1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

Расшифровка\взлом шифровальщиков

Тема в разделе "WASM.CRYPTO", создана пользователем Fail, 23 янв 2017.

  1. M0rg0t

    M0rg0t Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    737
    И его никто не использует в шифровальщиках. Сколько не реверсил (из топовых, школоподелки не в счет) - везде AES либо сальса-чача.
    Заголовок везде разный, как его определять в каждом файле?
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    2.850
    И чего? Ты его так же не сбрутишь, как и aes, если локер использует достаточно длинные уникальные ключи для каждого зашифрованного файла.
    --- Сообщение объединено, 22 июн 2020 ---
    С чего он везде разный? Все docx, xslx и тд - это вообще один zip формат. Doc, xsl и тд - это один ole формат. Чего там еще локеры шифруют? Как бы ничего не мешает порядка 20 сигнатур заложить, и шифровать с типичного для каждого формата смещения данных.
     
  3. asmlamo

    asmlamo Active Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    1.574
    По сути любой поточный шифр это XOR вопрос только к качеству генерации гаммы.
     
  4. M0rg0t

    M0rg0t Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    737
    Как бы уже лет 5 они шифруют по методу афроамериканского черного списка, т.е. все файлы кроме Х (бинарных и т.д.).
    А вообще, это мы ерунду обсуждаем. Давайте лучше поговорим о противодействии.

    Когда-то был РоС - поставить хук на cmd.exe / vssadmin, т.к. все говнолокеры удаляли шадоу копи через батник, и ес-но можно было их так отловить. Но потом один умник выложил на кору удалятор через WMI, и как такое ловить, хз. Потому как все иное малополезно, а отлов именно на попытке удалить копии - 100% поможет (интересно, читают ли аверы эту тему , т.к. хотелось бы знать, почему за 7+ лет эпидемии никто не делал даже попытки в сторону такой тупой эвристики).
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    2.850
    Держать все более менее ценные данные в облаке. Зеркалировать данные на другой физический диск раз в пару дней, второй диск отключать. Запретить исполнение неизвестных программ, запускать только с разрешения пользователя. С точки зрения антивируса, если некий процесс достаточно быстро открывает хендлы на запись для разных файлов в разных папках, то наверное стоило бы остановить процесс.
     
  6. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    5.138
    ну-тему хотя бы почитал == жмёшь файл (тем же зипом) и ксоришь, а ломается ксор лишь при большом проценте повторяемости строк в файле и/ль наличие известных строк. Что в случае зипа итп архивов йдёт Лесом-де Садом :)
    --- Сообщение объединено, 22 июн 2020 ---
    M0rg0t, а как ты себе умудряешься получить локер? с чего это вдруг такой проблемой стало? :)