Зашифрованы файлы .xtbl

[mexan]

Столкнулась тут у меня знакомая с вирусом шифровальщиком. Все фотографии стали такого вида:
xrLQDGqqDw0CVfQYUhrryoy34M43LIkv4Lxvi9Ysptc=.xtbl

Порылся в инете. На сколь я понял сейчас этот вирус гуляет по инету. Многие на него попались. Методов решения пока нет, кроме одного: за определенную плату, те кто создал этот вирус, расшифруют все фото.

Может кто сталкивался с подобной проблемой и смог ее решить.

 

[Smalesh]

Методов решения пока нет, кроме одного: за определенную плату, те кто создал этот вирус, расшифруют все фото.

Совершенно верно .Бекапы рулят и будут рулить, это единственное надежное средство, что может помочь.
ЗЫ: теоретически можно попробовать поработать над восстановлением удаленных файлов. Для этого требуется место куда восстанавливать, квалификация и опыт работы с утилитами для восстановления данных.

 

[mexan]

Совершенно верно .Бекапы рулят и будут рулить, это единственное надежное средство, что может помочь.

ну вот это я уже знакомой сказал... Но это уже отдельный разговор.

теоретически можно попробовать поработать над восстановлением удаленных файлов. Для этого требуется место куда восстанавливать, квалификация и опыт работы с утилитами для восстановления данных.

а разве файлы удалены? Да и честно сказать, фоток там на 100 гигов. Знакомая живет в довольно далеко и я ей по удаленке делал. Не охота этим по удаленке заморачиваться.
Как говорят сейчас утилиту делают под этот антивирус. Подождем.

 

[Селиванов]

Столкнулась тут у меня знакомая с вирусом шифровальщиком. Все фотографии стали такого вида:
xrLQDGqqDw0CVfQYUhrryoy34M43LIkv4Lxvi9Ysptc=.xtbl

Порылся в инете. На сколь я понял сейчас этот вирус гуляет по инету. Многие на него попались. Методов решения пока нет, кроме одного: за определенную плату, те кто создал этот вирус, расшифруют все фото.

Может кто сталкивался с подобной проблемой и смог ее решить.

Сколько сейчас просят заплатить?

 

[mexan]

Сколько сейчас просят заплатить?

))) 15000... да даже если б и 1000 рублей просили, нифига им ничего не дал бы. Найти б этого "умника"... для него смерть была б за счастье.

 

[Селиванов]

))) 15000... да даже если б и 1000 рублей просили, нифига им ничего не дал бы. Найти б этого "умника"... для него смерть была б за счастье.

Можете сносить ОС если так настроены.
Тоже проходили это. Но т.к информация была важна, пришлось платить.

 

[mexan]

Тоже проходили это. Но т.к информация была важна, пришлось платить.

Ничего подождем). Софтине напишут по любому. Платить не буду и не собираюсь. Зачем идти на поводу у вымогателей?

 

[Smalesh]

а разве файлы удалены?

В некоторых случаях удавалось вытянуть,, было весело когда бухгалтер подцепила, просили по знакомству помочь.

Как говорят сейчас утилиту делают под этот антивирус. Подождем.

Бесполезно. Для расшифровки нужен оригинальный файл, зашифрованный, ключ/код и желательно если уцелели остатки от виря.. Но раньше было чуть проще, сейчас вирь скидывает хозяину все для расшифровки и не хранит ничего локально.

 

[Captain]

mygedz, Виртуалка для "лохов", что бы тестить не известный софт/менее популярный или же качать с не известных сайтов.

Ничего подождем). Софтине напишут по любому. Платить не буду и не собираюсь. Зачем идти на поводу у вымогателей?

Если знакомы с реверсом то вперед разбираем приложение ищем ключ шифрования. Скорей всего AES + соль, сам метод так же может зашифрован AES + соль, тогда без результатно, а может быть просто Base64. Это нужно смотреть

 

[Exile]

mygedz,

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

- нужно быть клиентом Dr. Web (электронный ключ купленный подойдет).

 

[Smalesh]

ищем ключ шифрования

Там нет ключа, тем более у ТС, более чем уверен, нет и тела виря. Сейчас подобные вири генерируют ключ id+время+еще пару вещей, после шифрования ключ со статистикой зашифрованного отправляется хозяину, тело виря самоудаляется. В чуть более сложном варианте сам шифровальщик сливается зловредом и висит в памяти.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Обычно заканчивается вот

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

. У касперского такие же "успехи", раньше что по-проще на кластерах прогоняли, сейчас только вердикт AES/RSA.

 

[Exile]

Обычно заканчивается вот

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

. У касперского такие же "успехи", раньше что по-проще на кластерах прогоняли, сейчас только вердикт AES.

Ну попытка не пытка тем не менее, положительные исходы даже сейчас есть у них.

 

[mexan]

Да будет утилита. Нужно время. Любая проблема решаема.

 

[Селиванов]

Да будет утилита. Нужно время. Любая проблема решаема.

Вопрос только в том, когда. Почти два года прошло, с того момента, когда мы оплачивали. Судя по всему толкового решения до сих пор так и не найдено.

 

[Exile]

Да будет утилита. Нужно время. Любая проблема решаема.

Ну что-то с 2013 года проблема не решена и в публичном доступе ничего нет. Так что я бы и не надеялся.

Антивирус ставить нужно было.

 

[Smalesh]

Ну попытка не пытка тем не менее, положительные исходы даже сейчас есть у них.

Есть пример положительного результата с .xtbl?

Да будет утилита. Нужно время. Любая проблема решаема.

Разве что взломают RSA или поймают хозяина виря с поличным (ключами для расшифровки).

 

[Exile]

Есть пример положительного результата с .xtbl?

Да все в той же теме, только чуть выше человек благодарит за расшифровку, разве нет?

 

[Smalesh]

Антивирус ставить нужно было.

Антивирус не панацея. Уже несколько лет антивирусные вендоры не успевают за вирями. Раньше я их снабжал свежими семплами, сейчас надоело.

 

[Exile]

Smalesh, ну как минимум проактивная защита на письмо с вложенным файлом *.scr.exe среагировала бы.

 

[Smalesh]

Да все в той же теме, только чуть выше человек благодарит за расшифровку, разве нет?

Я не уверен что у того человека конкретно .xtbl хозяйничал. Они сейчас RSA даже в кластер не ставят, сразу тикет закрывают.

минимум проактивная защита на письмо с вложенным файлов *.scr.exe среагировала бы.

exe в почте я не видел уже много лет. Поактивка могла бы сработать, а могла и пропустить . Бекапы, теневые копии, песочницы, виртуалки наше все.