forum.boolean.name

forum.boolean.name (http://forum.boolean.name/index.php)
-   Болтовня (http://forum.boolean.name/forumdisplay.php?f=25)
-   -   Вирус зашифровал файлы в XBTL (http://forum.boolean.name/showthread.php?t=19736)

L-ee-X 13.03.2015 21:14

Вирус зашифровал файлы в XBTL
 
Вложений: 1
Всем здрасти. Друг подцепил вирус который зашифровал все данные и фото и документы и музыку и видео в непонятный файл с расширением XBTL. КТо нибудь сталкивался с этим и может кто то знает как их расшифровать?
Ниже в архив закинул упакованный файл xbtl который зашифрован. И имена у файлов стали странные, набор символов разных.

L-ee-X 13.03.2015 22:26

Ответ: Вирус зашифровал файлы в XBTL
 
Все что удалось нарыть в инете так это то, что шифровальщик использует алгоритм RSA-3072

Samodelkin 14.03.2015 00:42

Ответ: Вирус зашифровал файлы в XBTL
 
Есть зловреды типа CryptoLocker.
Возможно это одна из его разновидностей.
Возможно что даже делал дилетант, т. к. в инете полно статей как сделать такого зловреда.
Обычно профи жертве высылают предложение заплатить и дают ключ для расшифровки.
Но если ничего не приходит значит просто кто-то пошутил.
У Касперского есть тулза которая расшифровывает такие штуки.

L-ee-X 14.03.2015 01:11

Ответ: Вирус зашифровал файлы в XBTL
 
Пробовал касперским, не помог ни чем.

Кирпи4 14.03.2015 01:25

Ответ: Вирус зашифровал файлы в XBTL
 
О, с почином, дружище =3
Лежат два системника, у одного зашифровано 320 гектар музыки, у второго уже стёрто десять гектар свадебных фото

Samodelkin 14.03.2015 01:29

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294109)
Пробовал касперским, не помог ни чем.

Там нужно специальной тулзой и ручками.
Если ты пройдешься автоматическим режимом антивируса, то он может удалить того зловреда, который зашифровал файлы, и который скорей всего нужен и для расшифровки, и тогда уже ничто не поможет, если только злоумышленник новый не вышлет.
В общем тут чем меньше ковыряешь -- тем лучше.
Надо отдавать спецам на восстановление.

L-ee-X 14.03.2015 01:45

Ответ: Вирус зашифровал файлы в XBTL
 
Да вот именно что уже поковыряли умники и удалили вирус этот. Я знаю что он бы возможно понадобился бы для расшифровки :( Короче выход, все сносить?

Samodelkin 14.03.2015 03:08

Ответ: Вирус зашифровал файлы в XBTL
 
Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео?
Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним?
Перепроверьте ещё раз.

Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные.

Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново.

L-ee-X 14.03.2015 10:52

Ответ: Вирус зашифровал файлы в XBTL
 
Пробовал востановлением данных не получается и не находит ни чего. Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?

tirarex 14.03.2015 10:55

Ответ: Вирус зашифровал файлы в XBTL
 
Забить и поставить новую винду. С нормальным антивирусом (mse).

L-ee-X 14.03.2015 14:31

Ответ: Вирус зашифровал файлы в XBTL
 
На жесток инфа важная. Удалять не желательно :(

L-ee-X 14.03.2015 14:32

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от Samodelkin (Сообщение 294113)
Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео?
Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним?
Перепроверьте ещё раз.

Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные.

Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново.

Архив я примером скинул один файл.

Samodelkin 14.03.2015 16:35

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294116)
Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?

Вообще согласно принципу Керкгоффса знание алгоритма не даст никакого преимущества в расшифровке. В том числе RSA является открытым алгоритмом. Важно найти ключ. Если зловред не профессиональный то ключ может быть вбит прямо в код, или сохраняться где-то в системе, или генерироваться достаточно предсказуемым алгоритмом. Таким образом конечно можно провести реверс-инжиниринг, найти такие уязвимости и попытаться восстановить ключ.

Ну вот например можно найти какие-нибудь общие системные файлы, которые одинаковы на всех системах, которые можно скачать из инета, и сравнить их с зашифрованной версией на вашей машине. Если размеры файлов примерно совпадают то скорее всего использовался симметричный шифр, а это значит что RSA 3072 скорее всего использовался для ключа, а данные шифровались AES'ом или ГОСТ'ом или т.п. У симметричных шифров данные после шифрации совпадают с исходной версией вплоть до байта, а это значит что можно уже более точно сравнить два файла, и если есть разница на несколько байтов, то возможно добавлены какие то данные, и возможно даже там будет ключ (хотя это глупо, но могли так пошутить).

Igor 14.03.2015 17:15

Ответ: Вирус зашифровал файлы в XBTL
 
Если используется такой способ шифрования: https://ru.wikipedia.org/wiki/%D0%93%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D 0%B0%D0%BD%D0%B8%D0%B5
и одинаковый ключ для каждого файла, то, если сравнить незашифрованный и зашифрованный файл, то получим как раз гамму и сможешь с её помощью восстановить любой файл зашифрованный тем же ключом. (Правда, файл, с помощью которого получаем гамму, должен быть длиннее)

Samodelkin 14.03.2015 17:26

Ответ: Вирус зашифровал файлы в XBTL
 
Ну именно из-за требований к гамме этот метод не практичен в реальном применении.
Вот ещё про шифр Вермана.

L-ee-X 14.03.2015 18:59

Ответ: Вирус зашифровал файлы в XBTL
 
В общем результаты после сканирования на поиск удаленных файлов положительный. Нашел файлы, оказывается как я понял он шифрует его сначала потом удаляет. Сравнил по размеру зашифрованный файл и оригинал, по размеру один в один. Сейчас покопаюсь дальше.

Samodelkin 14.03.2015 21:12

Ответ: Вирус зашифровал файлы в XBTL
 
Главное как можно меньше старайтесь записывать новые данные на HDD чтобы они не затирали собой файлы помеченные как удалённые. Новые файлы часто создаются в другом месте, поэтому шансы восстановить старые выше. Кстати если это SSD, то они всегда новые данные записывают в новую область, чтобы память меньше изнашивалась, таким образом можно прочитать "удалённые" данные, даже если файл был перезаписан или изменён без создания нового, но данная фича аппаратного уровня и я не знаю может ли софт иметь к ней доступ.

Файловая система NTFS является журналируемой, так что если вы примерно знаете когда произошла шифрация, можно посмотреть журнал на предмет создания маленьких файлов в которых может содержаться ключ. Особенно шансы велики если компьютер отключен от сети, т. к. зловред должен где-то сохранить ключ прежде чем его передать на сервер и удалить. Однако если генерация ключа происходила на сервере по запросу, то наверное его узнать никак нельзя, придётся рассчитывать на восстановление данных.

Кстати если вы удаляли зловреда с помощью антивируса, он мог быть помещён в карантин и его можно восстановить и проанализировать.

L-ee-X 14.03.2015 21:35

Ответ: Вирус зашифровал файлы в XBTL
 
Да есть в карантине, сейчас запущу его на виртуалке и посмотрю что он делает
При восстановление файлов большая часть файлов оказалась поврежденной. Так что роем дальше.
На просторах инета нарыл что сам исполняемый файл запускается и подключается к инету тем самым выкачивает в неизвестное направление тот самый шифровчик, и запускает его, после он удаляется, вот как отследить куда он его закачивает, и найти бы его.

L-ee-X 14.03.2015 21:58

Ответ: Вирус зашифровал файлы в XBTL
 
Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел

Samodelkin 14.03.2015 22:51

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294135)
Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел

Я тоже с этим не сталкивался.
Просто даю общие советы.
Самый надежный способ -- вовремя бэкапить данные.

Журнал называется USN Journal и создаёт всякие скрытые системные файлы с логами, вот чем их удобнее просматривать я не знаю.
В Windows 8 есть FileHistory -- он вроде умеет.
Такой вопрос лучше задать сисадмину, вроде таковые есть на форуме.

Декриптор обычно высылает злоумышленник или скачиваешь с его сайта.
Ну или придётся самому писать.
Если алгоритм известный, можно готовыми воспользоваться.

Попробуй сначала вот это.
Здесь инфа про CryptoLocker, но в твоём случае не он, а что-то похожее, подражателей много.
Судя по этому и этому тредам шансов расшифровать или подобрать ключ не много, нужно стараться восстановить стёртые данные.

L-ee-X 15.03.2015 17:13

Ответ: Вирус зашифровал файлы в XBTL
 
Вложений: 2
Нашел два странных файла на жестком при восстановление. Вот сижу и думаю что это за файлы могут быть и не могут ли они иметь какое либо отношение к ключам.

Samodelkin 15.03.2015 20:18

Ответ: Вирус зашифровал файлы в XBTL
 
По содержанию похоже на файлы конфига, лог-файлы или дампа от какой-то игры или мультимедийного приложения.
В первом файле какое-то однообразное содержание бинарных данных записанное в форме текста -- ключи или шифрованные данные так не выглядят.
Второй файл больше похож на файл настроек, но там нету никакого "системно_выглядящего" содержания.
Скорее всего эти файлы ненужны.

L-ee-X 15.03.2015 20:25

Ответ: Вирус зашифровал файлы в XBTL
 
При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.
Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном.

Samodelkin 16.03.2015 00:07

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294168)
При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.

Да не скорее всего что-то уже частично было поверх них записано.
На 100% их вряд ли восстановить можно.
Это нужно было прям сразу вытаскивать HDD и переводить его в режим только чтение.
А так как у вас компьютер ещё какое-то время работал, там могла включаться плановая дефрагментация, индексатор или какие-то программы обслуживания и частично записать поверх удалённых файлов.
Но дело в том что конечно обычные программы открывают файл только когда он полностью целый, а вам нужно пользоваться какими-то специальными программами, хексвьюверами или т. п. и вручную вытаскивать информацию.
Текстовую не так сложно, всякие фоточки, видео и архивы сложнее -- там блоковое сжатие и в случае испорченного кусочка будет испорчен весь блок.
Возможно придётся разбираться с форматами файлов.
Работа в общем ручная и требующая много времени.
Но раз файлы важные, то нужно потихоньку восстанавливать :) .
Кстати прямо сейчас лучше дамп всего диска сделать, чтобы в случае чего не потерять то что уже (или ещё) есть.

Цитата:

Сообщение от L-ee-X (Сообщение 294168)
Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном.

Ну вот с этими 100 байтами можно поработать.
Вообще судя по форумам, этот зловред должен был оставить ReadMe файл с предложением вымогателя.
Был такой?

L-ee-X 16.03.2015 07:33

Ответ: Вирус зашифровал файлы в XBTL
 
Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.

L-ee-X 16.03.2015 09:12

Ответ: Вирус зашифровал файлы в XBTL
 
Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата.

impersonalis 16.03.2015 12:14

Ответ: Вирус зашифровал файлы в XBTL
 
5к или 5лимонов?!
О процессе заражения ("скачал и запустил крякер интернетов"? Антивирус никакой не установлен [сейчас, например, у антивирусов модно запускать ВСЕ неизвестные ехе-ки сперва в песочнице]?) известно что-нибудь?

зыж история жуткая

Samodelkin 16.03.2015 15:12

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294186)
Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата.

Да да, так и должно быть.
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению.

Цитата:

Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.
Вчера глянул под хексом тот файлик зашифрованный, даже если там и есть ключ то его просто так не распознать.
Данные после шифрации выглядят как хаотичный набор байтов.
Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов.
Данные оригинального файла и шифрованного никак не совпадают.
Думать что ключ это первые или последние 100 байтов весьма наивно.
Наверняка он размазан внутри файла на основе какого-нибудь алгоритма.
И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?).
Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально.

L-ee-X 16.03.2015 15:20

Ответ: Вирус зашифровал файлы в XBTL
 
5К соответственно. Процес зарожения как я понял следующий. Сам исполняемый файл вовсе не вирус. При запуске он себя копирует в отдельную папку c:\programdata\windows первый этап червя выполнен, запускается этот скопированный файл и начинает подключаться по TCP протоколу на адреса откуда скачивается сам шифровчик файлов, далее пробегается по спискам жестких дисков в системе по средствам WinAPI, после чего получает списки файлов все по той же системе WinAPI за исключением системных, и далее начинает шифровать их. Шифрует сначала оригенал файла, добавляя в него часть какого то своего кода в размере примерно 100 байт, после чего создается копия этого файла уже шифрованного и далее удаляется оригенал. Как то так. По окончанию своей цели сам шифровчик себя удаляет. Не известно пока как генерируется ключ и где именно, удаленно или сразу на пк :)

L-ee-X 16.03.2015 15:22

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от Samodelkin (Сообщение 294192)
Да да, так и должно быть.
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению.

Вчера глянул под хексом тот файлик зашифрованный, даже если там и есть ключ то его просто так не распознать.
Данные после шифрации выглядят как хаотичный набор байтов.
Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов.
Данные оригинального файла и шифрованного никак не совпадают.
Думать что ключ это первые или последние 100 байтов весьма наивно.
Наверняка он размазан внутри файла на основе какого-нибудь алгоритма.
И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?).
Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально.

Именно этим я сегодня и займусь, буду ковырять самого червя :)

SBJoker 17.03.2015 12:34

Ответ: Вирус зашифровал файлы в XBTL
 
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).

2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа.

3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями.

4. с 99,99% вероятностью, восстановить не удастся.

5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно.

ARA 17.03.2015 13:27

Ответ: Вирус зашифровал файлы в XBTL
 
Вспоминаю, давным давно при установке венды каким-то образом форматнулся винч с проэктом(!). Я так конечно подохуел от такого. Но потом нарыл тулзу для восстановления файлов и мне всё файло она восстановила с форматнутого винча!

Samodelkin 17.03.2015 16:13

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от SBJoker (Сообщение 294220)
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).

2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа.

3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями.

4. с 99,99% вероятностью, восстановить не удастся.

5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно.

1-2. Могут быть два ключа: для шифрации и дешифрации. Оба могут сгенерироваться на сервере по запросу трояна на машине жертвы. Ключ для шифрации отправляется на шифратор жертвы. Ключ для дешифрации остаётся на сервере и теоретически его никак нельзя узнать. В файл может добавиться GUID по которому на сервере можно узнать оба ключа. То что в эти 100 байт добавляется ключ это только одна из версий, и если бы я делал шифратор я бы не стал прописывать ключ прямо в файле. И исходя из названия RSA-3072 ключ должен быть длиной 384 байта, что не может уместиться в 100 байт, а вот GUID длиной 16 байт может. Так что ключ в файле только одна из версий, и даже если так то вытащить его от туда будет возможно только если раздизассемблировать шифратор и узнать как он размещает этот ключ. И вообще его надо раздизассемблировать чтобы узнать ключ это или нет.

3. В комплекте не поставляется. Но алгоритм шифрации скорее всего открытый, потому что они наиболее надёжные. Поэтому написать дешифратор я думаю можно самому. Я писал AES-256 -- доков в инете очень много.

4. Почему? Если на HDD после заражения ничего не писали то можно восстановить больше 90% информации. Расшифровать -- маловероятно, восстановить стёртое -- очень даже можно. Это скорее всего самый вероятный вариант.

5. По версии с сервером второго ключа там нет.

SBJoker 17.03.2015 20:42

Ответ: Вирус зашифровал файлы в XBTL
 
4. Ну о чем речь, сам шифратор и писал после заражения. Он брал файл №1 шифровал его в новый файл, потом удалял старый. Открывал файл №2 и шифровал его в новый файл (который уже может теоретически частично попасть на место файла №1) и затирал им место.
Логично что чем меньше места на диске было, тем выше вероятность перезаписи.

Samodelkin 17.03.2015 21:08

Ответ: Вирус зашифровал файлы в XBTL
 
Да могли и затереть.
Но вроде как L-ee-X смог много восстановить, только файлы частично битые и обычными программами понятно не откроются -- нужно вручную байты вынимать и собирать файлы заново.

L-ee-X, а какой размер то зловреда?
Если он мелкий так может выложить сюда (в архиве понятно) да и желающие раздизассемблят.
Сразу станет ясно что в этих 100 байтах и запрашивает ли он сервер или сам генерирует ключи.

L-ee-X 17.03.2015 22:40

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от Samodelkin (Сообщение 294233)
Да могли и затереть.
Но вроде как L-ee-X смог много восстановить, только файлы частично битые и обычными программами понятно не откроются -- нужно вручную байты вынимать и собирать файлы заново.

L-ee-X, а какой размер то зловреда?
Если он мелкий так может выложить сюда (в архиве понятно) да и желающие раздизассемблят.
Сразу станет ясно что в этих 100 байтах и запрашивает ли он сервер или сам генерирует ключи.

Короче, отправил я им файлы пару штук на что они мне в ответ прислали расшифрованные файлы, для проверки сравнил размер, реальные 397 байт в обоих файлах. То есть зашифрованный файл имеет размер больше на 397 байт. Скорее всего это и есть ключ. На счет вируса, что то восстановив с карантина нифига мне не удалось запустить его на машине виртуальной, по мимо этого вируса там их еще куча было, завтра восстановлю все на флешь и буду смотреть какой именно и есть этот самый шифровальщик.

L-ee-X 17.03.2015 22:45

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от SBJoker (Сообщение 294220)
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).

Мне кажется код который они просят выслать к ним на почту имеет какое отношение именно к расшифровки. Так как эти коды у всех разные которые надо им отправлять. Один ключ на всех отпадает. Проверяли уже в просторах инета вычитал где люди пробовали одним ключем другие файлы расшифровывать.

L-ee-X 17.03.2015 22:54

Ответ: Вирус зашифровал файлы в XBTL
 
Отправил третий файл и тоже 397 байт, короче ищем вирусняк и пробуем его раздизассемблировать, скорее ключ в файле.
Где бы на него в инете наткунться, уже все ссылки левые облазил, не попадается :D

Samodelkin 17.03.2015 23:01

Ответ: Вирус зашифровал файлы в XBTL
 
Хмм, тогда всё не так плохо, нужно только определить как ключ встраивается в данные файла.
Это как раз можно узнать внутри шифровальщика.
По идее там должен быть троян и шифровальщик.
Троян скачивает шифровальщик с сервера.

L-ee-X 17.03.2015 23:03

Ответ: Вирус зашифровал файлы в XBTL
 
Там три файла, первый копирует себя или того самого трояна в отдельную папку, а этот троян уже качает шифратора с сервера по TCP, вот единственное не понятно куда он его качает, в инете где я читал не могут найти куда он закачивает шифровальщика.

Samodelkin 17.03.2015 23:06

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294240)
Там три файла, первый копирует себя или того самого трояна в отдельную папку, а этот троян уже качает шифратора с сервера по TCP, вот единственное не понятно куда он его качает, в инете где я читал не могут найти куда он закачивает шифровальщика.

Он может его держать в ОЗУ.
Если перезагрузить компьютер и посмотреть будет ли троян снова обращаться за шифратором, значит он нигде не сохраняет его на диске.

L-ee-X 17.03.2015 23:06

Ответ: Вирус зашифровал файлы в XBTL
 
Надеюсь меня тут ни кто не забанит если я под паролем выложу этот самый вирус?
Еще такой вопрос, а может ли тот самый код который они просят прислать к ним на почту иметь отношение к ключу, например как сгенерировать с помощью этого кода ключ к расшифровке файлов? Если один ключ не подходим ко всем файлам, значить они от чего то должны отталкиваться чтоб для каждой жертвы сгенерировать ключ, а они отталкиваются только от этого кода вот такого вида 5293505F3238225B5E1B|0
Вступил в контакт с этими мошенниками :D
Они подтвердили что алгоритм верный, и разбег между файлами 397 байт. Ждут от меня письма с дальнейшими действиями :D
И еще он мне написал что он доктор математических наук и программист со стажем 30 лет. Во как.

L-ee-X 18.03.2015 08:28

Ответ: Вирус зашифровал файлы в XBTL
 
Теперь они за расшифровку с меня уже не 5К хотят а 10К ))))))))))))

RegIon 18.03.2015 08:34

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294255)
Теперь они за расшифровку с меня уже не 5К хотят а 10К ))))))))))))

По хорошему можно их засудить, если есть за что.
-Вымогательство.
-Вмешательство в частную жизнь и порча имущества проканает? Как то по другому называется статья вроде..
Они же как-то связываются с тобой и признают свое участие.

Было бы больше образцов f(норм_фаил,код)=зашифрованый (10к наверное будет мало), можно было с каким-то успехом попробывать на нейросетях найти шифр f() . Только комп ярый нужен, очень ярый. Что-то типо Microsoft Azure тогда, там сейчас халва на месяц.

Можно же самим шифрануть правильные файлы им, что бы иметь набор образцов.
  • Если несколько идентичных имеют разный выход, то алгоритм как-то динамический с непостоянным ключом - плохо.
  • Если все в большей степни подобны, то можно попробовать руками или на нейронах (только либо самим писать,либо юзать спецпакеты )

L-ee-X 18.03.2015 08:46

Ответ: Вирус зашифровал файлы в XBTL
 
Ну файлов всего три штуки ориген. и шифро.
Засудить? Да засудить то можно, только отследить тяжело, 8 писем в почте и все с разных IP, сервак от куда закачивается шифровчик находится в USA, так что думаю вариантов мало. Люди тоже не глупые. И реквизиты меняются каждый день куда отправлять деньги. Тут хвостов не найти мне кажется.

RegIon 18.03.2015 08:59

Ответ: Вирус зашифровал файлы в XBTL
 
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)):
У вас нет прав, чтобы видеть скрытый текст, содержащийся здесь.

impersonalis 18.03.2015 11:25

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от L-ee-X (Сообщение 294257)
Засудить?

да-да:
создание вредоносного ПО
распространение вредоносного ПО
блокирование доступа к информации

ABTOMAT 18.03.2015 12:11

Ответ: Вирус зашифровал файлы в XBTL
 
Есть информация, что:
Отдел "К" не занимается подобными мелкими делишками.
Просто милиция не занимается поиском хакеров вообще.
То есть такие вещи делать можно считай безнаказанно, в защите можно рассчитывать только на себя.

L-ee-X 18.03.2015 18:05

Ответ: Вирус зашифровал файлы в XBTL
 
Цитата:

Сообщение от ABTOMAT (Сообщение 294261)
Есть информация, что:
Отдел "К" не занимается подобными мелкими делишками.
Просто милиция не занимается поиском хакеров вообще.
То есть такие вещи делать можно считай безнаказанно, в защите можно рассчитывать только на себя.

Полностью согласен...
Да и ни кто даже замарачиваться не будет с поиском этих мошенников. Таких по всей земле и не переловить, каждый второй сейчас сможет его сесть и написать. И что тогда, каждого второго под суд?
Тут только реально самому :)

L-ee-X 05.04.2015 18:08

Ответ: Вирус зашифровал файлы в XBTL
 
Вложений: 1
Возобновим темку. Скинули мне тут некии жертвы этот вирус, обноружил там такой файлик, с набором каких то ключей. У кого какие мысли

impersonalis 09.04.2015 12:10

Ответ: Вирус зашифровал файлы в XBTL
 
http://geektimes.ru/post/248706/

L-ee-X 14.04.2015 17:29

Ответ: Вирус зашифровал файлы в XBTL
 
Жесть. :)

impersonalis 08.06.2015 12:11

Ответ: Вирус зашифровал файлы в XBTL
 
http://geektimes.ru/post/251556/

L-ee-X 14.06.2015 01:31

Ответ: Вирус зашифровал файлы в XBTL
 
Но по xtbl пока еще не понятно.


Часовой пояс GMT +4, время: 13:27.

vBulletin® Version 3.6.5.
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Перевод: zCarot