра нет, то скорее всего и надежд нет.
   palsergeich
 
3 - 26.03.19 - 21:37
Не исключено, что там файл с базой просто прогонят через эти утилиты и все)
Прокатит - 10к на кармане, не прокатит - ну ладно)
   Ванпанчмен
 
4 - 26.03.19 - 21:49
(3) Или они сами и пишут вирусы шифровальщики )))
   palsergeich
 
5 - 26.03.19 - 21:54
(4) Не, те кто пишут - у них запросы куда серьезнее)
   Aleks Kucher
 
6 - 26.03.19 - 22:51
Успех дешифровки зависит от криптостойкости алгоритма и длины ключа. Чем длина меньше - тем быстрее происходит шифрование. Скорее всего шифровальщики используют минимальную длину ключа и самый простой алгоритм, что позволяет работать быстро. Прямо как аунтефикация windows - синхронизируется мгновенно, взламывается просто.
   Garykom
 
7 - 26.03.19 - 22:54
Два варианта:
1. см (3)
2. Это сводная база куда вымогатели сливают ключи которые вовремя не выкупили задорого напрямую, чтобы хоть какой то профит поиметь.
   Garykom
 
8 - 26.03.19 - 22:56
Если у тебя что то украли и очень хочешь вернуть - тебе путь по скупкам краденого.
   palsergeich
 
9 - 26.03.19 - 22:57
(6) Там все намного проще, была статья на эту тему.
Шифруется не весь файл, а только первые сколько то байт.
Один из методов восстановления - просто вырезать в HEX этот кусок, и если формат файла это переживет, то может и заработает. Но как правило нет.
   palsergeich
 
10 - 26.03.19 - 23:00
https://securelist.ru/a-malicious-pairing-of-cryptor-and-stealer/29267/ вот принцип работы в статье в источнике, которому нет оснований не доверять
   palsergeich
 
11 - 26.03.19 - 23:01
Но в 14 году, когда у клиента были заражены базы - основные шифровальщики первые 100-1000 байт кодировали, сейчас смотрю похитрее стало
   palsergeich
 
12 - 26.03.19 - 23:02
(6) По этому ключ может быть крайне криптостойким, ибо для повреждения данных не нужно шифровать все, достаточно зашифровать немножко)
   Garykom
 
13 - 26.03.19 - 23:03
Ну сейчас алгоритмы с малой длиной ключа успешно научились вскрывать, особенно если есть вариант зашифрованный и исходный не зашифрованный.
Но ценник в 10к тут немного маловат.
   palsergeich
 
14 - 26.03.19 - 23:03
(7) Дык ключа мало, нужен еще и алгоритм дешифрования, а ьэтим уже никто делится не будет
   Ванпанчмен
 
15 - 26.03.19 - 23:13
(0) Похоже на том и зарабатывают.
   Garykom
 
16 - 26.03.19 - 23:14
(14) С алгоритмами чуть попроще, по зашифрованным файлам обычно можно понять какой шифровальщик из распространенных.
И есть уже большая база шифровальщиков полученных на вовремя вырубленных из розетки компах.
А зная алгоритм шифрования, можно и дешифрования придумать.
Вот ключ подбирать даже то что куча видях от крипты освободились все равно не айс.
   palsergeich
 
17 - 26.03.19 - 23:15
(16) По статистике того же каспера по их базе не более 10% поддаются расшифровке.
А там все таки работают профи.
   Ванпанчмен
 
18 - 26.03.19 - 23:20
(16) Асики надо закупать
   Garykom
 
19 - 26.03.19 - 23:23
(18) Асики только под один алгоритм заточены
   palsergeich
 
20 - 26.03.19 - 23:23
(16) А зная алгоритм шифрования, можно и дешифрования придумать.
Я бы не был так категоричен.
   exwill
 
21 - 27.03.19 - 00:13
(0) Это посредники. Они оказывают услуги тем, кто почему-то не желает платить вымогателям напрямую.
   Провинциальный 1сник
 
22 - 27.03.19 - 05:53
(20) Вот знаете вы, что например, применено шифрование алгоритмом AES с ключом размером 256 бит. Ключ был сгенерирован на машине клиента, передан через интернет вымогателям, и после того как файлы были зашифрованы, уничтожен. Ваши действия? Будете подбирать AES? Флаг вам в руки..
   Здравый_смысл
 
23 - 27.03.19 - 06:01
(20) Ну вы прям... криптоэксперт, бгг.
   Лодырь
 
24 - 27.03.19 - 06:02
(20) Ключ то неизвестен )))
Проще заплатить условные полбиткоина из премии админа и забыть о проблеме.
   Здравый_смысл
 
25 - 27.03.19 - 06:08
(20) Опс, прошу прощения, не обратил внимания, что вы процитировали другого форумчанина :)
   Здравый_смысл
 
26 - 27.03.19 - 06:09
(22) Полагаю, если товарисч сумеет придумать алгоритм дешифрования AES в разумные сроки, ему несколько нобелевок сразу светит :)
   Здравый_смысл
 
27 - 27.03.19 - 06:14
+(26) Точнее, абелевок. Нобелевскую премию за открытия в математике не дают.
   APXi
 
28 - 27.03.19 - 07:26
Эта контора договорилась с писателями шифраторов и им за 50% расшифровывают.
   1Сергей
 
29 - 27.03.19 - 07:51
(27) ранее не давали
   palsergeich
 
30 - 27.03.19 - 08:43
(22) Вы сообщением ошиблись.
 
 
   Провинциальный 1сник
 
31 - 27.03.19 - 08:57
(30) Тут принято цитаты кавычить
   MCh
 
32 - 27.03.19 - 09:01
Есть мнение что можно купить готовый комплект шифровальщика + дешифратор.
   Ванпанчмен
 
33 - 27.03.19 - 16:40
(19) Москва - столица России.
   Ванпанчмен
 
34 - 27.03.19 - 16:43
(16) >> А зная алгоритм шифрования, можно и дешифрования придумать.

Ахахаххаха!!
   fisher
 
35 - 27.03.19 - 16:54
Шифровальщики - они разные.
Помню читал блог какого-то спеца, который пытался с конкретным шифровальщиком разобраться (оч. хорошие знакомые крупно попали и даже готовы были денег отдать - но не получалось заслать. Типа там прием денег уже не работал по какой-то причине).
Так там все было грамотно сделано - файлы были шифрованы полностью, стандартным алгоритмом который ему удалось идентифицировать. Т.е. расшифровать - практически не вариант.
Благо ему повезло и хватило знаний и умений найти уязвимость в их протоколе получения ключа для оплаченной расшифровки. Т.е. ему удалось убедить шифровальщик, что деньги заплачены :)
А так бы говорит - дело труба.
Так что если шифровальщик написан грамотно - шансов его "победить" практически нет.
   fisher
 
36 - 27.03.19 - 17:06
(16) Вся криптография построена на том, что знание алгоритма шифрования не должно понижать его криптостойкость.
Тут наоборот - если используется стандартный и проверенный алгоритм шифрования, значит нет надежд на его сниженную криптостойкость из-за недочетов в алгоритме. Просто генеришь ключ подлиннее и все - до свидания.
   Garykom
 
37 - 27.03.19 - 17:08
(34) Вы как и (22) с (26) походу даже не разбираетесь в шифровании кроме как по верхушкам.
Алгоритм дешифрования обычно известен, проблема узнать ключ.

Потому что как иначе зная ключ расшифровать (это тоже дешифрование) сообщение/файл.
Т.е. есть алгоритм шифрования/дешифрования и в зависимости от симметричность один или пара ключей.

Проблема обычно узнать/получить/подобрать ключ а не в алгоритме. Я очень сомневаюсь что писатели шифровальщиков изобретают некие уникальные алгоритмы (как раз такие обычно легко без ключа).
Обычно они используют готовые и только ключ отсылают к себе, в зашифрованных файлах есть только некий id/признак.

Чаще ключ не отсылается а генерируется по неким правилам от id (некое уникальное значение полученное от характеристик компа, времени и прочего), который пишется внутрь файлов.
В этом случае "расшифровать" (получить ключ не подбирая) сильно проще, если получить экземпляр шифровальщика, прерванного в процессе работы.
Вымогатели же знают этот секретный алгоритм (который никакого отношения к AES не имеет) и могут по id быстро получить ключ AES (которыми зашифрованы файлы).

Короче расшифровать результат работы 90% шифровальщиков можно всегда, в разумное время.
Но обычно цена становится неподъемной.
Можно уменьшить цену но тогда время растет так что становится неразумным, никто не согласится ждать несколько лет.
   Garykom
 
38 - 27.03.19 - 17:08
(36) Еще один... в теме
   fisher
 
39 - 27.03.19 - 17:13
(38) Соседями будем :)
"Чаще ключ не отсылается а генерируется по неким правилам от id (некое уникальное значение полученное от характеристик компа, времени и прочего), который пишется внутрь файлов."
Ну, я вот навскидку наткнулся на конкретный пример, когда это было не так. Так что насчет 10% грамотных шифровальщиков я не уверен. Хотя статистику не искал.
   Garykom
 
40 - 27.03.19 - 17:15
(39) Вы понимаете что любая обратная связь вируса-шифровальщика с вымогателем, это потенциальный риск для вымогателя что его найдут/вычислят в реале?
И закопают.
   Garykom
 
41 - 27.03.19 - 17:17
(40)+ Короче или вирус безопасный но не надежный (легче вскрывается).

Или опасный но супер надежный, ни за что не вскроют. Но применят терморектальный обратный криптоанализ.
   Garykom
 
42 - 27.03.19 - 17:17
(41) * безопасный/опасный для создателя/вымогателя
   fisher
 
43 - 27.03.19 - 17:21
(40) Ясен пень. Поэтому любые потенциально отслеживаемые действия никогда со своих компов/серверов не делают. Делают через цепочку взломанных хостов и используют разные приемы заметания следов.
   Ванпанчмен
 
44 - 27.03.19 - 17:27
(37) >> Вы как и (22) с (26) походу даже не разбираетесь в шифровании

Ахаххаха! От твоих шуток у меня живот болит ))) Я не разбираюсь в шифровании??? И это пишет человек, который хочет придумать алгоритм дешифрования если узнает алгоритм шифрования )))
   fisher
 
45 - 27.03.19 - 17:28
(37) Кстати, раз ты в теме.
Допустим, ключ неявно хранится на взломанном хосте как производная от сигнатуры его хардвера.
Каким образом отдается команда на расшифровку по факту оплаты?
Это не подколка, я просто реально не в курсе.
   fisher
 
46 - 27.03.19 - 17:30
Тьфу, не на взломанном, а на том где шифровальщик поработал. Ну ты понял.
   Ванпанчмен
 
47 - 27.03.19 - 17:32
(45) Элементарно. Жертва отправляет файлы и деньги хакеру, а хакер присылает обратно расшифрованные файлы.
   fisher
 
48 - 27.03.19 - 17:33
(47) Ты это серьезно?
   Ванпанчмен
 
49 - 27.03.19 - 17:34
(48) Серьезно, как вариант.
   Ванпанчмен
 
50 - 27.03.19 - 17:35
Иначе хакер рискует раскрыть свои секреты, и потеряет остальных клиентов
   Garykom
 
51 - 27.03.19 - 17:38
(47) Хм, думаю теперь понятно как некто кое-куда смог перебраться, точнее на какие шиши.
Хотя технически не подкован, в деталях/принципах не шарит но знает как пользоваться готовым и общий процесс работы с клиентом.
   Ванпанчмен
 
52 - 27.03.19 - 17:40
(51) Не пытайся меня опустить до своего уровня, все равно не сможешь.
То что я перебрался за чужой счет в условиях огромной конкеренции, уже доказывает мою подкованность в вопросах программирования.
   Garykom
 
53 - 27.03.19 - 17:49
Для меня странно что "программист" не понимает чем модемы друг от друга отличаются и какие бывают.
Или что ЭЦП можно обновить по удаленке.
   fisher
 
54 - 27.03.19 - 18:31
(53) Так что насчет (45)?
Я клоню к тому, что пока не уверен, что хранение ключа на атакованном компе повышает безопасность злоумышленника. Какое-то связующее звено все равно ведь должно быть. По-моему, это чисто техническое упрощение.
   Garykom
 
55 - 27.03.19 - 19:21
(54) Два варианта:
1. Присылают готовый дешифровщик (с зашитым с ключом внутри, полученным по id от пересланного кода или образца файла который успешно распаковали и прислали для демонстрации), который сам ищет зашифрованные файлы и дешифрует их.
Тут как раз алгоритм ключа от id не показывается, но сразу понятно каким алгоритмом зашифрованы файлы.

2. Закачиваются файлы на указанный обменник, затем расшифрованные выкладывают на другой обменник и дают ссылку на скачивание.
Тут ничего не понятно совсем, даже какой алгоритм шифрования, не то что алгоритм ключа от id.
   Ванпанчмен
 
56 - 27.03.19 - 22:02
(53) Таки что именно тебе не понятно в отличиях модемов? Спрашивай, поясню.
   Сияющий в темноте
 
57 - 27.03.19 - 22:10
есть шифрованин с открытым ключом.
на машине генерится случайный ключ,которым шифруются данные.
он шифруется открытым ключом и кладется в сообщение.
соответственно,тот,у кого есть закрытый ключ,может расшифровать контейнер с ключом и данными.
как бы,это классический шифровальщик,который не вскрывается.

подбирать ключи для аес можно по таблицам,если используется прямое шифрование,то в файлах найдутся области из одних нулей,соответсвенно,по этому результату можнл поискать в таблицах,если у кого то такой ключ уже был.

ну и аес на нулях достаточно упрощается.
   Garykom
 
58 - 27.03.19 - 22:17
(57) С открытым/закрытым (несимметричное) ключом в вымогательских шифровальщиках практически не используется.
Точнее используется но только в "индивидуальных под клиента", иначе один купивший может расшифровать файлы всех кто пострадал от того же с той же парой открытый-закрытый ключ.

Ну или генерация пар ключей на клиенте перед шифрованием и скрытая передача закрытого ключа вымогателю, с затиранием его у клиента.
Это сильно сложнее ибо требует чтобы клиент не смог добраться до переданного закрытого ключа и вымогатель не подставился в процессе получения ключа.
Т.е. надо где то нечто поднимать куда можно любому отправить а получить только один вымогатель может.

Обычно симметричное с одним ключом используют.
   Сияющий в темноте
 
59 - 27.03.19 - 22:20
есть еще такая история-для шифрования,ключ хранится в файле,чтобы не потерять его в момент выключения компа,а потом это место затирается,но иногда,система забывает его затереть.

а так любой шифровальщик-это просто видоизмененный pgp,часто даже код pgp можно явно внутри обнаружить.
   Сияющий в темноте
 
60 - 29.03.19 - 14:52
(58)никто не передает закрытый ключ,а просто с помощью него расшифровывает временный ключ,зашифрованный открытым.
знание исходного ключа мало помогает в восстановлении закрытого ключа,так что схема прекрасно будет работать.
другое дело,что закрытый ключ должен где то хранится,чтобы исключить его перехват.
   Сияющий в темноте
 
61 - 29.03.19 - 14:54
с другой стороны,если схема с открытым ключом не используется,то фирма в (0)вполне может сама узнать алгоритм работы шифровальщика,а также потом узнать ключ.
   Garykom
 
62 - 29.03.19 - 15:01
(60) В этом случае если открытый ключ всего один в шифровальщике, то вскрыв его (получив закрытый) можно расшифровать все файлы всех жертв.
   Сияющий в темноте
 
63 - 29.03.19 - 15:21
(62)можно,но также можно,например,сертификат Microsoft подделать,он же тоже всего один,но никто еще не сделал.

опять же,версии шифровальщика меняются очень часто,ив каждой может быть новый ключ.

и 4096 бит на эллептической кривой за какое время можно "угадать"?
   Garykom
 
64 - 29.03.19 - 15:28
(63) Подсунуть за деньги типа зашифрованный файл, где временный ключ из 0, чтобы дали расшифрованный закрытым.
   Garykom
 
65 - 29.03.19 - 22:23


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.