Консультация онлайн # 193416

Раздел: Криптография / защита информации
Автор вопроса: demid088 (Студент)
Дата: 23.06.2018, 07:43 Консультация неактивна
Поступило ответов: 2
Здравствуйте! У меня возникли сложности с таким вопросом:

Ко мне попали зашифрованные файлы с расширением ".XTBL", наверное вы знаете о таких. Но, к сожалению ключ от них потерялся и ни одна программа дешифратор, которые я смог найти в интернете, НЕ помогли!

У "Касперского" есть одна утилита "RakhniDecryptor", которая самостоятельно выполняет подбор пароля, но мои зашифрованные файлы она НЕ принимает.

И поэтому у меня появилась идея: а можно ли написать свой универсальный дешифратор, который мог бы самостоятельно сканировать любые файлы и подбирая пароли расшифровывать их?

Поиск в интернете мне ничего не дал по данному вопросу, везде предлагают написать "шифратор/дешифратор", а мне нужен именно универсальный дешифратор, которому можно "скормить" любой файл (теоретически).

Я немного владею C#, Delphi и сейчас изучаю WEB-программирование, поэтому мне хотелось бы знать есть ли вообще теоретическая возможность создания такого дешифратора и если есть, то хотелось бы получить ссылки на информацию как это делается и чем нужно обладать для реализации такого проекта.

Заранее, спасибо!

Ответ # 1, egor2145 (1-й класс)

интересно, почему вы используете RakhniDecryptor, когда вам нужен ShhadeDecryptor? у вас же шифровальщик shade поработал. другое дело, если вы потеряли файлы readme с кодом, которые оставались после шифрования. тогда шансы резко падают. в любом случае используйте последнюю версию ShadeDecryptor на сайте касперского, последняя версия от 21.05.2018. и да, при запуске проверки лучше чтобы интернет работал. возможно что она с сервера ключики подгрузит.

egor2145

1-й класс
24.06.2018, 18:40
Нет оценки ответа
Здравствуйте, SAW!

Народная мудрость гласит: чем заболел, тем и лечимся.
smile
a)Психологический портрет человека который(возможно это несколько братьев по несчастью) писал вирус:
Это человек, у которого, есть куча свободного времени, есть доступ к РС, некоторые знания ЯВУ, и он чем-то не удовлетворен. Это может быть школьник - с ним никто не хочет дружить, а может и "не законно" уволенный безработный, а может и пенсионер, которому гос-во не доплачивает, или ему просто занятся нечем, так как весенне-осенее обострение.
b)Любой безопасник- типа "Бородоча", Вам скажет, любая угроза считается реальной, пока не доказано обратное. Пока не убедились, что это копи-пастер, считаем, что кодер крутой и соответственно относимся к вирусу.

На будущее, если поймали вирус.
1)Обзаведитесь(можно сделать на чистом РС, после заражения) Live-CD, закачайте на него антивирусный сканер, утилиты Sysinternals, дисковую утилиту типа Acronis и любым рековером.
2)Изолируете зараженный РС, дисковой утилитой делаете слепок диска(см. дальше).
3)С помощью Autoruns, контролируете, что грузится на РС (это можно сделать в виртуальной машине типа VMware, см п.2) и проверяете имя файла, производителя, контрольную сумму в сети. Не совпало - вирус.
4)Любой вирус, дожен как-то усложнить свое обнаружение, он будет скрыватся под именами системых файлов(см п. 3), востанавливатся, после удаления своими мониторами, звтруднять анализ своего алгоритма различными анти-приемами (дизассеиблирование, отладка), иногда обнаружив попытки анализа, может сделать "харакири" всей системе(см п.2), а у нас уже есть копия.
5)Запустив антиврусный сканер, можно узнать имя вируса, проанализировав его особенности, можно найти его слабые места.
У каждого вируса своя цель, т.е. он нацелен на определенные типы файлов, поиском файлов в системе занимаются FindFirst | FindNext, найдя их в листинге, можно смело говорить, что основной алгоритм, рядом. Найдя алгоритм, можно его проанализироавть и подобрать нужный декриптор.
6)Большенство вирусов пишут копи-пастеры, кусок там, кусок тут, слепили в кучу, запустили. Но есть и такие, которые написаны умными кодерами, там может быть, что угодно, даже скрытый вызов Win-API. Обычно таблетки от вирусов уже есть на антивирусных сайтах, но существует вероятность, что умышленно в коде была допущена ощибка, либо так скопи-пастили по незнанию.
7)Выполняя фаловые махинации, некоторые вирусы, удаляют рабочие файлы, вернее, они их маркируют, как удаленные и система может поверх их записать новую информацию, по этому имея слепок диска(см. п.2) можно попробывать рековером их востановить.

Для анализа кода, Вам будут полезны книги
- Крис Касперски(как пример:Техника отладки программ без исходного текста), хотя наверное нужно все его книги читать,
очень много полезной информации.
- Хогланд Г. МакГроу Г. Взлом программного обеспечения анализ и использование кода.
- А. Панов Реверсинг или защита программ от взлома.

Удачи!

Зенченко Константин Николаевич

Старший модератор
02.07.2018, 22:59
5
Спасибо за книги, обязательно изучу!

Мини-форум консультации # 193416

Сергей Фрост

Управляющий

ID: 143894

301653

= общий =    23.06.2018, 09:09
Если вкратце, принцип работы всех программ, позволяющих взламывать пароли, практически одинаковый.
Существует два базовых алгоритма взлома паролей.
Первый заключается в том, что подбирается секретный ключ который соответственно позволяет расшифровывать документ без знания его пароля.
Второй - это подбор самого пароля.
Во всех вышеназванных алгоритмах применяются три метода (называемые атаками):
1. атака по словарю;
2. атака методом последовательного перебора;
3. атака по маске.
Кроме этого в интернете можно найти и скачать уже готовые словари словоформ (встречал на латинице, возможно и существуют на кириллице).

В принципе, изучив алгоритмы и методы взлома (разобравшись в принципах их работы) и умея программировать (т.е. перенести вышесказанное в код программы) вполне по силам самостоятельно написать утилиту взлома пароля.
Последнее редактирование 23.06.2018, 09:15 Сергей Фрост (Управляющий)
=====
Устав – есть устав! Если ты устав – то отдыхай!

demid088

Студент

ID: 400526

301654

= общий =    23.06.2018, 10:14

Вы пишите конкретно про взлом пароля, а мне кажется, что тут важнее метод шифрования, т. е. если я ЗНАЮ как именно был зашифрован файл и мне нужен пароль, то тогда я буду подбирать лишь пароль, а если я НЕ знаю как он был зашифрован, тогда мне еще и метод шифрования угадать нужно.

Вот тут и получается, что либо программа должна быть знакома со всеми существующими методами шифрования, либо у нее должен быть простой алгоритм "в лоб", который сможет взломать любой шифр, но потребует большого кол-ва времени и вычислительных мощностей.

Мне это так видится, но скорее всего я ошибаюсь, ведь тогда уже давно был бы создан такой дешифровщик.
Сергей Фрост

Управляющий

ID: 143894

301656

= общий =    23.06.2018, 12:05
Если бы была возможность взламывать криптозащиту в лоб, то ее бы (криптозащиты) не было, так как не было бы смысла в ней.

Если предполагается дешифровка сообщения, то ко всему мной вышесказанному добавляется еще один элемент под названием криптоанализ. Существует много способов и методов криптоанализа. Самый популярный - это метод "грубой силы". Алгоритмов шифрования не так уж много, а популярных - и того меньше.
Зачастую в качестве ключа шифрования используется пароль, который задает пользователь. Так что по любому взламывать пароль придется.
На практике это означает, что для дешифровки необходимо:
1. иметь в распоряжении криптосистемы и примеры зашифрованных сообщений;
2. разобраться в криптографических протоколах, иначе говоря, как программы шифруют данные;
3. разработать и реализовать алгоритм перебора ключей для этих криптосистем.
То есть, сначала изучить, потом разобраться в работе, и наконец понять, как это все вместе работает.

Без специальных знаний в области криптозащиты сделать самостоятельно утилиту взлома паролей трудно, но при желании, усидчивости и больших затратах времени возможно. Дилетанту в вопросах криптографии и программирования, скорее всего это не под силу.
=====
Устав – есть устав! Если ты устав – то отдыхай!

demid088

Студент

ID: 400526

301657

= общий =    23.06.2018, 12:49

Примерно понятно, в ближайшую неделю начну копать в данном направлении...
Зенченко Константин Николаевич

Старший модератор

ID: 31795

301658

= общий =    23.06.2018, 15:07
,
Метдов шифрования не так много(согласен с Сегреем), и если используется один из них декрипторы справляются. smile
Но если исползуется комбинация из нескольких методов - они падают. smile

К примеру есть, шифрованный текст: "blablablabla"
Декриптор, при подборе пароля, ломает первый шифр, но вместо заветного "Hello word", получил "H ewlolrod" = нечитаемая белиберда(т.е. нет в словаре совпадений), продолжает поиск.Когда варианты закончились, он сообщает:"сорри" smile smile
=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile
Зенченко Константин Николаевич

Старший модератор

ID: 31795

301659

= общий =    23.06.2018, 15:29
=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile
demid088

Студент

ID: 400526

301660

= общий =    23.06.2018, 15:59

Да, этих статей в интернете полно, они все одинаковые и мне не подходят.
Алексеев Владимир Николаевич

Мастер-Эксперт

ID: 259041

301661

= общий =    23.06.2018, 16:02
Вы просили "получить ссылки на информацию как это делается и чем нужно обладать для реализации такого проекта" - посмотрите фильм "Игра в имитацию" radiovesti.ru/br...episode/1421441/

Цитата из ru.wikipedia.org.../Игра_в_имитацию : Тьюринг понимает, что без какой-то дополнительной подсказки даже "Кристофер" будет бессилен вычислить исходное зашифрованное сообщение. Когда последние надежды почти растаяли, Тьюринг случайно догадывается о том, что некоторые из сообщений содержат постоянно повторяющийся прогноз погоды. Эти и некоторые другие подсказки помогают, наконец, раскрыть секрет "Энигмы".

Если Вы не знаете, что именно Вы ищете в Ваших .XTBL-файлах (прогноз погоды или кулинарный рецепт…) - то у Вас нет ни цели, ни шансов. 10 лет назад в нашей глубинке было очень туго с интернетом. Соседи покупали в складчину спутниковые антенны-тарелки, устанавливали программы Граббер и грабили на халяву со спутник-потока зашифрованные rar-файлы, заказанные другими пользователями. Меня просили расшифровать эти файлы. Мы потратили уйму времени на расшифровку архивов. Но когда мы научились дешифровывать, оказалось - в чужих файлах нет ничего интересного : отупляющая порнуха и мерзкая реклама.

"начну копать в данном направлении" - копайте в программировании - это пригодится Вам. Когда научитесь делать это хорошо, то .XTBL-файлы станут Вам просто не нужны.
Зенченко Константин Николаевич

Старший модератор

ID: 31795

301662

= общий =    23.06.2018, 17:25

Ко мне попали зашифрованные файлы с расширением ".XTBL", наверное вы знаете о таких. Но, к сожалению ключ от них потерялся и ни одна программа дешифратор, которые я смог найти в интернете, НЕ помогли!


.XTBL - любимое разширение вирусов-вымогателей.

Вы как эксперт портала, хотите получать "точные" вопросы, при этом задаете свой вопрос из далека. Это как в анекдоте "поцелуй меня в затылок".

Ваш вопрос должен звучать так: Стал(мои знакомые) жертвой вируса-вымогатетя, как лечится.

1) как любой вирус он должен нажодится на РС;
2) обзаведитесь Sysinternals;
3) создайте Live-CD или Live-USB с утилитами Sysinternals(установки в BIOS на загрузку с нужного носителя);
4) загрузите РС в безопасном режиме и проследите за тем, что грузится - каждый "ххххх.ххх" проверьте в сети(с помощью чистого РС) на соответствие назначению, обычно указывается имя, назначение, производитель и его контрольная сумма.(не совпала сумма, или что-то другое, локализуйте этот файл).
5) такие вирусы на РС загружаются с несколькими мониторами, вирус удалили, монитор(который Вы пропустили) его востанавливает.
6) вирус содержит в себе механизм шифрования и ключ, добравшись к ним, Вы будете готовы - написать декриптор.

Одним словом. Удачи!
=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile
Зенченко Константин Николаевич

Старший модератор

ID: 31795

301663

= общий =    23.06.2018, 18:06

Да, этих статей в интернете полно, они все одинаковые и мне не подходят.


Я не говорил, что будет легко, своего, ловил почти неделю, из-за мониотров(ХР, потом ОСь убил).
А вот еще: нужно смотреть реестр, все ветки "*RUN*", они обычно там себя пишут. smile
Найдите в сети статью об уязвимостях ОСи, т.е. получение не законного доступа на запуск(в ХР - было почти 30-ть, таких точек).
=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile
Алексеев Владимир Николаевич

Мастер-Эксперт

ID: 259041

301664

= общий =    24.06.2018, 10:47
Как Вы догадались, что файлы ".XTBL" - из частушки "Самолёт летел - колёса тёрлися, а мы не звали вас, а вы припёрлися", а не праздное любопытство попробовать свои мозги в дешифрации? Однако, товарищ SAW не оспаривает Ваше подозрение, значит, похоже, Вы правы. Ну, если так, то в такой ситуации чтоб сэкономить время надо сохранить ценные докумы/дистрибы на др носитель и делать "чистую" переустановку системы. А в будущем не кликать на сомнительных сайтах обманчивые ссылки типа "Обновите браузер" или "Ускорьте компьютер".

Вы писали : "нужно смотреть реестр, все ветки "*RUN*", они обычно там себя пишут" - меня долго раздражали наглые программы, которые авто-прописывают свои модули в Run-разделы реестра. Я удаляю все авто-запуски, а как только запускаю "Nokia PC Suite" - она снова вписывает себя в HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ ! И приложение вроде нужное, и наглость его надо устранить. Как? 2 года назад я успешно опробовал гениальную идею: запретить своей учётке запись в Run-раздел. =Успех!

Позже я осмелел и запретил запись всем своим учёткам : В RegEdit HKCU\software\Microsoft\Windows\CurrentVersion\Run\ Разрешения для группы Админы я добавил Запретить для параметра ЗаданиеЗначения - и Ок! Делюсь с экспертами, может кому пригодится.

Недостаток я заметил т-ко 1: Когда запись запрещена, то прога ClassicShell , заменяющая в Win8 мерзкие плитки на классическую оболочку, не может переключить оболочку при входе в учётку. Тогда надо успеть временно снять свой запрет перед установкой проги ClassicShell .

P.S: Я забыл Главное : Поскольку вирус работает с правами текущей учётки, то он также лишается возможности прописать себя в АвтоЗагрузку через раздел реестра, запись в котором Вы заблокировали. Если Вы заблокируете все АвтоЗагруз-ворота , то вероятность неузвимости системы будет ОЧЕНЬ высока, потому что вирус-авторы обычно активируют свой продукт ПОСЛЕ перезагрузки, уповая на то, что пользователь не заметит АвтоЗагруз-прописку. А в текущем интернет-сеансе вирус обычно не проявляет своей активности, чтоб пользователь не догадался, с которого сайта получен вред.
Последнее редактирование 26.06.2018, 02:20 Алексеев Владимир Николаевич (Мастер-Эксперт)
Сергей Фрост

Управляющий

ID: 143894

301675

= общий =    25.06.2018, 16:34
Вот что нашел в интернете по данному шифровальщику:

Цитата: blog.avast.com

Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокировке. Заблокированные файлы выглядят следующим образом: <оригинальное-имя-файла>.id-<номер>.<email@domain.com>.<расширение>. Каждый подобный элемент содержит все данные, которые необходимы для его расшифровки. Файлы размером менее 262 144 байта зашифровываются полностью, а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку. Стоит отметить, что файлы, размер которых превышает 262 144 байта, шифруются лишь частично, однако и в этом случае использовать их не удастся. Такой способ работы вымогателя приводит к тому, что крупные файлы после шифрования еще больше увеличиваются в размере.



Так что в этом направлении можно копать.
=====
Устав – есть устав! Если ты устав – то отдыхай!

Зенченко Константин Николаевич

Старший модератор

ID: 31795

301678

= общий =    25.06.2018, 17:54
Зараженый РС, форматировали или нет?
Последнее редактирование 25.06.2018, 18:06 Зенченко Константин Николаевич (Старший модератор)
=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile
Зенченко Константин Николаевич

Старший модератор

ID: 31795

301679

= общий =    25.06.2018, 18:06

а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку



В другом источнике, прочитал, что в конец файла пишут два ключа, какбы зашифрованые

Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла

.

На этом ресурсе много информации по вымогателям.
smile
=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile
demid088

Студент

ID: 400526

301680

= общий =    27.06.2018, 04:35

посмотрите фильм "Игра в имитацию"


Фильм данный смотрел, сразу вспомнил про него, как написал сюда вопрос.

Ваш вопрос должен звучать так: Стал(мои знакомые) жертвой вируса-вымогатетя, как лечится.


Спасибо за подсказку, но у меня данного вируса нет, поэтому я и написал, что ко мне попали эти файлы уже без ключа, вот у меня и появилась идея попробовать их расшифровать, если не получиться, то не страшно, а если получится, то это будет бесценный опыт.

Вот что нашел в интернете по данному шифровальщику:


Спасибо за информацию, я уже много о данных вирусах прочитал.

Зараженый РС, форматировали или нет?


Того компьютера уже нет! )))
Последнее редактирование 27.06.2018, 04:37 demid088 (Студент)
Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.