При шифровке используется функция CreateFileMappingW — отображение файла в память. И после сохраняется, вероятнее всего, на то же место.
Т.е. не создается новый, а потом затирается старый. В этом случае можно было бы найти попытаться.
Не вводите людей в заблуждение. Случайно генерится ключ, с помощью которого шифруется информация. А уже этот ключ экспортируется в шифрованном виде. И теоретически, если создатели вируса отдадут приватный ключ, файлы можно расшифровать.
Ну я бы так не был категоричен. В Киеве админы не плохо получают для Украины, как и в Москве для России. А дешевых админов и в России достаточно.
Я согласен, что целенаправленно было спланировано.
В сетки вирус проникал через почту, а организовать целенаправленную рассылку не так сложно.
Другое дело, что внутри сети были в черти каком состоянии. И майский вирус ни чему не научил.
1. Согласен. Но если генерировать адреса, то приватные ключи надо отправлять куда то — можно спалиться. Но если бы стояла цель за выкуп давать возможность расшифровывать, то самый оптимальный вариант по запросу откуда то получать номер кошелька. Ключи хранить в памяти до оплаты. Онлайном проверять баланс кошелька (тот же blockchain.info дает такую возможность), если сумма упала на кошелек — расшифровывать. Ни каких проблем.
2. Именно…
3. Потому что для каждого диска, процесс запускал дополнительный поток. Который в свою очередь генерил свой ключ. Почему нельзя было сначала сгенерить ключ, а потом создавать потоки, точно не скажу, но наверное потому, что работать с одним ключом одновременно нескольким потокам нельзя.
4. Нет, шифрование происходло в системе, вызываются библиотечные функции.
5. Думаю, шифрование происходило до перезагрузки, а все остальное для понтов.
6. Их могли использовать в темную.
7. Вообще не пойму откуда название.
Наткнулся на статью, так как сам столкнулся с ipv6 в php.
$mask = str_repeat('f', ceil($cidr / 4));
$mask .= dechex(4 * ($cidr % 4));
Похоже неправильно считается маска.
Округление в большую сторону. Почему? (Это же сразу лишний f)
dechex(4 * ($cidr % 4)); будет от остатка 4 8 12 (4 8 c). А должно быть 8 c e.
Т.е. не создается новый, а потом затирается старый. В этом случае можно было бы найти попытаться.
Я согласен, что целенаправленно было спланировано.
В сетки вирус проникал через почту, а организовать целенаправленную рассылку не так сложно.
Другое дело, что внутри сети были в черти каком состоянии. И майский вирус ни чему не научил.
2. Именно…
3. Потому что для каждого диска, процесс запускал дополнительный поток. Который в свою очередь генерил свой ключ. Почему нельзя было сначала сгенерить ключ, а потом создавать потоки, точно не скажу, но наверное потому, что работать с одним ключом одновременно нескольким потокам нельзя.
4. Нет, шифрование происходло в системе, вызываются библиотечные функции.
5. Думаю, шифрование происходило до перезагрузки, а все остальное для понтов.
6. Их могли использовать в темную.
7. Вообще не пойму откуда название.