Обновленный ShadeDecryptor

[E.K. 10 214]

https://www.nomoreransom.org/ru/index.html

- там как?

 

Сообщение от модератора kmscom

сообщение перенесено из темы https://forum.kasperskyclub.ru/topic/65248-обновленный-shadedecryptor/

 

[thyrex 1 468]

Утилита там тоже обновленная, так что поведение её будет таким же.

[andrew75 1 415]

Если утилиту с такой функциональностью не выпустит ЛК, то при наличии базы ключей в открытом доступе, это сделает либо другой антивирусный вендор, либо сторонний разработчик. 

Это просто вопрос времени.

Почему бы ЛК не быть первой?

[E.K. 10 214]

https://www.nomoreransom.org/ru/index.html - это вроде бы как наш совместный с другими проект. Плюс к тому: для наших клиентов крипторы-вымогатели не являются заметной проблемой (насколько мне известно). А для пользователей других продуктов, которые страдают, у меня есть очевидное замечание: если ваш продукт не спасает вас от кибер-зловредства, то настало время сменить продукт на более качственный.

[moki 1]

2 часа назад, E.K. сказал:

А для пользователей других продуктов, которые страдают, у меня есть очевидное замечание: если ваш продукт не спасает вас от кибер-зловредства, то настало время сменить продукт на более качственный.

Вы давно качество своих продуктов прощупывали (лично), чтоб намёки таки давать?

[E.K. 10 214]

Постоянно пользуюсь своими продуктами уже... 30 лет.

[Umnik 1 278]

А я понимаю позицию ЛК с чисто технической точки зрения. Эмоционально, конечно, я бы хотел иметь утилиту с перебором. Пусть бы она молотила несколько дней, в конце-концов, это же компьютер, его прямая задача — работать. А я бы через несколько дней с некой вероятностью получил бы результат.

 

А вот в чём техническая проблема. Дело в том, что шифрование и дешифровка файлов — это реально длительные операции. Некоторые алгоритмы вообще чисто программно реализованы и работают ну прям капец долго. Захотели мы дешифровать файлик на 5 мегабайт, а один ключ занят ну пусть минуту. Ключей — 750к. Итого часов 12 напряжённой работы процессора только чтобы перебрать ключи. И в итоге выяснится, что это совсем другой шифровальщик был и все ключи перебирались просто так.

 

Далее. Я не знаю, как работает утилита и вообще за всю жизнь не видел работу ни одного шифровальщика и не пытался ничего дешифровать (в плане ransomware, конечно). Как утилита "понимает", что контент дешифрован? Она принимает на вход оригинальный файл и шифрованный? Тогда да, сравнивать можно автоматически. А если у пользователя не осталось оригинального файла? Это значит, что будет создано 750к файлов и сиди выбирай, какой из них твой? А потом уже понимать, какой ключ выплюнул этот файл и использовать его для остальных? А если это не фоточки (которые сегодня почти у всех бекапятся телефоном), а что-то весомое, типа БД или видео? Ждать три дня на перебор всех вариантов? А где складировать все попытки дешифровки?

 

Сколько людей прикопали шифрованные файлы и хранят их до сих пор? Думаю, не много. Сколько из этих файлов пошифрованы именно этим троянцем? Ещё меньше. Кто из этих людей затем купит продукт, дабы менеджеры заплатили разработчикам ЗП за то, что они прикрутили эту фичу в ущерб основной работе (потому что сильно уверен, что нет специального человека, который занимается только утилитой и у него нет других, основных задач)? Единицы?

 

То есть технически и финансово это просто неразумно. Эмоционально, повторюсь, я на стороне автора вопроса. Но эмоции такая штука... Если меня спросить, я вообще скажу, что вся защита должна быть опенсорсной, так что эмоционально я тот ещё советчик.

Изменено 4 мая, 2020 пользователем Umnik

[thyrex 1 468]

Я тоже далек отдаже нюансов работы данного шифровальщика, но...

 

Любому брутфорсеру для подбора ключа достаточно подать на вход файлы, заголовок которых заранее предсказуем. Классический пример - файлы Office 2003, фото. Причем подавляющее большинство офисных документов имеет сравнительно небольшой размер.

 

https://forum.kasperskyclub.ru/topic/65225-crysis-старый-не-расшифровывается/ тут и оригиналы до шифрования есть, а присмотреться - так размер шифрованного на 389 байт больше оригинала для всех файлов.

 

Кроме всего прочего, наверняка имена файлов после работы Shade не просто так переименованы в нечто в кодировке, напоминающей Base64

Цитата

+xs0ee3vwzLgGps9mF3ky5b+hxqTibMszQ-UwZHs0CI=.xtbl

Возможно, что и имя превратиться в нормальный вид после какого-либо ключа.

 

У компании был опыт реализации брутфорса для каких-то шифраторов, в т.ч. с разбитием на потоки. Это я помню по работе еще на старом официальном форуме.

 

Кроме всего прочего,

Цитата

Утилита ищет ключ расшифровки в собственной базе. Если ключ есть в базе — файлы расшифруются. Если ключа нет — утилита отправит запрос на сервер для проверки наличия дополнительных ключей.

так пусть и молотит на стороне пользователя, перебирая все 750к ключей с сервера, читая их порционно.

 

Но это все лирика, и до реальной реализации, как я понимаю, все равно не дойдет.

[SQ 831]

6 часов назад, Umnik сказал:

То есть технически и финансово это просто неразумно.

Здравствуйте,

Хотел бы присоединиться к автору вопроса к Евгению Валентиновичу.

В любой работе эмоции могут, только навредить, я сам не бизнес-аналитик (я больше по технической части), но плане времени и финансов, не выгодней ли доработать утилиту (до возможной простоты) и создать по нему FAQ, чем обрабатывать каждый возможный тикет от пользователя и заниматься перебором вручную самой тех. поддержкой ЛК?  Понятное дело, что тут просто спрашивают мнение (никто не настаивает), просто получается так, что мы помогаем на различных форумах пользователям (без финансовой выгоды, чисто для професиональной ) и для того чтобы могли ответить корректно пользователям и некоторых случаях по рекомендовать продукт который лучше поможет без каких-либо дополнительных действий (участие третих лиц)  и если появится другой решение Shade (от других вендоров или независимых разработчиков) которое не потребует ждать ответ от тех. поддержки (которое может затянуться из-за количество работы) , так вот - вы думаете, кто-то будет использовать решение от ЛК, не вознинет ли ситуация, что созданное решение от ЛК станет не кому не нужной?

P.S. Мы стараемся не быть в стороне по имеющимся вопросам и всегда открыты к обсуждению, чтобы выгодно было всем, если встречаем и находим интересные (новые) случае всегда уведомляю.

Спасибо.

[Umnik 1 278]

11 часов назад, thyrex сказал:

Любому брутфорсеру для подбора ключа достаточно подать на вход файлы, заголовок которых заранее предсказуем

Ну да. Только откуда утилита знает тип файла? К тому же вероятность, что после шифрования "заголовок" у некогда PK файла вдруг станет MZh вообще не нулевая. Просто так звёзды сошлись, что первые три байта стали вот такими. Заголовок ведь валидный, только это теперь вообще не заголовок, а файл — вообще не экзешник.

 

11 часов назад, thyrex сказал:

Возможно, что и имя превратиться в нормальный вид после какого-либо ключа.

Так откуда ты знаешь нормальное имя? Тебе не виден контент, т.к. он зашифрован и ты не знаешь, что должно быть после дешифровки — PK или %PDF. А если ты сейчас, на очередном ключе, получил файл с "заголовком" PNG, это оно или нет? Это реально заголовок или просто так байтики сложились, что такая вот последовательность первых байт получилась?

 

11 часов назад, thyrex сказал:

У компании был опыт реализации брутфорса для каких-то шифраторов

Так может там шифрование было... не шифрование, а г-но? Как знаешь, некоторые хранят в БД sha2 от паролей и думают, что это безопасно. Дурачки ведь не знают, что для паролей нельзя использовать быстрые хеши. Так и раньше дурачки не знали, чем нужно шифровать файлы. Да и шифрование ли это было или просто XOR какой-нибудь?

 

11 часов назад, thyrex сказал:

Если ключ есть в базе — файлы расшифруются

И снова. Как понять, что файл реально расшифрован? На заголовок нельзя опираться, я выше это описал.

 

10 часов назад, SQ сказал:

чем обрабатывать каждый возможный тикет от пользователя

А с чего ты взял, что этим занимаются прям на потоке? Есть готовая инструкция, требующая редми файл. Пользователь с верояностью близкой к единице этот файл не удалил, потому что это свежее заражение. Значит всё будет работать как и задумано.

[andrew75 1 415]

@Umnik вы видимо просто не в курсе. Вместе с ключами был выложен софт для расшифровки. В том числе утилита для вычисления ID методом перебора, на случай если отсутствует файл readme. 

 

И на нашем форуме уже был топик от пользователя, у которого не было файла readme, но он воспользовался этим софтом и смог расшифровать свои файлы - https://forum.kasperskyclub.ru/topic/65227-выложили-все-ключи-дешифрования-shade-troldesh-encoder858/

То есть вычислить ID не представляет проблемы, это только вопрос времени.

Неудобство только в том, что этот софт требует от пользователя много ручных и не всегда тривиальных действий.

 

39 минут назад, Umnik сказал:

Пользователь с верояностью близкой к единице этот файл не удалил, потому что это свежее заражение

shade неактуален как минимум с конца прошлого года. Поэтому о свежих заражения речи не идет.

Обычные пользователи, даже если сохранили зашифрованные файлы, readme как правило не хранят, поскольку не всегда понимают, что он может быть необходим для расшифровки.

И об этом тоже пользователи неоднократно писали у нас на форуме.

Изменено 5 мая, 2020 пользователем andrew75

[E.K. 10 214]

14 часов назад, Umnik сказал:

А я понимаю позицию ЛК с чисто технической точки зрения. Эмоционально, конечно, я бы хотел иметь утилиту с перебором.

Эта утилита потребует ресурсов для написания, тестирования и поддержки. Внимание - вопрос: с каких других проектов снять эти ресурсы? С домашних продуктов, с корпоративных, с индустриальной безопасности или с разработки операционки?

 

Конечно же, лучше найти энтузиаста, который сделает эту утилиту в свободное время, будет её развивать и поддерживать. Но, скорее всего, наши энтузиасты будут заниматься полезными утилитами для помощи в решении проблем у наших клиентов. Но (тьфу-тьфу-тьфу) для пользователей наших продуктов шифровальщики не являются проблемой.

  

14 часов назад, Umnik сказал:

Если меня спросить, я вообще скажу, что вся защита должна быть опенсорсной, так что эмоционально я тот ещё советчик.

Это невозможно.

 

1. То, что стоит у наших пользователей на компах-серверах, на мобилах и прочих гейтвеях - это весьма малая часть всего "антивирусного комплекса". Это "потребители апдейтов". А чтобы эти апдейты выпустить нам надо собрать новые подозрительные файлы из разных источников (миллионы файлов в день) и обработать их. То есть, "обнюхать" разными способами, запустить в эмуляторе, запустить в "песочнице", поискать "родственников" - там кучи разных "биг-дата" и "машин-лёрнингов" крутятся. Жрёт эта кухня столько электричества, что уже очень давно живёт в разных датацентрах, где электричества много и недорого. То есть, раз: требуются тысячи (десятки тысяч?) волонтёров, которые будут крутить это хозяйство на своих домашних компах.

 

2. "Биг-дата" с "машин-лёрнингами" требует постоянной докрутки и обучения. Причём это не просто софтины. Там дофига разной математики работает. То есть, волонтёры нужны не просто после курсов C/C++, а владеющие необходимым математическим аппаратом. Это два. Для поиска таких волонтёров потребуются кадровики и прочие агентства по поиску персонала. То есть, надо будет скидываться на денюжку для внешних сотрудников. И так далее..

 

3. Нет, конечно же можно попробовать взять и создать опен-сорс коммюнити, куда набрать математиков-энтузиастов, кибербезопасников на пенсии, кто ещё потребуется. Но - вопрос: кто первый побежит помогать и кто будет главным контрибутором этой затеи? Правильно! - кибер-негодяи.

 

Можно ли попробовать отдать волонтёрам охрану банка? Можно! Но кто первыми в очереди будут на охрану? Правильно! - грабители.

 

Можно ли отдать на опен-сорс охрану стада овец? Кто прибежит первым? Правильно! - волк.

 

То есть, безопасность (любая) на волонтёрах и опенсорсе не работает в принципе никак.

[E.K. 10 214]

Кстати, тут уже целая дискуссия на эту тему пошла. Может быть, её логичнее перенести в правильное место?

[Umnik 1 278]

16 минут назад, andrew75 сказал:

вы видимо просто не в курсе.

Я же предупредил, что в глаза не видел ни одной утилиты и не знаю, как они работают И также с шифровальщиками. Когда они стали популярны, я уже ушёл из Windows тестирования и работал в Android.

 

17 минут назад, andrew75 сказал:

В том числе утилита для вычисления ID методом перебора, на случай если отсутствует файл readme.

А кто-нибудь пробовал прикидывать, сколько эта утилита работает?

 

7 минут назад, E.K. сказал:

Эта утилита потребует ресурсов для написания, тестирования и поддержки. Внимание - вопрос: с каких других проектов снять эти ресурсы? С домашних продуктов, с корпоративных, с индустриальной безопасности или с разработки операционки?

Так я знаю Я про это написал даже:

15 часов назад, Umnik сказал:

Кто из этих людей затем купит продукт, дабы менеджеры заплатили разработчикам ЗП за то, что они прикрутили эту фичу в ущерб основной работе (потому что сильно уверен, что нет специального человека, который занимается только утилитой и у него нет других, основных задач)? Единицы?

 

8 минут назад, E.K. сказал:

То есть, безопасность (любая) на волонтёрах и опенсорсе не работает в принципе никак.

Нуууу, тут вопрос на обсуждение Я могу приводить аргументы и за, и против и делать это могу очень долго, благо опыт накопил. То есть _лично для меня_ (а не для индустрии и не для Васи из соседнего подъезда) это вопрос чисто религиозный. Благо я индустрию никак не делаю и, видимо, рассуждал бы иначе в противном случае.

В общем, это моё мнение про мой комп, про мои задачи, в том числе вовсе не десктопные. Например, система тест менеджмента у меня опенсорсная (kiwi) и живёт в openSUSE Leap. И вся безопасность этой openSUSE также построена (но уже не мной) на опенсорсе. И я был категорически против внедрения MS Teams в ЛК, к примеру и даже описывал почему в комментах на Лабтопе.

Так что это конкретно мой сценарий. Конкретно я — один на миллиарды населения и распространять строить свой опыт на всех не буду. Потому и сказал, что здесь для меня вопрос исключительно эмоциональный.

[phe 2]

Уважаемый, thyrex

Я прекрасно понимаю вашу опасение о даном трояне, но могу закрепить мой ответ данным скриншотом, тем самым сказав свое слово. В этой проблеме как шифровальщика. Т.к. Ваша защита не успела уловить данного зловреда, т.к у вас не было - ключа инными словами, декриптора что-бы помочь вашим пользователям в удалении данного трояна. Вашими первычными способами. Не говорю о помощи ваших ребят по удалению вирусов и тому подобных проблем.

 

Сообщение от модератора SQ

Топик перемещен с Обновленный ShadeDecryptor. Обратите внимание, что обсуждение происходит тут.