Вход | Регистрация


Информационные технологии ::

Метки: 

Эпидемия. Шифровальщик ARROW

Я
   buhkiller
 
07.08.18 - 09:50
За сутки у четырех знакомых шифранулись файлы. Слава богу, это не мои клиенты. Есть ли надежда расшифровать их ?
п.с. Только что узнал, что крымский Консоль-строй (Константинов) тоже шифранулся по самые помидоры.
 
  Рекламное место пустует
   elCust
 
1 - 07.08.18 - 09:57
(0) Да этих шифровальщиков сейчас много.

Вроде бы известно уже, что расшифровать невозможно, исключение только если алгоритм раскрыт и в базе у каспера или нода.
   Chang Woo
 
2 - 07.08.18 - 09:59
>> исключение только если алгоритм раскрыт

От раскрытости алгоритма не зависит возможность расшифровки.

Пароли на сайтах тоже шифруются по всем известному алгоритму, однако их никто не может расшифровать.
   Rovan
 
3 - 07.08.18 - 10:02
(0) у меня клиент попал неделю назад...
причем сервер, причем свежих бэкапов баз 1С нет
   torgm
 
4 - 07.08.18 - 10:05
0.5 btc
   zmaksimuz
 
5 - 07.08.18 - 10:05
(0) Сильно помогут только превентивные меры. Дешифровка фалов, без закидывания денег мошенникам, стремится к 0.
   sitex
 
6 - 07.08.18 - 10:13
(0) Заплатить и надежда есть . А так хоть известно откуда подцепили ?
   buhkiller
 
7 - 07.08.18 - 10:16
(6) У троих ручки шаловливые - открыли очень страшное письмо из налоговой с требованием срочно заплатить налоги.  У одного непонятно, вроде бы через rdp залезли.
   APXi
 
8 - 07.08.18 - 10:21
(7) Вроде сейчас во всех веб почтах просмоторщики файлов работают, как они умудряются открывать?
   buhkiller
 
9 - 07.08.18 - 10:22
(6) Вот тебе и антивирусы. У двоих стоял лицензионный каспер, у одного доктор, у одного встроенный защитник на десятке.
   Остап Сулейманович
 
10 - 07.08.18 - 10:22
(7) "непонятно, вроде бы через rdp залезли." Это товарисчЪ я вам скажу - пипетц. Как такое вообще возможно? Где можно получить учетку локальнога админа?
 
  Рекламное место пустует
   Сияющий в темноте
 
11 - 07.08.18 - 10:23
Если через рдп,то расшифровать может только тот,у кого ключ,т.к.велика вероятность,что ключа на зараженной машинн не было. Ну или перебором,обычно стойкий алгоритм для выработки локального ключа,если он используется,а шифруется,например АЕС,тогда нужно просто ключ подобрать к АЕС,это хоть и долго,но возможно
   Остап Сулейманович
 
12 - 07.08.18 - 10:25
+ (10) "открыли очень страшное письмо из налоговой" И что? Имели админские полномочия?
С пользовательскими - максимум покоцали бы свои файлы. Все. Сто пудово - работали с админскими правами.
   buhkiller
 
13 - 07.08.18 - 10:26
(10) У них удаленка на восьмой винде, два компа подключаются через rdp. Сначала заразился локальный потом тот недосервер. Заразился весь, а не расшаренные папки. На восьмерке ничего не открывали.
   sitex
 
14 - 07.08.18 - 10:26
(9) От шаловливых ручек и антивирусник не поможет.  Знаю один прецедент : Секретарша до последнего тыкала на такое же письмо от налоговой пока не позвала админа и просила отрубить ей антивирус.
   Остап Сулейманович
 
15 - 07.08.18 - 10:27
(11) Классика жанра - ключ вычисляется на локальной машине. Все шифруется. Ключ отправляется на ресурс вымогателя. На локальной машине ключ удаляется.
   sitex
 
16 - 07.08.18 - 10:29
+ (15) Причем этот ключ перезаписывается с тем же именем на хард что восстановить его шансов нет.
   Остап Сулейманович
 
17 - 07.08.18 - 10:29
(13) Установку обнов не нужно игнорить. Распространение по сети в винде уже года три как закрыто.
   Nyoko
 
18 - 07.08.18 - 10:31
(2) могут причем без проблем. посмотри nirsoft
   Провинциальный 1сник
 
19 - 07.08.18 - 10:33
Основной вектор распространения вредоносного кода - это возможность запуска приложений и скриптов из доступных пользователю на запись каталогов. Намного эффективнее всяких антивирусов просто задать системную политику, разрешающую запуск программ только из тех мест, запись в которые недоступна для пользователя.
Но, к сожалению, есть конкретные уроды, которые пишут софт в расчете исключительно на установку в профиль пользователя. И это не какие-то там игры от майлру, а и всякие там плагины для госуслуг и сбиса.
   buhkiller
 
20 - 07.08.18 - 10:34
А прикольно сработал шифровальщик. Со страхом и включенной защите залез по rdp. Там оказывается был нод, а не вэб. Нод отключился. Помню были теневые копии дисков - отключены !!! Архивы внутри зашифрованы файлы. Восхитительно !
Вот интересно, если бы клиентам отдали этих вымогателей они бы их повесили или сожгли на костре ?
   buhkiller
 
21 - 07.08.18 - 10:35
(19) Кстати, у всех стоит сбис.
   sitex
 
22 - 07.08.18 - 10:38
(21) Да это уже не важно. У таких пользователей , хоть с пистолетом у виска стой , все равно что нить подцепят.
   Остап Сулейманович
 
23 - 07.08.18 - 10:38
(18) Сколько составляет среднее время подбора ключа шифрования?

"вскрытие 64-битного ключа (симметричного алгоритма RC5-64) потребовало сравнительно меньших временных затрат, чем предполагалось. Распределенное на несколько сотен тысяч машин сложное математическое задание позволило «взломать» ключ за пять лет против предполагавшихся ста лет."

ЦЫ http://old.computerra.ru/2003/487/201883/
   Woldemar177
 
24 - 07.08.18 - 10:51
(23) Это 15 лет назад, а сейчас интересно сколько.



Список тем форума
Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Рекламное место пустует