Wpis z mikrobloga

Skopiuj link

13.05.2017, 23:36:43

tak sobie teraz myślę, że ci hakerzy od WannaCry ransomware strasznie #!$%@? robotę...

Jeśli wierzyć zaufanej trzeciej stronie, wszyscy zainfekowani dostali jedynie trzy portfele, do których kazano im wpłacać bitcoiny.

Już tylko dzięki tej informacji wiadomo, że nikt swoich plików nigdy nie odzyska i faktycznie - brak jakiejkolwiek informacji od kogokolwiek z zainfekowanych, że pliki zostały odzyskane.

Efekt? Autorzy jednego z najsławniejszych ransomware wszechczasów zebrali do tej pory niespełna 13 BTC, co równa się zaledwie 22 000$, czyli około 85 000 PLN.

Śmiesznie niska kwota jak za coś o takiej skali.

Po prostu #!$%@? sprawę:)

#wannacry #hacking #informatyka #fial

dridex

14.05.2017, 00:23:38

@-PPP-:

brak jakiejkolwiek informacji od kogokolwiek z zainfekowanych, że pliki zostały odzyskane.

to że takiej informacji nie znalazłeś, nie oznacza że pliki są stracone

tfbeen

-PPP-

14.05.2017, 06:09:50

@dridex: pokaż mi przyjemniaczku jakieś wiarygodne info, że ktoś odzyskał 100% danych.

Jedyne co można odzyskać to te kilka plików, a potem każą płacić i nic z tego nie ma nawet jak zapłacisz.

dridex

14.05.2017, 09:33:58

@-PPP-: chyba nie wiesz za bardzo jak wygląda ekonomia malware typu ransomware. Czy wyobrażasz sobie że ktoś specjalnie szyfruje pliki ofiarom, oferując odszyfrowanie za $$ tylko po to, żeby nie mogli odszyfrować? W tym biznesie chodzi o to aby zapewnić że po zapłacie pliki wrócą, bo gdy pójdzie fama że po zapłacie nie można odzyskać plików, to kto by płacił?

elirath

14.05.2017, 09:42:36

@dridex: przecież @-PPP- napisał, że są tylko 3 portfele - autorzy #wannacry nie mają możliwości sprawdzić kto zapłacił a kto nie. Fama poszła. Nikt im już nie płaci.

-PPP-

14.05.2017, 09:43:20

@dridex: jedyny scenariusz w którym ludzie odzyskają pliki to taki, w którym hakerzy udostępnią klucz wszystkim ofiarom.

konto usunięte

A.....y

konto usunięte 14.05.2017, 15:19:39

@dridex: jedyny sposób odróżnienia w tym przypadku to generowanie oddzielnego portfela dla każdej zainfekowanej maszyny, ergo - twórcy ransoma prawdopodobnie w ogóle nie mieli zamiaru niczego odszyfrowywać tylko zdobyć jak najwięcej btc zanim ludzie się o tym dowiedzą
@-PPP-: tutaj chciałem odpisać :)

-PPP-

dridex

14.05.2017, 16:16:48

@-PPP-: @Al_Bundy: gdyby nie chcieli odszyfrowywać, to po co implementowali 2048-bit RSA ? Nie lepiej było nadpisać byle czym i prosić o adres? Poza tym, to że wszystko ma wpaść na kilka adresów od wielu klientów, nie oznacza że nikt nie odszyfruje plików - sprawdzaliście jak przebiega usługa zakupu i odszyfrowania, czy bazujecie na tym co pisze onet i wp ? ( ͡° ͜ʖ ͡°)

A.....y

konto usunięte 14.05.2017, 16:28:06

Komentarz usunięty przez autora

dridex

14.05.2017, 16:52:10

@-PPP-: @Al_Bundy: z tego co udało mi się przeanalizować, wcry działa w ten sposób że wczytuje plik do pamięci, tworzy nowy z nowym rozszerzeniem, szyfruje w pamięci dane i zapisuje je do nowego pliku, po czym usuwa stary. Wychodzi na to że od razy po zaszyfrowaniu można jeszcze #!$%@?ć urządzenie z prądu i próbować tradycyjnie odzyskać usunięty plik o ile nie został nadpisany.

A.....y

konto usunięte 14.05.2017, 20:39:54

@dridex: możesz mi próbkę podrzucić?

A.....y

konto usunięte 14.05.2017, 21:11:39

@dridex: a swoją drogą ta Twoja analiza nie bardzo zgadza się z tą http://blog.emsisoft.com/2017/05/12/wcry-ransomware-outbreak/

dridex

15.05.2017, 01:03:34

@Al_Bundy: no ja tam nie widzę nigdzie info o tym że zaszyfrowany strumień nadpisuje oryginalny plik. Wiem tyle ze tworzy nowy, z nowym nagłówkiem i rozszerzeniem, a stary usuwa. Masz pełno próbek (chociaż na tą chwilę jest ich kilka) więc sam sobie sprawdź jak przebiega procedura "obsługi" pliku przez ten malware

A.....y

konto usunięte 15.05.2017, 11:59:37