Jump to content

xtbl atkodēt


jakslis
 Share

Recommended Posts

Trojan aizkodējis visus jpg failus ,tagad ir xtbl.

Pats jau likvidēts,bet vai ir iespeja atjaunot/atkodēt failus ?

P.S.Nets jau pārrakts,secinājums  - pagaidām 100% risinājuma neesot:(.

Kādam ir pieredze ?

Labots - jakslis
Link to comment
Share on other sites

intervall
(labots)

Samaksāt, bet tas jau laikam par vēlu...

Labots - intervall
Link to comment
Share on other sites

jakslis

 

 

Samaksāt, bet tas jau laikam par vēlu...

Tieši par to arī iet runa :).

Vai nav vēl rasta iespēja ,to reketu apiet ?

Link to comment
Share on other sites

Ir - saucas regulāras rezerves kopijas. :)

  • Patīk 2
Link to comment
Share on other sites

jakslis

 

 

regulāras rezerves kopijas.

Nu nav cilvēks tādas taisījis/uzglabājis :(:).

P.S.Nav jau tik nāvīgi,tās fočenes nav vitāli svarīgas,bet principa pēc ,gribas pievarēt to sūdu :).

Link to comment
Share on other sites

 

 

bet principa pēc ,gribas pievarēt to sūdu

 

Ja Tu atkodīsi, kā to "sūdu" atkost  Rubika kuba ātrumā, piemēram, tu kļūsi bagāts.

Link to comment
Share on other sites

Ronalds

Tur nav jābūt koderim, ir jābūt matemātikas ģēnijam kurš izdomās algoritmu kā atkost šifrēšanas algoritmu saprātīgā laikā. Domāju ka par to Nobela prēmiju iedos.

  • Patīk 3
Link to comment
Share on other sites

Kasperskis un doktors vebs lielījās, ka mākot atšifrēt. 

Link to comment
Share on other sites

1 failu var dabūt atpakaļ caur Tor browseri, kā pierādījumu ka viņi var atkodēt.

Link to comment
Share on other sites

Nezinu ko var atkodēt Kaspersky un Dr.Web, bet vēl vakar abos šo antivīrusu forumus raksta, ka XTBL nav nekādu cerību atširēt. Iespējams, ka ir vīrusi - šifrētāji, kur to autors ir palaidis kādu kļūdu šifrēšanas algoritmā, un ko tiešām ir iespējams atšifrēt bez izpirkuma naudas maksāšanas, bet šis nav tas gadījumus. 

  Mazliet komiski uzvades Dr.Web foruma admistrācija - oficiāli tiek piedāvāta palīdzība failu atšifrēšanā, bet  pie nosacījuma, ka lietotājam ir iegādāta šī antivīrusa licence. Kad cilvēks forumā vēršas pēc palīdzības, tad sākuma tiek imitēta aktīva darbība (tiek prasīts atsūtīt dažādu antivīrusu programmu log_us, vīrusa un šifrēto failu paraugi), un pat reāli tiek palīdzēts tik vaļā no aktīvā vīrusa, bet kad sākas diskusija par failu atšifrēšanu, tad biegās pasaka, ka atšifrēt nav iespējams.

Link to comment
Share on other sites

 

 

vai ir iespeja atjaunot/atkodēt failus ?

 

Ir. Algoritms ir zināms, vajag tikai šifrēšanas atslēgu dabūt un atkodēsi vēsā mierā.

Link to comment
Share on other sites

  • 4 weeks later...
jakslis

Cilvēki ir uzkoduši,ka oriģinālie faili ir izdzēsti,un izmantojot piem. RECUVA ,ir izdevies daudzus atjaunot.

Jāmēģina būs tā ,citu variantu,pagaidām ,nepastāvot.

Link to comment
Share on other sites

Ja > Win 7 tad var cerēt ka ir ieslēgts Shadow Copy..

gudr! Tās tiek dzēstas ar 1 windowsa komandu!

 

 

 

ja nav izslēgti automātiskie backupi, tad h

Tu nespētu par fart-app uzkodēt.

Link to comment
Share on other sites

 

 

gudr! Tās tiek dzēstas ar 1 windowsa komandu!
Gudrīt, Tu runā par vssadmin Delete Shadows komandu, vai arī Tev ir zināma kāda cita komanda, kuru Shadow Copies dzēšanai izmanto XTBL?
Ja runa ir par to pašu vssadmin, tad varbūt Tu mums „pajoļiem” pastāstīti kādu mehānismu šis vīruss izmanto, lai dabūtu administratora tiesības un lieki neradītu nevajadzīgu troksni ar UAC pieprasījuma apstiprinājumu.
To, ka šī komanda nestrādā uz "Windows Vista", bez UAC apstiprinājuma Tu taču zini labāk par mums.

Tikai neraksti par to, ka normāli cilvēki atslēdz UAC, vai pat vispār neizmanto Windows Vista (labāk vispār neko neraksti), jo tēma ir par datorvīrusu, kura mērķa objekts ir „nenormālie” cilvēki, kuri nav tik advancēti, lai paši atslēgtu UAC, un šī vīrusa sāls ir spēja veikt savu uzdevumu bez administratora tiesībām.

Link to comment
Share on other sites

kāds laikam betonam desmitnieku iedeva par pārinstalēšanu un šis sasvinējies ka te visiem kakā uz galvas un pats gudrākais.

Link to comment
Share on other sites

Nu re! Firza un kroopis pieteicās "atkodēt"! Tad jau viss kārtībā.

Labots - McB
Link to comment
Share on other sites

 

 

Firza pieteicās "atkodēt"!
Kas tā atkal par modi uz jautājumu atbildēt ar pretjautājumu, vai pat vispār mainīt tēmu.
Vēl ar vien gaidu maģiskās "1 windowsa komandas" nosaukumu, un to kā vīruss šo komandu darbina bez administratora tiesībām.
Link to comment
Share on other sites

Ronalds
bez UAC apstiprinājuma

 

Redz ar to UAC apstiprinājumu ir tāda "neliela" problēma ka useri spiež viņā atļaut  pat nedomājot un nelasot!

Esmu pārinstalējis kaudzi ar pc, kuriem ir ieslēgts UAC, bet malwaru virsū ka biezs..... 

Un home userim ņemt nost admina tiesības... Un mazā ofisā.... Un pēc tam skriet uz turieni pie katra sīkuma.... Nez vai klients būs priecīgs un maksās par to! 

 

Attiecībā uz Shadow copies - te obligāti ir jāmaina win shedulera settingi lai shadow kopija tiktu regulāri taisīta! 

Labots - ronalds_
Link to comment
Share on other sites

 

 

Redz ar to UAC apstiprinājumu ir tāda "neliela" problēma ka useri spiež viņā atļaut pat nedomājot un nelasot!
Šis nav tas gadījums, kad „useri spiež viņā atļaut  pat nedomājot un nelasot”. Lietotāja failus vīrusi –šifrētāji var nošifrēt arī bez administratora tiesībām, bet UAC brīdinājuma rādīšana automātiski liegtu iespēju to darbināt uz datoriem, kur lietotājam ir tikai „plikas” USER tiesības. Tā, ka vai nu ir cits mehānisms kā vīruss nodzēš Shadow Copies bez administratora tiesībām, vai arī vīruss samierinās ar to, ka Shadow Copies nodzēt nevar bet cer, ka lietotājs tik un tā samaksās izpirkuma maksu.
Link to comment
Share on other sites

Ronalds

Firza, ar admina tiesībām, un ieslēgtu UAC vīruss ļoti veiksmīgi izdzēsīs Shadow kopijas - tam takš tu piekrīti! 

Un ļoti ļoti bieži atņemt admina tiesības nekādi nav risinājums! 

Uzskatu ka UAC ir pilnīgs mēsls un parasti viņu slēdzu ārā! 

 

Un atkārtojos - pie noklusētajiem settingiem - Shadow copies uz darbstacijām nekam nav derīgs - kopijas veidošana var mēnešiem nenotikt. 

Bet viens biedrs te padalījās, ka jāmaina win sheduler settingi. 

Link to comment
Share on other sites

 

 

Firza, ar admina tiesībām, un ieslēgtu UAC vīruss ļoti veiksmīgi izdzēsīs Shadow kopijas - tam takš tu piekrīti!

Nē, nepiekrītu.

Vismaz uz doto brīdi, ar komandu vssadmin Delete Shadows, ieslēgtu UAC, un noklusētā administratora tiesībām neko vairāk par

Error: You don't have the correct permissions to run this command.  Please run this utility from a command window that has elevated administrator privileges.

neizdodas panākt. Tā, ka jautājums par to, kā vīrusi šifrētāji māk izdzēst Shadow Copies apejot  „stulbo” UAC ierobežojumu (nerādot UAC brīdinājumu) ir aktuāls.

Link to comment
Share on other sites

Ronalds
nerādot UAC brīdinājumu

 

 

Es runāja par to, ka 99% useru UAC brīdinājums ir pie kājas.....  Tā kā vīrusa izstrādātāji droši var nemeklēt veidus kā apiet UAC, vairums droši spiedīs allow

Labots - ronalds_
  • Patīk 1
Link to comment
Share on other sites

 

 

Tā kā vīrusa izstrādātāji droši var nemeklēt veidus kā apiet UAC, vairums droši spiedīs allow!
Vīrusu rakstītāji var nemeklēt kā apiet UAC brīdinājumus, jo vīrusi var labi darboties bet arī bez administratora tiesībām, bet reklamēt sevi, speciāli radot šādus brīdinājumus arī nav jēgas. Vīruss – šifrētājs, kurš nerada UAC brīdinājumus, sava autoram ienesīs vairāk naudas, nekā vīruss, kurš par savu klātbūtni paziņos ar UAC brīdinājumu, un vēl gaidīs kamēr lietotājs to apstiprinās.
Link to comment
Share on other sites

Firza, es nezinu par ko tu sevi tur uzskati, bet tu neesi nekāds datorspec/tehniķis/admins.

Tu esi nejēga. Bet kamēr ciematā pārējie ir vel tupāki - bez uztraukumiem.

Link to comment
Share on other sites

Beton, Tev taču nav 16 gadu. Ko Tu visu laiku lecies kā tāds maletotka? Ja Tev nepatīk šis forums, ja te visi ir stulbeņi, pajoļi un nejēgas, tad neraksti šeit vairs neko. Forums ļoti labi iztiks bez Taviem "vērtīgajiem komentāriem".

Link to comment
Share on other sites

  • 3 months later...

Ja publisko atslēgu neesi pazaudējis, ņem visus esošos dešifratorus un kodē vaļā. Tak parasts RSA-1024. Vispār algoritma atkodējam apsolīta 100'000 $ balva, līdz ar to, ne tikai failiņus atgūsi, bet labi nopelnīsi :)

https://lv.wikipedia.org/wiki/RSA_%C5%A1ifr%C4%93%C5%A1anas_algoritms

 

Ņem vērā gan šo citātu :) Iepriekš speciem izdevās atrast privāto atslēgu bez gadu gaidīšanas paņemot ciet kādu hakeri, tāpēc daļai ir pieejami dešifratori. 

 

 

 

Līdz šim (2011. gada jūlijs) garākā publiski zināmā atlauztā RSA atslēga ir 768 bitus gara un to atlauza 2009. gada decembrī. Tam kopā vajadzēja aptuveni 2,5 gadus.
Link to comment
Share on other sites

Kādas ir reālas iespējas atgūt datus pēct XTBL apciemojumo? Ir pilnība kriptētī visi dokumenti, bildes nu viss ~500Gb, GetDataBask un WindowsDataRecovery nekādu rezultātu neatgriež!  

Link to comment
Share on other sites

nu nav jau gluži nekādas. parasti par taisnīgu atlīdzību bitkoinos šie piedāvā atšifrēt.

  • Patīk 1
Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...