Расшифровка\взлом шифровальщиков

И его никто не использует в шифровальщиках. Сколько не реверсил (из топовых, школоподелки не в счет) - везде AES либо сальса-чача.

Заголовок везде разный, как его определять в каждом файле?

 

И чего? Ты его так же не сбрутишь, как и aes, если локер использует достаточно длинные уникальные ключи для каждого зашифрованного файла.

--- Сообщение объединено, 22 июн 2020 ---

С чего он везде разный? Все docx, xslx и тд - это вообще один zip формат. Doc, xsl и тд - это один ole формат. Чего там еще локеры шифруют? Как бы ничего не мешает порядка 20 сигнатур заложить, и шифровать с типичного для каждого формата смещения данных.

 

По сути любой поточный шифр это XOR вопрос только к качеству генерации гаммы.

 

Как бы уже лет 5 они шифруют по методу афроамериканского черного списка, т.е. все файлы кроме Х (бинарных и т.д.).
А вообще, это мы ерунду обсуждаем. Давайте лучше поговорим о противодействии.

Когда-то был РоС - поставить хук на cmd.exe / vssadmin, т.к. все говнолокеры удаляли шадоу копи через батник, и ес-но можно было их так отловить. Но потом один умник выложил на кору удалятор через WMI, и как такое ловить, хз. Потому как все иное малополезно, а отлов именно на попытке удалить копии - 100% поможет (интересно, читают ли аверы эту тему , т.к. хотелось бы знать, почему за 7+ лет эпидемии никто не делал даже попытки в сторону такой тупой эвристики).

 

Держать все более менее ценные данные в облаке. Зеркалировать данные на другой физический диск раз в пару дней, второй диск отключать. Запретить исполнение неизвестных программ, запускать только с разрешения пользователя. С точки зрения антивируса, если некий процесс достаточно быстро открывает хендлы на запись для разных файлов в разных папках, то наверное стоило бы остановить процесс.

 

ну-тему хотя бы почитал == жмёшь файл (тем же зипом) и ксоришь, а ломается ксор лишь при большом проценте повторяемости строк в файле и/ль наличие известных строк. Что в случае зипа итп архивов йдёт Лесом-де Садом

--- Сообщение объединено, 22 июн 2020 ---

M0rg0t, а как ты себе умудряешься получить локер? с чего это вдруг такой проблемой стало?

 

какой-нибудь инжект в текстовый редактор помог бы обойти такую систему. Канеш там не так часто открываются хендлы, но все же.
Лучше всего бекапить данные. Но представь объем 60 гб данных. Раз в три дня бекапить - мягко говоря устанут. Но уверен, что каждая вторая компания работает надеясь только на сис админа и на удачу. Этим и пользуются лохеры.

Раз до сих пор живы локеры - значит кому-то выгодно. Например, лочим компании конкурента. Мне больше хочется верить в то, что всякие ревилы и локбиты скорее аверы и тип касперский под иновац технологиями выпустит декриптор или что-нибудь подобное. Сказки, но все же.