• Paranoid - курс по анонимности и безопасности в сети от команды codeby. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Конкурс Как обхитрить трояна-шифровальщика

Sniff

Well-known member
15.12.2016
171
262
#1
Статья для конкурса 01.09 - 30.09
После того, как у моей знакомой, месяц назад, троян-шифровальщик, закодировал очень важные документы и дорогие её памяти фотографии, решено поискать способ, как обмануть семейство данных троянов. И у меня получилось! Знакомая всё таки выплатила хакеру 12 тыщ рублей и он прислал ей код расшифровки. Честный малый оказался, мог бы получить деньги и кинуть её. Вот так, тётка, которая не перенесла свои ценные файлы на другой носитель, поплатилась за свою самонадеянность и халатность.

Так, ну, приступаем к эксперименту. Поехали...




Для эксперимента нужно: сам троян - шифровальщик, парочка картинок с расширениями jpg и jpeg



Так как, данная часть эксперимента проводилась сначала над картинками, у шифровальщика были оставлены только два расширения файлов. Создаётся билд, то бишь сам зловред, который и зашифрует указанные файлы на всех разделах диска.



Билд запущен и натравлен на картинки. Те картинки, у которых обычное расширение jpg и jpeg зашифровались. Картинки с переставленными буквами в расширении - pjg.gjp итд, зловред не тронул. При этом, нетронутые шифровальщиком картинки открываются, и просматриваются без помех. Если злодею надо будет, чтоб владелец картинок не смог обхитрить, билдеру трояна, надо добавить разные варианты перестановок в расширениях файлов, например pjg или pjg



После ввода пароля, было выставлено 1, файлы расшифровались. Троян спрятал свою копию поглубже в систему и на прощание, насрал в каждой папке на всех дисках, файлом с названием КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt



Со всего компа, их собралось аж 2584 штуки.))) На скрине, они все нашлись через поиск файлов в Тотал Коммандере и вывелись на панель, после чего были уничтожены. Попрятавшиеся копии трояна, отлавливает Курейт. Аналогично, троян не тронул и другие файлы с измененным расширением при помощи перестановки букв.
Наше ЖКО, до сих пор придерживается моей системы, и пока не попались ни на Петю и прочих шифровальщиков. У ПЕТИ, та же система по захвату знакомых расширений файлов. И тетки так же переставляют буквы в расширениях. Не совсем удобная, на первый взгляд, система, оказалась устойчивой против шифровальщиков.
Данная система подходит для частников и малых предприятий. Для частных лиц, это очень подойдет!!!
И напомню, сисадминам, не забывать делать бэкапы.


Как то так.
[doublepost=1506471080,1506470759][/doublepost]Винда запускает файло, с перестановленными буквами, но только вопрос задает, но запускает.
[doublepost=1506471416][/doublepost]Если маскировать расширение не только перестановкой букв, то, не запустится. Надо будет знать, что именно под таким расширение спрятали итд, вернуть его в исходное состояние.
 

PenGenKiddy

Премиум
28.07.2017
27
38
#2
Все это конечно весело, но обычно нормальные трояны не шифруют файлы по исключениям (exe, dll, sys, e.t.c)
Так-что первое, что нужно сделать, если у вас шифранули данные снять дамп памяти, где может храниться Private Key
Для просмотра контента необходимо: Войти или зарегистрироваться

Потом ждать расшифровщик или написать его саму путем реверса приложений
Также есть опыт взлома гейта для ключей на таких шифровальщиках, так что идей может быть много, но выход почти всегда один
Дамп+Паблик\Дамп+Реверс\Оплата+МВД
 

Dmitry88

Премиум
29.12.2016
117
137
#3
Задумка неплохая, но все же бэкап + недопускание зловреда в систему приоритетней костылей на расшифровку. НеПетя вообще мбр ломал (что можно было починить), а остальное шифровал в одностороннем порядке (что починить было нельзя).
 

remez

Well-known member
03.11.2016
99
62
#4
Писали по моему, что вирус Петя хранил пароль в памяти до перезагрузки. Значит мимкатзом можно было выдернуть и восстановить, только если комп не перегружался.
А вазонез много разных прог написал, школота его боготворила. Только по моему в этой тулзе можно добавить кучу расширений для шифрования. Да и не актуальна она сейчас.
А от шифровальщика только бекап.
 

w3n0m41k

Well-known member
30.10.2016
53
34
#5
Писали по моему, что вирус Петя хранил пароль в памяти до перезагрузки. Значит мимкатзом можно было выдернуть и восстановить, только если комп не перегружался.
А вазонез много разных прог написал, школота его боготворила. Только по моему в этой тулзе можно добавить кучу расширений для шифрования. Да и не актуальна она сейчас.
А от шифровальщика только бекап.
расширений можно добавить сколько угодно конечно несколько раз спасало то что на архивах с копиями просто убирал расширение и шифровальщик мимо а так да бэкапы и теневые копии рулят
 

w3n0m41k

Well-known member
30.10.2016
53
34
#7
проще установить deep freeze
для защиты от шифровальщика достаточно включить теневое копирование это больше чем достаточно и не нужно никакого стороннего ПО все делается средствами операционной системы это то что касается Microsoft Windows а для Linux систем deep freeze отличное решение!!!!!!!!!
 
Симпатии: Понравилось Ondrik8

Breed

Well-known member
18.06.2017
215
244
#8
После прочтения первых строк меня не покидало смутное ощущение, что я где-то это уже читал когда-то...
А упоминание об отсутствующем скриншоте только подтолкнули к действию.
Но Гугл поставил в тупик. Если и был, то отсюда же (с сайта).
аж 2584 штуки.))) На скрине, они все нашлись через поиск
А где скрин? :)
Я бы тут же предположил копипаст, но Гугл выдает странные результаты (см. вложение). Каждый может сам попробовать.
В кэше эта ссылка отсутствует (???), а по реалу на текущий момент перебрасывает на https://codeby.net/bezopasnost/instrukcija-po-ispolzovaniju-veracrypt/ - тему WebWare Team "Инструкция по использованию VeraCrypt".
Что это - глюк индексации или прикол? Вполне возможный вариант: темка была (допустим) создана и проиндексирована в 2015г, а потом заменена на "Инструкция по использованию VeraCrypt". Если текст поставить под тег <noindex>, то поисковиками переиндексируется только заголовок, что и получаем на текущий момент.

P.S.
Sniff, это не камень в твой огород. Это последствия внимательного прочтения.

P.P.S.
Винда запускает файло, с перестановленными буквами, но только вопрос задает, но запускает.
Переассоциируй файлы и запроса не будет.
[doublepost=1506714702,1506714562][/doublepost]В расширенный режим редактирования войти не удается - выбрасывает, добавляю скрин следом:
2222222222.JPG
 
Вверх Снизу