что за ключи оставил троян-шифровальщик

Здравствуте,
Сотрудница по дурости запустила троян-шифровальщик, присланный под соусом на мейл, прежде чем зашифровать 7 тысяч нужных файлов троян сгенерировал 3 файла (на Windows 8) в ..\user\AppData\Roaming\Microsoft\Crypto\RSA\s.._нечто_длинное\ и записи в хранилище сертификатов (думаю они связаны с этими файлами). Судя по записям закрытый ключ имеется.

Помогите пожалуйста понять:
1) Зачем троян сгенерировал новую связку ключей если для зашифровки достаточно публичного ключа злодеев?
2) Существует ли софт, который сможет определить каким алгоритмом зашифрованы файлы? А еще лучше если определит id ключа, которым это сделано.
3) Что можно сделать в этой ситуации? Злоумышленники молчат, возможно мейл их прикрыли.

Комментарии

— Гость (09/02/2015 03:15)

> Сотрудница по дурости запустила троян-шифровальщик

Там другое начало было: админ по дурости установил винду...

> Зачем троян сгенерировал новую связку ключей если для зашифровки достаточно публичного ключа злодеев?

В этих троянах ошибок в дизайне и остальном выше крыши. Может, для большей анонимности он так сделал. Может, просто не знает про «полицейским режим» раскрытия сессионных ключей (если речь идёт о PGP).

> Существует ли софт, который сможет определить каким алгоритмом зашифрованы файлы? А еще лучше если определит id ключа, которым это сделано.

Если использовался стандартный софт, да ещё такой, который пишет свои заголовки, то да. Иначе нет.

> Что можно сделать в этой ситуации? Злоумышленники молчат, возможно мейл их прикрыли.

~~Восстановить нужные 7 тысяч файлов из бэкапа данных.~~ Нести на экспертизу. Правда, специалисты, которые могут грамотно разрулить вопросы такого уровня (если это вообще возможно в случае конкретного вируса и ситуации), могут стоить очень дорого, поэтому проще попрощаться с данными и зарубить себе на носу два факта:

Все люди делятся на 2 типа: тех, кто делают бэкапы, и тех, кто ещё не терял данные.
Место винды на помойке, нужен какой-то вменяемый дистрибутив Linux'а.

Ransomware-тема, если честно, на этом форуме уже конкретно подзадолбала [1]^[link1], [2]^[link2], [3]^[link3], [4]^[link4], [5]^[link5]. По ссылкам уже успели всё обсудить по 100 раз. Можете считать этот^[link6] ответ универсальным на все топики такого рода.

— cypherpunks (11/06/2016 01:01)

> Может, просто не знает про «полицейским режим» раскрытия сессионных ключей (если речь идёт о PGP).

Можно подробнее именно об этом? Применительно к PGP.

— Гость_ (11/06/2016 08:28, исправлен 11/06/2016 08:31)

> Можно подробнее именно об этом?

См. здесь^[link7].

Ссылки

^[link1] https://www.pgpru.com/forum/rabotaspgp/pomogitesrasshifrovkojjpgp

^[link2] https://www.pgpru.com/forum/kriptografija/kakorganizovatjraspredeljonnyjjvzlomvylozhennogoarhivaanonymousskompromatomnaer

^[link3] https://www.pgpru.com/comment23577

^[link4] https://www.pgpru.com/comment15077

^[link5] https://www.pgpru.com/comment75094

^[link6] https://www.pgpru.com/comment23579

^[link7] https://www.pgpru.com/comment32537

openPGP в России

что за ключи оставил троян-шифровальщик