Вирус зашифровал файлы в XBTL
 

Всем здрасти. Друг подцепил вирус который зашифровал все данные и фото и документы и музыку и видео в непонятный файл с расширением XBTL. КТо нибудь сталкивался с этим и может кто то знает как их расшифровать?
Ниже в архив закинул упакованный файл xbtl который зашифрован. И имена у файлов стали странные, набор символов разных.

Ответ: Вирус зашифровал файлы в XBTL
 

Все что удалось нарыть в инете так это то, что шифровальщик использует алгоритм RSA-3072

Ответ: Вирус зашифровал файлы в XBTL
 

Есть зловреды типа CryptoLocker.
Возможно это одна из его разновидностей.
Возможно что даже делал дилетант, т. к. в инете полно статей как сделать такого зловреда.
Обычно профи жертве высылают предложение заплатить и дают ключ для расшифровки.
Но если ничего не приходит значит просто кто-то пошутил.
У Касперского есть тулза которая расшифровывает такие штуки.

Ответ: Вирус зашифровал файлы в XBTL
 

Пробовал касперским, не помог ни чем.

Ответ: Вирус зашифровал файлы в XBTL
 

О, с почином, дружище =3
Лежат два системника, у одного зашифровано 320 гектар музыки, у второго уже стёрто десять гектар свадебных фото

Ответ: Вирус зашифровал файлы в XBTL
 

Там нужно специальной тулзой и ручками.
Если ты пройдешься автоматическим режимом антивируса, то он может удалить того зловреда, который зашифровал файлы, и который скорей всего нужен и для расшифровки, и тогда уже ничто не поможет, если только злоумышленник новый не вышлет.
В общем тут чем меньше ковыряешь -- тем лучше.
Надо отдавать спецам на восстановление.

Ответ: Вирус зашифровал файлы в XBTL
 

Да вот именно что уже поковыряли умники и удалили вирус этот. Я знаю что он бы возможно понадобился бы для расшифровки :( Короче выход, все сносить?

Ответ: Вирус зашифровал файлы в XBTL
 

Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео?
Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним?
Перепроверьте ещё раз.

Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные.

Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново.

Ответ: Вирус зашифровал файлы в XBTL
 

Пробовал востановлением данных не получается и не находит ни чего. Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?

Ответ: Вирус зашифровал файлы в XBTL
 

Забить и поставить новую винду. С нормальным антивирусом (mse).

Ответ: Вирус зашифровал файлы в XBTL
 

На жесток инфа важная. Удалять не желательно :(

Ответ: Вирус зашифровал файлы в XBTL
 

Архив я примером скинул один файл.

Ответ: Вирус зашифровал файлы в XBTL
 

Вообще согласно принципу Керкгоффса знание алгоритма не даст никакого преимущества в расшифровке. В том числе RSA является открытым алгоритмом. Важно найти ключ. Если зловред не профессиональный то ключ может быть вбит прямо в код, или сохраняться где-то в системе, или генерироваться достаточно предсказуемым алгоритмом. Таким образом конечно можно провести реверс-инжиниринг, найти такие уязвимости и попытаться восстановить ключ.

Ну вот например можно найти какие-нибудь общие системные файлы, которые одинаковы на всех системах, которые можно скачать из инета, и сравнить их с зашифрованной версией на вашей машине. Если размеры файлов примерно совпадают то скорее всего использовался симметричный шифр, а это значит что RSA 3072 скорее всего использовался для ключа, а данные шифровались AES'ом или ГОСТ'ом или т.п. У симметричных шифров данные после шифрации совпадают с исходной версией вплоть до байта, а это значит что можно уже более точно сравнить два файла, и если есть разница на несколько байтов, то возможно добавлены какие то данные, и возможно даже там будет ключ (хотя это глупо, но могли так пошутить).

Ответ: Вирус зашифровал файлы в XBTL
 

Если используется такой способ шифрования: https://ru.wikipedia.org/wiki/%D0%93%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D 0%B0%D0%BD%D0%B8%D0%B5
и одинаковый ключ для каждого файла, то, если сравнить незашифрованный и зашифрованный файл, то получим как раз гамму и сможешь с её помощью восстановить любой файл зашифрованный тем же ключом. (Правда, файл, с помощью которого получаем гамму, должен быть длиннее)

Ответ: Вирус зашифровал файлы в XBTL
 

Ну именно из-за требований к гамме этот метод не практичен в реальном применении.
Вот ещё про шифр Вермана.