Имена зашифрованных файлов:
Base64(AES_encrypt(оригинальное_имя_файла)).ID_компьютера.no_more_ransom.
Спустя полгода от первого сообщения на форуме Kaspersky Lab, расширения .no_more_ransom в списке ShadeDecryptor’а нет.
Судя по описанию, содержимое и имя файлов зашифровано парой ключей, полученных посредством C&C сервера, по алгоритму AES256CBC c нулевым начальным вектором.
Вкратце это означает:
— ключи с сервера С&С обнуляют шансы на внешнюю помощь;
— AES скромно называют “достаточно надежным”. Читай — трындец и с ключем покороче 256 бит;
— CBC — это шифрование очередного блока с использованием предыдущего зашифрованного блока. Т.е. не получится выделить и использовать 16 байт ключа из структуры key_data в качестве образца для дешифровки;
— нулевой начальный вектор — слабое утешение, означающее, что первый блок данных шифруется искомым ключем.
С первым блоком для дешифровки просто — desktop.ini найдется у всех жертв. Зашифрованный файл сохраняет атрибут hidden. Оригинал WIN7 содержит более 32 условно константных байт.
Хоть что-то. Можно ввязаться в авантюру с подбором ключа. Полный перебор — занятие мягко говоря долгое и не азартное. Веселее подбирать ключ шифрования содержимого файла с помощью технологий Intel AES-NI, генерируя его случайным образом.
Рулетка. Выигрыш маловероятен, но и проиграть уже не получится. Стоит попытаться.
Cсылки по теме:
1) Kaspersky Lab, «Шифровальщик Shade: двойная угроза»;
2) Проект «No More Ransom»;
(в разделе “Заявить о преступлении” ни слова о России, хотя подходящая статья в УК имеется);
3) Вики, «Advanced Encryption Standard (AES)»;
4) Вики, «Cipher block chaining (CBC)»;
5) Intel, «Описание стандарта шифрования AES» (и AES архитектура Intel)
Комментарии (45)
sens_boston
27.01.2017 22:01+4Более, чем странная тема для поста на хабре… Что будет, если все, цепляющие вирусы через порно-рассылки, прибегут сюда жаловаться «все пропало, шеф, гипс снимают, клиент уезжает!»?
Вот если бы расшифровали данные (это ирония, вообще-то), вот тогда было бы интересно.miktim
27.01.2017 22:09Да, виноват: в связи с отсутствием наличия готового решения, пытаюсь его найти.
sens_boston
27.01.2017 22:22+2Я бы посоветовал (если бы вы меня спросили) не тратить свое время. Если говнюки просят не очень много, а данные действительно важны, то куда проще заплатить. Иначе время, потраченное на безуспешные поиски отсутствующего решения, добавится к текущим потерям.
P.S. А сотрудника неплохо бы уволить по статье, заодно с администратором вашего бардака.miktim
27.01.2017 22:27Совет принят. Что сделать с разработчиками антивируса на десктопе сотрудника?
sens_boston
27.01.2017 22:46+1А при чем здесь разработчики антивируса? Во-первых, данный зловред должен был быть отловлен еще на уровне корпоративного брандмауэра и/или почтового сервера. Во-вторых, тот, кто отвечает за администрацию/обслуживание компьютеров, должен был выбрать антивирус(ы) в зависимости от степени угрозы. Ну, и в третьих: правильный и своевременный бэкап критических данных никто не отменял, при правильно настроенной инфраструктуре, всегда должна оставаться возможность откатиться к «дню X»-1.
Предположу, что у вас там все печально: и с бэкапами, и с локальной безопасностью и security (даю намек — запуск из аттачментов очень просто запретить совсем!). Ну, в таком случае остается только одно: хотя бы учиться на своих ошибках, и не повторять их впредь.vilgeforce
27.01.2017 22:50Вы забыли «в четвертых»: трои в дикую природу выпускаются «отмытыми», когда их никто и не ловит.
sens_boston
27.01.2017 22:59Не забыл: первая же фраза автора поста говорит о том, что Касперский успешно детектировал зловреда. Вот почему не пользовались антивирусом Касперского, или другим подобным, который 100% ловит известные шифровальщики — вот это вопрос, да (но я об этом уже написал).
Тут случай совсем простой и банальный: не было ни атаки через «0day»-уязвимость, ни нового/ модифицированного вируса с неизвестной сигнатурой. А была обыкновенная халатность и безалаберность, «100500 лет так работаем и все всегда было OK, зачем что-то делать?»vilgeforce
27.01.2017 23:03«ни нового модифицированного вируса с неизвестной сигнатурой» — из чего сделан такой вывод? То что кто-то кого-то ловит когда-то — еще не значит что он его ловил в момент заражения.
sens_boston
27.01.2017 23:48Со слов автора поста:
По версии Kaspersky Lab: Trojan.Ransom.win32.Shade.
…
Как антивирус (не Kaspersky) пропустил зловреда — вопрос отдельный.
Русским языком написано вполне однозначно, по моему. Хотите точнее — переспросите у автора, что именно он имел ввиду (если я вдруг его неправильно понял).vilgeforce
27.01.2017 23:58Русским по белому там написано что пойманный автором троян относится к такому-то семейству троев по классификации такого-то вендора, не более того. Совершенно обычна ситуация, когда новый экземпляр не детектится, а семейство описано 4 года назад.
Я, кстати, не заметил у автора вообще ничего про установленный АВ, так что может даже при наличии детекта у Касперов, он бы заразился.
miktim
28.01.2017 11:56Время правки истекло. О порно-рассылках. Вы убеждены, что СПИД передается исключительно половым путем?
Taciturn
27.01.2017 22:36+1Подцепил = самостоятельно запустил с правами администратора?
miktim
27.01.2017 23:07-1Это тайна крыта мраком. Кликнул OK, не читая. Штатный ответ не только пользователя: я и мышью не шевелил.
miktim
27.01.2017 23:17Всем. Уже случилось.Чем валить на юзера, приму любые обвинения в некомпетентности, хотя не моя зона ответственности. Решения? Предложения?
Merzavets
28.01.2017 02:13+1Для шифрования файлов, лежащих в профиле пользователя (прежде всего — документов, музыки и картинок), права администратора не нужны. Система не затрагивается, а вот результаты собственной деятельности уничтожаются. Это ли не проблема? Собственно, поэтому автор и сравнил действие зловреда с нейтронной бомбой — она тоже ударную волну дает слабую, при этом архитектура и инфраструктура не страдает, а вот всё живое превращается в кисель.
Taciturn
28.01.2017 02:33+1Без прав администратора шифровальщики не могут удалить теневые копии (включённые по умолчанию начиная с Vista) и данные очень легко восстановить.
Evengard
28.01.2017 21:17Откровенно говоря я нигде не видел на машине включённых по умолчанию теневых копий, при том что я устанавливаю всегда исключительно с официальных источников лицензионные копии. На серверах да, но для пользовательских данных на локальном диске редко теневые копии включены.
Taciturn
28.01.2017 21:24+1Начиная с Vista восстановление системы использует теневые копии. Конечно, в отличии от серверной версии, нет GUI для их настройки, но копии создаются и данные с их помощью можно легко восстановить.
xRay
27.01.2017 22:43А тело зловреда в письме осталось или там переход по ссылке был?
Был случай на работе раскручивали зловреда с телом на .NET написанным. Было геморройно и муторно. У нас был зловред и мы его мучали в виртуалке по разному без инета с инетом. Смотрели что и как он делает.
Ни какие данные не были потеряны т.к. уже делали бекапы. :)
Параллельно отправили тело и примеры зашифрованных файлов в Kaspersky Lab.
Практически уже раскрутили весь алгоритм оставалось последний шаг и садится пробовать писать дешифратор, но пришла утилита для расшифровки из Kaspersky Lab.miktim
27.01.2017 23:19imap4, наверное остались. Ключи с сервера, не в теле заразы.
xRay
27.01.2017 23:40Ну можно отследить что и куда он пытается отправлять. Перед отправкой он их создает, но и тут бывают ньюансы есть особо хитрые которые только в памяти ключи держат т.е. на файловой системе файлы не создают.
Встречал несколько типов шифровальщиков. Одни без инета просто не начинают шифровать и вырубаются, другие проверяют наличие инета если нет все равно шифруют и после пытаются на сервера отправить ключи. Про шифровальщики которые работают без инета и он им не нужен не упоминаю т.к. их ключи внутри самих шифровальщиков.vilgeforce
27.01.2017 23:45С такими троями полный перехват траффика не поможет. Будет там примерно такое: «Я трой с машины именем „LOSHARA13“, хэш информации о компе… дай-ка мне публичный RSA ключ. Вот тебе публичный RSA ключ». И эта информация абсолютно бесполезна для расшифровки. И ровно по причине RSA использование ключа из троя тоже не даст возможности расшифровать данные.
xRay
27.01.2017 23:50-1Публичный ключ он и на компе может оставить толку-то от него, а приватный он на сервак шлет и перезатирает следы от ключей.
vilgeforce
27.01.2017 23:59Конкретно этот трой ничего не шлет из ключей, ему это не сдалось вот ну совсем. Ему достаточно получить с сервера или взять из тела. У авторов есть приватные ключи, не надо их на машине даже временно в памяти хранить.
Evengard
28.01.2017 21:19Стоп стоп стоп. Вы вообще о чём? AES использует shared key а не RSA public/private. Или всё же шифруется не AES-ом?
maximw
28.01.2017 22:55+1Не читал как именно это трой шифрует. Но самое простое, имхо. Зашить в троя публичный RSA, при старте сгенерить случайный ключ для AES, зашифровать им все, сам сгенеренный ключ зашифровать публичным RSA и куда-нибудь запрятать на винте. Интернет не нужен вообще, т.к. никуда ничего передавать не надо. Расшифровка только при наличии приватного ключа RSA, который и продают злоумышленники.
vilgeforce
29.01.2017 10:25Так примерно и есть, только зашифрованный AES даже прятать не надо.
maximw
29.01.2017 11:40С точки зрения сложности расшифровки, да, прятать не надо. Я имел ввиду прятать от случайного удаления самим владельцем информации.
vilgeforce
29.01.2017 11:46Стандартная практика — писать в хвост шифруемого файла зашифрованный сессионный ключ.
vilgeforce
День капитана неочевидность-невероятность?
«зашифровано парой ключей, полученных с C&C сервера, по алгоритму AES256CBC» для AES не нужна пара ключей, хватает одного. С сервера получается на пара, а один, но RSA. Брутить что CBC, что CFB одинаково, если имеется IV.
miktim
Имя файла и содержимое шифруются разными ключами. Обратитесь к источнику 2).
vilgeforce
Источник #2 неоднократно лажал на ниве энкодеров, спасибо, не надо.
vilgeforce
Но в этот раз лажанули конкретно вы: везде написано что с сервера он получает RSA-ключ.
miktim
Ради дела приму и не такие обвинения.
Читайте источник дальше.
vilgeforce
Мне его читать не надо, я этого трояна анализировал.
miktim
Анализ тела подтверждает, что пара ключей AES256 одна на все файлы клиента?
vilgeforce
Скорее всего это не так: авторы выдают для расшифровки приватный RSA-ключ, в чем не было бы надобности в случае 1-2 AES-ключей.
miktim
Мне сдается, rsa от авторов только за объявленный ценник. Решать сотруднику. Его не обнадеживал, наоборот.
vilgeforce
И все же, прочитайте источник #2, криптография в общих чертах описана верно.
miktim
Если там верно, ткните меня предметно в ошибки по тексту статьи.
vilgeforce
Ткнуто уже, в частности у вас фигня про то, что он получает с сервера.
miktim
Черт, запятые не там расставил. Моя вина.
miktim
Подправил.