Вчера прочитал эту статью: Computer users face hard choice—pay ransom or lose files
В ней рассказывается о вредоносных программах, блокирующих доступ к хранящимся на компьютере файлам (если я правильно понял, путем их шифрования с использованием криптостойкого алгоритма). В конце статьи упоминается случай, когда писательнице-фрилансеру пришлось заплатить хакерам 637 долларов за «освобождение» файлов, накопленных на ее компьютере за 16 лет:
Freelance writer Sandra Gordon paid $637 when her computer was infected in January. Gordon, who faced losing files going back 16 years, decided to pay after technicians said there was nothing they could do. She didn't have a secure backup.
А в одном комментарии к статье говорится о бедном старике, который лишился семейных фотографий, хранившихся на его допотопном компьютере:
A neighbor of mine suffered a ransomware attack. He told me his old computer was slowing down, so I ran an antivirus rescue disk on it, but the disk made the computer un-bootable.
Thing is, he's an old guy with nothing but family photos on his old XP desktop. He lost all of them because he didn't have the money to pay the hijackers.
I replaced his old OS with Linux, so he uses that now. He's got nothing left to steal. Congratulations, hackers.
(Да-да, это была реклама Линукса. )
Кто-нибудь сталкивался с подобными случаями? Поделитесь, пожалуйста, опытом.
Здравствуйте, Lazytech, Вы писали:
L>Кто-нибудь сталкивался с подобными случаями? Поделитесь, пожалуйста, опытом.
Я сталкивался. Завидую, что в свое время не пошел в эту тему, а сейчас вход в тусовки уже закрылся. У меня где-то валяется xspider, одна из первых версий, когда его авторы были еще не отожравшимися бизнесменами, а сейчас оно продается за много денег.
При мне шифровальщик победили, используя drweb дешифратор, и распределив работу по 30 людям, которым пообещали приз в 1000 рублей за нахождение ключа. Все заняло где-то пять дней.
Здравствуйте, Слава, Вы писали:
С>При мне шифровальщик победили, используя drweb дешифратор, и распределив работу по 30 людям, которым пообещали приз в 1000 рублей за нахождение ключа. Все заняло где-то пять дней.
А я-то по-дилетантски думал, что если используется криптостойкий алгоритм с длинным ключом, то даже на суперкомпьютере расшифровка теоретически может занять многие сотни лет.
Недавно одна группа исследователей за 2 часа взломала перспективный код шифрования (Researchers crack unassailable encryption algorithm in two hours). Казалось бы, ничего особенного, да только вот первоначально предполагалось, что взлом этого кода потребовал бы работы всех компьютеров на Земле в течение времени, в 40 тысяч раз превышающего возраст Вселенной.
Здравствуйте, Lazytech, Вы писали:
L>Вчера прочитал эту статью: Computer users face hard choice—pay ransom or lose files L>В ней рассказывается о вредоносных программах, блокирующих доступ к хранящимся на компьютере файлам (если я правильно понял, путем их шифрования с использованием криптостойкого алгоритма). В конце статьи упоминается случай, когда писательнице-фрилансеру пришлось заплатить хакерам 637 долларов за «освобождение» файлов, накопленных на ее компьютере за 16 лет: L>
Freelance writer Sandra Gordon paid $637 when her computer was infected in January. Gordon, who faced losing files going back 16 years, decided to pay after technicians said there was nothing they could do. She didn't have a secure backup.
L>А в одном комментарии к статье говорится о бедном старике, который лишился семейных фотографий, хранившихся на его допотопном компьютере: L>
A neighbor of mine suffered a ransomware attack. He told me his old computer was slowing down, so I ran an antivirus rescue disk on it, but the disk made the computer un-bootable.
L>Thing is, he's an old guy with nothing but family photos on his old XP desktop. He lost all of them because he didn't have the money to pay the hijackers.
L>I replaced his old OS with Linux, so he uses that now. He's got nothing left to steal. Congratulations, hackers.
L>(Да-да, это была реклама Линукса. )
L>Кто-нибудь сталкивался с подобными случаями? Поделитесь, пожалуйста, опытом.
Я сталкивался, загрузился с LiveCD — отформатировал два харда в компе, достал из шкафа хард с бэкапом с ближайших выходных — накатил сверху.
Потери — меньше недели. За эту неделю новых фото и видео в семейный архив не поступало, поэтому реальных потерь — три дня прогресса в Skyrim
Вообще у меня в компе один хард — рабочий, второй — для бэкапов.
Который для бэкапов их у меня два и я каждые выходные меняю их местами.
Один кладу в шкаф, второй достаю из шкафа и подключаю на место первого.
К данному решению пришел после того как по студенчеству чуть не остался без диплома из-за сдохшего харда
--------------------------------------------------------------
Правильно заданный вопрос содержит в себе половину ответа
Здравствуйте, AndrewN, Вы писали:
AN>Здравствуйте, Lazytech, Вы писали:
AN>Я сталкивался, загрузился с LiveCD — отформатировал два харда в компе, достал из шкафа хард с бэкапом с ближайших выходных — накатил сверху. AN>Потери — меньше недели. За эту неделю новых фото и видео в семейный архив не поступало, поэтому реальных потерь — три дня прогресса в Skyrim
[skip] AN>К данному решению пришел после того как по студенчеству чуть не остался без диплома из-за сдохшего харда
Признаюсь, сам давным-давно, когда деревья были большими жесткие диски емкостью более 128 метрических гигабайт (привет отсутствию встроенной поддержки BigLba в Win2K ) были в новинку, по собственной дурости потерял более 100 ГБ данных после того, как забил ими бОльшую часть 160-гигового харда. Напомню, проблема BigLba состояла в том, что при попытке записать данные в область, начинающуюся со 128 гигабайт (137'438'953'472 байт) от начала диска, данные в действительности записывались поверх существующих данных в начале диска. По счастью, большинство ценных файлов у меня были забэкаплены на старом харде. Выяснив опосля, в чем дело, я прописал нужный ключик в реестр, но еще долго трясся.
L>Кто-нибудь сталкивался с подобными случаями? Поделитесь, пожалуйста, опытом.
Сам не ловил, но "клиенты" приносили ноут с подобным вирусом — действительно все файлы *.jpg, *.doc и т.д. зашифрованы, на рабочем столе висит банер с почтовым адресом и предложением связаться с разработчиками и приобрести за деньги дешифратор.
Я тогда воспользовался готовой утилитой(если память не подводит — от Kaspersky) и большую часть(за редким исключением) файлов с её помощью восстановил...
ИМХО1: — основная проблема в том, что для человека не занимающегося криптографией, довольно высок "порог вхождения" в данную тематику, для самостоятельной расшифровки, а готовые решения от производителей антивирусов — не перекрывают 100% текущих угроз, так как алгоритм шифрования постоянно модифицируется умельцами...
ИМХО2: — по сравнению с блокираторами рабочего стола, несомненный шаг вперед.
Здравствуйте, Lazytech, Вы писали: L>А я-то по-дилетантски думал, что если используется криптостойкий алгоритм с длинным ключом, то даже на суперкомпьютере расшифровка теоретически может занять многие сотни лет.
Как оказалось, многие популярные алгоритмы сейчас довольно быстро перебираются при помощи готовых таблиц или перебором на системах с использованием нескольких мощных видеокарт, а длинна ключа по моему ограничена законодательно...
Здравствуйте, workalexey, Вы писали: W>Сам не ловил, но "клиенты" приносили ноут с подобным вирусом — действительно все файлы *.jpg, *.doc и т.д. зашифрованы, на рабочем столе висит банер с почтовым адресом и предложением связаться с разработчиками и приобрести за деньги дешифратор.
Заинтересовавшись темой, нагуглил прошлогоднюю статью: Critroni/Onion – Newest Addition to Encrypting Ransomware
Отрывок
This specific variant we analyzed does not delete the VSS (Volume Shadow Service) and you can get all your files back by using programs like Shadow Explorer. I expect that once this malware goes into widespread distribution for the US and UK that “issues” like this will get fixed and the price will rise to around .5 BTC (around $300) on average. Webroot will catch this specific variant in real time before any encryption takes place. We’re always on the look out for more, but just in case of new zero day variants – remember that with encrypting ransomware the best protection is going to be a good backup solution. This can be either through the cloud or offline external storage. Keeping it up to date is key so as not to lose productivity. Webroot has backup features built into our product that allow you to have directories constantly synced to the cloud. If you were to get infected by a zero day variant of encrypting ransomware you can just restore your files back as we save a snapshot history for each of your files up to ten previous copies.
Выходит, если не повезет, от этой напасти может спасти только наличие резервных копий...
Здравствуйте, workalexey, Вы писали:
W>Как оказалось, многие популярные алгоритмы сейчас довольно быстро перебираются при помощи готовых таблиц или перебором на системах с использованием нескольких мощных видеокарт, а длинна ключа по моему ограничена законодательно...
А разве разработчики зловредов настолько законопослушны, что используют достаточно короткие ключи шифрования? По идее, всегда может найтись какой-нибудь злой гений, который разработает особо криптостойкий алгоритм...
Здравствуйте, Lazytech, Вы писали:
L>А разве разработчики зловредов настолько законопослушны, что используют достаточно короткие ключи шифрования? По идее, всегда может найтись какой-нибудь злой гений, который разработает особо криптостойкий алгоритм...
Замечание справедливое, но допускаю, что:
1. Длинные ключи и более сложные алгоритмы шифрования могут вызвать проблемы с производительность/скоростью заражения на "среднестатистическом" компьютере... А идея как раз в том, что бы максимально быстро и менее заметно поразить большое количество файлов.
2. При производстве подобных зловредов используются "готовые алгоритмы" или даже "куски" легальных программ...
3. В целом приятнее, когда за тобой неторопливо бегает Полиция, чем активно ищут ФСБ/АНБ
Здравствуйте, Lazytech, Вы писали:
L>Кто-нибудь сталкивался с подобными случаями? Поделитесь, пожалуйста, опытом.
Все скатывается в унылую коммерцию Вот во времена моей юности, шифрование пользовательских данных использовалось вирусами исключительно для выживания, никаких вымогательств
Onehalf, кстати, был второй приблудой по которой я осваивал реверсинг (первой был burglar.1029) ^_^
Здравствуйте, workalexey, Вы писали:
W>Замечание справедливое, но допускаю, что: W>1. Длинные ключи и более сложные алгоритмы шифрования могут вызвать проблемы с производительность/скоростью заражения на "среднестатистическом" компьютере... А идея как раз в том, что бы максимально быстро и менее заметно поразить большое количество файлов.
Согласен. Мне точно показалось бы подозрительным постоянное шуршание жесткого диска.
W>2. При производстве подобных зловредов используются "готовые алгоритмы" или даже "куски" легальных программ...
Возможно, некоторые разработчики таких зловредов являются не профессиональными хакерами, а script kiddies?
W>3. В целом приятнее, когда за тобой неторопливо бегает Полиция, чем активно ищут ФСБ/АНБ
Здравствуйте, SergeCpp, Вы писали:
SC>Полиция Массачусетса заплатила выкуп в биткоинах, чтобы вернуть свои файлы: SC>http://geektimes.ru/post/248706/
Ага, об этом тоже говорится в той статье:
Anyone can be hit: individuals, big and small companies, even government agencies. The Durham, New Hampshire, police department was attacked by ransomware in June when an employee clicked on a legitimate-looking email. The department's 20 computers were cleared of the ransomware and files were restored from a backup system. The Swansea, Massachusetts, police department, meanwhile, had to pay a $750 ransom after it was attacked.
Кто на очереди? ФБР, ЦРУ или — страшно сказать — АНБ?
Здравствуйте, Lazytech, Вы писали:
С>>При мне шифровальщик победили, используя drweb дешифратор, и распределив работу по 30 людям, которым пообещали приз в 1000 рублей за нахождение ключа. Все заняло где-то пять дней.
L>А я-то по-дилетантски думал, что если используется криптостойкий алгоритм с длинным ключом, то даже на суперкомпьютере расшифровка теоретически может занять многие сотни лет.
У меня сложилось впечатление, что сейчас троянов собирают как конструктор. Натыкивают компоненты и без особого вникания в тему релизят. Сделать невзламываемое шифрование в общем то несложно. Но это надо уметь. Сделать кривое шифрование тоже просто. И это касается далеко не только вирусов.
Здравствуйте, vsb, Вы писали:
vsb>У меня сложилось впечатление, что сейчас троянов собирают как конструктор. Натыкивают компоненты и без особого вникания в тему релизят.
Ничего личного, только бизнес. (с)
vsb>Сделать невзламываемое шифрование в общем то несложно. Но это надо уметь.
Я так понял, достаточно использовать асимметричный ключ?
Здравствуйте, Lazytech, Вы писали:
vsb>>У меня сложилось впечатление, что сейчас троянов собирают как конструктор. Натыкивают компоненты и без особого вникания в тему релизят.
L>Ничего личного, только бизнес. (с)
vsb>>Сделать невзламываемое шифрование в общем то несложно. Но это надо уметь.
L>Я так понял, достаточно использовать асимметричный ключ?
Асимметричным шифрованием можно шифровать только небольшие объёмы данных. Для шифрования больших объёмов данных обычно генерируют ключ для симметричного шифрования (например AES), с помощью него шифруют данные, а уже сам ключ шифруют асимметричным алгоритмом.
Простой вариант такой: связываемся с управляющим сервером, от него получаем открытый ключ (он у себя в базе запоминает закрытый ключ для этого открытого ключа). Далее для каждого шифруемого файла генерируем случайный AES-ключ, шифруем файл этим ключом и в конец файла дописываем этот самый ключ, зашифрованный открытым ключом. Но я в безопасности не копенгаген и вполне возможно, что моя схема имеет свои проколы.
)
) были в новинку, по собственной дурости потерял более 100 ГБ данных после того, как забил ими бОльшую часть 160-гигового харда. Напомню, проблема BigLba состояла в том, что при попытке записать данные в область, начинающуюся со 128 гигабайт (137'438'953'472 байт) от начала диска, данные в действительности записывались поверх существующих данных в начале диска. 
По счастью, большинство ценных файлов у меня были забэкаплены на старом харде. Выяснив опосля, в чем дело, я прописал нужный ключик в реестр, но еще долго трясся. 
