Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

чтобы импортировать любой ключ на связку ключей, которые использует gpg.exe, в менеджере есть функция Ключи - импорт, и указать откуда будет импорт ключа. (тогда этот ключ появится в менеджере ключей, и соответственно gpg.exe будет его уже автоматически использовать при выполнении действий).
--------
через менеджер можно создать свою пару pub/sec и использовать ее для шифрования или подписи своих документов.
Изменено: santy - 03.10.2014 18:18:31
вот, можно добавить мой pub key. шифровать им сообщения в почте
http://chklst.ru/forum/docs/pubring/safety%20(MK)%20(0xD2DB2BB1)%20pub.asc
Да я хочу расшифровать на виртуалке файлы, не получается, то формат ключа не тот то еще чего...
Вот эти ключи вирус создает сначало в temp, затем в pnupg: pub-key.zip (2.14 КБ)
Изменено: Виктор - 03.10.2014 18:45:34
2pubring.gpg - это паблик ключ которым шифруются секретные ключи пользователя. (он взят из тела бат-энкодера)
он от версии к версии не меняется.
Цитата
:public key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: 852C16FCAAB62875
:user ID packet: "keybtc (keybtc) <keybtc@gmail.com>"
:signature packet: algo 1, keyid 852C16FCAAB62875
1pubring.gpg - это паблик ключ, который был создан энкодером на стороне юзера для шифрования его документов
он уникален для каждого юзера.
Цитата
::public key packet:
version 4, algo 1, created 1412347009, expires 0
pkey[0]: [1024 bits]
pkey[1]: [17 bits]
keyid: 151BB0968A17D6F5
:user ID packet: "genesis (genesis) <keybtc@gmail.com>"
:signature packet: algo 1, keyid 151BB0968A17D6F5
-------------
эти ключи только шифруют, расшифровывают файлы же их секретная часть. secring.gpg
поскольку secring.gpg у тебя нет с подобными ID, то и расшифровать ты ничего не сможешь.
Изменено: santy - 03.10.2014 19:07:39
Получилось расшифровать, только если файл secring.gpg остается целым и не зашифрованным.
Файл KEY.PRIVATE он же secring.gpg.gpg имеет совсем другой ID вот только откуда он шифруется не понятно.
Сам файл secring.gpg весит всего ~700 байт, если его найти удаленным, через программы восстановления данных, которые смогут обойти утилиту sdelete.exe то можно все расшифровать.

Проще наверное файл KEY.PRIVATE расшифровать, но в каком месте был его ключ неизвестно.
Оказывается этот вирус еще и передает другие вирусы через зараженный ПК на Email адреса.
http://forum.esetnod32.ru/messages/forum35/topic11253/message80019/?result=reply#message80019
Цитата
Виктор пишет:
через программы восстановления данных, которые смогут обойти утилиту  sdelete.exe

Если активно восстановление системы стоит проверить каталог: C:\System Volume Information    ( статус скрытый/системный )
Загрузиться с LiveCD и посмотреть содержание.
Возможно найдутся нужные файлы. ( как  файлы  вируса или в плане восстановления информации )
Цитата
Получилось расшифровать, только если файл secring.gpg остается целым и не зашифрованным.
для того и нужен secring.gpg чтобы расшифровать то, что было зашифровано с помощью pubring.gpg
причем это должны быть ключи из одной пары, т.е. с одним отпечатком или keyID.

Цитата
Файл KEY.PRIVATE он же secring.gpg.gpg имеет совсем другой ID вот только откуда он шифруется не понятно.
secring.gpg шифруется другим ключем, ключом от злоумышленников. он есть в самом бат-файле. т.е. формируется в батнике из символьных строк.
вот этот ключ.
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mQENBFPgfZQBCACwmI/ra8/PJnw1YAvQZ8mszyEtIfJ4GA2jTM3ih9qCWMRb­3cCI
heeVFaBTyAp33AP0EGjRDcg7E4VihowO2zCqJa7QkEfxVLwYKbEiEEnns4VD­Nnut
eOsyHF/ZyiNshYUN3Fj+YiFMtOzEUcJEE0QuUfl2o0Ajl9BRz3cQPPSnUhKS­/vmc
Fut1Y5GcJVWhjl4f51Grp1Q5lB9ndqCVGpG7PZ7tqQgA6934DOjGQQF3BK9Z­uSJq
v4bMKs12cOndOIFuoim/KV5NL4wXlUes7GIlTp4P3izlobNlVfYKXgS4Vc/H­/FiA
YVOaB7L4rVXwc7oixYSI1a4TwqXfifDhJNSRABEBAAG0ImtleWJ0YyAoa2V5­YnRj
KSA8a2V5YnRjQGdtYWlsLmNvbT6JATgEEwECACIFAlPgfZQCGwMGCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEIUsFvyqtih1ly4IAJlYEiJX2VeXV77c8M/0­PRtN
XAGmgFjt9WNvnMGlvAY88/QUMwMU9XV2gXTc+KiLacuagofhGpHOuZf3suSB­YMDS
oi135YTGs1sAWOx2kBwmyW8rrNLZ84V4wa97I9nEbzIYB0thzr3euu0QTz78­hj2v
Gai2uA82F45XFcjXhPKINbSgMCYIpbhfjUCMbSVy8+3rF9fUDWICVwzAof46­7GOI
b4SKcDkX5IOzDugDnKXvKwDNr9fcomZhhVUz5djF1TTORc0qXQye2GiFa6Zt­E4aH
WFw6hKfBIgaJGFIqnr7be0Di1duWisnCYS2n9/VDcZpeOpv7uqc78KDJ+Ogm­27W5
AQ0EU+B9lAEIAMcXK4tuglxptwQKg4aODX8OnSbAyAQW5QHTK9d4GG40vry8­IJVx
pUYe7fgax7OIkKLnYjo0uNXnBD70e3Z80WhDK1/2eIC4MxqVAD4cKP2yKZOF­LKi2
BJ7BdYk+y4d2MgqGuGIt84Wp0Zrcs1O32pS2lXfaBxjREaAUuqzy4MU0AJ5+­5tK0
qeD1OTxJhYivIky/qrmDtMf0G/WzxULV1iy0pkDP/s44KmsQxept3MzmCMgd­AXmg
2ANdP5r+UOglQeLKBmyLhCAcNqvHPU5I2X5qWmAbU0Z8IT/M1m/SE0/r9VF6­3C+Y
g3HQQDVZYOFWqi2uHOoU/LZ157kgF5gYqNUAEQEAAYkBHwQYAQIACQUCU+B9­lAIb
DAAKCRCFLBb8qrYodQp3B/0SeVJOLU+3gmq+R7VLqNbeS6NZ9KnZQvda3vyE­0/+t
FGx3Xo6Gf4chi+hTY33Ph+/4xA0cFg3i2YDSZRunDKG3OavrRDIpF6SNIH/X­/sPU
IQxATi1Sq/EmNzJdAqqqYNQT7YlWyVjI2pLcbberET+9LHIMcatnQ08GZQDV­iiSI
o7fW4sVYMgnRS5OXOwzMqW7wLuLbIGuTZQXTIOAoOhuZtfmy5woCRwF9sygY­u5yw
iwQkX2P/Ffzwrpu92J8uqoVeUXdBV8bgnK92KKKi/F4czak/DLa453cLlwoz­PxSv
6/RKzQXVaopzuOdvdRTwKSb+mFr+gsMlQ1t7xNcMdW84
=yxjK
-----END PGP PUBLIC KEY BLOCK-----
можно эти строки скопировать в буфер, и импортировать к себе этот ключ, но толку.... для расшифровки KEY.PRIVATE нужна приватная часть этого ключа. Которой вообще нет на машине юзера. Она хранится у разработчиков энкодера.

Цитата
Сам файл secring.gpg весит всего ~700 байт, если его найти удаленным, через программы восстановления данных, которые смогут обойти утилиту sdelete.exe то можно все расшифровать.
посмотри описание sdelete
файл secring.gpg удаляется в 16 проходов. Кроме того, он еще раз создается, в него чего то вписывают, и после этого его еще раз удаляют.

Цитата
Проще наверное файл KEY.PRIVATE расшифровать, но в каком месте был его ключ неизвестно.
ключ к KEY.PRIVATE у разработчиков энкодера. Судя по сообщениям на техфорумах. получить секретную часть этого ключа никому не удалось за почти несколько месяцев его использования.
gpg: зашифровано 2048-битным ключом RSA, с ID A3CE7DBE, созданным 05.08.2014
"keybtc (keybtc) "

-------------------
Цитата
Оказывается этот вирус еще и передает другие вирусы через зараженный ПК на Email адреса.

да, во второй части бат-энкодера содержится процедура отправки почтового сообщения с зараженным вложением по найденным адресным книгам
Изменено: santy - 04.10.2014 13:59:49
Вообще интересные вещи мы тут обсуждаем :)
Проблема уже столько времени существует, а воз и ныне там я так понял?

И все ищем, как защититься.
Вот у нас организация, куплено куча лицензий на NOD32 Antivirus, вот скажите мне разработчики, как будет защищать  мои компы ваш антивирус от этих шифровальщиков?

Только не надо говорить насчет бэкапов, сознательности пользователей и т.п., это все понятно, я бы антивирус не покупал бы тогда если бы было все так просто.

Так что делается для защиты от этой напасти? Деньги то платим за продукты ваши.
Alex82,...Так что делается для защиты от этой напасти? - определенные настройки и рекомендации на форуме выложены,думаю Вы их видели...   "Только не надо говорить насчет бэкапов, сознательности пользователей и т.п., это все понятно, я бы антивирус не покупал бы тогда если бы было все так просто."...Ну можно вообще в интернет не заходить с таким подходом...Общеизвестно,что сначала изобретают вредонос,а уж затем способ борьбы с ним. Универсального и волшебного антивируса я во всяком случае не встречал.
Читают тему (гостей: 3)