![]() |
Вирус зашифровал файлы в XBTL
Вложений: 1
Всем здрасти. Друг подцепил вирус который зашифровал все данные и фото и документы и музыку и видео в непонятный файл с расширением XBTL. КТо нибудь сталкивался с этим и может кто то знает как их расшифровать?
Ниже в архив закинул упакованный файл xbtl который зашифрован. И имена у файлов стали странные, набор символов разных. |
Ответ: Вирус зашифровал файлы в XBTL
Все что удалось нарыть в инете так это то, что шифровальщик использует алгоритм RSA-3072
|
Ответ: Вирус зашифровал файлы в XBTL
Есть зловреды типа CryptoLocker.
Возможно это одна из его разновидностей. Возможно что даже делал дилетант, т. к. в инете полно статей как сделать такого зловреда. Обычно профи жертве высылают предложение заплатить и дают ключ для расшифровки. Но если ничего не приходит значит просто кто-то пошутил. У Касперского есть тулза которая расшифровывает такие штуки. |
Ответ: Вирус зашифровал файлы в XBTL
Пробовал касперским, не помог ни чем.
|
Ответ: Вирус зашифровал файлы в XBTL
О, с почином, дружище =3
Лежат два системника, у одного зашифровано 320 гектар музыки, у второго уже стёрто десять гектар свадебных фото |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Если ты пройдешься автоматическим режимом антивируса, то он может удалить того зловреда, который зашифровал файлы, и который скорей всего нужен и для расшифровки, и тогда уже ничто не поможет, если только злоумышленник новый не вышлет. В общем тут чем меньше ковыряешь -- тем лучше. Надо отдавать спецам на восстановление. |
Ответ: Вирус зашифровал файлы в XBTL
Да вот именно что уже поковыряли умники и удалили вирус этот. Я знаю что он бы возможно понадобился бы для расшифровки :( Короче выход, все сносить?
|
Ответ: Вирус зашифровал файлы в XBTL
Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео? Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним? Перепроверьте ещё раз. Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные. Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново. |
Ответ: Вирус зашифровал файлы в XBTL
Пробовал востановлением данных не получается и не находит ни чего. Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?
|
Ответ: Вирус зашифровал файлы в XBTL
Забить и поставить новую винду. С нормальным антивирусом (mse).
|
Ответ: Вирус зашифровал файлы в XBTL
На жесток инфа важная. Удалять не желательно :(
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Ну вот например можно найти какие-нибудь общие системные файлы, которые одинаковы на всех системах, которые можно скачать из инета, и сравнить их с зашифрованной версией на вашей машине. Если размеры файлов примерно совпадают то скорее всего использовался симметричный шифр, а это значит что RSA 3072 скорее всего использовался для ключа, а данные шифровались AES'ом или ГОСТ'ом или т.п. У симметричных шифров данные после шифрации совпадают с исходной версией вплоть до байта, а это значит что можно уже более точно сравнить два файла, и если есть разница на несколько байтов, то возможно добавлены какие то данные, и возможно даже там будет ключ (хотя это глупо, но могли так пошутить). |
Ответ: Вирус зашифровал файлы в XBTL
Если используется такой способ шифрования: https://ru.wikipedia.org/wiki/%D0%93%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D 0%B0%D0%BD%D0%B8%D0%B5
и одинаковый ключ для каждого файла, то, если сравнить незашифрованный и зашифрованный файл, то получим как раз гамму и сможешь с её помощью восстановить любой файл зашифрованный тем же ключом. (Правда, файл, с помощью которого получаем гамму, должен быть длиннее) |
Ответ: Вирус зашифровал файлы в XBTL
Ну именно из-за требований к гамме этот метод не практичен в реальном применении.
Вот ещё про шифр Вермана. |
Ответ: Вирус зашифровал файлы в XBTL
В общем результаты после сканирования на поиск удаленных файлов положительный. Нашел файлы, оказывается как я понял он шифрует его сначала потом удаляет. Сравнил по размеру зашифрованный файл и оригинал, по размеру один в один. Сейчас покопаюсь дальше.
|
Ответ: Вирус зашифровал файлы в XBTL
Главное как можно меньше старайтесь записывать новые данные на HDD чтобы они не затирали собой файлы помеченные как удалённые. Новые файлы часто создаются в другом месте, поэтому шансы восстановить старые выше. Кстати если это SSD, то они всегда новые данные записывают в новую область, чтобы память меньше изнашивалась, таким образом можно прочитать "удалённые" данные, даже если файл был перезаписан или изменён без создания нового, но данная фича аппаратного уровня и я не знаю может ли софт иметь к ней доступ.
Файловая система NTFS является журналируемой, так что если вы примерно знаете когда произошла шифрация, можно посмотреть журнал на предмет создания маленьких файлов в которых может содержаться ключ. Особенно шансы велики если компьютер отключен от сети, т. к. зловред должен где-то сохранить ключ прежде чем его передать на сервер и удалить. Однако если генерация ключа происходила на сервере по запросу, то наверное его узнать никак нельзя, придётся рассчитывать на восстановление данных. Кстати если вы удаляли зловреда с помощью антивируса, он мог быть помещён в карантин и его можно восстановить и проанализировать. |
Ответ: Вирус зашифровал файлы в XBTL
Да есть в карантине, сейчас запущу его на виртуалке и посмотрю что он делает
При восстановление файлов большая часть файлов оказалась поврежденной. Так что роем дальше. На просторах инета нарыл что сам исполняемый файл запускается и подключается к инету тем самым выкачивает в неизвестное направление тот самый шифровчик, и запускает его, после он удаляется, вот как отследить куда он его закачивает, и найти бы его. |
Ответ: Вирус зашифровал файлы в XBTL
Еще такой вопрос, даже к примеру есть на руках ключ, каким методом то его распаковывать? Дешифратор в любом случае писать то наверное придется?
И как собственно посмотреть этот журнал, ни разу с этим не сталкивался. И даже не смотрел |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Просто даю общие советы. Самый надежный способ -- вовремя бэкапить данные. Журнал называется USN Journal и создаёт всякие скрытые системные файлы с логами, вот чем их удобнее просматривать я не знаю. В Windows 8 есть FileHistory -- он вроде умеет. Такой вопрос лучше задать сисадмину, вроде таковые есть на форуме. Декриптор обычно высылает злоумышленник или скачиваешь с его сайта. Ну или придётся самому писать. Если алгоритм известный, можно готовыми воспользоваться. Попробуй сначала вот это. Здесь инфа про CryptoLocker, но в твоём случае не он, а что-то похожее, подражателей много. Судя по этому и этому тредам шансов расшифровать или подобрать ключ не много, нужно стараться восстановить стёртые данные. |
Ответ: Вирус зашифровал файлы в XBTL
Вложений: 2
Нашел два странных файла на жестком при восстановление. Вот сижу и думаю что это за файлы могут быть и не могут ли они иметь какое либо отношение к ключам.
|
Ответ: Вирус зашифровал файлы в XBTL
По содержанию похоже на файлы конфига, лог-файлы или дампа от какой-то игры или мультимедийного приложения.
В первом файле какое-то однообразное содержание бинарных данных записанное в форме текста -- ключи или шифрованные данные так не выглядят. Второй файл больше похож на файл настроек, но там нету никакого "системно_выглядящего" содержания. Скорее всего эти файлы ненужны. |
Ответ: Вирус зашифровал файлы в XBTL
При восстановление файлы все битые какие то. Большая часть не открывается. Скорее всего вирус при их удаление что то делал с ними. Или может софт корявый. Уже кучу программ перепробовал. Все к одному.
Проверил, посмотрел. Файлы шифрует он, сначала шифрует оригинал файла, после чего создает его копию с набором символов в имени файла и расширением XTBL, далее уже удаляет оригинал файла. Удалось нарыть так же оригинал файла и зашифрованный такой же файл, разбег в размере где то примерно 100 байт, сейчас ковыряюсь сижу пытаюсь сравнить размеры, ищу восстановленные файлы оригиналы и копии зашифрованные. Получается что все таки шифровчик прописывает какую то часть свое кода в файле зашифрованном. |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
На 100% их вряд ли восстановить можно. Это нужно было прям сразу вытаскивать HDD и переводить его в режим только чтение. А так как у вас компьютер ещё какое-то время работал, там могла включаться плановая дефрагментация, индексатор или какие-то программы обслуживания и частично записать поверх удалённых файлов. Но дело в том что конечно обычные программы открывают файл только когда он полностью целый, а вам нужно пользоваться какими-то специальными программами, хексвьюверами или т. п. и вручную вытаскивать информацию. Текстовую не так сложно, всякие фоточки, видео и архивы сложнее -- там блоковое сжатие и в случае испорченного кусочка будет испорчен весь блок. Возможно придётся разбираться с форматами файлов. Работа в общем ручная и требующая много времени. Но раз файлы важные, то нужно потихоньку восстанавливать :) . Кстати прямо сейчас лучше дамп всего диска сделать, чтобы в случае чего не потерять то что уже (или ещё) есть. Цитата:
Вообще судя по форумам, этот зловред должен был оставить ReadMe файл с предложением вымогателя. Был такой? |
Ответ: Вирус зашифровал файлы в XBTL
Да был такой файл. Сейчас разбираюсь с журналом NTFS, вирус с карантина вытащил, запущу на виртуальной машине посмотрю что он делает.
|
Ответ: Вирус зашифровал файлы в XBTL
Вымогатели просят 5000 тыщ ))))
И говорят отправьте нам один файл и мы его расшифруем для подтверждения результата. |
Ответ: Вирус зашифровал файлы в XBTL
5к или 5лимонов?!
О процессе заражения ("скачал и запустил крякер интернетов"? Антивирус никакой не установлен [сейчас, например, у антивирусов модно запускать ВСЕ неизвестные ехе-ки сперва в песочнице]?) известно что-нибудь? зыж история жуткая |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Расценка у них рассчитывается таким образом, чтобы данные на дисках среднестатистического пользователя стоили этих денег, ну и чтобы это было дешевле чем нанимать специалиста по восстановлению. Цитата:
Данные после шифрации выглядят как хаотичный набор байтов. Сгенерированный случайным образом ключ тоже выглядит как хаотичный набор байтов. Данные оригинального файла и шифрованного никак не совпадают. Думать что ключ это первые или последние 100 байтов весьма наивно. Наверняка он размазан внутри файла на основе какого-нибудь алгоритма. И вообщем то что ключ прилагается к файлу весьма сомнительная версия (зачем это делать?). Поэтому я думаю лучше взять вирус и попробовать дизассемблировать его и выяснить что он дополняет в эти 100 байт и является ли это ключом, а также узнать запрашивает ли он ключ на сервере или генерирует подручными средствами локально. |
Ответ: Вирус зашифровал файлы в XBTL
5К соответственно. Процес зарожения как я понял следующий. Сам исполняемый файл вовсе не вирус. При запуске он себя копирует в отдельную папку c:\programdata\windows первый этап червя выполнен, запускается этот скопированный файл и начинает подключаться по TCP протоколу на адреса откуда скачивается сам шифровчик файлов, далее пробегается по спискам жестких дисков в системе по средствам WinAPI, после чего получает списки файлов все по той же системе WinAPI за исключением системных, и далее начинает шифровать их. Шифрует сначала оригенал файла, добавляя в него часть какого то своего кода в размере примерно 100 байт, после чего создается копия этого файла уже шифрованного и далее удаляется оригенал. Как то так. По окончанию своей цели сам шифровчик себя удаляет. Не известно пока как генерируется ключ и где именно, удаленно или сразу на пк :)
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
|
Ответ: Вирус зашифровал файлы в XBTL
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен). 2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа. 3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями. 4. с 99,99% вероятностью, восстановить не удастся. 5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно. |
Ответ: Вирус зашифровал файлы в XBTL
Вспоминаю, давным давно при установке венды каким-то образом форматнулся винч с проэктом(!). Я так конечно подохуел от такого. Но потом нарыл тулзу для восстановления файлов и мне всё файло она восстановила с форматнутого винча!
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
3. В комплекте не поставляется. Но алгоритм шифрации скорее всего открытый, потому что они наиболее надёжные. Поэтому написать дешифратор я думаю можно самому. Я писал AES-256 -- доков в инете очень много. 4. Почему? Если на HDD после заражения ничего не писали то можно восстановить больше 90% информации. Расшифровать -- маловероятно, восстановить стёртое -- очень даже можно. Это скорее всего самый вероятный вариант. 5. По версии с сервером второго ключа там нет. |
Ответ: Вирус зашифровал файлы в XBTL
4. Ну о чем речь, сам шифратор и писал после заражения. Он брал файл №1 шифровал его в новый файл, потом удалял старый. Открывал файл №2 и шифровал его в новый файл (который уже может теоретически частично попасть на место файла №1) и затирал им место.
Логично что чем меньше места на диске было, тем выше вероятность перезаписи. |
Ответ: Вирус зашифровал файлы в XBTL
Да могли и затереть.
Но вроде как L-ee-X смог много восстановить, только файлы частично битые и обычными программами понятно не откроются -- нужно вручную байты вынимать и собирать файлы заново. L-ee-X, а какой размер то зловреда? Если он мелкий так может выложить сюда (в архиве понятно) да и желающие раздизассемблят. Сразу станет ясно что в этих 100 байтах и запрашивает ли он сервер или сам генерирует ключи. |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
|
Ответ: Вирус зашифровал файлы в XBTL
Отправил третий файл и тоже 397 байт, короче ищем вирусняк и пробуем его раздизассемблировать, скорее ключ в файле.
Где бы на него в инете наткунться, уже все ссылки левые облазил, не попадается :D |
Ответ: Вирус зашифровал файлы в XBTL
Хмм, тогда всё не так плохо, нужно только определить как ключ встраивается в данные файла.
Это как раз можно узнать внутри шифровальщика. По идее там должен быть троян и шифровальщик. Троян скачивает шифровальщик с сервера. |
Ответ: Вирус зашифровал файлы в XBTL
Там три файла, первый копирует себя или того самого трояна в отдельную папку, а этот троян уже качает шифратора с сервера по TCP, вот единственное не понятно куда он его качает, в инете где я читал не могут найти куда он закачивает шифровальщика.
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Если перезагрузить компьютер и посмотреть будет ли троян снова обращаться за шифратором, значит он нигде не сохраняет его на диске. |
Ответ: Вирус зашифровал файлы в XBTL
Надеюсь меня тут ни кто не забанит если я под паролем выложу этот самый вирус?
Еще такой вопрос, а может ли тот самый код который они просят прислать к ним на почту иметь отношение к ключу, например как сгенерировать с помощью этого кода ключ к расшифровке файлов? Если один ключ не подходим ко всем файлам, значить они от чего то должны отталкиваться чтоб для каждой жертвы сгенерировать ключ, а они отталкиваются только от этого кода вот такого вида 5293505F3238225B5E1B|0 Вступил в контакт с этими мошенниками :D Они подтвердили что алгоритм верный, и разбег между файлами 397 байт. Ждут от меня письма с дальнейшими действиями :D И еще он мне написал что он доктор математических наук и программист со стажем 30 лет. Во как. |
Ответ: Вирус зашифровал файлы в XBTL
Теперь они за расшифровку с меня уже не 5К хотят а 10К ))))))))))))
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
-Вымогательство. -Вмешательство в частную жизнь и порча имущества проканает? Как то по другому называется статья вроде.. Они же как-то связываются с тобой и признают свое участие. Было бы больше образцов f(норм_фаил,код)=зашифрованый (10к наверное будет мало), можно было с каким-то успехом попробывать на нейросетях найти шифр f() . Только комп ярый нужен, очень ярый. Что-то типо Microsoft Azure тогда, там сейчас халва на месяц. Можно же самим шифрануть правильные файлы им, что бы иметь набор образцов.
|
Ответ: Вирус зашифровал файлы в XBTL
Ну файлов всего три штуки ориген. и шифро.
Засудить? Да засудить то можно, только отследить тяжело, 8 писем в почте и все с разных IP, сервак от куда закачивается шифровчик находится в USA, так что думаю вариантов мало. Люди тоже не глупые. И реквизиты меняются каждый день куда отправлять деньги. Тут хвостов не найти мне кажется. |
Ответ: Вирус зашифровал файлы в XBTL
|
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
создание вредоносного ПО распространение вредоносного ПО блокирование доступа к информации |
Ответ: Вирус зашифровал файлы в XBTL
Есть информация, что:
Отдел "К" не занимается подобными мелкими делишками. Просто милиция не занимается поиском хакеров вообще. То есть такие вещи делать можно считай безнаказанно, в защите можно рассчитывать только на себя. |
Ответ: Вирус зашифровал файлы в XBTL
Цитата:
Да и ни кто даже замарачиваться не будет с поиском этих мошенников. Таких по всей земле и не переловить, каждый второй сейчас сможет его сесть и написать. И что тогда, каждого второго под суд? Тут только реально самому :) |
Ответ: Вирус зашифровал файлы в XBTL
Вложений: 1
Возобновим темку. Скинули мне тут некии жертвы этот вирус, обноружил там такой файлик, с набором каких то ключей. У кого какие мысли
|
Ответ: Вирус зашифровал файлы в XBTL
|
Ответ: Вирус зашифровал файлы в XBTL
Жесть. :)
|
Ответ: Вирус зашифровал файлы в XBTL
|
Ответ: Вирус зашифровал файлы в XBTL
Но по xtbl пока еще не понятно.
|
Часовой пояс GMT +4, время: 13:27. |
vBulletin® Version 3.6.5.
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Перевод: zCarot