Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением .vault, bat encoder /CryptVault
ключи pub/sec (ключевая пара) в скрипте создаются одной командой
[QUOTE]"%temp%\svchost.exe" --batch --homedir "%temp%" --gen-key "%temp%\gk.vlt"[/QUOTE]
здесь svchost.exe - это упакованный в UPX легальный модуль gpg.exe
генерация ключевой пары происходит по алгоритму, который запрограммирован в gpg.exe.
[U]по идее можно посмотреть по исходному открытому коду, как генерятся ключи.[/U]
но воссоздать условия генерации, чтобы повторно можно было создать одинаковый ключ - это уже из области фантастики, типа машины времени. :)
сам ID еще и возможно повторить с какой то вероятностью (короткое имя), но на самом деле важен отпечаток ключа, а он значительно длиннее.
[B]отпечаток уж точно не повторить.
-------------
[/B]
[QUOTE]Представим ситуацию : я зашифровал файл, а ключ потерял, разве нельзя
его восстановить по тем данным, которые я использовал при создании
утерянного?[/QUOTE]
это надо смотреть алгоритм генерации ключей.
да и если вы выполняли движение мышью, или нажатие клавиатуры  в момент генерации ключа, это уже не повторить в точности,
а эта инфо наверняка используется при генерации ключа.
Изменено: santy - 04.06.2016 17:50:39
Обнаружена атака путем подделки записей кэша DNS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES\SPEEDFAN\SPEEDFAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\DOCUME~1\C4C5~1\LOCALS~1\TEMP\8609171AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------
dnsreset
regt 14
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
нет,
это MAC ADDRESS сетевой можно изменить,
а ID ключа RSA изменить нельзя. (по крайней мере я не знаю точно как это сделать :))
----------
ключ да, можно настраивать. можно добавить доверие к нему, можно изменить парольную фразу при условии, что вы знаете предыдущую, можно изменить срок действия ключа,
можно добавить фото, добавить несколько подключей,
но для этого вам должна быть известна парольная фраза ключа (если она конечно есть)
[B]но сам отпечаток созданного ключа уже не изменить.

а чтобы переделать один ключ в другой, вы, по крайней мере, должны знать, а какой он - другой? :)
[/B]
Изменено: santy - 04.06.2016 17:50:39
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
посмотрите, может оно сохранилось в корзине удаленных файлов.
таким образом мы хотя бы сможем предупредить других пользователей.
файл счета был приложен в письме, или по ссылке скачивался через браузер из сети?
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
ну, молодцы здесь разработчики PGP/GNUPG, которые создали надежную криптостойкую систему шифрования (и те кто создавал алгоритмы шифрования), а злоумышленники лишь воспользовались результатами их работы. :)
Изменено: santy - 04.06.2016 17:50:39
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
да, там спец. утилита sdelete Руссиновича) используется для затирания этих файлов.

[QUOTE]"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\secring.gpg"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\vaultkey.vlt"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\confclean.list"[/QUOTE]

в этом файле confclean.list хранятся полные пути на все зашифрованные документы. файл после шифруется и помещается в CONFIRMATION.KEY
Изменено: santy - 04.06.2016 17:50:39
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
через функцию import, ключ будет извлечен.
[QUOTE]gpg.exe --import vaultkey.vlt[/QUOTE]

там просто алгоритм работы такой.
вначале создается пара puring.gpg/secring.gpg
затем все секретные ключи экспортируются на файл vaultkey.vlt
затем файл vaultkey.vlt шифруется, но уже другим ключом
pub key злоумышленников.
после этого шифрования ваш ключ обратно извлечь могут только они сами. поскольку sec key необходимый только у них хранится.
Изменено: santy - 04.06.2016 17:50:39
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
[B]понятно. сам иногда такие эксперименты проделываю :). чтобы посмотреть на запчасти шифратора.

поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.[/B]
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
вообще интересно. время шифрования файла
(05.03.2015 8:32:54 UTC)
а время создания ключа secring.gpg на три минуты позднее
05.03.2015 8:35:41 UTC)

но ключи с разными ID.
выложите, или вышлите еще несколько зашифрованных файлов.
-------------
[B]понятно. поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.[/B]
Изменено: santy - 04.06.2016 17:49:57
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
судя по зашифрованному файлу шифрование у вас было этим ключом
[QUOTE]gpg: зашифровано ключом RSA с I[B]D 92668966[/B]
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\4\СОГУ.xls.vault
Time: 05.03.2015 14:32:54 (05.03.2015 8:32:54 UTC)[/QUOTE]
а secring.gpg совсем с другим ID

[QUOTE]gpg: ключ 636E9569: уже есть в таблице закрытых ключей
gpg: Всего обработано: 1
gpg:       считано закрытых ключей: 1
gpg:  неизмененных закрытых ключей: 1

File: Z:\virus!\shifratory\bat.encoder.vault\4\secring.gpg
Time: 05.03.2015 14:35:41 (05.03.2015 8:35:41 UTC)[/QUOTE]
это не тот ключ. возможно он был создан после повторного запуска шифратора. в этом случае он не подойдет к файлам, зашифрованным в результате первого запуска шифратора.