Цитата: Senya от 30.06.2017 19:26:43"Ничего не понимаю"(с)
Цитата: Senya от 30.06.2017 19:26:43Вариант 1 - я запутался и нифига не понимаю, что происходит. Буду благодарен, если мне кто-нибудь объяснит.
Вариант 2 - существует несколько разновидностей "Пети" с разным механизмом функционирования.
Вариант 3 - инет наполнен фейковыми скриншотами, не имеющими отношения к недавней атаке, а "специалисты и аналитики"тм бездумно перепечатывают чужие статьи, точно так же не имеющие отношения к происходящему.
Серьёзно, считаю первый вариант базовым, и если мне объяснят, что я дурак, ничуть не обижусь. Сам то, что я вижу, в голове утрясти не могу.
Цитата: Alex_new от 30.06.2017 19:59:30Сидишь , думаешь, как избежать таких неприятностей малой кровью....
И как то само собой наталкиваешься на мысль. Облако.....
А не от сюда ли ноги растут? Разве не толкают тех- кто хочет безопасности, переходить на облачные технологии.
Ведь обеспечить все требования стоит очень и много и в малом бизнесе не реально практически.
Цитата: Podli от 30.06.2017 20:04:52Как я и говорил выше - генерим AES ключ, шифруем под этим ключем диски, потом - шифруем AES ключ открытым RSA 2048 ключем, забитым в код вируса и оставляем его в зашифрованной форме жертве под графой "Your personal installation key:”. Всё чисто, как и стоило ожидать от профессионалов.
Цитата: ps_ от 30.06.2017 21:05:5260 символов - это приблизительно 300 бит. Достаточно, чтобы послать 256-битный AES key
Цитата: Podli от 30.06.2017 20:04:52Фейковые скриншоты - имеют место быть, потому как пейсателю статьи нужна картинко - берут первую попавшуюся из гугла.
Цитата: ps_ от 30.06.2017 21:15:51Так идея в том, что симметричный ключ генериться СЛУЧАЙНЫМ образом. Потом он шифруется открытым несимметричным ключом и оригинал СТИРАЕТСЯ.
Цитата: Senya от 30.06.2017 19:26:43Вариант 1 - я запутался и нифига не понимаю, что происходит. Буду благодарен, если мне кто-нибудь объяснит.
Вариант 2 - существует несколько разновидностей "Пети" с разным механизмом функционирования.
Вариант 3 - инет наполнен фейковыми скриншотами, не имеющими отношения к недавней атаке, а "специалисты и аналитики"тм бездумно перепечатывают чужие статьи, точно так же не имеющие отношения к происходящему.
ЦитатаIn previous versions of “similar” ransomware like Petya/Mischa/GoldenEye, this installation ID contains crucial information for the key recovery.
...
In a normal setup, this string should contain encrypted information that will be used to restore the decryption key. For ExPetr, the ID shown in the ransom screen is just plain random data.
Цитата: Senya от 30.06.2017 20:38:44Да, вот это мне прекрасно понятно. Переспрошу ещё раз. Я не могу представить, кто и что может сделать вот с этой информацией (взято по той же майкрософтовской ссылке)
Какой смысл пересылать кому-либо это буквосочетание, 10 групп по 6 символов? Откуда и для чего оно взялось?
Цитата: k0t0b0i от 30.06.2017 21:37:36Это ключ AES-128, зашифрованный на открытом ключе RSA и закодированный в BASE58. Операции шифрования и кодирования дают избыточность, поэтому 128 бит после них превращаются в 300 бит. Кодирование нужно для того, чтобы получившаяся битовая последовательность могла быть представлена в виде корректно отображающихся текстовыми редакторами символов ASCII
Цитата: Senya от 30.06.2017 21:44:55Про BASE я знаю сам кодировщики/раскодировщики и писал и разными библиотеками пользовался. Вот только с какой длиной ключа RSA мы получим около 300 бит шифртекста?
Цитата: Senya от 30.06.2017 21:44:55Про BASE я знаю сам кодировщики/раскодировщики и писал и разными библиотеками пользовался. Вот только с какой длиной ключа RSA мы получим около 300 бит шифртекста?
Цитата: k0t0b0i от 30.06.2017 23:30:54Ключ формировался по принципу разделяемого секрета.
Цитата: k0t0b0i от 01.07.2017 00:01:16А если криптографы идут в криминал... Бяда.
Цитата: Senya от 01.07.2017 06:40:28Не согласен. Прятать часть ключа на диске в расчёте что не сразу найдут - security through obscurity - для криптографа детский сад штаны на лямках. Наколенное поделие дилетанта. Там ещё один открытый кусок должен быть - генерация ID из второй части ключа в коде вируса, которую тоже обязательно нужно было найти и реверсировать (собственно после этого даже nonce на диске можно не искать, вирус сам обязан его подхватить и расшифровать корректно). Если не в таком уж гигантском коде вируса искали целых 4 месяца, работал _очень_ хороший программист.
Цитата: Podli от 30.06.2017 20:07:59Облако вам не поможет от слова никак. Все розовые сопли про магические облака очень сильно отличаются от реальности. Даю подсказку - машина или хранилка в облаке ничем не отличается от оной в соседнем кабинете.
Для понимания, что есть облако, нужон экскурс в историю, где закопаны причины появления оных, их плюсы и минусы.
Цитата: Alex_new от 01.07.2017 09:47:27Факты и выводы от сообщения в моем посте. То что Вы написали- базируется ТОЛЬКО на ваших мыслях. И так как журналисты могут писать и правду то являются одной из версий которая, как вы указали - ни на чем не основана. То есть Ваша информация основана на просто ваших мыслях.
Скорее всего там идет речь о банальном уничтожении программ- данных для производства - которые в таких системах готовятся и уже потом передаются для работы.
По факту есть информация журналистов из которых и следуют мои выводы- если они достоверные.
все остальное бабушка на двое сказала.
Цитата: Alex_new от 01.07.2017 09:40:17Из описания работы как раз таки следует, что внешние - зашаренные устройства не шифруются....
То есть поможет.
А отличается как раз тем- что вирус туда не пройдет....комп не в сетке а в интернете...
По этому как раз и получается- самый простой выход...Хранить копии в облаке.
Цитата: k0t0b0i от 01.07.2017 09:35:49Вы сейчас обозвали дилетантом Ади Шамира
Цитата: k0t0b0i от 01.07.2017 09:35:49Схема с разделением секрета - это когда два не доверяющих друг другу человека (в данном случае - шантажист и терпила) должны выполнить криптографическую операцию только сообща.
Цитата: Senya от 01.07.2017 11:33:38С точки зрения криптографии, максимум уровень студента-третьекурсника непрофильной специальности.