Подруга поймала такой вирус он зашифровал все файлы. они стали ткак называтся 1n8ajFPKW162K4Ng3SHJot6Ig4EH1WmeLfJ-o97MSTY=.xtbl на диске C создает текстовый фаил со следующим содержанием. Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
CB706158C1625E524F71|0
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
. сам файл вируса в процессе csrss.exe у меня есть он не запакован. есть и распаковщик для определенного компа с ключом. кто то покупал у злоумышлинеков за 5000р. скачал в инете. при его изучении выяснилось фаил запакован UPX1 .Я его распаковал .пробывал открывать в текстовике . там некоторые строчки понятные стали особенно в конце. он зачем то выхожит на сайт myip наверное для определения ip жертвы. распаковщик к ее файлам не подходит так как ключи разные. На сайте веба и касперского распаковщиков на данный момент нет и негде нет в инете. хочу изучить как работает программа для распаковки и какой кодеровкой шифрует вирус. пишут что это rsa но открыв в блокноте увидел там строки aes 128 aes 256. думаю что возможно это aes.Файл распаковщика с ключом прилогаю в архиве. там распакованый от UPX1 decrypt.exe и запакованый decrypt.ex~. Помогите с чего начать и какой софт нужен для изучения вируса.! зарание благодарю.

0b13_24.05.2015_EXELAB.rU.tgz - 1.part1.rar

Добавлено спустя 7 минут
f68c_24.05.2015_EXELAB.rU.tgz - 1.part2.rar

| Сообщение посчитали полезным:

Никогда не изучал вирусы, но птичка шептала что делается это примерно так:
1. виртуальная машина
2. как можно больше софта для отслеживания его разной активности(там доступ к нету, фалам, регистрам и тд и тп)
3. ну и дебагер конечно) есть книга по этому поводу кстати No.Starch.Press_.Practical.Malware.Analysis.Feb для начала она очень даже ничего.

| Сообщение посчитали полезным:

Vanya666 пишет:
пробывал открывать в текстовике . там некоторые строчки понятные стали особенно в конце.
Vanya666 пишет:
Помогите с чего начать и какой софт нужен для изучения вируса.!
С таким подходом ниикакой софт не поможет - нужны знания и опыт.

Тем более что изучение декриптора не даст ровным счётом ничего. Вот энкриптор мог бы пригодиться, но он себя уже наверняка удалил.

alex87is пишет:
Никогда не изучал вирусы
Ваш случай не имеет отношения к вирусам - нет факта заражения. Просто по невнимательности Вы запустили программу, которая зашифровала файлы. Не зная алгоритма генерации ключей шифрования делать тут нечего. Да, можно попробовать разобрать декриптор и выполнить атаку на известные данные, но это может обойтись дороже чем оплата автору криптора.

| Сообщение посчитали полезным:

Если сгенерился случайный пароль шифрования и ушло на гейт злоумышленника, то считайте п*ц:
атака на известные данные, о чём выше написал -=AkaBOSS=- / брут аес... но шансы "примарнi" имхо.

Добавлено спустя 16 минут
Vanya666 пишет:
пишут что это rsa
Верно пишут, только вряд ли шифруют самим рса, рса наверное для шифрования ключа блочного шифра.

-----
ds

| Сообщение посчитали полезным:

Я не думаю что шифровщик такой мощьный .Во первых шифрует очень быстро . во вторых я сравнивал файлы фоток зашифрованых и незашифрованых то расхождений серьезных не наблюдал. были такие вирусы что просто меняли раширения файлов . после смены на верные фото открывались. может он и не шифрует вовсе а добовляет строчку или символ в файл и все поэтаму и быстро. ведь чтобы испортить фотку или фаил музыки достаточно ооткрыть в блокноте и доавить один символ. фото уже не будет читатся. Я думаю всех пугают а этот вирус лоховской. после шифровщика в блокноте текст выглядит иначе и в начале и в конце указано что за шифровщик. а здесь будто просто букву дописали и расширение поменяли. щас скину ссылку на зашифрованую фотку.

--> Зашифрованое фото <--

Добавлено спустя 5 минут
0f63_24.05.2015_EXELAB.rU.tgz - 0q4qABJPIlZLVnLdghBLEyt1dydjdKxkaybazuwuV7A=.part01.rar

Добавлено спустя 6 минут
a483_24.05.2015_EXELAB.rU.tgz - 0q4qABJPIlZLVnLdghBLEyt1dydjdKxkaybazuwuV7A=.part02.rar

Добавлено спустя 7 минут
fcf6_24.05.2015_EXELAB.rU.tgz - 0q4qABJPIlZLVnLdghBLEyt1dydjdKxkaybazuwuV7A=.part03.rar

| Сообщение посчитали полезным:

В пошифрованном файле данных только 15%, остальное нули.
Если при шифровке размер файла не поменялся, то скорей всего картинке гаплык.

--> Вот <-- тоже плачут по этому поводу



| Сообщение посчитали полезным:

нет люди рашифровывают купив шифровщик значит не все так плохо.

Добавлено спустя 6 минут
Спасибо за сылку .Там привели пример зашифрованого файла и расшифрованого . и размеры не отличаются .. щас буду сверять их. хоть какаято зацепка есть. значит он
не шифрует их може строки или две буквы местами поменяет и все. знать бы какие буквы можно дешифровщик написать.

| Сообщение посчитали полезным:

Vanya666 пишет:
шифрует очень быстро
Не показатель. Само шифрование может быть обычым xor'ом вообще, весь финт в размере ключа и его пермутации для следующего блока.

Vanya666 пишет:
я сравнивал файлы фоток зашифрованых и незашифрованых то расхождений серьезных не наблюдал
Как именно сравнивал? Тоже в блокноте? Зашифровано неплохо, но странно что ~85% файла - сплошные ноли.

Vanya666 пишет:
щас скину ссылку на зашифрованую фотку Есть такая штука - файлообменник. Например rghost.ru и не нужно будет тут паззлы из архивов складывать. Ограничение на размер аттача на то и сделано, чтобы мусором сервер не перегружать.

/ADD
ну я как всегда... пока один пост написал, тут уж полтемы прокурили

| Сообщение посчитали полезным:

И размеры отличаются, и покриптован тщательно весь файл.

--Добавлено--
К следующему посту:

Я про примеры с форума и говорю



| Сообщение посчитали полезным:

не я про --> форум <-- я свои разные зашифрованые файлы кинул у них размеры отличаются.

Добавлено спустя 26 минут
6094кб у обеих файлов.

| Сообщение посчитали полезным:

Vanya666 пишет:
Я думаю всех пугают а этот вирус лоховской.
угу, вирус же умственно отсталые писали...

| Сообщение посчитали полезным:

Vanya666 пишет:
6094кб у обеих файлов.

И хде?
Многие элементарные вещи нужно освоить, прежде чем браться за ковыряние вирусни.



| Сообщение посчитали полезным:

Vanya666,
Вам шо, эти картинки дороги как память шо вы так за них колотитесь?
может дешевле будет новых наделать?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Современная криптография специально создавалась чтобы противодействовать попыткам расшифровки без знания ключа. Судя по всему из того что пробивается по емейлу в гугле, тут у вас aes, с расшифровкой вам никто не поможет. А теперь главное, вы готовы заплатить 5к рублей и проспонсировать дальнейшее вымогательство, возможно в более изощренных формах? Или же вы потратите эти 5к на создание бекапов и покупку Венда для чайников вам и вашей подруге. Либо вариант другой - вы покупаете лицензию дрвеб и ибете их техподдержке мозг на тему вашего шифратора. Не факт что у них есть дешифратор. В любом случае тут уместна картинка с двумя накуренными асоциальными элементами, констатирующая ваше положение.

| Сообщение посчитали полезным: gazlan

Alchemistry пишет:
покупаете лицензию дрвеб и ибете их техподдержке мозг

в функционале расшифровка файлов не заявлена Предлагаю купить абонемент в АНБ и любить сразу их.

| Сообщение посчитали полезным:

Вот на форуме eset-а рекомендуют:
EasySync CryptoMonitor - is one of the best prevention measures for an encrypting Ransomware. CryptoMonitor will actually kill an encryption infection, blacklist it from running again, and notify you as soon as the infection starts. Because of the unique way that CryptoMonitor is made, it will effectively stop even the newest of encryption infections and requires no signatures or updates. It will protect you in a way that traditional antiviruses can’t!
--> Видос<--
EasySync NetArchiver[/b] - will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days. This way if Ransomware gets through other prevention measures, you will always be able to look back the set amount of days from the current date and recover the key that it used to encrypt your files. Logs can also be helpful for figuring out information that happens on your network.
--> ДомСтр<--

| Сообщение посчитали полезным:

==DJ==[ZLO] пишет:
Вот на форуме eset-а рекомендуют:
Костыль. Вангую: додумались похукать криптоапи. А если в шифровальщике будет своя реализация rsa/aes без криптоапи?

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: sivorog, v00doo

Тема поднялась, напишу, может поможет.
Ransomware Removal Kit, от ada Cyrus.
https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview

Она собрала в одном месте информацию по многим видам этой малвари.
Описание на главной странице.

| Сообщение посчитали полезным:

Flint
Да, может ты прав.
Пысы: смотрю как эта зараза распространяется в инете смею предположить что есть Builder этой дряни наподобие --> этого <--.

| Сообщение посчитали полезным:

>> will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days.

если даже своя реализация рса и генерация рандомного ключа с отправкой на гейт злоумышленика, то в ДБ потом можно будет просмотреть трафик и узнать ключь.
я правильно понимаю?

| Сообщение посчитали полезным:

SReg пишет:
то в ДБ потом можно будет просмотреть трафик и узнать ключь
Ну да, например ключ, зашифрованный публичной парой RSA

-----
ds

| Сообщение посчитали полезным:

SReg пишет:
можно будет просмотреть трафик и узнать ключь
кмк в данном случае мало чем поможет:

Vanya666 пишет:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
CB706158C1625E524F71|0
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com

Получается человек сам отправляет свой идентификатор автору вируса, который стопицот раз перехеширует и перешифрует эту шнягу и получит необходимые ключи. После запуска шифрования тело энкодера затирается, поэтому выяснить последовательность действий и воспроизвести их не получится.

А насчёт темы - я бы в первую очередь проследил изменения файлов и просмотрел историю и кэш браузера. Авось опять этот зверёк попадётся, тут бы его на горячем и поймать. Но тут тоже нужен опыт и немалая доля осторожности.

| Сообщение посчитали полезным:

-=AkaBOSS=- пишет:
А насчёт темы - я бы в первую очередь проследил изменения файлов и просмотрел историю и кэш браузера. Авось опять этот зверёк попадётся, тут бы его на горячем и поймать. Но тут тоже нужен опыт и немалая доля осторожности.
Однозначно. Вообще, после таких происшествий вот что нужно сделать:
- вырубить пк, желательно - кнопкой;
- снять винчестер;
- в режиме "только для чтения" смонтировать его через специальный usb-интерфейс (если такой имеется);
- в r-studio снять дамп (опять же, если позволяют ресурсы) и посмотреть его тем же r-studio на предмет операций с файлами (там всё по датам раскидано).

А дальше - по желанию. К примеру, копируешь конфигурацию браузера и запускаешь с песочницей, wireshark и т.д., чтобы еще раз выловить. Но обычно что-то остаётся на винте. Иногда, но редко, в файле подкачки.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Собственно Алхимик уже высказал реальное положение дел и антивирусы вам не помогут при грамотной реализации.
Либо платите, если данные действительно важны, либо будет опыт, который вас заставит делать архивные копии.

| Сообщение посчитали полезным:

F_a_u_s_t пишет:
Либо платите, если данные действительно важны, либо будет опыт, который вас заставит делать архивные копии.

Ну, а я про что? Смотри пост номер 13 выше.
Похоже, что ТС давно забил на все и подруга наделала новых снимков, а у нас все страсти кипят.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

http://pastebin.com/1WZGqrUH

| Сообщение посчитали полезным:

Flint пишет:
Костыль. Вангую: додумались похукать криптоапи.
Стоит только отслеживать работу программы с файлами и чекать их сумму и проверять со своей базой котороя была создана при первом сканирование

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

redlord пишет:
http://pastebin.com/1WZGqrUH

У тётки все фотки котов пошифрованы, а тому клоуну всё шуточки..



| Сообщение посчитали полезным:

Значит, если даже имеем Два файла фоток - один оригинальный, а второй - зашифрованный...
Это ничем помочь не может?..((

| Сообщение посчитали полезным:

нет.

| Сообщение посчитали полезным: