Имя: Пароль:
IT
Админ
Эпидемия. Шифровальщик ARROW
,
0 buhkiller
 
07.08.18
09:50
За сутки у четырех знакомых шифранулись файлы. Слава богу, это не мои клиенты. Есть ли надежда расшифровать их ?
п.с. Только что узнал, что крымский Консоль-строй (Константинов) тоже шифранулся по самые помидоры.
1 elCust
 
07.08.18
09:57
(0) Да этих шифровальщиков сейчас много.

Вроде бы известно уже, что расшифровать невозможно, исключение только если алгоритм раскрыт и в базе у каспера или нода.
2 Chang Woo
 
07.08.18
09:59
>> исключение только если алгоритм раскрыт

От раскрытости алгоритма не зависит возможность расшифровки.

Пароли на сайтах тоже шифруются по всем известному алгоритму, однако их никто не может расшифровать.
3 Rovan
 
гуру
07.08.18
10:02
(0) у меня клиент попал неделю назад...
причем сервер, причем свежих бэкапов баз 1С нет
4 torgm
 
07.08.18
10:05
0.5 btc
5 zmaksimuz
 
07.08.18
10:05
(0) Сильно помогут только превентивные меры. Дешифровка фалов, без закидывания денег мошенникам, стремится к 0.
6 sitex
 
naïve
07.08.18
10:13
(0) Заплатить и надежда есть . А так хоть известно откуда подцепили ?
7 buhkiller
 
07.08.18
10:16
(6) У троих ручки шаловливые - открыли очень страшное письмо из налоговой с требованием срочно заплатить налоги.  У одного непонятно, вроде бы через rdp залезли.
8 APXi
 
07.08.18
10:21
(7) Вроде сейчас во всех веб почтах просмоторщики файлов работают, как они умудряются открывать?
9 buhkiller
 
07.08.18
10:22
(6) Вот тебе и антивирусы. У двоих стоял лицензионный каспер, у одного доктор, у одного встроенный защитник на десятке.
10 Остап Сулейманович
 
07.08.18
10:22
(7) "непонятно, вроде бы через rdp залезли." Это товарисчЪ я вам скажу - пипетц. Как такое вообще возможно? Где можно получить учетку локальнога админа?
11 Сияющий в темноте
 
07.08.18
10:23
Если через рдп,то расшифровать может только тот,у кого ключ,т.к.велика вероятность,что ключа на зараженной машинн не было. Ну или перебором,обычно стойкий алгоритм для выработки локального ключа,если он используется,а шифруется,например АЕС,тогда нужно просто ключ подобрать к АЕС,это хоть и долго,но возможно
12 Остап Сулейманович
 
07.08.18
10:25
+ (10) "открыли очень страшное письмо из налоговой" И что? Имели админские полномочия?
С пользовательскими - максимум покоцали бы свои файлы. Все. Сто пудово - работали с админскими правами.
13 buhkiller
 
07.08.18
10:26
(10) У них удаленка на восьмой винде, два компа подключаются через rdp. Сначала заразился локальный потом тот недосервер. Заразился весь, а не расшаренные папки. На восьмерке ничего не открывали.
14 sitex
 
naïve
07.08.18
10:26
(9) От шаловливых ручек и антивирусник не поможет.  Знаю один прецедент : Секретарша до последнего тыкала на такое же письмо от налоговой пока не позвала админа и просила отрубить ей антивирус.
15 Остап Сулейманович
 
07.08.18
10:27
(11) Классика жанра - ключ вычисляется на локальной машине. Все шифруется. Ключ отправляется на ресурс вымогателя. На локальной машине ключ удаляется.
16 sitex
 
naïve
07.08.18
10:29
+ (15) Причем этот ключ перезаписывается с тем же именем на хард что восстановить его шансов нет.
17 Остап Сулейманович
 
07.08.18
10:29
(13) Установку обнов не нужно игнорить. Распространение по сети в винде уже года три как закрыто.
18 Nyoko
 
07.08.18
10:31
(2) могут причем без проблем. посмотри nirsoft
19 Провинциальный 1сник
 
07.08.18
10:33
Основной вектор распространения вредоносного кода - это возможность запуска приложений и скриптов из доступных пользователю на запись каталогов. Намного эффективнее всяких антивирусов просто задать системную политику, разрешающую запуск программ только из тех мест, запись в которые недоступна для пользователя.
Но, к сожалению, есть конкретные уроды, которые пишут софт в расчете исключительно на установку в профиль пользователя. И это не какие-то там игры от майлру, а и всякие там плагины для госуслуг и сбиса.
20 buhkiller
 
07.08.18
10:34
А прикольно сработал шифровальщик. Со страхом и включенной защите залез по rdp. Там оказывается был нод, а не вэб. Нод отключился. Помню были теневые копии дисков - отключены !!! Архивы внутри зашифрованы файлы. Восхитительно !
Вот интересно, если бы клиентам отдали этих вымогателей они бы их повесили или сожгли на костре ?
21 buhkiller
 
07.08.18
10:35
(19) Кстати, у всех стоит сбис.
22 sitex
 
naïve
07.08.18
10:38
(21) Да это уже не важно. У таких пользователей , хоть с пистолетом у виска стой , все равно что нить подцепят.
23 Остап Сулейманович
 
07.08.18
10:38
(18) Сколько составляет среднее время подбора ключа шифрования?

"вскрытие 64-битного ключа (симметричного алгоритма RC5-64) потребовало сравнительно меньших временных затрат, чем предполагалось. Распределенное на несколько сотен тысяч машин сложное математическое задание позволило «взломать» ключ за пять лет против предполагавшихся ста лет."

ЦЫ http://old.computerra.ru/2003/487/201883/
24 Woldemar177
 
07.08.18
10:51
(23) Это 15 лет назад, а сейчас интересно сколько.