Перейти к содержимому


Фото
- - - - -

Шифровальщик Panzer

panzer windows шифрование вирус

  • Please log in to reply
24 ответов в этой теме

#1 Xvost

Xvost

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 05 Март 2013 - 12:57

На терминальном сервере был обнаружен panzer шифровальщик, но уже после полного срабатывания, следов от тела никакого, резервные копии хранятся на usb диске и были тоже зашифрованы.

Создан тикет на помощь в лечении - drweb.com #3925299, пришёл ответ - На данный момент мы не можем расшифровать файлы."

Хотелось бы хоть не много подробностей: в связи с чем, чем можем содействовать в расшифровке?



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 629 Сообщений:

Отправлено 05 Март 2013 - 12:57

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:
  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 05 Март 2013 - 13:10

заяву в полицию.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#4 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 494 Сообщений:

Отправлено 05 Март 2013 - 13:39

резервные копии хранятся на usb диске и были тоже зашифрованы.

 

:facepalm:


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 05 Март 2013 - 13:40

резервные копии хранятся на usb диске и были тоже зашифрованы.

 

:facepalm:

Значит, это были не резервные копии :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 MarvinD

MarvinD

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 07 Март 2013 - 15:55

Доброва времени суток, 

Обратился клиент с такой же бедой.

кароч, есть один файл зашифрованый и нешифрованый, формат docx

ковырнул хекс редактором, файлы разные до пределённой строчки, далее один в один.

тоесть портится заголовок файла. 

а также имею обычный *.txt.panzer документ, который если открыть блокнотом, в начале файла неведомая инопланетянская фигня, дальше нормальный читабельный текст.

Если есть товарищи способные вычислить алгоритм, с радостью предоставлю файлы.

поможем друг другу.

ЗЫ

стопудов какая нибудь школота нацарапала эту заразу, руки бы им оторвать.



#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Март 2013 - 16:06

Алгоритм AES-256. Помогло? :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 07 Март 2013 - 16:28

MarvinD,

пост 2 пункт 3.



#9 MarvinD

MarvinD

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 11 Март 2013 - 08:33

#3938807

переслал



#10 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Март 2013 - 10:24

Нет в нужной категории тикета.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#11 MarvinD

MarvinD

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 13 Март 2013 - 14:01

Извиняюсь, и правда отправил не в ту катергорию, по новой залил. "SUBMITTED CURE REQUEST" [drweb.com #3944112]



#12 MarvinD

MarvinD

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 14 Март 2013 - 08:41

Пришло письмо со следующим текстом:

На данный момент мы не можем расшифровать файлы.

 

Чем вам мы можем помочь в расшифровке?

Пока есть бредовая идея, а может и нет))

Если не хватает вычислительной мощности, можно воспользоваться распределённой системой вычислений.

Сделать программу типа SETI@Home, и пускай пострадавшие ставят себе эту штуку и помогают друг другу расшифровывать данные. Но такова рода службу нужно будет мониторить, ибо в теории можно ковырять всё подряд.

Только представьте сколько пользователей, и если хотяб по 5%-10% вычислительной мощьности взять у каждого. Разумеется с их разрешения.


Сообщение было изменено MarvinD: 14 Март 2013 - 08:44


#13 VVS

VVS

    The Master

  • Moderators
  • 17 005 Сообщений:

Отправлено 14 Март 2013 - 09:51

MarvinD, ща появится Мартьянов и быстренько прикинет сколько лет потребуется на расшифровку. ;)

Обсуждалась как-то очень давно эта мысль - бесперспективно. :(


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#14 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 14 Март 2013 - 09:53

[del]


Сообщение было изменено mrbelyash: 14 Март 2013 - 09:54

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#15 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Март 2013 - 09:57

Лет - дофига. 2^256 вариантов только для расшифровки данного конкретного случая. Но это глупо тратить такие ресурсы на одного человека. Факторизация RSA-1024 (или там 2048?) для расшифровки всех вариантов - никак не проще задача.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#16 MarvinD

MarvinD

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 14 Март 2013 - 11:21

почему бесперспективно, сейчас многие сервисы распределяют нагрузку, взять к примеру p2p сети, довольно высокопроизводительная сеть при большом количестве пользователей, пусть даже с низкой пропускной способностью канала у каждого пользователя. В руках одной организации даже пусть у которой есть свой суперкомпьютер или здоровенный вычислительный кластер, не будут распологать такой вычислительной мощностью. Можно развернуться, если набрать приличное количество пострадавших от такова типа заразы. Такова рода алгоритмы будут щёлкаться как семечки.

К примеру один из клиентов которым помогаю и консультирую, в штате имеет более 150 современных компьютеров (и они пользуется Dr.Web). Без раздумий подпишутся под это дело. Главное чтобы без понижения безопасности корпаративной сети. Можно бонусами какими нибудь завлекать, не буду отбирать хлеб у маркетологов)).



#17 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Март 2013 - 11:30

почему бесперспективно, сейчас многие сервисы распределяют нагрузку, взять к примеру p2p сети, довольно высокопроизводительная сеть при большом количестве пользователей, пусть даже с низкой пропускной способностью канала у каждого пользователя. В руках одной организации даже пусть у которой есть свой суперкомпьютер или здоровенный вычислительный кластер, не будут распологать такой вычислительной мощностью. Можно развернуться, если набрать приличное количество пострадавших от такова типа заразы. Такова рода алгоритмы будут щёлкаться как семечки.

К примеру один из клиентов которым помогаю и консультирую, в штате имеет более 150 современных компьютеров (и они пользуется Dr.Web). Без раздумий подпишутся под это дело. Главное чтобы без понижения безопасности корпаративной сети. Можно бонусами какими нибудь завлекать, не буду отбирать хлеб у маркетологов)).

 

А теперь вопрос: сколько будет стоить разработка, поддержка и оптимизация алгоритмов? Я в свое время месяц MD5 оптимизировал. Для взлома RSA длиной больше 700 (или 800?) бит вообще не видел публичного бесплатного софта.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#18 MarvinD

MarvinD

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 14 Март 2013 - 13:33

Раньше да, софт писали на асемблере ожиревшие нерды в толстых очках. Зато сейчас компы побыстрее стали, и любой пользователь разобравшись как пользоваться конструктором считает себя разработчиком ПО. Эт я к тому что можно не ковыряться с алгоритмом, а поставить перебор и разделить этот его между тысячами компьютеров. А центр это планировщик заданий для этих компов, и учёт кто что сделал, и какие вариации были обработаны, а какие ещё нет и предстаит обработать. Эт на первое время, потом можно конечно дорабатывать, если конечно появится интерес у нужных людей в этом. Главное чтоб от этого софта не вылетал экран смерти, и не жрал много дискового пространства. И ещё до кучи, гдет вычитал что Интел Кор Ай 7, на аппаратном уровне поддерживает некоторые алгоритмы шифрования, так сказать учитывать особенность платформ при написании софта.

Образец есть, как было сказано выше SETI@Home.



#19 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Март 2013 - 13:35

Ну так вперед :-) Я уже писал, о сложностях процесса знаю не по наслышке. Больше как-то не хочется :-(


Личный сайт по Энкодерам - http://vmartyanov.ru/


#20 VVS

VVS

    The Master

  • Moderators
  • 17 005 Сообщений:

Отправлено 14 Март 2013 - 13:41

Ну так вперед :-) Я уже писал, о сложностях процесса знаю не по наслышке. Больше как-то не хочется :-(

Володя, ты как-то приводил ссылки на тему конкурса по взлому каких-то алгоритмов, где ещё призовой фонд был очень не слабый.

IMHO имеет смысл повторить на бис. :)


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 




Also tagged with one or more of these keywords: panzer, windows, шифрование, вирус

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых