Про вирус Trojan.Encoder.145 - очень важный кейс!

sevruk — 13.12.2012 К нам обратился заказчик, который не обслуживается у нас на постоянной основе, т.к. очень сильно на всем экономит.

У заказчика оказался зашифрованным вирусом весь сервер, включая внешний (USB) жесткий диск с бэкапами - весь, это значит весь полностью, т.е. абсолютно все файлы. На сервере работал лицензионный серверный Доктов Веб, который естественно ежедневно автоматически обновлялся.

По инциденту мы сразу же обратились за помощью в Доктор Вэб. Вот их официальный ответ:
---
К сожалению, в данном случае расшифровка данных нашими силами невозможна.

Файлы зашифрованы троянской программой семейства Trojan.Encoder.145
В Encoder.145 для шифрования файлов применяется алгоритм AES c 256-битным ключом;
сеансовый ключ для AES генерируется на месте, случайным образом;
после зашифровки файлов троянец шифрует сеансовый 256'битный ключ уже по RSA-1024 на открытом ключе (парном к закрытому ключу, имеющемуся только у автора троянца), и оставляет это зашифрованное представление в "HOW TO DECRYPT FILES.txt"

Ни переборная атака на криптосхему AES-256, ни тем более факторизация RSA-1024, практически невозможны.

Единственное, что мы можем посоветовать - обратится в полицию; может быть и поймают злоумышленника.
Тогда по имеющемуся у него закрытому шифроключу данные можно будет раскодировать.

С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
---

На сайте Касперского про этот вирус вообще ничего.
---

В итоге, авторы вируса предоставляют расшифровку за 80 EUR.

После недолгой переписки, мы получили для клиента вот такой алгоритм действий:

1. Зайдите на сайт
http://shop.interkassa.com/catalog/items/category/elektronnaya_kommerciya

2. Выберите пункт "Vauchers Ukash EUR"

3. Вы увидите три поля ввода:
- "Номер телефона" - введите ваш номер мобильного. Важно ввести
действующий номер - на него прийдет смс с адресом кошелька и кодом
ваучера.
- "Сумма пополнения" - введите "80"
- "Текст с картинки" - введите четыре цифры, которые вы видите на
картинке

4. Появится надпись "Методы оплаты" и под ней несколько вкладок.
Выберите вкладку "Терминалы".

5. Напротив терминалов вашей страны жмите кнопку "Оплатить".

6. Для россиийских пользователей: нажмите кнопку "Оплатить" (кнопка
находится в самом низу).
Вы увидите страницу платежной системы W1 и номер счета, который
нужно пополнить.
Далее просто следуйте инструкциям по оплате на указанный номер
счета.

Для украинских пользователей: нажмите кнопку "Сформировать счет".
Вам прийдет смс с адресом кошелька вида U123456789012
Оплатите через любой терминал указанную ранее сумму на кошелек,
который вы получили в смс. Сохраните чек.

7. После оплаты, вам прийдет смс на телефон с кодом ваучера (19 цифр).
Напишите нам этот код, а также обязательно прикрепите к письму
скан/фотографию чека об оплате.

После того, как вы отправите код и фотографию, мы в течение часа всё
проверим и отправим вам декриптор с инструкцией по его использованию.

Сегодня мой инженер с помощью полученного декриптора восстанавливает работу сервера заказчика.

Какова мораль этой истории? А её просто нет!

Т.к. у каждого она своя в конечном итоге.

Как защититься? Защититься от таких историй можно только выработав жесточайшую административную политику безопасности внутри организации. И потом строжайшим образом её соблюдать. Но на это не способны 95% компаний любого бизнеса. Ни морально, ни ментально, ни административно.

Пройдет еще 10-20 лет, а люди в области информационной безопасности будут жить по принципу "повезёт - не повезёт".

Ни один компьютерщик, ни один антивирус не защитит вас от подобных историй, пока вы не поймете для себя - что дешевле? потеря данных или оплата 80EUR авторам любого подобного вируса?

Для описанного в данном посте заказчика дешевле заплатить злоумышленникам, плюс нам за услуги, и продолжать жить "на авось". Экономическая целесообразность побеждает всегда.

Желаю всем не попасть в подобный кейс :)



***

Оставить комментарий

Популярные посты:

• Ранее
• Архив