Вирус зашифровал файлы в XBTL

[L-ee-X]

Всем здрасти. Друг подцепил вирус который зашифровал все данные и фото и документы и музыку и видео в непонятный файл с расширением XBTL. КТо нибудь сталкивался с этим и может кто то знает как их расшифровать?
Ниже в архив закинул упакованный файл xbtl который зашифрован. И имена у файлов стали странные, набор символов разных.

[L-ee-X]

Все что удалось нарыть в инете так это то, что шифровальщик использует алгоритм RSA-3072

[Samodelkin]

Есть зловреды типа CryptoLocker.
Возможно это одна из его разновидностей.
Возможно что даже делал дилетант, т. к. в инете полно статей как сделать такого зловреда.
Обычно профи жертве высылают предложение заплатить и дают ключ для расшифровки.
Но если ничего не приходит значит просто кто-то пошутил.
У Касперского есть тулза которая расшифровывает такие штуки.

[L-ee-X]

Пробовал касперским, не помог ни чем.

[Кирпи4]

О, с почином, дружище =3
Лежат два системника, у одного зашифровано 320 гектар музыки, у второго уже стёрто десять гектар свадебных фото

[Samodelkin]

Сообщение от L-ee-X

Пробовал касперским, не помог ни чем.

Там нужно специальной тулзой и ручками.
Если ты пройдешься автоматическим режимом антивируса, то он может удалить того зловреда, который зашифровал файлы, и который скорей всего нужен и для расшифровки, и тогда уже ничто не поможет, если только злоумышленник новый не вышлет.
В общем тут чем меньше ковыряешь -- тем лучше.
Надо отдавать спецам на восстановление.

[L-ee-X]

Да вот именно что уже поковыряли умники и удалили вирус этот. Я знаю что он бы возможно понадобился бы для расшифровки Короче выход, все сносить?

[Samodelkin]

Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео?
Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним?
Перепроверьте ещё раз.

Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные.

Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново.

[L-ee-X]

Пробовал востановлением данных не получается и не находит ни чего. Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?

[tirarex]

Забить и поставить новую винду. С нормальным антивирусом (mse).

[L-ee-X]

На жесток инфа важная. Удалять не желательно

[L-ee-X]

Сообщение от Samodelkin

Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео?
Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним?
Перепроверьте ещё раз.

Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные.

Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново.

Архив я примером скинул один файл.

[Samodelkin]

Сообщение от L-ee-X

Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?

Вообще согласно принципу Керкгоффса знание алгоритма не даст никакого преимущества в расшифровке. В том числе RSA является открытым алгоритмом. Важно найти ключ. Если зловред не профессиональный то ключ может быть вбит прямо в код, или сохраняться где-то в системе, или генерироваться достаточно предсказуемым алгоритмом. Таким образом конечно можно провести реверс-инжиниринг, найти такие уязвимости и попытаться восстановить ключ.

Ну вот например можно найти какие-нибудь общие системные файлы, которые одинаковы на всех системах, которые можно скачать из инета, и сравнить их с зашифрованной версией на вашей машине. Если размеры файлов примерно совпадают то скорее всего использовался симметричный шифр, а это значит что RSA 3072 скорее всего использовался для ключа, а данные шифровались AES'ом или ГОСТ'ом или т.п. У симметричных шифров данные после шифрации совпадают с исходной версией вплоть до байта, а это значит что можно уже более точно сравнить два файла, и если есть разница на несколько байтов, то возможно добавлены какие то данные, и возможно даже там будет ключ (хотя это глупо, но могли так пошутить).

[Igor]

Если используется такой способ шифрования: https://ru.wikipedia.org/wiki/%D0%93%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D 0%B0%D0%BD%D0%B8%D0%B5
и одинаковый ключ для каждого файла, то, если сравнить незашифрованный и зашифрованный файл, то получим как раз гамму и сможешь с её помощью восстановить любой файл зашифрованный тем же ключом. (Правда, файл, с помощью которого получаем гамму, должен быть длиннее)

[Samodelkin]

Ну именно из-за требований к гамме этот метод не практичен в реальном применении.
Вот ещё про шифр Вермана.