И его никто не использует в шифровальщиках. Сколько не реверсил (из топовых, школоподелки не в счет) - везде AES либо сальса-чача. Заголовок везде разный, как его определять в каждом файле?
И чего? Ты его так же не сбрутишь, как и aes, если локер использует достаточно длинные уникальные ключи для каждого зашифрованного файла. --- Сообщение объединено, 22 июн 2020 --- С чего он везде разный? Все docx, xslx и тд - это вообще один zip формат. Doc, xsl и тд - это один ole формат. Чего там еще локеры шифруют? Как бы ничего не мешает порядка 20 сигнатур заложить, и шифровать с типичного для каждого формата смещения данных.
Как бы уже лет 5 они шифруют по методу афроамериканского черного списка, т.е. все файлы кроме Х (бинарных и т.д.). А вообще, это мы ерунду обсуждаем. Давайте лучше поговорим о противодействии. Когда-то был РоС - поставить хук на cmd.exe / vssadmin, т.к. все говнолокеры удаляли шадоу копи через батник, и ес-но можно было их так отловить. Но потом один умник выложил на кору удалятор через WMI, и как такое ловить, хз. Потому как все иное малополезно, а отлов именно на попытке удалить копии - 100% поможет (интересно, читают ли аверы эту тему , т.к. хотелось бы знать, почему за 7+ лет эпидемии никто не делал даже попытки в сторону такой тупой эвристики).
Держать все более менее ценные данные в облаке. Зеркалировать данные на другой физический диск раз в пару дней, второй диск отключать. Запретить исполнение неизвестных программ, запускать только с разрешения пользователя. С точки зрения антивируса, если некий процесс достаточно быстро открывает хендлы на запись для разных файлов в разных папках, то наверное стоило бы остановить процесс.
ну-тему хотя бы почитал == жмёшь файл (тем же зипом) и ксоришь, а ломается ксор лишь при большом проценте повторяемости строк в файле и/ль наличие известных строк. Что в случае зипа итп архивов йдёт Лесом-де Садом --- Сообщение объединено, 22 июн 2020 --- M0rg0t, а как ты себе умудряешься получить локер? с чего это вдруг такой проблемой стало?
какой-нибудь инжект в текстовый редактор помог бы обойти такую систему. Канеш там не так часто открываются хендлы, но все же. Лучше всего бекапить данные. Но представь объем 60 гб данных. Раз в три дня бекапить - мягко говоря устанут. Но уверен, что каждая вторая компания работает надеясь только на сис админа и на удачу. Этим и пользуются лохеры. Раз до сих пор живы локеры - значит кому-то выгодно. Например, лочим компании конкурента. Мне больше хочется верить в то, что всякие ревилы и локбиты скорее аверы и тип касперский под иновац технологиями выпустит декриптор или что-нибудь подобное. Сказки, но все же.