Конкурс Как обхитрить трояна-шифровальщика

Статья для конкурса 01.09 - 30.09
​

После того, как у моей знакомой, месяц назад, троян-шифровальщик, закодировал очень важные документы и дорогие её памяти фотографии, решено поискать способ, как обмануть семейство данных троянов. И у меня получилось! Знакомая всё таки выплатила хакеру 12 тыщ рублей и он прислал ей код расшифровки. Честный малый оказался, мог бы получить деньги и кинуть её. Вот так, тётка, которая не перенесла свои ценные файлы на другой носитель, поплатилась за свою самонадеянность и халатность.

Так, ну, приступаем к эксперименту. Поехали...

Для эксперимента нужно: сам троян - шифровальщик, парочка картинок с расширениями jpg и jpeg

Так как, данная часть эксперимента проводилась сначала над картинками, у шифровальщика были оставлены только два расширения файлов. Создаётся билд, то бишь сам зловред, который и зашифрует указанные файлы на всех разделах диска.

Билд запущен и натравлен на картинки. Те картинки, у которых обычное расширение jpg и jpeg зашифровались. Картинки с переставленными буквами в расширении - pjg.gjp итд, зловред не тронул. При этом, нетронутые шифровальщиком картинки открываются, и просматриваются без помех. Если злодею надо будет, чтоб владелец картинок не смог обхитрить, билдеру трояна, надо добавить разные варианты перестановок в расширениях файлов, например pjg или pjg

После ввода пароля, было выставлено 1, файлы расшифровались. Троян спрятал свою копию поглубже в систему и на прощание, насрал в каждой папке на всех дисках, файлом с названием КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Со всего компа, их собралось аж 2584 штуки.))) На скрине, они все нашлись через поиск файлов в Тотал Коммандере и вывелись на панель, после чего были уничтожены. Попрятавшиеся копии трояна, отлавливает Курейт. Аналогично, троян не тронул и другие файлы с измененным расширением при помощи перестановки букв.
Наше ЖКО, до сих пор придерживается моей системы, и пока не попались ни на Петю и прочих шифровальщиков. У ПЕТИ, та же система по захвату знакомых расширений файлов. И тетки так же переставляют буквы в расширениях. Не совсем удобная, на первый взгляд, система, оказалась устойчивой против шифровальщиков.
Данная система подходит для частников и малых предприятий. Для частных лиц, это очень подойдет!!!
И напомню, сисадминам, не забывать делать бэкапы.


Как то так.
[doublepost=1506471080,1506470759][/doublepost]Винда запускает файло, с перестановленными буквами, но только вопрос задает, но запускает.
[doublepost=1506471416][/doublepost]Если маскировать расширение не только перестановкой букв, то, не запустится. Надо будет знать, что именно под таким расширение спрятали итд, вернуть его в исходное состояние.

 

[PenGenKiddy]

Все это конечно весело, но обычно нормальные трояны не шифруют файлы по исключениям (exe, dll, sys, e.t.c)
Так-что первое, что нужно сделать, если у вас шифранули данные снять дамп памяти, где может храниться Private Key

Ссылка скрыта от гостей

Потом ждать расшифровщик или написать его саму путем реверса приложений
Также есть опыт взлома гейта для ключей на таких шифровальщиках, так что идей может быть много, но выход почти всегда один
Дамп+Паблик\Дамп+Реверс\Оплата+МВД

 

[Dmitry88]

Задумка неплохая, но все же бэкап + недопускание зловреда в систему приоритетней костылей на расшифровку. НеПетя вообще мбр ломал (что можно было починить), а остальное шифровал в одностороннем порядке (что починить было нельзя).

 

[remez]

Писали по моему, что вирус Петя хранил пароль в памяти до перезагрузки. Значит мимкатзом можно было выдернуть и восстановить, только если комп не перегружался.
А вазонез много разных прог написал, школота его боготворила. Только по моему в этой тулзе можно добавить кучу расширений для шифрования. Да и не актуальна она сейчас.
А от шифровальщика только бекап.

 

[w3n0m41k]

Писали по моему, что вирус Петя хранил пароль в памяти до перезагрузки. Значит мимкатзом можно было выдернуть и восстановить, только если комп не перегружался.
А вазонез много разных прог написал, школота его боготворила. Только по моему в этой тулзе можно добавить кучу расширений для шифрования. Да и не актуальна она сейчас.
А от шифровальщика только бекап.

расширений можно добавить сколько угодно конечно несколько раз спасало то что на архивах с копиями просто убирал расширение и шифровальщик мимо а так да бэкапы и теневые копии рулят

 

[sk3l]

проще установить deep freeze

 

[w3n0m41k]

проще установить deep freeze

для защиты от шифровальщика достаточно включить теневое копирование это больше чем достаточно и не нужно никакого стороннего ПО все делается средствами операционной системы это то что касается Microsoft Windows а для Linux систем deep freeze отличное решение!!!!!!!!!

 

[Breed]

После прочтения первых строк меня не покидало смутное ощущение, что я где-то это уже читал когда-то...
А упоминание об отсутствующем скриншоте только подтолкнули к действию.
Но Гугл поставил в тупик. Если и был, то отсюда же (с сайта).

аж 2584 штуки.))) На скрине, они все нашлись через поиск

А где скрин?
Я бы тут же предположил копипаст, но Гугл выдает странные результаты (см. вложение). Каждый может сам попробовать.
В кэше эта ссылка отсутствует (???), а по реалу на текущий момент перебрасывает на https://codeby.net/blogs/instrukcija-po-ispolzovaniju-veracrypt/ - тему link removed "Инструкция по использованию VeraCrypt".
Что это - глюк индексации или прикол? Вполне возможный вариант: темка была (допустим) создана и проиндексирована в 2015г, а потом заменена на "Инструкция по использованию VeraCrypt". Если текст поставить под тег <noindex>, то поисковиками переиндексируется только заголовок, что и получаем на текущий момент.

P.S.
Sniff, это не камень в твой огород. Это последствия внимательного прочтения.

P.P.S.

Винда запускает файло, с перестановленными буквами, но только вопрос задает, но запускает.

Переассоциируй файлы и запроса не будет.
[doublepost=1506714702,1506714562][/doublepost]В расширенный режим редактирования войти не удается - выбрасывает, добавляю скрин следом:

 

[SooLFaa]

Хорошая статья. Спасибо.