Перейти к публикации

Оцените эту тему

Рекомендованные сообщения

Помогите решить проблему.

 

Знакомые подцепили вирус на Windows.  Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать?

И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить.

 

 

P.S. ФЛУД В ТОПКУ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В октябре такое тоже случилось на одном из компов. Решения не нашёл. Смирились с потерей, т .к. ничего особо важного на том компе не было. 

Единственное, что выяснил, вирус в эл.письме был, кто-то его открыл, а NOD пропустил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте этим воспользоваться https://support.kaspersky.ru/viruses/disinfection/8547#block1когда-то помогло

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте этим воспользоваться https://support.kaspersky.ru/viruses/disinfection/8547#block1когда-то помогло

Спасибо. Попробую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

расшифровать не удастся 

Спасибо за поддержку  :do:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Попробую.

не за что))) там внизу еще есть раздел "Что делать если утилита не помогла" в нем ссылки еще на пару программ от касперского

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помогите решить проблему.

 

Знакомые подцепили вирус на Windows.  Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать?

И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить.

 

 

P.S. ФЛУД В ТОПКУ.

У ДрВеба тоже есть утилита для дешифровки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У ДрВеба тоже есть утилита для дешифровки

а подскажите пожалуйста название, а то что-то в поисковике ищу, статьи на эту тему нахожу что есть такое, а саму программу не вижу

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за поддержку  :do:

 

Ответ лаборатории Касперского:

Файлы зашифрованы Trojan-Ransom.Win32.Shade. Для шифрования он использует криптографически стойкий алгоритм, поэтому расшифровка данных, к сожалению, не представляется возможной.

Если нет заранее созданных резервный копий пострадавших файлов, можно попробовать воспользоваться встроенным в Windows механизмом «предыдущие версии файлов»:

Ответ от антивирусной лаборатории Drweb:

Никаких способов расшифровать такое на данный момент не известно. 

Ведутся исследования. 

Прогноз, к сожалению, плохой: никаких даже путей для разработки декриптора не видно. 

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим. 

>Какие действия необходимо произвести чтобы данного заражения не происходило? 

К сожалению, в мире не существует антивирусов, способных обеспечить 100% зашиту информации от воздействия вредоносных программ, и в частности «энкодеров». 

Это если говорить об антивирусах. 

Но задача обеспечения информационной безопасности не может быть решена одними только антивирусными средствами. 

Как минимум, помимо всего прочего, должно быть организовано резервное копирование данных. 

Бэкап, выполняемый в соответствии с хорошей практикой резервного копирования: 

в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику. 

Общая рекомендация: обратитесь с заявлением в территориальное управление «К» МВД РФ; 

по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. 

Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: 

Ответ от Microsoft:

Отправлять средства на счета злоумышленников не рекомендуется, так как всё равно никто не гарантирует, что после уплаты выкупа ваши файлы будут расшифрованы.

Вымогательство с применением вирусов–шифровальщиков получило значительное распространение в последние пару лет по всему миру. Последние версии этих вирусов используют стойкие алгоритмы шифрования. Без доступа к серверам злоумышленников получить ключ для расшифровки практически невозможно. Для борьбы с этим видом вымогательства нужны действия, которые выходят за рамки чисто IT-технологий.

Рекомендую Вам обратиться в территориальное управление «K» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений есть на сайте DrWeb на странице, посвящённой этой проблеме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а подскажите пожалуйста название, а то что-то в поисковике ищу, статьи на эту тему нахожу что есть такое, а саму программу не вижу

Вот

https://www.drweb.com/xperf/unlocker/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ответ от антивирусной лаборатории Drweb: Никаких способов расшифровать такое на данный момент не известно.  Ведутся исследования.  Прогноз, к сожалению, плохой: никаких даже путей для разработки декриптора не видно.  Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим. 
Этому тексту минимум 11 месяцев. За такое время ребенок рождается. Так что может что и появилось уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так это анлокер, когда комп включить не могут. А тут проблема с зашифрованными файлами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

насколько мне было известно и на хабре писали, что невозможно. Один вариант заплатить и понадеяться что расшифруют или забить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этому тексту минимум 11 месяцев. За такое время ребенок рождается. Так что может что и появилось уже.

дело не в дате, а в алгоритме шифрования

Изменено пользователем karamba

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

насколько мне было известно и на хабре писали, что невозможно. Один вариант заплатить и понадеяться что расшифруют или забить.

А вот и наоборот

http://habrahabr.ru/post/159811/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дело не в дате, а в алгоритме шифрования

ну уже не я этим занимаюсь. Но чем там дело закончилось - расскажу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот и наоборот

http://habrahabr.ru/post/159811/

Ну там все было попроще, чем то, что описываешь ты. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну там все было попроще, чем то, что описываешь ты. 

Я далеко от зараженного компа, но по описанию почти тоже самое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У ДрВеба тоже есть утилита для дешифровки

Только помогают владельцам лицензии дрвеба и если можешь прислать зашифрованный и незашифрованный файл. И то не гарантия.

Если применили RSA шифрование с длинным ключем (от 256 байт) - надежды нету :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я далеко от зараженного компа, но по описанию почти тоже самое.

Угу, только если там используется другой алгоритм - то тю-тю. И еще прикол, у них были файлы из бэкапа и они могли сравнить их и найти код =) у твоих знакомых есть бэкап?

 

 

Для анализа берем два файла dbf: один зашифрованный из зараженной системы, другой нетронутый из свежего бэкапа и сравниваем их друг с другом. На примитивный шифр замены нам могут указать области исходного dbf-файла, заполненные идущими подряд одинаковыми байтами, например со значением 0. Благо файлы dbf не отличаются высокой плотностью хранимой информации, и нулевых байтов в них предостаточно.

Таким образом, пришлось принять как гипотезу использование шифра RC6, указанного в сообщении от создателей трояна. Впоследствии гипотеза подтвердилась, а именно шифрование выполнено алгоритмом RC6 с длиной блока 16 байт, причем применяется он «влоб», по блок-схеме. Авторы реализации даже не озаботились о шифровании неполных блоков, менее 16 байт, оставив их как есть, незашифрованными. 

Итак, алгоритм известен. Осталось дело за малым: найти ключ.

 

А теперь представил, что там не RC6,а что-то по тяжелее?

Изменено пользователем niger

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@niger, та там человек - вообще супермозг. А у нас такого нет, впрочем как и бэкапа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Угу, только если там используется другой алгоритм - то тю-тю. И еще прикол, у них были файлы из бэкапа и они могли сравнить их и найти код =) у твоих знакомых есть бэкап?

 

Для анализа берем два файла dbf: один зашифрованный из зараженной системы, другой нетронутый из свежего бэкапа и сравниваем их друг с другом. На примитивный шифр замены нам могут указать области исходного dbf-файла, заполненные идущими подряд одинаковыми байтами, например со значением 0. Благо файлы dbf не отличаются высокой плотностью хранимой информации, и нулевых байтов в них предостаточно.

но статья интересная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только помогают владельцам лицензии дрвеба и если можешь прислать зашифрованный и незашифрованный файл. И то не гарантия.

Если применили RSA шифрование с длинным ключем (от 256 байт) - надежды нету :(

Тогда будет проблема другая, RSA это асимметричный и скорость шифрования будет не такая быстрая, как у симметричного

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помогите решить проблему.

 

Знакомые подцепили вирус на Windows.  Вирус зашифровал все файлы-документы (*.doc. *.xls* и т.д.). Файлы стали с расширением xtbl. За расшифровку злоумышленники просят денег. Внятных советов в инете пока не нашел. Может кто-то что-то подсказать?

И к сожалению я не за зараженным компом, так что на уточняющие вопросы могу не быстро ответить.

 

 

P.S. ФЛУД В ТОПКУ.

Короче единственный выход - восстановление файлов из резервных копий.

 

При получении писем обращайте внимание на адрес отправителя. 90% пользователей используют gmail, yandex, mail, inbox почту.

В этом подлом письме была ссылка на какой-то голландский сайт на какой-то rar файл. Так что будьте бдительны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Восстановить форматирование

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...