venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 Помогите решить проблему. Знакомые подцепили вирус на Windows. Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать? И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить. P.S. ФЛУД В ТОПКУ. Цитата Поделиться сообщением Ссылка на сообщение
dndzerg 724 Жалоба Опубликовано: 10 февраля 2016 В октябре такое тоже случилось на одном из компов. Решения не нашёл. Смирились с потерей, т .к. ничего особо важного на том компе не было. Единственное, что выяснил, вирус в эл.письме был, кто-то его открыл, а NOD пропустил. Цитата Поделиться сообщением Ссылка на сообщение
Дмитрий Дяченко 42 Жалоба Опубликовано: 10 февраля 2016 попробуйте этим воспользоваться https://support.kaspersky.ru/viruses/disinfection/8547#block1когда-то помогло Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 попробуйте этим воспользоваться https://support.kaspersky.ru/viruses/disinfection/8547#block1когда-то помогло Спасибо. Попробую. Цитата Поделиться сообщением Ссылка на сообщение
karamba 2 098 Жалоба Опубликовано: 10 февраля 2016 расшифровать не удастся Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 расшифровать не удастся Спасибо за поддержку Цитата Поделиться сообщением Ссылка на сообщение
Дмитрий Дяченко 42 Жалоба Опубликовано: 10 февраля 2016 Спасибо. Попробую. не за что))) там внизу еще есть раздел "Что делать если утилита не помогла" в нем ссылки еще на пару программ от касперского Цитата Поделиться сообщением Ссылка на сообщение
Александр Романенко 3 682 Жалоба Опубликовано: 10 февраля 2016 Помогите решить проблему. Знакомые подцепили вирус на Windows. Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать? И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить. P.S. ФЛУД В ТОПКУ. У ДрВеба тоже есть утилита для дешифровки Цитата Поделиться сообщением Ссылка на сообщение
Дмитрий Дяченко 42 Жалоба Опубликовано: 10 февраля 2016 У ДрВеба тоже есть утилита для дешифровки а подскажите пожалуйста название, а то что-то в поисковике ищу, статьи на эту тему нахожу что есть такое, а саму программу не вижу Цитата Поделиться сообщением Ссылка на сообщение
karamba 2 098 Жалоба Опубликовано: 10 февраля 2016 Спасибо за поддержку Ответ лаборатории Касперского: Файлы зашифрованы Trojan-Ransom.Win32.Shade. Для шифрования он использует криптографически стойкий алгоритм, поэтому расшифровка данных, к сожалению, не представляется возможной. Если нет заранее созданных резервный копий пострадавших файлов, можно попробовать воспользоваться встроенным в Windows механизмом «предыдущие версии файлов»: windows.microsoft.com/ru-ru/windows/previous-versions-files-faq Ответ от антивирусной лаборатории Drweb: Никаких способов расшифровать такое на данный момент не известно. Ведутся исследования. Прогноз, к сожалению, плохой: никаких даже путей для разработки декриптора не видно. Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим. >Какие действия необходимо произвести чтобы данного заражения не происходило? К сожалению, в мире не существует антивирусов, способных обеспечить 100% зашиту информации от воздействия вредоносных программ, и в частности «энкодеров». Это если говорить об антивирусах. Но задача обеспечения информационной безопасности не может быть решена одними только антивирусными средствами. Как минимум, помимо всего прочего, должно быть организовано резервное копирование данных. Бэкап, выполняемый в соответствии с хорошей практикой резервного копирования: в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику. Общая рекомендация: обратитесь с заявлением в территориальное управление «К» МВД РФ; по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: legal.drweb.com/templates Ответ от Microsoft: Отправлять средства на счета злоумышленников не рекомендуется, так как всё равно никто не гарантирует, что после уплаты выкупа ваши файлы будут расшифрованы. Вымогательство с применением вирусов–шифровальщиков получило значительное распространение в последние пару лет по всему миру. Последние версии этих вирусов используют стойкие алгоритмы шифрования. Без доступа к серверам злоумышленников получить ключ для расшифровки практически невозможно. Для борьбы с этим видом вымогательства нужны действия, которые выходят за рамки чисто IT-технологий. Рекомендую Вам обратиться в территориальное управление «K» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Образцы заявлений есть на сайте DrWeb на странице, посвящённой этой проблеме. legal.drweb.com/templates st.drweb.com/static/new-www/legal/tmpl_statement_Encoder.doc Цитата Поделиться сообщением Ссылка на сообщение
Александр Романенко 3 682 Жалоба Опубликовано: 10 февраля 2016 а подскажите пожалуйста название, а то что-то в поисковике ищу, статьи на эту тему нахожу что есть такое, а саму программу не вижу Вот https://www.drweb.com/xperf/unlocker/ Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 Ответ от антивирусной лаборатории Drweb: Никаких способов расшифровать такое на данный момент не известно. Ведутся исследования. Прогноз, к сожалению, плохой: никаких даже путей для разработки декриптора не видно. Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим. Этому тексту минимум 11 месяцев. За такое время ребенок рождается. Так что может что и появилось уже. Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 Вот https://www.drweb.com/xperf/unlocker/ Так это анлокер, когда комп включить не могут. А тут проблема с зашифрованными файлами. Цитата Поделиться сообщением Ссылка на сообщение
niger 2 551 Жалоба Опубликовано: 10 февраля 2016 насколько мне было известно и на хабре писали, что невозможно. Один вариант заплатить и понадеяться что расшифруют или забить. Цитата Поделиться сообщением Ссылка на сообщение
karamba 2 098 Жалоба Опубликовано: 10 февраля 2016 (изменено) Этому тексту минимум 11 месяцев. За такое время ребенок рождается. Так что может что и появилось уже. дело не в дате, а в алгоритме шифрования Изменено 10 февраля 2016 пользователем karamba Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 насколько мне было известно и на хабре писали, что невозможно. Один вариант заплатить и понадеяться что расшифруют или забить. А вот и наоборот http://habrahabr.ru/post/159811/ Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 дело не в дате, а в алгоритме шифрования ну уже не я этим занимаюсь. Но чем там дело закончилось - расскажу. Цитата Поделиться сообщением Ссылка на сообщение
niger 2 551 Жалоба Опубликовано: 10 февраля 2016 А вот и наоборот http://habrahabr.ru/post/159811/ Ну там все было попроще, чем то, что описываешь ты. Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 Ну там все было попроще, чем то, что описываешь ты. Я далеко от зараженного компа, но по описанию почти тоже самое. Цитата Поделиться сообщением Ссылка на сообщение
Sagittarius 352 Жалоба Опубликовано: 10 февраля 2016 У ДрВеба тоже есть утилита для дешифровки Только помогают владельцам лицензии дрвеба и если можешь прислать зашифрованный и незашифрованный файл. И то не гарантия. Если применили RSA шифрование с длинным ключем (от 256 байт) - надежды нету Цитата Поделиться сообщением Ссылка на сообщение
niger 2 551 Жалоба Опубликовано: 10 февраля 2016 (изменено) Я далеко от зараженного компа, но по описанию почти тоже самое. Угу, только если там используется другой алгоритм - то тю-тю. И еще прикол, у них были файлы из бэкапа и они могли сравнить их и найти код =) у твоих знакомых есть бэкап? Для анализа берем два файла dbf: один зашифрованный из зараженной системы, другой нетронутый из свежего бэкапа и сравниваем их друг с другом. На примитивный шифр замены нам могут указать области исходного dbf-файла, заполненные идущими подряд одинаковыми байтами, например со значением 0. Благо файлы dbf не отличаются высокой плотностью хранимой информации, и нулевых байтов в них предостаточно. Таким образом, пришлось принять как гипотезу использование шифра RC6, указанного в сообщении от создателей трояна. Впоследствии гипотеза подтвердилась, а именно шифрование выполнено алгоритмом RC6 с длиной блока 16 байт, причем применяется он «влоб», по блок-схеме. Авторы реализации даже не озаботились о шифровании неполных блоков, менее 16 байт, оставив их как есть, незашифрованными. Итак, алгоритм известен. Осталось дело за малым: найти ключ. А теперь представил, что там не RC6,а что-то по тяжелее? Изменено 10 февраля 2016 пользователем niger Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 @niger, та там человек - вообще супермозг. А у нас такого нет, впрочем как и бэкапа. Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 10 февраля 2016 Угу, только если там используется другой алгоритм - то тю-тю. И еще прикол, у них были файлы из бэкапа и они могли сравнить их и найти код =) у твоих знакомых есть бэкап? Для анализа берем два файла dbf: один зашифрованный из зараженной системы, другой нетронутый из свежего бэкапа и сравниваем их друг с другом. На примитивный шифр замены нам могут указать области исходного dbf-файла, заполненные идущими подряд одинаковыми байтами, например со значением 0. Благо файлы dbf не отличаются высокой плотностью хранимой информации, и нулевых байтов в них предостаточно. но статья интересная. Цитата Поделиться сообщением Ссылка на сообщение
niger 2 551 Жалоба Опубликовано: 10 февраля 2016 Только помогают владельцам лицензии дрвеба и если можешь прислать зашифрованный и незашифрованный файл. И то не гарантия. Если применили RSA шифрование с длинным ключем (от 256 байт) - надежды нету Тогда будет проблема другая, RSA это асимметричный и скорость шифрования будет не такая быстрая, как у симметричного Цитата Поделиться сообщением Ссылка на сообщение
venoel 6 088 Жалоба Опубликовано: 11 февраля 2016 Помогите решить проблему. Знакомые подцепили вирус на Windows. Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать? И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить. P.S. ФЛУД В ТОПКУ. Короче единственный выход - восстановление файлов из резервных копий. При получении писем обращайте внимание на адрес отправителя. 90% пользователей используют gmail, yandex, mail, inbox почту. В этом подлом письме была ссылка на какой-то голландский сайт на какой-то rar файл. Так что будьте бдительны. Цитата Поделиться сообщением Ссылка на сообщение