-
Junior Member
- Вес репутации
- 46
Клин клином - или как зловред вымогатель сам себя победил
история заражения: девочка - чайник скачивает "красивый скринсервер"
после запуска зловред шифрует все пользовательские файлы по маске (doc,xls,jpg,pdf...)
и, как обычно, требует отправить деньги...
к счастью, в доунлоаде осталось архивированное тельце зловреда
запуск в чистой WM-vare, с заранее подготовленными файлами, позволил получить пары файлов до и после заражения
зловред помечал диски и папки, которые он "обработал"
побайтное сравнение показало, что зловред, особо не парясь, уродовал XOR-ом с одной битовой маской несколько байтов в заголовке файла, что приводило к его нечитаемости
для быстроты работы зловреда расположение байтов и маска были одинаковы для всех файлов
попытка самостоятельно написать декриптор разбилась об убогие познания в программировании
выход из тупика оказался там же , где и вход:
-зловред не детектировал файлы, уже побывавшие в его лапах
-XOR - функция симметричная
-------------------------------------------------
берём закриптованные файлы, складываем их в чистую машину WM-vare
и запускаем зловреда
наивный зловред раскриптовывает все 7Gb ранее им же изгаженной информации
не панацея, конечно, но в частном случае сработало
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: