10 приложений для расшифровки интервью

Содержание:

Как вирус вымогатель CRYPTED000007 шифрует файлы

После того, как вирус у вас был запущен и закончил свою деятельность, все полезные файлы будут зашифрованы, переименованы с расширением.crypted000007
. Причем не только расширение файла будет заменено, но и имя файла, так что вы не узнаете точно, что за файлы у вас были, если сами не помните. Будет примерно такая картина.

В такой ситуации будет трудно оценить масштаб трагедии, так как вы до конца не сможете вспомнить, что же у вас было в разных папках. Сделано это специально, чтобы сбить человека с толка и побудить к оплате расшифровки файлов.

А если у вас были зашифрованы и сетевые папки и нет полных бэкапов, то это может вообще остановить работу всей организации. Не сразу разберешься, что в итоге потеряно, чтобы начать восстановление.

Access your website securely from any location

When you work on the domain, site, blog, or different project that requires constant management, content creation, or coding, you may need to connect to the server and content management service more often. It is a hassle when your website is protected from suspicious connections and unauthorized IP addresses.

The best solution for creating a tighter network could be a dedicated/fixed IP address. If you make your IP address static and set to your device, you can connect to the CMS from any location and do not create any additional issues for server or network manager that need to monitor connections and activities. This is how you bypass some of the authentications factors and can remotely use your banking accounts without triggering suspicious with each login. 

VPN software providers like Private Internet Access can help you with such settings and offer the option to control the online reputation and manage projects easily from any part of the world. It is better to clock the access to your website from different IP addresses. So you can keep the project safe and secure when you have the dedicated IP address VPN and protected access to the content management system.

Где скачать дешифратор CRYPTED000007

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org . А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика CRYPTED000007. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

На момент написания статьи дешифратора на сайте не было.

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице — https://www.nomoreransom.org/decryption-tools.html . Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Загружаемое вредоносное ПО: троянец-брутфорсер паролей к веб-сайтам

Среди вредоносных программ, которые скачивает Trojan-Ransom.Win32.Shade, встречается троянец-брутфорсер паролей к web-сайтам. По своей внутренней организации брутфорсер очень напоминает самого шифровальщика – наиболее вероятно, он является проектом тех же авторов. Скачиваемый зловред получил вердикт Trojan.Win32.CMSBrute.

Общие черты семейства CMSBrute

  • Написан на C++ с применением STL и собственных классов.
  • Статически слинкован с клиентом Tor.
  • Использует библиотеки boost (threads), curl, OpenSSL.
  • В каждый сэмпл зашит адрес одного сервера C&C, всего в разных сэмплах были найдены адреса трех C&C серверов. Все C&C находятся в сети Tor, они отличаются от адресов, встреченных в образцах Trojan-Ransom.Win32.Shade.
  • Все строки (вместе с именами импортируемых функций) зашифрованы алгоритмом AES, расшифровываются при старте программы, после чего происходит динамическое заполнение таблицы импорта.
  • Обычно упакован UPX, в распакованном виде имеет размер 2080-2083 КБ.
  • Копирует себя в одну из директорий диска C с именем csrss.exe.
  • Скачивает дополнительные dll-плагины. Плагины содержат код для определения установленной системы управления контентом (CMS) на атакуемом веб-сайте, поиска админ-панели и подбора паролей. Были обнаружены плагины, поддерживающие сайты на основе Joomla, WordPress и DataLife Engine.

Коммуникация с командным сервером

В каждом образце Trojan.Win32.CMSBrute содержится адрес одного сервера C&C. Серверы находятся в сети Tor, коммуникация с ними осуществляется с использованием статически прилинкованного к троянцу клиента Tor.

Сэмпл отправляет следующие запросы на C&C сервер:

  1. Регистрация нового бота:GET http://<server>.onion/reg.php?n=ID&b=build&v=version&sf=stageID – идентификатор зараженного компьютера; вычисляется по алгоритму, незначительно отличающемуся от такового в шифровальщике Shade;build – идентификатор конкретного сэмпла зловреда; был встречен только build 1;version – версия зловреда; была встречена только версия 1;stage – этап работы троянца.

  2. Запрос на получение URL-адресов для скачивания или обновления плагинов-dllGET http://<server>.onion/upd.php?n=ID&b=build&v=version&p=plugins

  3. Запрос задания на определение CMS на сайте и проверки логинов и паролей:GET http://<server>.onion/task.php?n=ID&b=build&v=version&p=pluginsplugins – версии установленных плагинов-dll.Ответ от сервера приходит в формате json и содержит адреса атакуемых сайтов и словарь для подбора паролей.

  4. Отправка отчета о брутфорсе:POST http://<server>.onion/rep.php?n=ID&b=build&v=version&rep=reportreport – json-строка, содержащая отчет о найденных СMS на веб-сайте и подобранных логинах и паролях от админ-панели.

Причина проблемы: вирус xtbl

Вирус-шифровальщик xtbl получил своё название из-за того, что зашифрованные им пользовательские документы получают расширение.xtbl.
Обычно кодировщики оставляют в теле файла ключ для того, чтобы универсальная программа-дешифратор могла восстановить информацию в исходном виде. Однако вирус предназначен для других целей, поэтому вместо ключа на экране появляется предложение заплатить некоторую сумму по анонимным реквизитам.

Как работает вирус xtbl

Вирус попадает на компьютер с помощью рассылаемых по электронной почте писем с заражёнными вложениями, представляющими собой файлы офисных приложений. После того как пользователь открыл содержимое сообщения, вредоносная программа начинает поиск фотографий, ключей, видео, документов и так далее, а затем с помощью оригинального сложного алгоритма (гибридное шифрование) превращает их в xtbl-хранилища.

Вирус вносит себя в список автозагрузки. Для этого он добавляет записи в реестре Windows в разделах:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Заражённый компьютер работает стабильно, система не «падает», но в оперативной памяти постоянно находится небольшое приложение (или два) с непонятным названием. А папки с рабочими файлами пользователя приобретают странный вид.

На рабочем столе вместо заставки появляется сообщение:

Тот же текст содержится в созданном файле How to decrypt your files.txt. Адрес электронной почты, код, запрашиваемая сумма могут меняться.

Почему не стоит платить вымогателям

Соглашаться на сотрудничество с вымогателями нельзя не только из-за моральных принципов. Это неразумно и с практической точки зрения.

  1. Мошенничество. Не факт, что злоумышленники смогут расшифровывать ваши файлы. Не служит доказательством и возвращённая вам одна из якобы расшифрованных фотографий — это может быть просто украденный до шифрования оригинал. Заплаченные деньги уйдут без пользы.
  2. Возможность повтора. Подтвердив свою готовность платить, вы станете более желанной добычей для повторной атаки. Возможно, в следующий раз ваши файлы будут иметь другое расширение, а на заставке появится иное сообщение, но деньги отправятся тем же людям.
  3. Конфиденциальность. Пока файлы хоть и зашифрованы, но находятся на вашем компьютере. Договорившись с «честными злодеями», вы будете вынуждены отправить им всю свою личную информацию. Алгоритм не предусматривает получение ключа и самостоятельную расшифровку, только пересылку файлов декодировщику.
  4. Заражение компьютера. Ваш компьютер всё ещё заражён, поэтому расшифровка файлов не является полным решением проблемы.

Как защитить систему от вируса

Универсальные правила защиты от вредоносных программ и минимизации ущерба помогут и в этом случае.

  1. Остерегаться случайных связей. Не нужно открывать письма, полученные от незнакомых отправителей, включая рекламу и бонусные предложения. В крайнем случае можно их прочитать, предварительно сохранив вложение на диске и проверив его антивирусом.
  2. Пользоваться защитой. Антивирусные программы постоянно пополняют библиотеки вредоносных кодов, поэтому актуальная версия защитника не пропустит большинство вирусов на компьютер.
  3. Распределять доступ. Вирус нанесёт значительно больший вред, если проникнет через учётную запись администратора. Лучше работать от имени пользователя, тем самым резко сужая возможности заражения.
  4. Создавать резервные копии. Важную информацию необходимо регулярно копировать на внешние носители, хранящиеся отдельно от компьютера. Также не следует забывать о создании резервных точек восстановления Windows.

Как не стать жертвой программы-вымогателя

Прежде всего убедитесь, что на всех ваших устройствах установлен антивирус, например Avast (даже смартфоны могут быть заражены программой-вымогателем). Антивирус сможет заблокировать программы-вымогатели еще до того, как они причинят ущерб.

Следующая составляющая собственной безопасности — рациональность и предусмотрительность. Распространители программ-вымогателей часто используют методы социальной инженерии, чтобы обманом заставлять людей скачивать вредоносное ПО. Будьте осторожны при открытии ссылок и подозрительных вложений в почте, а также при скачивании материалов из Интернета. Убедитесь в надежности отправителя сообщения, скачивайте программное обеспечение только с доверенных сайтов.

Необходимо также выполнять регулярное и правильное резервное копирование своих данных. Храните резервные копии данных удаленно, иначе они могут также быть заблокированы вредоносным ПО.

Если вам не повезло и вы стали жертвой программ-вымогателей, попробуйте наши инструменты для дешифровки и проверьте, сможем ли мы помочь вам вернуть свои файлы!

Выражаю благодарность своим коллегам, Ладиславу Зезуле (Ladislav Zezula) и Петру Щепански (Piotr Szczepanski), за подготовку дешифраторов, а также Яромиру Горейши (aromír Hořejší) за его анализ программы Alcatraz Locker.

IOCs

Alcatraz Locker

918504ede26bb9a3aa315319da4d3549d64531afba593bfad71a653292899fec

b01cfc16f9465fd67a6da91d5f346ed3f07eb76b86967758ab1089d4e6399971

b8949ae0d1a481af1cae9df5e01d508d1319b6d47fb329e9b42627e4e2a72a3d

be3afa19c76c2270ccac7eacf68f89603032c0588f721215e15a9d1421567969

CrySiS

04c2ca82353deeb7e007fbba40de82cd4fac516bfe760cfb8dae1e78d568ff4f

0629ea3504e6cb577c961c6f0d37392b70b15d84b4df51a05a16d69304d8aa4d

2437e179229b7240ca2db1a7a520bc194c1ce0992c015e79cc8af611e97667f7

44c8ebd4d36950d836449df3408f6511b7256dc63c379b9835517d80a33eb8f5

47035f9e75be0a29c07c05fe54e6cacf05e18bdc5ab770efabd7f594a6b05a22

4c3f02aec4e1797f2853bb2255766cddc4edc716e8f7310909ba68676d651637

bdadaec64745f609aed3eac457046849aa6d96c1c6a2863f3c8007da6b56d1f2

e9744e8eb6c7108c74918d02810a5608082663cccd8f2708c59399089693b31e

Globe

5e714797afc35196be1f7d0bb536c2dcd4f5a18df15975ab283e353ef1f37176

6a7d674f5a587655ee22093d17a958e01131675dda73502efc0a082be6970fc5

82cdae2b1866f2c536a21ee60e1c74a6b94c12bc3b13c38be2d0c3689ce5f0c8

9727aca489a72eecacbfd00b451aaf91a56e061856a7f1989792cf9557156749

eda8b8af7b8d7d00da49f5f0a2dfa21b35ab510e4d9a625985eaef0e1d5ecbbf

f365425e42fc2fa4c0eac4a484ca9f8ef15d810de6a097ac8b071a13e803e117

NoobCrypt

571434bcc4cf4fadba142967a5ee967d907bd86adf1a380fccbb8c4c9995dd0f

8c341a114a229e75d4b4342c4288f18dc059bfb0c7740fc59789414c811c3a9e

974d2a36971b0f05c8a2d5b0daaee93732b78f0edeb4555aadbc1b7736ce995f

b34aac65a853b975810ef026d7ce8ed953d6b5d4c6279bda38f58eaff2fa461c

bb00898bc70469b39dfd511163b2b8a75e36d7ec4a455f0db6c6cfb9a26600ed

d2d2b0a4e51c185ac032cd32576ae580d885f89a23e3886a04f38fb424e6a17a

Особенности шифрования файлов

Защитить паролем любой количество объектов при помощи стойкого шифрования файлов. Щелкните правую кнопку мыши, интеграция с проводника Windows дает AxCrypt самый простой и удобный способ для осуществления шифрования отдельно взятых файлов в Windows.Дважды щелкните, интеграции делает это такой легкой задачей, что не составит труда открывать, редактировать и сохранять файлы, защищенные, как это должно работать с незащищенные файлы.Множество дополнительных возможностей, но без дополнительных настроек не требуется. Достаточно установить программу, и начать использовать.AxCrypt шифрует файлы, посланные другими пользователями, безопасно, легко, используя электронную почту, или другое. Само расшифровывающихся файлы также поддерживаются, что избавляет от нужды в установке AxCrypt для дешифровки.Программа переведена на русский, английский, немецкий, французский, испанский, голландский, венгерский, итальянский, норвежский, польский, датский и шведский так что скорее всего это говорит нужный язык.

Microsoft Windows Совместимость

AxCrypt успешно завершил испытания платформы Microsoft ISV решения на VeriTest. Проверка проводилась независимо VeriTest, проверка службы Lionbridge Technologies.AxCrypt является свободной программой.AxCrypt является программой с открытым исходным кодом, поэтому вы можете распространять, изменять программу в соответствии с лицензией GNU General Public License, которая опубликована Free Software Foundation.

Возможности программы шифрования

Ниже приведены функции, которые действительно отличают его от всех других инструментов шифрования файлов, коммерческих, а также бесплатных:

  • Дважды щелкните, чтобы просматривать / редактировать с любым приложением.
  • Автоматическое повторное шифрование после модификации.
  • Абсолютно никакой пользовательской конфигурации необходимо или возможно перед использованием.
  • Открытый исходный код под лицензией GNU GPL.
  • 12 языков в одном исполняемом распределения.
  • Интерфейс командной строки, для написания сценариев и программирование.

Другие особенности:

  • Окна 2003/XP/Vista/2008/7 32 — и 64-бит, совместимая.
  • Шифрования AES с 128-битным ключом.
  • Редактировать зашифрованный документ непосредственно с помощью двойного щелчка.
  • Дополнительный кэш парольной фразы — типа фраз-паролей После одного сеанса и / или перезагрузки.
  • Автоматическая проверка фразу проходят перед расшифровки или редактирования.
  • Файл-ключ поколения и поддержке.
  • Каких-либо опций пользовательский интерфейс — прост в установке и использовании.
  • Относительно легкие, менее 1 Мб
  • Интерфейс командной строки.
  • Варианты режиме сервера.
  • Поддержка файлов размером более 4 Гб (за исключением самостоятельно расшифровки файлов).
  • Динамический грубую силу контрмеры — итеративный ключевых упаковки.
  • Хорошо интегрируется с веб-услуг обмена файлами.
  • Выборочное сжатие перед шифрованием — быстрой загрузки / закачки.
  • Сохранение оригинального имени файла и информации из зашифрованного файла.
  • Комплексная шредер.
  • Уничтожение всех временных и зашифрованных текстовых файлах.
  • Безопасная работа с памятью — нет ключей или данных в файл подкачки.
  • Алгоритмы отраслевым стандартом.
  • Данные проверки целостности — не незамеченными модификации.
  • Уникальная ключей шифрования данных используется для каждого файла и (пере-) шифрования.
  • Легко добавить больше языков — свяжитесь со мной (я особенно ищет скандинавских языков)!
  • Открытый исходный код — отсутствие закладок.
  • Поддержка со стороны частного брендинга для коммерческих или корпоративных версий.
  • Программа бесплатна!

Версия 10.2.2.10535: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Update Pro x86 / х64.
  • Microsoft Windows 8.1 Update Enterprise x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional  x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Small Business Server 2008 Standard x64.
  • Microsoft Small Business Server 2008 Premium x64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard х64.
  • Microsoft Windows Server 2008 R2 Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Enterprise х64.
  • Microsoft Windows Server 2008 R2 Foundation x64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Foundation x64.
  • Microsoft Windows Server 2008 Standard х86 / х64 SP2 и выше. 
  • Microsoft Windows Server 2008 Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard x86 / x64 SP2.
  • Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 и выше.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.
  • Windows Embedded Standard 7 with SP1 x86 / х64.
  • Windows Embedded POSReady 7 x86 / х64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1. 
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker. 
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Распространение шифровальщика

Партнерская программа

Код, который пользователям предлагается отправить по электронной почте злоумышленникам, может иметь вид ID|0 в случае, если публичный ключ был получен с C&C сервера, или ID|key_number|build|version в случае, если был выбран один из зашитых в сэмпл публичных ключей RSA с номером key_number. ID обозначает идентификатор зараженного компьютера, а два числа build и version обозначают ID конкретного сэмпла и версию шифровальщика соответственно.

При анализе образцов зловреда нами были обнаружены различные комбинации значений build, адресов почты для связи пользователей со злоумышленниками и адресов C&C. Разным значениям build соответствуют разные почтовые адреса, при этом один и тот же C&C может обслуживать несколько разных сэмплов:

build C&C email
2 a4yhexpmth2ldj3v.onion files1147@gmail.compost100023@gmail.com
2 a4yhexpmth2ldj3v.onion decode0987@gmail.comdecode098@gmail.com
4 a4yhexpmth2ldj3v.onion decodefile001@gmail.comdecodefile002@gmail.com
6 a4yhexpmth2ldj3v.onion files08880@gmail.comfiles08881@gmail.com
2 e4aibjtrguqlyaow.onion decodefiles1@gmail.comdecodefiles@india.com
15 e4aibjtrguqlyaow.onion post8881@gmail.compost24932@gmail.com
12 gxyvmhc55s4fss2q.onion decode00001@gmail.comdecode00002@gmail.com
14 gxyvmhc55s4fss2q.onion decode010@gmail.comdecode1110@gmail.com
4 gxyvmhc55s4fss2q.onion deshifrovka01@gmail.comdeshifrovka@india.com

Хотя объявлений о партнерстве найдено не было, на основе этих данных мы можем предположить, что распространение троянца и прием выкупа осуществляются через партнерскую сеть. Вероятно, ID сэмплов (значение build) и разные почтовые адреса соответствуют различным партнерам-распространителям данного вредоносного ПО.

География

Наиболее распространены случаи заражения данным троянцем на территории России, Украины и Германии. По данным KSN, география распространения Trojan-Ransom.Win32.Shade выглядит следующим образом.

Россия 70,88%
Германия 8,42%
Украина 6,48%
Австрия 3,91%
Швейцария 2,98%
Польша 1,45%
Казахстан 1,20%
Белоруссия 1,07%
Бразилия 0,55%

Поиск дешифратора для crypted000007 через «Nomoreransom»

Найти дешифровщика вируса crypted000007 можно через онлайн сервис «Nomoreransom».

Как им пользоваться:

  1. Заходите на онлайн сервис анти-вымогателей по предоставленной выше ссылке.
  2. Жмете кнопку «Да».
  3. Загружаете парочку зашифрованных файлов, указываете контактные данные или реквизиты злоумышленника и нажимаете «Проверить».
  4. После этого вы получите ссылку, перейдя по которой можно будет скачать дешифратор.

Насколько мне известно других аналогичных онлайн сервисов для расшифровки crypted000007 не существует. Как только они появятся, я сразу же дополню эту статью.

Дополнительно может быть полезно ознакомиться со списком уже имеющихся на данный момент дешифраторов по этой ссылке. Они бесплатны и могут подойти для других задач.

Как расшифровать и восстановить файлы после вируса CRYPTED000007

Что делать, когда вирус CRYPTED000007 зашифровал ваши файлы? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

  • Инструмент теневых копий
    windows.
  • Программы по восстановлению удаленных данных

Для начала проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Подробнее об этом запросе я рассказал в начале повествования, когда рассказывал о работе вируса.

Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer . Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec .

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe
. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов подробно показан в видео в самом конце статьи.

Alcatraz

Alcatraz Locker — программа-вымогатель, впервые обнаруженная в средине ноября 2016 года. Файлы, заблокированные ею, имеют расширение .Alcatraz. Когда они зашифрованы, появляется подобное сообщение, которое расположено в файле ransomed.html на рабочем столе зараженного компьютера:

 

В отличие от большинства видов шифрователей, программа Alcatraz не имеет заданного списка расширений файлов, на которые она нацелена. Иными словами, программа шифрует все, что может. Чтобы предотвратить нанесение ущерба операционной системе, Alcatraz Locker шифрует только файлы в каталоге %PROFILES% (обычно C:\Users).

Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования):

В тексте сообщения с требованием выкупа утверждается, что программа использует шифрование AES-256 с 128-битовым паролем. Анализ данного вредоносного ПО показал, что это не так (применяется 128-байтовый, а не 128-битовый пароль). Однако вирус использует 160-битовый хэш (SHA1) в качестве исходного ключа для 256-битового шифрования AES. В API-интерфейсе шифрования, который используется программой, это реализуется довольно интересным образом:

  1. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x36.
  2. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
  3. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash1).
  4. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x5C.
  5. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
  6. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash2).
  7. 160 битов Hash1 и 96 битов Hash2 объединяются.

Получившийся объединенный хэш используется в качестве исходного ключа для AES256.

После выполнения шифрования AES-256 программа-вымогатель также кодирует уже зашифрованный файл с помощью позиционной системы счисления с основанием 64 (BASE64), в результате чего зашифрованный файл приводится к типичной модели:

Согласно сообщению шифрователя, единственным способом вернуть свои данные является выплата 0,3283 биткойна (около $370 на момент написания статьи). Но теперь вернуть доступ к файлам можно бесплатно, воспользовавшись . Существование 30-дневного ограничения, о котором идет речь в сообщении с требованием денег — еще один обман: расшифровать свои документы можно в любое время, даже спустя 30 дней.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor .

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Краткие выводы

Просматривая документации к архиваторам с функцией шифрования, очень часто можно прочитать, что архивы с паролями расшифровать нельзя. Но мы знаем, что это далеко не всегда так. При работе с конфиденциальной информацией это нужно обязательно учитывать. 
Поэтому, если ты хочешь надежно защитить важную инфу с помощью архиваторов, то:

  1. применяй архиваторы с самым надежным методом шифрования AES Rijndael с 128-битным ключом: WinRar, PowerArchiver или UltimateZip; 
  2. старайся выбирать форматы, не поддерживаемые программами восстановления паролей, например RAR версий 3.0 и выше, TAR, JAR и др.;
  3.  задавай длинные (не менее восьми символов) пароли; с этой позиции подходят любые из перечисленных архиваторов, так как в каждом из них допустимая длина пароля превышает 56 символов, что вполне достаточно;
  4. останавливай выбор на нетривиальных паролях; используй в пароле пробелы и комбинации цифр, символов и букв, чтобы в итоге получалась не фраза из реальных слов, а абракадабра, — так пароль невозможно будет подобрать по словарю.

Ссылки:

Арфы нет,
возьмите бубен: программы для взлома
архивов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector