17.07.2018, 00:37 [+3 UTC]
в нашей команде: 2 882 чел. | участники онлайн: 0 (рекорд: 21)

:: РЕГИСТРАЦИЯ

:: задать вопрос

:: все разделы

:: правила

:: новости

:: участники

:: доска почёта

:: форум

:: блоги

:: поиск

:: статистика

:: наш журнал

:: наши встречи

:: наша галерея

:: отзывы о нас

:: поддержка

:: руководство

Версия системы:
7.47 (16.04.2018)

Общие новости:
13.04.2018, 10:33

Форум:
16.07.2018, 10:05

Последний вопрос:
16.07.2018, 07:17

Последний ответ:
13.07.2018, 17:32

Последняя рассылка:
15.07.2018, 19:45

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

Отзывы о нас:
10.03.2011, 22:23 »
Dzhey
Спасибо. И отдельное спасибо за приятное оформление smile [вопрос № 182441, ответ № 266182]
18.09.2009, 07:46 »
fomservl
Спасибо! ...В самом деле - работает! [вопрос № 172210, ответ № 254243]

РАЗДЕЛ • Защита информации

Виды защищаемой информации, алгоритмы и программы шифрования данных, советы по защите и безопасности компьютерных сетей, ошибки и «бреши» ПО, способы противодействия взлому ОС.

[администратор рассылки: Коцюрбенко Алексей aka Жерар (Мастер-Эксперт)]

Лучшие эксперты в этом разделе

Зенченко Константин Николаевич
Статус: Модератор
Рейтинг: 311
CradleA
Статус: Профессор
Рейтинг: 102
Valery N
Статус: Мастер-Эксперт
Рейтинг: 56

Перейти к консультации №:
 

Консультация онлайн # 193416
Автор вопроса: SAW (5-й класс)
Отправлена: 23.06.2018, 07:43
Поступило ответов: 2

Здравствуйте! У меня возникли сложности с таким вопросом:

Ко мне попали зашифрованные файлы с расширением ".XTBL", наверное вы знаете о таких. Но, к сожалению ключ от них потерялся и ни одна программа дешифратор, которые я смог найти в интернете, НЕ помогли!

У "Касперского" есть одна утилита "RakhniDecryptor", которая самостоятельно выполняет подбор пароля, но мои зашифрованные файлы она НЕ принимает.

И поэтому у меня появилась идея: а можно ли написать свой универсальный дешифратор, который мог бы самостоятельно сканировать любые файлы и подбирая пароли расшифровывать их?

Поиск в интернете мне ничего не дал по данному вопросу, везде предлагают написать "шифратор/дешифратор", а мне нужен именно универсальный дешифратор, которому можно "скормить" любой файл (теоретически).

Я немного владею C#, Delphi и сейчас изучаю WEB-программирование, поэтому мне хотелось бы знать есть ли вообще теоретическая возможность создания такого дешифратора и если есть, то хотелось бы получить ссылки на информацию как это делается и чем нужно обладать для реализации такого проекта.

Заранее, спасибо!

Состояние: Консультация закрыта

Ответ # 276617 от egor2145 (1-й класс)

интересно, почему вы используете RakhniDecryptor, когда вам нужен ShhadeDecryptor? у вас же шифровальщик shade поработал. другое дело, если вы потеряли файлы readme с кодом, которые оставались после шифрования. тогда шансы резко падают. в любом случае используйте последнюю версию ShadeDecryptor на сайте касперского, последняя версия от 21.05.2018. и да, при запуске проверки лучше чтобы интернет работал. возможно что она с сервера ключики подгрузит.


Консультировал: egor2145 (1-й класс)
Дата отправки: 24.06.2018, 18:40

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Здравствуйте, SAW!

Народная мудрость гласит: чем заболел, тем и лечимся.
smile
a)Психологический портрет человека который(возможно это несколько братьев по несчастью) писал вирус:
Это человек, у которого, есть куча свободного времени, есть доступ к РС, некоторые знания ЯВУ, и он чем-то не удовлетворен. Это может быть школьник - с ним никто не хочет дружить, а может и "не законно" уволенный безработный, а может и пенсионер, которому гос-во не доплачивает, или ему просто занятся нечем, так как весенне-осенее обострение.
b)Любой безопасник- типа "Бородоча", Вам скажет, любая угроза считается реальной, пока не доказано обратное. Пока не убедились, что это копи-пастер, считаем, что кодер крутой и соответственно относимся к вирусу.

На будущее, если поймали вирус.
1)Обзаведитесь(можно сделать на чистом РС, после заражения) Live-CD, закачайте на него антивирусный сканер, утилиты Sysinternals, дисковую утилиту типа Acronis и любым рековером.
2)Изолируете зараженный РС, дисковой утилитой делаете слепок диска(см. дальше).
3)С помощью Autoruns, контролируете, что грузится на РС (это можно сделать в виртуальной машине типа VMware, см п.2) и проверяете имя файла, производителя, контрольную сумму в сети. Не совпало - вирус.
4)Любой вирус, дожен как-то усложнить свое обнаружение, он будет скрыватся под именами системых файлов(см п. 3), востанавливатся, после удаления своими мониторами, звтруднять анализ своего алгоритма различными анти-приемами (дизассеиблирование, отладка), иногда обнаружив попытки анализа, может сделать "харакири" всей системе(см п.2), а у нас уже есть копия.
5)Запустив антиврусный сканер, можно узнать имя вируса, проанализировав его особенности, можно найти его слабые места.
У каждого вируса своя цель, т.е. он нацелен на определенные типы файлов, поиском файлов в системе занимаются FindFirst | FindNext, найдя их в листинге, можно смело говорить, что основной алгоритм, рядом. Найдя алгоритм, можно его проанализироавть и подобрать нужный декриптор.
6)Большенство вирусов пишут копи-пастеры, кусок там, кусок тут, слепили в кучу, запустили. Но есть и такие, которые написаны умными кодерами, там может быть, что угодно, даже скрытый вызов Win-API. Обычно таблетки от вирусов уже есть на антивирусных сайтах, но существует вероятность, что умышленно в коде была допущена ощибка, либо так скопи-пастили по незнанию.
7)Выполняя фаловые махинации, некоторые вирусы, удаляют рабочие файлы, вернее, они их маркируют, как удаленные и система может поверх их записать новую информацию, по этому имея слепок диска(см. п.2) можно попробывать рековером их востановить.

Для анализа кода, Вам будут полезны книги
- Крис Касперски(как пример:Техника отладки программ без исходного текста), хотя наверное нужно все его книги читать,
очень много полезной информации.
- Хогланд Г. МакГроу Г. Взлом программного обеспечения анализ и использование кода.
- А. Панов Реверсинг или защита программ от взлома.

Удачи!


Консультировал: Зенченко Константин Николаевич (Модератор)
Дата отправки: 02.07.2018, 22:59

5
Спасибо за книги, обязательно изучу!
-----
Дата оценки: 03.07.2018, 07:59

Рейтинг ответа:

+2

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Мини-форум консультации № 193416

Сергей Фрост
Администратор

ID: 143894

# 1

 +1 
 
= общий = | 23.06.2018, 09:09 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
SAW:

Если вкратце, принцип работы всех программ, позволяющих взламывать пароли, практически одинаковый.
Существует два базовых алгоритма взлома паролей.
Первый заключается в том, что подбирается секретный ключ который соответственно позволяет расшифровывать документ без знания его пароля.
Второй - это подбор самого пароля.
Во всех вышеназванных алгоритмах применяются три метода (называемые атаками):
1. атака по словарю;
2. атака методом последовательного перебора;
3. атака по маске.
Кроме этого в интернете можно найти и скачать уже готовые словари словоформ (встречал на латинице, возможно и существуют на кириллице).

В принципе, изучив алгоритмы и методы взлома (разобравшись в принципах их работы) и умея программировать (т.е. перенести вышесказанное в код программы) вполне по силам самостоятельно написать утилиту взлома пароля.

=====
Устав – есть устав! Если ты устав – то отдыхай!

• Отредактировал: Сергей Фрост (Администратор)
• Дата редактирования: 23.06.2018, 09:15

SAW
5-й класс

ID: 400526

# 2

= общий = | 23.06.2018, 10:14 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
Сергей Фрост:


Вы пишите конкретно про взлом пароля, а мне кажется, что тут важнее метод шифрования, т. е. если я ЗНАЮ как именно был зашифрован файл и мне нужен пароль, то тогда я буду подбирать лишь пароль, а если я НЕ знаю как он был зашифрован, тогда мне еще и метод шифрования угадать нужно.

Вот тут и получается, что либо программа должна быть знакома со всеми существующими методами шифрования, либо у нее должен быть простой алгоритм "в лоб", который сможет взломать любой шифр, но потребует большого кол-ва времени и вычислительных мощностей.

Мне это так видится, но скорее всего я ошибаюсь, ведь тогда уже давно был бы создан такой дешифровщик.

Сергей Фрост
Администратор

ID: 143894

# 3

 +2 
 
= общий = | 23.06.2018, 12:05 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
SAW:

Если бы была возможность взламывать криптозащиту в лоб, то ее бы (криптозащиты) не было, так как не было бы смысла в ней.

Если предполагается дешифровка сообщения, то ко всему мной вышесказанному добавляется еще один элемент под названием криптоанализ. Существует много способов и методов криптоанализа. Самый популярный - это метод "грубой силы". Алгоритмов шифрования не так уж много, а популярных - и того меньше.
Зачастую в качестве ключа шифрования используется пароль, который задает пользователь. Так что по любому взламывать пароль придется.
На практике это означает, что для дешифровки необходимо:
1. иметь в распоряжении криптосистемы и примеры зашифрованных сообщений;
2. разобраться в криптографических протоколах, иначе говоря, как программы шифруют данные;
3. разработать и реализовать алгоритм перебора ключей для этих криптосистем.
То есть, сначала изучить, потом разобраться в работе, и наконец понять, как это все вместе работает.

Без специальных знаний в области криптозащиты сделать самостоятельно утилиту взлома паролей трудно, но при желании, усидчивости и больших затратах времени возможно. Дилетанту в вопросах криптографии и программирования, скорее всего это не под силу.

=====
Устав – есть устав! Если ты устав – то отдыхай!

SAW
5-й класс

ID: 400526

# 4

 +1 
 
= общий = | 23.06.2018, 12:49 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
Сергей Фрост:


Примерно понятно, в ближайшую неделю начну копать в данном направлении...

Зенченко Константин Николаевич
Модератор

ID: 31795

# 5

 +2 
 
= общий = | 23.06.2018, 15:07 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
Сергей Фрост, SAW:

,
Метдов шифрования не так много(согласен с Сегреем), и если используется один из них декрипторы справляются. smile
Но если исползуется комбинация из нескольких методов - они падают. smile

К примеру есть, шифрованный текст: "blablablabla"
Декриптор, при подборе пароля, ломает первый шифр, но вместо заветного "Hello word", получил "H ewlolrod" = нечитаемая белиберда(т.е. нет в словаре совпадений), продолжает поиск.Когда варианты закончились, он сообщает:"сорри" smile smile

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Зенченко Константин Николаевич
Модератор

ID: 31795

# 6

 +1 
 
= общий = | 23.06.2018, 15:29 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
SAW:

Это читали Дешифратор XTBL вируса — как восстановить зашифрованные .xtbl файлы?

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

SAW
5-й класс

ID: 400526

# 7

= общий = | 23.06.2018, 15:59 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
Зенченко Константин Николаевич:


Да, этих статей в интернете полно, они все одинаковые и мне не подходят.

Алексеев Владимир Николаевич
Советник

ID: 259041

# 8

 +1 
 
= общий = | 23.06.2018, 16:02 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
SAW:

Вы просили "получить ссылки на информацию как это делается и чем нужно обладать для реализации такого проекта" - посмотрите фильм "Игра в имитацию" radiovesti.ru/brand/61178/episode/1421441/

Цитата из ru.wikipedia.org/wiki/Игра_в_имитацию : Тьюринг понимает, что без какой-то дополнительной подсказки даже "Кристофер" будет бессилен вычислить исходное зашифрованное сообщение. Когда последние надежды почти растаяли, Тьюринг случайно догадывается о том, что некоторые из сообщений содержат постоянно повторяющийся прогноз погоды. Эти и некоторые другие подсказки помогают, наконец, раскрыть секрет "Энигмы".

Если Вы не знаете, что именно Вы ищете в Ваших .XTBL-файлах (прогноз погоды или кулинарный рецепт…) - то у Вас нет ни цели, ни шансов. 10 лет назад в нашей глубинке было очень туго с интернетом. Соседи покупали в складчину спутниковые антенны-тарелки, устанавливали программы Граббер и грабили на халяву со спутник-потока зашифрованные rar-файлы, заказанные другими пользователями. Меня просили расшифровать эти файлы. Мы потратили уйму времени на расшифровку архивов. Но когда мы научились дешифровывать, оказалось - в чужих файлах нет ничего интересного : отупляющая порнуха и мерзкая реклама.

"начну копать в данном направлении" - копайте в программировании - это пригодится Вам. Когда научитесь делать это хорошо, то .XTBL-файлы станут Вам просто не нужны.

Зенченко Константин Николаевич
Модератор

ID: 31795

# 9

 +1 
 
= общий = | 23.06.2018, 17:25 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
SAW:

© Цитата: SAW
Ко мне попали зашифрованные файлы с расширением ".XTBL", наверное вы знаете о таких. Но, к сожалению ключ от них потерялся и ни одна программа дешифратор, которые я смог найти в интернете, НЕ помогли!

.XTBL - любимое разширение вирусов-вымогателей.

Вы как эксперт портала, хотите получать "точные" вопросы, при этом задаете свой вопрос из далека. Это как в анекдоте "поцелуй меня в затылок".

Ваш вопрос должен звучать так: Стал(мои знакомые) жертвой вируса-вымогатетя, как лечится.

1) как любой вирус он должен нажодится на РС;
2) обзаведитесь Sysinternals;
3) создайте Live-CD или Live-USB с утилитами Sysinternals(установки в BIOS на загрузку с нужного носителя);
4) загрузите РС в безопасном режиме и проследите за тем, что грузится - каждый "ххххх.ххх" проверьте в сети(с помощью чистого РС) на соответствие назначению, обычно указывается имя, назначение, производитель и его контрольная сумма.(не совпала сумма, или что-то другое, локализуйте этот файл).
5) такие вирусы на РС загружаются с несколькими мониторами, вирус удалили, монитор(который Вы пропустили) его востанавливает.
6) вирус содержит в себе механизм шифрования и ключ, добравшись к ним, Вы будете готовы - написать декриптор.

Одним словом. Удачи!

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Зенченко Константин Николаевич
Модератор

ID: 31795

# 10

= общий = | 23.06.2018, 18:06 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

© Цитата: SAW
Да, этих статей в интернете полно, они все одинаковые и мне не подходят.

Я не говорил, что будет легко, своего, ловил почти неделю, из-за мониотров(ХР, потом ОСь убил).
А вот еще: нужно смотреть реестр, все ветки "*RUN*", они обычно там себя пишут. smile
Найдите в сети статью об уязвимостях ОСи, т.е. получение не законного доступа на запуск(в ХР - было почти 30-ть, таких точек).

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Алексеев Владимир Николаевич
Советник

ID: 259041

# 11

= общий = | 24.06.2018, 10:47 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
Зенченко Константин Николаевич:

Как Вы догадались, что файлы ".XTBL" - из частушки "Самолёт летел - колёса тёрлися, а мы не звали вас, а вы припёрлися", а не праздное любопытство попробовать свои мозги в дешифрации? Однако, товарищ SAW не оспаривает Ваше подозрение, значит, похоже, Вы правы. Ну, если так, то в такой ситуации чтоб сэкономить время надо сохранить ценные докумы/дистрибы на др носитель и делать "чистую" переустановку системы. А в будущем не кликать на сомнительных сайтах обманчивые ссылки типа "Обновите браузер" или "Ускорьте компьютер".

Вы писали : "нужно смотреть реестр, все ветки "*RUN*", они обычно там себя пишут" - меня долго раздражали наглые программы, которые авто-прописывают свои модули в Run-разделы реестра. Я удаляю все авто-запуски, а как только запускаю "Nokia PC Suite" - она снова вписывает себя в HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ ! И приложение вроде нужное, и наглость его надо устранить. Как? 2 года назад я успешно опробовал гениальную идею: запретить своей учётке запись в Run-раздел. =Успех!

Позже я осмелел и запретил запись всем своим учёткам : В RegEdit HKCU\software\Microsoft\Windows\CurrentVersion\Run\ Разрешения для группы Админы я добавил Запретить для параметра ЗаданиеЗначения - и Ок! Делюсь с экспертами, может кому пригодится.

Недостаток я заметил т-ко 1: Когда запись запрещена, то прога ClassicShell , заменяющая в Win8 мерзкие плитки на классическую оболочку, не может переключить оболочку при входе в учётку. Тогда надо успеть временно снять свой запрет перед установкой проги ClassicShell .

P.S: Я забыл Главное : Поскольку вирус работает с правами текущей учётки, то он также лишается возможности прописать себя в АвтоЗагрузку через раздел реестра, запись в котором Вы заблокировали. Если Вы заблокируете все АвтоЗагруз-ворота , то вероятность неузвимости системы будет ОЧЕНЬ высока, потому что вирус-авторы обычно активируют свой продукт ПОСЛЕ перезагрузки, уповая на то, что пользователь не заметит АвтоЗагруз-прописку. А в текущем интернет-сеансе вирус обычно не проявляет своей активности, чтоб пользователь не догадался, с которого сайта получен вред.

• Отредактировал: Алексеев Владимир Николаевич (Советник)
• Дата редактирования: 26.06.2018, 02:20

Сергей Фрост
Администратор

ID: 143894

# 12

 +1 
 
= общий = | 25.06.2018, 16:34 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
SAW:

Вот что нашел в интернете по данному шифровальщику:

© Цитата: blog.avast.com
Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокировке. Заблокированные файлы выглядят следующим образом: <оригинальное-имя-файла>.id-<номер>.<email@domain.com>.<расширение>. Каждый подобный элемент содержит все данные, которые необходимы для его расшифровки. Файлы размером менее 262 144 байта зашифровываются полностью, а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку. Стоит отметить, что файлы, размер которых превышает 262 144 байта, шифруются лишь частично, однако и в этом случае использовать их не удастся. Такой способ работы вымогателя приводит к тому, что крупные файлы после шифрования еще больше увеличиваются в размере.


Так что в этом направлении можно копать.

=====
Устав – есть устав! Если ты устав – то отдыхай!

Зенченко Константин Николаевич
Модератор

ID: 31795

# 13

= общий = | 25.06.2018, 17:54 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
SAW:

Зараженый РС, форматировали или нет?

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

• Отредактировал: Зенченко Константин Николаевич (Модератор)
• Дата редактирования: 25.06.2018, 18:06

Зенченко Константин Николаевич
Модератор

ID: 31795

# 14

 +2 
 
= общий = | 25.06.2018, 18:06 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
Сергей Фрост:

© Цитата: Сергей Фрост
а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку


В другом источнике, прочитал, что в конец файла пишут два ключа, какбы зашифрованые
Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла
.

На этом ресурсе много информации по вымогателям.
smile

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

SAW
5-й класс

ID: 400526

# 15

 +1 
 
= общий = | 27.06.2018, 04:35 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер
Алексеев Владимир Николаевич, Зенченко Константин Николаевич, Сергей Фрост, Зенченко Константин Николаевич:

© Цитата:
посмотрите фильм "Игра в имитацию"

Фильм данный смотрел, сразу вспомнил про него, как написал сюда вопрос.
© Цитата:
Ваш вопрос должен звучать так: Стал(мои знакомые) жертвой вируса-вымогатетя, как лечится.

Спасибо за подсказку, но у меня данного вируса нет, поэтому я и написал, что ко мне попали эти файлы уже без ключа, вот у меня и появилась идея попробовать их расшифровать, если не получиться, то не страшно, а если получится, то это будет бесценный опыт.
© Цитата:
Вот что нашел в интернете по данному шифровальщику:

Спасибо за информацию, я уже много о данных вирусах прочитал.
© Цитата:
Зараженый РС, форматировали или нет?

Того компьютера уже нет! )))

• Отредактировал: SAW (5-й класс)
• Дата редактирования: 27.06.2018, 04:37

 

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Яндекс Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.49790 сек.

© 2001-2018, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.47 от 16.04.2018