ну разве что заплатить авторам вирусни, хотя риск того что они прокидают очень велик.... (там еще и время смотрю отсчитывают
)... но по другому наверно никак 
а так на будущее делать бэкапы важных данных
| Версия для печати
Нажмите сюда для просмотра этой темы в оригинальном формате |
| Форум на Исходниках.RU > Компьютерная безопасность > CTB-Locker - нужна помощь в расшифровке файлов... |
| Автор: Язычник 26.01.15, 11:36 |
| Здравствуйте. Подскажите, пожалуйста, сможете ли кто расшифровать файлы, зашифрованные CTB-Locker? Были заменены расширения, но после изменения расширения на нормальное, всё равно файлы остались зашифрованными. Например: Документ 10.DOC.xungdze Картинка 34.JPG.xungdze Книга 65.PDF.xungdze Моя таблица 41.XLS.xungdze Возьмётесь за такое? Естественно не бесплатно. Спасибо. |
| Автор: leo 27.01.15, 09:32 |
| Шифрование файла жертвы - AES с 256-битным ключом, индивидуальным для каждого файла |
| Автор: shm 27.01.15, 12:42 |
| Нереально. |
| Автор: Besha 27.01.15, 14:43 |
| ну разве что заплатить авторам вирусни, хотя риск того что они прокидают очень велик.... (там еще и время смотрю отсчитывают )... но по другому наверно никак а так на будущее делать бэкапы важных данных |
| Автор: shm 27.01.15, 17:12 |
| Риск того, что их поделка безвозвратно запорола все данные еще выше. |
| Автор: Язычник 28.01.15, 06:44 |
Очень жаль... Может, уже дети расшифруют свои детские фотографии за 10 лет...  |
| Автор: ^D^ima 29.01.15, 07:25 |
| ECDH – Elliptic curve Diffie–Hellman вообщето |
| Автор: Warsi 29.01.15, 08:15 |
| Полная инфа по CTB-Locker - http://www.bleepingcomputer.com/virus-remo...are-information Сайты типа этого - развод - не помогает - http://soft2secure.com/knowledgebase/ctb-locker |
| Автор: leo 29.01.15, 09:42 |
| Судя по приведенной ссылке, ECDH используется для генерации\восстановления ключей, а файлы шифруются AES с 256-битным ключом (SHA-256 от ключа session-shared, вычисляемого через ECDH). |
| Автор: Язычник 30.01.15, 13:54 |
| Если можно, в двух словах, но попонятнее... Шансы есть в будущем? Хотя бы у внуков?  |
| Автор: Besha 30.01.15, 14:27 |
 на эльбрусах точно нет |
| Автор: Язычник 30.01.15, 14:40 |
| А где это? |
| Автор: Besha 30.01.15, 14:52 |
| не где, а что))) эльбрус это такой Российский комп  в свете происходящих событий, неизвестно будут ли у ваших внуков другие никто не знает))) Добавлено попробуйте, просканируйте прогой по восстановлению удаленных файлов винт, может найдутся незашифрованные копии например Recovery studio |
| Автор: Язычник 30.01.15, 15:14 |
| Уже пробовал. Рабочие документы поднимаю с разных флешек. Но фоток гигабайты за предидущие годы. Копировал на случай глюка одного жёсткого на разные жесткие, и все были включены тогда и заразились за ночь... |
| Автор: leo 17.03.15, 08:19 |
| Статейки с более детальным описанием (by zairon, February 2015): CTB-Locker encryption/decryption scheme in details CTB-Locker: files decryption demonstration feature |
| Автор: Snake.Underwood 15.04.15, 23:12 |
| А я сегодня тоже поймал эту заразу, но справился с ней. Странно, что везде пишут, что зараженные файлы восстановить невозможно. В два клика всё прекрасно лечится. Язычник, если твоя проблема еще актуальна - пиши в личку, помогу. Добавлено Цитата shm @ реально, более того, элементарно. Главное систему не трогать. А то некоторые жертвы зараженные файлы на флешки позаписывали, а винду переустановили. Вот таким беднягам уже точно мало что может помочь. |
| Автор: leo 16.04.15, 06:35 |
| Нереально - расшифровать файлы, не имея ключа (если речь идет именно о CTB-Locker, а не о чем-то внешне похожем на него). Восстановить исходные файлы - "реально, более того, элементарно" при определенных условиях. |
| Автор: Snake.Underwood 16.04.15, 10:51 |
| Согласен, расшифровать CTB-Locker без ключа - нереально. Но расшифровывать и незачем. Пострадавшим нужен результат - получение своей информации в первозданном виде, а не криптографическая победа над зверем. А результат этот можно получить в 2 простых действия: 1) После того как убит сам вирус и его загрузчик (об этом много информации в сети, это несложно найти), переименовываем в проводнике файл, удаляя в названии всё, что правее точки и вместо этого возвращая родное расширение. Например, пострадавший файл "фотка.JPG.eruihyi" переименовываем в "фотка.jpg" Появляется окно "Переименование" с надписью: "После изменения расширения этот файл может оказаться недоступным. Выполнить изменения?" Говорим - да. Иконка файла приобретает знакомый вид, но сам файл пока еще не открывается. 2)Жмем правой клавишей на файл, выбираем в меню "восстановить прежнюю версию". Появляется список из как минимум одной версии файла до заражения. В этом же окне ниже есть 5 кнопок : "Открыть" "Копировать" "Восстановить" "ОК" и "Отмена" . Выбираем "Восстановить". Появляется надпись "Файл был успешно восстановлен до предыдущего состояния" и кнопка "ОК" . Клацаем, открываем файл, радуемся и бросаем в воздух чепчики ) Повторяем процедуру с остальными зараженными файлами.Так процесс выглядит если установлена любая версия Windows7. В Windows8 функция восстановления предыдущих версий файлов реализована несколько иначе (гугл в помощь), но алгоритм процедуры лечения тот же. В более ранних версия винды типа Висты и ХР - сложнее, там такой функции не было, а было некое подобие "копирование теневого тома". Вероятно, потанцевать с бубном придется дольше, не знаю, не пробовал. (у меня эта беда на 7-ке приключилась и мне было намного проще). Теперь об условиях. Данный метод работает, только если вы не убивали свою систему, не форматировали винчестер и никуда не переносили зараженные файлы. Т.е. на флешке или даже в другой папке компа, файл не восстановится таким способом. А вот, например, если зайти с другого компа на пострадавший компьютер по сети и проделать вышеописанное, никуда при этом не перемещая зараженные файлы, - то всё тоже будет ок. Странно другое, в сети сотни криков о помощи от пострадавших пользователей. Десятки форумов с одним и тем же вопросом. Многие в отчаянии платят большие деньги вымогателям, при этом их частенько кидают. Но никто из авторитетных вирусологов типа Касперского или Dr.Web не смог, а скорее не захотел, разобраться с проблемой, которая на самом деле решается настолько просто, что даже смешно это расписывать в подробностях. Люди стали какие-то черствые ((. |
| Автор: nash 16.04.15, 17:00 |
| Snake.Underwood, да кэп, все так. |
| Автор: Язычник 16.04.15, 17:08 |
Спасибо.  Завтра утром попробую, на свежую голову. За успех выпью сегодня! |
| Автор: leo 16.04.15, 17:23 |
| Странно, что ты не знаешь о том, что 1) Этот метод восстановления файлов (из теневой копии) упоминается практически во всех описаниях локера, гуляющих по инету. В частности - в приведенной в #8 ссылке (правда по англицки). Поэтому не знать об этом способе может только ленивый или невнимательный 2) Однако там же упоминается, что новые версии локера пытаются удалять все теневые копии, но это "не всегда получается". Видимо у тебя как раз тот счастливый случай, когда локеру по какой-то причине не удалось удалить теневую копию |
| Автор: Язычник 17.04.15, 06:29 |
| Цитата Snake.Underwood @ ХР - сложнее, там такой функции не было, а было некое подобие "копирование теневого тома". Вероятно, потанцевать с бубном придется дольше, не знаю, не пробовал. У меня XP. Нет такой функции... Вопрос может быть решён только через интернет путём подключения к моему ПК с другой машины с предустановленной Windows 7 ? И ещё вопрос - нужно с каждым файлом работать отдельно или возможно пакетное "лечение" ? Спасибо. |
| Автор: leo 17.04.15, 07:00 |
| Если XP SP 2 и выше, то почитай следующий пункт по вышеприведенной ссылке: Using Shadow Explorer. Скачай free-версию по ссылке в статье и посмотри, может тебе тоже повезло PS: Пардон(ьте), похоже на XP это не сработает. Вроде как поддержка теневого копирования в XP SP2 заложена, но не активирована (используется только для создания точек восстановления системы). По крайней мере в описании ShadowExplorer говориться только о висте и выше Добавлено Цитата Язычник @ И ещё вопрос - нужно с каждым файлом работать отдельно или возможно пакетное "лечение" ? Вроде как, можно папки целиком восстанавливать Добавлено Цитата Язычник @ Вопрос может быть решён только через интернет путём подключения к моему ПК с другой машины с предустановленной Windows 7 ? Если теневое копирование не было задействовано, то и восстанавливать нечего\неоткуда |
| Автор: shm 17.04.15, 23:10 |
| Клиника. О какой расшифровке идет речь, если есть резервные копии файла? Не важно сделаны ли они средствами ОС или ручками. Другое дело, что они есть далеко не всегда. И с 99% вероятностью это случай Язычник. Более того, с попыток извлечения теневой копии начинается любая инструкция по восстановлению данных, как верно подметил leo. |
| Автор: Mafuseil 27.02.16, 06:23 |
| Всем добрый день. Хочу обновить и продолжить текущею тему. На днях мной был схвачен этот вирус, как и у всех заразил все .txt, .doc, .jpg документы и не как их не открыть, зашифрованы. Проведя ряд операций по зачистке остатков этого вируса я нашел интересные дамп файлы со скриншотом вируса, при расширении .bmp и .txt который защищен от редактирования и открытия, в каждой папке где были текстовые файлы либо картинки. Сразу стал заметен прогресс. Раньше при переименовании файла (работал с картинками) а именно просто удаления в названии приставки вируса .sdlagki ничего толком не менялось, картинка оставалась не распознанная. Теперь вот что - в проводнике с видом "эскизы страниц" стало видно содержимое картинке, НО открыть ее так и не получается. Я в тупике и не знаю что делать дальше, может кто то подскажет.  Вот прилагаю фотографию с которой работаю. Еще раз уточню, у меня XP и на эскизах я вижу что на фотографии но открыть не могу. С текстовыми файлами прогресса нет, так и зашифрованны.  304_292.JPG (, : 1484)
Добавлено еще есть такая тема, когда вставляю в текстовый редактор (ворд) это картинку мне выдает "не найден фильтр изображения". |
| Автор: amk 27.02.16, 11:18 |
| Это не файл JPG, и не файл картинки вообще, потому и В проводнике, скорее всего, захешированные ранее (пока ещё вирус был активен) картинки показываются. Дата, время. размер не менялись, поэтому проводник не лезет в сам файл, а пользуется старой "маркой" Добавлено А это, возможно, вообще ставит крест на возможностях восстановления. |
| Автор: Mafuseil 27.02.16, 11:50 |
| Понял. Тогда такой вопрос, если остались не тронуты вирусом "марки" которыми пользуется проводник, возможно ли как то их найти и с них восстановит сами файлы? |
| Автор: amk 27.02.16, 13:16 |
| Упомянутая марка, это изображение размером примерно 100х100 пикселей, хранящееся в архиве под названием thumbs.up в папке рядом с графическими файлами. Формат этого архива я не знаю, сразу отключаю их показ, поскольку проводником из-за его никакой функциональности практически не пользуюсь. Кстати, одним из вариантов борьбы с разрушениями, нанесёнными такими вирусами в прошлом была упаковка файлов в архив, пока вирус работает, и распаковка после его удаления. Правда надо защищать сам архив. Поэтому, кстати, работает "восстановление из копии", если таковая есть. При резервном копировании файлы архивируются, и вирус не может их повредить. Чтобы разобраться с алгоритмом шифрования необходимо иметь несколько пар - исходный файл/повреждённый файл. И чем больше, тем лучше. Или текст программы, осуществляющей шифрование. |
| Автор: leo 28.02.16, 06:18 |
| Цитата amk @ Чтобы разобраться с алгоритмом шифрования необходимо иметь несколько пар - исходный файл/повреждённый файл. И чем больше, тем лучше. Или текст программы, осуществляющей шифрование Алгоритм шифрования известен, структура зашифрованного файла тоже. Но для серьезного криптостойкого алгоритма (ECDH + AES-256 с индивидуальным ключом для каждого файла) это ничего не дает... |
| Автор: Идеал 28.02.16, 17:33 |
| Не забудь потом выкинуть винду на помойку и установить нормальную систему, где нет подобного идиотизма с вирусами. |
| Автор: shm 28.02.16, 18:46 |
| Цитата Идеал @ Не забудь потом выкинуть винду на помойку и установить нормальную систему, где нет подобного идиотизма с вирусами. Есть такая категория пользователей, которые на линь умудрятся зловредов наставить. |
| Автор: Qraizer 28.02.16, 19:05 |
| ...а есть, что на винде чувствуют себя в лине. |
| Автор: Pacific 29.02.16, 07:30 |
| Цитата Идеал @ Не забудь потом выкинуть винду на помойку и установить нормальную систему, где нет подобного идиотизма с вирусами. Если твоя "нормальная система" будет установлена на > 90% компьютеров, как винда сейчас, поверь, там будет все то же самое с вирусами. Винда - нормальная система в умелых руках. |
| Автор: Идеал 29.02.16, 08:57 |
| Вообще-то я не о Linux написал, хотя, и его тоже можно использовать не плохо. |
| Автор: foreach 01.03.16, 13:10 |
| BSD? Mac? Solaris? ReactOS? DOS? |
| Автор: Птеродятел 13.05.16, 10:42 |
| та вроди СТБ уже взломан и не актуален. сейчас будет бум вымогательского троянца по имени CryptXXX , очень важно тепереча фильтровать стриминг-видео. не совсем понял схему, но вроди зараза активируется, когда видео типа прерывается, и люди тыкают шо попало, лишь бы продолжить. Как говорится, можем повторить, но ни фига н смешно, потому что клик - и шифровальщик на базе, плати 500 баксов, или файлы гудбай америка. http://nаbzsоftwаrе.cоm/types-оf-thrеаts/crypt-file |
| Автор: Руслан 14.05.16, 21:57 |
| Вполне. Толковые гражданские дешифраторы(с более-менее широкими возможностями) появятся в течении ~10-15 лет. |
| Автор: Mafuseil 12.08.16, 06:48 |
| Ну хорошо. А кто что скажет по-поводу обычных текстовых файлов? если СТБ-локер взломан, кто-то может посоветовать дешефратор фалов .doc, на базе винд 7 ??? Хотя без разницы какая база, главное документы расшифровать. |
| Автор: leo 13.08.16, 07:53 |
| Не поддавайся на провокации птеродятлов  Не знаю, что подразумевается под "взломом", но как упоминалось ранее: Цитата leo @ Алгоритм шифрования известен, структура зашифрованного файла тоже. Но для серьезного криптостойкого алгоритма (ECDH + AES-256 с индивидуальным ключом для каждого файла) это ничего не дает... Цитата leo @ Поэтому простой программы "дешифратора фалов" тут недостаточно - нужен конкретно твой сессионный ключ шифрования или база возможных ключей, среди которых окажется и твой. Откуда возьмется эта база? Надеешься, что благодаря некой молниеносной операции ФСБ\АНБ\и т.п. будет накрыт некий зловредный сервер, на котором (наивно как на блюдечке) хранятся все ключи всех копий локера? Нереально - расшифровать файлы, не имея ключа (если речь идет именно о CTB-Locker, а не о чем-то внешне похожем на него). |
| Автор: Mafuseil 13.08.16, 08:08 |
| Спасибо, ход мысли понял. |
| Автор: amk 13.08.16, 10:23 |
| Ну, вообще-то есть ещё один вариант. Этот ключ (ключи) должен храниться где-то на поражённой машине, иначе сам вирус не сможет работать. Пока он не уничтожен действиями пользователя, есть шансы найти его и расшифровать файлы. |
| Автор: shm 13.08.16, 11:32 |
| Не должен. Ключ мог быть загружен по сети, а в после шифрования ПО его потерло. |
| Автор: vba 13.08.16, 20:19 |
| Скорее всего там используется AES256 шифрование файлов, ключ для дешифрования которых шифруется RSA2048 или 4096 публичным ключем, а для расшифровки требуется приватный ключ, который находится у злоумышленников. Единственные варианты, которые у вас есть это: 1) Дождаться когда антивирусные компании найдут (если найдут ошибки в алгоритме данной заразы) и выпустят дешифровщик 2) Связаться с авторами по указанным контактам и попытаться с ними договориться. Странно вообще, что русскоязычные пользователи оказались под угрозой, так как насколько я наслышан у них кодекс чести и свод правил не работать по России и странам СНГ. |
| Автор: leo 16.08.16, 06:36 |
| Цитата amk @ Этот ключ (ключи) должен храниться где-то на поражённой машине, иначе сам вирус не сможет работать. Пока он не уничтожен действиями пользователя, есть шансы найти его и расшифровать файлы. Дык все известно, что где лежит. Но это же ассиметричное шифрование - хранятся только индивидульные публичные ключи шифрования файлов (в заголовке каждого зашифрованного файла) и зашифрованный секретный сессионный ключ - он содержится в public key, который локер предлагает передать на сервер после уплаты выкупа, и хранится в файлах DecryptAllFiles.txt и AllFilesAreLocked.bmp (заставка на рабочий стол). Однако без знания секретного ключа сервера все эти публичные и зашифрованные ключи бесполезны. Но в целом ты прав, т.к. если уничтожить файлы DecryptAllFiles и AllFilesAreLocked, не записав на бумажку public key, то шансов на расшифровку нет никаких (кроме призрачно-фантастических - типа самостоятельного брутфорса 256-битного ключа, обращения к знакомому экстрасенсу или чудотворного видения\озарения свыше). А при наличии public key можно лелеить себя надеждой, что кто-нибудь когда-нибудь расколет или раздобудет секретный ключ сервера, который позволит расшифровать не только твои файлы, но и всех "друзей по несчастью", пораженных версией локера с тем же серверным ключом. |
| Автор: leo 16.08.16, 07:38 |
| Цитата vba @ 1) Дождаться когда антивирусные компании найдут (если найдут ошибки в алгоритме данной заразы) и выпустят дешифровщик Угу. За полтора года ничего не нашли и вдруг найдут?! Это достаточно простая для анализа программа, которую уже изучили десять раз вдоль и поперек.  Цитата vba @ Странно вообще, что русскоязычные пользователи оказались под угрозой, так как насколько я наслышан у них кодекс чести и свод правил не работать по России и странам СНГ Какой "кодекс чести"?! Одна криминальная коммерция. Видимо на первой волне, прокатившейся по СНГ, происходила отладка технологии и проверка готовности жертв платить выкуп. Потом поняли, что "русские не сдаются" и ничего платить не собираются, да и взять с них особо нечего. А за бугром да за океаном - другое дело, там и выкуп можно запросить побольше, и народец менее упертый и более прагматичный |
| Автор: vba 16.08.16, 08:19 |
| Цитата Угу. За полтора года ничего не нашли и вдруг найдут?! Это достаточно простая для анализа программа, которую уже изучили десять раз вдоль и поперек. Я в своем сообщении забыл указать то, что ав зачастую активно сотрудничают с хостинговыми компаниями. Быть может они смогут получить закрытые ключи, но если командный сервер находится под TOR, то уже вариантов нет |