Dr shifro ru

Кто такие Dr. Shifro? «Декодеры» или «переговорщики»?

Dr shifro ru

   Небольшая информация о схемах с посредничеством и о том, как можно попробовать восстановить базы данных 1С и Mssql после атаки шифратора.Мне часто пишут и звонят по поводу расшифровки файлов. Виной всему есть информация на моём сайте по расшифровке файлов.
Несколько лет назад, когда шифровальщики были еще не такими продвинутыми, были шансы восстановить информацию.

Большую часть информации, удавалось восстановить посредством теневых копий или при манипуляциях с остатками шифраторов. Также, в крайних случаях, создавал запросы в тех. поддержку Лаборатории Касперского. Об этом, есть вся информация на моем сайте. Однако, последнее время, восстановление файлов после шифровальщиков, является трудоемким процессом и не приносящим желаемого результата.

Основная причина в том, что современные шифровальщики, умеют теперь затирать теневые копии, шифруют резервные копии, используют сеть TOR, храня ключи расшифровки на своих серверах. Соответственно, если и раньше шансы на расшифровку/восстановление файлов после шифровальщика были мизерными, теперь они вообще сводятся к нулю.

Однако, несмотря на то, что четко, честно и простым языком написал об этом на своем сайте в статье что привел выше, люди по прежнему пишут и звонят. Примечательно, что по тому как люди пишут/начинают говорить, видно, что они вообще не читали там ничего. Их интересует только результат и цена.

Оно и понятно, что при поиске способов по расшифровке файлов, людей интересует результат, а вот каким образом это будет деланно, им не важно. При попытке объяснить им, что это не просто и нужно для начала понимать, что за шифратор у них отработал и есть ли вообще хоть какой-то шанс помочь, они начинают говорить, что в другой фирме, им уже предложили решение, только дорого.

И тут, начинается самое интересное.Об этой фирме, мне известно уже не один год. Она на слуху у многих. В свое время, написал о ней безымянную статью на своем сайте (в статье не указано название данной конторы):
Вирусы-шифровальщики. Мифы и реальность. Заключение.При этом, число людей, которые пишут мне и упоминают о ней, постоянно возрастает.

И самое страшное то, что люди верят в способность той фирмы расшифровывать данные.
Учитывая, что тема достаточно известная и интересует многих, решил все же написать небольшой «просветительский» обзор этой фирмы на своем блоге.

В данной заметке, не буду скрывать название фирмы и приведу максимум информации на достоверные источники, чтобы думающий человек мог понимать, с кем он имеет дело, когда обращается в ту компанию.Компания Dr. Shifro существует в России уже не первый год. Dr. Shifro услуги по расшифровке файлов предоставляют по странам СНГ. Все бы хорошо, да есть большое «НО».

Когда писал свою статью на сайте, даже не знал, что о Dr. Shifro есть отзывы и статьи с похожей информацией и с похожим исследованием, как написал у себя в статье «Вирусы-шифровальщики. Мифы и реальность. Заключение.» Понимая, что моей статьи с экспериментом, людям будет мало, решил сделать подборку.

Например, есть оригинальная статья, которую рекомендую вам прочитать:https://research.checkpoint.com/2018/the-ransomware-doctor-without-a-cure/На русский язык, можете перевести через переводчик, там нет ничего сложного.Из статьи мы видим, что сам представитель Dr. Shifro, «спалился» на посредничестве.
А вот статья на Хабр-е: https://habr.

com/ru/post/432468/И советую вам прочитать мою статью, где описал эксперимент проведенный с Dr. Shifro:Если вы читаете данную статью, хочу чтобы вы правильно меня поняли. У меня нет цели оскорбить, унизить, оклеветать сотрудников Dr. Shifro. Это же касается и представителей Dr. Shifro, если они вдруг прочитают данную заметку.

Есть большая разница между расшифровкой файлов и оказанием услуг при проведении переговоров со злоумышленниками. Компании Dr. Shifro как по мне, нужно было идти по второму пути. Тогда бы к ним и вопросов было бы меньше. Ведь в чем проблема, если клиенты Dr. Shifro платят за результат, который получают? Вам нужно обязательно указывать в договорах, что расшифровка файлов Dr.

Shifro делается исключительно собственными силами, не передавай на субподряд третьим лицам? Ну и в целом, если компания нашла способ платить за расшифровку не нарушая законы, а клиенты получили возможность вернуть свои файлы, не связываясь с теми же биткоинами, не засоряя свою отчётность сомнительными операциями, то вполне справедливая цена за «ноу-хау» и взятие на себя рисков сомнительных операций со стороны Dr. Shifro.Как показывает практика, после оплаты файлы восстанавливаются. Кто-то возможно сейчас скажет, что это хитрая рекламная статья в защиту Dr. Shifro. Увы, люди всегда будут говорить…, а суть в том, что Dr. Shifro не расшифровывают данные после заражения вирусами-шифровальщиками. Что-бы они там не говорили и не доказывали, Dr. Shifro посредники между пострадавшим клиентом, который к ним обращается с просьбой расшифровать их данные и злоумышленниками, которые заразили и зашифровали данные клиента, обратившегося к Dr. Shifro.
Dr. Shifro выкупает ключи расшифровки у преступников и перепродает их вам. Все, на этом услуги Dr. Shifro по «расшифровке» заканчиваются. И у меня нет цели сейчас разбираться, хорошо это или плохо. Вы сами решайте, а мое мнение четко написано в статье на моем сайте, что приводил выше. Все, что вы должны понимать, это то, что Dr. Shifro выдает свою схему, как свою реальную работу по расшифровке файлов (нередко главный представитель Dr. Shifro  пишет, что они/он обращаются за помощью к сторонним программистам). И этим, вводит в заблуждение пользователей/клиентов, которые не понимают, что нет способа расшифровать их файлы и остается только вопрос оплаты выкупа тем, кто зашифровал их файлы, а Dr. Shifro выступает посредником (хотя они это отвергают).
На мой взгляд, человек должен понимать, на что он соглашается, а просто доказывать, что все вокруг во всем мире дураки и не могут расшифровать файлы после шифратора HARMA, а Dr. Shifro умеет расшифровывать и единственная компания во всем мире, является явной дезинформацией.
И когда слышу по телефону или мне пишут, что вот мне в Dr. Shifro прислали расшифрованные файлы в доказательство, значит расшифровать можно, это вызывает огорчение у меня.
Ведь по сути не важно, платите вы на прямую преступникам или через посредников, вы спонсируете преступные структуры, которые и дальше будут развивать свое детище на ваши же деньги. Нередко сталкиваюсь, когда компании постоянно попадают на шифраторов и регулярно платят выкуп. Их данные настолько ценны, что они просто вынуждены платить выкуп. И у меня постоянно возникает вопрос, неужели нельзя потратить эти 3 тысячи долларов на защиту от шифровальщиков, а не постоянно платить выкуп? Это так, для размышления…
Проблема не в том, что Dr. Shifro посредники, а проблема в том, что они вводят в заблуждение своих клиентов, выдавая свою схему за реальную расшифровку файлов, хотя на самом деле, выкупают ключи расшифровки и перепродают их. И люди верят. Это приводит к тому, что потом появляются такие темы:
А хорошее они делают дело или нет, решать не мне. В любом случае, есть ситуации, когда приходится платить выкуп. И в таком случае, человек стоит перед выбором, оплатить выкуп на прямую преступникам или без всякой волокиты воспользоваться услугами по «расшифровке» от Dr. Shifro.Надеюсь, думающие люди, смогут теперь дать ответ на вопрос: «Кто такие Dr. Shifro? «Декодеры» или «переговорщики»?».Простая истина: «Чудес не бывает. Если бы стойкие шифры вскрывались «на раз», то вся криптография не имела бы смысла. Да, злоумышленники совершают ошибки, и в некоторых случаях, испорченные ими файлы можно расшифровать/восстановить, но происходит это далеко не всегда».

Полезно прочитать: Сервисы расшифровки файлов часто вступают в сговор с вымогателями.

На заметку: 

Криптографическаястойкость — свойство криптографического шифра противостоять криптоанализу, тоесть анализу, направленному на изучение шифра с целью его дешифрования. Дляизучения криптоустойчивости различных алгоритмов была создана специальнаятеория, рассматривающая типы шифров и их ключи, а также их стойкость. Источник Википедия…

Если проще, то всовременных шифровальщиках (например DHARMA, NCOV…) используется надежный алгоритм шифрования.

А изэтого делается вывод, что контора/человек, который пытается продать дешифровку, связан спреступниками и скорее всего является посредником, который имеет свой процентот сделки (отсюда и огромный ценник).

В случае, когда данные важны, остается только или иметь дело с преступниками, или посредниками. В некоторых случаях можно восстановить БД1С, т.к. шифровальщик не шифрует большую базу целиком (смотрим ниже)… с обычными файлами такне работает.

Вопрос: «А как восстановить базу данных 1С и Mssql после атаки шифратора»? Пользуясь случаем, рекомендую, если у вас пострадали базы данных 1С и Mssql после вирусов-шифровальщиков, и вам нужно восстановить базу данных, а резервных копий нет или не было, стоит посмотреть тему на форуме:Проект S.

lab предоставляет платные услуги по восстановлению баз данных (1С7, 1C8 и MSSQL) после атаки шифровальщика. Учтите, что проект S.lab, это не посредники. Проект S.lab оказывает помощь в восстановлении на программном уровне, только самих баз данных 1С и Mssql.

Повторюсь, речь идет не о расшифровке всех файлов/баз, речь идет о программном восстановлении именно только самих баз данных, при условии если это вообще реально сделать.

Поэтому, если вам нужно восстановить базы данных 1С и/или Mssql и вы не хотите платить выкуп преступникам или делать это через посредников, стоит воспользоваться услугами S.lab на форуме safezone.

ccДля бесплатной помощи в расшифровке файлов и для получения достоверной информации по вашей ситуации, можете создать тему на одном из форумов:Для идентификации типа вымогателя, настоятельно рекомендую использовать ID Ransomware.

Есть полезный блог, с большим количеством статей, советов и дешифраторов:
https://id-ransomware.blogspot.com который стоит посмотреть.

Появилась бесплатная утилита от ЛК для расшифровка Trojan-Ransom.Win32.Shade для всех, кто пострадал от данного шифратора до 06.2020 (шифровальщик Код да Винчи): https://pc103help.blogspot.com/2020/08/besplatnaja-rasshifroa-trojan-ransom-win32-hade-kod-da-vinchi.html 
Бизнес-предложение для фирм, предприятий, частных лиц и организаций.

Резервное копирование данных, защита данных от потерь, организация удаленного офиса для сотрудников, настройка бухгалтерии в облаке, VDS/VPS, опытная и отзывчивая поддержка, обслуживание и сопровождение на базе TUCHA.UA. Данное предложение актуально для коммерческих и государственных структур.Узнать больше…

Если есть вопросы, дополнения и поправки, оставляйте комментарии.

“,”author”:null,”date_published”:”2020-01-04T00:00:00.000Z”,”lead_image_url”:”https://1.bp.blogspot.com/-2N-6VWJo_H8/XyK-QTMsQ1I/AAAAAAAACog/Eu9oUJ9mSQolxIyOoaFzuFcTZT2tewIrwCNcBGAsYHQ/w1200-h630-p-k-no-nu/947e6bea71e1ef15c0406cb7d3a2fe5b.png”,”dek”:null,”next_page_url”:null,”url”:”https://pc103help.blogspot.com/2020/07/kto-takie-dr-shifro-dekodery-ili-peregovorshhiki.html”,”domain”:”pc103help.blogspot.com”,”excerpt”:”Сборник советов, которые позволят новичкам в IT, самостоятельно решать проблемы.”,”word_count”:1492,”direction”:”ltr”,”total_pages”:1,”rendered_pages”:1}

Источник: https://pc103help.blogspot.com/2020/07/kto-takie-dr-shifro-dekodery-ili-peregovorshhiki.html

«Гении дешифровки» из России оказались в сговоре с вымогателями-шифровальщиками

Dr shifro ru

Компания, якобыпомогавшая восстанавливать данные, атакованные шифровальщиками, на деле выступалав роли посредников и просто выкупала ключи шифрования у вымогателей, выставляяза свои услуги очень круглые суммы.

Российская компания Dr. Shifro, которая утверждала, что ееспециалисты способны помочь расшифровать данные после атак любых шифровальщиков-вымогателей,как оказалось, вела мошенническую деятельность. Фактически, она просто покупалау операторов шифровальщиков ключи «со скидкой», взимая с клиентов весьмакруглые суммы.

Эксперты отечественной ИБ-компании Check Point,исследовавшие новейшую разновидность шифровальщика Dharma, заподозрилинеладное, когда наткнулись на сайт этой никому ранее не известной фирмы,рекламировавшей восстановление файлов после атак Dharma, Bomber, Cryakl и ряд других.

Дело в том, что Dharma использует ассиметричное шифрованиепо алгоритму RSA-1024. Производительность современного оборудования в теориипозволяет декодировать данные, зашифрованные с помощью этого алгоритма, но дляэтого потребуются годы, а то и десятилетия.

Однако экспертам Check Point удалось каким-то образомознакомиться с перепиской между Dr. Shifro и одним из клиентов, и выяснить, чтомежду отправкой зашифрованных файлов и их расшифровкой прошло всего два часа.

«Дешифровщик» выкупал приватные ключи у операторов шифровальщиков

В то, что Dr. Shifro действительно способна победитьRSA-1024, эксперты не поверили и предположили, что дешифровщик в реальностиявляется чем-то вроде посредника между операторами шифровальщика и их жертвами.

«Такой быстрый ответ мог означать две вещи: либо у Dr.Shifro уже были приватные RSA-ключи для данного случая заражений, либо что он(Sic!) постоянно общается с оператором шифровальщика и получает их», — написалив своем отчете эксперты Check Point.

Ловушка с капканом

Чтобы проверить теорию, в Check Point организоваливиртуозную ловушку.

Несколько файлов были зашифрованы с помощью того жеалгоритма, которым пользуется Dharma, с использованием свежесгенерированногопубличного ключа.

Кроме того, эксперты создали почтовый ящик, якобыпринадлежащий оператору шифровальщика, и встроили его в наименованиязашифрованных файлов. А затем отправили это все в Dr. Shifro с просьбой помочь.

На два дня установилась тишина. Затем на фальшивый адреспришло письмо с просьбой предоставить ключ дешифрования и предложением оплаты вбиткоинах. Только эксперты Check Point и люди, стоящие за Dr. Shifro, зналиэтот адрес.

В ходе дальнейшей переписки между «оператором шифровальщика»и Dr Shifro последний признал, что является посредником междукиберзлоумышленниками и жертвами шифровальщика и с 2015 г. регулярно выкупаетключи шифрования, не задавая вопросов. Впрочем, Dr. Shifro запросил скидку.Мнимые вымогатели требовали 0,2 биткоина, а Dr. Shifro попросил скинуть цену до0,15 биткоина.

Эксперты Check Point на этом прекратили коммуникацию от лицавымогателей, а затем от лица пострадавших запросили новости. И получили ответ: «Мысмогли расшифровать ваши файлы. Стоимость инструмента для расшифровки составляет150 тыс. руб. + 5 тыс. руб. за выезд специалиста…».

По подсчетам CheckPoint, в случае выплаты этой «премии», Dr.Shifro получил бы примерно на $1 тыс. больше суммы, которую изначально требовалимнимые вымогатели.

Без явного криминала

В дальнейшем эксперты Check Point смогли вычислить личностьчеловека, создавшего Dr. Shifro: как ни странно, он с готовностью выслал сканысвоих подлинных документов перед подписанием договоренности. При этом электронныйадрес на сайте Dr. Shifro использовался в нескольких аккаунтах в соцсетях, такчто в итоге экспертам из Check Point удалось вычислить его настоящую страницу во«».

Эксперты отметили, что, хотя деятельность Dr. Shifroявляется весьма неэтичной, строго говоря, ее трудно назвать незаконной (несчитая недобросовестной рекламы).

Проблема в том, что подобные вещи могуттолько дополнительно повысить и без того высокую привлекательность шифровальщиковдля киберкриминала: люди и организации охотнее заплатят те же деньги «расшифровщикам»,даже мнимым, чем выкуп злоумышленникам.

Характерно, что Dr. Web, например, уже идентифицирует сайтDr. Shifro как потенциально опасный.

«По-видимому, создатель этого бизнеса расчитывает на то, чтожертвы не будут пытаться выяснять текущий курс биткоина и считать, сколько онипотеряют при прямой выплате выкупа, — говорит Олег Галушкин, директор по информационной безопасности компании SECConsult Services. — В результате “посредник” получает существенную комиссию скаждой такой операции, особенно, если ему удается выбить скидку».

Источник: https://zoom.cnews.ru/soft/news/top/2018-12-10_genii_deshifrovki_iz_rossii_okazalis_v_sgovore

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.