|
Болтовня Разговоры на любые темы (думайте, о чем пишите) |
13.03.2015, 21:14
|
#1
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Вирус зашифровал файлы в XBTL
Всем здрасти. Друг подцепил вирус который зашифровал все данные и фото и документы и музыку и видео в непонятный файл с расширением XBTL. КТо нибудь сталкивался с этим и может кто то знает как их расшифровать?
Ниже в архив закинул упакованный файл xbtl который зашифрован. И имена у файлов стали странные, набор символов разных.
__________________
|
(Offline)
|
|
13.03.2015, 22:26
|
#2
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Все что удалось нарыть в инете так это то, что шифровальщик использует алгоритм RSA-3072
__________________
|
(Offline)
|
|
14.03.2015, 00:42
|
#3
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Есть зловреды типа CryptoLocker.
Возможно это одна из его разновидностей.
Возможно что даже делал дилетант, т. к. в инете полно статей как сделать такого зловреда.
Обычно профи жертве высылают предложение заплатить и дают ключ для расшифровки.
Но если ничего не приходит значит просто кто-то пошутил.
У Касперского есть тулза которая расшифровывает такие штуки.
|
(Offline)
|
|
14.03.2015, 01:11
|
#4
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Пробовал касперским, не помог ни чем.
__________________
|
(Offline)
|
|
14.03.2015, 01:25
|
#5
|
Социал-сычевист
Регистрация: 24.06.2011
Сообщений: 611
Написано 342 полезных сообщений (для 1,359 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
О, с почином, дружище =3
Лежат два системника, у одного зашифровано 320 гектар музыки, у второго уже стёрто десять гектар свадебных фото
|
(Offline)
|
|
Эти 4 пользователя(ей) сказали Спасибо Кирпи4 за это полезное сообщение:
|
|
14.03.2015, 01:29
|
#6
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от L-ee-X
Пробовал касперским, не помог ни чем.
|
Там нужно специальной тулзой и ручками.
Если ты пройдешься автоматическим режимом антивируса, то он может удалить того зловреда, который зашифровал файлы, и который скорей всего нужен и для расшифровки, и тогда уже ничто не поможет, если только злоумышленник новый не вышлет.
В общем тут чем меньше ковыряешь -- тем лучше.
Надо отдавать спецам на восстановление.
|
(Offline)
|
|
14.03.2015, 01:45
|
#7
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Да вот именно что уже поковыряли умники и удалили вирус этот. Я знаю что он бы возможно понадобился бы для расшифровки Короче выход, все сносить?
__________________
|
(Offline)
|
|
14.03.2015, 03:08
|
#8
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео?
Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним?
Перепроверьте ещё раз.
Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные.
Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново.
|
(Offline)
|
|
Эти 3 пользователя(ей) сказали Спасибо Samodelkin за это полезное сообщение:
|
|
14.03.2015, 10:52
|
#9
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Пробовал востановлением данных не получается и не находит ни чего. Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?
__________________
|
(Offline)
|
|
14.03.2015, 10:55
|
#10
|
Бывалый
Регистрация: 23.11.2011
Сообщений: 863
Написано 334 полезных сообщений (для 866 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Забить и поставить новую винду. С нормальным антивирусом (mse).
|
(Offline)
|
|
14.03.2015, 14:31
|
#11
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
На жесток инфа важная. Удалять не желательно
__________________
|
(Offline)
|
|
14.03.2015, 14:32
|
#12
|
Разработчик
Регистрация: 06.06.2011
Адрес: Ирк. обл.
Сообщений: 541
Написано 133 полезных сообщений (для 220 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от Samodelkin
Ну во первых почему размер архива всего 200 КБ?
Как там уместилась музыка и видео?
Может зашифровались не сами данные, а какие-то ярлыки на них или пути к ним?
Перепроверьте ещё раз.
Если данные очень важны, то их возможно можно восстановить на специальном оборудовании. Например у HDD есть такое свойство что магнитная головка во время записи не попадает один в один в туже самую точку и по краям остаётся намагниченные области от старых записей. Специальное оборудование с высоким разрешением может детектировать такие области, и обычно можно восстановить данные до 10 циклов прошлых записей. Таким образом если шифратор не перешифровал данные много десятков раз подряд (а надежные шифраторы обычно так делают), то можно восстановить старую запись в которой файлы ещё не зашифрованы. Ну а вполне возможно что новый зашифрованный файл был вообще записан на новое место, а старые физически не были удалены (только отметились файловой системой как удалённые) -- тогда можно попробовать обычную программу которая восстанавливает удалённые из Корзины данные.
Ну если цена данных не равняется стоимости описанных выше усилий тогда просто отформатируйте диск и поставьте систему заново.
|
Архив я примером скинул один файл.
__________________
|
(Offline)
|
|
14.03.2015, 16:35
|
#13
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Сообщение от L-ee-X
Возможно ли что нибудь сделать имея этот самый вирус на руках? Можно посмотреть как он шифрует файлы?
|
Вообще согласно принципу Керкгоффса знание алгоритма не даст никакого преимущества в расшифровке. В том числе RSA является открытым алгоритмом. Важно найти ключ. Если зловред не профессиональный то ключ может быть вбит прямо в код, или сохраняться где-то в системе, или генерироваться достаточно предсказуемым алгоритмом. Таким образом конечно можно провести реверс-инжиниринг, найти такие уязвимости и попытаться восстановить ключ.
Ну вот например можно найти какие-нибудь общие системные файлы, которые одинаковы на всех системах, которые можно скачать из инета, и сравнить их с зашифрованной версией на вашей машине. Если размеры файлов примерно совпадают то скорее всего использовался симметричный шифр, а это значит что RSA 3072 скорее всего использовался для ключа, а данные шифровались AES'ом или ГОСТ'ом или т.п. У симметричных шифров данные после шифрации совпадают с исходной версией вплоть до байта, а это значит что можно уже более точно сравнить два файла, и если есть разница на несколько байтов, то возможно добавлены какие то данные, и возможно даже там будет ключ (хотя это глупо, но могли так пошутить).
|
(Offline)
|
|
14.03.2015, 17:15
|
#14
|
Мастер
Регистрация: 03.05.2010
Адрес: Подмосковье
Сообщений: 1,218
Написано 438 полезных сообщений (для 790 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Если используется такой способ шифрования: https://ru.wikipedia.org/wiki/%D0%93%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D 0%B0%D0%BD%D0%B8%D0%B5
и одинаковый ключ для каждого файла, то, если сравнить незашифрованный и зашифрованный файл, то получим как раз гамму и сможешь с её помощью восстановить любой файл зашифрованный тем же ключом. (Правда, файл, с помощью которого получаем гамму, должен быть длиннее)
__________________
О¯О ¡¡¡ʁɔvʎнdǝʚǝdǝu dиW
|
(Offline)
|
|
14.03.2015, 17:26
|
#15
|
Мастер
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений (для 631 пользователей)
|
Ответ: Вирус зашифровал файлы в XBTL
Ну именно из-за требований к гамме этот метод не практичен в реальном применении.
Вот ещё про шифр Вермана.
|
(Offline)
|
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 01:12.
|