CryptoLocker е писан, да работи на стандартни потребителски акаунти без
привилегии, и няма нужда от административни права, за да може да се
запише за автоматично стартиране, и да работи безпроблемно и
неограничено, и да прави каквото си иска, и както си иска.
Основният
му файл, и в папката на потребителя. Докато си играех с него, на моя
компютър, папката му беше c:\users\diabolik\appdata\local
След
стартирането си, веднага си слага произволно име. Мострата,с която си
играх, дойде с име Vcffipzmnipbxzdl.exe, и веднага след стартирането,
този файл изчезна, и се появи негово копие в
с:\users\diabolik\appdata\local с името Kikxhmreyzanzznxdxf.exe.
Имайте предвид че това са произволни имена, и че на всеки компютър, имената ще са различни.
Файла се скрива от поглед со командата Attrib +h +s
Навсякъде, се представя като CryptoLocker - Success ato - by Bronto Software company
Записва
се в регистри в HKEY_Current_User, в hive на текущият потребител, за да
се избегне нуждата от администраторски акаунт. Точният път в който се
записва е:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
И двата записа, водят към
c:\users\diabolik\appdata\local\Kikxhmreyzanzznxdxf.exe
Опитва
се да се прикрие, като при своето стартиране, премахва записите си от
регистри, и при рестартиране на уиндоус, или при спирането му, си ги
слага обратно в последния момент.
Ако заразеният компютър, няма достъп до интернет, CryptoLocker е безобиден, и много лесен, за премахване.
Ако
зараеният компютър, има достъп до интернет, дупе да ви е яко, и
портфела да ви е дебел, защото откупа, за да ви върне файловете е 10
Биткойн, и дедо боже не може да ви помогне. Дано имате читав бекъп. Ако
имате то си е във ваш плюс, ако нямате то си е ваш проблем, и ваше
притеснение.
CryptoLocker шифрова файловете на компютъра жертва,
след което изнудва собственика за паричен откуп срещу който ще дешифрова
файловете. Проблемът е там, че CryptoLocker шифрова всичко което се
вижда в Windows explorer и My computer включително шернати по мрежата
файлове, мрежови ресурси, мрежови устройства всякакви hoem network
устройства видими, ако имате NAS в локалната мрежа, който е достъпен в
my computer или windows explorer като network device също ще пострада от
CryptoLocker. Cloud Storage – Google Drive, Microsoft skydrive, amazon
S3, JungleDisk, SpiderOak и другите като тях също са уязвими от
CryptoLocker,защото са видими в Windows explorer и my computer.
В
случай че имате интернет, дупе да ви е яко, защото това чудо използва,
WindowsCryptoAPI, за да направи TLS 1.2 RSA 2048 битова PKI връзка с
команд и контрол, като Cryptolocker има публичния ключ, а коман и
контрол, има частния. Веднъж връзката установена, кояот всеки път е към
различен домейн, прави защитена обмяна на криптоключ по метода на Дифи и
Хелман, с която прехвърля 256 битов криптоключ, който се използва, за
шифроване на файловете на диска ви, с AES 256 битов алгоритъм. Разбира
се пак се използва WindowsCryptoAPI за целта.
Ако го хванете
преди да вие шифровал файловете, всичко точно, можете изключително лесн
да се оттървете от тази напаст, но ако го изпуснете, да ви шифрова
диска, сасение няма. Или трябва да платите откупа, в размер на 10
биткойн, за да си върнете файла, или.... както казах дупе да вие яко, и
дано да имате читав бекъп.
Обръщенията към WindowsCryptoAPI се през следните места в регистри:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced Cryptographic Provider v1.0
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced Cryptographic Provider v1.0\Image Path
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced Cryptographic Provider v1.0\Type
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider\Type
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft
Enhanced RSA and AES Cryptographic Provider\Image Path
Билбиотеките в WindowsCryptoAPI към които се обръща са:
За TLS 1.2 RSA 2048 bits PKI връзка:
C:\Windows\SysWOW64\rsaenh.dll
За локалното AES 256 bits криптиране на хард диска:
Използва библиотеките дефинирани в
HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
Настройките за достъп до интернет, ги копира от тези зададени на потребителя в интернет експлорер.
Cryptolocker отказва да направи незащитена връзка с команд и контрол
Диагностика и премахване.
Интересното
е че не се опитва да се крие като DLL подпроцес в някой процес, а
просто си отваря нов собствен процес, с името на файла на хард диска, и
този процес, си отваря собствен подпроцес със същото име. И двата
процеса се представят като CryptoLocker - Success ato - by Bronto
Software company
Спиране на процеса е лесно. Ако спрете само
основния или дъщерния процес, този който е останал, ще стартира тоя
който е спрян, но ако изберете спирането на цялото дърво на процеса, и
изберете основния процес, това ще спре едновременно основния и дъщерния
процес, при това, ПРЕДИ да може да си възстанови autorun ключовете в
регистри. Тоест, вече сте победили CryptoLocker. При рестарт ще си
остане един инертен файл на диска. Ако сте по-ербап, просто изтриите
файла от папката на потребителя, и цялата драма, е окончателно
приключена.
Откриването на autorun locations за CryptoLocker е
малко по-трудно, тъй като файла е маркиран като SafeBoot и се стартира в
режими:
Safe Mode
Safe Mode with VGA
Safe Mode with Networking
Заради това че CryptoLocker в тези режими се стартира, той си премахва autorun locatons и те пак няма да се видят
Но не се стартира в режим:
Safe Mode with comamnd prompt
Това
е най-лекият и най-простият режим. Тук CryptoLocker не се стартира, и
съответно autorun locations остават на място. С ръчното стартиране на
sysinternals autoruns от командния промпт, можетеда видите точните
autorun locations на cryptolocker и да ги премахнете.
Всички методи за премахване, важат само и единствено ако CryptoLocker не е шифровал файловете ви.
Ако
ги е шифровал, и да го махате, и да не го махате, все си губите
шифрованите файлове, така че все тая. Ако нямате читав бекъп, дупе да ви
е яко, и портфела да ви е дебел, защото откупа, за да ви върне
файловете е 10 Биткойн.
Monday, November 25, 2013
Wednesday, November 6, 2013
Етичен кодекс на хакера
1. Никога недей да вредиш някому по какъвто и да било начин и повод. Не повреждай компютри или унищожаваш файлове и информация, не злоупотребявай с услуги и програми.
2. Уважавай другите, и се съобразявай с тях, така както искаш те да те уважават и те да се съобразяват с теб.
3. Информацията трябва да е свободна, и да се развива, и да не бъде ограничена от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
4. Не вярвайте на властите. Защитавайте и поддържайте свободата и децентрализацията.
5. Оценявай някой по делата му, а не по пол, цвят на кожата, раса, религиозна принадлежност, обществено положение.
6. Използвай компютъра за да разобличаваш истината, такава каквато е.
7. Достъпа до компютърните системи трябва да е свободен. Идеи, технологии и разработки, познание и информация трябва да се обменят свободно и неограничено между всички, без да са ограничени от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
8. Защитавай и поддържай дискретността и неприкосновеността. Хората имат право да са анонимни. Не споделяй тяхната информация, без тяхното съгласие, и не използвай компютъра за да шпионираш и следиш и нарушаваш нечия неприкосновеност и анонимност.
9. Не похабявайте и не разхищавайте ресурсите на човека отсреща.
10. Информацията принадлежи на всички. Хората трябва да могат свободно да споделят информация, и да развиват информацията, без тя за е ограничена от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
11. Не привличай внимание. Не се набивай на очи, и се слей с обстановката и хората. Внимавай да не оставяш следи от действията си.
12. Споделяй информацията. Информацията е ценна, и полезна когато се обменя и развива. Ако тя се съхранява и не се използва, не се обменя и не се развива, тя е безполезна и без стойност.
13. Използвай знанията и уменията си, за да помагаш на другите.
14. Използвай компютъра, за да твориш красота под каквато и да било форма, на каквото и да било изкуство и стил.
15. Като Създаваш нещо, създай го така че другите след теб, да могат да го ползват лесно и безпроблемно, без то да е ограничено от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
16. Когато създаваш нещо споделяй го с останалите, без да е ограничено от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин, така както те го споделят с теб.
17. Винаги имай пълен контрол над нещата си. Никога не оставай каквато и да било информация, под каквато и да било форма за това къде се намираш, над какво работиш, как да се свържат с теб и системата ти.
2. Уважавай другите, и се съобразявай с тях, така както искаш те да те уважават и те да се съобразяват с теб.
3. Информацията трябва да е свободна, и да се развива, и да не бъде ограничена от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
4. Не вярвайте на властите. Защитавайте и поддържайте свободата и децентрализацията.
5. Оценявай някой по делата му, а не по пол, цвят на кожата, раса, религиозна принадлежност, обществено положение.
6. Използвай компютъра за да разобличаваш истината, такава каквато е.
7. Достъпа до компютърните системи трябва да е свободен. Идеи, технологии и разработки, познание и информация трябва да се обменят свободно и неограничено между всички, без да са ограничени от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
8. Защитавай и поддържай дискретността и неприкосновеността. Хората имат право да са анонимни. Не споделяй тяхната информация, без тяхното съгласие, и не използвай компютъра за да шпионираш и следиш и нарушаваш нечия неприкосновеност и анонимност.
9. Не похабявайте и не разхищавайте ресурсите на човека отсреща.
10. Информацията принадлежи на всички. Хората трябва да могат свободно да споделят информация, и да развиват информацията, без тя за е ограничена от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
11. Не привличай внимание. Не се набивай на очи, и се слей с обстановката и хората. Внимавай да не оставяш следи от действията си.
12. Споделяй информацията. Информацията е ценна, и полезна когато се обменя и развива. Ако тя се съхранява и не се използва, не се обменя и не се развива, тя е безполезна и без стойност.
13. Използвай знанията и уменията си, за да помагаш на другите.
14. Използвай компютъра, за да твориш красота под каквато и да било форма, на каквото и да било изкуство и стил.
15. Като Създаваш нещо, създай го така че другите след теб, да могат да го ползват лесно и безпроблемно, без то да е ограничено от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин.
16. Когато създаваш нещо споделяй го с останалите, без да е ограничено от патенти, парична цена, лицензи, акцизи, авторски права, цензура или по какъвто и да било друг начин, така както те го споделят с теб.
17. Винаги имай пълен контрол над нещата си. Никога не оставай каквато и да било информация, под каквато и да било форма за това къде се намираш, над какво работиш, как да се свържат с теб и системата ти.
Стойността на един хакнат е-майл
Говорейки, за ценното в един хакнат ресурс, много хора
подходиха, предвидимо, питайки че какво толкова искат, аз нямам нищо на рс,
нито сметки нито нищо, нито документи, така че няма за какво да ме хакват.
Оказва се че не е така, и има за какво да хакват един компютър, като например
кражба на самоличност, зомби за разпространение на спам, зомиб сървър за
хостване на педофилия, и какви ли не още неща дето преди хората не са и
сънували, и чак като им почукат качулките от НСБОП и ГДБОП, с твърдението ела
ми тука бе педофил, или ги намери адвоката на незнам си коя си банка с въпроса
– аа ти тоя кайен кога смяташ да го изплатиш? Се сещат че имало какво да се
губи, ама тогава е прекалено късно, дори за принципа ходи доказвай че нямаш
сестра. Това беше да си припомним накратко, за какво може да е ценно едно
хакнато РС.
Време е да видим за какво може да е ценен един хакнат
е-майл, и как това може да ви се отрази зле, въпреки, твърдението – аз не
получавам кой знае каква поща, и кой знае какви тайни, така че ми е все тая. Е
да де, ама това е един начин, някой да се представи за вас, и да го направи
убедително. А тогава се почва ама виж не бях аз, ама това твоя майл ли е? абе
моя е ама не бях аз. Мен може и да успеете да ме убедите в твърдението абе
сигурно има вирус и се разпраща сам, защото съм наясно с това, ама успех в
опитите ви да убедите другите дето не знаят че това е възможно и си мислят че
се ебавате с тях.
Subscribe to:
Posts (Atom)