Вирус зашифровал файлы в XBTL

[SBJoker]

Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).

2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа.

3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями.

4. с 99,99% вероятностью, восстановить не удастся.

5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно.

[ARA]

Вспоминаю, давным давно при установке венды каким-то образом форматнулся винч с проэктом(!). Я так конечно подохуел от такого. Но потом нарыл тулзу для восстановления файлов и мне всё файло она восстановила с форматнутого винча!

[Samodelkin]

Сообщение от SBJoker

Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).

2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа.

3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями.

4. с 99,99% вероятностью, восстановить не удастся.

5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно.

1-2. Могут быть два ключа: для шифрации и дешифрации. Оба могут сгенерироваться на сервере по запросу трояна на машине жертвы. Ключ для шифрации отправляется на шифратор жертвы. Ключ для дешифрации остаётся на сервере и теоретически его никак нельзя узнать. В файл может добавиться GUID по которому на сервере можно узнать оба ключа. То что в эти 100 байт добавляется ключ это только одна из версий, и если бы я делал шифратор я бы не стал прописывать ключ прямо в файле. И исходя из названия RSA-3072 ключ должен быть длиной 384 байта, что не может уместиться в 100 байт, а вот GUID длиной 16 байт может. Так что ключ в файле только одна из версий, и даже если так то вытащить его от туда будет возможно только если раздизассемблировать шифратор и узнать как он размещает этот ключ. И вообще его надо раздизассемблировать чтобы узнать ключ это или нет.

3. В комплекте не поставляется. Но алгоритм шифрации скорее всего открытый, потому что они наиболее надёжные. Поэтому написать дешифратор я думаю можно самому. Я писал AES-256 -- доков в инете очень много.

4. Почему? Если на HDD после заражения ничего не писали то можно восстановить больше 90% информации. Расшифровать -- маловероятно, восстановить стёртое -- очень даже можно. Это скорее всего самый вероятный вариант.

5. По версии с сервером второго ключа там нет.

[SBJoker]

4. Ну о чем речь, сам шифратор и писал после заражения. Он брал файл №1 шифровал его в новый файл, потом удалял старый. Открывал файл №2 и шифровал его в новый файл (который уже может теоретически частично попасть на место файла №1) и затирал им место.
Логично что чем меньше места на диске было, тем выше вероятность перезаписи.

[Samodelkin]

Да могли и затереть.
Но вроде как L-ee-X смог много восстановить, только файлы частично битые и обычными программами понятно не откроются -- нужно вручную байты вынимать и собирать файлы заново.

L-ee-X, а какой размер то зловреда?
Если он мелкий так может выложить сюда (в архиве понятно) да и желающие раздизассемблят.
Сразу станет ясно что в этих 100 байтах и запрашивает ли он сервер или сам генерирует ключи.

[L-ee-X]

Сообщение от Samodelkin

Да могли и затереть.
Но вроде как L-ee-X смог много восстановить, только файлы частично битые и обычными программами понятно не откроются -- нужно вручную байты вынимать и собирать файлы заново.

L-ee-X, а какой размер то зловреда?
Если он мелкий так может выложить сюда (в архиве понятно) да и желающие раздизассемблят.
Сразу станет ясно что в этих 100 байтах и запрашивает ли он сервер или сам генерирует ключи.

Короче, отправил я им файлы пару штук на что они мне в ответ прислали расшифрованные файлы, для проверки сравнил размер, реальные 397 байт в обоих файлах. То есть зашифрованный файл имеет размер больше на 397 байт. Скорее всего это и есть ключ. На счет вируса, что то восстановив с карантина нифига мне не удалось запустить его на машине виртуальной, по мимо этого вируса там их еще куча было, завтра восстановлю все на флешь и буду смотреть какой именно и есть этот самый шифровальщик.

[L-ee-X]

Сообщение от SBJoker

Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).

Мне кажется код который они просят выслать к ним на почту имеет какое отношение именно к расшифровки. Так как эти коды у всех разные которые надо им отправлять. Один ключ на всех отпадает. Проверяли уже в просторах инета вычитал где люди пробовали одним ключем другие файлы расшифровывать.

[L-ee-X]

Отправил третий файл и тоже 397 байт, короче ищем вирусняк и пробуем его раздизассемблировать, скорее ключ в файле.
Где бы на него в инете наткунться, уже все ссылки левые облазил, не попадается :D

[Samodelkin]

Хмм, тогда всё не так плохо, нужно только определить как ключ встраивается в данные файла.
Это как раз можно узнать внутри шифровальщика.
По идее там должен быть троян и шифровальщик.
Троян скачивает шифровальщик с сервера.

[L-ee-X]

Там три файла, первый копирует себя или того самого трояна в отдельную папку, а этот троян уже качает шифратора с сервера по TCP, вот единственное не понятно куда он его качает, в инете где я читал не могут найти куда он закачивает шифровальщика.

[Samodelkin]

Сообщение от L-ee-X

Там три файла, первый копирует себя или того самого трояна в отдельную папку, а этот троян уже качает шифратора с сервера по TCP, вот единственное не понятно куда он его качает, в инете где я читал не могут найти куда он закачивает шифровальщика.

Он может его держать в ОЗУ.
Если перезагрузить компьютер и посмотреть будет ли троян снова обращаться за шифратором, значит он нигде не сохраняет его на диске.

[L-ee-X]

Надеюсь меня тут ни кто не забанит если я под паролем выложу этот самый вирус?
Еще такой вопрос, а может ли тот самый код который они просят прислать к ним на почту иметь отношение к ключу, например как сгенерировать с помощью этого кода ключ к расшифровке файлов? Если один ключ не подходим ко всем файлам, значить они от чего то должны отталкиваться чтоб для каждой жертвы сгенерировать ключ, а они отталкиваются только от этого кода вот такого вида 5293505F3238225B5E1B|0
Вступил в контакт с этими мошенниками :D
Они подтвердили что алгоритм верный, и разбег между файлами 397 байт. Ждут от меня письма с дальнейшими действиями :D
И еще он мне написал что он доктор математических наук и программист со стажем 30 лет. Во как.

[L-ee-X]

Теперь они за расшифровку с меня уже не 5К хотят а 10К ))))))))))))

[RegIon]

Сообщение от L-ee-X

Теперь они за расшифровку с меня уже не 5К хотят а 10К ))))))))))))

По хорошему можно их засудить, если есть за что.
-Вымогательство.
-Вмешательство в частную жизнь и порча имущества проканает? Как то по другому называется статья вроде..
Они же как-то связываются с тобой и признают свое участие.

Было бы больше образцов f(норм_фаил,код)=зашифрованый (10к наверное будет мало), можно было с каким-то успехом попробывать на нейросетях найти шифр f() . Только комп ярый нужен, очень ярый. Что-то типо Microsoft Azure тогда, там сейчас халва на месяц.

Можно же самим шифрануть правильные файлы им, что бы иметь набор образцов.

• Если несколько идентичных имеют разный выход, то алгоритм как-то динамический с непостоянным ключом - плохо.
• Если все в большей степни подобны, то можно попробовать руками или на нейронах (только либо самим писать,либо юзать спецпакеты )

[L-ee-X]

Ну файлов всего три штуки ориген. и шифро.
Засудить? Да засудить то можно, только отследить тяжело, 8 писем в почте и все с разных IP, сервак от куда закачивается шифровчик находится в USA, так что думаю вариантов мало. Люди тоже не глупые. И реквизиты меняются каждый день куда отправлять деньги. Тут хвостов не найти мне кажется.