Расшифровка\взлом шифровальщиков

Тема в разделе "WASM.CRYPTO", создана пользователем Fail, 23 янв 2017.

  1. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    И его никто не использует в шифровальщиках. Сколько не реверсил (из топовых, школоподелки не в счет) - везде AES либо сальса-чача.
    Заголовок везде разный, как его определять в каждом файле?
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    И чего? Ты его так же не сбрутишь, как и aes, если локер использует достаточно длинные уникальные ключи для каждого зашифрованного файла.
    --- Сообщение объединено, 22 июн 2020 ---
    С чего он везде разный? Все docx, xslx и тд - это вообще один zip формат. Doc, xsl и тд - это один ole формат. Чего там еще локеры шифруют? Как бы ничего не мешает порядка 20 сигнатур заложить, и шифровать с типичного для каждого формата смещения данных.
     
  3. asmlamo

    asmlamo Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    1.729
    По сути любой поточный шифр это XOR вопрос только к качеству генерации гаммы.
     
  4. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.574
    Как бы уже лет 5 они шифруют по методу афроамериканского черного списка, т.е. все файлы кроме Х (бинарных и т.д.).
    А вообще, это мы ерунду обсуждаем. Давайте лучше поговорим о противодействии.

    Когда-то был РоС - поставить хук на cmd.exe / vssadmin, т.к. все говнолокеры удаляли шадоу копи через батник, и ес-но можно было их так отловить. Но потом один умник выложил на кору удалятор через WMI, и как такое ловить, хз. Потому как все иное малополезно, а отлов именно на попытке удалить копии - 100% поможет (интересно, читают ли аверы эту тему , т.к. хотелось бы знать, почему за 7+ лет эпидемии никто не делал даже попытки в сторону такой тупой эвристики).
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    Держать все более менее ценные данные в облаке. Зеркалировать данные на другой физический диск раз в пару дней, второй диск отключать. Запретить исполнение неизвестных программ, запускать только с разрешения пользователя. С точки зрения антивируса, если некий процесс достаточно быстро открывает хендлы на запись для разных файлов в разных папках, то наверное стоило бы остановить процесс.
     
  6. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    ну-тему хотя бы почитал == жмёшь файл (тем же зипом) и ксоришь, а ломается ксор лишь при большом проценте повторяемости строк в файле и/ль наличие известных строк. Что в случае зипа итп архивов йдёт Лесом-де Садом :)
    --- Сообщение объединено, 22 июн 2020 ---
    M0rg0t, а как ты себе умудряешься получить локер? с чего это вдруг такой проблемой стало? :)
     
  7. nullPtr

    nullPtr Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2020
    Сообщения:
    138
    какой-нибудь инжект в текстовый редактор помог бы обойти такую систему. Канеш там не так часто открываются хендлы, но все же.
    Лучше всего бекапить данные. Но представь объем 60 гб данных. Раз в три дня бекапить - мягко говоря устанут. Но уверен, что каждая вторая компания работает надеясь только на сис админа и на удачу. Этим и пользуются лохеры.

    Раз до сих пор живы локеры - значит кому-то выгодно. Например, лочим компании конкурента. Мне больше хочется верить в то, что всякие ревилы и локбиты скорее аверы и тип касперский под иновац технологиями выпустит декриптор или что-нибудь подобное. Сказки, но все же.
     
    q2e74 нравится это.