Давайте думать вместе.

Давайте думать вместе.

Вот шифрованный файл: http://s-file.ru/files/phpavuWS6.xtbl (оригинальное имя rd+xai+z6ph4YbvNzCcK+eZgVzSxIHduxYT3k+jHvW8=.xtbl)
Вот дешифрованный: http://s-file.ru/files/php79oPaI.jpg (оригинальное имя CSC_0034.JPG)

Вот - "сигнатура", которая в README.TXT : CF4116649E5FC6B85CAF|0

"Шифровальщики" в течении 3 минут прислали дешифрованный файл.

ЗЫ. Кстати, все имена файлов JPG оканчиваются на =.

PSPS. Кстати, размеры файлов НЕ ОТЛИЧАЮТСЯ.
Изменено: Александр Учватов - 20.02.2015 19:08:31
Ну правильно. У народа пропадают данные, фотки и прочая инфа - все во флуд. А вдруг кто решение проблемы найдет, да еще и другим расскажет.
Изменено: Александр Учватов - 20.02.2015 19:33:37
эта не флуд, это темы для разговоров долгоиграющих.
а темы "шифрование файлов", "обнаружение вирусов" - это темы для решения проблем конкретного пользователя.
кстати не все зашифрованные файлы xtbl заканчиваются на =
пример:
xtbl\doc_uvs\SDlTIxdHKsJXTOk3DC7vP0Sp8-Me-ucZ+8ebt-1BYBlYgONJhxVlmA4qFzgjm517.xtbl
и размер между зашифрованным файлом и чистым не совпадает
К сожалению, пока расшифровщика нету. Там вроде как алгоритм шифровки RSA, который на данный момент является одним из самых стойких против анализа. На данный момент это массовое явление. Достаточно погуглить ".xtbl". ESET определяет как Win32/Filecoder.ED каспер Trojan-Ransom.Win32.Shade др.веб Trojan.Encoder.858. На вашем месте записал бы все важные шифрованные данные на диск и подождал бы несколько месяцев. Этот шифратор стал активным начиная с января этого года. Может в будущем появится расшифровщик. А если нет решать вам - стоит ли та информация тех денег, которые за нее хотят получить вымогатели.

На будущее: никогда не храните на жестких дисках важную информацию - фото / видео и т.д. Сливайте на оптические носители информации. Там им никакие шифровальщики не страшны будут. У меня есть правило: накопилось личного фото / видеоматериала на 4,5 Гб, сразу записал на диск и удалил. И даже если вдруг пропущу шифровальщик на свою машину - пусть себе шифрует на здоровье, ценного то все ровно ничего нету.  
Видеоуроки по безопасности от спецов-аналитиков:

Trojan-Ransom.Gpcode (Shade)/Encoder:
Самый страшный вирус в наши дни. Потеря ценных данных в *.xtbl

http://www.youtube.com/watch?v=Ld4xxC1EE_w

Осторожно!
Троянцы - шифровальщики: Trojan-Ransom.BAT.Scatter.s

http://www.youtube.com/watch?v=P2xFgIIR0DU

Virus.Win32.Neshta.a - Изучение файлового вируса
http://www.youtube.com/watch?v=Sx1vYgleV5A

Trojan.Win32.KillWin - Изучение и
лечение троянского ПО

http://www.youtube.com/watch?v=nyOhZBx36cE
Изменено: Антон Копёнкин - 14.03.2015 08:33:20
Gaudeamus!
а что вы думаете по поводу компании, которая предлагает расшифровку для xtbl, vault?
   Есть мысли на этот счет:
Значит заразился очень важный для меня ПК, беэкапов не делал, благо базу 1с случайно выгрузил один из пользователей.
Все файлы в труху, базу восстановил, работу компании продолжилась, сижу разбираю этот вирус, не оставил ни следов, ни текстовиков. Тело вируса было аккуратно перенесено на флешку, а пользователь запустивший вирус наказан.
  ПО делу:
Вирус шифрует стойким алгоритом RSA, причем генерирует для каждого заражения свой уникальный ключ, а именно по железу, отправляет его на свой сервер, и в ответ получает ключ закрытый по которому  и производится шифрация данных. Открытый ключ скатина хранит у себя на сервере. В данный момент запустил вирус на стареньком ноуте, пытаюсь отследить запросы на сервер. По мере возможности буду отписывать сюда, думаю уважаемые коллеги Админы, вместе сможем чего и откопать. Естественно универсального лекарства никто не сделает так как каждое заражение уникальное, нужно написать подробный гайд по расшифровке. Пишите будем думать вместе

p.s Касперский, др.Веб успешно ловят заразу как trojan-ransom.win32.shade.lg,  trojan.encoder 858. Нодом к сожалению не пользуюсь, ибо уж очень жучок у др.веба нравится
Изменено: Андрей Фидель - 17.04.2015 12:56:41 (забыл написать про антивирусы)
Получается кто-то может расшифровывать эти файлы, а гиганты антивирусы в кусты http://vk.com/topic-12939578_31848436
За расшифровку просят от 10000 т.р. кидал им несколько файлов, расшифровали самый маленький и запросили деньги.
Либо это и есть те самые мошенники, либо в компаниях антивирусного ПО работают дилетанты, либо они все в сговоре.
Андрей Савченко
времонте812 рекламирует себя где только может, в том числе и здесь на форумах антивирусных компаний.

Цитата
Внимание! Буквально месяц назад появился новый вирус - шифровальщик. Xtbl, vault, cbf,com . Данный вирус шифрует все файлы в формат xtbl и vault, cbf. После чего вымогатели просят через их сайт перевести деньги на Bitcoin. После оплаты ничего не происходит, дешифратора они не высылают - лохотрон. Программисты наших партнеров ООО "Ай ТИ Стандарт" разработали дешифратор к данному вирусу. Для расшифровки им понадобится VAULT.KEY, оставленный вирусом на вашем компьютере. Теперь вам не надо платить мошенникам и безрезультатно ждать в ответ дешифратора. Если файлы на вашем компьютере зашифрованы в формате xtbl, vault - смело звоните...

Опасен вирус xtbl, vault еще тем, что, если в срок отведенный хакерами не вылечить вирус, он удалит все ваши файлы и "сломает" систему. Написанием дешифраторов занимаются наши партнеры ООО "АЙ ТИ Стандарт".

во первых шифровальщик bat-encoder появился не месяц, а год назад. за это время практически не было случаев расшифровки документов, за исключением случаев, когда пользователю удалось восстановить секретный ключ шифрования secring.gpg/
или выкупить ключ у злоумышленников.
----------
во вторых, ключ VAULT.key "эти специалисты" берут и банально выкупают secring.gpg (если проплатит клиент) у злоумышленников. вот и вся технология.

в третьих, дешифратор файлов написать - нет проблемы. но без ключа шифрования он бесполезен.
Изменено: santy - 08.05.2015 19:53:48
Читают тему (гостей: 3)