164 ответов в теме

[Atmega]

Была такая хрень в прошлом году, босс поймал... платил им.
Там часть работы в криптоте, а часть в НЛП - письма приходят оченно грамотные, текста ровно столько сколько бывает в других бухгалтерских письмах... люди просто работают, запариваются и жмакают. И ппц.
Спасение только одно - хранить доки на серваке с каким-нибудь хранением последних 10 изменений файла. Ну можно еще кастрировать комп, выставить адский уровень безопасности ...и получить по шее от начальника, когда он не сможет послушать любимую веб-радио.

[Karmael]

безопасность это всегда компромисс с удобствами. 

[Нейтрал]

Всем доброго!

В общем, проблема такая. Сейчас по Сети ходит разводка. Мошенники присылают электронное письмо якобы от каких-либо государственных структур. Время и тематика выбирается очень тщательно (потом станет понятно как). Вложенный архив называется логично, внутри файл тоже. Его запускать не надо. Но, как вы уже поняли, пишу я это дело не просто так.

Жене директор прислал письмо с названием "Акт сверки 2014 г.". Сейчас, как пояснила жена, идет сдача какой-то отчетности, и эти акты очень нужны. Она открыла письмо, скачала архив, а там файл. Ну, да, запустила, т.к. не знала, что это роян. Антивирус молчал.

В итоге все офисные документы и базы данных оказались зашифорваны каким-то лютым ключом и имеют расширение .vault Название файла осталось прежним. Например, "отчетность отделов.vault. Также высвечивается, мол "заплатите, все дела".

Опуская все трололо (но без них, явно, не обойдется), кто-то сталкивался, может? Или, может, есть какие-либо дешифраторы, которые помогут как-то расшифровать эти файлы? Или как-то можно вообще данные спасти и восстановить? Хотя бы теоретически.

ТС я думаю что этот шифратор писали школоло, поэтому там простой алфавитны ключ - т.е одно значение нормальное одно - новое поэтому вариант создать подставной файл и снова его шифрануть

[L0SER]

ТС я думаю что этот шифратор писали школоло, поэтому там простой алфавитны ключ - т.е одно значение нормальное одно - новое поэтому вариант создать подставной файл и снова его шифрануть

Там используется алгоритм RSA-1024.

Без закрытого ключа файлы расшифровать не выйдет, а закрытым ключом обладает только злоумышленник.

Короче можешь гуглить про принцип работы RSA.

Сообщение отредактировал L0SER: 01 April 2015 - 21:17

[Karmael]

> неплоломный RSA

 

АЗАЗАЗАЗАЗАЗАЗАЗАЗАЗ

 

лучшая шутка за сегодня.

[vmarkelov]

оооо, кстати, раньше, давным давно, по всяким радиорынкам обитала секта "некрофилов", которые там показывали чудеса восстановления данных и прочую свою чооорную магию.

А шо, они куда-то делись? Помоему, они являются неотделимой частью реальности любого айти рынка.

[Hlad]

Там используется алгоритм RSA-1024.

Без закрытого ключа файлы расшифровать не выйдет, а закрытым ключом обдает только злоумышленник.

Короче можешь гуглить про принцип работы RSA.

Эмм, уточню пару вопросов.  ТС пока не выкатил всех сведений о трояне. Откуда тебе известно, что там RSA? Да черт с ним, с RSA - откуда тебе известна длина ключа (1024 бита)?

 

ТС, лови Лузера - правильно проведенный терморектальный криптоанализ над его особой позволит тебе расшифровать все файлы в течение пары минут. 

[L0SER]

Эмм, уточню пару вопросов.  ТС пока не выкатил всех сведений о трояне. Откуда тебе известно, что там RSA? Да черт с ним, с RSA - откуда тебе известна длина ключа (1024 бита)?

 

ТС, лови Лузера - правильно проведенный терморектальный криптоанализ над его особой позволит тебе расшифровать все файлы в течение пары минут. 

На работе ребята зашифровали себе сетевой диск этой же фигнёй.

Сообщение отредактировал L0SER: 01 April 2015 - 21:19

[r0n1]

На работе ребята зашифровали себе сетевой диск этой же фигнёй.

вирусом?

[Karmael]

Эмм, уточню пару вопросов.  ТС пока не выкатил всех сведений о трояне. Откуда тебе известно, что там RSA? Да черт с ним, с RSA - откуда тебе известна длина ключа (1024 бита)?

 

ТС, лови Лузера - правильно проведенный терморектальный криптоанализ над его особой позволит тебе расшифровать все файлы в течение пары минут. 

 

на хабре же написали.

[L0SER]

вирусом?

Ну да, вот этим самым, с которым топик стартер столкнулся.

Письмо о том, что там какой-то штраф в 100к необходимо оплатить. Бухи сразу высрав кирпичей запускают вложение и поехали.

 

Вирус скачивает утилитку PGP, которой и шифрует, и получает уникальный ID и открытый ключ с управляющего сервера, и шифрует все ворд, эксель, аксесс, 1С  и прочие файлы, которые могут представлять ценность, до которых может дотянуться, на локальных и сетевых дисках.

Потом вроде отчитывается серверу сколько файлов было зашифровано (от этого будет зависеть цена за закрытый ключ, которую с вас будут просить после логина в "личный кабинет" при помощи этого ID).

 

Потом когда на одном компе важное вложение не открылось - запускают его на втором, третьем и т.д.

Сообщение отредактировал L0SER: 01 April 2015 - 22:03

[Karmael]

к слову 1024 это даже не коротыш, это что то на что современные спец комплексы смотрят эммм, нет они даже не сморят и проскакивают не затормаживая. 

[Fijneman]

Лучше бы ценники на выкуп озвучили. Чисто интереса ради.

[moonjasper]

Вести из подполья.
Мне в руки попал винт с "образом". Винда его видит как девайс, но вот так. Глянуть что там не вариант. R-Studio находит массу файлов, но они все без имени ирасширения (только цифры), в HEX-вьювере нет в заголовке файла даже никакого намека на его тип. Что навело меня на мысль, что админ делал посекторный образ Акронисом (божился, что с ливдвд) со сжатием   
Ясное дело, что восстановить я не могу нишиша. Если учесть, что файловую систему он-таки повредил. Пробую ребилднуть файловую систему, а там уже посмотреть. Авось, что выгорит. Если нет, то плюну и воткну в комп зараженный винт.

TestDisk тоже ругается Короче, капец.

[Hlad]

Акроникс тоже бывает с лив-двд. Правда, от этого он лучше не становится

Сообщение отредактировал Hlad: 01 April 2015 - 22:11

[vmarkelov]

к слову 1024 это даже не коротыш, это что то на что современные спец комплексы смотрят эммм, нет они даже не сморят и проскакивают не затормаживая.

цена этих спец-комплексов смотрит на стоимость выкупа примерно так же.
ПС админы делятся на следующие группы:
1) не делают бекапы.
2) после того случая делают бекапы.
3) а после другого случая проверяют бекапы.

[moonjasper]

Этому даже простату не помассировали, увы.

[Karmael]

Этому даже простату не помассировали, увы.

 

похож на первоклассного айти специалиста.

 

знаю я этот веселый кружок пафосных бездельников у которых есть записная книжеца в которую они звонят по разным проблемам. суть их крутости в диапазоне книжецы, ну а ежали там проблема не решается, то происходит ты уже сам видел, вобщем то ты видел их все.

[L0SER]

Лучше бы ценники на выкуп озвучили. Чисто интереса ради.

2-15 биткоинов

Сообщение отредактировал L0SER: 01 April 2015 - 22:22

[Karmael]

цена этих спец-комплексов смотрит на стоимость выкупа примерно так же.
 

 

у частных лиц нет таких денег, это да. да и у буизнеса даже сериус нету. но зато есть правило пяти рукопожатий.

кстати кружок крипто-студентов на раз два реализует это самое правило, они там все на карандаше или уже на службе.

Кстати можно дебильный вопрос, а что такое акронис?

и за веселые картинки поясните, я что то не понимаю что на них заскриншотено