| NANO Antivirus > Forum http://www.nanoav.pro/forum/ |
|
| Trojan-Ransom.Win32.Onion http://www.nanoav.pro/forum/viewtopic.php?f=15&t=1223 |
Страница 1 из 2 |
| Автор: | sli-pro [ 11 фев 2015 15:05 ] |
| Заголовок сообщения: | Trojan-Ransom.Win32.Onion |
Добрый день! Как то столкнулся с Trojan-Ransom.Win32.Onion, для шифрования, он использует криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной. Так пишет Касперский. Вопрос, может ли Ваша компания написать дишефратор? 
|
|
| Автор: | Nixon [ 11 фев 2015 15:14 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
sli-pro писал(а): Добрый день! Как то столкнулся с Trojan-Ransom.Win32.Onion, для шифрования, он использует криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной. Так пишет Касперский. Вопрос, может ли Ваша компания написать дишефратор? А Касперский смог его "тюкнуть"? |
|
| Автор: | sli-pro [ 11 фев 2015 15:26 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
Дело в том, что если открыт доступ по сети, на изменения в директории на doc, docx, zip, и так далее, то он их шифрует в *.bmp.fcfafqf, т.е. он не пытается проникнуть в машину, а только портит данные. Т.к. идет обращение к таким файлам Касперский не видит в этом угрозы, т.к. то же самое можно с эмулировать к примеру, обращение к файлу тем же самым Word, или банально с Explorer переименование типа файлов))). Вот такая бяка. |
|
| Автор: | Rodger [ 11 фев 2015 17:57 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
Здравствуйте. К сожалению, зашифрованные файлы можно восстановить только зная ключ (который сейчас, как правило, уникален для каждого зараженного ПК и хранится на удаленном сервере). Криптостойкие алгоритмы получили свое название не просто так - приведу цитату из Википедии: Цитата: Стойким считается алгоритм, который для успешной атаки требует от противника недостижимых вычислительных ресурсов, недостижимого объёма перехваченных открытых и зашифрованных сообщений или же такого времени раскрытия, что по его истечении защищенная информация будет уже не актуальна, и т. д. В первых вариантах троянцев-шифрователей использовались относительно простые алгоритмы шифрования, это оставляло возможность написать утилиту дешифровки. К сожалению, вредоносное ПО не стоит на месте - вирусописатели освоили криптографию и теперь активно её используют. |
|
| Автор: | sli-pro [ 11 фев 2015 18:08 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
Спасибо, за очень подробное объяснение! |
|
| Автор: | Anmawe [ 12 фев 2015 00:31 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
А если следить за выполняемым процессом, который уже запущен (который является трояном-шифровальшиком) , запоминая какие команды выполнил процессор - а потом эти команды в обратном порядке выполнить - не получится расшифровать файлы ? Почему ? Если дизассемблером узнать, какие команды троян выполняет (exe-файл) , и потом эти команды задом наперед выполнить - файлы не расшифруются ? |
|
| Автор: | XMack [ 12 фев 2015 13:28 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
Как выше было отмечено, вирусописатели освоили криптографию и во всю используют так называемое асимметричное шифрование. Соответственно и ответ, если коротко, то нет. Если долго, то Вам сюда Если на пальцах: для шифрования нужен один пароль (ключ), а для расшифровки нужен совсем другой пароль (ключ), который известен только злоумышленнику. Также нельзя упускать из виду шанс простого "кидалова", когда первый ключ формируется случайным образом, а второго просто не существует. |
|
| Автор: | sli-pro [ 12 фев 2015 14:13 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
Простое средство защиты и не допускание данных инцидентов - домен, закрыть все)... 
|
|
| Автор: | Rodger [ 12 фев 2015 15:29 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
XMack, все верно описал. Даже если антивирус на конкретной машине пользователя будет сохранять всю информацию о действиях процесса (что само по себе требует значительных вычислительных ресурсов), этого наверняка окажется недостаточно для расшифровки. |
|
| Автор: | Anmawe [ 13 фев 2015 15:41 ] |
| Заголовок сообщения: | Re: Trojan-Ransom.Win32.Onion |
Если в HIPS конкретной программе (которая является трояном-шифровальшиком, но его нет в вирусных базах) запрещено создание, изменение конкретных файлов, и когда троян ( файл e54673.exe) будет запущен, и процесс e54673.exe создает поток в процессе explorer.exe - то процесс explorer.exe будет шифровать все файлы ? Этот поток, созданный в процессе explorer.exe, наследует ли права от e54673.exe ? Всем потокам, которые создал процесс e54673.exe, запрещено создание, изменение конкретных файлов, верно ? Или процесс "explorer.exe" не сможет изменить эти файлы, а в журнале будет записано, что "e54673.exe" внедрился в другой процесс и "explorer.exe" пытался изменить эти файлы ? Если включено "записывать в журнал ." |
|
| Страница 1 из 2 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|