- Dr.Web forum
- → Содержание QuarQ
Содержание QuarQ
13 публикаций пользователя QuarQ OpenID:
по типу содержимого
Просмотр информации о пользователе
#593161 Обсуждение алгоритмов шифрования
Отправлено по QuarQ в 06 Апрель 2012 - 11:49 В: Свободное общение
в сети есть кластерные сообщества (платные бесплатные) это такая куча компов предоставляющих свои ресурсы для общего дела, так вот ода из таких систем приплачивая своим членам создала довольно таки мощную (по их заявлениям )сеть и заявляют что к концу следующего года будут способны сломать код RSA за 10 минут (как я понимаю тупым перебором)
и даже при этом
во первых : ни кто не разрешит этого делать (это чисто академический вопрос)
во вторых их компьютерное время платное (которое и распределяется между много миллионными членами данного кластера)
"не обязательно совпадает с длиной исходной? " скажу по другому ни как не зависит от первоначального размера
суть шифрования заключается : преобразовать до неузнаваемости без возможности сделать обратное действие
самый простой пример найдите квадратный корень из числа 2, а потом сделайте обратное действие возведите полученный результат во вторую степень вот по этому существует ключ который способен это число посредством другой функции вернуть первоначальное значение числу
#592953 Обсуждение алгоритмов шифрования
Отправлено по QuarQ в 05 Апрель 2012 - 11:57 В: Свободное общение
допустим у нас есть открытый ключ "50927, 11"(реальный это тот что лежит на рабочем столе)
и мы этим ключем хотим зашифровать число "1234" это будет выглядеть так
нам потребуется посчитать значение 1234 в степени 11 mod 50927
10103381606301936187653160695875584 Это всего лишь 11-я степень, а в настоящей криптографии : 1024 степень
после чего мы модим это число с помощью ключа и получаем зашифрованное число "49136"
то есть было 1234 на выходе 49136
в дополнение могу сказать только все расчеты реальные
все именно так и есть и если кто хочет проверит получит теже результаты
ключ для расшифровки выглядит вот так "50927, 27491" (я имею ввиду для нашего примера, а не в случае с беляшом )
#592871 Обсуждение алгоритмов шифрования
Отправлено по QuarQ в 04 Апрель 2012 - 18:55 В: Свободное общение
По анализу моих побитых файлов (новое расширение .belyash, длина + 4 байта, вредоносное программное обеспечение 109.ехе) одинаковые 16-байтные строки исходника становятся одинаковыми же, причем в разных файлах. Есть значительное количество небитых копий пострадавших файлов. Если среди них подобрать строки из сплошных, например, нулей и строки с одним-двумя ненулевыми байтами в разных позициях строки и сравнить с зашифрованными, то, вероятно, можно много выяснить об алгоритме кодирования?
однозначный ответ нет нельзя ! при этом анализе можно только найти код которым шифруют , а нужен код которым дешефруют это совсем разыне ключи и способы воздействия на фаил !
прочтите внимательно мой предыдущий пост (лучше несколько раз) молотком склеить орех неполучиться! но разбить можно именно этот молоток вы и найдете а вам нужен клей и сколько на молоток не смотри это не подскажет какой клей нужен .
есть только один маленький нюанс, я его уже описывал в предыдущих постах ключ для декодирования создаеться на основе НЕИСПОЛЬЗУЕМЫХ МНОЖЕТЕЛЯХ ключа кодера это позволяет отбросить около полу процента вариантов что на конечный результат рассшифровки ни как не повлияет
rsa 1024 устарел еще 2007 году кагда миру представили его приемника rsa 2048 который по качесву превосходит в 10 раз а по расшифровке уходит кудато в даль в геометрической прогрессии при чем приныепы щифрования несиметричным ключом остаются незыблемыми шифруется одим способом , расшифровываеться совершенно другим
конец обзаца
#592833 Обсуждение алгоритмов шифрования
Отправлено по QuarQ в 04 Апрель 2012 - 15:42 В: Свободное общение
В какой-то подобной теме на этом форуме аналитик писал, что иногда удавалось расшифровать, используя то, что технокрыс допустил какие-то ошибки в своём поделии.вот теперь человеческий вопрос: зачем хелпер просит то что уже имеет , а также знает конечный диагноз ,
компостирует мозг!?
О сути ошибок естественно не писалось.
мне клиент позвонит в течении недели о результатах , я предложу еще раз просканировать комп на наличие дубликатов а вось чтото нароюps хотя при RSA ... это нереально по причине того что сам фаил при кодировании превращается в функцию а ключ является множителем этой самой функции и любая ошибка приведет к полной потере информации , а также метод шифрования является односторонней функцией то есть если мы раскалываем орех то обратным действием мы его не соберем (но матиматики орут что таких функций нету , по скольку нету доказатества теоремы об такий самых функциях)
Прикрепленные файлы:
- ReadMe.txt.7z 4,13К 2 Скачано раз
#592813 Расширения *.belyash
Отправлено по QuarQ в 04 Апрель 2012 - 15:08 В: Помощь по лечению
...получаем зараженный и имеем такойже дубликат настоящего файла...
Есть ли у Вас возможность хотябы частично описать действия для поиска маркера имея файл оригинал и оригинал-зараженный?
Или это не подсильно простым пользователям?
На примере:
P1020070.JPG
P1020070.JPG.VAZONEZ-CODE
если мы говорим об одном и томже локере физическое название файла "109.exe" кладет свой файлик "маркер" на рабочий стол с названием "HOW TO DECRYPT FILES.txt" к стати траян шифрует не весь фаил а лих самое начало в те самые пресловутый 10024 знакау меня имеется такой зашифрованный тхт так в нем нечитаема только верхняя часть остальное членораздельно и по русски могу текстик выложит в доказательство (уберите биляшь и откройте блокнотом)
#592784 Расширения *.belyash
Отправлено по QuarQ в 04 Апрель 2012 - 13:43 В: Помощь по лечению
какая разница что его подставили? у меня все файлы имели доп. расширение .belyash в теле сообщения был номер и почта, связался, узнал информацию, подумал, попробовал восстановить файлы, не прокатило, перевел деньги через 15 минут получил программку запустил и все...профит. Правда бух так и не разобралась с 1с.
согласно заявления беляша если вы читали то все их кошельки заблокировал он написал куда надо...и после всего этого вы утверждаете что вам чтото пришло!?!?! или у вас другой локер тот о котором идет речь я ссылку дал и требуют с клиента 100 евро (в национальной валюте)"на 1000 гривень, надішліть номер операції на mrbelyash@yandex.ru"вот еще одна почитайте внимательнее перед тем чтобы чтото баянить http://www.mforum.ru/t4/forum/?sender=mrbelyash&start=900
#592746 Расширения *.belyash
Отправлено по QuarQ в 04 Апрель 2012 - 12:14 В: Помощь по лечению
мне пришлось заплатить негодяям, комп у бухгалтера встал, в принципе были бэкапные базы 1с и кое какие доки, но свою работу они оценили выше чем злоумышлинник. В итоге получил исполнительный файл и пароль, ввел его и понеслась душа в рай. Больше всего у меня опасения были что человек не обладает антидотом а просто вымогает деньги и тогда бы я не знал что делать.
Народ по поводу антидота это БАЯН ПОЛНЫЙ! сам мистер беляш на своем форуме написал: ЧТО ЭТО ЕГО ПОДСТАВИЛИ! и что "слава богу что ни один человек не выполнил их инструкцию" сам беляш ни какого отношения к злоумышленникам не имеет,а в инструкции написано что именно он и пришлет код активации...дабы не быть голословным :http://mrbelyash.blogspot.com/2012/03/mrbelyash.html
#592657 Расширения *.belyash
Отправлено по QuarQ в 04 Апрель 2012 - 01:13 В: Помощь по лечению
"тоесть у них все есть для расшифровки" - отвечать за базар будете? подсказка: сомножители - простые числа ;-)
конечно ответим! как иначе !!!
и так на присылку запароленых файлов и фаил маркер мне ответил "хелпер" (человек не робот): "что мол этих файлов недостаточно, надо бы еще тело вируса и если есть фаил дубликат не зашифрованы, для расшифровки!
на что я ответил что таких у меня нету! (клиент затер вирусы сам а потом обратился за помощью)
на что через 20 сек пришло следущее письмо :
"Ну тогда это RSA-1024 и расшифровка практически невозможна!"
ВОТ ПОСЛЕ ЭТОГО Я НАПИСАЛ ТОТ ПРОВОКАЦИОННЫЙ ПОСТ признаюсь !
а теперь немного арифметики
проблема в том что код устроен следующим образом А х В = С А= фаил В = код С результат кодирования
так вот имея дубликат = D(который просили в поддержке) С : D = В (код для кодирования) который для расшифровки также полезен как закрытий ключ внутри сейфа
а если быть точным для раскодировки используется совсем другой ключ подробнее можно разъяснить так:
для кодирования и раз кодирования используются разные методы
---------------------------------------------------------------------------------------
В общем-то, всё довольно просто. Основная возня — с созданием пары ключей.
- случайно выбираем два больших простых числа p и q
- определяем n=p×q и m=(p−1)×(q−1)
- ищем число e, такое, чтобы выполнялись условия:
- 1 < e < m
- e должно быть взаимно простым с m
- ищем такое число d, чтобы (e×d−1) делилось на m
- пара чисел (n, e) — это открытый (public) ключ
- пара чисел (n, d) — это закрытый (private) ключ
В этом соотношении вся суть: преобразование в одну сторону — через один ключ, в обратную — через другой ключ. Ключи взаимосвязаны, но для получения одного ключа из другого требуется слишком много вычислений (того же порядка, что и разложнение n на сомножители).
на практике это в приближении выглядит так:
один ключ не имеет сомножителей в другом ключе
пример : ключ 1 число 9 (3 умноженное на 3)
ключ 2 число 10(5 х 2) все те же "простые числа"
вот теперь человеческий вопрос: зачем хелпер просит то что уже имеет , а также знает конечный диагноз ,
компостирует мозг!?
ps у кого сумма ущерба достаточна для заведения уголовного дела, пишите заявление это единственный нормальный путь больше ждать помощи не от кого...
всем удачи !
#592578 Расширения *.belyash
Отправлено по QuarQ в 03 Апрель 2012 - 14:26 В: Помощь по лечению
второе:
скорее всего ни какой помощи от антивирусных компаниний не ждите ,не смотря что оброзец вируса (трояна) у них есть оброзцы зашифрованых файлов тоже а также фаил маркер по которому они шифруют тоже есть , тоесть у них все есть для расшифровки а они или тупят или не хотят этим заниматься
хотите сказать как это сделать?
берем виртуальную машину с виндой заражаем трояном и получаем зараженный и имеем такойже дубликат настоящего файла
сравниваем оба находим ключ каторый накладываеться для щифровния (для того чтобы узнать алгоритм необходим фаил маркер на рабочем столе на базе его и делаеться генератор кода)
выши описанная прордцедура делаеться несколько раз для получения алгоритма шифрования на базе маркера
ps но кому это надо возиться? пусть ИНТУЗАЗИСТЫ этим занимаются! токова политика антивирусных компаний в целом...
а пока только пишут отписки мол нужен сам зверь да еще бы два файла целый и зараженный (ага может сразу и код разблокировки дать?)
ps 2 Чую удалят этот пост админы... или как минимум будут соблюдать честь мундира и разнесут по кочкам , квалифицированной лопшой..
#340856 Drweb и удаленный реестр
Отправлено по QuarQ в 15 Октябрь 2009 - 16:00 В: Общие вопросы
это в другую тему пожалуста , тут экстросенсов нетлечение по фотографии?
#340855 Drweb и удаленный реестр
Отправлено по QuarQ в 15 Октябрь 2009 - 15:58 В: Общие вопросы
#340847 Drweb и удаленный реестр
Отправлено по QuarQ в 15 Октябрь 2009 - 15:39 В: Общие вопросы
#340839 Drweb и удаленный реестр
Отправлено по QuarQ в 15 Октябрь 2009 - 15:21 В: Общие вопросы
решение только два ц формат или вторая система...
лечение из под второй системы получается не полноценным, удаление вирусов не решает основные ппроблемы : реестр испорчен всевозможными ограничениями админа ,нарушением ассациации файлов , убитым хостом и тд...
половина этих проблем решается при лечении от вирусов самим антивирусником но на живой системе ,а не с удаленым реестром.
в некоторых сборках например руссолаф есть реализация работы с чужим реестром
через подключение посредством ЕРД командера или ран сканера
например можно раздлокировать ф8 и лечить уже из под сейф мода или попытаться пролечить реестр и систему с помощью AVZ, а после перезагрузки в зараженую систему натравить DrWeb
мой вопрос звучит так: есть ли возможность "научить" DrWeb работать с чужим реестром ? (через ран санер не получается) чтобы не взиться со все этими неудобствами? ибо зачем антивирусник если все приходится делать ручками?
- Dr.Web forum
- → Содержание QuarQ
- Privacy Policy
- Terms & Rules ·