id: Гость   вход   регистрация
текущее время 14:55 20/10/2018
Автор темы: Гость, тема открыта 09/02/2015 00:19 Печать
Категории: криптография, управление ключами
http://www.pgpru.com/Форум/ТехническиеВопросы/ЧтоЗаКлючиОставилТроян-шифровальщик
создать
просмотр
ссылки

что за ключи оставил троян-шифровальщик


Здравствуте,
Сотрудница по дурости запустила троян-шифровальщик, присланный под соусом на мейл, прежде чем зашифровать 7 тысяч нужных файлов троян сгенерировал 3 файла (на Windows 8) в ..\user\AppData\Roaming\Microsoft\Crypto\RSA\s.._нечто_длинное\ и записи в хранилище сертификатов (думаю они связаны с этими файлами). Судя по записям закрытый ключ имеется.


Помогите пожалуйста понять:
1) Зачем троян сгенерировал новую связку ключей если для зашифровки достаточно публичного ключа злодеев?
2) Существует ли софт, который сможет определить каким алгоритмом зашифрованы файлы? А еще лучше если определит id ключа, которым это сделано.
3) Что можно сделать в этой ситуации? Злоумышленники молчат, возможно мейл их прикрыли.


 
Комментарии
— Гость (09/02/2015 03:15)   <#>

Там другое начало было: админ по дурости установил винду...


В этих троянах ошибок в дизайне и остальном выше крыши. Может, для большей анонимности он так сделал. Может, просто не знает про «полицейским режим» раскрытия сессионных ключей (если речь идёт о PGP).


Если использовался стандартный софт, да ещё такой, который пишет свои заголовки, то да. Иначе нет.


Восстановить нужные 7 тысяч файлов из бэкапа данных. Нести на экспертизу. Правда, специалисты, которые могут грамотно разрулить вопросы такого уровня (если это вообще возможно в случае конкретного вируса и ситуации), могут стоить очень дорого, поэтому проще попрощаться с данными и зарубить себе на носу два факта:
  1. Все люди делятся на 2 типа: тех, кто делают бэкапы, и тех, кто ещё не терял данные.
  2. Место винды на помойке, нужен какой-то вменяемый дистрибутив Linux'а.

Ransomware-тема, если честно, на этом форуме уже конкретно подзадолбала [1], [2], [3], [4], [5]. По ссылкам уже успели всё обсудить по 100 раз. Можете считать этот ответ универсальным на все топики такого рода.
— cypherpunks (11/06/2016 01:01)   профиль/связь   <#>
комментариев: 296   документов: 33   редакций: 12

Можно подробнее именно об этом? Применительно к PGP.
— Гость_ (11/06/2016 08:28, исправлен 11/06/2016 08:31)   профиль/связь   <#>
комментариев: 438   документов: 7   редакций: 13

См. здесь.

Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3