Перейти к содержанию
  • запись
    1
  • комментария
    2
  • просмотров
    9 500

Клин клином вышибают

Noo

Запись опубликовал Noo

5 990 просмотров

 Share

Есть различные способы получения ключа, который использует вирус-шифровальщик. В самом начале зарождения этих вирусов, в те времена, когда винлокеров было больше, чем шифровальщиков, использовались самые простые шифры, например, XOR. В этом случае для разработки дешифровщика было достаточно иметь при себе оригинал файла и его зашифрованную версию. Или же, если решение не было на поверхности, можно было отправить шифровальщик в антивирусную лабораторию, где аналитик разреверсит исполняемый файл и установит алгоритм шифрования, согласно которому будет разработан дешифровщик. Однако со временем популярность шифровальщиков повысилась, и стали использоваться более криптостойкие алгоритмы, например, RSA. В этом случае не всё так просто, однако надежда на дешифровку всё же есть. Самые популярные варианты получения ключа - это обнаружить какую-либо уязвимость в схеме шифрования или же просто подождать, пока полиция поймает преступников.

 

Однако иногда встречаются и более быстрые способы заполучить заветный ключ, не прибегая к помощи антивирусных лабораторий и полиции. Так, совсем на днях немец Тобиас Фрёмель, IT-специалист, не причастный к какой-либо антивирусной компании, решил разобраться с хакерами "по-чёрному", взломав их. Ему удалось остановить шифровальщик Muhstik. В ходе анализа действий вируса он установил, что хакеры использовали несколько взломанных PHP серверов. Для получения доступа к ним они заливали на сервера шелл - скрипт, который позволяет удалённо управлять файлами сервера. Ошибка вирусописателей заключалась в том, что они оставляли шелл доступным для всех пользователей, после того как перенастраивали сервера под собственные нужды. Зайдя на сервер и обнаружив шелл, Фрёмель использовал его, чтобы получить доступ к SQL базе данных, в которой лежали ключи. Он выложил их для всех желающих, а также разработал дешифровщик. К сожалению, уязвимость он открыл слишком поздно. Ему всё-таки пришлось заплатить вымогателям около 700 евро, чтобы получить доступ к файлам назад. Несмотря на то, что по закону он совершил преступление, Тобиас считает, что поступил этично, ведь он пытался остановить хакеров.
Из этой всей ситуации надо извлечь урок, что никогда не надо торопиться платить выкуп. Вместо этого стоит отправить вредонос в лабораторию и подождать. Быть может, вирусописатели допустили ошибку, благодаря которой можно получить доступ к ключам.

 Share

2 Комментария

Рекомендуемые комментарии

Noo

Да, вот пример с уязвимостями: https://www.kaspersk...unecrypt/23758/

И здесь, стоит заметить, антивирусная компания поступила более правильно, чем рядовой пользователь. Не нужно разбирать уязвимости до мельчайших подробностей. Можно ограничиться лишь ключами.  Вирусописатели мониторят сайты, где борются против них. Когда они находят описание уязвимости, они влёгкую модифицируют код, устранив уязвимость, перекомпилируют вирус и снова его распространят. С Muhstik "дыра" лежит на поверхности. Вирусописатели бы всё равно заметили проникновение на сервер. Однако в случае Yatron/Hidden Tear всё гораздо сложнее, так как приходится заниматься эксплуатацией бинарных уязвимостей. Если не давать подробное описание уязвимости, то неопытный хакер может никогда её не найти и не исправить. Это значит, что он не выпустит новую версию вируса и не продолжит волну заражения.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...