|
Болтовня Разговоры на любые темы (думайте, о чем пишите) |
14.03.2015, 18:59
|
#16
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
В общем результаты после сканирования на поиск удаленных файлов положительный. Нашел файлы, оказывается как я понял он шифрует его сначала потом удаляет. Сравнил по размеру зашифрованный файл и оригинал, по размеру один в один. Сейчас покопаюсь дальше.
__________________
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
14.03.2015, 21:12
|
#17
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Главное как можно меньше старайтесь записывать новые данные на HDD чтобы они не затирали собой файлы помеченные как удалённые. Новые файлы часто создаются в другом месте, поэтому шансы восстановить старые выше. Кстати если это SSD, то они всегда новые данные записывают в новую область, чтобы память меньше изнашивалась, таким образом можно прочитать "удалённые" данные, даже если файл был перезаписан или изменён без создания нового, но данная фича аппаратного уровня и я не знаю может ли софт иметь к ней доступ.
Файловая система NTFS является журналируемой, так что если вы примерно знаете когда произошла шифрация, можно посмотреть журнал на предмет создания маленьких файлов в которых может содержаться ключ. Особенно шансы велики если компьютер отключен от сети, т. к. зловред должен где-то сохранить ключ прежде чем его передать на сервер и удалить. Однако если генерация ключа происходила на сервере по запросу, то наверное его узнать никак нельзя, придётся рассчитывать на восстановление данных.
Кстати если вы удаляли зловреда с помощью антивируса, он мог быть помещён в карантин и его можно восстановить и проанализировать.
|
(Offline)
|
|
Эти 2 пользователя(ей) сказали Спасибо Samodelkin за это полезное сообщение:
|
|
14.03.2015, 21:35
|
#18
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Да есть в карантине, сейчас запущу его на виртуалке и посмотрю что он делает
При восстановление файлов большая часть файлов оказалась поврежденной. Так что роем дальше.
На просторах инета нарыл что сам исполняемый файл запускается и подключается к инету тем самым выкачивает в неизвестное направление тот самый шифровчик, и запускает его, после он удаляется, вот как отследить куда он его закачивает, и найти бы его.
__________________
|
(Offline)
|
|
14.03.2015, 21:58
|
#19
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел
__________________
|
(Offline)
|
|
14.03.2015, 22:51
|
#20
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от L-ee-X
Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел
|
Я тоже с этим не сталкивался.
Просто даю общие советы.
Самый надежный способ -- вовремя бэкапить данные.
Журнал называется USN Journal и создаёт всякие скрытые системные файлы с логами, вот чем их удобнее просматривать я не знаю.
В Windows 8 есть FileHistory -- он вроде умеет.
Такой вопрос лучше задать сисадмину, вроде таковые есть на форуме.
Декриптор обычно высылает злоумышленник или скачиваешь с его сайта.
Ну или придётся самому писать.
Если алгоритм известный, можно готовыми воспользоваться.
Попробуй сначала вот это.
Здесь инфа про CryptoLocker, но в твоём случае не он, а что-то похожее, подражателей много.
Судя по этому и этому тредам шансов расшифровать или подобрать ключ не много, нужно стараться восстановить стёртые данные.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
15.03.2015, 17:13
|
#21
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Нашел два странных файла на жестком при восстановление. Вот сижу и думаю что это за файлы могут быть и не могут ли они иметь какое либо отношение к ключам.
__________________
|
(Offline)
|
|
15.03.2015, 20:18
|
#22
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
По содержанию похоже на файлы конфига, лог-файлы или дампа от какой-то игры или мультимедийного приложения.
В первом файле какое-то однообразное содержание бинарных данных записанное в форме текста -- ключи или шифрованные данные так не выглядят.
Второй файл больше похож на файл настроек, но там нету никакого "системно_выглядящего" содержания.
Скорее всего эти файлы ненужны.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
15.03.2015, 20:25
|
#23
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.
Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном.
__________________
Последний раз редактировалось L-ee-X, 15.03.2015 в 21:34.
|
(Offline)
|
|
Эти 2 пользователя(ей) сказали Спасибо L-ee-X за это полезное сообщение:
|
|
16.03.2015, 00:07
|
#24
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от L-ee-X
При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.
|
Да не скорее всего что-то уже частично было поверх них записано.
На 100% их вряд ли восстановить можно.
Это нужно было прям сразу вытаскивать HDD и переводить его в режим только чтение.
А так как у вас компьютер ещё какое-то время работал, там могла включаться плановая дефрагментация, индексатор или какие-то программы обслуживания и частично записать поверх удалённых файлов.
Но дело в том что конечно обычные программы открывают файл только когда он полностью целый, а вам нужно пользоваться какими-то специальными программами, хексвьюверами или т. п. и вручную вытаскивать информацию.
Текстовую не так сложно, всякие фоточки, видео и архивы сложнее -- там блоковое сжатие и в случае испорченного кусочка будет испорчен весь блок.
Возможно придётся разбираться с форматами файлов.
Работа в общем ручная и требующая много времени.
Но раз файлы важные, то нужно потихоньку восстанавливать .
Кстати прямо сейчас лучше дамп всего диска сделать, чтобы в случае чего не потерять то что уже (или ещё) есть.
Сообщение от L-ee-X
Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном.
|
Ну вот с этими 100 байтами можно поработать.
Вообще судя по форумам, этот зловред должен был оставить ReadMe файл с предложением вымогателя.
Был такой?
|
(Offline)
|
|
Эти 2 пользователя(ей) сказали Спасибо Samodelkin за это полезное сообщение:
|
|
16.03.2015, 07:33
|
#25
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.
__________________
|
(Offline)
|
|
16.03.2015, 09:12
|
#26
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата.
__________________
|
(Offline)
|
|
Эти 2 пользователя(ей) сказали Спасибо L-ee-X за это полезное сообщение:
|
|
16.03.2015, 12:14
|
#27
|
Зануда с интернетом
Регистрация: 04.09.2005
Сообщений: 14,014
Написано 6,798 полезных сообщений (для 20,935 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
5к или 5лимонов?!
О процессе заражения ("скачал и запустил крякер интернетов"? Антивирус никакой не установлен [сейчас, например, у антивирусов модно запускать ВСЕ неизвестные ехе-ки сперва в песочнице]?) известно что-нибудь?
зыж история жуткая
__________________
http://nabatchikov.com
Мир нужно делать лучше и чище. Иначе, зачем мы живем? tormoz
А я растила сына на преданьях
о принцах, троллях, потайных свиданьях,
погонях, похищениях невест.
Да кто же знал, что сказка душу съест?
|
(Offline)
|
|
16.03.2015, 15:12
|
#28
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от L-ee-X
Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата.
|
Да да, так и должно быть.
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению.
Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.
|
Вчера глянул под хексом тот файлик зашифрованный, даже если там и есть ключ то его просто так не распознать.
Данные после шифрации выглядят как хаотичный набор байтов.
Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов.
Данные оригинального файла и шифрованного никак не совпадают.
Думать что ключ это первые или последние 100 байтов весьма наивно.
Наверняка он размазан внутри файла на основе какого-нибудь алгоритма.
И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?).
Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
16.03.2015, 15:20
|
#29
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
5К соответственно. Процес зарожения как я понял следующий. Сам исполняемый файл вовсе не вирус. При запуске он себя копирует в отдельную папку c:\programdata\windows первый этап червя выполнен, запускается этот скопированный файл и начинает подключаться по TCP протоколу на адреса откуда скачивается сам шифровчик файлов, далее пробегается по спискам жестких дисков в системе по средствам WinAPI, после чего получает списки файлов все по той же системе WinAPI за исключением системных, и далее начинает шифровать их. Шифрует сначала оригенал файла, добавляя в него часть какого то своего кода в размере примерно 100 байт, после чего создается копия этого файла уже шифрованного и далее удаляется оригенал. Как то так. По окончанию своей цели сам шифровчик себя удаляет. Не известно пока как генерируется ключ и где именно, удаленно или сразу на пк
__________________
|
(Offline)
|
|
Эти 2 пользователя(ей) сказали Спасибо L-ee-X за это полезное сообщение:
|
|
16.03.2015, 15:22
|
#30
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от Samodelkin
Да да, так и должно быть.
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению.
Вчера глянул под хексом тот файлик зашифрованный, даже если там и есть ключ то его просто так не распознать.
Данные после шифрации выглядят как хаотичный набор байтов.
Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов.
Данные оригинального файла и шифрованного никак не совпадают.
Думать что ключ это первые или последние 100 байтов весьма наивно.
Наверняка он размазан внутри файла на основе какого-нибудь алгоритма.
И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?).
Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально.
|
Именно этим я сегодня и займусь, буду ковырять самого червя
__________________
|
(Offline)
|
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 06:21.
|