https://vms.drweb.ru/sendvirus/?lng=ru
Вирус-шифровальщик XTBL (Вопрос о расшифровке)
#81
Отправлено 08 Март 2015 - 21:12
#82
Отправлено 09 Март 2015 - 02:33
.NET там и близко не лежал, троян на сях писан.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#83
Отправлено 09 Март 2015 - 19:10
Тоже напоролся на данный вирус сегодня. По неосторожности сам его считай и запустил, но эта зараза представила себя как установщик .Net Fraemwork 2.0 и 3.5. А так как в это у меня велась установка, я не предал этому значения. Но когда я уже понял неладное и то что установка идет слишком долго сбросил процесс. В итоге весь диск D зашифрован.
При какой либо установки тело снова запускается и просит установить .Net Fraemwork 2.0 и 3.5. Где находится это тело, не могу понять.
#84
Отправлено 09 Март 2015 - 19:20
Тоже напоролся на данный вирус сегодня. По неосторожности сам его считай и запустил, но эта зараза представила себя как установщик .Net Fraemwork 2.0 и 3.5. А так как в это у меня велась установка, я не предал этому значения. Но когда я уже понял неладное и то что установка идет слишком долго сбросил процесс. В итоге весь диск D зашифрован.
При какой либо установки тело снова запускается и просит установить .Net Fraemwork 2.0 и 3.5. Где находится это тело, не могу понять.
логи делайте
#85
Отправлено 09 Март 2015 - 20:46
Вот логи и скриншот того, что выходит при запуске тела
1.jpg 330,24К
2 Скачано раз
NSWIFT-PC_NSwift_090315_195705.zip 2,18Мб
8 Скачано раз
cureit(6084).7z 160,73К
2 Скачано раз
hijackthis.7z 3,44К
4 Скачано раз
#86
Отправлено 09 Март 2015 - 21:00
темпы ccleaner чистили?
#87
Отправлено 09 Март 2015 - 21:54
До проверки логов нет.
#88
Отправлено 09 Март 2015 - 22:29
Отправил тело вируса-шифровальщика в саппорт, прислали следующее-
Здравствуйте.
Зашифровано одним из вариантов Trojan.Encoder.858. К сожалению, никаких способов расшифровать такое на данный момент не известно. Расшифровка нашими силами невозможна.
Криптосхема такова, что подобрать/вычислить пароль не представляется возможным.
Ключ для расшифровки можно только получить в готовом виде у того, кто его знает.
Т.е., вообще говоря, только у автора/хозяина троянца.
Отобрать, украсть, выкупить или т.п.
Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.
Общая рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Поделать нечего, скину файлы на съёмный HDD и уберу до лучших времён. Очень жаль.
#89
Отправлено 11 Март 2015 - 01:12
Известно когда будет дешифровщик? Хотя бы примерно? Или это вообще никому не по силам?
#90
Отправлено 11 Март 2015 - 01:14
Известно когда будет дешифровщик? Хотя бы примерно? Или это вообще никому не по силам?
в суппорте спросите или у v.martyanov
#92
Отправлено 11 Март 2015 - 19:48
"посчастливилось" на днях словить этот вирус , зашифровал, всё, что было ему можно, кроме... фото-, видео- и т.д. файлов в Корзине и файлов в папках с образцами фото-видео-музыки (тех, что в системных доках) - там всё, как было изначально, хотя рядом стоящие с этими папками файлы все съел... возник вопрос: он их намеренно не трогает? или они защищены системой и в них можно дублировать инфу для сохранности? или это недоработка автора?
а на рабочем столе есть измененный этим вирусом файл с раширением txbl, который никак не могу удалить, что ни делаю
сорри, если такой момент уже обсуждался
Сообщение было изменено AlexKotik: 11 Март 2015 - 19:50
#93
Отправлено 11 Март 2015 - 20:29
"посчастливилось" на днях словить этот вирус , зашифровал, всё, что было ему можно, кроме... фото-, видео- и т.д. файлов в Корзине и файлов в папках с образцами фото-видео-музыки (тех, что в системных доках) - там всё, как было изначально, хотя рядом стоящие с этими папками файлы все съел... возник вопрос: он их намеренно не трогает? или они защищены системой и в них можно дублировать инфу для сохранности? или это недоработка автора?
а на рабочем столе есть измененный этим вирусом файл с раширением txbl, который никак не могу удалить, что ни делаю
сорри, если такой момент уже обсуждался
Попробуйте изменить расширение,например если у вас был файл под названием "123.xtbl" если это фото измените и напишите 123,JPG у меня получилось c фото.
#94
Отправлено 11 Март 2015 - 20:37
Вот логи и скриншот того, что выходит при запуске тела
при каких обстоятельствах словили вирус?
#95
Отправлено 11 Март 2015 - 22:16
"посчастливилось" на днях словить этот вирус , зашифровал, всё, что было ему можно, кроме... фото-, видео- и т.д. файлов в Корзине и файлов в папках с образцами фото-видео-музыки (тех, что в системных доках) - там всё, как было изначально, хотя рядом стоящие с этими папками файлы все съел... возник вопрос: он их намеренно не трогает? или они защищены системой и в них можно дублировать инфу для сохранности? или это недоработка автора?
а на рабочем столе есть измененный этим вирусом файл с раширением txbl, который никак не могу удалить, что ни делаю
сорри, если такой момент уже обсуждался
Попробуйте изменить расширение,например если у вас был файл под названием "123.xtbl" если это фото измените и напишите 123,JPG у меня получилось c фото.
увы, мне не помогло, никакое расширение не распознается, ниодним из плееров/редакторов/проигрывателей и т.д.
кроме того, после перезагрузки пк все неизмененные файлы в Корзине оказались удалены, некоторые удаленные папки с зашифрованными файлами оказались на своем прежнем месте и восстановленными в ним файлами (т.е. теми, что были зашифрованы), но... недолго музыка играла... после еще одной перезагрузки все опять оказалось зашифрованным и появился всем известный черным экран с красной написью и рекомендациями
вот как-то так...
#96
Отправлено 13 Март 2015 - 02:59
Пообщался немного со злоумышленниками.
Переписка с deshifrovka@india.com:
--------------------------------------------
On Tue, 3/3/15, John St <stjohn1982@yahoo.com> wrote:
Subject: RE: RE: Re: Ваши файлы были зашифрованы.
To: "incode decode" <deshifrovka@india.com>
Date: Tuesday, March 3, 2015, 12:10 PM
Дамы и господа, леди и джентльмены, ребята и девчата.
Внимательно прочитайте написанное ниже.
Вы, конечно, считаете себя выдающимися программистами, вирусописателями, крутыми шифровальщикми и пр., хорошо подготовившимися к работе по вымогательству денег у пострадавших пользователей, убеждёнными в том, что вас никто и никогда не найдёт и не накажет. Хотел бы вас разочаровать и предостеречь от дальнейшей противозаконной деятельности в сфере информационных технологий.
Практически вся деятельность по созданию вредоносных программ и борьбе с ними — не более чем игра в рамках существующих социально-экономических отношений, в немалой степени выгодная обеим сторонам. Поскольку существует эффективный способ отслеживания любой вредоносной активности и вычисления злоумышленников (в том числе таких, как вы), например ловлей «на живца», то есть с использованием специально подготовленных систем, ведущих себя намеренно рискованно и имеющих физические средства определения электрических параметров (силы тока, напряжения) во всех необходимых частях компонентов системы с воспроизведением (в реальном или отложенном времени) указанных параметров в изолированных системах, что делает невозможным определение вредоносными программами или злоумышленниками факта их отслеживания (так же как не существуют и никогда, скорее всего, не будут созданы программные средства, позволяющие определить, что в период написания данного сообщения к шине питания моего процессора был подключён мультиметр, измеряющий падение напряжения на ней).
Это очевидно любому аппаратчику (надеюсь, в вашем окружении таковой имеется); подобные системы уже давно созданы и находятся в распоряжении соответствующих государственных структур, решающих с их помощью прежде всего геополитические задачи. Все крупные промышленные компании (Intel, AMD, Samsung, Ангстрем и т. д.), создающие компоненты современных вычислительных устройств, с этими госструктурами связаны. Задача дешифровки информации (в том числе зашифрованной вашим творением) и вычисления злоумышленников — это две совершенно разные задачи, причём последняя несравнимо проще первой: анализировать сеть из нескольких миллиардов пользователей в реальном времени суперкомпьютеры могли уже 20 лет назад. Забудьте об анонимности в сети: так же как созданием Интернета мы обязаны военным, так и все средства и технологии обеспечения анонимности (точнее говоря, иллюзии анонимности) создаются при участии и находятся под контролем госструктур (Tor — ярчайший современный пример, реализующий один из вариантов стратегии ловли «на живца»). Поэтому очевидно, что все более или менее толковые создатели вредоносных программ уже давно вычислены и находятся в полном распоряжении этих госструктур.
В лучшем случае подобная участь (работа на госструктуры на условиях, от которых невозможно отказаться) ждёт любого из вас. В худшем (по достижении критического уровня количества пострадавших) — люди в масках с автоматами, выламывающие дверь, суд, тюрьма. Возможен и другой вариант, достойный сценария голливудского блокбастера: один из серьёзно пострадавших от ваших действий в один прекрасный день оказывается в вашем окружении, становится лучшим другом, которому вы проговариваетесь о создании xtbl-шифровальщика; или ставит задачу о получении работы в соответствующих госструктурах, реализует её и получает доступ к технологиям поиска злоумышленников и информации о вас — и всё заканчивается резнёй бензопилой.
В общем, хорошо подумайте над тем, стоит ли приобретать себе врагов, возможности которых по вашему поиску и наказанию вы очень плохо представляете и сильно недооцениваете. Хоть закон на ваши действия устанавливает срок давности, но отдельный человек будет помнить столько, сколько потребуется. Рекомендую закончить с противозаконной деятельностью в сфере информационных технологий, принести извинения всем пострадавшим пользователям (особенно работникам сельского хозяйства, лёгкой промышленности, строительной сферы и пр., благодаря которым работники других сфер и имеют возможность делать то, что они делают; перед банкирами и финансистами можно не извиняться — не заслуживают), выслать им программы и ключи расшифровки. И да, в качестве доказательства того, что вы отвечаете за свои слова, пришлите мне контакты нескольких пострадавших пользователей, которые, заплатив вам, получили программы и ключи расшифровки и вернули свои файлы (можете прислать их сами, с образцами зашифрованных файлов).
И до встречи. Через день, через неделю, через месяц, через год или через десять лет, в Новый год, в очередной юбилей, в годовщину свадьбы, в день появления на свет сына или дочки, в день похорон матери или отца, в самый счастливый день в жизни, когда будет казаться, что она полностью удалась и на горизонте — только светлое безоблачное будущее.
--------------------------------------------
On Sun, 2/15/15, incode decode <deshifrovka@india.com> wrote:
Subject: RE: RE: Re: Ваши файлы были зашифрованы.
To: "John St" <stjohn1982@yahoo.com>
Date: Sunday, February 15, 2015, 9:28 AM
Кошелек QIWI: 79688616159
Примечание:8777
Обязательно сохраняйте фото чека
At 15 Feb 2015 01:03:32 +0000 (UTC) from John St <stjohn1982@yahoo.com>:
Куда платить?
--------------------------------------------
On Sat, 2/14/15, incode decode <deshifrovka@india.com> wrote:
Subject: RE: Re: Ваши файлы были зашифрованы.
To: "John St" <stjohn1982@yahoo.com>
Date: Saturday, February 14, 2015, 10:00 AM
Расшифровали
At 13 Feb 2015 20:05:12 +0000 (UTC) from John St <stjohn1982@yahoo.com>:
Так ведь выслал в первом письме. Внимательно посмотрите прикреплённые к нему файлы.
--------------------------------------------
On Thu, 2/12/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:
Subject: Re: Ваши файлы были зашифрованы.
To: "John St" <stjohn1982@yahoo.com>
Date: Thursday, February 12, 2015, 11:42 PM
Стоимость дешифровки 7000р.
Пришлите 1 файл и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены.
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.
On Thu, Feb 12, 2015 at 8:33 PM, John St <stjohn1982@yahoo.com> wrote:
Ловите.
Сообщение было изменено Silent John: 13 Март 2015 - 03:00
#97
Отправлено 13 Март 2015 - 03:15
Переписка с deshifrator01@gmail.com:
--------------------------------------------
On Fri, 3/6/15, John St <stjohn1982@yahoo.com> wrote:
Subject: Re: Re: Ваши файлы были зашифрованы.
To: "Дешифровка Файлов" <deshifrator01@gmail.com>
Cc: "incode decode" <deshifrovka@india.com>
Date: Friday, March 6, 2015, 12:37 AM
К Борису Ефимовичу Немцову тоже не домой пришли.
Не будьте наивными дилетантами — 21-й век на дворе: всю работу по анализу сетевой активности осуществляют суперкомпьютеры с продвинутым искусственным интеллектом (солдат спит — служба идёт). Поймите, существует взаимно однозначное соответствие между картиной происходящего в сети и физическими параметрами (включая географическое местоположение) находящихся в ней пользователей, благодаря чему в том числе я могу читать ваши письма, а вы — мои. Так работают законы физики.
Когда я прочитал краткую историю создания и существования той же Tor, то с трудом удержался от того, чтобы не разразиться смехом до боли в животе:
«Система Tor была создана в «Центре высокопроизводительных вычислительных систем» Исследовательской лаборатории Военно-морских сил США в рамках проекта Free Haven совместно с DARPA по федеральному заказу. В 2002 году эту разработку решили рассекретить, а исходные тексты были переданы независимым разработчикам, которые создали клиент-серверное приложение и опубликовали его под свободной лицензией, чтобы все желающие могли провести проверку на отсутствие ошибок и закладок.
О поддержке проекта объявила правозащитная организация Electronic Frontier Foundation, которая начала активно пропагандировать новую систему и прилагать значительные усилия для максимального расширения сети. Существенную финансовую помощь Tor оказывают Министерство обороны и Государственный департамент США, а также Национальный научный фонд. По состоянию на конец 2014 года Tor имеет более 6500 узлов сети, разбросанных по всем континентам Земли, кроме Антарктиды, а число участников сети, включая ботов, превышает 2,5 миллиона.»
2,5 миллиона участников под полным контролем Министерства обороны и Государственного департамента США. Естественно, когда кто-то из участников совершает противозаконное деяние, к мгновенной и мощной реакции военные по понятным причинам не прибегают — все облекают в нужный момент в более обыденную форму.
Вряд ли вы много заработаете: требование выслать программы и ключи расшифровки, образцы зашифрованных файлов пользователей (или контактные данные этих пользователей), получивших 100 %-ный результат после оплаты, позволяет легко вывести вас и ваших коллег на чистую воду (что я, как вы понимаете, уже сделал) и лишить смысла создание вирусов-шифровальщиков с целью вымогательства.
Удачи вам. Изучайте физику — это удержит вас от совершения прочих глупостей.
--------------------------------------------
On Thu, 3/5/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:
Subject: Re: Re: Ваши файлы были зашифрованы.
To: "John St" <stjohn1982@yahoo.com>
Date: Thursday, March 5, 2015, 11:31 AM
Мы Вас прочитали, статья не плохая, но и с домашнего интернета никто не сидит))
Найти нереально)
Долго заниматься этим никто не будет
Удачи
3 марта 2015 г., 9:10 пользователь John St <stjohn1982@yahoo.com> написал:
Дамы и господа, леди и джентльмены, ребята и девчата.
... (см. предыдущий пост)
--------------------------------------------
On Sun, 2/15/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:
Subject: Re: Re: Ваши файлы были зашифрованы.
To: "John St" <stjohn1982@yahoo.com>
Date: Sunday, February 15, 2015, 9:08 AM
Кошелек QIWI: 79688616037
Примечание :87667
Обязательно сохраняйте чек
2015-02-15 1:02 GMT+00:00 John St <stjohn1982@yahoo.com>:
Куда платить?
--------------------------------------------
On Sat, 2/14/15, incode decode <deshifrovka@india.com> wrote:
Subject: RE: Re: Ваши файлы были зашифрованы.
To: "John St" <stjohn1982@yahoo.com>
Date: Saturday, February 14, 2015, 10:00 AM
Расшифровали
At 13 Feb 2015 20:05:12 +0000 (UTC) from John St <stjohn1982@yahoo.com>:
Так ведь выслал в первом письме. Внимательно посмотрите прикреплённые к нему файлы.
--------------------------------------------
On Thu, 2/12/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:
Subject: Re: Ваши файлы были зашифрованы.
To: "John St" <stjohn1982@yahoo.com>
Date: Thursday, February 12, 2015, 11:42 PM
Стоимость дешифровки 7000р.
Пришлите 1 файл и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены.
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.
On Thu, Feb 12, 2015 at 8:33 PM, John St <stjohn1982@yahoo.com> wrote:
Ловите.
#98
Отправлено 13 Март 2015 - 03:19
Естественно, никаких программ и ключей расшифровки, образцов зашифрованных файлов пользователей (или контактных данных этих пользователей), получивших 100 %-ный результат после оплаты, я не получил. Наверное потому, что таких пользователей нет.
#99
Отправлено 13 Март 2015 - 12:23
Silent John, зачем всё это здесь? Хотите я вам пришлю всё, что вы просите? Сколько вам надо пользователей? 10 человек устроит? Больше мне просто лень регистрировать e-mail-ов.
На самом деле всё очень просто. Если вам ваши файлы сильно нужны, вы платите. Даже если 50/50 или 90/10, что они ничего не расшифруют, вы всё равно платите. Потому, что файлы нужны(!) вам(!).
А если файлы нужны не очень, то НЕ платите. И в таком случае вы им не интересны.
Такой вот "бизнес".
Сообщение было изменено HHH: 13 Март 2015 - 12:24
#100
Отправлено 13 Март 2015 - 14:30
Serg_o_Grey, ещё 1 просьба к кому-нибудь заняться рассылкой вирусов (что является уголовно наказуемым преступлением) и мы с Вами попрощаемся.
Модератор.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Also tagged with one or more of these keywords: вирус шифровальщик, xtbl
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Зашифрованы файлыАвтор: CRAZY41 , 02 апр 2017 Вирус, Шифровальщик, xtbl |
|
|
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Вирус шифровальщик xtblАвтор: AJIEKS , 18 авг 2015 xtbl, шифровальщик, декодер и еще 1… |
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Зашифрованы файлы - . XTBLАвтор: Lush , 14 июл 2015 Шифровальщик, XTBL, .xtbl |
|
|
||
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Зашифрованы файлы в формат xtblАвтор: sprutov , 10 июл 2015 xtbl |
|
|
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Шифровальщик зашифровал файлы в формат .xtblАвтор: Марк Никитин , 12 апр 2015 Шифровальщик, xtbl |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых