Про вирус Trojan.Encoder.145 - очень важный кейс!
К нам обратился заказчик, который не обслуживается у нас на постоянной основе, т.к. очень сильно на всем экономит.
У заказчика оказался зашифрованным вирусом весь сервер, включая внешний (USB) жесткий диск с бэкапами - весь, это значит весь полностью, т.е. абсолютно все файлы. На сервере работал лицензионный серверный Доктов Веб, который естественно ежедневно автоматически обновлялся.
По инциденту мы сразу же обратились за помощью в Доктор Вэб. Вот их официальный ответ:
---
К сожалению, в данном случае расшифровка данных нашими силами невозможна.
Файлы зашифрованы троянской программой семейства Trojan.Encoder.145
В Encoder.145 для шифрования файлов применяется алгоритм AES c 256-битным ключом;
сеансовый ключ для AES генерируется на месте, случайным образом;
после зашифровки файлов троянец шифрует сеансовый 256'битный ключ уже по RSA-1024 на открытом ключе (парном к закрытому ключу, имеющемуся только у автора троянца), и оставляет это зашифрованное представление в "HOW TO DECRYPT FILES.txt"
Ни переборная атака на криптосхему AES-256, ни тем более факторизация RSA-1024, практически невозможны.
Единственное, что мы можем посоветовать - обратится в полицию; может быть и поймают злоумышленника.
Тогда по имеющемуся у него закрытому шифроключу данные можно будет раскодировать.
С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
---
На сайте Касперского про этот вирус вообще ничего.
---
В итоге, авторы вируса предоставляют расшифровку за 80 EUR.
После недолгой переписки, мы получили для клиента вот такой алгоритм действий:
1. Зайдите на сайт
http://shop.interkassa.com/catalog/items/category/elektronnaya_kommerciya
2. Выберите пункт "Vauchers Ukash EUR"
3. Вы увидите три поля ввода:
- "Номер телефона" - введите ваш номер мобильного. Важно ввести
действующий номер - на него прийдет смс с адресом кошелька и кодом
ваучера.
- "Сумма пополнения" - введите "80"
- "Текст с картинки" - введите четыре цифры, которые вы видите на
картинке
4. Появится надпись "Методы оплаты" и под ней несколько вкладок.
Выберите вкладку "Терминалы".
5. Напротив терминалов вашей страны жмите кнопку "Оплатить".
6. Для россиийских пользователей: нажмите кнопку "Оплатить" (кнопка
находится в самом низу).
Вы увидите страницу платежной системы W1 и номер счета, который
нужно пополнить.
Далее просто следуйте инструкциям по оплате на указанный номер
счета.
Для украинских пользователей: нажмите кнопку "Сформировать счет".
Вам прийдет смс с адресом кошелька вида U123456789012
Оплатите через любой терминал указанную ранее сумму на кошелек,
который вы получили в смс. Сохраните чек.
7. После оплаты, вам прийдет смс на телефон с кодом ваучера (19 цифр).
Напишите нам этот код, а также обязательно прикрепите к письму
скан/фотографию чека об оплате.
После того, как вы отправите код и фотографию, мы в течение часа всё
проверим и отправим вам декриптор с инструкцией по его использованию.
Сегодня мой инженер с помощью полученного декриптора восстанавливает работу сервера заказчика.
Какова мораль этой истории? А её просто нет!
Т.к. у каждого она своя в конечном итоге.
Как защититься? Защититься от таких историй можно только выработав жесточайшую административную политику безопасности внутри организации. И потом строжайшим образом её соблюдать. Но на это не способны 95% компаний любого бизнеса. Ни морально, ни ментально, ни административно.
Пройдет еще 10-20 лет, а люди в области информационной безопасности будут жить по принципу "повезёт - не повезёт".
Ни один компьютерщик, ни один антивирус не защитит вас от подобных историй, пока вы не поймете для себя - что дешевле? потеря данных или оплата 80EUR авторам любого подобного вируса?
Для описанного в данном посте заказчика дешевле заплатить злоумышленникам, плюс нам за услуги, и продолжать жить "на авось". Экономическая целесообразность побеждает всегда.
Желаю всем не попасть в подобный кейс :)
***
У заказчика оказался зашифрованным вирусом весь сервер, включая внешний (USB) жесткий диск с бэкапами - весь, это значит весь полностью, т.е. абсолютно все файлы. На сервере работал лицензионный серверный Доктов Веб, который естественно ежедневно автоматически обновлялся.
По инциденту мы сразу же обратились за помощью в Доктор Вэб. Вот их официальный ответ:
---
К сожалению, в данном случае расшифровка данных нашими силами невозможна.
Файлы зашифрованы троянской программой семейства Trojan.Encoder.145
В Encoder.145 для шифрования файлов применяется алгоритм AES c 256-битным ключом;
сеансовый ключ для AES генерируется на месте, случайным образом;
после зашифровки файлов троянец шифрует сеансовый 256'битный ключ уже по RSA-1024 на открытом ключе (парном к закрытому ключу, имеющемуся только у автора троянца), и оставляет это зашифрованное представление в "HOW TO DECRYPT FILES.txt"
Ни переборная атака на криптосхему AES-256, ни тем более факторизация RSA-1024, практически невозможны.
Единственное, что мы можем посоветовать - обратится в полицию; может быть и поймают злоумышленника.
Тогда по имеющемуся у него закрытому шифроключу данные можно будет раскодировать.
С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
---
На сайте Касперского про этот вирус вообще ничего.
---
В итоге, авторы вируса предоставляют расшифровку за 80 EUR.
После недолгой переписки, мы получили для клиента вот такой алгоритм действий:
1. Зайдите на сайт
http://shop.interkassa.com/catalog/items/category/elektronnaya_kommerciya
2. Выберите пункт "Vauchers Ukash EUR"
3. Вы увидите три поля ввода:
- "Номер телефона" - введите ваш номер мобильного. Важно ввести
действующий номер - на него прийдет смс с адресом кошелька и кодом
ваучера.
- "Сумма пополнения" - введите "80"
- "Текст с картинки" - введите четыре цифры, которые вы видите на
картинке
4. Появится надпись "Методы оплаты" и под ней несколько вкладок.
Выберите вкладку "Терминалы".
5. Напротив терминалов вашей страны жмите кнопку "Оплатить".
6. Для россиийских пользователей: нажмите кнопку "Оплатить" (кнопка
находится в самом низу).
Вы увидите страницу платежной системы W1 и номер счета, который
нужно пополнить.
Далее просто следуйте инструкциям по оплате на указанный номер
счета.
Для украинских пользователей: нажмите кнопку "Сформировать счет".
Вам прийдет смс с адресом кошелька вида U123456789012
Оплатите через любой терминал указанную ранее сумму на кошелек,
который вы получили в смс. Сохраните чек.
7. После оплаты, вам прийдет смс на телефон с кодом ваучера (19 цифр).
Напишите нам этот код, а также обязательно прикрепите к письму
скан/фотографию чека об оплате.
После того, как вы отправите код и фотографию, мы в течение часа всё
проверим и отправим вам декриптор с инструкцией по его использованию.
Сегодня мой инженер с помощью полученного декриптора восстанавливает работу сервера заказчика.
Какова мораль этой истории? А её просто нет!
Т.к. у каждого она своя в конечном итоге.
Как защититься? Защититься от таких историй можно только выработав жесточайшую административную политику безопасности внутри организации. И потом строжайшим образом её соблюдать. Но на это не способны 95% компаний любого бизнеса. Ни морально, ни ментально, ни административно.
Пройдет еще 10-20 лет, а люди в области информационной безопасности будут жить по принципу "повезёт - не повезёт".
Ни один компьютерщик, ни один антивирус не защитит вас от подобных историй, пока вы не поймете для себя - что дешевле? потеря данных или оплата 80EUR авторам любого подобного вируса?
Для описанного в данном посте заказчика дешевле заплатить злоумышленникам, плюс нам за услуги, и продолжать жить "на авось". Экономическая целесообразность побеждает всегда.
Желаю всем не попасть в подобный кейс :)
***