Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus CTB LOCKER - zdeszyfrowanie plików.

pabloinformatyk 02 Sty 2015 20:26 7689 18
  • #1 02 Sty 2015 20:26
    pabloinformatyk
    Poziom 8  

    Zwracam sie do Was z prośbą o rozwiązanie problemu związanego z działaniem wirusa CTB LOCKER. Doprowadził on do zaszyfrowania plików z rozszerzeniem .jpg, .doc i .pdf, wyświetlając jednocześnie monit ostrzegający o obowiązku zapłaty za zdeszyfrowanie owych plików. Rzecz jasna nie uległem poleceniu zapłaty (a w zasadzie wyłudzenia pieniędzy). Próbowałem rozwiązać problem, posiłkując się podpowiedziami w Internecie. W zasadzie przeważała metoda zrobienia porządku w rejestrze systemu (usuwając jeden niepożądany plik) oraz potraktowanie wszystkiego oprogramowaniem SpyHunter. Zrobiłem wszystko jak wskazano w instruktażu, lecz pliki nadal mam zaszyfrowane. Na przykład plik jpg to: nazwapliku.JPG.XGGCSOG. Teraz pytanie do Was - co zrobić, by przywrócić pierwotne rozszerzenie? Proszę o pomoc. Dziękuję.

    0 18
  • #2 02 Sty 2015 21:13
    Artur k.
    Admin grupy audio

    Nie zrobisz nic, ponieważ pliki nadal są zaszyfrowane, zaś klucz użyty do zaszyfrowania nie jest znany. Prawdopodobnie jest to klucz generowany indywidualnie dla każdego zainfekowanego komputera, a więc nie pomogą metody jakie stosowali inni.
    Można to porównać do wirusa HIV - na niego też nie ma lekarstwa, bo u każdego nosiciela ma on inny kod genetyczny.

    0
  • #3 02 Sty 2015 21:26
    pabloinformatyk
    Poziom 8  

    To niedobrze. Chciałbym jeszcze zrobić taki myk, by sformatować partycje, na której są te pliki. Potem posłużyłbym się oprogramowaniem do odzyskiwania utraconych danych. Czy nie naruszając pierwotnej struktury partycji (mam na myśli proces nienadpisywania jej), będę w stanie odzyskać pliki w pierwotnym formacie? Zawsze coś zostaje na dysku, a niekiedy można odzyskać pliki, które wyrzuciło się jakiś czas temu. Co sądzicie o tym? Zdałoby to egzamin?

    0
  • #4 02 Sty 2015 21:35
    dt1
    Moderator - Komputery Serwis

    W niektórych przypadkach część plików da się odzyskać oprogramowaniem do odzyskiwania danych. Pliki po zaszyfrowaniu przez wirusa są kasowane i jest to jakaś metoda. Jeśli nie wykonywałeś operacji dyskowych (zapisów) na dysku, na którym masz dane do odzyskania - to z pewnością warto spróbować. Należałoby podłaczyć dysk do innego komputera (aby nie pracować na nim) bądź uruchomić środowisko live i program do odzysku (np DMDE) i odzyskiwać dane zapisując je na innym dysku.

    0
  • #5 02 Sty 2015 21:43
    pabloinformatyk
    Poziom 8  

    W takim razie spróbuję swoich sił i zobaczymy, jak popiszą się programy do odzyskiwania danych. Mimo wszystko nadal podtrzymuję tenże wątek jako otwarty i wszelkie pomysły proszę kierować w następnych wypowiedziach. Dziękuję bardzo za zaangażowanie i cenne wskazówki, które pomogą rozwiązać problem i posłużą kolejnym ofiarom przekrętu.

    0
  • #7 20 Sty 2015 16:30
    rejs1a
    Poziom 2  

    witam. czy program do odzyskiwania coś wskórał ? dało rade odzyskać jakieś zaszyfrowane dane ?

    -1
  • #8 20 Sty 2015 18:19
    Kolobos
    Spec od komputerów

    @rejs1a nadpisanych danych nie da sie odzyskac, wiec watpie zeby program cos tutaj pomogl.

    0
  • #9 21 Sty 2015 11:05
    iagre
    Poziom 35  

    Jeżeli są tu jacyś zdolni programiści mający dostęp do tego wirusa to niech go zdebugują żeby odtworzyć algorytm jego działania (także sposób generowania klucza i identyfikatora). Może dzieki temu jacyś zdolni kryptolodzy-programiści znajdą sposób (stworzą skuteczny program) na odkodowanie tych „utraconych” plików.

    0
  • #10 21 Sty 2015 11:47
    Kolobos
    Spec od komputerów

    @iagre gdyby to bylo takie proste...
    Na chwile obecna NIE MA mozliwosci odszyfrowania danych.

    0
  • #11 21 Sty 2015 20:41
    rejs1a
    Poziom 2  

    a czy jest możliwość znalezienia klucza .. sposobu odkodowania pliku jeśli ma się do dyspozycji plik oryginalny i przemielony (zaszyfrowany) ???

    0
  • #12 21 Sty 2015 21:09
    Kolobos
    Spec od komputerów

    Danych NIE DA sie odszyfrowac, ile jeszcze razy trzeba to pisac?

    0
  • #13 21 Sty 2015 23:50
    Artur k.
    Admin grupy audio

    rejs1a napisał:
    a czy jest możliwość znalezienia klucza .. sposobu odkodowania pliku jeśli ma się do dyspozycji plik oryginalny i przemielony (zaszyfrowany) ???

    Do odszyfrowania danych potrzebne są dwa klucze - klucz publiczny (który zna ten komu dane zaszyfrowano) oraz klucz prywatny - mają go ci, którzy owe dane zaszyfrowali. Taka metoda szyfrowania nazywa się szyfrowaniem asymetrycznym. Klucz w tym przypadku jest 128 bitowy, a więc szyfrowanie jest dość silne. Nie sposób odgadnąć klucz w rozsądnym czasie.
    Możliwe, że istnieje tylko jeden klucz prywatny, zaś z niego tworzone są kolejne klucze publiczne, nie mniej jednak i tak klucza prywatnego nie znasz, więc niczego to nie zmienia.

    Deasemblacja pliku wirusa też prawdopodobnie nic nie da. Wirus jest znany od jakiegoś czasu i wyjątkowo wredny, gdyby dało się w prosty sposób go obejść, to już dawno ktoś by to zrobił. Na pewno pracuje nad tym niejedno laboratorium, jak na razie bez efektów.

    5
  • #14 28 Lip 2015 22:03
    dawciobiel
    Poziom 12  

    Deasemblacja kodu wirusa na pewno nic nie da (o ile nie popełniono w nim błędów), bo to nie jest kwestia jak działa wirus, ale kwestia siły algorytmu szyfrującego. A nawet jeżeli jest znany sam algorytm (a przypuszczam, że użyto czegoś znanego od lat) to i tak nic to nie da (o ile oczywiście użyto znanego algorytmu który nie zawiera w sobie błędów).

    Algorymty tego typu (czyli asymetryczne) tak jak wspomniał przedmówca który bardzo dobrze napisał działając na zasadzie klucza publicznego i prywatnego. Publiczny może znać każdy - nim się dane szyfruje. Ale żeby je teraz odszyfrować to trzeba znać klucz prywatny. Taki klucz to ciąg bajtów np.:

    01 03 05 09 ab cd ef ...

    i to za jego pomocą wykonuje się pewne działania matematyczne na zaszyfrowanych danych. Potem te dane sie przetwarza, znowu wykonuje na nich działania matematyczne i tak w kółko. Ostatecznie dostajemy ciąg bajtów:

    1234abcd

    i te dane są naszymi danymi po deszyfracji.

    I teraz żeby złamać algorytm to albo :

    - trzeba znaleźć w nim błąd - a tego może tam w ogóle nie być. Albo

    - trzeba na podstawie wielu plików zaszyfrowanych tym samym kluczem prywatnym próbować deszyfracji... i sprawdzać czy cos sensownego wyszło.. lub czy pewne ciągi zaszyfrowane się potwarzają w wielu plikach... - ogólnie robota głupiego i przy nowoczesnych szyfrach na pewno się to nie uda.

    - sprawdzać częstotliwość występowania pewnych ciągów bajtowych w zaszyfrowanym pliku i na tej podstawie próbować prównywać to do częstotliwości występowania liter w danym języku np. częstotliwość występowania litery "a" w wyrazach polskich.. - tak jak pisałem w poprzednim punkcie : robota głupiego i na pewno przy nowoczesnych algorytmach się to nie powiedzie.

    - jeżeli mamy plik zaszyfrowany i plik przed deszyfracją to badając jedno i drugie próbujemy stwierdzić jaki to algorytm i jaki klucz.. . Oczywiście jeżeli posiadamy plik przed szyfracją.. .

    - i ostatnia metoda... (chyba) w 100% skuteczna... metoda siłowa. Metoda polega na próbowaniu użycia klucza złożonego ze wszystkich możliwych kombinacji/permutacji wartości bajtów użytych do zbudowania klucza. W końcu przy pewnej kombinacji bajtów odaje się odszyfrować treść i po odszyfrowaniu mamy "sensownie wyglądające" dane. Metoda ta ma głównie jedną zasadniczą i jedną "poboczną" wadę. Poboczna to taka, że wymaga się dużej mocy obliczeniowej (np. wszystkie komputery na świecie lub jakieś wielkie centrum obliczeniowe (hehe, pamiętacie jak was zachęcano do dołączania do programu poszukiwania obcych cywilizacji czy .. coś tam analizowania zdjęć gwiazd? Wasz komputer był używany do przeliczania czegoś, ale co to było.. to tego prawie nikt nie wie). A ta wada zasadnicza tej metody jest taka, że... czas potrzebny na znalezienie wszystkich możliwych kombinacji bajtów w kluczu jest tak duży, że nie starczyło by na to ani waszego życia ani mocy obliczeniowej wszystkich komputerów na świecie razem wziętych. Oczywiście zakładają cze długość klucza na prawdę wynosi te 128 bitów.



    p.s.
    1 bajt = 8 bitów.


    p.s.
    właśnie walczę z jedną z wersji CTB-Lockera, jeżeli moja walka się powiedzie i uda mi się odszyfrować pliki to podzielę sie rewelacjami jak tego dokonałem. A jest pewien pomysł jak to zrobić.. tylko nie wiem czy przy tej wersji "lockera" się uda, więc póki co nie sieję zamętu.


    p.s.
    aha jeszcze zapomniałem tam przy wyjaśnianiu działania algorytmu wspomnieć o tak zwanej "soli" (salt). Ale.. w sumie jednak nie ma sensu zaciemniać i komplikować mojej wypowiedzi.

    0
  • #15 29 Lip 2015 08:02
    Artur k.
    Admin grupy audio

    Algorytm szyfrujący nie może być skomplikowany, ponieważ wirus szyfruje dane dość szybko - w ciągu kilku minut jest w stanie "obrobić" kilkaset plików, ponadto z tego co zauważyłem nie rusza plików większych niż 30MB (prawdopodobnie dlatego, że zbyt długo by trwało szyfrowanie).
    Nie wiadomo też jak silne jest szyfrowanie, tymi 128 bitami chwalą się twórcy wirusa, ale przecież mogą blefować. Poza tym odmian tego wirusa jest kilka, możliwe że każdy używa innego klucza/algorytmu/siły.

    Myślę, że szyfrowanie w istocie jest dość proste - równie dobrze mogą być szyfrowane pierwsze bity/bajty pliku lub nawet po prostu dopisywane do pliku.
    Tu faktycznie wiele mogłoby pomóc porównanie oryginalnego pliku z zaszyfrowanym.

    Jednakże cokolwiek by to nie było, łamanie szyfru metodą brute force mija się z celem niezależnie od tego jak silny jest algorytm szyfrujący.

    0
  • #16 09 Sie 2015 13:30
    dawciobiel
    Poziom 12  

    Dobra, jestem z powrotem po wielu dniach...

    Istnieje (a raczej istniała) stronka na którą ponoć można było wysłać zaszyfrowany plik, i na podanego przez nas mejla otrzymywaliśmy klucz za pomocą którego można było odszyfrować resztę plików. Stronki już nie ma. Nie wiem na jakiej zasadzie oni mieli by ustalać klucz.. albo w "ich" wersji Lockera był błąd.. albo mają piekielnie mocne systemy obliczeniowe, ale nawet jeżeli tak, to wątpie, że ktoś robił by to za darmo.

    Odzyskiwanie plików sprzed zdarzenia.
    Są 3 sposoby (wszystkie nieskuteczne - dlaczego? - o tym potem) odzyskiwania plików sprzed szyfrowania. Wklejam treść po angielsku, bo jeżeli miałbym to pisać po swojemu to było by znacznie więcej tekstu, a myślę, że ta treść jest bardzo prosta:

    Cytat:

    The files have been encrypted by CTB Locker. Unfortunately, there is no method to brute force decryption of files encrypted by this infection.

    You have a few options which may or may not work.
    I'm afraid there are no guarantees here. You may be lucky and end with a successful result, or you may be unlucky.

    CTB Locker is supposed to delete Shadow Volume Copies, so the first two options have low success rate with this infection.

    Let me know how you get on.

    Previous Versions

    Right-click the file/folder and click Properties.
    Click Previous Versions.
    This tab will list all copies of the file and the date they were backed up.
    To restore a particular version of the file, click Copy and select the directory you wish to restore the file to.
    If you wish to restore the selected file and replace the existing one, click Restore.
    If you wish to view the contents of the file before restoring, click Open.


    ShadowExplorer

    Please download ShadowExplorer and save the file to your Desktop.
    Right-Click ShadowExplorer-0.9-portable.zip and click Extract All. Select your Desktop and click Extract.
    Right-Click ShadowExplorer.exe and select Run as administrator to run the programme.
    You will see a drop-down menu with the shadow copies of all partitions and disks present.
    Click C:\ from the drop-down menu.
    To the right, pick a date prior to the infection from the drop-down menu.
    To restore a whole folder, right-click on your desired folder and click Export. You will then be prompted as to where you would like to restore the contents of the folder to.


    File Recovery Software
    File Recovery Software may be able to recover the original file deleted by the infection. Please bear in mind, the more you use the machine after the files are encrypted, the harder it will be for the recovery software to recover your files.

    R-Studio




    Photorec
    Recuva


    Metody nie działają, bo:
    Ad.: Previous Versions, ShadowExplorer:
    wcześniejsze (niezaszyfrowane) wersje plików są po prostu usuwane z systemu. Bardzo sprytne.

    Ad.: File Recovery Software:
    Pliki zaszyfrowane są nadpisywane na ich nie-zaszyfrowane odpowiedniki. Więc... nie da rady.



    Teraz kilka słów w temacie odszyfrowywania.
    Na wstępie zaznaczam, że zgadzam się z "Arturek K." (p.s. 'K' od nazwiska? jak 'K(10 liter)k' ? bo jeżeli tak to się znamy :P) co do braku sensu w łamaniu siłowym klucza. Jednak... nie jestem pewien czy autorzy "wirusa" popełnili błąd w algorytmie szyfrującym (nie wydaje mi się) i nie jestem pewien co do długości klucza używanego przy szyfracji. Niektóre wersji Locker'a (wg ich autorów) używają 128bitów - inne ponoć 2048. Jeżeli jest to prawda to łamanie siłowe zajęło by... nie doczekalibyśmy się na to nigdy. No ale.. zawsze można próbować - a nóż widelec nam potrzebny klucz to ciąg znaków "aaaaaaaaaaaaaaaa(...)" - kto wie :D

    Istnieje programik - Decryptolocker.exe - (niestety nie wiem do jakiej wersji Locker'a od się tyczy, więc... nawet jeżeli dziła poprawnie i metodą prób i błędów trafilibyśmy na poprawny klucz deszyfrujący to i tak nie ma gwarancji że deszyfracja zakończyła by się w naszym przypadku sukcesem). Programik który dokonuje deszyfracji pliku z użyciem podanego przez nas klucza.
    Jaka jest długość klucza, w jakiej formie ma być podana (znaki alfanumeryczne, czy ciągi hexydecymalne) itp. - tego nie wiem, na pewno jest to zależne od algorytmu użytego i długości klucza użytego.

    Code:
    usage: Decryptolocker.exe [-h] (--key RAWKEY | --find) [-r] [-v] [-o DESTDIR]
    
                              [--csv CSVFILE]
                              encrypted_filenames [encrypted_filenames ...]

    Decrypt CryptoLocker encrypted files.

    positional arguments:
      encrypted_filenames

    optional arguments:
      -h, --help           show this help message and exit
      --key RAWKEY         Rawkey needed for decryption
      --find               Show files encrypted by Cryptolocker
      -r                   Recursively search subdirectories
      -v                   Verbose output
      -o DESTDIR           Copy all decrypted files to an output directory,
                           mirroring the source path
      --csv CSVFILE        Output to a CSV file


    I tutaj dowiadujemy się, że potrzebujemy RAWKEY i jest to "RSA key format".. .


    Noo to teraz pozostaje tylko:
    1) użyć jakiegoś generatora kluczy RSA o podanej długości do stworzenia listy klucz, które użyjemy pkt.2
    2) napisać skrypt lub program który w pętli będzie uruchamiał Decryptolocker z odpowiednimi parametrami, w którym jeden będzie właśnie naszym kluczem. Trzeba będzie sprawdzić wszystkie możliwe klucze, więc tak jak wspominałem .. do obiadu naszych pra-pra-pra-pra-pra wnuków nam się nie uda :D

    0
  • #17 09 Sie 2015 15:42
    Artur k.
    Admin grupy audio

    dawciobiel napisał:
    "Arturek K." (p.s. 'K' od nazwiska? jak 'K(10 liter)k' ? bo jeżeli tak to się znamy :P)
    Tak K od nazwiska, jednakże moje nazwisko jest 8 literowe.
    Co nie wyklucza że możemy się znać, Warszawa to wbrew pozorom nie jest takie duże miasto. :)

    dawciobiel napisał:
    Istnieje programik - Decryptolocker.exe - (niestety nie wiem do jakiej wersji Locker'a od się tyczy, więc... nawet jeżeli dziła poprawnie i metodą prób i błędów trafilibyśmy na poprawny klucz deszyfrujący to i tak nie ma gwarancji że deszyfracja zakończyła by się w naszym przypadku sukcesem). Programik który dokonuje deszyfracji pliku z użyciem podanego przez nas klucza.

    Jest, ale ten program nie działa bez klucza. Klucz otrzymujemy na maila ze strony którą wcześniej wspomniałeś, zresztą program napisali ci sami, którzy ową stronę stworzyli.
    Ta strona nadal działa (a przynajmniej działała jeszcze ze 2-3 miesiące temu), tylko że wysłanie tam jakiegokolwiek pliku zwraca komunikat że to nie jest plik zaszyfrowany przez CTB Locker. Jak pisałem - odmian tego wirusa jest kilka, zaś z tego co wyczytałem w sieci tamta strona radzi sobie tylko z plikami zaszyfrowanymi przez pierwszą wersję wirusa.
    Stąd między innymi moje przypuszczenia że każda wersja używa innego algorytmu lub nawet siły.

    Wygenerowanie "na pałę" klucza RSA też nie ma sensu, bo ilość możliwych kombinacji może pójść nawet w miliony. Życia nie starczy żeby wszystkie sprawdzić.

    0
  • #18 10 Mar 2016 18:39
    jerzyWRO
    Poziom 10  

    Polecam przywrócenie systemu do dnia przed wirusem.:D

    0
  • #19 10 Mar 2016 18:41
    dt1
    Moderator - Komputery Serwis

    Jeśli się da to OK, ale większość odmian tego wirusa niszczy dane przywracania.

    1