что за ключи оставил троян-шифровальщик
Здравствуте,
Сотрудница по дурости запустила троян-шифровальщик, присланный под соусом на мейл, прежде чем зашифровать 7 тысяч нужных файлов троян сгенерировал 3 файла (на Windows 8) в ..\user\AppData\Roaming\Microsoft\Crypto\RSA\s.._нечто_длинное\ и записи в хранилище сертификатов (думаю они связаны с этими файлами). Судя по записям закрытый ключ имеется.
Помогите пожалуйста понять:
1) Зачем троян сгенерировал новую связку ключей если для зашифровки достаточно публичного ключа злодеев?
2) Существует ли софт, который сможет определить каким алгоритмом зашифрованы файлы? А еще лучше если определит id ключа, которым это сделано.
3) Что можно сделать в этой ситуации? Злоумышленники молчат, возможно мейл их прикрыли.
Там другое начало было: админ по дурости установил винду...
В этих троянах ошибок в дизайне и остальном выше крыши. Может, для большей анонимности он так сделал. Может, просто не знает про «полицейским режим» раскрытия сессионных ключей (если речь идёт о PGP).
Если использовался стандартный софт, да ещё такой, который пишет свои заголовки, то да. Иначе нет.
Восстановить нужные 7 тысяч файлов из бэкапа данных.Нести на экспертизу. Правда, специалисты, которые могут грамотно разрулить вопросы такого уровня (если это вообще возможно в случае конкретного вируса и ситуации), могут стоить очень дорого, поэтому проще попрощаться с данными и зарубить себе на носу два факта:Ransomware-тема, если честно, на этом форуме уже конкретно подзадолбала [1], [2], [3], [4], [5]. По ссылкам уже успели всё обсудить по 100 раз. Можете считать этот ответ универсальным на все топики такого рода.
комментариев: 300 документов: 33 редакций: 12
Можно подробнее именно об этом? Применительно к PGP.
комментариев: 450 документов: 10 редакций: 13
См. здесь.