Forum » Informacijska varnost » virus ki kriptira datoteka - končnica ecc
virus ki kriptira datoteka - končnica ecc
StratOS ::
A misliš, da ti bodo še v virusu algoritem/aplikacijo za dekripcijo zraven dali in opcijo za takojšno dekodiranje enkodiranih datotek ?
Kriptiranih datotek, ne enkodiranih. Da, saj tako tudi počnejo. Le ključ za dešifriranje moraš kupiti z bitcoinom.
Kriptirana datoteka = enkodirana datoteka z pomočjo dodeljenega ključa in algoritma enkripcije
Večinoma objektnih prog. jezikov uporablja algoritme - module oz. knjižnice, ki jioh lahko preko win sistemov preko ActiveX ali sistemskih API klicev. Torej sklicev za naprednega uporabnika ni problem izslediti in z tem vrsto enkripcije.
Ključ v tem primeru je lahko različen in sam sistem dodelitve ključa in enkripcije znotraj samega modula/algoritma je različen in odvisen od tipa enkripcije.
V večini primerov je osnovni ključ string vrednost/binarna vrednost, ki se lahko preko transpozicij v modulu/algoritmu prenese v vektor, matriko ipd... Zelo zanimive so tudi binarne vrednosti in ključi kot certifikati.
Ker gre za black code, ki spremeni oz. enkodira datoteke po določenem algoritmu.
Ker se tudi sam amatersko ukvarjam z primeno enkripcije in njeno reverzno programsko primeno lahko zatrdim, da so sistemi oz. ključi uporabljeni v takih aplikacijah v večini primerov neodvisni od sistema samega in je tak ključ z "lahkoto" dobiti iz source aplikacije z reverznim inženeringom kode ali navadnim dissasemblanjem.
Torej sama aplikacija dodeli "ključ", ki fajl/e z tem ključen enkodira, obratna/reverzna funkcija samega algoritma iz enkodirane datoteke z pomočjo "vstavljenega ključa" dekodira enkodiran fajl. Če je ključ ustrezen bo tudi fajl ustrezne vsebine.Tudi če gre za kakšen fingerprint sistema za generacijo ključa je to zopet "lahko" dobiti iz samega dissasebla aplikacije same, če aplikacija sama to vsebuje oz. ponuja reverzno funkcijo algoritma (dekripcijo).
Prav tako lahko ključe uporabljate za enkodiranje datotek oziroma celotnega Datotečnega Sistema.Če bi trojanci to storili, potem bi sistem postal neuporaben in uporabnik nebi moral plačati za dešifrirni ključ, kar je v bistvu tudi cilj teh trojancev.
Datotečni sistem je širok pojem in ni potrebno da se enkodira sam boot sistema disk/particija ali logična enota.
Zakaj nebi plačal za celoten sistem in ne le za par fajlev če smo že pri tem, z tem ti je tudi OS onesposobljen in vse datoteke. Nekaj takega je enostavno in hitro lahko bilo narediti na WINFS DB sistemu,ki pa kot sistem sam nikoli ni zaživel. Ideja in integracija je bila svetovna za ta čas, aplikacija in implementacija sta pa bili druge stvari.
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."
Ribič ::
Kot sem že omenil, bi pri onesposobljenju celotnega OS-ja onesposobil tudi možnost, kjer se obvesti uporabnika, da mora plačati.
Sicer pa očitno ni potrebe po tem, ker zlikovci že zaslužijo dovolj z šifriranjem samih datotek.
Sicer pa očitno ni potrebe po tem, ker zlikovci že zaslužijo dovolj z šifriranjem samih datotek.
Egidij88 ::
Sem pri nekomu tudi jaz naletel na tale ransomware. Spremenjene končnice fajlov in kriptirano. Besedico backup se userjem še vedno zaman trobi. Pa seveda je treba kliknit na vsak utripajoči okvirček v browserju in odpirati neznane (beri: očitne spame) priponke v mailu. Tu ni obrambe, edina idiot-proof varijanta je, da internet odklopiš.
StratOS ::
Kot sem že omenil, bi pri onesposobljenju celotnega OS-ja onesposobil tudi možnost, kjer se obvesti uporabnika, da mora plačati.
Sicer pa očitno ni potrebe po tem, ker zlikovci že zaslužijo dovolj z šifriranjem samih datotek.
Ni nujno.
Ne gre v celoti za onesposobitev sistema. Vse je odvisno od programa/driverja/sistema samega,nastavitev in datotečnega sistema.
Bootloader samega zagona "operacijskega sistema" seveda zahteva vnos gesla oz. "ključa" za nadaljno delo/dostop. Za same diskovne pogone, ta opcija ni ustrezna, kajti real time dekripcija bi zahtevala preveliko uporabo diskovne širine, tu se uporabljajo posebne izvedbe "diskov", t.i. pomnilniške kartice ali on the fly transparentna enkripcija (TrueCrypt,VeraCrypt,BitLocker ... )
V tem primeru je celoten volumen z datotečnim sistemom samim mountan in enkriptiran kot logični/fizični disk.
Možnost različnih dostopov do DS ali volumna je odvisna od vnešenega "ključa" ....
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Locker v1.52 - datoteke zaklenjeneOddelek: Pomoč in nasveti | 2070 (1621) | GTX970 |
» | Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 44116 (26156) | BorutK-73 |
» | Alarm plačilo 100eurOddelek: Informacijska varnost | 3555 (2576) | solatko |
» | Po Sloveniji se širi Cryptolocker (strani: 1 2 )Oddelek: Novice / Varnost | 31762 (18758) | alro |
» | Trojan.Gpcoder.G (strani: 1 2 )Oddelek: Pomoč in nasveti | 199866 (193054) | Cold1 |