что за ключи оставил троян-шифровальщик
Здравствуте,
Сотрудница по дурости запустила троян-шифровальщик, присланный под соусом на мейл, прежде чем зашифровать 7 тысяч нужных файлов троян сгенерировал 3 файла (на Windows 8) в ..\user\AppData\Roaming\Microsoft\Crypto\RSA\s.._нечто_длинное\ и записи в хранилище сертификатов (думаю они связаны с этими файлами). Судя по записям закрытый ключ имеется.
Помогите пожалуйста понять:
1) Зачем троян сгенерировал новую связку ключей если для зашифровки достаточно публичного ключа злодеев?
2) Существует ли софт, который сможет определить каким алгоритмом зашифрованы файлы? А еще лучше если определит id ключа, которым это сделано.
3) Что можно сделать в этой ситуации? Злоумышленники молчат, возможно мейл их прикрыли.
Ссылки
[link1] https://www.pgpru.com/forum/rabotaspgp/pomogitesrasshifrovkojjpgp
[link2] https://www.pgpru.com/forum/kriptografija/kakorganizovatjraspredeljonnyjjvzlomvylozhennogoarhivaanonymousskompromatomnaer
[link3] https://www.pgpru.com/comment23577
[link4] https://www.pgpru.com/comment15077
[link5] https://www.pgpru.com/comment75094
[link6] https://www.pgpru.com/comment23579
[link7] https://www.pgpru.com/comment32537
Там другое начало было: админ по дурости установил винду...
В этих троянах ошибок в дизайне и остальном выше крыши. Может, для большей анонимности он так сделал. Может, просто не знает про «полицейским режим» раскрытия сессионных ключей (если речь идёт о PGP).
Если использовался стандартный софт, да ещё такой, который пишет свои заголовки, то да. Иначе нет.
Восстановить нужные 7 тысяч файлов из бэкапа данных.Нести на экспертизу. Правда, специалисты, которые могут грамотно разрулить вопросы такого уровня (если это вообще возможно в случае конкретного вируса и ситуации), могут стоить очень дорого, поэтому проще попрощаться с данными и зарубить себе на носу два факта:Ransomware-тема, если честно, на этом форуме уже конкретно подзадолбала [1][link1], [2][link2], [3][link3], [4][link4], [5][link5]. По ссылкам уже успели всё обсудить по 100 раз. Можете считать этот[link6] ответ универсальным на все топики такого рода.
Можно подробнее именно об этом? Применительно к PGP.
См. здесь[link7].