|
Ответ: Вирус зашифровал файлы в XBTL
В общем результаты после сканирования на поиск удаленных файлов положительный. Нашел файлы, оказывается как я понял он шифрует его сначала потом удаляет. Сравнил по размеру зашифрованный файл и оригинал, по размеру один в один. Сейчас покопаюсь дальше.
|
Ответ: Вирус зашифровал файлы в XBTL
Главное как можно меньше старайтесь записывать новые данные на HDD чтобы они не затирали собой файлы помеченные как удалённые. Новые файлы часто создаются в другом месте, поэтому шансы восстановить старые выше. Кстати если это SSD, то они всегда новые данные записывают в новую область, чтобы память меньше изнашивалась, таким образом можно прочитать "удалённые" данные, даже если файл был перезаписан или изменён без создания нового, но данная фича аппаратного уровня и я не знаю может ли софт иметь к ней доступ.
Файловая система NTFS является журналируемой, так что если вы примерно знаете когда произошла шифрация, можно посмотреть журнал на предмет создания маленьких файлов в которых может содержаться ключ. Особенно шансы велики если компьютер отключен от сети, т. к. зловред должен где-то сохранить ключ прежде чем его передать на сервер и удалить. Однако если генерация ключа происходила на сервере по запросу, то наверное его узнать никак нельзя, придётся рассчитывать на восстановление данных. Кстати если вы удаляли зловреда с помощью антивируса, он мог быть помещён в карантин и его можно восстановить и проанализировать. |
Ответ: Вирус зашифровал файлы в XBTL
Да есть в карантине, сейчас запущу его на виртуалке и посмотрю что он делает
При восстановление файлов большая часть файлов оказалась поврежденной. Так что роем дальше. На просторах инета нарыл что сам исполняемый файл запускается и подключается к инету тем самым выкачивает в неизвестное направление тот самый шифровчик, и запускает его, после он удаляется, вот как отследить куда он его закачивает, и найти бы его. |
Ответ: Вирус зашифровал файлы в XBTL
Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Просто даю общие советы. Самый надежный способ -- вовремя бэкапить данные. Журнал называется USN Journal и создаёт всякие скрытые системные файлы с логами, вот чем их удобнее просматривать я не знаю. В Windows 8 есть FileHistory -- он вроде умеет. Такой вопрос лучше задать сисадмину, вроде таковые есть на форуме. Декриптор обычно высылает злоумышленник или скачиваешь с его сайта. Ну или придётся самому писать. Если алгоритм известный, можно готовыми воспользоваться. Попробуй сначала вот это. Здесь инфа про CryptoLocker, но в твоём случае не он, а что-то похожее, подражателей много. Судя по этому и этому тредам шансов расшифровать или подобрать ключ не много, нужно стараться восстановить стёртые данные. |
Ответ: Вирус зашифровал файлы в XBTL
Вложений: 2
Нашел два странных файла на жестком при восстановление. Вот сижу и думаю что это за файлы могут быть и не могут ли они иметь какое либо отношение к ключам.
|
Ответ: Вирус зашифровал файлы в XBTL
По содержанию похоже на файлы конфига, лог-файлы или дампа от какой-то игры или мультимедийного приложения.
В первом файле какое-то однообразное содержание бинарных данных записанное в форме текста -- ключи или шифрованные данные так не выглядят. Второй файл больше похож на файл настроек, но там нету никакого "системно_выглядящего" содержания. Скорее всего эти файлы ненужны. |
Ответ: Вирус зашифровал файлы в XBTL
При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.
Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном. |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
На 100% их вряд ли восстановить можно. Это нужно было прям сразу вытаскивать HDD и переводить его в режим только чтение. А так как у вас компьютер ещё какое-то время работал, там могла включаться плановая дефрагментация, индексатор или какие-то программы обслуживания и частично записать поверх удалённых файлов. Но дело в том что конечно обычные программы открывают файл только когда он полностью целый, а вам нужно пользоваться какими-то специальными программами, хексвьюверами или т. п. и вручную вытаскивать информацию. Текстовую не так сложно, всякие фоточки, видео и архивы сложнее -- там блоковое сжатие и в случае испорченного кусочка будет испорчен весь блок. Возможно придётся разбираться с форматами файлов. Работа в общем ручная и требующая много времени. Но раз файлы важные, то нужно потихоньку восстанавливать :) . Кстати прямо сейчас лучше дамп всего диска сделать, чтобы в случае чего не потерять то что уже (или ещё) есть. Цитата:
Вообще судя по форумам, этот зловред должен был оставить ReadMe файл с предложением вымогателя. Был такой? |
Ответ: Вирус зашифровал файлы в XBTL
Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.
|
Ответ: Вирус зашифровал файлы в XBTL
Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата. |
Ответ: Вирус зашифровал файлы в XBTL
5к или 5лимонов?!
О процессе заражения ("скачал и запустил крякер интернетов"? Антивирус никакой не установлен [сейчас, например, у антивирусов модно запускать ВСЕ неизвестные ехе-ки сперва в песочнице]?) известно что-нибудь? зыж история жуткая |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению. Цитата:
Данные после шифрации выглядят как хаотичный набор байтов. Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов. Данные оригинального файла и шифрованного никак не совпадают. Думать что ключ это первые или последние 100 байтов весьма наивно. Наверняка он размазан внутри файла на основе какого-нибудь алгоритма. И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?). Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально. |
Ответ: Вирус зашифровал файлы в XBTL
5К соответственно. Процес зарожения как я понял следующий. Сам исполняемый файл вовсе не вирус. При запуске он себя копирует в отдельную папку c:\programdata\windows первый этап червя выполнен, запускается этот скопированный файл и начинает подключаться по TCP протоколу на адреса откуда скачивается сам шифровчик файлов, далее пробегается по спискам жестких дисков в системе по средствам WinAPI, после чего получает списки файлов все по той же системе WinAPI за исключением системных, и далее начинает шифровать их. Шифрует сначала оригенал файла, добавляя в него часть какого то своего кода в размере примерно 100 байт, после чего создается копия этого файла уже шифрованного и далее удаляется оригенал. Как то так. По окончанию своей цели сам шифровчик себя удаляет. Не известно пока как генерируется ключ и где именно, удаленно или сразу на пк :)
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
|
| Часовой пояс GMT +4, время: 10:58. |
vBulletin® Version 3.6.5.
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Перевод: zCarot