- Joined
- Jun 11, 2017
- Messages
- 1,908
- Reaction score
- 291
- Age
- 31
Сейчас в сети очень активизировалась вирусная активность, вируса вымогателя под названием CTB-Locker.
Будьте очень осторожны при приеме писем не открывайте письма от не доверенных отправителей и не просматривайте вложения , так как данный вирус фактически не определяется.
вот немного описания о данном зловреде.
"стойкая криптография на основе эллиптических кривых. Расшифровать файлы без оплаты невозможно. Стойкость эквивалента RSA-3072, что превышает все аналоги. При этом скорость шифрования значительно выше.
Все ключи одноразовые и внести их в базу нельзя. Ключи абсолютно случайны, коллиции невозможны. У аналогов ключи зашиты в локер или сервер, их можно собрать.
Размещение сервера в onion-домене (TOR), закрыть домен по абузе нельзя, практически невозможно отследить владельца и отключить сервер.
Связь с сервером только после шифрования всех файлов. Невозможен ранний детект по трафику, невозможно блокировать работу локера. Блокирование TOR мешает только оплате юзеру, а не программе. Аналоги соединяются на сервер до крипта и их можно блокировать.
Схема работы локера:
1. Запуск ЕХЕ на машине юзера. Достаточно прав юзера.
2. Генерация случайного ключа шифрования. На машине и в оперативной памяти хранится только публичный ключ. Расшифровать с его помощью файлы нельзя.
3. Шифруются все доступные файлы с заданными расширениями. Проверяются все жесткие и съемные диски, все сетевые шары.
4. При перезагрузке операция продолжается с последнего файла.
5. После обработки всех файлов выводится окно юзеру с описанием его проблемы и схемы оплаты.
Будьте очень осторожны при приеме писем не открывайте письма от не доверенных отправителей и не просматривайте вложения , так как данный вирус фактически не определяется.
вот немного описания о данном зловреде.
"стойкая криптография на основе эллиптических кривых. Расшифровать файлы без оплаты невозможно. Стойкость эквивалента RSA-3072, что превышает все аналоги. При этом скорость шифрования значительно выше.
Все ключи одноразовые и внести их в базу нельзя. Ключи абсолютно случайны, коллиции невозможны. У аналогов ключи зашиты в локер или сервер, их можно собрать.
Размещение сервера в onion-домене (TOR), закрыть домен по абузе нельзя, практически невозможно отследить владельца и отключить сервер.
Связь с сервером только после шифрования всех файлов. Невозможен ранний детект по трафику, невозможно блокировать работу локера. Блокирование TOR мешает только оплате юзеру, а не программе. Аналоги соединяются на сервер до крипта и их можно блокировать.
Схема работы локера:
1. Запуск ЕХЕ на машине юзера. Достаточно прав юзера.
2. Генерация случайного ключа шифрования. На машине и в оперативной памяти хранится только публичный ключ. Расшифровать с его помощью файлы нельзя.
3. Шифруются все доступные файлы с заданными расширениями. Проверяются все жесткие и съемные диски, все сетевые шары.
4. При перезагрузке операция продолжается с последнего файла.
5. После обработки всех файлов выводится окно юзеру с описанием его проблемы и схемы оплаты.