24 ответов в этой теме

[Xvost]

На терминальном сервере был обнаружен panzer шифровальщик, но уже после полного срабатывания, следов от тела никакого, резервные копии хранятся на usb диске и были тоже зашифрованы.

Создан тикет на помощь в лечении - drweb.com #3925299, пришёл ответ - На данный момент мы не можем расшифровать файлы."

Хотелось бы хоть не много подробностей: в связи с чем, чем можем содействовать в расшифровке?

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[mrbelyash]

заяву в полицию.

[RomaNNN]

резервные копии хранятся на usb диске и были тоже зашифрованы.

 

[v.martyanov]

резервные копии хранятся на usb диске и были тоже зашифрованы.

 

Значит, это были не резервные копии :-)

[MarvinD]

Доброва времени суток, 

Обратился клиент с такой же бедой.

кароч, есть один файл зашифрованый и нешифрованый, формат docx

ковырнул хекс редактором, файлы разные до пределённой строчки, далее один в один.

тоесть портится заголовок файла. 

а также имею обычный *.txt.panzer документ, который если открыть блокнотом, в начале файла неведомая инопланетянская фигня, дальше нормальный читабельный текст.

Если есть товарищи способные вычислить алгоритм, с радостью предоставлю файлы.

поможем друг другу.

ЗЫ

стопудов какая нибудь школота нацарапала эту заразу, руки бы им оторвать.

[v.martyanov]

Алгоритм AES-256. Помогло? :-)

[userr]

MarvinD,

пост 2 пункт 3.

[MarvinD]

#3938807

переслал

[v.martyanov]

Нет в нужной категории тикета.

[MarvinD]

Извиняюсь, и правда отправил не в ту катергорию, по новой залил. "SUBMITTED CURE REQUEST" [drweb.com #3944112]

[MarvinD]

Пришло письмо со следующим текстом:

На данный момент мы не можем расшифровать файлы.

 

Чем вам мы можем помочь в расшифровке?

Пока есть бредовая идея, а может и нет))

Если не хватает вычислительной мощности, можно воспользоваться распределённой системой вычислений.

Сделать программу типа SETI@Home, и пускай пострадавшие ставят себе эту штуку и помогают друг другу расшифровывать данные. Но такова рода службу нужно будет мониторить, ибо в теории можно ковырять всё подряд.

Только представьте сколько пользователей, и если хотяб по 5%-10% вычислительной мощьности взять у каждого. Разумеется с их разрешения.

Сообщение было изменено MarvinD: 14 Март 2013 - 08:44

[VVS]

MarvinD, ща появится Мартьянов и быстренько прикинет сколько лет потребуется на расшифровку.

Обсуждалась как-то очень давно эта мысль - бесперспективно.

[mrbelyash]

[del]

Сообщение было изменено mrbelyash: 14 Март 2013 - 09:54

[v.martyanov]

Лет - дофига. 2^256 вариантов только для расшифровки данного конкретного случая. Но это глупо тратить такие ресурсы на одного человека. Факторизация RSA-1024 (или там 2048?) для расшифровки всех вариантов - никак не проще задача.

[MarvinD]

почему бесперспективно, сейчас многие сервисы распределяют нагрузку, взять к примеру p2p сети, довольно высокопроизводительная сеть при большом количестве пользователей, пусть даже с низкой пропускной способностью канала у каждого пользователя. В руках одной организации даже пусть у которой есть свой суперкомпьютер или здоровенный вычислительный кластер, не будут распологать такой вычислительной мощностью. Можно развернуться, если набрать приличное количество пострадавших от такова типа заразы. Такова рода алгоритмы будут щёлкаться как семечки.

К примеру один из клиентов которым помогаю и консультирую, в штате имеет более 150 современных компьютеров (и они пользуется Dr.Web). Без раздумий подпишутся под это дело. Главное чтобы без понижения безопасности корпаративной сети. Можно бонусами какими нибудь завлекать, не буду отбирать хлеб у маркетологов)).

[v.martyanov]

почему бесперспективно, сейчас многие сервисы распределяют нагрузку, взять к примеру p2p сети, довольно высокопроизводительная сеть при большом количестве пользователей, пусть даже с низкой пропускной способностью канала у каждого пользователя. В руках одной организации даже пусть у которой есть свой суперкомпьютер или здоровенный вычислительный кластер, не будут распологать такой вычислительной мощностью. Можно развернуться, если набрать приличное количество пострадавших от такова типа заразы. Такова рода алгоритмы будут щёлкаться как семечки.

К примеру один из клиентов которым помогаю и консультирую, в штате имеет более 150 современных компьютеров (и они пользуется Dr.Web). Без раздумий подпишутся под это дело. Главное чтобы без понижения безопасности корпаративной сети. Можно бонусами какими нибудь завлекать, не буду отбирать хлеб у маркетологов)).

 

А теперь вопрос: сколько будет стоить разработка, поддержка и оптимизация алгоритмов? Я в свое время месяц MD5 оптимизировал. Для взлома RSA длиной больше 700 (или 800?) бит вообще не видел публичного бесплатного софта.

[MarvinD]

Раньше да, софт писали на асемблере ожиревшие нерды в толстых очках. Зато сейчас компы побыстрее стали, и любой пользователь разобравшись как пользоваться конструктором считает себя разработчиком ПО. Эт я к тому что можно не ковыряться с алгоритмом, а поставить перебор и разделить этот его между тысячами компьютеров. А центр это планировщик заданий для этих компов, и учёт кто что сделал, и какие вариации были обработаны, а какие ещё нет и предстаит обработать. Эт на первое время, потом можно конечно дорабатывать, если конечно появится интерес у нужных людей в этом. Главное чтоб от этого софта не вылетал экран смерти, и не жрал много дискового пространства. И ещё до кучи, гдет вычитал что Интел Кор Ай 7, на аппаратном уровне поддерживает некоторые алгоритмы шифрования, так сказать учитывать особенность платформ при написании софта.

Образец есть, как было сказано выше SETI@Home.

[v.martyanov]

Ну так вперед :-) Я уже писал, о сложностях процесса знаю не по наслышке. Больше как-то не хочется :-(

[VVS]

Ну так вперед :-) Я уже писал, о сложностях процесса знаю не по наслышке. Больше как-то не хочется :-(

Володя, ты как-то приводил ссылки на тему конкурса по взлому каких-то алгоритмов, где ещё призовой фонд был очень не слабый.

IMHO имеет смысл повторить на бис.