Давайте думать вместе.

RSS
Давайте думать вместе.

Вот шифрованный файл: http://s-file.ru/files/phpavuWS6.xtbl (оригинальное имя rd+xai+z6ph4YbvNzCcK+eZgVzSxIHduxYT3k+jHvW8=.xtbl)
Вот дешифрованный: http://s-file.ru/files/php79oPaI.jpg (оригинальное имя CSC_0034.JPG)

Вот - "сигнатура", которая в README.TXT : CF4116649E5FC6B85CAF|0

"Шифровальщики" в течении 3 минут прислали дешифрованный файл.

ЗЫ. Кстати, все имена файлов JPG оканчиваются на =.

PSPS. Кстати, размеры файлов НЕ ОТЛИЧАЮТСЯ.
Изменено: Александр Учватов - 20.02.2015 19:08:31

Ответы

Цитата
Андрей Фидель написал:
p.s Касперский, др.Веб успешно ловят заразу как trojan-ransom.win32.shade.lg,  trojan.encoder 858. Нодом к сожалению не пользуюсь, ибо уж очень жучок у др.веба нравится
encoder.858 - это есть шифратор xtbl. ловить, естественно не значит расшифровать.
РАсшифровки по xtbl нет, за исключением тех, кто контактирует с мошенниками, и выкупает у них ключи для расшифровки.
Ключ формируется на локальном компьютере или на сервере злоумышленников?
Андрей Савченко,Формируется два ключа, первый открытый ключ, который создается на компьютере жертвы и второй закрытый ключ, ключ который создается самим шифратором и сохраняется на сервере злоумышленника. Этот закрытый ключ, тот самый ключ, для дешифрование документов.
Цитата
Андрей Савченко написал:
Ключ формируется на локальном компьютере или на сервере злоумышленников?
тут вопрос конечно.
вполне возможно, что ключевая пара создается на сервере злоумышленников.
(в этом случае отпадает необходимость в затирании ключей на компе жертвы)
предполагаю, что вот эта инфо в readme.txt, которую они запрашивают, является идентификатором ключа

Цитата
Чтобы расшифровать их, Вам необходимо отправить код:
7A3C33E992454A60C54F|25|2|12
или
Цитата
Чтобы расшифровать их, Вам необходимо отправить код:
22F2A3C82C93E5EEC374|0
или
Цитата
Чтобы расшифровать их, Вам необходимо отправить код:
4C2674EF43B70B21C3A7|0
или
Цитата
595B0DA54E6909123123|65|1|1

пример приватного ключа для расшифровки документов

Цитата
-----BEGIN PRIVATE KEY-----
MIIG/QIBADANBgkqhkiG9w0BAQEFAASCBucwggbjAgEAAoIBgQDEIKfIEM1T­c3Ta
8GrsF14R7RU2cV4qURV8c6sAiaV3aA5r/peJCLmBcNCOoU9bsYjJfW1MxLfm­HtKV
9Ba9khSJ2Q72wRPl+3mE7vA6RlqQBPWDtl7gZQvOpHX2d81BkhQEUZzhLHCG­CYER
Nu5+Xo3932A9vp+6jT8Y7aqvnzu572saAyNsiQSBRwRUKCKmxD57+S23SHdp­7Ds1
CSVVvIjZWcrfDXCXQVY2ico3cZgzNsWIe0ys6X9CEv4fNjDn0iRhbG7BHp0p­WxOP
Fn2KRxApGzkYJHTNRPA4VaeryaoxvR+ajgq9shLiAAp+IJUAPWR2ke9Sg04k­arAM
Q08tZYo3LZrovDQOtebeznH9qWukZKnMq1eY9A06Gpr4+WwBXV7XEQt1+tSv­hfwu
L8WZUyJ6TA6DaGAwJMaF+Bgtgw1aP3QN6ZXZ2xl5rb+qZoN0JyEni7ZX/Yj4­yCBO
VO/PLTm7fg3jADeqXt7zfVkAFgjIoolZjLjajM/qhxKyiJPPuXMCAwEAAQKC­AYBw
mPLaWFMY+ur2mxo3ir7V+c+43uMZ1k1Ikrt05pFZeSL2e0aSRLEDkDob+J4v­3T/T
ta+faDzP35g0wNqhYRFrhnMh1P1QhsxgNjEys5tgnYg6YuQbXcemjiKvKl5r­q6rU
Q+qWF8ZOHXy83lWTtUM9ohWFvT/EgTzdWe0pQHiwqbRKTczzjcJJWfUxP42N­QpNA
53CIjhEIfbgMHcESdNf4OKXQ4s1l+Pu++eJfbFbd6C8FyQvfJXqK+45ratgu­7yQ0
MLtG06OCmPU+olAD3kTokmgNkFujEP2XkQW3qyzru6wtUZH6iH3zMk07aYk4­he6n
G1czArLuMz8ynArBjMeUV9mVaPmro9ykb7Zv0W0jgr/UHXtKf98KZC48BieY­X4zc
1lPJCG3el2hz5fYd8mvVtIQQn6CKiujQBlhuRoty3BwwsX/8AMOnl6v97J+Q­/s0Z
w8+88K+Cy3/4EGRStPIfvXMaXDH7KcXQz7Z9Z9LXanESCYv2sgfWTL+VAvbr­uAkC
gcEA67ayazT2Q/H0FkwaiuOeUAOET8Hkjf+wR1e/pA3LN+ptP5y6nTeMhJ67­aFIM
IPy1dxqQiR1m4+8nd0HgYKhjfy8WlNFblhTdoZ0PgCeNkbHVZJwfDmjVZGPH­+QQP
IdzmYEkC2O2DKbyrAptPtssHP153//IJQTO7ogZPRd/Zbar+Y5f6ge0Qt4Si­r6my
AzEPkRThBG00QMiRYN+xCaeSG/LAzd3vw3Msvmuq6epVT8v9f143IuDc0rSc­unqP
jBN9AoHBANUByZe/p8rrZmLBZqnqMv5uROC2mR+bdyUnX+6iezdon4dXIfRN­zkc5
gLAtXUPSRG1DJAnoSB71Rkj0r7ukw87vMCItKds3FtvMWKzgqTFg5M/TL8Ak­/4Xz
E3kYDxRY8BNQBwoQZP7XTkbFy8yo9R7FUtHYpjZW7EsXgoGuEFmjIPGC0MBY­c23N
c+V1EtSFfUHKB27DZEvuM/RVmOPDlDopLNHAgxZkzqaahQ7JR5tW00p2sm6v­czP8
lAtR5oazrwKBwQCUbwpQBJwIEXd6Cxaz2763+F77ssfwu9EQPCvMbXtJjPCb­HGFP
28k7QpIVkYVdyIWlqS7XiZJfexzJNszLUX7GeqqnsGcSTbV7rmIye7Xkx63v­m3jb
JB0tCMDHCU1WL7tLau7GGFt+jvbJv3AlVhkMSLscjBhT3PYNhBerktli/EkS­AoSY
COd8CaRBJoWZCO4amKFSnkpHeYZDENp1j/asbuQHP/lahU7p4vdQMmbixzyt­VnE2
H5Avh9kifUekGCkCgcBRXW9uIe2sW6MukgXvXeDAw8pXtChlpHMspA/HDhXX­IoXd
ovD7a0Uie9qmcY2wvH8a5Yy8pBf4i2SftafzG4sYXtGaHHpinHaE21f8IY0/­qW19
3YPd98QLnMCRfxkzgo2iMu2dcInDtubVrfSdZuTLLkDmm8VR+H4maQKXGrBw­LRoG
ZxvqfV8KUHK28bORrrQcD1ore0OypXj/GjtetXTHirbuIIVyZmtxxJCTB1vt­AIuR
ZCngkfCFqTO75zsRtU0CgcBKODRX7lBFFiDbbRnjW6R5leHjlrSsu2Q4C8Ck­j/7o
b2ng5HEnERZuZINQfiSfdZu0TRJvAw65le736moe6FJq5zw1fvDVvnN9Ig8y­CPCz
rUg6YuFCTC6WZwap9/p/X8f3UCWRYKAjeh18AcPa3TkSIKAqkuQ4Ar9a280L­Pzl7
3DmgSXw8ZB+lKVGGhd24DhqG649d+YedO7f8+oIzJMtQlm+Iqns5ICe8wDdr­DzQw
PDfEA1Nit7T/yHejsniGrA4=
-----END PRIVATE KEY-----
Изменено: santy - 16.05.2015 19:11:17
тестируем EasySync NetArchiver

EasySync NetArchiver will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days. This way if Ransomware gets through other prevention measures, you will always be able to look back the set amount of days from the current date and recover the key that it used to encrypt your files. Logs can also be helpful for figuring out information that happens on your network.

https://www.easysyncsolutions.com/products.html
Т.е. заражаем компьютер еще раз и собираем логи ?
Андрей,
для тестирования шифраторов (а так же программ по детектированию и блокированию шифраторов) используйте виртуальные машины.
Изменено: santy - 18.05.2015 10:28:42
Я думаю если ключ делается относительно конкретной машины, то возможно если заразить ее еще раз и отловить ключ, возможно получиться дешифровать файлы
по xtbl не могу сказать, повторяется ли ключ шифрования на одной и той же машине. (маловероятно, что это так.)

для VAULT ключ будет другой, при каждом новом запуске шифратора на одной и той же машине.
Цитата
santy написал:
по xtbl не могу сказать, повторяется ли ключ шифрования на одной и той же машине. (маловероятно, что это так.)

для VAULT ключ будет другой, при каждом новом запуске шифратора на одной и той же машине.
т.е. пока не поймут алгоритм создания ключей надежды нет.
Читают тему (гостей: 1)