Първи криптиращ вирус, написан на езика Go, засякоха от антивирусната компания Dr.Web. Злонамереният софтуер носи името Trojan.Encoder.6491.
При стартиране, Trojan.Encoder.6491 се самоинсталира в системата под името Windows_Security.exe, пояснява Dr.Web. След това започва да криптира съхраняваните на диска файлове с помощта на алгоритъма AES.
В процеса на работа вирусът пропуска файлове, в имената на които се съдържат tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, Recycle.Bin, System Volume Information, Boot, Windows, .enc, Instructions и Windows_Security.exe.
Троянецът криптира 140 типа оригинални файлове по метода Base64, след което им приписва разширение .enc и отваря в прозорец на браузъра файла Instructions.html с искане за откуп в криптовалута биткойн (bitcoin).
Trojan.Encoder.6491 е умен вирус, който проверява през определени периоди баланса на биткойн-портмонето, където потребителят трябва да преведе искания откуп. При наличие на превод, троянецът автоматично разкодира криптираните файлове, като използва вградена функция.
Base64 е група от подобни кодиране двоичен в текст схеми, които представляват двоични данни в ASCII низ формат, като я превеждат в корен -64 представителство. Терминът Base64 произхожда от определен кодиране трансфер MIME съдържание .
Всеки base64 цифра се нуждае точно 6 бита информация да бъде представена.
Киро, това е RSA, което го казваш, или друг асиметричен алгоритъм. В случая ползват АЕС, което е симетричен.
Според мен генерира някакво уникално за компютъра ID, и после през уеб услуга на база него сваля ключа за АЕС криптирането. Така дори с дебъг ще стигнеш до там, че се обръща към интернета, и от там получава ключа.
Да, ама частния ключ не се съхранява локално, а на отдалечен сървър, а публичния локално.
Като ползва симетрично АЕС криптирани би трябвало да може да се декриптира като се дебъгне.
дреме ми на патока!
всичко се дублира в облака:-))
unix/Linux