Ransomware, včera dnes a zítra. Igor Hák ESET software spol. s r.o.

Ransomware, včera dnes a zítra Igor Hák ESET software spol. s r.o.

Obsah Historie Současné trendy Z pohledu AV společností Něco pozitivního na závěr 23. února 20I7

Historie ransomware AIDS Information Introductory Diskette rok: 1989 vektor šíření: diskety technika: AUTOEXEC.BAT a symetrická šifra platba: 189$ do PO boxu v Panamě důvod : porušení EULA peníze na prodloužení licence (90 startů) autor: Dr. Joseph Popp (nyní AMREF - Flying Doctors ) 23. února 20I7

Policejní virus během 2012 lokalizován bez šifrování dat jen blokovaný přístup do Windows postupné zdražování a zkvalitnění překladu Historie ransomware desítky variant po celém světě stavebnice 23. února 20I7

Historie ransomware Ransomware bez šifrování nutno zapůsobit jinak policejní zpráva / FBI / CIA co nejvíce informací o PC ( víme všechno ) foto oběti (z webkamery) alespoň do něčeho se trefit smyšlené informace o porušování autorských práv, přítomnosti dětské pornografie, nelegální software,... odnětí svobody na XX let 23. února 20I7

Policejní virus pomáhá! arstechnica.com Historie ransomware 23. února 20I7

2013 Historie ransomware nástup ransomware se šifrováním dat (CryptoLocker,...) postupné zdokonalování méně chyb lepší šifrování - stále menší šance na vznik dekryptorů od AV společností mazání stínových kopií vymazlenější... 23. února 20I7

vektor šíření: ulož.to windows crack office crack minecraft crack... Win32/Filecoder.Q šlo odšifrovat, část klíče v těle + v názvu souboru 23. února 20I7

Win32/Filecoder.Q

Ransomware Locky Nové-staré fígle šíření přes e-mail v příloze neškodná faktura.docx kdo pamatuje makroviry? využití autoopen makra stažení EXE havěti z internetu a spuštění 23. února 20I7

Nové-staré fígle

Ransomware Petya Nové-staré fígle jako pravý trojský kůň imitace CHKDSK 23. února 20I7

Nové-staré fígle

Ransomware as a service Satan vytvoř si svůj ransomware bez vstupních poplatků (na rozdíl od malware as a service) provizní systém (30% z každého zaplaceného výpalného pro autory) 23. února 20I7

Některé problémy: Z pohledu AV společností změna havěti per install / per download horizontální granularita havěti obálky (Kryptik) ztížit detekci (triky proti emulaci kódu, neběží na virtuálním prostředí,...) ztížit analýzu funkcionality zvýšit variabilitu proměnlivý klíč (analogicky: ZIP archiv pokaždé s trochu jiným formátem a jiným heslem) 23. února 20I7

Z pohledu AV společností

Něco pozitivního na závěr

Jigsaw ransomware Něco pozitivního na závěr ransomware lze obalamutit a zadarmo pak provede dešifrování { status : success, data :{ address : <bitcoinaccount>, balance :0, balance_multisig :0}, code :200, message : } { status : success, data :{ address : <bitcoinaccount>, balance :10, balance_multisig :0}, code :200, message : } 23. února 20I7

Smlouvejte o ceně! hi! 23. února 20I7 Něco pozitivního na závěr Your files are encrypted because you don't give enough attention to the safety of your system. To decrypt your data, you must to pay us. After payment we will send to you personal decoder. We are not liars or cheaters. You pay - we help. The more time you wait before you pay = the more expensive price. It's simple. Be reasonable. Now the price is 4 BTC. After 24 hours, the price will grow. Hurry up! all info about bitcoins here - https://localbitcoins.com/faq bitcoins buys here - https://localbitcoins.com/ our wallet - 1FwHxzFFGbAmmdkxhUUTEjocuDhEowDyuU this is your test file - https://dropfile.to/gnvuywj

Hello, Něco pozitivního na závěr no christmas discount? Igor Hak ------ Původní zpráva ------ Od: "Jiwani Aaron" <stopper@india.com> Komu: igi@viry.cz Odesláno: 12.12.2016 15:44:37 Předmět: RE: Crypted files & christmas time 23. února 20I7

Něco pozitivního na závěr Když to nejde odšifrovat hned, může to jít později! 23. února 20I7

Děkujeme za pozornost. 16. února 2011 Igor Hák ESET software spol. s r.o. hak@eset.cz