Про вирус Trojan.Encoder.145 - очень важный кейс!

топ 100 блогов sevruk13.12.2012 К нам обратился заказчик, который не обслуживается у нас на постоянной основе, т.к. очень сильно на всем экономит.

У заказчика оказался зашифрованным вирусом весь сервер, включая внешний (USB) жесткий диск с бэкапами - весь, это значит весь полностью, т.е. абсолютно все файлы. На сервере работал лицензионный серверный Доктов Веб, который естественно ежедневно автоматически обновлялся.

По инциденту мы сразу же обратились за помощью в Доктор Вэб. Вот их официальный ответ:
---
К сожалению, в данном случае расшифровка данных нашими силами невозможна.

Файлы зашифрованы троянской программой семейства Trojan.Encoder.145
В Encoder.145 для шифрования файлов применяется алгоритм AES c 256-битным ключом;
сеансовый ключ для AES генерируется на месте, случайным образом;
после зашифровки файлов троянец шифрует сеансовый 256'битный ключ уже по RSA-1024 на открытом ключе (парном к закрытому ключу, имеющемуся только у автора троянца), и оставляет это зашифрованное представление в "HOW TO DECRYPT FILES.txt"

Ни переборная атака на криптосхему AES-256, ни тем более факторизация RSA-1024, практически невозможны.

Единственное, что мы можем посоветовать - обратится в полицию; может быть и поймают злоумышленника.
Тогда по имеющемуся у него закрытому шифроключу данные можно будет раскодировать.

С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
---

На сайте Касперского про этот вирус вообще ничего.
---

В итоге, авторы вируса предоставляют расшифровку за 80 EUR.

После недолгой переписки, мы получили для клиента вот такой алгоритм действий:

1. Зайдите на сайт
http://shop.interkassa.com/catalog/items/category/elektronnaya_kommerciya

2. Выберите пункт "Vauchers Ukash EUR"

3. Вы увидите три поля ввода:
- "Номер телефона" - введите ваш номер мобильного. Важно ввести
действующий номер - на него прийдет смс с адресом кошелька и кодом
ваучера.
- "Сумма пополнения" - введите "80"
- "Текст с картинки" - введите четыре цифры, которые вы видите на
картинке

4. Появится надпись "Методы оплаты" и под ней несколько вкладок.
Выберите вкладку "Терминалы".

5. Напротив терминалов вашей страны жмите кнопку "Оплатить".

6. Для россиийских пользователей: нажмите кнопку "Оплатить" (кнопка
находится в самом низу).
Вы увидите страницу платежной системы W1 и номер счета, который
нужно пополнить.
Далее просто следуйте инструкциям по оплате на указанный номер
счета.

Для украинских пользователей: нажмите кнопку "Сформировать счет".
Вам прийдет смс с адресом кошелька вида U123456789012
Оплатите через любой терминал указанную ранее сумму на кошелек,
который вы получили в смс. Сохраните чек.

7. После оплаты, вам прийдет смс на телефон с кодом ваучера (19 цифр).
Напишите нам этот код, а также обязательно прикрепите к письму
скан/фотографию чека об оплате.

После того, как вы отправите код и фотографию, мы в течение часа всё
проверим и отправим вам декриптор с инструкцией по его использованию.

Сегодня мой инженер с помощью полученного декриптора восстанавливает работу сервера заказчика.

Какова мораль этой истории? А её просто нет!

Т.к. у каждого она своя в конечном итоге.

Как защититься? Защититься от таких историй можно только выработав жесточайшую административную политику безопасности внутри организации. И потом строжайшим образом её соблюдать. Но на это не способны 95% компаний любого бизнеса. Ни морально, ни ментально, ни административно.

Пройдет еще 10-20 лет, а люди в области информационной безопасности будут жить по принципу "повезёт - не повезёт".

Ни один компьютерщик, ни один антивирус не защитит вас от подобных историй, пока вы не поймете для себя - что дешевле? потеря данных или оплата 80EUR авторам любого подобного вируса?

Для описанного в данном посте заказчика дешевле заплатить злоумышленникам, плюс нам за услуги, и продолжать жить "на авось". Экономическая целесообразность побеждает всегда.

Желаю всем не попасть в подобный кейс :)

Про вирус Trojan.Encoder.145 - очень важный кейс!

***

Оставить комментарий

Предыдущие записи блогера :
Архив записей в блогах:
Какие, по-вашему, последствия могут быть из-за отказа одного конденсатора ? Всякие-разные. Вот, например, 22 августа 2016 года в 14:12 разрушился один конденсатор. Это был конденсатор связи 220кВ ЛЭП Анна-Рефтинская ГРЭС. Вот так выглядит конденсатор исправный, и то, что осталось от ...
Смотреть это видео ...
стакан=250 мл 200 мл. воды 30 мл. растительного масла 0.5 стакана сахара щепотка соли 1 пакетик ванильного сахара 1 пакетик шоколадного пудинга 2 ст. ложки кокосовой стружки 1 ст. ложка какао 1.5 стакана муки 1 не полная ч. ложка разрыхлителя 1\4 ч. ложка ...
Soldiers with mistletoe in their caps The mobilization in 1914 Infantry of the 1st Brigade Polish Legions enters Kowel. 1915. Polish Army Museum, Warsaw British and Russian officers of the RNAS Armoured Car ...
Отбирает игрушки, швыряет камни, сталкивает с качелей… Что делать?! Совестить бесполезно. Взывать к родителям – тоже. Но метод есть. Рассказываю. Забрал ребёнка из детского сада, идём домой. Рядом с садиком – школа, а около неё огромная лужа. Из школы выходят два шкета лет по 12 и ...