Бдпс что это такое расшифровка: БДДС. Как расшифровывается? И чем отличается от БДР? — Финансы на vc.ru

0

Использование:
chksum MSB11-FW.BIN 8 0

Где 8 — размер слова, а 0 — смещение файла

ИЗВЛЕЧЕНИЕ ФАЙЛОВ

Фактические данные файла начинаются с 0xF0. В целях анализа данные в 0xF0 будут обозначаться как FILE_0 , а данные в 0x2000F0 будут обозначаться как FILE_4 .

Следующий код C ++ извлекает эти файлы:

Использование:
extractfiles MSB11-FW.BIN.dec

В этом случае будут созданы FILE_0 и FILE_4 .

FILE_0, по-видимому, содержит загрузчик (ы), а FILE_4 содержит основную файловую систему

Данные в FILE_4 содержат таблицу двоичной информации (BIT) и таблицу информации о разделах (PIT).

ТАБЛИЦА РАЗДЕЛОВ

PIT начинается с магического числа 0x50495469 , повторяемого 2 раза, и заканчивается 4-кратным повторением 0x69544950 .

Следующие 8 байтов после первого магического числа неизвестны. За ними следуют записи PIT, каждая длиной 32B:

Каждая запись PIT содержит Дополнительная информация PIT (мой термин, а не Sony) при указанном смещении файла.Эти данные начинаются с 0x8530EADC , повторяемого 2 раза. Затем имеет следующий заголовок:

Каждый элемент затем содержит:

Каждый раздел также имеет соответствующий BIT, описанный ниже.

БИНАРНАЯ ИНФОРМАЦИОННАЯ ТАБЛИЦА

Бит начинается с 5-кратного повторения магического числа 0x8530ABCD и заканчивается 5-кратным повторением 0x8530EFEF .

Каждая запись BIT имеет длину 20B и имеет следующую длину:

Глядя на данные по каждому смещению, можно определить тип файла.Например, 0x73717368 — это магическое число для файловой системы Squash, 0x474E5089 для изображения PNG, 0x561 для файла uImage.

Если данные начинаются с магического числа 0x0x8530AFBE , повторенного 2 раза, это дополнительная информация о битах со следующим заголовком:

Каждый элемент затем содержит:

КОНТРОЛЬНАЯ СУММА

Поле контрольной суммы начинается с 0x53526F58 («XoRS») и заканчивается 0x586F5253 («SRoX»).Он должен быть длиной 4 байта и содержать XOR каждого 4-байтового слова в файле, не включая это поле контрольной суммы.

ВЕРСИЯ

Поле Версия начинается с 0x56655253 («SReV») и заканчивается 0x53526556 («VeRS»). Он должен быть длиной 4 байта и содержать версию этого типа файла (= 0x2313).

ИЗВЛЕЧЕНИЕ ПОДФАЙЛОВ

Следующий код C ++ извлекает подфайлы SquashFS с именем squash_ [идентификатор раздела] , которые содержат большую часть файловой системы.Его можно легко изменить для извлечения файлов других типов:

И этот код C ++ отображает информацию о формате файлов Sony и проверяет очевидные ошибки, такие как слишком маленький размер разделов или перекрытие файлов на разделе:

Использование:
extractubfiles FILE_4

В этом случае будут созданы squash_17 и squash_20. squash_17 крупнее и содержит основную прошивку. squash_20 меньше по размеру и, похоже, используется только при обновлении прошивки.

parsesonyformat FILE_4

Будет отображен вывод и проверка ошибок.

НЕПРЕРЫВНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Как отмечалось выше, основная прошивка находится в файле Squash File System (squash_17). Его можно просто извлечь, используя unsquashfs на компьютере с Linux. Однако, чтобы гарантировать, что модифицированный дубликат может быть максимально приближен к оригиналу, была создана модифицированная версия unsquashfs и mksquashfs.Эта измененная версия сохраняет всю информацию о файле в другом временном файле при извлечении и использует этот временный файл в качестве входных данных при повторном сжатии. Таким образом гарантируется, что все атрибуты файла и информация о ссылках точно такие же, как в оригинале. Неясно, действительно ли этот шаг необходим, но он был предпринят в качестве меры предосторожности.

Независимо от того, используете ли вы unsquashfs или пользовательский REsquashfs, теперь вы должны получить извлеченные файлы в прошивке.

Код C ++ для REsquashfs выглядит следующим образом:

Использование обычных unsquashfs для отмены сжатия файла:
unsquashfs -d extract squash_17

где extract — это каталог извлечения.

И для нормального mksquashfs для создания нового файла сквоша:
mksquashfs extract squash_17_mod

Аналогичным образом для модифицированного REsquashfs, чтобы отменить сжатие, файл имеет следующий вид:
REsquashfs -d extract squash_17

И для модифицированного REsquashfs2 для воссоздания нового файла сквоша:
REsquashfs2 extract squash_17_mod

refile.bin будет создан REsquashfs и использован REsquashfs2, содержащий информацию о файлах и ссылках.Обратите внимание, что файлы можно изменять только с помощью этого метода, но не создавать или удалять. Создание и удаление теоретически возможно, но потребует некоторых изменений.

ИЗМЕНЕНИЕ ФАЙЛОВ

Файлы теперь можно изменять по желанию. Основная программа, которая запускается во время работы проигрывателя Blu-Ray, — это / usr / local / bin / bdpprog. (заплатка удалена из-за опасности кирпича)

ВСТАВКА ПОДФАЙЛОВ

Теперь вы, надеюсь, изменили свои файлы и воссоздали файловую систему Squash, описанную выше.

Следующим шагом является повторная вставка файловой системы Squash File System в формат файла Sony (FILE_4). Формат файла описан выше. Код C ++ для вставки подфайла выглядит следующим образом:

Это основано на parsesonyformat.cpp выше. Использование:

inserttsubfile squash_17_mod 3079712 FILE_4 FILE_4_MOD

Где 3079712 — BINARY FILE OFFSET , полученный из файловой системы Squash (squash_17), определяемый запуском parsesonyformat .FILE_4_MOD будет создан с новым squash_17_mod, заменяющим исходный squash_17, а другие смещения файлов будут скорректированы в зависимости от разницы в размерах.

ВСТАВКА ФАЙЛОВ

Измененный FILE_4 затем может быть повторно вставлен в двоичный файл MSB11-FW.BIN.dec

Следующий код C ++ вставит этот файл и при необходимости изменит любые смещения:

Использование:

файл вставки MSB11-FW.BIN.dec 4 FILE_4_MOD MSB11-FW_MOD.BIN.dec

Где 4 — это файл, который нужно изменить (соответствующий FILE_4_MOD), а MSB11-FW_MOD.BIN.dec — это новый модифицированный декодированный двоичный файл.

ИЗМЕНЕНИЕ ДАТЫ И ВЕРСИИ

Обновление не может быть выполнено, если указанная дата и версия не новее, чем текущая версия в проигрывателе Blu-Ray. Чтобы изменить эти значения в файле .BIN, это можно сделать вручную с помощью шестнадцатеричного редактора или можно использовать следующий код C ++:

Использование для изменения подрывной версии:

модверсия MSB11-FW_MOD.BIN.dec V M11.R.0370

И изменить дату:

модверсия MSB11-FW_MOD.BIN.dec D 2012051100

Приведенные выше изменения должны позволить выполнить обновление с M11.R.0369 до самой модифицированной версии. Однако он по-прежнему будет идентифицировать себя как 0369, поскольку он жестко запрограммирован в bdpprog.

ПЕРЕКОДИРОВАНИЕ

Измененный MSP11-FW_MOD.BIN.dec можно перекодировать с помощью:
lut E MSB11-FW_MOD.BIN.dec hex_substitution_01 MSB11-FW.BIN

Теперь необходимо заново создать файл .ID. Он содержит первые байты 0xA0 файла .BIN и заполненную контрольную сумму. Следующий код C ++ повторно создаст файл .ID.dec ( DECODED ID):

Использование для создания файла .ID :

genid MSB11-FW.BIN MSB11-FW_MOD.BIN.dec MSB11-FW_MOD.ID.dec
Входными данными являются закодированный файл BIN, декодированный файл BIN, а на выходе — новый декодированный файл идентификаторов (MSB11-FW_MOD.ID.dec)

Измененный MSP11-FW_MOD.ID.dec можно перекодировать с помощью:
lut E MSB11-FW_MOD.ID.dec hex_substitution_01 MSB11-FW.ID

Теперь прошивка готова к обновлению на вашем проигрывателе Blu-Ray ( НА ВАШ СОБСТВЕННЫЙ РИСК !!! )

ФАЙЛОВЫЙ ПРОЦЕСС BASH

Эти шаги были автоматизированы в файлах bash следующим образом:

• rebuild.sh: используйте g ++ для компиляции каждого исходного файла (ленивая версия make-файла).
  Обратите внимание, что модифицированный mksquashfs имеет собственный make-файл, который необходим для независимой сборки REsquashfs. Затем исполняемые файлы необходимо скопировать в основной каталог.
• step1.sh:
  • декодировать файлы во «входном» каталоге
  • извлечь файлы из двоичного файла
  • извлечь субфайлы сквоша из FILE_4
  • unsquash squash_17
• step2.sh:
• step3.sh:
  • resquash squash_17_mod
  • используйте unsquash для просмотра исходного и измененного содержимого для сравнения
  • повторно вставьте squash_17_mod в FILE_4_MOD (пользователь должен убедиться в правильности расположения с помощью parsesonyformat )
  • повторно вставьте FILE_4_MOD в MSB11-FW_MOD.BIN.dec
  • изменить дату и версию MSB11-FW_MOD.BIN.dec (пользователь должен установить при необходимости на основе текущей прошивки )
  • перекодирует двоичный файл и сгенерирует файл идентификатора в каталоге «output»
• step4.sh (проверка ошибок):
  • отмените шаги step3.sh ( убедитесь, что местоположение и исходная версия / дата снова верны )
  • убедитесь, что извлеченный файл squash_17 совпадает с файлом, который был вставлен
  • проверить, что извлеченный файл FILE_4 допустим в формате Sony
  • повторно вставьте исходный немодифицированный squash_17 в выходной двоичный файл для создания временного двоичного файла
  • убедитесь, что этот временный двоичный файл идентичен исходному входному двоичному файлу

УМЕНЬШЕНИЕ

Переход на более раннюю версию запрещен проигрывателем Blu-Ray, но должен быть возможен следующим образом.Это могло бы позволить восстановление после неудачного обновления:

• lut D MSB11-FW.ID hex_substitution_01 MSB11-FW.ID.dec
• lut D MSB11-FW.BIN hex_substitution_01 MSB11-FW.BIN.dec
• используйте модверсию , чтобы изменить версию и дату, чтобы заставить его думать, что это более новая версия
• lut E MSB11-FW.BIN.dec hex_substitution_01 MSB11-FW.BIN
• генид MSB11-FW.BIN MSB11-FW.BIN.dec MSB11-FW.ID.dec
• lut E MSB11-FW.ID.dec hex_substitution_01 MSB11-FW.ID

Подробные инструкции по переходу на более раннюю версию

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

Переход на более раннюю версию был успешно протестирован. Это все, что я могу подтвердить. Модификация прошивки рискованна, может нарушать соглашения EULA и потенциально может заблокировать ваш проигрыватель Blu-Ray. Пожалуйста, попробуйте это на свой страх и риск!

Oppo BDP-83 и BDP-83SE [Архив]

Сегодня я получил электронное письмо от Oppo, в котором говорилось о новейшем обновлении прошивки для BDP-83 и BDP-83SE, двух плееров, давно снятых с производства, но все еще поддерживаемых компанией.

26 ноября 2014 г. была выпущена новая прошивка для проигрывателя Blu-ray OPPO BDP-83 / BDP-83SE.

Эта прошивка решает проблему сбоя при загрузке диска с «Людьми Икс: Дни минувшего будущего» ) «выпущенный компанией 20th Century Fox. Клиенты сообщили, что после вставки диска Blu-ray проигрыватель сообщал об ошибке «Неверный диск» и извлекал диск.Это вызвано новым протоколом «BD +» (или системой защиты цифровых прав), примененным к этому заголовку, который требует более длительного времени для расшифровки, чем разрешено игроком. Эта прошивка решает эту проблему, регулируя время дешифрования.

Получение новой прошивки — Если ваш проигрыватель OPPO Blu-ray подключен к Интернету, вы можете легко и быстро выполнить обновление через его Интернет-соединение. В противном случае вы можете выполнить обновление с помощью флэш-накопителя USB или самостоятельно созданного диска обновления прошивки. Доступны подробные пошаговые инструкции.Вы также можете отправить запрос на отправку диска с обновлением микропрограммы, если ни один из этих вариантов вам не подходит.
Прошивка — это системное программное обеспечение, которое управляет функциями и функциями плеера. Поскольку спецификации дисков Blu-ray все еще новые и развиваются, вполне возможно, что недавно выпущенные диски Blu-ray используют определенные новые функции, которые не были доступны, когда проигрыватель был разработан и продан. Для обеспечения наилучшего просмотра важно обновлять микропрограмму плеера.Если ваш проигрыватель OPPO Blu-ray подключен к Интернету, вы можете обновить его напрямую через Интернет.

Мой Oppo BDP-95 подключен к Интернету через кабель Ethernet к моему маршрутизатору. Мои BDP-83 и BDP-83SE не подключены к Интернету, поэтому я захожу на веб-сайт Oppo, загружаю обновление прошивки на флэш-накопитель USB и устанавливаю его через входы USB на каждом плеере. Это простой и безболезненный процесс, который занимает всего несколько минут.

Большое спасибо Oppo за продолжение поддержки своих старых игроков.Так вы завоюете доверие и заставите клиентов возвращаться. . : thumbsup:

lib Inter MAC за пределами конфиденциальности и целостности в

библиотека. Интер. MAC: за пределами конфиденциальности и честности на практике Торбен Б. Хансен @n_tbh Совместная работа с Мартином Р. Альбрехтом @martinralbrecht Кеннет Г. Патерсон @kennyog Группа информационной безопасности Центр подготовки докторантов по кибербезопасности FSE 2019 28 марта

Следующие ~ 20 мин. Motivation Open. Интеграция SSH Мы здесь (библиотека) Inter.MAC

Secure Shell или SSH — это сетевой протокол, который позволяет обмениваться данными с использованием безопасного канала между двумя сетевыми устройствами. Используемый в основном в системах на базе Linux и Unix для доступа к учетным записям оболочки, SSH был разработан в качестве замены TELNET и других незащищенных удаленных оболочек, которые отправляют информацию, особенно пароли, в виде открытого текста, оставляя их открытыми для перехвата. Шифрование, используемое SSH, обеспечивает конфиденциальность и целостность данных в незащищенной сети, такой как Интернет.RFC 4253: протокол двоичных пакетов SSH RFC 4251: архитектура SSH — Википедия Считается свойствами схем шифрования SSH Может быть зафиксировано формально

Симметричные схемы шифрования, поддерживающие фрагментацию зашифрованного текста [BDPS 12] n o i t a t C f t x e rt C ← Enck (M) e h ip c, Giorgia Marson g a r n e m C 1 C 2 M 1 ← Deck (C 1) M 2 ← Deck (C 2) M

Свойства безопасности [BDPS 12] [ADHP 16] Границы анализа трафика, скрывающие конфиденциальность / целостность Do. S Пассивный Активный C 1 C = [защита электронной почты])% & 6 h C 2 C ’= * s & FQOm” F C 3 [защита электронной почты])% & 6 h * s & FQOm ”F C C’

Свойства безопасности Конфиденциальность / целостность [BDPS 12] [ADHP 16] Отказ в скрытии границ анализа трафика.Сервис Do. S ƛ Я вернулся C 1 ДЛИНА (C 1 || C 2 || ∙∙∙)> ƛ C 2 ∙∙∙

В целом не защищен. Невозможно использовать встроенные функции AES [ADHP 16] [APW 09] SSH-шифрование: скрытие границ, пассивное активное действие. S Encrypt-then-MAC НЕТ НЕТ НЕТ AES-GCM НЕТ НЕТ НЕТ Cha 20 -Poly 1305 ДА НЕТ НЕТ Шифрование и MAC ДА НЕТ НЕТ Ни одна из текущих схем шифрования SSH не обеспечивает должным образом требуемые свойства безопасности. Можно ли реализовать эти свойства безопасности. одновременно в SSH? Какой ценой?

Inter.MAC [BDPS 12] достигает BH и Do. S N 0 0 Mac 1 Enc Счетчик фрагментов: 0 Счетчик сообщений: c N N 1 c Mac Enc 2 c Расшифровка Mac

Inter. MAC на практике 0 x 0 0 x 1 N 0 Mac 1 t 0 Enc Счетчик фрагментов: 0 Счетчик сообщений: c t = 1: без заполнения t = 2: заполнение N N 1 c Mac Enc 2 c Mac

Inter. MAC на практике 0 x 0 0 x 1 N 0 Счетчик блоков: Счетчик сообщений: 0 c Enc t = 1: без заполнения t = 2: заполнение N N 0 1 c Enc AE на основе Nonce Мы доказываем, что «Inter. MAC на практике »достигает BH и Do.S t 2 c Enc

библиотека. Интер. Внедрение MAC C Малый API Не обращает внимания на пользователя nonce-management Гибкость алгоритма AES-GCM Cha 20 -Poly 1305 Мы реализовали меры противодействия векторам атак, выходящим за рамки формальной модели

Расшифровка с постоянным временем Мы реализовали меры противодействия векторам атак, выходящих за рамки формальной модели. Время отклика алгоритма расшифровки зависит от границ зашифрованного текста. Можем ли мы гарантировать, что время выполнения алгоритма расшифровки не зависит от границ зашифрованного текста? C 1 C = [защита электронной почты])% & 6 h C 2 C ’= * s & FQOm” F C 3 [защита электронной почты])% & 6 h * s & FQOm ”F C C’

Удаление заполнения Нет Нет Нет Постоянное удаление Поиск по всему фрагменту Вызвано для всех фрагментов Постоянное время: в 4-5 раз медленнее lib.Интер. MAC реализует постоянную версию

Расшифровка с постоянным временем Мы реализовали меры противодействия векторам атак, выходящих за рамки формальной модели. Время отклика алгоритма расшифровки зависит от границ зашифрованного текста. Можем ли мы гарантировать, что время выполнения алгоритма расшифровки не зависит от границ зашифрованного текста? Выявлены дополнительные временные каналы и реализованы меры противодействия. Мы попытались ограничить возможности для наращивания атак, использующих временные сигналы. Мы не достигли полного дешифрования в постоянном времени. Интересные открытые проблемы в этой области

Шифрование 1.4 -2. 5 циклов / байт Расшифровка 14-27 циклов / байт Удаление заполнения в постоянное время Есть много возможностей для реализации оптимизаций

Inter. Интеграция схемы шифрования на основе MAC в Open. SSH Требовал внесения ряда изменений в Open. SSH: H S p et k ac Длина пакета 4 Pad Len 1 Payload Автономный кодовый путь для шифрования / дешифрования Inter. MAC требует нестандартной буферизации расшифрованных сообщений в Open. Уровень SSH Делает интеграцию сложной Padding ≥ 4

AWS London Зона доступности 1 Внутренние схемы AE Меж.Схемы шифрования на основе MAC Текущее значение по умолчанию SCP 50 МБ Длина блока AWS Лондон Зона доступности 2

AWS Лондонский регион SCP 100 МБ AWS Парижский регион 10% -3 N N N 5%

RFC 4251 Можно ли реализовать эти свойства безопасности одновременно в SSH? Какой ценой? Мы представили lib. Интер. MAC Повышенная сложность. Мы вышли за рамки формальной модели безопасности. В некоторой степени влияет на производительность. Интеграция SSH: правильный протокол бинарных пакетов SSH Влияние на производительность допустимо в зависимости от сетевой среды

https: // github.com / himsen / libintermac https: // github. com / himsen / intermac-openssh-portable 1 2 3 Торбен Хансен @n_tbh Мартин Альбрехт @martinralbrecht Кенни Патерсон @kennyog

Текущее состояние программ-вымогателей: CTB-Locker — Sophos News

В нашей серии статей о текущем состоянии программ-вымогателей мы ранее рассматривали CryptoWall и TorrentLocker. В этом посте мы рассмотрим вариант под названием CTB-Locker.

CTB-Locker — это вариант программы-вымогателя, который шифрует файлы на жестком диске жертвы перед тем, как потребовать выкуп за расшифровку файлов.

CTB-Locker примечателен высоким уровнем заражения, использованием криптографии с эллиптическими кривыми, Tor и биткойнами, а также многоязычностью.

Векторы заражения

Авторы CTB-Locker используют партнерскую программу для борьбы с инфекциями, передавая процесс заражения сети филиалов или партнеров в обмен на часть прибыли.

Партнерская модель — это испытанная, проверенная и очень успешная стратегия для достижения больших объемов заражений вредоносными программами.Он использовался для получения огромных доходов от поддельных антивирусов, схем мошенничества с кликами и множества других типов вредоносного ПО. Сейчас он используется для распространения программ-вымогателей в целом и CTB-Locker в частности.

Партнерская схема CTB-Locker была впервые публично освещена исследователем Kafeine , в середине 2014 года. В сообщении Reddit 2015 года утверждается, что он был фактическим участником партнерской программы, и дается интересное представление о ее работе.

Авторы CTB-Locker используют ту же стратегию, что и многие авторы наборов эксплойтов, предлагая вариант размещения, при котором оператор платит ежемесячную плату, а авторы размещают весь код.Это делает создание партнерской программы простым и относительно безопасным. Плакат Reddit утверждал, что он зарабатывает 15000 (предположительно долларов) в месяц при затратах около 7000. Автор также упоминает, что он сосредотачивается только на жертвах из стран «первого уровня», таких как США, Великобритания, Австралия и Канада, поскольку он зарабатывает так мало денег в других регионах, что это не стоит потраченного времени.

Использование партнерской модели для распространения означает, что существует широкий спектр различных векторов заражения CTB-Locker.Мы видели, как он распространяется через несколько наборов эксплойтов, включая Rig и Nuclear . Тем не менее, большинство заражений CTB-Locker было обнаружено с помощью кампаний вредоносного спама.

В наиболее распространенных спам-кампаниях, распространяющих CTB-Locker, используется компонент загрузчика, известный как Dalexis или Elenoocka . Сами спам-сообщения имеют широкий спектр форматов, включая пропущенные факсимильные сообщения, финансовую отчетность, просроченные счета, приостановку учетной записи и пропущенные MMS-сообщения.Вот несколько примеров:

Большая часть современного вредоносного спама поступает в виде exe-файла в zip- или rar-архиве. Необычным аспектом Dalexis является то, что он почти всегда поступает в менее распространенный архив, обычно в виде CAB-файла.

Архив содержит сам образец вредоносной программы, часто с расширением .scr и дополнительный архив, содержащий ложный документ, который будет отображаться, чтобы убедить жертву в том, что вложение было безвредным.

Вредоносный образец Dalexis использует несколько методов, пытаясь избежать использования песочниц и автоматизированных систем анализа, включая спящий режим в течение определенного периода времени. Затем Dalexis загружает образец CTB-Locker через HTTP в зашифрованном виде, декодирует и выполняет его.

Исполнение

Когда запускается CTB-Locker, он помещает свою копию во временный каталог и создает запланированную задачу, чтобы обеспечить постоянную перезагрузку.

Затем выполняется итерация файловой системы, и все файлы с расширениями, соответствующими списку расширений CTB-Locker, будут зашифрованы.Фоновое изображение рабочего стола изменяется, и CTB-Locker накладывает сообщение с требованием выкупа и интерактивный интерфейс в центре экрана.

В отличие от некоторых вариантов программ-вымогателей, CTB-Locker не требует активного подключения к Интернету перед началом шифрования файлов.

Шифрование

CTB-Locker означает «Curve-Tor-Bitcoin-Locker». Часть названия «Кривая» взята из-за использования криптографии эллиптических кривых (ECC). ECC — это форма криптографии с открытым ключом, основанная на эллиптических кривых над конечными полями.Его сила получена из задачи дискретного логарифмирования эллиптических кривых. Большинство программ-вымогателей для шифрования файлов, использующих криптографию с открытым ключом, как правило, используют RSA, который основан на простой факторизации. Преимущество ECC перед RSA состоит в том, что эквивалентные уровни безопасности могут быть достигнуты с помощью гораздо меньших размеров ключей. Например, 256-битный ключ ECC имеет эквивалентную безопасность 3072-битному ключу RSA.

Преимущества размера ключа, которые предлагает ECC, могли быть фактором, способствующим процессу принятия автором решения, поскольку они встраивают открытый ключ в образец вредоносной программы, а меньший ключ занимает меньше места.

CTB-Locker использует комбинацию симметричного и асимметричного шифрования для шифрования файлов. Само шифрование выполняется с использованием AES, а затем средства для дешифрования файлов шифруются открытым ключом ECC. Это гарантирует, что только авторы CTB-Locker, у которых есть соответствующий закрытый ключ, смогут расшифровать файлы. Подробный анализ схемы шифрования, используемой CTB-Locker, см. В этом анализе из « zairon ».

CTB-Locker зашифрует файлы со следующими расширениями:

pwm, kwm, txt, cer, crt, der, pem, doc, cpp, c, php, js, cs, pas, bas, pl, py, docx, rtf, docm, xls, xlsx, safe,
группы, xlk, xlsb, xlsm, mdb, mdf, dbf, sql, md, dd, dds, jpe, jpg, jpeg, cr2, raw, rw2, rwl, dwg, dxf, dxg, psd, 3fr, accdb,
ai, arw , bay, blend, cdr, crw, dcr, dng, eps, erf, indd, kdc, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c,
pdd, pdf, pef, pfx, ppt, pptm, pptx, pst, ptx, r3d, raf, srf, srw, wb2, vsd, wpd, wps, 7z, zip, rar, dbx, gdb, bsdr, bsdu,
bdcr, bdcu , bpdr, bpdu, ims, bds, bdd, bdp, gsf, gsd, iss, arp, rik, gdb, fdb, abu, config, rgx

Этот список расширялся по мере появления новых вариантов.

Первоначально все зашифрованные файлы имели расширение «.ctbl», однако вскоре оно было изменено на случайное расширение. Похоже, что авторы позаимствовали по крайней мере часть своего кода шифрования из OpenSSL, поскольку в распакованном коде можно найти большое количество связанных строк.

Сетевые коммуникации

Поскольку CTB-Locker может начать шифрование файлов без необходимости связываться с сервером управления и контроля, нет необходимости в сетевой связи до тех пор, пока жертва не попытается расшифровать свои файлы.

Когда это происходит, все коммуникации осуществляются через Tor (именно сюда входит «Tor» из Curve-Tor-Bitcoin-Locker), обычно через прокси-сайты, которые действуют как ретрансляторы для скрытой службы Tor, на которой размещается обратная связь. конечная инфраструктура.

Когда жертва заплатила выкуп, CTB-Locker свяжется с сервером управления и контроля, отправив блок данных, содержащий информацию, необходимую для получения ключа, который будет расшифровывать файлы жертвы. Этот блок данных можно расшифровать только с помощью главного ключа, хранящегося на сервере.

Требование выкупа

Когда все файлы жертвы зашифрованы, сообщение о выкупе отображается путем изменения фона рабочего стола и перекрытия центра экрана с основным требованием выкупа и интерактивным интерфейсом.

Этот экран информирует жертву о том, что «Ваши личные файлы зашифрованы с помощью CTB-Locker», им сообщают, что у них есть «96 часов на отправку платежа», и предупреждают, что любая попытка удалить вредоносное ПО из зараженной системы приведет к в уничтожаемом ключе дешифрования — в более ранних версиях этот срок был меньше.Жертва может нажать кнопку «Далее», чтобы начать процесс дешифрования, или кнопку «Просмотр», чтобы увидеть список зашифрованных файлов.

CTB-Locker поддерживает множество языков, а записка о выкупе предлагается на разных языках, доступ к которой можно получить с помощью различных значков флажков в верхней части экрана. Похоже, что выбор языков, по крайней мере, частично настраивается аффилированным лицом, которое приобрело этот конкретный экземпляр CTB-Locker, и со временем количество доступных вариантов расширилось.В недавнем образце были следующие языковые варианты — английский, французский, немецкий, испанский, латышский, голландский и итальянский.

Латышский язык — необычный вариант языка, поскольку Латвия обычно не рассматривается как основная цель для программ-вымогателей и других типов преступного ПО. Это, возможно, означает, что авторы стремятся выйти на новые рынки, где осведомленность ниже, или, возможно, конкретный филиал знает местные условия и может лучше провести успешную кампанию в этой стране.

Последние варианты CTB-Locker также предлагают жертве возможность проверить, что их файлы могут быть расшифрованы, бесплатно расшифровав пять случайно выбранных файлов.Похоже, это было введено как способ завоевать доверие жертвы и повысить вероятность того, что выкуп будет выплачен в полном объеме.

Выплата выкупа

Когда жертва нажимает на интерфейс выкупа, ей даются подробные инструкции о том, сколько и как платить.

CTB-Locker требует биткойнов (BTC) для выплаты выкупа («Биткойн» в Curve-Tor-Bitcoin-Locker). Точная сумма BTC устанавливается аффилированным лицом, купившим CTB-Locker, хотя авторы дают рекомендации, которые помогут установить сумму выкупа на уровне, который, вероятно, принесет максимальный доход.На рисунке 12 выше показан пример, требующий 3 BTC. Также отображается приблизительная эквивалентная сумма в местной валюте — например, 690 долларов или 660 евро.

Одним из недостатков использования скрытых сервисов Tor является то, что надежность может быть проблемой, а это означает, что сервер управления и контроля недоступен, когда жертва пытается заплатить выкуп.

Пытаясь бороться с этим, CTB-Locker пытается использовать несколько разных прокси-серверов Tor для доступа к скрытой службе, а также предлагает ручные инструкции, если образец вредоносной программы будет удален с зараженной машины.Сюда входит посещение скрытой службы Tor через веб-браузер и вставка в форму открытого ключа, предоставленного жертве.

Надежность

Прочитав различные сообщения на форуме общественной поддержки, можно предположить, что во многих случаях уплата выкупа приводит к тому, что CTB-Locker расшифровывает файлы жертвы. Функция «Тестовое дешифрование» является хорошим индикатором того, что дешифрование возможно.

Однако жертва по-прежнему должна верить, что киберпреступники выполнят свое обещание после передачи суммы выкупа в BTC.Также существует вероятность того, что серверные компоненты, на которых размещены закрытые ключи, необходимые для выполнения дешифрования, будут временно или навсегда отключены, что может сделать дешифрование невозможным. В этом случае вполне вероятно, что киберпреступники продолжат принимать выкуп, несмотря на то, что знают, что нет способа расшифровать файлы жертвы.

Статистика

CTB-Locker инфекции чаще всего встречаются в Западной Европе, Северной Америке и Австралии. Как правило, это страны первого уровня, описанные в упомянутом выше сообщении Reddit.Судя по опыту успешных платежей автора программы-вымогателя, жертвы в этих странах становятся мишенью.

Посмотрев на количество образцов, мы можем увидеть, что количество реальных образцов CTB-Locker намного меньше, чем количество образцов Dalexis, которые используются для загрузки CTB-Locker. Это имеет смысл, поскольку загрузчик рассылает спам в очень больших объемах, что позволяет продуктам безопасности очень быстро добавлять обнаружение. Создание уникальности каждого образца путем изменения небольшого количества в каждом файле увеличивает вероятность того, что некоторые решения защиты на основе контрольной суммы не смогут обнаружить все образцы.

Защита

Sophos защищает от CTB-Locker при выполнении с помощью HPmal / Ransom-N и статически с помощью массива имен обнаружения, включая: Troj / Ransom-AKW, Troj / Onion-D, Troj / Filecode-B, Troj / HkMain-CT.

Sophos обнаруживает загрузчик Dalexis / Elenoocka с помощью множества имен обнаружения, включая: Troj / Agent-AMTG, Troj / Agent-AMKP, Troj / Cabby-H, Troj / Agent-AIRO, Troj / Agent-AMNK, Troj / Agent- AMNP, Troj / Agent-AMOA, Mal / Cabby-B.

Эти подписи HIPS часто не требуют обновлений, поскольку они обнаруживаются в распакованном коде памяти независимо от того, какие файлы на диске упакованы, запутаны или зашифрованы.

Настоятельно рекомендуется активировать технологию Sophos HIPS для упреждающей блокировки программ-вымогателей.

Если вы подозреваете, что вас скомпрометировала программа-вымогатель, вы можете удалить это вредоносное ПО с помощью нашего бесплатного средства удаления вирусов . К сожалению, вы мало что можете сделать, чтобы вернуть файлы, кроме как заплатить выкуп — шифрование слишком надежное, чтобы его можно было взломать.

Помимо обновления антивируса, есть дополнительные системные изменения, которые помогают предотвратить или обезвредить заражение программами-вымогателями, которые может применить пользователь.

1. Создайте резервную копию файлов.

Лучший способ убедиться, что вы не потеряете свои файлы из-за программ-вымогателей, — это регулярно создавать их резервные копии. Хранение резервной копии отдельно также является ключевым моментом — как уже говорилось, некоторые варианты программ-вымогателей удаляют теневые копии файлов Windows в качестве дополнительной тактики для предотвращения восстановления, поэтому вам необходимо хранить резервную копию в автономном режиме.

2. Регулярно применяйте обновления Windows и другого программного обеспечения.

Поддерживайте свою систему и приложения в актуальном состоянии.Это дает вам наилучшие шансы избежать использования вашей системы с помощью атак с последовательной загрузкой и уязвимостей программного обеспечения (в частности, Adobe Flash, Microsoft Silverlight, веб-браузера и т. Д.), Которые, как известно, устанавливают программы-вымогатели.

3. Не нажимайте на ненадежные ссылки электронной почты и не открывайте нежелательные вложения электронной почты.

Большинство программ-вымогателей попадают в спам-сообщения по ссылкам или в виде вложений. Наличие хорошего антивирусного сканера электронной почты также может проактивно блокировать скомпрометированные или вредоносные ссылки на веб-сайты или двоичные вложения, которые приводят к программам-вымогателям.

4. Отключить содержимое ActiveX в приложениях Microsoft Office, таких как Word, Excel и т. Д.

Мы видели много вредоносных документов, содержащих макросы, которые могут в дальнейшем незаметно загружать программы-вымогатели в фоновом режиме.

5. Установите брандмауэр, заблокируйте Tor и I2P и ограничьте доступ к определенным портам.

Предотвращение попадания вредоносной программы на свой сервер вызова через сеть может обезвредить активный вариант программы-вымогателя. Таким образом, эффективная мера — блокировка подключений к серверам I2P или Tor через брандмауэр.

6. Отключите подключения к удаленному рабочему столу.

Отключите подключения к удаленному рабочему столу, если они не требуются в вашей среде, чтобы злоумышленники не могли получить удаленный доступ к вашей машине.

7. Заблокируйте двоичные файлы, работающие по путям% APPDATA% и% TEMP%.

Большинство файлов вымогателей удаляются и запускаются из этих мест, поэтому блокировка выполнения может предотвратить запуск программы-вымогателя.

София Морено Сезар | Бакалавриат TEXAS

Пожалуйста, опишите свой проект и то, как вы пришли к его идее.
В своем творческом проекте я исследовал роль и общественную перспективу криптографии в ее развитии с приходом цифровой эры. Мой метод преподавания основан на моем опыте работы с анимацией, который я приобрел на одном из моих курсов BDP. Анимация выявила распространенное заблуждение, что конфиденциальность данных подразумевает целостность данных. Чтобы показать, что это неправда, я зашифровал изображение с помощью известного шифра, одноразового блокнота, который обеспечивает полную секретность, высшую форму конфиденциальности данных.Я показал, что шифрование само по себе не может помешать третьей стороне изменить зашифрованный текст и тем самым изменить сообщение при расшифровке. Хотя я сделал это с помощью сценария и ручного переворачивания битов, я смог показать исходное изображение, когда оно перешло в искаженный результат в формате GIF, а затем сделал отдельную анимацию, объясняющую, что происходит. Чтобы упростить сообщение, я использовал символизм, сославшись на Картина Дориана Грея , классическая работа, которая, как мне кажется, олицетворяет разложение человечества на индивидуальном уровне.

Что вам больше всего понравилось в Connecting Experience?
Хотя я знал, как работать в After Effects и Photoshop из прошлых проектов и изучал AET 336 с Нилом Догерти, мой интерес к криптографии был всего лишь интересом. Я не очень разбирался в предмете, поэтому для этого проекта потребовалось много независимого обучения и исследований, прежде чем я смог спроектировать и создать анимацию. Я решил эту задачу, обсудив темы с моим наставником на вторичном факультете, прочитав тематику и пройдя вводный курс на Coursera.

Каким образом этот Connecting Experience повлиял на ваши планы на будущее?
Это напомнило мне о причине, по которой я решил изучать бизнес. Для меня бизнес означает влияние. Это влияние может быть хорошим или плохим, но выбирать нам. Я активный сторонник социальной ответственности во всех сферах бизнеса. Этот проект помог мне осмыслить один из основных уроков, которые я извлек из программы Digital Arts & Media BDP: в моей будущей карьере и в жизни в целом речь идет не о том, чтобы быть правым, а о том, чтобы меня понимали.Это абсолютно необходимо для адвокации. Анимация помогла мне усвоить этот урок, а криптография помогла мне понять угрозы для общения и понимания, которые слишком актуальны в современном обществе.

Обсудите отношения, которые у вас были с наставником факультета, и то, как они помогли вам во время этого Connecting Experience.
У нас с Нилом было несколько проверок в течение семестра, где я показывал ему, над чем я работаю, и он давал мне обратную связь и советы о том, как действовать и над чем работать.Он также давал мне свободный крайний срок, к которому нужно было работать, и затем мы повторяли процесс регистрации в это время. Нил был достаточно знаком с моей работой, чтобы дать мне необходимую творческую свободу и при этом дать мне полезные отзывы.

Сетевые архивы | Даллин Варн

Поскольку большая часть веб-трафика теперь обслуживается через HTTPS, важно расшифровать трафик, чтобы обеспечить видимость инструментов мониторинга сетевой безопасности (NSM). Межсетевой экран нового поколения Palo Alto Networks может достаточно эффективно расшифровывать входящий трафик.

Однако есть одна проблема при включении этой функции в производственных системах с живым трафиком. Остерегайтесь кеширования сеансов SSL!

Определение проблемы перехода расшифровки SSL

Когда я впервые протестировал входящую проверку SSL в моем брандмауэре Пало-Альто, это было в лабораторной среде, и она отлично сработала! URL-адреса отображались в журналах, я не получал никаких ошибок SSL (decrypt-error,
decrypt-unsupport-param или decrypt-cert-validation), и все, казалось, работало нормально.Я отправил запрос на изменение и собирался жениться.

Затем я включил эту функцию в системе с большим количеством активного трафика. Результаты были поразительными. Произошел огромный всплеск журналов «ошибок дешифрования», который я не мог объяснить. Достаточное количество пользователей жаловалось, что я в итоге отменил изменение, недоумевая, почему то, что безупречно работало в лаборатории, не работает в производственной среде.

У меня было две версии причины. Первой была документация Пало-Альто 8.0 и 8.1 о причине завершения сеанса «ошибка дешифрования»:

«Сеанс завершен, поскольку вы настроили брандмауэр на блокировку расшифровки прокси-сервера SSL или входящей проверки SSL, когда ресурсы брандмауэра или аппаратный модуль безопасности (HSM) были недоступны.Эта причина завершения сеанса также отображается, когда вы настроили брандмауэр на блокировку трафика SSL, который имеет ошибки SSH или вызвал любое предупреждение о фатальной ошибке, кроме тех, которые указаны в причинах завершения decrypt-cert-validation и decrypt-unsupport-param. “

Palo Alto Networks Pan-OS® Руководство администратора 8.0 и 8.1

Вторая подсказка — это ошибка, которая появлялась в окнах браузеров некоторых клиентов, у которых в то время было активное соединение с сервером. Для Google Chrome это были «ERR_SSL_VERSION_INTERFERENCE» и «ERR_SSL_PROTOCOL_ERROR» для браузера Самунга на Android.Firefox и Microsoft Edge выдавали аналогичные сообщения.

Это заставило меня поверить, что клиенты с кэшированными сеансами SSL пытались возобновить свои сеансы SSL. Когда это произошло, брандмауэр обрабатывал соединения, как если бы они были новым соединением, но вызывал фатальную ошибку, если не получал ожидаемых данных для нового сеанса.

Разрешение возобновления сеансов SSL

Чтобы решить эту проблему, я попытался изменить настройки профиля дешифрования, например отключить «Проверки неподдерживаемого режима», но безрезультатно.На затронутых клиентах я попытался очистить кеш SSL и даже перезагрузить машины, но это не помогло.

Наконец, я уменьшил настройку тайм-аута сеанса SSL на самом сервере до 60 секунд. Когда это произошло, проблема исчезла!

Я бы не рекомендовал полностью отключать кеширование сеансов SSL, так как это может сильно повлиять на производительность сервера, но 60-секундный тайм-аут до и сразу после включения политики должен быть адекватным.Если возможно, оставьте его 60 секунд до тех пор, пока значение не было прежним. Я также обнаружил, что уменьшение тайм-аута даже после включения входящей проверки SSL сразу же сработало.

Вы можете найти документацию по настройкам тайм-аута сеанса SSL для Nginx F5, Apache и IIS. (На момент написания я не тестировал параметры на каждом из них.)

В некоторых сообщениях на форуме предлагается перезапуск сервера (ов) также очистит кеш сеанса SSL сервера и вызовет новое согласование, хотя я это не тестировал.Это не всегда возможно, если сеансы разделяются между несколькими внутренними серверами, используется балансировщик нагрузки или инженеры включают расшифровку для большого количества серверов.

Когда я связался с Пало-Альто по поводу этой проблемы, они сказали мне: «(T) вот запрос функции (FR ID: 5786) в дополнение к Jira PAN-80072», что у них не было решения, и что « единственное, что нужно сделать сейчас, — это дождаться дальнейшего уведомления ». Я разочарован, что они не публикуют известные проблемы, связанные с расшифровкой, и не имеют готового решения, так как это сэкономило бы мне часы на устранение неполадок, исследования и некоторое время простоя.

Если вы нашли эту статью полезной, я прошу вас сообщить об этом людям в Twitter и LinkedIn. Если вам понравился этот пост, посмотрите «Мертв ли ​​мониторинг сетевой безопасности в эпоху шифрования?»

Сокращения в рецептах

Возможно, вы видели сокращения на рецептах, например, q.i.d. или до н.э. и задался вопросом, что это значит. Эти и другие инструкции написаны сокращениями от латинских фраз.

Столетия назад все рецепты писались на латыни.Теперь только инструкции по приему препарата сохранили эту черту. Для обычного человека без медицинского образования они ничего не значат.

Принятие неправильной дозы лекарства от артрита или обезболивающего может иметь серьезные или даже фатальные последствия. Безопасное использование зависит от вашего понимания сокращений в рецептах. Примером серьезной ошибки, связанной с лекарством от ревматоидного артрита из-за неправильного дозирования, может быть ошибочный ежедневный прием метотрексата по сравнению с еженедельным приемом.Взаимодействие с другими людьми

Хотя ваша аптека должна интерпретировать их за вас, могут произойти ошибки. Чем лучше вы понимаете направления, тем больше вы защищены от потенциально опасной ошибки.

Verywell / Эллен Линднер

Если ваш врач пользуется электронными рецептами, вы можете никогда не увидеть сокращений. Поэтому сейчас это не так важно, как раньше.

Истоки использования «Rx» по рецепту

Происхождение Rx как аббревиатуры «рецепт» было связано с латинским словом «рецепт», что означает «принимать».»Кроме того, он был связан с Юпитером, главным божеством римской государственной религии, пока христианство не стало доминирующей религией Римской империи.

Этот символ был помещен на рецепты, чтобы призвать благословение божества на лекарство, чтобы помочь человеку выздороветь. В последнее время крестик, который иногда появляется в конце буквы «R», объясняли как заменяющую точку.

Пример сокращений рецептов

Пример того, что может написать ваш врач:

Sig: 1 таб. В день qid pc & hs

Если у вас нет медицинского образования, этот пример может быть непонятным.Сокращения в рецепте предписывают фармацевту маркировать контейнер для лекарства этого пациента со следующими инструкциями: «Принимайте по одной таблетке внутрь четыре раза в день, после еды и перед сном».

Аббревиатуры могут быть написаны заглавными или строчными буквами и могут включать точки или нет.

Общие латинские термины Rx

Некоторые из распространенных латинских сокращений рецептов включают:

• ac ( ante cibum ) означает «до еды»
• bid ( bis in die ) означает «два раза в день»
• gt ( gutta ) означает «капля»
• hs ( hora somni ) означает «перед сном»
• od ( oculus dexter ) означает «правый глаз»
• os ( oculus sinister ) означает «левый глаз»
• po ( per os ) означает «перорально»
• шт ( post cibum ) означает «после еды»
• prn ( pro re nata ) означает «по мере необходимости»
• q3h ( quaque 3 hora ) означает «каждые три часа»
• qd ( quaque die ) означает «каждый день»
• qid ( quater в die ) означает «четыре раза в день»
• Sig ( signa ) означает «писать»
• tid (ter in die) означает «трижды в день»

Отказ от использования сокращений

Хотя латинские термины все еще часто встречаются в рецептах, некоторые врачи постепенно отказываются от использования этих старых терминов и лучше разъясняют свои заказы на лекарства простым языком.

Несколько лет назад, поскольку улучшенная читаемость помогает предотвратить путаницу в лекарствах, лицам, назначающим лекарства, рекомендовалось выписывать инструкции, а не использовать двусмысленные сокращения.

Например, назначающие препараты должны писать «ежедневно», а не «qd», сокращенное латинское название «каждый день». В этом случае qd может быть легко ошибочно интерпретировано как qid (что означает четыре раза в день) или od (что означает правый глаз).

И, как упоминалось выше, существует электронное выписывание рецептов (электронное выписывание рецептов), которое добавляет еще один уровень улучшения ясности прописывания лекарств.Взаимодействие с другими людьми

Электронное назначение рецептов повышает безопасность пациентов, устраняя неразборчивые рецепты, уменьшая потребность в устном общении (что может привести к недопониманию), системы предупреждения и оповещения в момент назначения и позволяя лицу, выписывающему рецепт, просматривать историю приема лекарств пациента.

Слово Verywell

Если вам по-прежнему выписан письменный рецепт, а инструкции неясны или сбивают с толку, попросите вашего врача или фармацевта объяснить. Не принимайте лекарства, не поняв полностью инструкции по их назначению.Не рискуй.

При электронном назначении вы можете не видеть инструкции, пока они не появятся на этикетке флакона с таблетками. На этом этапе вы обязаны задать фармацевту любые вопросы или устно ознакомиться с инструкциями.

Выделите необходимое время, чтобы быть уверенным в том, как вам следует принимать прописанное лекарство. Сделайте свой вклад, чтобы избежать ошибок при приеме лекарств.