Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 606 607 608 609 610 611 612 613 614 615 616 ... 1784 След.
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 12:58:22
ключи pub/sec (ключевая пара) в скрипте создаются одной командой
Цитата
"%temp%\svchost.exe" --batch --homedir "%temp%" --gen-key "%temp%\gk.vlt"
здесь svchost.exe - это упакованный в UPX легальный модуль gpg.exe
генерация ключевой пары происходит по алгоритму, который запрограммирован в gpg.exe.
по идее можно посмотреть по исходному открытому коду, как генерятся ключи.
но воссоздать условия генерации, чтобы повторно можно было создать одинаковый ключ - это уже из области фантастики, типа машины времени. :)
сам ID еще и возможно повторить с какой то вероятностью (короткое имя), но на самом деле важен отпечаток ключа, а он значительно длиннее.
отпечаток уж точно не повторить.
-------------

Цитата
Представим ситуацию : я зашифровал файл, а ключ потерял, разве нельзя
его восстановить по тем данным, которые я использовал при создании
утерянного?
это надо смотреть алгоритм генерации ключей.
да и если вы выполняли движение мышью, или нажатие клавиатуры  в момент генерации ключа, это уже не повторить в точности,
а эта инфо наверняка используется при генерации ключа.
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
Перейти
Обнаружена атака путем подделки записей кэша DNS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 12:50:47
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES\SPEEDFAN\SPEEDFAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\DOCUME~1\C4C5~1\LOCALS~1\TEMP\8609171AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------
dnsreset
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 12:37:23
нет,
это MAC ADDRESS сетевой можно изменить,
а ID ключа RSA изменить нельзя. (по крайней мере я не знаю точно как это сделать :))
----------
ключ да, можно настраивать. можно добавить доверие к нему, можно изменить парольную фразу при условии, что вы знаете предыдущую, можно изменить срок действия ключа,
можно добавить фото, добавить несколько подключей,
но для этого вам должна быть известна парольная фраза ключа (если она конечно есть)
но сам отпечаток созданного ключа уже не изменить.

а чтобы переделать один ключ в другой, вы, по крайней мере, должны знать, а какой он - другой? :)
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 12:26:39
посмотрите, может оно сохранилось в корзине удаленных файлов.
таким образом мы хотя бы сможем предупредить других пользователей.
файл счета был приложен в письме, или по ссылке скачивался через браузер из сети?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 12:24:08
ну, молодцы здесь разработчики PGP/GNUPG, которые создали надежную криптостойкую систему шифрования (и те кто создавал алгоритмы шифрования), а злоумышленники лишь воспользовались результатами их работы. :)
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 12:12:14
да, там спец. утилита sdelete Руссиновича) используется для затирания этих файлов.

Цитата
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\secring.gpg"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\vaultkey.vlt"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\confclean.list"

в этом файле confclean.list хранятся полные пути на все зашифрованные документы. файл после шифруется и помещается в CONFIRMATION.KEY
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 12:06:15
через функцию import, ключ будет извлечен.
Цитата
gpg.exe --import vaultkey.vlt

там просто алгоритм работы такой.
вначале создается пара puring.gpg/secring.gpg
затем все секретные ключи экспортируются на файл vaultkey.vlt
затем файл vaultkey.vlt шифруется, но уже другим ключом
pub key злоумышленников.
после этого шифрования ваш ключ обратно извлечь могут только они сами. поскольку sec key необходимый только у них хранится.
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 11:50:41
понятно. сам иногда такие эксперименты проделываю :). чтобы посмотреть на запчасти шифратора.

поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 11:47:25
вообще интересно. время шифрования файла
(05.03.2015 8:32:54 UTC)
а время создания ключа secring.gpg на три минуты позднее
05.03.2015 8:35:41 UTC)

но ключи с разными ID.
выложите, или вышлите еще несколько зашифрованных файлов.
-------------
понятно. поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.
Изменено: santy - 04.06.2016 17:49:57
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 11:37:55
судя по зашифрованному файлу шифрование у вас было этим ключом
Цитата
gpg: зашифровано ключом RSA с ID 92668966
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\4\СОГУ.xls.vault
Time: 05.03.2015 14:32:54 (05.03.2015 8:32:54 UTC)
а secring.gpg совсем с другим ID

Цитата
gpg: ключ 636E9569: уже есть в таблице закрытых ключей
gpg: Всего обработано: 1
gpg:       считано закрытых ключей: 1
gpg:  неизмененных закрытых ключей: 1

File: Z:\virus!\shifratory\bat.encoder.vault\4\secring.gpg
Time: 05.03.2015 14:35:41 (05.03.2015 8:35:41 UTC)
это не тот ключ. возможно он был создан после повторного запуска шифратора. в этом случае он не подойдет к файлам, зашифрованным в результате первого запуска шифратора.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 606 607 608 609 610 611 612 613 614 615 616 ... 1784 След.