Перейти к содержанию
AM_Bot

Найден способ восстановления файлов после атаки вируса Gpcode.ak

Recommended Posts

AM_Bot

"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, информирует пользователей о возможности восстановления файлов после атаки вируса Gpcode.ak. Как сообщалось ранее, зашифрованные Gpcode.ak файлы, не имея секретного ключа, в настоящее время расшифровать невозможно. Тем не менее, найдено оптимальное решение для их восстановления.

читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Stuart

Интересно получается. В предыдущей версии вируса криптора был найден недостаток, которым и смогли воспользоваться специалисты для его обхода. В этой версии с шифрованием вроде проблем нет, но файл вместо прямой шифрации шифруется с сохранением оригинала, создаётся шифрованный, а потом только старый удаляется, который и можно восстановить, - недочёт. Сейчас автор учтёт этот факт и через год ждём новую модификацию. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
через год ждём новую модификацию

По идее, "работы" всего на пару часов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
По идее, "работы" всего на пару часов.

Для виря?

Затереть все области на диске, где лежали исходные файлы? - Хм, я тоже думаю, что за пару часов справится. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Для виря?

Затереть все области на диске, где лежали исходные файлы? - Хм, я тоже думаю, что за пару часов справится. smile.gif

Для вирьмейкера. Переписать вирь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
Для вирьмейкера. Переписать вирь :)

Это ему придётся взять на себя всю логику работы с FS в обход драйверов Windows.

Я не уверен, что такое возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

А то, что можно писать в оригинальный файл, вам в голову не приходит? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
А то, что можно писать в оригинальный файл, вам в голову не приходит? ;)

Нет, такое мне в голову не приходило и никогда не придёт. ;)

ЗЫ

Попробуйте сформулировать то, что Вы подразумеваете под "писать в оригинальный файл"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Wipe файла прямо из юзермода, потом delete и этот "костыль" не проканает.

Это ему придётся взять на себя всю логику работы с FS в обход драйверов Windows.

Полнейшая ерунда.

P.S. Кстати, я хочу активно поучаствовать в переборе ключа ж*п*кодера:

1, 3, 5, 7, 11, 13, 17, 19, 23...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
Wipe файла прямо из юзермода, потом delete и этот "костыль" не проканает.

Да, но ведь тогда время его работы существенно вырастет и пользователь сможет заметить это и рубануть процесс или нажать reset.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Да, но ведь тогда время его работы существенно вырастет и пользователь сможет заметить это и рубануть процесс или нажать reset.

Возрастет время не намного, а если использовать нативные функции, то будет еще быстрее, да и шифровать можно с умом, не треща винтом, так что юзер ничего не заметит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Странная тема - все вдруг кинулись обсуждать то, каким образом вирусописателю нужно доработать вирус, чтобы он принёс пользователю максимальный ущерб :) Может и готовые решения кто-то выложит, а мы затем пообсуждаем и попробуем испытать? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
P.S. Кстати, я хочу активно поучаствовать в переборе ключа ж*п*кодера:

1, 3, 5, 7, 11, 13, 17, 19, 23...

Можете начинать с начала, у Вас ошибка на первом же (втором) шаге.

Нет, такое мне в голову не приходило и никогда не придёт. ;)

ЗЫ

Попробуйте сформулировать то, что Вы подразумеваете под "писать в оригинальный файл"?

А что тут формулировать то?

Сложно прочитать кусок файла, зашифровать и положить на место?

Или при наличии заголовка и потоковости шифрования сложно читать чуть больше(на размер заголовка), шифровать и класть на место?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Странная тема - все вдруг кинулись обсуждать то, каким образом вирусописателю нужно доработать вирус, чтобы он принёс пользователю максимальный ущерб :) Может и готовые решения кто-то выложит, а мы затем пообсуждаем и попробуем испытать? :D

Неужели непонятно, что это очевидные вещи и не супер секреты?

Можете начинать с начала, у Вас ошибка на первом же (втором) шаге.

Рекомендую передачу "Аншлаг", развивает чувство юмора у некоторых кому "за" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

объясните мне идиоту, почему нельзя открыть на чтение/изменение исходный файл, создав при этом новый файл, куда переносми уже криптованые данные.

А исходный файл заполняем нулями и потом удаляем. Все это за одну сессию? Проблема в совместном доступе к файлам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
объясните мне идиоту, почему нельзя открыть на чтение/изменение исходный файл, создав при этом новый файл, куда переносми уже криптованые данные.

А исходный файл заполняем нулями и потом удаляем. Все это за одну сессию? Проблема в совместном доступе к файлам?

Добавляются накладные расходы времени/ресурсов на затирание исходного файла. А так больше вроде бы проблем нет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      cinquefoil2014 На anti-malware.ru нет раздела по лечению. Обратиться за помощью можно на любой из этих форумов: https://virusinfo.info/forumdisplay.php?f=46 https://forum.kasperskyclub.ru/index.php?showforum=26 http://www.cyberforum.ru/viruses/ https://safezone.cc/forums/viruses/
    • cinquefoil2014
      Подскажите а в каком разделе можно задать вопрос по поводу лечения вируса на сайте?
    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
×