Вирус-шифровальщик .XTBL

Доброго времени суток!

На другом ноутбуке поймал вирус, ставший крайне популярным за последние пару месяцев. Симптомы Вам должны быть уже до боли знакомы:
[COLOR=#333333]
На черном фоне красными буквами написано: "Ваши файлы были зашифрованы.[/COLOR]
[COLOR=#333333]Чтобы расшифровать их, Вам необходимо отправить код:...[/COLOR]
[COLOR=#333333]на электронный адрес [/COLOR][EMAIL="[email protected]"][email protected][/EMAIL][COLOR=#333333] или [/COLOR][EMAIL="[email protected]"][email protected][/EMAIL][COLOR=#333333] .[/COLOR]
[COLOR=#333333]Далее вы получите все необходимые инструкции. [/COLOR]
[COLOR=#333333]Попытки расшифровать самостоятельно [/COLOR][COLOR=#333333]не приведут ни к чему, кроме безвозвратной потери информации."[/COLOR]
[COLOR=#333333]Все файлы стали с длинным непонятным названием с расширением .XTBL.

Не прошу вылечить компьютер, потому что собираюсь сносить там винду (надоела восьмёрка, давно хотел поставить линукс - видимо этот день настал). Вопрос в другом:

Можете ли Вы сказать точно, не воскреснет ли вирус после переустановки ОС, например если я захочу вновь поставить Windows?

И второй вопрос касаемо расшифровки.
Я понимаю, что Вы ей не занимаетесь. Но на форуме где-то видел утверждение, что файлы зашифрованы RSA. Во-первых, я хочу понять, откуда вывод, что это именно RSA, а не AES к примеру. Во-вторых, если это действительно RSA, то должен быть открытый ключ или хотя бы параметр n. Как его можно найти? И в-третьих, как Вы думаете, чем является тот 20-значный шестнадцатеричный код, который злоумышленники просят прислать им на адрес - может быть это часть ключа или какой-нибудь другой параметр?

Заранее благодарю за информацию от специалистов.[/COLOR]

Уважаемый(ая) [B]ActOfGod[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[quote="ActOfGod;1233687"]я хочу понять, откуда вывод, что это именно RSA, а не AES к примеру[/quote]
Сам видел, специалисты вирлаба подтверждают

[quote="ActOfGod;1233687"]если это действительно RSA, то должен быть открытый ключ или хотя бы параметр n[/quote]Пара "открытый-закрытый" генерируется при работе вируса

[quote="ActOfGod;1233687"]чем является тот 20-значный шестнадцатеричный код, который злоумышленники просят прислать им на адрес[/quote]идентификатор компьютера, которому соответствует сгенерированная пара

[QUOTE=thyrex;1233772]Сам видел, специалисты вирлаба подтверждают[/QUOTE]

А можно подробнее? Где-нибудь топик на вирлабе есть?

[QUOTE=thyrex;1233772]Пара "открытый-закрытый" генерируется при работе вируса[/QUOTE]

То есть перехватить пару можно только запустив вирус в какой-нибудь песочнице и посмотрев на процесс работы?
Просто если это RSA - вряд ли они каждый раз генерируют модуль (n). Его нельзя выбирать случайно, поэтому, скорее всего, он на все заражённые компы один.

[QUOTE=thyrex;1233772]идентификатор компьютера, которому соответствует сгенерированная пара[/QUOTE]

Как работает этот механизм? Если предположить, что они делают разные n и e для каждого заражённого компьютера - то как они определяют, кому принадлежит какой? У злоумышленника должны храниться все ключи, для каждого n, и их соответствие каждому идентификатору компьютера. То есть либо они сгенерированы заранее (все используемые модули разложены на p и q), либо, как я предполагаю, используется один и тот же модуль, что облегчает работу.

Кроме того, для быстрого зашифрования больших файлов (там фильмы по несколько гигов), должно быть, использовалось небольшое e. Или я ошибаюсь? Как быстро работает RSA, есть конкретные цифры: время зашифрования ~ объём данных ~ длина ключа итп? Судя по жалобам пользователей, все файлы зашифровывались достаточно быстро.

[quote="ActOfGod;1233959"]То есть перехватить пару можно только запустив вирус в какой-нибудь песочнице и посмотрев на процесс работы?[/quote]Ключи уникальные при каждом запуске. Иначе бы один дешифратор, купленный кем-то, подходил всем пострадавшим :)

При RSA-шифровании порча файлов идет гораздо быстрее, чем расшифровка

Но ведь генерация ключей не должна происходить случайно. Есть какие-то подробности, какой алгоритм они используют при выработке p, q и e? И потом, вопрос: если ключи были сгенерированы независимо (непредопределённо) - как злоумышленники получают информацию о них? Вирус отправляет ключи по интернету? Или, быть может, двадцатибайтный код, который жертва присылает с запросом на восстановление 1 файла, содержит что-то большее, чем просто идентификатор компьютера?
Что ещё по этому поводу говорят специалисты вирлаба?

[quote="ActOfGod;1234381"]Вирус отправляет ключи по интернету?[/quote]Конечно, вместе с идентификатором

На этом разрешите прекратить общение.