-
Junior Member
- Вес репутации
- 34
Вирус-шифровальщик .XTBL
Доброго времени суток!
На другом ноутбуке поймал вирус, ставший крайне популярным за последние пару месяцев. Симптомы Вам должны быть уже до боли знакомы:
На черном фоне красными буквами написано: "Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:...
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
Все файлы стали с длинным непонятным названием с расширением .XTBL.
Не прошу вылечить компьютер, потому что собираюсь сносить там винду (надоела восьмёрка, давно хотел поставить линукс - видимо этот день настал). Вопрос в другом:
Можете ли Вы сказать точно, не воскреснет ли вирус после переустановки ОС, например если я захочу вновь поставить Windows?
И второй вопрос касаемо расшифровки.
Я понимаю, что Вы ей не занимаетесь. Но на форуме где-то видел утверждение, что файлы зашифрованы RSA. Во-первых, я хочу понять, откуда вывод, что это именно RSA, а не AES к примеру. Во-вторых, если это действительно RSA, то должен быть открытый ключ или хотя бы параметр n. Как его можно найти? И в-третьих, как Вы думаете, чем является тот 20-значный шестнадцатеричный код, который злоумышленники просят прислать им на адрес - может быть это часть ключа или какой-нибудь другой параметр?
Заранее благодарю за информацию от специалистов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ActOfGod, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
ActOfGod
я хочу понять, откуда вывод, что это именно RSA, а не AES к примеру
Сам видел, специалисты вирлаба подтверждают
Сообщение от
ActOfGod
если это действительно RSA, то должен быть открытый ключ или хотя бы параметр n
Пара "открытый-закрытый" генерируется при работе вируса
Сообщение от
ActOfGod
чем является тот 20-значный шестнадцатеричный код, который злоумышленники просят прислать им на адрес
идентификатор компьютера, которому соответствует сгенерированная пара
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
thyrex
Сам видел, специалисты вирлаба подтверждают
А можно подробнее? Где-нибудь топик на вирлабе есть?
Сообщение от
thyrex
Пара "открытый-закрытый" генерируется при работе вируса
То есть перехватить пару можно только запустив вирус в какой-нибудь песочнице и посмотрев на процесс работы?
Просто если это RSA - вряд ли они каждый раз генерируют модуль (n). Его нельзя выбирать случайно, поэтому, скорее всего, он на все заражённые компы один.
Сообщение от
thyrex
идентификатор компьютера, которому соответствует сгенерированная пара
Как работает этот механизм? Если предположить, что они делают разные n и e для каждого заражённого компьютера - то как они определяют, кому принадлежит какой? У злоумышленника должны храниться все ключи, для каждого n, и их соответствие каждому идентификатору компьютера. То есть либо они сгенерированы заранее (все используемые модули разложены на p и q), либо, как я предполагаю, используется один и тот же модуль, что облегчает работу.
Кроме того, для быстрого зашифрования больших файлов (там фильмы по несколько гигов), должно быть, использовалось небольшое e. Или я ошибаюсь? Как быстро работает RSA, есть конкретные цифры: время зашифрования ~ объём данных ~ длина ключа итп? Судя по жалобам пользователей, все файлы зашифровывались достаточно быстро.
-
Сообщение от
ActOfGod
То есть перехватить пару можно только запустив вирус в какой-нибудь песочнице и посмотрев на процесс работы?
Ключи уникальные при каждом запуске. Иначе бы один дешифратор, купленный кем-то, подходил всем пострадавшим
При RSA-шифровании порча файлов идет гораздо быстрее, чем расшифровка
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Но ведь генерация ключей не должна происходить случайно. Есть какие-то подробности, какой алгоритм они используют при выработке p, q и e? И потом, вопрос: если ключи были сгенерированы независимо (непредопределённо) - как злоумышленники получают информацию о них? Вирус отправляет ключи по интернету? Или, быть может, двадцатибайтный код, который жертва присылает с запросом на восстановление 1 файла, содержит что-то большее, чем просто идентификатор компьютера?
Что ещё по этому поводу говорят специалисты вирлаба?
-
Сообщение от
ActOfGod
Вирус отправляет ключи по интернету?
Конечно, вместе с идентификатором
На этом разрешите прекратить общение.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-