Не рабочий сегодня день⁠⁠

Сегодня придя на работу, бухгалтер встала в ступор и с криками, все пропало!!! Пошла пить чай на весь день. Причиной внепланового чаепития стал вирус- шифровальщик crypted000007...

Не медля я открыл этот файл и увидел что собственно хочет разработчик данного шифрования

Просмотрев несколько форумов таких как, Каспеский и dr.web, паника началась и у меня, разработчик все зашифровал в системе RSA-3072. Пройдя по ссылке которая указана в .txt от разраба, перед мной предстал сайт связи с террористом

Написав в форме обратной связи, если её можно так назвать, обращение, я решил пока он не ответит на почту просвятится и узнать что же за метод RSA шифрования, оказывается все началось в августе 1977 года в колонке «Математические игры» Мартина Гарднера в журнале Scientific American, с разрешения Рональда Ривеста появилось первое описание криптосистемы RSA. Читателям также было предложено дешифровать английскую фразу, зашифрованную описанным алгоритмом:

В качестве открытых параметров системы были использованы числа n=1143816...6879541 (129 десятичных знаков, 425 бит, также известно как RSA-129) и e=9007. За расшифровку была обещана награда в 100 долларов США. По заявлению Ривеста, для факторизации числа потребовалось бы более 40 квадриллионов лет. Однако чуть более чем через 15 лет, 3 сентября 1993 года было объявлено о старте проекта распределённых вычислений с координацией через электронную почту по нахождению сомножителей числа RSA-129 и решению головоломки. На протяжении полугода более 600 добровольцев из 20 стран жертвовали процессорное время 1600 машин (две из которых были факс-машинами. В результате были найдены простые множители и расшифровано исходное сообщение, которое представляет собой фразу «THE MAGIC WORDS ARE SQUEAMISH OSSIFRAGE» («Волшебные слова — это брезгливый ягнятник»).

Это и есть ягнятник

Вообщем просвятится я знатно, и понял что данный орешек просто так не расколоть, и так и не дождался ответа на почту от разработчика данного вируса...
Буду ждать. О результатах если интересно напишу в следующем посту.

P.S вирус довольно новый, активный, предупредите своих знакомых, коллег и всех всех, нельзя открывать подозрительные письма на почте и уж тем более не переходить по ссылкам в них! Обязательно пользоваться антивирусом, и открывать только знакомые сайты. Нам это послужило уроком, а вам желаем научится на наших ошибках.

230

Вы смотрите срез комментариев. Показать все

Makkov

5 лет назад

тревожная тема. Надеюсь разрешится хорошо.

раскрыть ветку (44)

Relaxers

5 лет назад

А куда можно обратится за помощью? Здесь есть кто нибудь из людей кто знает толк в расшифровке или программисты rsa?

раскрыть ветку (43)

hardcore880

5 лет назад

реализации RSA, как правило, имеют приватный и публичный ключи. Как в мессенджерах. По приватному ключу можно только расшифровать данные, а по публичному- зашифровать. Так работают мессенджеры (только в обратном порядке). И тут два варианта:

1. Пара ключей генерится в момент начала шифрования на машине и приватный ключ отправляется автору

2. В начале шифрования червь получает с сервака публичный ключ и шифрует им файлы.

Вообще шансов мало, но вот что можете попробовать:

1. Попробовать поискать ключик рядом с бинарниками червя (или appdata\реестре). Разрабу хочется светиться как можно меньше, потому, возможно, передачи ключа и не было, и он лежит где-то на жестком, и прога о нем вспоминает после введения одного и того же ключевого слова. Если найден ключ- попробовать применить с ним на файлах любую прогу, которая умеет RSA (в самом черве это делать бесполезно)

2. Возможно, rsa вообще не применялся а шифруются\искажаются только заголовки (он же сработал быстро, а применять полноценный RSA на все файлы- работа не на одни сутки). Проверьте это на любом ранее известном Вам файле hex-редактором или блокнотом.

В остальном- либо обращаться к грамотному спецу, либо забыть файлы и делать бекапы\пользоваться облаком.

P.S. Я- не программист RSA (таких нет), по работе нужно разбираться в ИБ

раскрыть ветку (4)

LeeroyThePally

5 лет назад

А в чём проблема генерить два ключа при сборке малвари, один вшивать (тот, которым шифруют, тобишь, открытый), вместе с идентификатором (в начале ридми), а закрытый хранить локально в базе по тому же айдишнику?

Если слишком хлопотно собирать, можно патчить бинарник автоматически или просто файлом хранить ключ и айдишник.

Единственная проблема, которую я вижу - под каждого "клиента" должен быть свой ключ.

раскрыть ветку (3)

Jampire

5 лет назад

Нет особой проблемы зашивать одинаковый ключ для всех. Вряд ли тот кто купит, будет сливать ключ в сеть добровольно. Думаю в данном случае просто выслали бы приватный для расшифровки и дело с концами.

hardcore880

5 лет назад

Как писал выше- чем меньше соединений делает червь- тем лучше, сложнее отследить автора. Даже в Вашем варианте на старте шифрования надо получать либо ключ либо бинарник. Одним и тем же ключом шифровать не станут ибо тогда вся схема как карточный домик. Значит, вероятно, пара генерится на клиенте

раскрыть ветку (1)

LeeroyThePally

5 лет назад

Дак суть в том, что при создании этой малвари генерить ключ.

Обьясню на примере.

Есть сервер. Он умеет клепать малварь. Нет, не собирать из исходников, а генерить ключи (или брать откуда-то), брать готовый бинарник, менять в нём только две переменные: ключ и айдишник и отдавать его. А затем ключ и айдишник в бд. При следующем запросе перегенерить.

Есть скрипт, который делает обращение к серверу "дай бинарник". Он получает его. Выполняет его.

Скрипт есть точкой входа

PerfectPlace

5 лет назад

лучше потратить ваши силы на предотвращение подобного в будущем. Даже если вы вышлите выкуп, это не даст вам никакой гарантии что получите код расшифровки, но увеличит вероятность шантажа и повторения ситуации в дальнейшем.

NoTY

5 лет назад

мне помогли на форуме https://www.bleepingcomputer.com. примерно 4 дня занял поиск ключа, ловил шифровальщик WhiteRose

раскрыть ветку (2)

Jampire

5 лет назад

Это сработает только в случае, если ключ одинаковый для всех зараженных и уже был кем-то куплен/слит в сеть.

раскрыть ветку (1)

NoTY

5 лет назад

это не так, на момент моего заражения не было работающих ключей. я общался с разработчиком дешифраторов и высылал ему зашифрованые и оригинальные файлы. собственно 4 дня ушло на брутфорс, но у меня к сожалению файлов оригиналов было немного. как он мне писал каждая пара файлов значительно бы ускорила процесс. Затем найдя ключ он создал дешифратор и я уже этой софтинкой раскодировал все свои файлы, но, как я понимаю мне повезло, разработчик говорил что и месяц может уйти.

собственно сама тема - https://www.bleepingcomputer.com/forums/t/674697/whiterose-r...

DELETED

5 лет назад

Программисты rsa? Ха-ха) там нужно брутить, но это может занять пару сотен лет) Поэтому тут либо забить на все, либо платить. Во втором варианте есть риск, что после оплаты также все и останется.

И научите коллег не скачивать что попало)

раскрыть ветку (1)

Shinjitsu0

5 лет назад

А тут не обязательно скачивать что то, на почту буху приходит письмо, срочно подписать акт сверки и бла бла, в аттаче архив с автовыполнением а внутри скрипт.

Makkov

5 лет назад

я бы смирился с потерей данных, расходы вычел из пользователя пк, настроил бэкапы.

раскрыть ветку (23)

bespantovo

5 лет назад

Бухгалтер то красивая?

раскрыть ветку (4)

DELETED

5 лет назад

Пох, выебать два раза!

раскрыть ветку (1)

Arrat

5 лет назад

Админа. Первый раз за то, что не запретил бухгалтерии запускать exeшники, второй раз за то, что нет бекапов.

Кстати, если есть купленный антивирус, можно попробовать к ним обратиться, знаю случаи, когда тот-же Касперский с шифровальшиком помогал.

Relaxers

5 лет назад

Такая вот она бухгалтер))

раскрыть ветку (1)

bespantovo

5 лет назад

Натворила делов и счастлииивая..

pervijrodnoj

5 лет назад

Вот ты бизнесмен - расходы на невникающую тётю скинуть и делов. Можно дальше работать. А в следующий раз на другую. А лучше на всех сотрудников разделить, чтобы не обидно было. Главное сам не в минусе.

раскрыть ветку (17)

Makkov

5 лет назад

Невникающая тетя сидит на теме, на которой нужно быть ответственным человеком. Если она запустила вирус на своем компе, она и виновата.

раскрыть ветку (15)

pervijrodnoj

5 лет назад

Ну сам и виноват, раз посадил такого человека.

раскрыть ветку (14)

Makkov

5 лет назад

По такой логике никакие дисциплинарные взыскания и материальная ответственность исполнителей невозможны.

раскрыть ветку (13)

pervijrodnoj

5 лет назад

Она бухгалтер, свои обязанности не нарушала, трудовой договор тоже. Комп поймал вирус -это не её заботы. Нужно было заранее о безопасности думать. Но не ей, а шефу.

раскрыть ветку (12)

Olgert

5 лет назад

А по резюме у нас все опытные пользователи ПК, ноо. Некоторые без антивируса годами сидят и ничего не ловят, а некоторые обязанности выполняют и всему пизда настаёт.

int0x80

5 лет назад

Как на работу устраиваться, они все "опытные пользователи ПК", а как зараза - так это "не ее заботы"?

Makkov

5 лет назад

Могли бы короче написать фразу "оно само насралося".

раскрыть ветку (1)

pervijrodnoj

5 лет назад

оносамонасралося

LabCoat

5 лет назад

Ну, раз на её машине появился вирус, значит, она его запустила. Вопрос — как на рабочую машину мог попасть вирус? Правильно — сотрудник использовал компьютер не по назначению. Скорее всего, скачивал пиратский софт или игрульки. В обязанности бухгалтера пользоваться на рабочей машине (в служебное время — тем более) ни тем, ни другим не входит.
Если ответственность за вверенные данные входит в её служебные обязанности, значит, и расходы должна нести она.

раскрыть ветку (7)

Catarina0905

5 лет назад

Рассылается вирус по эл Почте. Письмо от контрагента с темой "акт сверки". И вложение "акт сверки".

Ну как бухгалтер это не откроет? Конечно откроет. И все, вирус заражает и отсылает с ее Почты такие же письма и шифрует файлы.

Когда у нас человек так словил вирус - мы позвонили в фирму, которая рассылала письма. "А мы знаем, что это вирус, тоже поймали. Предупреждать контрагентов? А зачем?"

раскрыть ветку (3)

Relaxers

5 лет назад

Первым делом это и сделала главбух

Jampire

5 лет назад

Вложение, подразумевающее какой-то документ, является .exe файлом. Вот вообще не подозрительно.

раскрыть ветку (1)

pervijrodnoj

5 лет назад

Работаешь водителем, машина от фирмы. В тебя въехали и съебались. Будешь ремонт оплачивать, согласен? Тебе машину доверили, отвечай. Вот такая у тебя логика. А ТС сам сказал, что пришло письмо на майл, она пошла по ссылке. Пользуйтесь антивирусом говорит, значит сам не пользовался, теперь сопли 'помогитеспасите'.

раскрыть ветку (2)

Relaxers

5 лет назад

Даже и речи нет о том что помогите спасите, проблему просто написал дабы осведомить читатающих и напомнить про то что хакеры не дремлят

раскрыть ветку (1)

DELETED

5 лет назад

DELETED

5 лет назад

Расшифровать не возможно. По крайней мере в настоящее время. Начинай делать ежедневные бэкапы все важных данных, на сетевую папку/накопитель, желательно зашифрованные.

DELETED

5 лет назад

Если у тебя винда может быть включены "предыдущие версии" и вирус их не тронул.

greny

5 лет назад

А антивирус какой используете?

GrammarManiac

5 лет назад

У Вас большая проблема со словом "просвятится", обратите внимание на свой текст. Два раза встречается.

AlexKoz1980

5 лет назад

Нам помогли в ДрВебе, так как у нас стоит их лицензионка, пропустившая вирус.

раскрыть ветку (1)

Lutch

5 лет назад

Они не всегда могут помочь.

DELETED

5 лет назад

Поторгуйся, поной что ты девочка у которой пропала курсовая с левого адреса, обычно через два три дня они ценник роняют. Естественно перед оплатой попроси пару файлов расшифровать

DELETED

5 лет назад

Специалисты по расшифровке и "программисты rsa" (lol) тебе не помогут, тебе надо ведро мощностей, в идеале как можно больше суперкомпьютеров. Либо скажи пока-пока данным (наиболее вероятно), либо в полицию (шанс успеха крайне мал), либо договаривайся со злоумышленником (но раз молчит, то маловероятно).

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку