Показано с 1 по 7 из 7.

Вирус-шифровальщик .XTBL (заявка № 177892)

  1. #1
    Junior Member Репутация
    Регистрация
    21.02.2015
    Сообщений
    3
    Вес репутации
    34

    Вирус-шифровальщик .XTBL

    Доброго времени суток!

    На другом ноутбуке поймал вирус, ставший крайне популярным за последние пару месяцев. Симптомы Вам должны быть уже до боли знакомы:

    На черном фоне красными буквами написано: "Ваши файлы были зашифрованы.

    Чтобы расшифровать их, Вам необходимо отправить код:...
    на электронный адрес [email protected] или [email protected] .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
    Все файлы стали с длинным непонятным названием с расширением .XTBL.

    Не прошу вылечить компьютер, потому что собираюсь сносить там винду (надоела восьмёрка, давно хотел поставить линукс - видимо этот день настал). Вопрос в другом:

    Можете ли Вы сказать точно, не воскреснет ли вирус после переустановки ОС, например если я захочу вновь поставить Windows?

    И второй вопрос касаемо расшифровки.
    Я понимаю, что Вы ей не занимаетесь. Но на форуме где-то видел утверждение, что файлы зашифрованы RSA. Во-первых, я хочу понять, откуда вывод, что это именно RSA, а не AES к примеру. Во-вторых, если это действительно RSA, то должен быть открытый ключ или хотя бы параметр n. Как его можно найти? И в-третьих, как Вы думаете, чем является тот 20-значный шестнадцатеричный код, который злоумышленники просят прислать им на адрес - может быть это часть ключа или какой-нибудь другой параметр?

    Заранее благодарю за информацию от специалистов.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) ActOfGod, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от ActOfGod Посмотреть сообщение
    я хочу понять, откуда вывод, что это именно RSA, а не AES к примеру
    Сам видел, специалисты вирлаба подтверждают

    Цитата Сообщение от ActOfGod Посмотреть сообщение
    если это действительно RSA, то должен быть открытый ключ или хотя бы параметр n
    Пара "открытый-закрытый" генерируется при работе вируса

    Цитата Сообщение от ActOfGod Посмотреть сообщение
    чем является тот 20-значный шестнадцатеричный код, который злоумышленники просят прислать им на адрес
    идентификатор компьютера, которому соответствует сгенерированная пара
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    21.02.2015
    Сообщений
    3
    Вес репутации
    34
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сам видел, специалисты вирлаба подтверждают
    А можно подробнее? Где-нибудь топик на вирлабе есть?

    Цитата Сообщение от thyrex Посмотреть сообщение
    Пара "открытый-закрытый" генерируется при работе вируса
    То есть перехватить пару можно только запустив вирус в какой-нибудь песочнице и посмотрев на процесс работы?
    Просто если это RSA - вряд ли они каждый раз генерируют модуль (n). Его нельзя выбирать случайно, поэтому, скорее всего, он на все заражённые компы один.

    Цитата Сообщение от thyrex Посмотреть сообщение
    идентификатор компьютера, которому соответствует сгенерированная пара
    Как работает этот механизм? Если предположить, что они делают разные n и e для каждого заражённого компьютера - то как они определяют, кому принадлежит какой? У злоумышленника должны храниться все ключи, для каждого n, и их соответствие каждому идентификатору компьютера. То есть либо они сгенерированы заранее (все используемые модули разложены на p и q), либо, как я предполагаю, используется один и тот же модуль, что облегчает работу.

    Кроме того, для быстрого зашифрования больших файлов (там фильмы по несколько гигов), должно быть, использовалось небольшое e. Или я ошибаюсь? Как быстро работает RSA, есть конкретные цифры: время зашифрования ~ объём данных ~ длина ключа итп? Судя по жалобам пользователей, все файлы зашифровывались достаточно быстро.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от ActOfGod Посмотреть сообщение
    То есть перехватить пару можно только запустив вирус в какой-нибудь песочнице и посмотрев на процесс работы?
    Ключи уникальные при каждом запуске. Иначе бы один дешифратор, купленный кем-то, подходил всем пострадавшим

    При RSA-шифровании порча файлов идет гораздо быстрее, чем расшифровка
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    21.02.2015
    Сообщений
    3
    Вес репутации
    34
    Но ведь генерация ключей не должна происходить случайно. Есть какие-то подробности, какой алгоритм они используют при выработке p, q и e? И потом, вопрос: если ключи были сгенерированы независимо (непредопределённо) - как злоумышленники получают информацию о них? Вирус отправляет ключи по интернету? Или, быть может, двадцатибайтный код, который жертва присылает с запросом на восстановление 1 файла, содержит что-то большее, чем просто идентификатор компьютера?
    Что ещё по этому поводу говорят специалисты вирлаба?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от ActOfGod Посмотреть сообщение
    Вирус отправляет ключи по интернету?
    Конечно, вместе с идентификатором

    На этом разрешите прекратить общение.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 27.02.2015, 20:56
  2. Ответов: 2
    Последнее сообщение: 21.02.2015, 17:44
  3. Ответов: 17
    Последнее сообщение: 09.02.2015, 14:44
  4. ШИФРОВАЛЬЩИК XTBL
    От Дмитрий2002 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 06.02.2015, 18:37
  5. Вирус шифровальщик XTBL
    От LaKosTiK в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 27.01.2015, 15:26

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01184 seconds with 17 queries