Давайте думать вместе.

RSS

Сообщений: 2

Баллов: 1

Регистрация: 20.02.2015

Размещено 20.02.2015 18:55:36

Давайте думать вместе.

Вот шифрованный файл: http://s-file.ru/files/phpavuWS6.xtbl (оригинальное имя rd+xai+z6ph4YbvNzCcK+eZgVzSxIHduxYT3k+jHvW8=.xtbl)
Вот дешифрованный: http://s-file.ru/files/php79oPaI.jpg (оригинальное имя CSC_0034.JPG)

Вот - "сигнатура", которая в README.TXT : CF4116649E5FC6B85CAF|0

"Шифровальщики" в течении 3 минут прислали дешифрованный файл.

ЗЫ. Кстати, все имена файлов JPG оканчиваются на =.

PSPS. Кстати, размеры файлов НЕ ОТЛИЧАЮТСЯ.

Изменено: Александр Учватов - 20.02.2015 19:08:31

Ответы

Пред. 1 2 3 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.05.2015 20:10:48

Цитата
Андрей Фидель написал: p.s Касперский, др.Веб успешно ловят заразу как trojan-ransom.win32.shade.lg, trojan.encoder 858. Нодом к сожалению не пользуюсь, ибо уж очень жучок у др.веба нравится

encoder.858 - это есть шифратор xtbl. ловить, естественно не значит расшифровать.
РАсшифровки по xtbl нет, за исключением тех, кто контактирует с мошенниками, и выкупает у них ключи для расшифровки.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.05.2015

Размещено 12.05.2015 10:28:41

Ключ формируется на локальном компьютере или на сервере злоумышленников?

Сообщений: 34

Баллов: 17

Регистрация: 23.10.2012

Размещено 12.05.2015 18:22:56

Андрей Савченко,Формируется два ключа, первый открытый ключ, который создается на компьютере жертвы и второй закрытый ключ, ключ который создается самим шифратором и сохраняется на сервере злоумышленника. Этот закрытый ключ, тот самый ключ, для дешифрование документов.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.05.2015 18:25:45

Цитата
Андрей Савченко написал: Ключ формируется на локальном компьютере или на сервере злоумышленников?

тут вопрос конечно.
вполне возможно, что ключевая пара создается на сервере злоумышленников.
(в этом случае отпадает необходимость в затирании ключей на компе жертвы)
предполагаю, что вот эта инфо в readme.txt, которую они запрашивают, является идентификатором ключа

Цитата
Чтобы расшифровать их, Вам необходимо отправить код: 7A3C33E992454A60C54F\|25\|2\|12

или

Цитата
Чтобы расшифровать их, Вам необходимо отправить код: 22F2A3C82C93E5EEC374\|0

или

Цитата
Чтобы расшифровать их, Вам необходимо отправить код: 4C2674EF43B70B21C3A7\|0

или

Цитата
595B0DA54E6909123123\|65\|1\|1

пример приватного ключа для расшифровки документов

Цитата
-----BEGIN PRIVATE KEY----- MIIG/QIBADANBgkqhkiG9w0BAQEFAASCBucwggbjAgEAAoIBgQDEIKfIEM1Tc3Ta 8GrsF14R7RU2cV4qURV8c6sAiaV3aA5r/peJCLmBcNCOoU9bsYjJfW1MxLfmHtKV 9Ba9khSJ2Q72wRPl+3mE7vA6RlqQBPWDtl7gZQvOpHX2d81BkhQEUZzhLHCGCYER Nu5+Xo3932A9vp+6jT8Y7aqvnzu572saAyNsiQSBRwRUKCKmxD57+S23SHdp7Ds1 CSVVvIjZWcrfDXCXQVY2ico3cZgzNsWIe0ys6X9CEv4fNjDn0iRhbG7BHp0pWxOP Fn2KRxApGzkYJHTNRPA4VaeryaoxvR+ajgq9shLiAAp+IJUAPWR2ke9Sg04karAM Q08tZYo3LZrovDQOtebeznH9qWukZKnMq1eY9A06Gpr4+WwBXV7XEQt1+tSvhfwu L8WZUyJ6TA6DaGAwJMaF+Bgtgw1aP3QN6ZXZ2xl5rb+qZoN0JyEni7ZX/Yj4yCBO VO/PLTm7fg3jADeqXt7zfVkAFgjIoolZjLjajM/qhxKyiJPPuXMCAwEAAQKCAYBw mPLaWFMY+ur2mxo3ir7V+c+43uMZ1k1Ikrt05pFZeSL2e0aSRLEDkDob+J4v3T/T ta+faDzP35g0wNqhYRFrhnMh1P1QhsxgNjEys5tgnYg6YuQbXcemjiKvKl5rq6rU Q+qWF8ZOHXy83lWTtUM9ohWFvT/EgTzdWe0pQHiwqbRKTczzjcJJWfUxP42NQpNA 53CIjhEIfbgMHcESdNf4OKXQ4s1l+Pu++eJfbFbd6C8FyQvfJXqK+45ratgu7yQ0 MLtG06OCmPU+olAD3kTokmgNkFujEP2XkQW3qyzru6wtUZH6iH3zMk07aYk4he6n G1czArLuMz8ynArBjMeUV9mVaPmro9ykb7Zv0W0jgr/UHXtKf98KZC48BieYX4zc 1lPJCG3el2hz5fYd8mvVtIQQn6CKiujQBlhuRoty3BwwsX/8AMOnl6v97J+Q/s0Z w8+88K+Cy3/4EGRStPIfvXMaXDH7KcXQz7Z9Z9LXanESCYv2sgfWTL+VAvbruAkC gcEA67ayazT2Q/H0FkwaiuOeUAOET8Hkjf+wR1e/pA3LN+ptP5y6nTeMhJ67aFIM IPy1dxqQiR1m4+8nd0HgYKhjfy8WlNFblhTdoZ0PgCeNkbHVZJwfDmjVZGPH+QQP IdzmYEkC2O2DKbyrAptPtssHP153//IJQTO7ogZPRd/Zbar+Y5f6ge0Qt4Sir6my AzEPkRThBG00QMiRYN+xCaeSG/LAzd3vw3Msvmuq6epVT8v9f143IuDc0rScunqP jBN9AoHBANUByZe/p8rrZmLBZqnqMv5uROC2mR+bdyUnX+6iezdon4dXIfRNzkc5 gLAtXUPSRG1DJAnoSB71Rkj0r7ukw87vMCItKds3FtvMWKzgqTFg5M/TL8Ak/4Xz E3kYDxRY8BNQBwoQZP7XTkbFy8yo9R7FUtHYpjZW7EsXgoGuEFmjIPGC0MBYc23N c+V1EtSFfUHKB27DZEvuM/RVmOPDlDopLNHAgxZkzqaahQ7JR5tW00p2sm6vczP8 lAtR5oazrwKBwQCUbwpQBJwIEXd6Cxaz2763+F77ssfwu9EQPCvMbXtJjPCbHGFP 28k7QpIVkYVdyIWlqS7XiZJfexzJNszLUX7GeqqnsGcSTbV7rmIye7Xkx63vm3jb JB0tCMDHCU1WL7tLau7GGFt+jvbJv3AlVhkMSLscjBhT3PYNhBerktli/EkSAoSY COd8CaRBJoWZCO4amKFSnkpHeYZDENp1j/asbuQHP/lahU7p4vdQMmbixzytVnE2 H5Avh9kifUekGCkCgcBRXW9uIe2sW6MukgXvXeDAw8pXtChlpHMspA/HDhXXIoXd ovD7a0Uie9qmcY2wvH8a5Yy8pBf4i2SftafzG4sYXtGaHHpinHaE21f8IY0/qW19 3YPd98QLnMCRfxkzgo2iMu2dcInDtubVrfSdZuTLLkDmm8VR+H4maQKXGrBwLRoG ZxvqfV8KUHK28bORrrQcD1ore0OypXj/GjtetXTHirbuIIVyZmtxxJCTB1vtAIuR ZCngkfCFqTO75zsRtU0CgcBKODRX7lBFFiDbbRnjW6R5leHjlrSsu2Q4C8Ckj/7o b2ng5HEnERZuZINQfiSfdZu0TRJvAw65le736moe6FJq5zw1fvDVvnN9Ig8yCPCz rUg6YuFCTC6WZwap9/p/X8f3UCWRYKAjeh18AcPa3TkSIKAqkuQ4Ar9a280LPzl7 3DmgSXw8ZB+lKVGGhd24DhqG649d+YedO7f8+oIzJMtQlm+Iqns5ICe8wDdrDzQw PDfEA1Nit7T/yHejsniGrA4= -----END PRIVATE KEY-----

Цитата

Изменено: santy - 16.05.2015 19:11:17

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.05.2015 10:43:01

тестируем EasySync NetArchiver

EasySync NetArchiver will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days. This way if Ransomware gets through other prevention measures, you will always be able to look back the set amount of days from the current date and recover the key that it used to encrypt your files. Logs can also be helpful for figuring out information that happens on your network.

https://www.easysyncsolutions.com/products.html

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.05.2015

Размещено 18.05.2015 09:32:32

Т.е. заражаем компьютер еще раз и собираем логи ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.05.2015 10:27:55

Андрей,
для тестирования шифраторов (а так же программ по детектированию и блокированию шифраторов) используйте виртуальные машины.

Изменено: santy - 18.05.2015 10:28:42

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.05.2015

Размещено 18.05.2015 11:03:04

Я думаю если ключ делается относительно конкретной машины, то возможно если заразить ее еще раз и отловить ключ, возможно получиться дешифровать файлы

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.05.2015 11:14:49

по xtbl не могу сказать, повторяется ли ключ шифрования на одной и той же машине. (маловероятно, что это так.)

для VAULT ключ будет другой, при каждом новом запуске шифратора на одной и той же машине.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.05.2015

Размещено 18.05.2015 11:35:40

Цитата
santy написал: по xtbl не могу сказать, повторяется ли ключ шифрования на одной и той же машине. (маловероятно, что это так.) для VAULT ключ будет другой, при каждом новом запуске шифратора на одной и той же машине.

т.е. пока не поймут алгоритм создания ключей надежды нет.

Пред. 1 2 3 След.