Как стать автором
Обновить

Шифровальщик Loki Locker: реальная опасность для малого и среднего бизнеса по всему миру

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров9.8K
Всего голосов 12: ↑11 и ↓1+13
Комментарии15

Комментарии 15

Получается, вирус оставляет ключи расшифровния в системе, если декриптор помогает? Но зачем?

Если вирус предполагает реальную расшифровку файлов после выполнения каких-то условий пользователем, то в системе всегда будут ключи для расшифровки. Иначе как вы расшифруете файлы после получения кода?

Было бы логично что после шифрования файлов ключи бы уходили на сервер, а после выполнения каких-то условий пользователем уже отправлялись обратно.

Логично было бы получать ключи с сервера, чтобы избежать неудачной отправки, но в целом примерно то же

Схема стара как мир: шифруем ключи нашим публичным RSA-ключем и оставляем их в таком виде где хотим

Ассиметричнное шифрование.
У вируса есть ключ для шифрования.
У злоумышленника есть ключ для дешифровки

Я проглядел или в списке популярных антивирусов нет Windows Defender. Многие на него полагаются

Есть информация как это ПО повышает свои права?

Вот интересно — вирус удаляет точки восстановления, сможет ли он удалить виндовые бэкапы, сохраненные на скрытый HDD?

Хочется пожелать, чтобы в подобных новостях, всегда в начале присутствовал и был выделен раздел: "как вирус попадает на компьютер", т.к. сдаётся мне, что как в данном случае уже после пары слов "брутфорс+фишинговые письма", некоторые просто не читая далее, закроют статью.

Если будет перепост на Одноклассники, то возможно. Здесь, кмк, лишнее.

Отключает защитник Windows.

Как он это делает? Это очень актуально, потому что просто так защитника и обновление Windows в 10-ке не отключишь. А защитник грузит систему не по-детски!

Не знаю, как делает он, но легко и в любой версии захватить через takeown и отобрать у СИСТЕМЫ права на C:\ProgramData\Microsoft\Windows Defender, а второе гарантинованно и навсегда sc delete wuauserv (не запоминайте, дядя плохому учит).

В pro и выше можно через политики. только нужно в самом защитнике отключить защиту от подделки.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий