Вирус зашифровал файлы в XBTL

[L-ee-X]

В общем результаты после сканирования на поиск удаленных файлов положительный. Нашел файлы, оказывается как я понял он шифрует его сначала потом удаляет. Сравнил по размеру зашифрованный файл и оригинал, по размеру один в один. Сейчас покопаюсь дальше.

[Samodelkin]

Главное как можно меньше старайтесь записывать новые данные на HDD чтобы они не затирали собой файлы помеченные как удалённые. Новые файлы часто создаются в другом месте, поэтому шансы восстановить старые выше. Кстати если это SSD, то они всегда новые данные записывают в новую область, чтобы память меньше изнашивалась, таким образом можно прочитать "удалённые" данные, даже если файл был перезаписан или изменён без создания нового, но данная фича аппаратного уровня и я не знаю может ли софт иметь к ней доступ.

Файловая система NTFS является журналируемой, так что если вы примерно знаете когда произошла шифрация, можно посмотреть журнал на предмет создания маленьких файлов в которых может содержаться ключ. Особенно шансы велики если компьютер отключен от сети, т. к. зловред должен где-то сохранить ключ прежде чем его передать на сервер и удалить. Однако если генерация ключа происходила на сервере по запросу, то наверное его узнать никак нельзя, придётся рассчитывать на восстановление данных.

Кстати если вы удаляли зловреда с помощью антивируса, он мог быть помещён в карантин и его можно восстановить и проанализировать.

[L-ee-X]

Да есть в карантине, сейчас запущу его на виртуалке и посмотрю что он делает
При восстановление файлов большая часть файлов оказалась поврежденной. Так что роем дальше.
На просторах инета нарыл что сам исполняемый файл запускается и подключается к инету тем самым выкачивает в неизвестное направление тот самый шифровчик, и запускает его, после он удаляется, вот как отследить куда он его закачивает, и найти бы его.

[L-ee-X]

Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел

[Samodelkin]

Сообщение от L-ee-X

Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел

Я тоже с этим не сталкивался.
Просто даю общие советы.
Самый надежный способ -- вовремя бэкапить данные.

Журнал называется USN Journal и создаёт всякие скрытые системные файлы с логами, вот чем их удобнее просматривать я не знаю.
В Windows 8 есть FileHistory -- он вроде умеет.
Такой вопрос лучше задать сисадмину, вроде таковые есть на форуме.

Декриптор обычно высылает злоумышленник или скачиваешь с его сайта.
Ну или придётся самому писать.
Если алгоритм известный, можно готовыми воспользоваться.

Попробуй сначала вот это.
Здесь инфа про CryptoLocker, но в твоём случае не он, а что-то похожее, подражателей много.
Судя по этому и этому тредам шансов расшифровать или подобрать ключ не много, нужно стараться восстановить стёртые данные.

[L-ee-X]

Нашел два странных файла на жестком при восстановление. Вот сижу и думаю что это за файлы могут быть и не могут ли они иметь какое либо отношение к ключам.

[Samodelkin]

По содержанию похоже на файлы конфига, лог-файлы или дампа от какой-то игры или мультимедийного приложения.
В первом файле какое-то однообразное содержание бинарных данных записанное в форме текста -- ключи или шифрованные данные так не выглядят.
Второй файл больше похож на файл настроек, но там нету никакого "системно_выглядящего" содержания.
Скорее всего эти файлы ненужны.

[L-ee-X]

При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.
Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном.

[Samodelkin]

Сообщение от L-ee-X

При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.

Да не скорее всего что-то уже частично было поверх них записано.
На 100% их вряд ли восстановить можно.
Это нужно было прям сразу вытаскивать HDD и переводить его в режим только чтение.
А так как у вас компьютер ещё какое-то время работал, там могла включаться плановая дефрагментация, индексатор или какие-то программы обслуживания и частично записать поверх удалённых файлов.
Но дело в том что конечно обычные программы открывают файл только когда он полностью целый, а вам нужно пользоваться какими-то специальными программами, хексвьюверами или т. п. и вручную вытаскивать информацию.
Текстовую не так сложно, всякие фоточки, видео и архивы сложнее -- там блоковое сжатие и в случае испорченного кусочка будет испорчен весь блок.
Возможно придётся разбираться с форматами файлов.
Работа в общем ручная и требующая много времени.
Но раз файлы важные, то нужно потихоньку восстанавливать .
Кстати прямо сейчас лучше дамп всего диска сделать, чтобы в случае чего не потерять то что уже (или ещё) есть.

Сообщение от L-ee-X

Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном.

Ну вот с этими 100 байтами можно поработать.
Вообще судя по форумам, этот зловред должен был оставить ReadMe файл с предложением вымогателя.
Был такой?

[L-ee-X]

Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.

[L-ee-X]

Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата.

[impersonalis]

5к или 5лимонов?!
О процессе заражения ("скачал и запустил крякер интернетов"? Антивирус никакой не установлен [сейчас, например, у антивирусов модно запускать ВСЕ неизвестные ехе-ки сперва в песочнице]?) известно что-нибудь?

зыж история жуткая

[Samodelkin]

Сообщение от L-ee-X

Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата.

Да да, так и должно быть.
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению.

Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.

Вчера глянул под хексом тот файлик зашифрованный, даже если там и есть ключ то его просто так не распознать.
Данные после шифрации выглядят как хаотичный набор байтов.
Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов.
Данные оригинального файла и шифрованного никак не совпадают.
Думать что ключ это первые или последние 100 байтов весьма наивно.
Наверняка он размазан внутри файла на основе какого-нибудь алгоритма.
И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?).
Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально.

[L-ee-X]

5К соответственно. Процес зарожения как я понял следующий. Сам исполняемый файл вовсе не вирус. При запуске он себя копирует в отдельную папку c:\programdata\windows первый этап червя выполнен, запускается этот скопированный файл и начинает подключаться по TCP протоколу на адреса откуда скачивается сам шифровчик файлов, далее пробегается по спискам жестких дисков в системе по средствам WinAPI, после чего получает списки файлов все по той же системе WinAPI за исключением системных, и далее начинает шифровать их. Шифрует сначала оригенал файла, добавляя в него часть какого то своего кода в размере примерно 100 байт, после чего создается копия этого файла уже шифрованного и далее удаляется оригенал. Как то так. По окончанию своей цели сам шифровчик себя удаляет. Не известно пока как генерируется ключ и где именно, удаленно или сразу на пк

[L-ee-X]

Сообщение от Samodelkin

Да да, так и должно быть.
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению.

Вчера глянул под хексом тот файлик зашифрованный, даже если там и есть ключ то его просто так не распознать.
Данные после шифрации выглядят как хаотичный набор байтов.
Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов.
Данные оригинального файла и шифрованного никак не совпадают.
Думать что ключ это первые или последние 100 байтов весьма наивно.
Наверняка он размазан внутри файла на основе какого-нибудь алгоритма.
И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?).
Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально.

Именно этим я сегодня и займусь, буду ковырять самого червя