• XSS.stack #1 – первый литературный журнал от юзеров форума

Метод расшифровки данных, зараженных Hive Ransomware

Отслеживать
Bogeyman

Bogeyman

!@#$
Пользователь
Регистрация
11.09.2020
Сообщения
75
Реакции
61
Гарант сделки
1
Среди многих типов вредоносных кодов программы-вымогатели представляют серьезную угрозу. Программы-вымогатели шифруют данные и требуют выкуп в обмен на расшифровку. Поскольку восстановление данных невозможно, если ключ шифрования не получен, некоторые компании несут значительный ущерб, например, выплату огромных сумм денег или потерю важных данных. В этой статье мы проанализировали программу-вымогатель Hive, появившуюся в июне 2021 года. Программа-вымогатель Hive причинила огромный вред, что заставило ФБР выпустить предупреждение об этом. Чтобы свести к минимуму ущерб, причиняемый Hive Ransomware, и помочь жертвам восстановить свои файлы, мы проанализировали Hive Ransomware и изучили методы восстановления. Проанализировав процесс шифрования программы-вымогателя Hive, мы подтвердили наличие уязвимостей, связанных с использованием их собственного алгоритма шифрования. Мы восстановили мастер-ключ для частичной генерации ключа шифрования файла, чтобы можно было расшифровать данные, зашифрованные программой-вымогателем Hive. Мы восстановили 95% мастер-ключа без закрытого ключа RSA злоумышленника и расшифровали фактические зараженные данные. Насколько нам известно, это первая успешная попытка расшифровки программы-вымогателя Hive. Ожидается, что наш метод можно использовать для уменьшения ущерба, причиняемого программами-вымогателями Hive.

A Method for Decrypting Data Infected with Hive Ransomware

Among the many types of malicious codes, ransomware poses a major threat. Ransomware encrypts data and demands a ransom in exchange for decryption. As data recovery is impossible if the encryption key is not obtained, some companies suffer from considerable damage, such as the payment of huge...
arxiv.org

И сам разбор полетов
 
Пожалуйста, обратите внимание, что пользователь заблокирован
А что вы ожидали от школьников, которые пишут на голенгах и растах?
 
LockBitSupp сказал(а):
А что вы ожидали от школьников, которые пишут на голенгах и растах?
Вот ненадо про голанги и расты. Это инструменты а не показатели тупизны.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Whisper сказал(а):
Вот ненадо про голанги и расты. Это инструменты а не показатели тупизны.
Я имел ввиду, что это относительно лёгкие языки в освоении по сравнению с чистым Си и АСМом и с них начинают школьники, поэтому велика вероятность допускания ошибок, а не потому что сам язык плохой.
 
LockBitSupp сказал(а):
I meant that these are relatively easy languages to learn compared to pure C and ACM, and schoolchildren begin with them, so there is a high probability of making mistakes, and not because the language itself is bad.
On top Go doesnt support multiprocessing gg
And rust is like javascript for people who don't know C/C++
 
LockBitSupp сказал(а):
Я имел ввиду, что это относительно лёгкие языки в освоении по сравнению с чистым Си и АСМом и с них начинают школьники, поэтому велика вероятность допускания ошибок, а не потому что сам язык плохой.
Ошибка это когда перепутали букву, или когда неверно посчитали, или когда передали апи неверный параметр, это все ошибки, это нормально, все ошибаются. В данном случае было идиотское шифрование. Идиотизм не ошибка, именно не недостаток знаний, потому что если не разбираешся в криптовании, просто бери проверенный криптостойкий алг, но эти решили что всех умней.
 

 
LockBitSupp сказал(а):
А что вы ожидали от школьников, которые пишут на голенгах и растах?
Боюсь преставить, что можно ожидать от кодеров которые ниразу в сетках не бывали и пишущих веб рансом партнерки на php.

Но еще больше пыхи удивляет уровень самоувренности "форумных" кодеров, которые и про энтерпрайзную разработку не слышали, а берутся переписывать алгоритмы шифрования (дс\бм с их "реализацией" чача20) или даже пытаются придумывать свои?(хайв). С такой самооценкой Вам нужно не кодить, а курсы духовного роста пилить.
Опенсорс до дыр затерт свободными ресерчерами, студентами, преподавателями. На этом пишут и защищают научные статьи\кандитатские\докторские. Во всем мире пытаются найти атаки на режимы использования алгоритмов, даже не в их самих... и тут влетают две калеки прочитавшие Шнайэра, со знанием Си на уровне криптолокера в бар и заявляют: RUST слишком прост)))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
я бы на месте ав сделал бы дамп памяти всех процессов с сохранением всех изменений, на диске не так уж и много места займёт, но и расшифровать можно будет
 
LockBitSupp сказал(а):
Я имел ввиду, что это относительно лёгкие языки в освоении по сравнению с чистым Си и АСМом и с них начинают школьники, поэтому велика вероятность допускания ошибок, а не потому что сам язык плохой.
Груп Иб по моему ещё к ним в партнерку попали и выложили отчет с реверсом. Походу ошибки не только в коде, но и в найме партнеров)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
alphv сказал(а):
Боюсь преставить, что можно ожидать от кодеров которые ниразу в сетках не бывали и пишущих веб рансом партнерки на php.

Но еще больше пыхи удивляет уровень самоувренности "форумных" кодеров, которые и про энтерпрайзную разработку не слышали, а берутся переписывать алгоритмы шифрования (дс\бм с их "реализацией" чача20) или даже пытаются придумывать свои?(хайв). С такой самооценкой Вам нужно не кодить, а курсы духовного роста пилить.
Опенсорс до дыр затерт свободными ресерчерами, студентами, преподавателями. На этом пишут и защищают научные статьи\кандитатские\докторские. Во всем мире пытаются найти атаки на режимы использования алгоритмов, даже не в их самих... и тут влетают две калеки прочитавшие Шнайэра, со знанием Си на уровне криптолокера в бар и заявляют: RUST слишком прост)))
Можно ожидать стабильность и надёжность. Ты очкушник каждые 2 месяца ребрендинг делаешь, забыл как твой блекматер декриптили? и до раста доберутся)
 
Собственно что и требовалось доказать - интелекта как и знаний не прибавилось. Ты лучше за своими дружками-мусорами следи, что бы скриншотики не делали.
И вспомни как ты в начале 2020 out of memory фиксил в 6 утра и патчи заливал на лету прям во время лока, когда мы тебе первый лям в твоей жизни занесли, клоун. И как судорожно сорс собирался продать когда первые денюжки почувствовал, напомнить?

Надежно у тебя в панели ибшники месяц сидели, были бы умнее - сливали бы ключи до бесконечности, а не постили заслуги в своих блогах.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
alphv сказал(а):
Собственно что и требовалось доказать - интелекта как и знаний не прибавилось. Ты лучше за своими дружками-мусорами следи, что бы скриншотики не делали.
И вспомни как ты в начале 2020 out of memory фиксил в 6 утра и патчи заливал на лету прям во время лока, когда мы тебе первый лям в твоей жизни занесли, клоун. И как судорожно сорс собирался продать когда первые денюжки почувствовал, напомнить?

Надежно у тебя в панели ибшники месяц сидели, были бы умнее - сливали бы ключи до бесконечности, а не постили заслуги в своих блогах.
Чем тебе не нравится php? Ты сам свой говносканер kleenscan.com не на пхп ли написал? В своём глазу бревна не видишь, а в чужом соринку замечаешь?

Проведение очевидных ребрендингов, которые раскрываются как 2+2 и в добавок совпадают по таймингам, складывание битков на один адрес, это, по-твоему, показатель интеллекта? С чего ты взял что у меня есть друзья мусора, когда я с ними борюсь и публично раскрываю? Ты про скриншоты своей панели сейчас говоришь, когда вы, поджав хвост быстрее ребрендинг побежали делать ссыкуны?

Не помню начало 2020, про первый лям и продажу сорсов, по твоей логике после получения первого ляма в жизни я должен продать сорс? Зачем это делать, когда сорс приносит прибыль? Напомни мне всё это пожалуйста, желательно с пруфами. Хотя вряд ли от пиздабола я дождусь каких-то пруфов. К твоему сведению я еще до входа в рансом был долларовым миллионером. А то получается, что я тебе говорю то, что было 2 месяца назад и ты технично пытаешься уйти с этой темы ваших декриптов, придумывая какое-то пиздабольство, которое якобы было 2 года назад.

С чего ты решил, что в нашей панели ананас уроборос сидел месяц? То, что они пишут в своих пиздабольских отчётах не обязательно должно соответствовать действительности так как никто не сможет это достоверно проверить. Он сидел там ровно 1 день, когда мы дали ему на пентест новую текущую панель. Этот фрукт нашёл баг, доложил о нём сразу же нам, видимо, чтобы не палить себя и не терять репутацию, якобы он тру хакер, а не подмусорёнок, потом через 5 часов пропентестил этим же багом старую панель. Так как он уведомил нас о баге во имя попытки спасения своей репутации, у них не было возможности длительное время сидеть в панели и делать декрипты и он сразу же запостил свои заслуги у себя в блоге. Этот косяк мы никогда не отрицали и сразу же пофиксили всё в обнове. Более того, за это мы извинились перед адвертами не только на словах но и на деле предоставив «каникулы» и отсутствием оплаты 20%.

В отличии от тебя мы не побежали сразу же делать ребренбинг, когда тебя декриптили твои любимые друзья рекавери компании, с которым ты постоянно так нежно сосёшься и приглашаешь к сотрудничеству до сегодняшнего дня. Для меня не понятно лишь одно, ты намеренно им сливал ключи забирая у адвертов всю сумму выкупа или «случайно» так получилось у величайшего не самоуверенного энтерпрайзного ребрендоразработчика ни разу не калеки? Потому что, сделав ребрендинг, уничтожив блог и все данные с блога, ты лишишь возможности всех своих наивных адвертов, которые тебе верили, совершить давление хотя бы сливом информации. Таким образом исключил возможность запалить тебя в скаме, ведь блога на декриптнутые по-тихому компании нету, а значит никто не запалит что твой декриптор был по-тихому продан рекавери компаниям в обход адвертов, а тут еще и вы якобы ушли со сцены сделав ребрендинг, и даже если кто-то запалит твою хитроумную схему предъявить, то некому, ведь вы уже всё, давление властей и всё такое пиздабольство ваше. Иначе как объяснить столь скоротечное сворачивание за 2 дня какого-то сервера, который можно было, например оплатить на год и спокойно делать «ребрендинг» никогда больше не заходя на свой сервер, если якобы так сильно сжалось очко от страха?

Умные ибшники не сидят в панелях, а с тобой дружат и по-скидке покупают без палева некоторые интересные декрипторы в обход адвертов.

Кстати, с радостью куплю ваши исходники и блекматер и альфы, если надумаете делать «ребрендинг», смело обращайтесь! Код пользуется спросом, почему бы не купить, моя репутация без постоянных ребрендингов + ваш код без ушлого админа будет гремучая смесь)))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
лол, раст легок в освоении язык... Чувак, кривая обучения равносильна плюсам)
 
LockBitSupp сказал(а):
Я имел ввиду, что это относительно лёгкие языки в освоении по сравнению с чистым Си и АСМом и с них начинают школьники, поэтому велика вероятность допускания ошибок, а не потому что сам язык плохой.
Чем доступней язык, тем надёжней, в плане не допустить ошибок, не забыть какой нибудь мелочи. Не стоит влезать в полемику с другими локерами, выносить их ошибки на обозрение. Во первых приведёт к ответной реакции, во вторых помогаете друг друга вычислять всяким нехорошим айбишникам, ползающим здесь.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Интересно, что люди , которые пишут "важен не езык, а кодер, это лишь инструмент!" также успешно ругают РНР и Си.
У вас в голове двойные стандарты как, не пересекаются?
А так конечно да, раст и го и петон божественные языки, на них пишется вся топ-малварь (на Си и Асме пишут неудачники это же устаревшие языки). Скоро ядро винды и линукса перепишут на раст, все гуи будут на голанге, а все сайты на петонах.
 
LockBitSupp сказал(а):
Чем тебе не нравится php? Ты сам свой говносканер kleenscan.com не на пхп ли написал? В своём глазу бревна не видишь, а в чужом соринку замечаешь?
Лично мне - обилием небезопасных функций и обилием CVE. Но к счастью у меня достаточно ума что бы не пытаться лезть туда куда не надо. Кодингом занимаются абсолютные профессионалы никак не связанные с форумами. А тебе php так нравится потому что очень простой или потому что на форумах не водятся люди пишущие веб на современных ЯП?
LockBitSupp сказал(а):
Проведение очевидных ребрендингов, которые раскрываются как 2+2 и в добавок совпадают по таймингам, складывание битков на один адрес, это, по-твоему, показатель интеллекта? С чего ты взял что у меня есть друзья мусора, когда я с ними борюсь и публично раскрываю? Ты про скриншоты своей панели сейчас говоришь, когда вы, поджав хвост быстрее ребрендинг побежали делать ссыкуны?
Если для тебя такие дела 2+2 попросим предоставить хотя бы 1 (это на 3 меньше заявленого) прямой пруф связи с блексайд? То, что мы были адверты и в БМ и ДС заявляем прямым текстом [ у тебя же летом проходили верификцию с этхих кошельков, опять забыл? нужны пруфы?]. Что бы раставить все точки над i - наш родной дом REVIL. Мы от части сделали имя Revil такм, каким оно было до неудачных попыток реинкорнировать трупа. Мы лочили линуксы когда тебя даже в помине не было, с помощью dd, openssl и pgp. А летом ты зарекался что у тебя над линуксом пашут 3 кодера, где он? опять пиздишь? или твои планы по хедхантингу кодеров ревила были озвучены на чуть раньше получения потверждений с их стороны?
LockBitSupp сказал(а):
Не помню начало 2020, про первый лям и продажу сорсов, по твоей логике после получения первого ляма в жизни я должен продать сорс? Зачем это делать, когда сорс приносит прибыль? Напомни мне всё это пожалуйста, желательно с пруфами. Хотя вряд ли от пиздабола я дождусь каких-то пруфов. К твоему сведению я еще до входа в рансом был долларовым миллионером. А то получается, что я тебе говорю то, что было 2 месяца назад и ты технично пытаешься уйти с этой темы ваших декриптов, придумывая какое-то пиздабольство, которое якобы было 2 года назад.
Опять пиздежь.... Предложение продать сорс без поддержки было сразу же отклонено со смехом, т.к. тот код и за бесплатно не нужен был. Напоминаю про первый и единственный раз нашего знакомства: адверт
Скрытый контент для пользователей: .
у тебя регнулся в январе-феврале 2020 и мы сразу поставили таргет, во время лока сначала ты фиксил падение локера из-за некорректного обращения с памятью (привет от rust), затем диалог перешёл из твоей говнопанельки в почту на протонмейле, почта была
Скрытый контент для пользователей: .
, жаба с которой писал лично я
Скрытый контент для пользователей: .
@thescure.biz или exploit.im. можешь поискать у себя в переписках и в бд, во времена когда твоя "панелька" состола из графика и недочата. Мы такого не держим - компании, ключи, кошельки и прочее удаляются автоматически.
LockBitSupp сказал(а):
С чего ты решил, что в нашей панели ананас уроборос сидел месяц? То, что они пишут в своих пиздабольских отчётах не обязательно должно соответствовать действительности так как никто не сможет это достоверно проверить. Он сидел там ровно 1 день, когда мы дали ему на пентест новую текущую панель. Этот фрукт нашёл баг, доложил о нём сразу же нам, видимо, чтобы не палить себя и не терять репутацию, якобы он тру хакер, а не подмусорёнок, потом через 5 часов пропентестил этим же багом старую панель. Так как он уведомил нас о баге во имя попытки спасения своей репутации, у них не было возможности длительное время сидеть в панели и делать декрипты и он сразу же запостил свои заслуги у себя в блоге. Этот косяк мы никогда не отрицали и сразу же пофиксили всё в обнове. Более того, за это мы извинились перед адвертами не только на словах но и на деле предоставив «каникулы» и отсутствием оплаты 20%.
Отчеты потвержденны реальными данными. Разбираться в подробностях не особо хочется, факт в том - что вас поломали с уязвимости из кулсторис Кробера. То что признаете - молодцы. Что не учитесь на своих ошибках - не молодцы.
Это даже комментировать бессмыслено. Кокаин - зло, завязывай.

Тайминги совпадают с закрытием партнерок? - всё верно. 3(2+1) партнерки поочередно экзит-скамят, хайв работает как черепаха, у тебя нет поддержки linux еще и депозиты какие то просишь. Что нам как адвертам остается делать? Опять положится на форумных разработчиков? Что бы потом вы при закрытии раздали все ключи и разрушили всю концепцию RaaS? Изначально мы предлагали кодерам revil колаборацию (с нас веб с них бинарь), но на пол пути появился веб-кодер REVIL и они слились. Мы просто устали терять миллионы долларов из-за идиотов и ждать с моря погоды и решили написать свое - получилось. Такого функционала и спектра услуг для адвертов не было ни у ревил, ни у блексайд, ни темболее у тебя. Мы продвинули бизнес вперед, а ты сидишь и кукарекаешь на форумах. Если еще остались сомнения - добавляйся в токс за дополнительными пруфами. Если этого не произойдет, попрошу оставить свое мнение при себе и не писать эту чушь в каждой попавшейся теме.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
бро а мы знакомы оказывается)
оставь токс в пм)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх