|
Болтовня Разговоры на любые темы (думайте, о чем пишите) |
17.03.2015, 12:34
|
#31
|
Злобный Админ
Регистрация: 04.09.2005
Сообщений: 5,926
Написано 3,415 полезных сообщений (для 9,330 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).
2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа.
3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями.
4. с 99,99% вероятностью, восстановить не удастся.
5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно.
__________________
|
(Offline)
|
|
17.03.2015, 13:27
|
#32
|
ТЫ ЧООО?
Регистрация: 26.02.2007
Сообщений: 3,369
Написано 2,020 полезных сообщений (для 7,192 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Вспоминаю, давным давно при установке венды каким-то образом форматнулся винч с проэктом(!). Я так конечно подохуел от такого. Но потом нарыл тулзу для восстановления файлов и мне всё файло она восстановила с форматнутого винча!
__________________
Вертекс в глаз или в пиксель раз?
|
(Offline)
|
|
17.03.2015, 16:13
|
#33
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от SBJoker
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).
2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа.
3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями.
4. с 99,99% вероятностью, восстановить не удастся.
5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно.
|
1-2. Могут быть два ключа: для шифрации и дешифрации. Оба могут сгенерироваться на сервере по запросу трояна на машине жертвы. Ключ для шифрации отправляется на шифратор жертвы. Ключ для дешифрации остаётся на сервере и теоретически его никак нельзя узнать. В файл может добавиться GUID по которому на сервере можно узнать оба ключа. То что в эти 100 байт добавляется ключ это только одна из версий, и если бы я делал шифратор я бы не стал прописывать ключ прямо в файле. И исходя из названия RSA-3072 ключ должен быть длиной 384 байта, что не может уместиться в 100 байт, а вот GUID длиной 16 байт может. Так что ключ в файле только одна из версий, и даже если так то вытащить его от туда будет возможно только если раздизассемблировать шифратор и узнать как он размещает этот ключ. И вообще его надо раздизассемблировать чтобы узнать ключ это или нет.
3. В комплекте не поставляется. Но алгоритм шифрации скорее всего открытый, потому что они наиболее надёжные. Поэтому написать дешифратор я думаю можно самому. Я писал AES-256 -- доков в инете очень много.
4. Почему? Если на HDD после заражения ничего не писали то можно восстановить больше 90% информации. Расшифровать -- маловероятно, восстановить стёртое -- очень даже можно. Это скорее всего самый вероятный вариант.
5. По версии с сервером второго ключа там нет.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
17.03.2015, 20:42
|
#34
|
Злобный Админ
Регистрация: 04.09.2005
Сообщений: 5,926
Написано 3,415 полезных сообщений (для 9,330 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
4. Ну о чем речь, сам шифратор и писал после заражения. Он брал файл №1 шифровал его в новый файл, потом удалял старый. Открывал файл №2 и шифровал его в новый файл (который уже может теоретически частично попасть на место файла №1) и затирал им место.
Логично что чем меньше места на диске было, тем выше вероятность перезаписи.
__________________
|
(Offline)
|
|
17.03.2015, 21:08
|
#35
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Да могли и затереть.
Но вроде как L-ee-X смог много восстановить, только файлы частично битые и обычными программами понятно не откроются -- нужно вручную байты вынимать и собирать файлы заново.
L-ee-X, а какой размер то зловреда?
Если он мелкий так может выложить сюда (в архиве понятно) да и желающие раздизассемблят.
Сразу станет ясно что в этих 100 байтах и запрашивает ли он сервер или сам генерирует ключи.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
17.03.2015, 22:40
|
#36
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от Samodelkin
Да могли и затереть.
Но вроде как L-ee-X смог много восстановить, только файлы частично битые и обычными программами понятно не откроются -- нужно вручную байты вынимать и собирать файлы заново.
L-ee-X, а какой размер то зловреда?
Если он мелкий так может выложить сюда (в архиве понятно) да и желающие раздизассемблят.
Сразу станет ясно что в этих 100 байтах и запрашивает ли он сервер или сам генерирует ключи.
|
Короче, отправил я им файлы пару штук на что они мне в ответ прислали расшифрованные файлы, для проверки сравнил размер, реальные 397 байт в обоих файлах. То есть зашифрованный файл имеет размер больше на 397 байт. Скорее всего это и есть ключ. На счет вируса, что то восстановив с карантина нифига мне не удалось запустить его на машине виртуальной, по мимо этого вируса там их еще куча было, завтра восстановлю все на флешь и буду смотреть какой именно и есть этот самый шифровальщик.
__________________
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
17.03.2015, 22:45
|
#37
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от SBJoker
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).
|
Мне кажется код который они просят выслать к ним на почту имеет какое отношение именно к расшифровки. Так как эти коды у всех разные которые надо им отправлять. Один ключ на всех отпадает. Проверяли уже в просторах инета вычитал где люди пробовали одним ключем другие файлы расшифровывать.
__________________
|
(Offline)
|
|
17.03.2015, 22:54
|
#38
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Отправил третий файл и тоже 397 байт, короче ищем вирусняк и пробуем его раздизассемблировать, скорее ключ в файле.
Где бы на него в инете наткунться, уже все ссылки левые облазил, не попадается :D
__________________
|
(Offline)
|
|
17.03.2015, 23:01
|
#39
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Хмм, тогда всё не так плохо, нужно только определить как ключ встраивается в данные файла.
Это как раз можно узнать внутри шифровальщика.
По идее там должен быть троян и шифровальщик.
Троян скачивает шифровальщик с сервера.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
17.03.2015, 23:03
|
#40
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Там три файла, первый копирует себя или того самого трояна в отдельную папку, а этот троян уже качает шифратора с сервера по TCP, вот единственное не понятно куда он его качает, в инете где я читал не могут найти куда он закачивает шифровальщика.
__________________
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
17.03.2015, 23:06
|
#41
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от L-ee-X
Там три файла, первый копирует себя или того самого трояна в отдельную папку, а этот троян уже качает шифратора с сервера по TCP, вот единственное не понятно куда он его качает, в инете где я читал не могут найти куда он закачивает шифровальщика.
|
Он может его держать в ОЗУ.
Если перезагрузить компьютер и посмотреть будет ли троян снова обращаться за шифратором, значит он нигде не сохраняет его на диске.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
17.03.2015, 23:06
|
#42
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Надеюсь меня тут ни кто не забанит если я под паролем выложу этот самый вирус?
Еще такой вопрос, а может ли тот самый код который они просят прислать к ним на почту иметь отношение к ключу, например как сгенерировать с помощью этого кода ключ к расшифровке файлов? Если один ключ не подходим ко всем файлам, значить они от чего то должны отталкиваться чтоб для каждой жертвы сгенерировать ключ, а они отталкиваются только от этого кода вот такого вида 5293505F3238225B5E1B|0
Вступил в контакт с этими мошенниками :D
Они подтвердили что алгоритм верный, и разбег между файлами 397 байт. Ждут от меня письма с дальнейшими действиями :D
И еще он мне написал что он доктор математических наук и программист со стажем 30 лет. Во как.
__________________
Последний раз редактировалось L-ee-X, 18.03.2015 в 08:30.
|
(Offline)
|
|
Эти 3 пользователя(ей) сказали Спасибо L-ee-X за это полезное сообщение:
|
|
18.03.2015, 08:28
|
#43
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Теперь они за расшифровку с меня уже не 5К хотят а 10К ))))))))))))
__________________
|
(Offline)
|
|
18.03.2015, 08:34
|
#44
|
Элита
Регистрация: 16.01.2010
Адрес: Новосибирск
Сообщений: 2,157
Написано 502 полезных сообщений (для 1,012 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от L-ee-X
Теперь они за расшифровку с меня уже не 5К хотят а 10К ))))))))))))
|
По хорошему можно их засудить, если есть за что.
-Вымогательство.
-Вмешательство в частную жизнь и порча имущества проканает? Как то по другому называется статья вроде..
Они же как-то связываются с тобой и признают свое участие.
Было бы больше образцов f( норм_фаил,код)=зашифрованый (10к наверное будет мало), можно было с каким-то успехом попробывать на нейросетях найти шифр f() . Только комп ярый нужен, очень ярый. Что-то типо Microsoft Azure тогда, там сейчас халва на месяц.
Можно же самим шифрануть правильные файлы им, что бы иметь набор образцов. - Если несколько идентичных имеют разный выход, то алгоритм как-то динамический с непостоянным ключом - плохо.
- Если все в большей степни подобны, то можно попробовать руками или на нейронах (только либо самим писать,либо юзать спецпакеты )
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
18.03.2015, 08:46
|
#45
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Ну файлов всего три штуки ориген. и шифро.
Засудить? Да засудить то можно, только отследить тяжело, 8 писем в почте и все с разных IP, сервак от куда закачивается шифровчик находится в USA, так что думаю вариантов мало. Люди тоже не глупые. И реквизиты меняются каждый день куда отправлять деньги. Тут хвостов не найти мне кажется.
__________________
|
(Offline)
|
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 13:42.
|