Компьютерный вирус

[venoel 6 088]

Помогите решить проблему.

 

Знакомые подцепили вирус на Windows.  Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать?

И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить.

 

 

P.S. ФЛУД В ТОПКУ.

[dndzerg 724]

В октябре такое тоже случилось на одном из компов. Решения не нашёл. Смирились с потерей, т .к. ничего особо важного на том компе не было. 

Единственное, что выяснил, вирус в эл.письме был, кто-то его открыл, а NOD пропустил.

[Дмитрий Дяченко 42]

попробуйте этим воспользоваться https://support.kaspersky.ru/viruses/disinfection/8547#block1когда-то помогло

[venoel 6 088]

попробуйте этим воспользоваться https://support.kaspersky.ru/viruses/disinfection/8547#block1когда-то помогло

Спасибо. Попробую.

[karamba 2 098]

расшифровать не удастся 

[venoel 6 088]

расшифровать не удастся 

Спасибо за поддержку 

[Дмитрий Дяченко 42]

Спасибо. Попробую.

не за что))) там внизу еще есть раздел "Что делать если утилита не помогла" в нем ссылки еще на пару программ от касперского

[Александр Романенко 3 682]

Помогите решить проблему.

 

Знакомые подцепили вирус на Windows.  Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать?

И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить.

 

 

P.S. ФЛУД В ТОПКУ.

У ДрВеба тоже есть утилита для дешифровки

[Дмитрий Дяченко 42]

У ДрВеба тоже есть утилита для дешифровки

а подскажите пожалуйста название, а то что-то в поисковике ищу, статьи на эту тему нахожу что есть такое, а саму программу не вижу

[karamba 2 098]

Спасибо за поддержку 

 

Ответ лаборатории Касперского:

Файлы зашифрованы Trojan-Ransom.Win32.Shade. Для шифрования он использует криптографически стойкий алгоритм, поэтому расшифровка данных, к сожалению, не представляется возможной.

Если нет заранее созданных резервный копий пострадавших файлов, можно попробовать воспользоваться встроенным в Windows механизмом «предыдущие версии файлов»:

windows.microsoft.com/ru-ru/windows/previous-versions-files-faq

Ответ от антивирусной лаборатории Drweb:

Никаких способов расшифровать такое на данный момент не известно. 

Ведутся исследования. 

Прогноз, к сожалению, плохой: никаких даже путей для разработки декриптора не видно. 

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим. 

>Какие действия необходимо произвести чтобы данного заражения не происходило? 

К сожалению, в мире не существует антивирусов, способных обеспечить 100% зашиту информации от воздействия вредоносных программ, и в частности «энкодеров». 

Это если говорить об антивирусах. 

Но задача обеспечения информационной безопасности не может быть решена одними только антивирусными средствами. 

Как минимум, помимо всего прочего, должно быть организовано резервное копирование данных. 

Бэкап, выполняемый в соответствии с хорошей практикой резервного копирования: 

в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику. 

Общая рекомендация: обратитесь с заявлением в территориальное управление «К» МВД РФ; 

по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. 

Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: 

legal.drweb.com/templates

Ответ от Microsoft:

Отправлять средства на счета злоумышленников не рекомендуется, так как всё равно никто не гарантирует, что после уплаты выкупа ваши файлы будут расшифрованы.

Вымогательство с применением вирусов–шифровальщиков получило значительное распространение в последние пару лет по всему миру. Последние версии этих вирусов используют стойкие алгоритмы шифрования. Без доступа к серверам злоумышленников получить ключ для расшифровки практически невозможно. Для борьбы с этим видом вымогательства нужны действия, которые выходят за рамки чисто IT-технологий.

Рекомендую Вам обратиться в территориальное управление «K» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений есть на сайте DrWeb на странице, посвящённой этой проблеме.

legal.drweb.com/templates

st.drweb.com/static/new-www/legal/tmpl_statement_Encoder.doc

[Александр Романенко 3 682]

а подскажите пожалуйста название, а то что-то в поисковике ищу, статьи на эту тему нахожу что есть такое, а саму программу не вижу

Вот

https://www.drweb.com/xperf/unlocker/

[venoel 6 088]

Ответ от антивирусной лаборатории Drweb: Никаких способов расшифровать такое на данный момент не известно.  Ведутся исследования.  Прогноз, к сожалению, плохой: никаких даже путей для разработки декриптора не видно.  Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим. 

Этому тексту минимум 11 месяцев. За такое время ребенок рождается. Так что может что и появилось уже.

[venoel 6 088]

Вот

https://www.drweb.com/xperf/unlocker/

Так это анлокер, когда комп включить не могут. А тут проблема с зашифрованными файлами.

[niger 2 551]

насколько мне было известно и на хабре писали, что невозможно. Один вариант заплатить и понадеяться что расшифруют или забить.

[karamba 2 098]

Этому тексту минимум 11 месяцев. За такое время ребенок рождается. Так что может что и появилось уже.

дело не в дате, а в алгоритме шифрования

Изменено 10 февраля 2016 пользователем karamba

[venoel 6 088]

насколько мне было известно и на хабре писали, что невозможно. Один вариант заплатить и понадеяться что расшифруют или забить.

А вот и наоборот

http://habrahabr.ru/post/159811/

[venoel 6 088]

дело не в дате, а в алгоритме шифрования

ну уже не я этим занимаюсь. Но чем там дело закончилось - расскажу.

[niger 2 551]

А вот и наоборот

http://habrahabr.ru/post/159811/

Ну там все было попроще, чем то, что описываешь ты. 

[venoel 6 088]

Ну там все было попроще, чем то, что описываешь ты. 

Я далеко от зараженного компа, но по описанию почти тоже самое.

[Sagittarius 352]

У ДрВеба тоже есть утилита для дешифровки

Только помогают владельцам лицензии дрвеба и если можешь прислать зашифрованный и незашифрованный файл. И то не гарантия.

Если применили RSA шифрование с длинным ключем (от 256 байт) - надежды нету

[niger 2 551]

Я далеко от зараженного компа, но по описанию почти тоже самое.

Угу, только если там используется другой алгоритм - то тю-тю. И еще прикол, у них были файлы из бэкапа и они могли сравнить их и найти код =) у твоих знакомых есть бэкап?

 

 

Для анализа берем два файла dbf: один зашифрованный из зараженной системы, другой нетронутый из свежего бэкапа и сравниваем их друг с другом. На примитивный шифр замены нам могут указать области исходного dbf-файла, заполненные идущими подряд одинаковыми байтами, например со значением 0. Благо файлы dbf не отличаются высокой плотностью хранимой информации, и нулевых байтов в них предостаточно.

Таким образом, пришлось принять как гипотезу использование шифра RC6, указанного в сообщении от создателей трояна. Впоследствии гипотеза подтвердилась, а именно шифрование выполнено алгоритмом RC6 с длиной блока 16 байт, причем применяется он «влоб», по блок-схеме. Авторы реализации даже не озаботились о шифровании неполных блоков, менее 16 байт, оставив их как есть, незашифрованными. 

Итак, алгоритм известен. Осталось дело за малым: найти ключ.

 

А теперь представил, что там не RC6,а что-то по тяжелее?

Изменено 10 февраля 2016 пользователем niger

[venoel 6 088]

@niger, та там человек - вообще супермозг. А у нас такого нет, впрочем как и бэкапа.

[venoel 6 088]

Угу, только если там используется другой алгоритм - то тю-тю. И еще прикол, у них были файлы из бэкапа и они могли сравнить их и найти код =) у твоих знакомых есть бэкап?

 

Для анализа берем два файла dbf: один зашифрованный из зараженной системы, другой нетронутый из свежего бэкапа и сравниваем их друг с другом. На примитивный шифр замены нам могут указать области исходного dbf-файла, заполненные идущими подряд одинаковыми байтами, например со значением 0. Благо файлы dbf не отличаются высокой плотностью хранимой информации, и нулевых байтов в них предостаточно.

но статья интересная.

[niger 2 551]

Только помогают владельцам лицензии дрвеба и если можешь прислать зашифрованный и незашифрованный файл. И то не гарантия.

Если применили RSA шифрование с длинным ключем (от 256 байт) - надежды нету

Тогда будет проблема другая, RSA это асимметричный и скорость шифрования будет не такая быстрая, как у симметричного

[venoel 6 088]

Помогите решить проблему.

 

Знакомые подцепили вирус на Windows.  Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать?

И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить.

 

 

P.S. ФЛУД В ТОПКУ.

Короче единственный выход - восстановление файлов из резервных копий.

 

При получении писем обращайте внимание на адрес отправителя. 90% пользователей используют gmail, yandex, mail, inbox почту.

В этом подлом письме была ссылка на какой-то голландский сайт на какой-то rar файл. Так что будьте бдительны.