Комментарии 103
и для них ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти
Ох уж эти стереотипы.
Минимум 25.
или у вас более другие данные? ;)
Кстати, Прибалтика-то тут причем? В свое время отпустили, как миленьких. Сейчас в ЕС и НАТО входит.
Я знаю, сколько они зарабатывают, и для них ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти.
Угу, russians are the scariest white people©. Клюква — она такая, бессмысленная и беспощадная.
ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому
Скорее британский аналог условных российских таджиков. В России бы сказали «заплатить 10-20 тысяч какому-нибудь таджику».
Тут имено рашн мафиа стереотип. Петров и Васечкин и так далее.
А так-то и у русского может быть европейский паспорт.
Петров и Боширов!
Петров и Васечкин
Угу, russians are the scariest white people
Стереотипы про русских не всегда вредны, а иногда и полезны. На волне нытья в СМИ про русских хакеров у нас в компании нет вопросов, кому из сотрудников оплатить поездку на DEF CON 8=) Разумеется, смысл далеко не только в этом, но лучше, когда коллеги подтрунивают, вместо того, чтобы обижаться, что едут не они.
Я почему-то думал, что вымогатели используют шифрование с открытым ключомЭто если автор вымогателя умный. Чаще бывает вот так:
Исследователи установили, что вымогатель CryptoHost использует для генерации хеша SHA1 ID процессора, серийный номер материнской платы и серийный номер диска C:\. Данный хеш затем применяется для присвоения имен RAR-файлам, а также для создания пароля к архивам, наряду с именем пользователя, которое закреплено за жертвой в Windows.
Ключи к данным, зашифрованным Petya, удалось подобрать вот так. Фабиан, в свою очередь, написал утилиту, которая этот процесс автоматизирует и делает более простым для неискушённых пользователей.
другой вопрос, как «скрывающийся» кадр, палит привселюдно хобби, которое как бы нехило так ограничивает круг поиска?..
Только, сдается мне, немного осталось шифровальщикописателей, которые так делают.
Есть подозрение, что такой подход не особо практикуется, т.к. занятие не укладывается в рамки законодательства и компетентные органы могут сначала ухватиться за канал ведущий к этому центру, а потом и за тестикулы кого-нибудь из причастных. Потому вымогатель должен быть автономным, а какой-нибудь биткоин прекрасно обеспечивает анонимность получаемого выкупа.
Упд: ясен пень я не первый подумал на эту тему)
Скорее всего, статья — рекламный фейк.
Например, тот же «Петя» трёхлетней давности поддаётся расшифровке.
Это тоже своеобразный стереотип, что хорошо обеспеченный человек обязательно должен "соответствующе" отдыхать, т.е. на "широкую ногу". Обычно же реальность совершенно противоположна. Например, человек умеющий зарабатывать может совершенно не уметь тратить. С айтишниками же вообще все сложно, ведь специфика их увлечения и источника способностей делает из них интровертов, для которых разгульный отдых противоречит характеру.
Может вымогатели особо не заморачиваются и творят лажу, которую можно вывернуть мехом внутрь, чем упомянутый персонаж и занимается.
1. Просто ассиметричное шифрование не спасает — нужна длинна ключа и правильный алгоритм
2. Ошибки в коде
3. «Место хранения» закрытого ключа можно вскрыть
4. Атака на самих вымагателей
5. Сигнатуры дял антивирусников
В то же время сертификаты DarkMatter подверглись пристальному рассмотрению. И быстро обнаружилась странность: для последовательных номеров сертификатов использовались случайные числа из 63-битного пространства вместо 64-битного, как положено по спецификации. Это нарушает требования CA/B Forum по минимальной энтропии (64 бита). Таким образом, у Mozilla появились формальные основания отказать «шпионам» во включении в доверенное хранилище сертификатов.habr.com/ru/company/globalsign/blog/449098
Однако выяснилось, что подобное нарушение допустила не только DarkMatter, но с десяток удостоверяющих центров, в том числе GoDaddy, Apple и Google. Причина в том, что все пострадавшие УЦ использовали популярное open source PKI-решение EJBCA с неправильными настройками.
Первые три пункта решаются 5-минутной медитацией над параметрами командной строкиага
да
Перевод слишком правильный. :)
fabian lay of the cheeseburgers you are fat
«Фабиан, завязывай с чизбургерами, ты жирный!»
Это должно звучать как-то вроде "фабиан кладка чизбургеры ты жирный", ибо "lay off"
fabian stop eat hamburgers, serious man
«Фабиан, кончай жрать гамбургеры, чувак, серьёзно»
А это — "фабиан прекращать кушать чизбургеры, серьёзный человек", т.к. "eating" и "seriously"
По поводу рассшифровки и прочего.
1 — шифровать надо по сгенерированному ключу на месте. Обычный Rand с сидом текущего времени и хэшем не пойдет (да и то, найдя точное время активации вируса — мы найдем сид) Т.к. по той или иной причине, антивирус может блокануть вирус, не дав ему отправить ключ расшифровки. А если их вирус будет безвозвратно уничтожать данные — им не будут слать деньги.
2 — вирус не всегда может отослать ключь злоумышленнику. Либо он ждёт подключение к сети. Либо создает хэш, на основании каких то констант пк. А по этому хэшу и какойто соли, которая известна только злоумышоеннику — генерирует ключь.
3 — задача злоумышоенника не уничтожить данные жертвы. Злоумышленник должен получить выгоду. По этому нету смысла создавать вирус, ключь к которому легко по ерять.
В идеальном сценарии:
- Вирус генерирует ключь, возможно юзая аппаратный шум.
- Шифрует
- отправляет ключ на сервер
- удаляет себя
Видите сколько точек отказал?
Плохой аппаратный генератор.
Отсутствие связи с сервером.
Удаляет себя раньше положенного.
Если мы сделаем принудитеное удаление, если нету связи — потеряем жертву.
Если мы не будем отправлять ключь пока нету связи и находится в режиме ожидания — в этот промежуток времени может случиться что угодно. Блокировка антивируса, перезагрузка пк, убийство процесса и т.д.
Если бы можно было просто шифрануть данные и уничтожить приватный ключь на пк и гарантированно доставить его на сервер — проблем бы не было.
Смысл сложности? Когда-то писали: многие шифровальщики и не собирались расшифровывать данные (а где-то и адреса кошельков были заменены), т.е. во втором случае клиент потерян, а про первый узнают единицы. В любом случае платит определённый процент, потом нужен новый шифровальщик, кто не собирается годы болтаться на этом рынке, поддерживая репутацию благородных разбойников (как себя, так и всего рынка), тот может экономить и повышать безопасность, не оставляя следов в виде писем с ключами/утилитами.
У кого не отправилось, тот узнает только после оплаты, а если не будет платить, то и не узнает.
судя по последнему случаю, в одной конторе, вообще сначала был установлен кейлогер,
который снял админский пароль, а потом уже шифранули все, в том числе и скл сервер,
на котором они предварительно остановили службу, такое не видел ещё.
хотя потом выяснилось, что предыдущему админу не заплатили, возможно это он и сделал.
А если нет ответа от сервера? Например на шлюзе адреса блокируются? Тогда нужен гибридный подход.
Оффлайн и онлайн. В два раза больше работы в итоге.
А если шифрование прервалось на середине? Пользователь убил процесс или перезагрузился? В этом случае, ключь надо сразу уничтожить. Но тогда, как продолжить шифрование? А что с деньгами? — т.к. программа перезапустилась и вторая половина данных зашифрованно под другим ключем, как тогда поступать? Просить деньги за каждый ключ?
Нюансов на самом деле много)
Вопрос, сколько готовы потратить времени на разработу
Злоумышленникам проще было бы создать что-то на основе исходников GnuPG, захардкодив свой открытый ключ — но они предпочитают уподобляться мухе, бьющейся об стекло рядом с открытой форточкой.
Кстати, вроде все уже поняли, что мошенников ловят на расшифровке, поэтому никто ничего уже не расшифровывает. Просто шифруют и ждут денег.
Сильно не хватает линии противостояния феминисткам. Может они в Emsisoft-е директорами да маркетологами работают и беспощадно его эксплуатируют? ;0)
другое дело, что некоторые из принципа не платят и заставляют сотрудников все восстанавливать и обычно без доплат, за то что те, чуть не ночами потом сидят
и все равно полностью восстановить не получается.
и ловить их я так понял никто особо не ловит, кому это надо, когда есть столько других более важных дел.
Поставьте пожалуйста плюсов кому не жалко, а то комментировать не удобно, раз в 5 минут только
Ну мне карма не так важна, а вот удобство комментирования желательно,
я так заметил, что плюсы на это влияют.
ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти
Странно я думал у русских полоний и новичок.
1. Неужели холодильник на Винде?
2. А зачем холодильнику вообще инет-сеть?
Ненавидим и затравлен: опасная жизнь взломщика вирусов, наживающего себе могущественных врагов