Текущее время: 29 мар 2024 03:17

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 14 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 11 фев 2015 15:05 
Не в сети

Зарегистрирован:
27 дек 2011 19:56
Сообщения: 107
Откуда:
Минск

Награды:

Наш бета-тестерАктивист форума
Добрый день!
Как то столкнулся с Trojan-Ransom.Win32.Onion, для шифрования, он использует криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной. Так пишет Касперский. Вопрос, может ли Ваша компания написать дишефратор? :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 11 фев 2015 15:14 
Аватара пользователя
Не в сети

Зарегистрирован:
02 июн 2011 21:49
Сообщения: 144
Откуда:
Новочебоксарск

Награды:

Активист форумаНаш бета-тестер
sli-pro писал(а):
Добрый день!
Как то столкнулся с Trojan-Ransom.Win32.Onion, для шифрования, он использует криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной. Так пишет Касперский. Вопрос, может ли Ваша компания написать дишефратор? :)


А Касперский смог его "тюкнуть"?

_________________
Каждый человек бессмертен, по своему.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 11 фев 2015 15:26 
Не в сети

Зарегистрирован:
27 дек 2011 19:56
Сообщения: 107
Откуда:
Минск

Награды:

Наш бета-тестерАктивист форума
Дело в том, что если открыт доступ по сети, на изменения в директории на doc, docx, zip, и так далее, то он их шифрует в *.bmp.fcfafqf, т.е. он не пытается проникнуть в машину, а только портит данные. Т.к. идет обращение к таким файлам Касперский не видит в этом угрозы, т.к. то же самое можно с эмулировать к примеру, обращение к файлу тем же самым Word, или банально с Explorer переименование типа файлов))). Вот такая бяка.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 11 фев 2015 17:57 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
Здравствуйте.

К сожалению, зашифрованные файлы можно восстановить только зная ключ (который сейчас, как правило, уникален для каждого зараженного ПК и хранится на удаленном сервере). Криптостойкие алгоритмы получили свое название не просто так - приведу цитату из Википедии:
Цитата:
Стойким считается алгоритм, который для успешной атаки требует от противника недостижимых вычислительных ресурсов, недостижимого объёма перехваченных открытых и зашифрованных сообщений или же такого времени раскрытия, что по его истечении защищенная информация будет уже не актуальна, и т. д.

В первых вариантах троянцев-шифрователей использовались относительно простые алгоритмы шифрования, это оставляло возможность написать утилиту дешифровки. К сожалению, вредоносное ПО не стоит на месте - вирусописатели освоили криптографию и теперь активно её используют.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 11 фев 2015 18:08 
Не в сети

Зарегистрирован:
27 дек 2011 19:56
Сообщения: 107
Откуда:
Минск

Награды:

Наш бета-тестерАктивист форума
Спасибо, за очень подробное объяснение!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 12 фев 2015 00:31 
Не в сети

Зарегистрирован:
28 янв 2015 15:46
Сообщения: 9
А если следить за выполняемым процессом, который уже запущен (который является трояном-шифровальшиком) , запоминая какие команды выполнил процессор - а потом эти команды в обратном порядке выполнить - не получится расшифровать файлы ? Почему ?

Если дизассемблером узнать, какие команды троян выполняет (exe-файл) , и потом эти команды задом наперед выполнить - файлы не расшифруются ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 12 фев 2015 13:28 
Аватара пользователя
Не в сети

Зарегистрирован:
21 мар 2009 20:26
Сообщения: 82

Награды:

Слово – золото
Как выше было отмечено, вирусописатели освоили криптографию и во всю используют так называемое асимметричное шифрование. Соответственно и ответ, если коротко, то нет.
Если долго, то Вам сюда
Если на пальцах: для шифрования нужен один пароль (ключ), а для расшифровки нужен совсем другой пароль (ключ), который известен только злоумышленнику.
Также нельзя упускать из виду шанс простого "кидалова", когда первый ключ формируется случайным образом, а второго просто не существует.

_________________
И лишь ненависть к windows
В глазах огонь зажигает,
Как индикатор hard-диска.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 12 фев 2015 14:13 
Не в сети

Зарегистрирован:
27 дек 2011 19:56
Сообщения: 107
Откуда:
Минск

Награды:

Наш бета-тестерАктивист форума
Простое средство защиты и не допускание данных инцидентов - домен, закрыть все)... :D


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 12 фев 2015 15:29 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
XMack, все верно описал. Даже если антивирус на конкретной машине пользователя будет сохранять всю информацию о действиях процесса (что само по себе требует значительных вычислительных ресурсов), этого наверняка окажется недостаточно для расшифровки.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Trojan-Ransom.Win32.Onion
СообщениеДобавлено: 13 фев 2015 15:41 
Не в сети

Зарегистрирован:
28 янв 2015 15:46
Сообщения: 9
Если в HIPS конкретной программе (которая является трояном-шифровальшиком, но его нет в вирусных базах) запрещено создание, изменение конкретных файлов, и когда троян ( файл e54673.exe) будет запущен, и процесс e54673.exe создает поток в процессе explorer.exe - то процесс explorer.exe будет шифровать все файлы ?

Этот поток, созданный в процессе explorer.exe, наследует ли права от e54673.exe ? Всем потокам, которые создал процесс e54673.exe, запрещено создание, изменение конкретных файлов, верно ?

Или процесс "explorer.exe" не сможет изменить эти файлы, а в журнале будет записано, что "e54673.exe" внедрился в другой процесс и "explorer.exe" пытался изменить эти файлы ? Если включено "записывать в журнал ."


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 14 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB