Перейти к содержимому


Фото
- - - - -

Вирус-шифровальщик XTBL (Вопрос о расшифровке)

вирус шифровальщик xtbl

  • Закрыто Тема закрыта
424 ответов в этой теме

#21 Vladimir64

Vladimir64

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 22 Январь 2015 - 12:41

ключ Dr.Web на 3 месяца

В течении 3х месяцев может как раз и решится вопрос, никто же не знает что будет завтра. Мне пока в помощи не отказано, ведём диалог со специалистом лаборатории, присылаю требуемые файлы на проверку и выполняю рекомендации. Хочу вас обрадовать, что энкодер уже есть, но вот с получением приватного ключа пока проблема, так что ничего не остается кроме как ждать.



#22 LanSer

LanSer

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 23 Январь 2015 - 08:29

Очень надеюсь, что найдут ключ расшифровки для этого кодировщика. Тоже словили такой. Причем, не из вложения в письме, а просто открыв сайт. Фотоархив за всю жизнь похерен. Платить злоумышленникам не хочется. Желаю DrWeb-бовцам удачи в этом деле!



#23 Andrew97

Andrew97

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 28 Январь 2015 - 22:13

Файлы зашифрованы в формате .XTBL. Помогите, пожалуйста.

Прикрепленные файлы:



#24 pig

pig

    Бредогенератор

  • Helpers
  • 10 726 Сообщений:

Отправлено 28 Январь 2015 - 22:55

Сообщение #2, пункт 3.
Почтовый сервер Eserv тоже работает с Dr.Web

#25 Компьютерная Помощь

Компьютерная Помощь

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 31 Январь 2015 - 10:43

Вот, что мне ответили.

 

Аслан Кунашев,
служба технической поддержки компании "Доктор Веб":

 

На данный момент расшифровка нашими силами видится невозможной.

Таким образом, основная рекомендация : обратитесь с заявлением в полицию.
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ...

Так вам нормально ответили, читайте внимательно. Люди работают над этой проблемой и тратят невероятные усилия. А как только найдут способ, то будут помогать в первую очередь своим пользователям и это нормально и правильно.

Расшифровать файлы это один вопрос, а вот как защитить данные от последующего шифрования?

Я использовал разные утилиты для поиска вируса шифровальщика, но без успешно! И только бесплатная утилита помогла и нашла. См. скрин ниже. Это говорит о том, что люди не стоят на месте, а работают!

 

10425848_1602542099978755_16208759661723



#26 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Январь 2015 - 13:19

Странно, вроде xtbl не имеет такого явного пакера, чтобы ему отдельный детект давать...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#27 SergUV

SergUV

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 09 Февраль 2015 - 09:33

Тоже зашифровались все файлы.

Такой вопрос: можно ли нужные зашифрованные файлы скопировать, скажем на внешний винт (из LiveCD) и позже, если появится дешифратор - расшифровать их, а сам зараженный винт форматнуть? Или "где-то" в системе может быть "необходимый" ключ для дешифровки?



#28 Silent John

Silent John

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 11 Февраль 2015 - 10:24

     Тоже словил подлеца, но не через электронную почту, а в процессе Интернет-сёрфинга. Хоть и зашифровал около 69 тысяч файлов из около 4 миллионов, но практически все рабочие файлы, представляющие актуальную и историческую ценность, оказались в числе зашифрованных. В техподдержку, естественно, написал. Надеюсь, что рано или поздно расшифровка станет возможной.

     Вообще, учитывая растущую активность шифровальщиков, существенную величину потенциального и реального ущерба от их работы, сложность и ресурсоёмкость процесса расшифровки, хотелось бы узнать, есть ли у компании «Доктор Веб» желание и возможность запуска проекта, например, распределённых вычислений, с привлечением ресурсов пользователей антивирусных продуктов (складывается впечатление, что кроме «Доктора Веба» вопросами расшифровки с адекватным взаимодействием с пользователями никто больше не занимается). Судя по номеру моей лицензии, пользователей уже более 100 миллионов. С удовольствием бы принял участие в таком проекте, повысив эффективность использования своего компьютера, работающего практически круглосуточно, но загруженного в среднем процентов на 15–20.



#29 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Февраль 2015 - 11:25

XTBL расшифровать на данный момент не выйдет.

 

Распределенные вычисления запущены в приватном варианте, для выхода на публику нужны будут еще люди, которые будут заниматься проектом.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#30 Vladimir64

Vladimir64

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 11 Февраль 2015 - 23:25

Очень жаль, мне тоже сегодня ответили насчет этого шифровщика.

 

 

К сожалению, получено окончательное заключение лаборатории : расшифровка нашими силами невозможна. 

Криптосхема, используемая Trojan.Encoder.858, такова, что подобрать/вычислить пароль не представляется возможным. 
Ключ для расшифровки можно только получить в готовом виде у того, кто его знает. 
Т.е., вообще говоря, только у автора/хозяина троянца. 
Отобрать, украсть, выкупить или т.п. 

Если нет резервных копий, то возможные варианты восстановления данных для вас, по-видимому, исчерпываются следующими: 
платить выкуп; обращаться в полицию; совместить второе с первым. 

 

У меня вопрос, т.е. вы прекращаете вообще заниматься его расшифровкой?



#31 Silent John

Silent John

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 12 Февраль 2015 - 00:18

     Вообще, вся эта деятельность по созданию вредоносных программ и борьбе с ними — не более чем игра в рамках существующих социально-экономических отношений, в немалой степени выгодная обеим сторонам. Поскольку существует эффективный способ отслеживания любой вредоносной активности и вычисления злоумышленников, например ловлей «на живца», то есть с использованием специально подготовленных систем, ведущих себя намеренно рискованно и имеющих физические средства определения электрических параметров (силы тока, напряжения) во всех необходимых частях компонентов системы с воспроизведением (в реальном или отложенном времени) указанных параметров в изолированных системах, что делает невозможным определение вредоносными программами или злоумышленниками факта их отслеживания (так же как не существуют и никогда, скорее всего, не будут созданы программные средства, позволяющие определить, что в период написания данного сообщения к шине питания моего процессора был подключён мультиметр, измеряющий падение напряжения на ней).

     Поскольку написанное выше очевидно любому аппаратчику, можно со 100-процентной уверенностью утверждать, что подобные системы уже давно созданы и находятся в распоряжении соответствующих государственных структур, решающих с их помощью прежде всего геополитические задачи. Естественно, все крупные промышленные компании (Intel, AMD, Samsung, Ангстрем и т. д.), создающие компоненты современных вычислительных устройств, с этими госструктурами связаны. Также очевидно, что все более или менее толковые создатели вредоносных программ уже давно вычислены и находятся в полном распоряжении этих госструктур. Поэтому не думаю, что тот же создатель Trojan.Encoder, находящийся в Испании, будет когда-нибудь арестован; а громкие новости об арестованных и наказанных «кулхацкерах», не исключено, являются хорошо срежиссированными спектаклями. Ну, и до «школоты», балующейся модификациями Trojan.Encoder'а и ограничивающейся нанесением ущерба физическим лицам и частным коммерческим организациям, госструктурам дела особого нет. Хотя технологиями могли бы поделиться.



#32 Silent John

Silent John

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 12 Февраль 2015 - 01:57

Распределенные вычисления запущены в приватном варианте, для выхода на публику нужны будут еще люди, которые будут заниматься проектом.

     Неплохо. Достойно похвалы и уважения.


Сообщение было изменено Silent John: 12 Февраль 2015 - 01:58


#33 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Февраль 2015 - 11:17

Очень жаль, мне тоже сегодня ответили насчет этого шифровщика.

 

 

К сожалению, получено окончательное заключение лаборатории : расшифровка нашими силами невозможна. 

Криптосхема, используемая Trojan.Encoder.858, такова, что подобрать/вычислить пароль не представляется возможным. 
Ключ для расшифровки можно только получить в готовом виде у того, кто его знает. 
Т.е., вообще говоря, только у автора/хозяина троянца. 
Отобрать, украсть, выкупить или т.п. 

Если нет резервных копий, то возможные варианты восстановления данных для вас, по-видимому, исчерпываются следующими: 
платить выкуп; обращаться в полицию; совместить второе с первым. 

 

У меня вопрос, т.е. вы прекращаете вообще заниматься его расшифровкой?

Ну конечно мы потратим несколько тысяч машиночасов на безуспешные поиски ключа к единственному файлу.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#34 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Февраль 2015 - 18:03

     Вообще, вся эта деятельность по созданию вредоносных программ и борьбе с ними — не более чем игра в рамках существующих социально-экономических отношений, в немалой степени выгодная обеим сторонам. Поскольку существует эффективный способ отслеживания любой вредоносной активности и вычисления злоумышленников, например ловлей «на живца», то есть с использованием специально подготовленных систем, ведущих себя намеренно рискованно и имеющих физические средства определения электрических параметров (силы тока, напряжения) во всех необходимых частях компонентов системы с воспроизведением (в реальном или отложенном времени) указанных параметров в изолированных системах, что делает невозможным определение вредоносными программами или злоумышленниками факта их отслеживания (так же как не существуют и никогда, скорее всего, не будут созданы программные средства, позволяющие определить, что в период написания данного сообщения к шине питания моего процессора был подключён мультиметр, измеряющий падение напряжения на ней).

     Поскольку написанное выше очевидно любому аппаратчику, можно со 100-процентной уверенностью утверждать, что подобные системы уже давно созданы и находятся в распоряжении соответствующих государственных структур, решающих с их помощью прежде всего геополитические задачи. Естественно, все крупные промышленные компании (Intel, AMD, Samsung, Ангстрем и т. д.), создающие компоненты современных вычислительных устройств, с этими госструктурами связаны. Также очевидно, что все более или менее толковые создатели вредоносных программ уже давно вычислены и находятся в полном распоряжении этих госструктур. Поэтому не думаю, что тот же создатель Trojan.Encoder, находящийся в Испании, будет когда-нибудь арестован; а громкие новости об арестованных и наказанных «кулхацкерах», не исключено, являются хорошо срежиссированными спектаклями. Ну, и до «школоты», балующейся модификациями Trojan.Encoder'а и ограничивающейся нанесением ущерба физическим лицам и частным коммерческим организациям, госструктурам дела особого нет. Хотя технологиями могли бы поделиться.

А почему вы считаете что автор из Испании? Кодес там явно русскими писан...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#35 Lvenok

Lvenok

    Poster

  • Posters
  • 1 976 Сообщений:

Отправлено 12 Февраль 2015 - 22:47

Распределенные вычисления запущены в приватном варианте, для выхода на публику нужны будут еще люди, которые будут заниматься проектом.

Если "публика" все же будет реализована готов присоединиться.



#36 Silent John

Silent John

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 13 Февраль 2015 - 14:24

А почему вы считаете что автор из Испании? Кодес там явно русскими писан...

 

     Я имел в виду, что, по информации из открытых источников, автор Trojan.Encoder'а находится в Испании. По исходному гражданству или национальности он, естественно, может быть и русским, и китайцем, и индусом и т. д. Но я уверен, что свобода этого человека (или группы людей) закончилась, и сегодня он вынужден принимать предложения от соответствующих госструктур, от которых невозможно отказаться.


Сообщение было изменено Silent John: 13 Февраль 2015 - 14:25


#37 Биржан

Биржан

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 15 Февраль 2015 - 20:35

добрый день друзя!!!

помогите вылечить от вируса, какойто вирус изменил все файлы расшерения doc, zip, jpg, png, txt, xls... на Файл "LAYFQEN" (.layfqen)



#38 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 847 Сообщений:

Отправлено 15 Февраль 2015 - 20:37

добрый день друзя!!!

помогите вылечить от вируса, какойто вирус изменил все файлы расшерения doc, zip, jpg, png, txt, xls... на Файл "LAYFQEN" (.layfqen)

 

http://forum.drweb.com/index.php?showtopic=319872#entry750034


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#39 Labuh333333

Labuh333333

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 21 Февраль 2015 - 18:33

Доброго времени суток.Подхватил аналогичный вирус,после чего многие форматы приняли вид  xtbl(за исключением формата png).Вроде-как от вируса удалось избавиться,теперь бы вернуть файлы в изначальный формат. Шарился по разным форумам,прочел про этот RSA алгоритм(через который был запущен вирус)Оч надеюсь на вашу помощь,так как в Касперах разочаровался!!!
P.S может вам пригодится:я нашел у себя на флешки сохраненные до вирусни НЕКОТОРЫЕ файлы а именно mp3 и txt.аналогичные битым файлам,решил проверить файлы через "Delphi" получается как через текстовик выдает на обоих файлах(норм и битом)кириллицу причем в истинном ее виде.Если битый файл запускать просто через тестовик то получаю вместо кириллицы  азиатские иероглифы.Я так понимаю это и есть зашифрованный алгоритм?!Кстати с рабочим файлом запуск хоть через "Delphi"хоть через обычный текстовик выдает нормальный алгоритм кириллицы.Короч товарищи очень на вас надеюсь!!!!!!!!



#40 pig

pig

    Бредогенератор

  • Helpers
  • 10 726 Сообщений:

Отправлено 21 Февраль 2015 - 20:53

Вы прочитайте, что такое RSA - поймёте, что в действительности всё совсем не так, как на самом деле.
Почтовый сервер Eserv тоже работает с Dr.Web



Also tagged with one or more of these keywords: вирус шифровальщик, xtbl

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых