Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

Давайте думать вместе.

1 2 3 След.
RSS
 
Александр Учватов
Александр Учватов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.02.2015
Размещено 20.02.2015 18:55:36
Давайте думать вместе.

Вот шифрованный файл: http://s-file.ru/files/phpavuWS6.xtbl (оригинальное имя rd+xai+z6ph4YbvNzCcK+eZgVzSxIHduxYT3k+jHvW8=.xtbl)
Вот дешифрованный: http://s-file.ru/files/php79oPaI.jpg (оригинальное имя CSC_0034.JPG)

Вот - "сигнатура", которая в README.TXT : CF4116649E5FC6B85CAF|0

"Шифровальщики" в течении 3 минут прислали дешифрованный файл.

ЗЫ. Кстати, все имена файлов JPG оканчиваются на =.

PSPS. Кстати, размеры файлов НЕ ОТЛИЧАЮТСЯ.
Изменено: Александр Учватов - 20.02.2015 19:08:31
 
Александр Учватов
Александр Учватов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.02.2015
Размещено 20.02.2015 19:33:01
Ну правильно. У народа пропадают данные, фотки и прочая инфа - все во флуд. А вдруг кто решение проблемы найдет, да еще и другим расскажет.
Изменено: Александр Учватов - 20.02.2015 19:33:37
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.02.2015 19:43:28
эта не флуд, это темы для разговоров долгоиграющих.
а темы "шифрование файлов", "обнаружение вирусов" - это темы для решения проблем конкретного пользователя.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.02.2015 19:49:03
кстати не все зашифрованные файлы xtbl заканчиваются на =
пример:
xtbl\doc_uvs\SDlTIxdHKsJXTOk3DC7vP0Sp8-Me-ucZ+8ebt-1BYBlYgONJhxVlmA4qFzgjm517.xtbl
и размер между зашифрованным файлом и чистым не совпадает
[ Как создать образ автозапуска? ]
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 28.02.2015 02:35:05
К сожалению, пока расшифровщика нету. Там вроде как алгоритм шифровки RSA, который на данный момент является одним из самых стойких против анализа. На данный момент это массовое явление. Достаточно погуглить ".xtbl". ESET определяет как Win32/Filecoder.ED каспер Trojan-Ransom.Win32.Shade др.веб Trojan.Encoder.858. На вашем месте записал бы все важные шифрованные данные на диск и подождал бы несколько месяцев. Этот шифратор стал активным начиная с января этого года. Может в будущем появится расшифровщик. А если нет решать вам - стоит ли та информация тех денег, которые за нее хотят получить вымогатели.

На будущее: никогда не храните на жестких дисках важную информацию - фото / видео и т.д. Сливайте на оптические носители информации. Там им никакие шифровальщики не страшны будут. У меня есть правило: накопилось личного фото / видеоматериала на 4,5 Гб, сразу записал на диск и удалил. И даже если вдруг пропущу шифровальщик на свою машину - пусть себе шифрует на здоровье, ценного то все ровно ничего нету.  
 
Антон Копёнкин
Антон Копёнкин
Пользователь
Сообщений: 305
Баллов: 244
Регистрация: 03.11.2010
Размещено 13.03.2015 22:36:53
Видеоуроки по безопасности от спецов-аналитиков:

Trojan-Ransom.Gpcode (Shade)/Encoder:
Самый страшный вирус в наши дни. Потеря ценных данных в *.xtbl
http://www.youtube.com/watch?v=Ld4xxC1EE_w

Осторожно!
Троянцы - шифровальщики: Trojan-Ransom.BAT.Scatter.s
http://www.youtube.com/watch?v=P2xFgIIR0DU

Virus.Win32.Neshta.a - Изучение файлового вируса
http://www.youtube.com/watch?v=Sx1vYgleV5A

Trojan.Win32.KillWin - Изучение и
лечение троянского ПО
http://www.youtube.com/watch?v=nyOhZBx36cE
Изменено: Антон Копёнкин - 14.03.2015 08:33:20
Gaudeamus!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.03.2015 09:41:31
а что вы думаете по поводу компании, которая предлагает расшифровку для xtbl, vault?
[ Как создать образ автозапуска? ]
 
Андрей Фидель
Андрей Фидель
Пользователь
Сообщений: 1
Регистрация: 17.04.2015
Размещено 17.04.2015 12:52:56
   Есть мысли на этот счет:
Значит заразился очень важный для меня ПК, беэкапов не делал, благо базу 1с случайно выгрузил один из пользователей.
Все файлы в труху, базу восстановил, работу компании продолжилась, сижу разбираю этот вирус, не оставил ни следов, ни текстовиков. Тело вируса было аккуратно перенесено на флешку, а пользователь запустивший вирус наказан.
  ПО делу:
Вирус шифрует стойким алгоритом RSA, причем генерирует для каждого заражения свой уникальный ключ, а именно по железу, отправляет его на свой сервер, и в ответ получает ключ закрытый по которому  и производится шифрация данных. Открытый ключ скатина хранит у себя на сервере. В данный момент запустил вирус на стареньком ноуте, пытаюсь отследить запросы на сервер. По мере возможности буду отписывать сюда, думаю уважаемые коллеги Админы, вместе сможем чего и откопать. Естественно универсального лекарства никто не сделает так как каждое заражение уникальное, нужно написать подробный гайд по расшифровке. Пишите будем думать вместе

p.s Касперский, др.Веб успешно ловят заразу как trojan-ransom.win32.shade.lg,  trojan.encoder 858. Нодом к сожалению не пользуюсь, ибо уж очень жучок у др.веба нравится
Изменено: Андрей Фидель - 17.04.2015 12:56:41 (забыл написать про антивирусы)
 
Андрей Савченко
Андрей Савченко
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.05.2015
Размещено 07.05.2015 17:14:16
Получается кто-то может расшифровывать эти файлы, а гиганты антивирусы в кусты http://vk.com/topic-12939578_31848436
За расшифровку просят от 10000 т.р. кидал им несколько файлов, расшифровали самый маленький и запросили деньги.
Либо это и есть те самые мошенники, либо в компаниях антивирусного ПО работают дилетанты, либо они все в сговоре.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.05.2015 19:53:00
Андрей Савченко
времонте812 рекламирует себя где только может, в том числе и здесь на форумах антивирусных компаний.

Цитата
Внимание! Буквально месяц назад появился новый вирус - шифровальщик. Xtbl, vault, cbf,com . Данный вирус шифрует все файлы в формат xtbl и vault, cbf. После чего вымогатели просят через их сайт перевести деньги на Bitcoin. После оплаты ничего не происходит, дешифратора они не высылают - лохотрон. Программисты наших партнеров ООО "Ай ТИ Стандарт" разработали дешифратор к данному вирусу. Для расшифровки им понадобится VAULT.KEY, оставленный вирусом на вашем компьютере. Теперь вам не надо платить мошенникам и безрезультатно ждать в ответ дешифратора. Если файлы на вашем компьютере зашифрованы в формате xtbl, vault - смело звоните...

Опасен вирус xtbl, vault еще тем, что, если в срок отведенный хакерами не вылечить вирус, он удалит все ваши файлы и "сломает" систему. Написанием дешифраторов занимаются наши партнеры ООО "АЙ ТИ Стандарт".

во первых шифровальщик bat-encoder появился не месяц, а год назад. за это время практически не было случаев расшифровки документов, за исключением случаев, когда пользователю удалось восстановить секретный ключ шифрования secring.gpg/
или выкупить ключ у злоумышленников.
----------
во вторых, ключ VAULT.key "эти специалисты" берут и банально выкупают secring.gpg (если проплатит клиент) у злоумышленников. вот и вся технология.

в третьих, дешифратор файлов написать - нет проблемы. но без ключа шифрования он бесполезен.
Изменено: santy - 08.05.2015 19:53:48
[ Как создать образ автозапуска? ]
 
1 2 3 След.
Читают тему