На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
  
> CTB-Locker - нужна помощь в расшифровке файлов... , Необходима платная помощь...
    Здравствуйте.

    Подскажите, пожалуйста, сможете ли кто расшифровать файлы, зашифрованные CTB-Locker?

    Были заменены расширения, но после изменения расширения на нормальное, всё равно файлы остались зашифрованными. Например:


    Документ 10.DOC.xungdze
    Картинка 34.JPG.xungdze
    Книга 65.PDF.xungdze
    Моя таблица 41.XLS.xungdze

    Возьмётесь за такое? Естественно не бесплатно.

    Спасибо.
      Шифрование файла жертвы - AES с 256-битным ключом, индивидуальным для каждого файла
        Нереально.
          Цитата shm @
          Нереально.

          ну разве что заплатить авторам вирусни, хотя риск того что они прокидают очень велик.... (там еще и время смотрю отсчитывают :o )... но по другому наверно никак :-?

          а так на будущее делать бэкапы важных данных :yes:
          Сообщение отредактировано: Besha -
            Цитата Besha @
            хотя риск того что они прокидают очень велик

            Риск того, что их поделка безвозвратно запорола все данные еще выше.
              Очень жаль... Может, уже дети расшифруют свои детские фотографии за 10 лет... :)
                Цитата leo @
                AES с 256-битным ключом, индивидуальным для каждого файла

                ECDH – Elliptic curve Diffie–Hellman вообщето
                  Полная инфа по CTB-Locker - http://www.bleepingcomputer.com/virus-remo...are-information

                  Сайты типа этого - развод - не помогает - http://soft2secure.com/knowledgebase/ctb-locker
                    Цитата ^D^ima @
                    ECDH – Elliptic curve Diffie–Hellman вообщето

                    Судя по приведенной ссылке, ECDH используется для генерации\восстановления ключей, а файлы шифруются AES с 256-битным ключом (SHA-256 от ключа session-shared, вычисляемого через ECDH).
                      Если можно, в двух словах, но попонятнее... :)
                      Шансы есть в будущем? Хотя бы у внуков? :(
                        Цитата Язычник @
                        Шансы есть в будущем? Хотя бы у внуков?

                        :no-sad:
                        на эльбрусах точно нет
                          А где это?
                          Сообщение отредактировано: Язычник -
                            Цитата Язычник @
                            А где это?

                            не где, а что)))
                            эльбрус это такой Российский комп :D в свете происходящих событий, неизвестно будут ли у ваших внуков другие никто не знает)))

                            Добавлено
                            попробуйте, просканируйте прогой по восстановлению удаленных файлов винт, может найдутся незашифрованные копии :)
                            например Recovery studio
                            Сообщение отредактировано: Besha -
                              Уже пробовал. Рабочие документы поднимаю с разных флешек. Но фоток гигабайты за предидущие годы. Копировал на случай глюка одного жёсткого на разные жесткие, и все были включены тогда и заразились за ночь...
                              Сообщение отредактировано: Язычник -
                                Статейки с более детальным описанием (by zairon, February 2015):
                                CTB-Locker encryption/decryption scheme in details
                                CTB-Locker: files decryption demonstration feature
                                Сообщение отредактировано: leo -
                                  А я сегодня тоже поймал эту заразу, но справился с ней. Странно, что везде пишут, что зараженные файлы восстановить невозможно. В два клика всё прекрасно лечится. Язычник, если твоя проблема еще актуальна - пиши в личку, помогу.

                                  Добавлено
                                  Цитата shm @

                                  реально, более того, элементарно. Главное систему не трогать. А то некоторые жертвы зараженные файлы на флешки позаписывали, а винду переустановили. Вот таким беднягам уже точно мало что может помочь.
                                    Цитата Snake.Underwood @
                                    реально, более того, элементарно.

                                    Нереально - расшифровать файлы, не имея ключа (если речь идет именно о CTB-Locker, а не о чем-то внешне похожем на него).
                                    Восстановить исходные файлы - "реально, более того, элементарно" при определенных условиях.
                                      Согласен, расшифровать CTB-Locker без ключа - нереально. Но расшифровывать и незачем. Пострадавшим нужен результат - получение своей информации в первозданном виде, а не криптографическая победа над зверем. А результат этот можно получить в 2 простых действия:
                                      1) После того как убит сам вирус и его загрузчик (об этом много информации в сети, это несложно найти), переименовываем в проводнике файл, удаляя в названии всё, что правее точки и вместо этого возвращая родное расширение. Например, пострадавший файл "фотка.JPG.eruihyi" переименовываем в "фотка.jpg" Появляется окно "Переименование" с надписью: "После изменения расширения этот файл может оказаться недоступным. Выполнить изменения?" Говорим - да. Иконка файла приобретает знакомый вид, но сам файл пока еще не открывается.

                                      2)Жмем правой клавишей на файл, выбираем в меню "восстановить прежнюю версию". Появляется список из как минимум одной версии файла до заражения. В этом же окне ниже есть 5 кнопок : "Открыть" "Копировать" "Восстановить" "ОК" и "Отмена" . Выбираем "Восстановить". Появляется надпись "Файл был успешно восстановлен до предыдущего состояния" и кнопка "ОК" . Клацаем, открываем файл, радуемся и бросаем в воздух чепчики :)) Повторяем процедуру с остальными зараженными файлами.
                                      Так процесс выглядит если установлена любая версия Windows7. В Windows8 функция восстановления предыдущих версий файлов реализована несколько иначе (гугл в помощь), но алгоритм процедуры лечения тот же. В более ранних версия винды типа Висты и ХР - сложнее, там такой функции не было, а было некое подобие "копирование теневого тома". Вероятно, потанцевать с бубном придется дольше, не знаю, не пробовал. (у меня эта беда на 7-ке приключилась и мне было намного проще).
                                      Теперь об условиях. Данный метод работает, только если вы не убивали свою систему, не форматировали винчестер и никуда не переносили зараженные файлы. Т.е. на флешке или даже в другой папке компа, файл не восстановится таким способом. А вот, например, если зайти с другого компа на пострадавший компьютер по сети и проделать вышеописанное, никуда при этом не перемещая зараженные файлы, - то всё тоже будет ок.

                                      Странно другое, в сети сотни криков о помощи от пострадавших пользователей. Десятки форумов с одним и тем же вопросом. Многие в отчаянии платят большие деньги вымогателям, при этом их частенько кидают. Но никто из авторитетных вирусологов типа Касперского или Dr.Web не смог, а скорее не захотел, разобраться с проблемой, которая на самом деле решается настолько просто, что даже смешно это расписывать в подробностях. Люди стали какие-то черствые ((.
                                        Snake.Underwood, да кэп, все так.
                                          Спасибо. :good:

                                          Завтра утром попробую, на свежую голову.

                                          За успех выпью сегодня!
                                            Цитата Snake.Underwood @
                                            Странно другое ...

                                            Странно, что ты не знаешь о том, что
                                            1) Этот метод восстановления файлов (из теневой копии) упоминается практически во всех описаниях локера, гуляющих по инету. В частности - в приведенной в #8 ссылке (правда по англицки). Поэтому не знать об этом способе может только ленивый или невнимательный
                                            2) Однако там же упоминается, что новые версии локера пытаются удалять все теневые копии, но это "не всегда получается". Видимо у тебя как раз тот счастливый случай, когда локеру по какой-то причине не удалось удалить теневую копию
                                            Сообщение отредактировано: leo -
                                              Цитата Snake.Underwood @
                                              ХР - сложнее, там такой функции не было, а было некое подобие "копирование теневого тома". Вероятно, потанцевать с бубном придется дольше, не знаю, не пробовал.


                                              У меня XP. Нет такой функции...

                                              Вопрос может быть решён только через интернет путём подключения к моему ПК с другой машины с предустановленной Windows 7 ?

                                              И ещё вопрос - нужно с каждым файлом работать отдельно или возможно пакетное "лечение" ?

                                              Спасибо.
                                                Цитата Язычник @
                                                У меня XP. Нет такой функции...

                                                Если XP SP 2 и выше, то почитай следующий пункт по вышеприведенной ссылке: Using Shadow Explorer. Скачай free-версию по ссылке в статье и посмотри, может тебе тоже повезло
                                                PS: Пардон(ьте), похоже на XP это не сработает. Вроде как поддержка теневого копирования в XP SP2 заложена, но не активирована (используется только для создания точек восстановления системы). По крайней мере в описании ShadowExplorer говориться только о висте и выше

                                                Добавлено
                                                Цитата Язычник @
                                                И ещё вопрос - нужно с каждым файлом работать отдельно или возможно пакетное "лечение" ?

                                                Вроде как, можно папки целиком восстанавливать

                                                Добавлено
                                                Цитата Язычник @
                                                Вопрос может быть решён только через интернет путём подключения к моему ПК с другой машины с предустановленной Windows 7 ?

                                                Если теневое копирование не было задействовано, то и восстанавливать нечего\неоткуда
                                                Сообщение отредактировано: leo -
                                                  Цитата Snake.Underwood @
                                                  реально, более того, элементарно.

                                                  Клиника. О какой расшифровке идет речь, если есть резервные копии файла? Не важно сделаны ли они средствами ОС или ручками. Другое дело, что они есть далеко не всегда. И с 99% вероятностью это случай Язычник. Более того, с попыток извлечения теневой копии начинается любая инструкция по восстановлению данных, как верно подметил leo.
                                                  Сообщение отредактировано: shm -
                                                    Всем добрый день. Хочу обновить и продолжить текущею тему.
                                                    На днях мной был схвачен этот вирус, как и у всех заразил все .txt, .doc, .jpg документы и не как их не открыть, зашифрованы. Проведя ряд операций по зачистке остатков этого вируса я нашел интересные дамп файлы со скриншотом вируса, при расширении .bmp и .txt который защищен от редактирования и открытия, в каждой папке где были текстовые файлы либо картинки. Сразу стал заметен прогресс. Раньше при переименовании файла (работал с картинками) а именно просто удаления в названии приставки вируса .sdlagki ничего толком не менялось, картинка оставалась не распознанная. Теперь вот что - в проводнике с видом "эскизы страниц" стало видно содержимое картинке, НО открыть ее так и не получается. Я в тупике и не знаю что делать дальше, может кто то подскажет. :wall: Вот прилагаю фотографию с которой работаю.
                                                    Еще раз уточню, у меня XP и на эскизах я вижу что на фотографии но открыть не могу. С текстовыми файлами прогресса нет, так и зашифрованны.
                                                    Прикреплённый файлПрикреплённый файл304_292.JPG (7,41 Кбайт, скачиваний: 1479)

                                                    Добавлено
                                                    еще есть такая тема, когда вставляю в текстовый редактор (ворд) это картинку мне выдает "не найден фильтр изображения".
                                                    Сообщение отредактировано: Mafuseil -
                                                      Цитата Mafuseil @
                                                      когда вставляю в текстовый редактор (ворд) это
                                                      Это не файл JPG, и не файл картинки вообще, потому и
                                                      Цитата Mafuseil @
                                                      "не найден фильтр изображения"


                                                      В проводнике, скорее всего, захешированные ранее (пока ещё вирус был активен) картинки показываются. Дата, время. размер не менялись, поэтому проводник не лезет в сам файл, а пользуется старой "маркой"

                                                      Добавлено
                                                      Цитата Mafuseil @
                                                      Проведя ряд операций по зачистке остатков этого вируса
                                                      А это, возможно, вообще ставит крест на возможностях восстановления.
                                                        Понял. Тогда такой вопрос, если остались не тронуты вирусом "марки" которыми пользуется проводник, возможно ли как то их найти и с них восстановит сами файлы?
                                                          Упомянутая марка, это изображение размером примерно 100х100 пикселей, хранящееся в архиве под названием thumbs.up в папке рядом с графическими файлами. Формат этого архива я не знаю, сразу отключаю их показ, поскольку проводником из-за его никакой функциональности практически не пользуюсь.

                                                          Кстати, одним из вариантов борьбы с разрушениями, нанесёнными такими вирусами в прошлом была упаковка файлов в архив, пока вирус работает, и распаковка после его удаления. Правда надо защищать сам архив.
                                                          Поэтому, кстати, работает "восстановление из копии", если таковая есть. При резервном копировании файлы архивируются, и вирус не может их повредить.

                                                          Чтобы разобраться с алгоритмом шифрования необходимо иметь несколько пар - исходный файл/повреждённый файл. И чем больше, тем лучше. Или текст программы, осуществляющей шифрование.
                                                            Цитата amk @
                                                            Чтобы разобраться с алгоритмом шифрования необходимо иметь несколько пар - исходный файл/повреждённый файл. И чем больше, тем лучше. Или текст программы, осуществляющей шифрование

                                                            Алгоритм шифрования известен, структура зашифрованного файла тоже. Но для серьезного криптостойкого алгоритма (ECDH + AES-256 с индивидуальным ключом для каждого файла) это ничего не дает...
                                                              Не забудь потом выкинуть винду на помойку и установить нормальную систему, где нет подобного идиотизма с вирусами.
                                                                Цитата Идеал @
                                                                Не забудь потом выкинуть винду на помойку и установить нормальную систему, где нет подобного идиотизма с вирусами.

                                                                Есть такая категория пользователей, которые на линь умудрятся зловредов наставить.
                                                                  ...а есть, что на винде чувствуют себя в лине.
                                                                    Цитата Идеал @
                                                                    Не забудь потом выкинуть винду на помойку и установить нормальную систему, где нет подобного идиотизма с вирусами.

                                                                    Если твоя "нормальная система" будет установлена на > 90% компьютеров, как винда сейчас, поверь, там будет все то же самое с вирусами. Винда - нормальная система в умелых руках.
                                                                      Вообще-то я не о Linux написал, хотя, и его тоже можно использовать не плохо.
                                                                        BSD?
                                                                        Mac?
                                                                        Solaris?
                                                                        ReactOS?
                                                                        DOS?
                                                                          та вроди СТБ уже взломан и не актуален. сейчас будет бум вымогательского троянца по имени CryptXXX , очень важно тепереча фильтровать стриминг-видео. не совсем понял схему, но вроди зараза активируется, когда видео типа прерывается, и люди тыкают шо попало, лишь бы продолжить. Как говорится, можем повторить, но ни фига н смешно, потому что клик - и шифровальщик на базе, плати 500 баксов, или файлы гудбай америка. http://nаbzsоftwаrе.cоm/types-оf-thrеаts/crypt-file
                                                                          Сообщение отредактировано: purpe -
                                                                            Цитата Язычник @
                                                                            Шансы есть в будущем? Хотя бы у внуков?

                                                                            Вполне. Толковые гражданские дешифраторы(с более-менее широкими возможностями) появятся в течении ~10-15 лет.
                                                                            Сообщение отредактировано: Руслан -
                                                                              Цитата Птеродятел @
                                                                              та вроди СТБ уже взломан и не актуален.

                                                                              Ну хорошо. А кто что скажет по-поводу обычных текстовых файлов? если СТБ-локер взломан, кто-то может посоветовать дешефратор фалов .doc, на базе винд 7 ??? Хотя без разницы какая база, главное документы расшифровать.
                                                                              Сообщение отредактировано: Mafuseil -
                                                                                Цитата Mafuseil @
                                                                                если СТБ-локер взломан, кто-то может посоветовать дешефратор фалов .doc

                                                                                Не поддавайся на провокации птеродятлов ;)
                                                                                Не знаю, что подразумевается под "взломом", но как упоминалось ранее:
                                                                                Цитата leo @
                                                                                Алгоритм шифрования известен, структура зашифрованного файла тоже. Но для серьезного криптостойкого алгоритма (ECDH + AES-256 с индивидуальным ключом для каждого файла) это ничего не дает...
                                                                                Цитата leo @
                                                                                Нереально - расшифровать файлы, не имея ключа (если речь идет именно о CTB-Locker, а не о чем-то внешне похожем на него).
                                                                                Поэтому простой программы "дешифратора фалов" тут недостаточно - нужен конкретно твой сессионный ключ шифрования или база возможных ключей, среди которых окажется и твой. Откуда возьмется эта база? Надеешься, что благодаря некой молниеносной операции ФСБ\АНБ\и т.п. будет накрыт некий зловредный сервер, на котором (наивно как на блюдечке) хранятся все ключи всех копий локера?
                                                                                  Спасибо, ход мысли понял. :wall:
                                                                                    Ну, вообще-то есть ещё один вариант. Этот ключ (ключи) должен храниться где-то на поражённой машине, иначе сам вирус не сможет работать. Пока он не уничтожен действиями пользователя, есть шансы найти его и расшифровать файлы.
                                                                                      Цитата amk @
                                                                                      Этот ключ (ключи) должен храниться где-то на поражённой машине

                                                                                      Не должен. Ключ мог быть загружен по сети, а в после шифрования ПО его потерло.
                                                                                      Сообщение отредактировано: shm -
                                                                                        Скорее всего там используется AES256 шифрование файлов, ключ для дешифрования которых шифруется RSA2048 или 4096 публичным ключем,
                                                                                        а для расшифровки требуется приватный ключ, который находится у злоумышленников.

                                                                                        Единственные варианты, которые у вас есть это:
                                                                                        1) Дождаться когда антивирусные компании найдут (если найдут ошибки в алгоритме данной заразы) и выпустят дешифровщик
                                                                                        2) Связаться с авторами по указанным контактам и попытаться с ними договориться.

                                                                                        Странно вообще, что русскоязычные пользователи оказались под угрозой, так как насколько я наслышан у них кодекс чести и свод правил
                                                                                        не работать по России и странам СНГ.
                                                                                          Цитата amk @
                                                                                          Этот ключ (ключи) должен храниться где-то на поражённой машине, иначе сам вирус не сможет работать. Пока он не уничтожен действиями пользователя, есть шансы найти его и расшифровать файлы.

                                                                                          Дык все известно, что где лежит. Но это же ассиметричное шифрование - хранятся только индивидульные публичные ключи шифрования файлов (в заголовке каждого зашифрованного файла) и зашифрованный секретный сессионный ключ - он содержится в public key, который локер предлагает передать на сервер после уплаты выкупа, и хранится в файлах DecryptAllFiles.txt и AllFilesAreLocked.bmp (заставка на рабочий стол). Однако без знания секретного ключа сервера все эти публичные и зашифрованные ключи бесполезны.
                                                                                          Но в целом ты прав, т.к. если уничтожить файлы DecryptAllFiles и AllFilesAreLocked, не записав на бумажку public key, то шансов на расшифровку нет никаких (кроме призрачно-фантастических - типа самостоятельного брутфорса 256-битного ключа, обращения к знакомому экстрасенсу или чудотворного видения\озарения свыше). А при наличии public key можно лелеить себя надеждой, что кто-нибудь когда-нибудь расколет или раздобудет секретный ключ сервера, который позволит расшифровать не только твои файлы, но и всех "друзей по несчастью", пораженных версией локера с тем же серверным ключом.
                                                                                            Цитата vba @
                                                                                            1) Дождаться когда антивирусные компании найдут (если найдут ошибки в алгоритме данной заразы) и выпустят дешифровщик

                                                                                            Угу. За полтора года ничего не нашли и вдруг найдут?! Это достаточно простая для анализа программа, которую уже изучили десять раз вдоль и поперек.

                                                                                            :offtop:
                                                                                            Цитата vba @
                                                                                            Странно вообще, что русскоязычные пользователи оказались под угрозой, так как насколько я наслышан у них кодекс чести и свод правил не работать по России и странам СНГ

                                                                                            Какой "кодекс чести"?! Одна криминальная коммерция. Видимо на первой волне, прокатившейся по СНГ, происходила отладка технологии и проверка готовности жертв платить выкуп. Потом поняли, что "русские не сдаются" и ничего платить не собираются, да и взять с них особо нечего. А за бугром да за океаном - другое дело, там и выкуп можно запросить побольше, и народец менее упертый и более прагматичный
                                                                                            Сообщение отредактировано: leo -
                                                                                              Цитата
                                                                                              Угу. За полтора года ничего не нашли и вдруг найдут?! Это достаточно простая для анализа программа, которую уже изучили десять раз вдоль и поперек.


                                                                                              Я в своем сообщении забыл указать то, что ав зачастую активно сотрудничают с хостинговыми компаниями.
                                                                                              Быть может они смогут получить закрытые ключи, но если командный сервер находится под TOR, то уже вариантов нет
                                                                                              Сообщение отредактировано: vba -
                                                                                              0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                                                                                              0 пользователей:


                                                                                              Рейтинг@Mail.ru
                                                                                              [ Script execution time: 0,0863 ]   [ 20 queries used ]   [ Generated: 28.03.24, 08:07 GMT ]