424 ответов в этой теме

[Vladimir64]

ключ Dr.Web на 3 месяца

В течении 3х месяцев может как раз и решится вопрос, никто же не знает что будет завтра. Мне пока в помощи не отказано, ведём диалог со специалистом лаборатории, присылаю требуемые файлы на проверку и выполняю рекомендации. Хочу вас обрадовать, что энкодер уже есть, но вот с получением приватного ключа пока проблема, так что ничего не остается кроме как ждать.

[LanSer]

Очень надеюсь, что найдут ключ расшифровки для этого кодировщика. Тоже словили такой. Причем, не из вложения в письме, а просто открыв сайт. Фотоархив за всю жизнь похерен. Платить злоумышленникам не хочется. Желаю DrWeb-бовцам удачи в этом деле!

[Andrew97]

Файлы зашифрованы в формате .XTBL. Помогите, пожалуйста.

Прикрепленные файлы:

•  PC_2015-01-28_14-31-24.7z   795,62К   22 Скачано раз
•  hijackthis.rar   3,51К   15 Скачано раз

[pig]

Сообщение #2, пункт 3.

[Компьютерная Помощь]

Вот, что мне ответили.

 

Аслан Кунашев,
служба технической поддержки компании "Доктор Веб":

 

На данный момент расшифровка нашими силами видится невозможной.

Таким образом, основная рекомендация : обратитесь с заявлением в полицию.
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ...

Так вам нормально ответили, читайте внимательно. Люди работают над этой проблемой и тратят невероятные усилия. А как только найдут способ, то будут помогать в первую очередь своим пользователям и это нормально и правильно.

Расшифровать файлы это один вопрос, а вот как защитить данные от последующего шифрования?

Я использовал разные утилиты для поиска вируса шифровальщика, но без успешно! И только бесплатная утилита помогла и нашла. См. скрин ниже. Это говорит о том, что люди не стоят на месте, а работают!

 

[v.martyanov]

Странно, вроде xtbl не имеет такого явного пакера, чтобы ему отдельный детект давать...

[SergUV]

Тоже зашифровались все файлы.

Такой вопрос: можно ли нужные зашифрованные файлы скопировать, скажем на внешний винт (из LiveCD) и позже, если появится дешифратор - расшифровать их, а сам зараженный винт форматнуть? Или "где-то" в системе может быть "необходимый" ключ для дешифровки?

[Silent John]

     Тоже словил подлеца, но не через электронную почту, а в процессе Интернет-сёрфинга. Хоть и зашифровал около 69 тысяч файлов из около 4 миллионов, но практически все рабочие файлы, представляющие актуальную и историческую ценность, оказались в числе зашифрованных. В техподдержку, естественно, написал. Надеюсь, что рано или поздно расшифровка станет возможной.

     Вообще, учитывая растущую активность шифровальщиков, существенную величину потенциального и реального ущерба от их работы, сложность и ресурсоёмкость процесса расшифровки, хотелось бы узнать, есть ли у компании «Доктор Веб» желание и возможность запуска проекта, например, распределённых вычислений, с привлечением ресурсов пользователей антивирусных продуктов (складывается впечатление, что кроме «Доктора Веба» вопросами расшифровки с адекватным взаимодействием с пользователями никто больше не занимается). Судя по номеру моей лицензии, пользователей уже более 100 миллионов. С удовольствием бы принял участие в таком проекте, повысив эффективность использования своего компьютера, работающего практически круглосуточно, но загруженного в среднем процентов на 15–20.

[v.martyanov]

XTBL расшифровать на данный момент не выйдет.

 

Распределенные вычисления запущены в приватном варианте, для выхода на публику нужны будут еще люди, которые будут заниматься проектом.

[Vladimir64]

Очень жаль, мне тоже сегодня ответили насчет этого шифровщика.

 

 

К сожалению, получено окончательное заключение лаборатории : расшифровка нашими силами невозможна. 

Криптосхема, используемая Trojan.Encoder.858, такова, что подобрать/вычислить пароль не представляется возможным. 
Ключ для расшифровки можно только получить в готовом виде у того, кто его знает. 
Т.е., вообще говоря, только у автора/хозяина троянца. 
Отобрать, украсть, выкупить или т.п. 

Если нет резервных копий, то возможные варианты восстановления данных для вас, по-видимому, исчерпываются следующими: 
платить выкуп; обращаться в полицию; совместить второе с первым. 

 

У меня вопрос, т.е. вы прекращаете вообще заниматься его расшифровкой?

[Silent John]

     Вообще, вся эта деятельность по созданию вредоносных программ и борьбе с ними — не более чем игра в рамках существующих социально-экономических отношений, в немалой степени выгодная обеим сторонам. Поскольку существует эффективный способ отслеживания любой вредоносной активности и вычисления злоумышленников, например ловлей «на живца», то есть с использованием специально подготовленных систем, ведущих себя намеренно рискованно и имеющих физические средства определения электрических параметров (силы тока, напряжения) во всех необходимых частях компонентов системы с воспроизведением (в реальном или отложенном времени) указанных параметров в изолированных системах, что делает невозможным определение вредоносными программами или злоумышленниками факта их отслеживания (так же как не существуют и никогда, скорее всего, не будут созданы программные средства, позволяющие определить, что в период написания данного сообщения к шине питания моего процессора был подключён мультиметр, измеряющий падение напряжения на ней).

     Поскольку написанное выше очевидно любому аппаратчику, можно со 100-процентной уверенностью утверждать, что подобные системы уже давно созданы и находятся в распоряжении соответствующих государственных структур, решающих с их помощью прежде всего геополитические задачи. Естественно, все крупные промышленные компании (Intel, AMD, Samsung, Ангстрем и т. д.), создающие компоненты современных вычислительных устройств, с этими госструктурами связаны. Также очевидно, что все более или менее толковые создатели вредоносных программ уже давно вычислены и находятся в полном распоряжении этих госструктур. Поэтому не думаю, что тот же создатель Trojan.Encoder, находящийся в Испании, будет когда-нибудь арестован; а громкие новости об арестованных и наказанных «кулхацкерах», не исключено, являются хорошо срежиссированными спектаклями. Ну, и до «школоты», балующейся модификациями Trojan.Encoder'а и ограничивающейся нанесением ущерба физическим лицам и частным коммерческим организациям, госструктурам дела особого нет. Хотя технологиями могли бы поделиться.

[Silent John]

Распределенные вычисления запущены в приватном варианте, для выхода на публику нужны будут еще люди, которые будут заниматься проектом.

     Неплохо. Достойно похвалы и уважения.

Сообщение было изменено Silent John: 12 Февраль 2015 - 01:58

[v.martyanov]

Очень жаль, мне тоже сегодня ответили насчет этого шифровщика.

 

 

К сожалению, получено окончательное заключение лаборатории : расшифровка нашими силами невозможна. 

Криптосхема, используемая Trojan.Encoder.858, такова, что подобрать/вычислить пароль не представляется возможным. 
Ключ для расшифровки можно только получить в готовом виде у того, кто его знает. 
Т.е., вообще говоря, только у автора/хозяина троянца. 
Отобрать, украсть, выкупить или т.п. 

Если нет резервных копий, то возможные варианты восстановления данных для вас, по-видимому, исчерпываются следующими: 
платить выкуп; обращаться в полицию; совместить второе с первым. 

 

У меня вопрос, т.е. вы прекращаете вообще заниматься его расшифровкой?

Ну конечно мы потратим несколько тысяч машиночасов на безуспешные поиски ключа к единственному файлу.

[v.martyanov]

     Вообще, вся эта деятельность по созданию вредоносных программ и борьбе с ними — не более чем игра в рамках существующих социально-экономических отношений, в немалой степени выгодная обеим сторонам. Поскольку существует эффективный способ отслеживания любой вредоносной активности и вычисления злоумышленников, например ловлей «на живца», то есть с использованием специально подготовленных систем, ведущих себя намеренно рискованно и имеющих физические средства определения электрических параметров (силы тока, напряжения) во всех необходимых частях компонентов системы с воспроизведением (в реальном или отложенном времени) указанных параметров в изолированных системах, что делает невозможным определение вредоносными программами или злоумышленниками факта их отслеживания (так же как не существуют и никогда, скорее всего, не будут созданы программные средства, позволяющие определить, что в период написания данного сообщения к шине питания моего процессора был подключён мультиметр, измеряющий падение напряжения на ней).

     Поскольку написанное выше очевидно любому аппаратчику, можно со 100-процентной уверенностью утверждать, что подобные системы уже давно созданы и находятся в распоряжении соответствующих государственных структур, решающих с их помощью прежде всего геополитические задачи. Естественно, все крупные промышленные компании (Intel, AMD, Samsung, Ангстрем и т. д.), создающие компоненты современных вычислительных устройств, с этими госструктурами связаны. Также очевидно, что все более или менее толковые создатели вредоносных программ уже давно вычислены и находятся в полном распоряжении этих госструктур. Поэтому не думаю, что тот же создатель Trojan.Encoder, находящийся в Испании, будет когда-нибудь арестован; а громкие новости об арестованных и наказанных «кулхацкерах», не исключено, являются хорошо срежиссированными спектаклями. Ну, и до «школоты», балующейся модификациями Trojan.Encoder'а и ограничивающейся нанесением ущерба физическим лицам и частным коммерческим организациям, госструктурам дела особого нет. Хотя технологиями могли бы поделиться.

А почему вы считаете что автор из Испании? Кодес там явно русскими писан...

[Lvenok]

Распределенные вычисления запущены в приватном варианте, для выхода на публику нужны будут еще люди, которые будут заниматься проектом.

Если "публика" все же будет реализована готов присоединиться.

[Silent John]

А почему вы считаете что автор из Испании? Кодес там явно русскими писан...

 

     Я имел в виду, что, по информации из открытых источников, автор Trojan.Encoder'а находится в Испании. По исходному гражданству или национальности он, естественно, может быть и русским, и китайцем, и индусом и т. д. Но я уверен, что свобода этого человека (или группы людей) закончилась, и сегодня он вынужден принимать предложения от соответствующих госструктур, от которых невозможно отказаться.

Сообщение было изменено Silent John: 13 Февраль 2015 - 14:25

[Биржан]

добрый день друзя!!!

помогите вылечить от вируса, какойто вирус изменил все файлы расшерения doc, zip, jpg, png, txt, xls... на Файл "LAYFQEN" (.layfqen)

[RomaNNN]

добрый день друзя!!!

помогите вылечить от вируса, какойто вирус изменил все файлы расшерения doc, zip, jpg, png, txt, xls... на Файл "LAYFQEN" (.layfqen)

 

http://forum.drweb.com/index.php?showtopic=319872#entry750034

[Labuh333333]

Доброго времени суток.Подхватил аналогичный вирус,после чего многие форматы приняли вид  xtbl(за исключением формата png).Вроде-как от вируса удалось избавиться,теперь бы вернуть файлы в изначальный формат. Шарился по разным форумам,прочел про этот RSA алгоритм(через который был запущен вирус)Оч надеюсь на вашу помощь,так как в Касперах разочаровался!!!
P.S может вам пригодится:я нашел у себя на флешки сохраненные до вирусни НЕКОТОРЫЕ файлы а именно mp3 и txt.аналогичные битым файлам,решил проверить файлы через "Delphi" получается как через текстовик выдает на обоих файлах(норм и битом)кириллицу причем в истинном ее виде.Если битый файл запускать просто через тестовик то получаю вместо кириллицы  азиатские иероглифы.Я так понимаю это и есть зашифрованный алгоритм?!Кстати с рабочим файлом запуск хоть через "Delphi"хоть через обычный текстовик выдает нормальный алгоритм кириллицы.Короч товарищи очень на вас надеюсь!!!!!!!!

[pig]

Вы прочитайте, что такое RSA - поймёте, что в действительности всё совсем не так, как на самом деле.