Как расшифровать файлы после вируса шифровальщика
Перейти к содержимому

Как расшифровать файлы после вируса шифровальщика

  • автор:

Бесплатно расшифровать файлы

На сайте No Ransom можно скачать бесплатные программы для расшифровки файлов, испорченных троянами-шифровальщиками (они же вирусы-шифровальщики или ransomware). Если на экране вы видите сообщение “Все файлы на вашем компьютере зашифрованы”, не спешите платить выкуп. Попробуйте расшифровать файлы с помощью наших бесплатных декрипторов и обзаведитесь надежной защитой от шифровальщиков.

Сначала удалите троян-шифровальщик (для этого подойдет Kaspersky Premium). Иначе ваши файлы опять окажутся зашифрованы.

Перед тем как запустить декриптор, прочитайте инструкцию как расшифровать файлы.

Восстановление после вирусов-шифровальщиков

Уважаемые читатели, мы хотим заметить, что данная статья является информационной. Если вам потребуется восстановление данных после вируса, то мы можем помочь в случае, если у вас была настроена система бэкапов. В противном случае, если резервных копий файлов нет, мы вряд ли поможем.

Восстановление после вируса-шифровальщика

Разработка вирусов — это уже давно не хобби, а выгодный бизнес. В последние годы профессионально написанные вирусы-шифровальщики массово заражают компьютеры вне зависимости от типа операционной системы.

С их помощью злоумышленники вымогают деньги у пользователей, предлагая им купить ключи для расшифровки. Этот бизнес стал настолько массовым, что вирусы создают уже не гениальные хакеры, а заурядные пользователи, купившие специальную программу для выпуска вирусов-шифровальщиков.

Обычно эти вредители приходят в виде вложений к электронной почте. Преступники активно используют социальную инженерию, т.е. если фирма занимается строительством, то в поле «Тема» будет написано, например, «Заказ на смету загородного дома». А а если фирма трудится в торговле, то «Нужна оптовая партия со скидкой».

Рано или поздно такой подход заставит одного из сотрудников компании открыть вложенный файл, и вирус активируется.

Как устроены вирусы-шифровальщики

В отличие от более простых представителей вредоносных программ, современные вирусы-шифровальщики применяют технологию асимметричного шифрования. Для декодирования необходим ключ, который есть только у того, кто написал этот вирус.

  • После запуска вирус приступает к кодированию файлов и попутно уничтожает их резервные копии. Таким образом, он лишает пользователя возможности восстановить более ранние копии файлов;
  • В первую очередь, вирус шифрует документы в Word и Excel, изображения, файлы 1С, баз данных и т. д. После такого вмешательства файлы остаются, но любая работа с ними становится невозможной;
  • Иногда вирус открывает доступ к чужому серверу своим создателям, и они уже вручную отбирают и кодируют самые ценные файлы.

Согласно исследованиям, проводившимися разработчиком антивирусов «Доктор WEB», иногда вероятность восстановления данных после вируса может составлять всего 2-3%. Результаты же работы некоторых вирусов-шифровальщиков декодировать не удается никому.

Антивирусные программы и шифровальщики

На рынке появилось множество антивирусов, которые позволяют выявить вредоносную программу и уничтожить ее. Тем более, иногда вирусная программа просто самоуничтожается после того, как она закодировала данные. Так что задача по поиску и уничтожению самого вируса не так и сложна.

Гораздо сложнее расшифровать закодированную информацию, и вот здесь антивирусы бессильны. Если шифровальщик запустился и отработал, восстановить скрытые файлы после вируса могут только специальные утилиты.

Как себя обезопасить?

Кодировка информации — процесс относительно длительный и зависит от типа вируса и размеров файлов. Если в процессе работы пользователь заметил некоторые странности в открытии файлов и общее замедление работы компьютера, то следует немедленно прекратить работу и принять меры по уничтожению вредоносной программы.

  • Самый просто и надежный способ сохранения данных — это резервное копирование, причем копии лучше всего хранить отдельно и в разных местах. Много безопасности не бывает, поэтому храните копии на внешнем диске, на сетевом хранилище (на NAS-е), в облачном сервисе и на флешке;
  • Самый надежный вариант восстановления данных после вируса — это облачный бэкап. Он находится вне офиса, автоматически мониторится и позволяет создавать несколько резервных копий, например, за день, неделю и месяц.

После того как компьютер был атакован вирусом-шифровальщиком, для надежности имеет смысл переустановить операционную систему и потом восстановить данные после вируса из облака. И ни в коем случае не открывать писем от неизвестных отправителей, и уж тем более — не пытаться открыть вложенные в них файлы.

Как восстановить файлы после вируса-шифровальщика?

Компании, занятые производством антивирусных комплексов, предлагают пользователям услуги по восстановлению данных.

  • Для этого необходимо передать специалистам зараженный файл и иную дополнительную информацию, среди которой можно найти и контактные данные злоумышленников;
  • Большая часть вирусов-вымогателей, оставляет пользователю сообщение с требованием о выкупе ключа. Правда, никто не гарантирует, что зашифрованную информацию удастся восстановить;
  • Если же нет возможности восстановить крайне важные данные из резервной копии, можно провести переговоры с вымогателями. Иногда уровень их требований удается снизить в разы и это будет экономически оправданно.

Мы уже накопили существенный опыт борьбы с этим вредным явлением и можем помочь:

  • Настроить резервное копирование оптимальным и надежным способом;
  • Провести экспертизу зараженных файлов;
  • Предоставить инструменты в нашем собственном облаке для проведения тестов и экспериментов по расшифровке;
  • Являясь партнерами разработчиков антивирусов (Лаборатория Касперского, Dr. Web, ESET NOD32 и др.), проконсультироваться о наличии новых утилит для дешифровки;

Восстановление файлов после трояна-шифровальщика

В конце рабочего дня бухгалтер одного из предприятий получила письмо по электронной почте от контрагента, с которым постоянно велась деловая переписка, письмо, в котором содержался вложенный файл, именуемый, как «Акт сверки.xls». При попытке открытия визуально ничего не произошло с точки зрения бухгалтера. Несколько раз повторив попытки открытия бухгалтер удостоверилась, что excel не собирается открывать присланный файл. Отписавшись контрагенту о невозможности открыть полученный ею файл, бухгалтер, нажала кнопку выключения ПК , и, не дождавшись завершения работы ПК, покинула рабочее место. Придя утром, обнаружила, что компьютер так и не отключился. Не придав этому особого значения, попыталась начать новый рабочий день, привычно кликнув по ярлыку 1С Бухгалтерии, но после выбора базы ожидал неприятный сюрприз.

Последующие попытки запуска рабочей среды 1С также не увенчались успехом. Бухгалтер связалась с компанией, обслуживающей вычислительную технику их организации, и запросила техническую поддержку. Специалистами обслуживающей организации выяснено, что проблемы куда более масштабные, так как кроме того что файлы базы 1С Бухгалтерии 7.7 были зашифрованы и имели расширение “BLOCKED“, зашифрованными оказались и файлы с расширениями doc, docx, xls, xlsx, zip, rar, 1cd и другие. Также обнаруживался текстовый файл на рабочем столе пользователя, в котором сообщалось, что файлы зашифрованы с использованием алгоритма RSA 2048, и что для получения дешифратора необходимо оплатить услуги вымогателя. Резервное копировании 1С баз осуществлялось ежедневно на другой жесткий диск установленный в этом же ПК в виде создания zip архива с папкой 1С баз, и копия архива помещалась на сетевой диск ( NAS ). Так как ограничения доступа к резервным копиям не было, то вредоносное программное обеспечение имело доступ и к ним.

Оценив масштаб проблемы, специалисты обслуживающей организации выполнили копирование только шифрованных файлов на отдельный накопитель и произвели переустановку операционной системы. Также из почтового ящика бухгалтера были удалены письма, содержащие вредоносное ПО . Попытки расшифровки с использованием популярных дешифраторов антивирусных компаний на тот момент результата не дали. На этом обслуживающая организацию компания закончила свои работы.

Перспективы начать с ввода первичной документации в новую 1С базу, не сильно радовали бухгалтеров. Посему были рассмотрены дальнейшие возможности восстановления шифрованных файлов.

К сожалению, не были сохранены оригинальное тело вредоносного ПО и сообщение вымогателя, что не позволило дизассемблировать тело и установить алгоритм его работы посредством анализа в отладчике. Так же не было возможности проверить, встречался ли он различным антивирусным компаниям.

Поэтому сразу приступаем к анализу файлов, структуры которых хорошо известны. В данном случае удобно использовать для анализа DBF файлы из базы 1С, так как структура их весьма предсказуема. Возьмем файл 1SENTRY.DBF.BLOCKED (журнал бухгалтерских проводок), размер данного файла 53 044 658 байт

рис. 2

Рассматривая шифрованный DBF файл, обращаем внимание на то, что первые 0x35 байт не зашифрованы, так как присутствует заголовок, характерный для данного типа файлов, и наблюдаем часть описания первого поля записи. Произведем расчет размера файла. Для этого возьмем: WORD по смещению 0x08, содержимое которого равно 0x04C1 (в нем указан размер заголовка DBF файла), WORD по смещению 0x0A, содержимое которого равно 0x0130 (в нем указан размер одной записи в базе), DWORD по смещению 0x04, содержимое которого равно 0x0002A995 (количество записей), и 0x01 – размер конечного маркера. Решим пример: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) байт. Размер файла, согласно записи файловой системы, соответствует расчетному на основании информации в заголовке DBF файла. Выполним аналогичные проверки для нескольких DBF файлов и удостоверимся, что размер файла не был изменен вредоносным ПО.

Анализ содержимого DBF показывает, что небольшие файлы начиная со смещения 0x35 зашифрованы целиком, а крупные нет.

рис. 3

Номера счетов, даты и суммы изменены, чтобы не нарушать соглашения о конфиденциальности в том числе и в зашифрованном участке.

Начиная со смещения 0x00132CB5 обнаруживаем отсутствие признаков шифрования до конца файла, выполнив проверки в иных крупных файлах подтверждаем предположение, что целиком шифруются только файлы менее 0x00132CB5 (1 256 629) байт. Многие авторы вредоносного ПО выполняют частичное шифрование файлов с целью сокращения времени искажения пользовательских данных. Руководствуются вероятно тем, чтобы их вредоносный код за минимальное время нанес максимально возможный ущерб пользователю.

Приступим к анализу алгоритма шифрования

рис. 4

На рис. 4 на месте заголовков полей DBF файла присутствуют почти одинаковые последовательности из 16 байт (смещения 0x50, 0x70, 0x90), также видим частичное повторение последовательностей из 16 байт (смещения 0x40,0x60,0x80), в которых есть отличия только в байтах, где должно прописываться имя поля и тип поля.

На основании этого наблюдения, имея небольшое представление об алгоритмах работы криптографических алгоритмов вроде AES , RSA , можно сделать однозначный вывод, что данные не шифрованы с использованием этих алгоритмов. То есть, информация об алгоритме шифрования, поданная заказчиком, недостоверна. Недостоверной она может быть как из-за неких ошибочных выводов заказчика, так и являться следствием обмана автором вредоносной программы. Проверить это мы не можем, так как нам доступны только зашифрованные файлы.

Исходя из особенностей строения заголовков DBF файлов и изменений байт в последовательностях, можно сделать предположение, что шифрование выполнено посредством XOR операции над данными с неким паттерном. Также можно сделать предположение, исходя из длины повторяющихся последовательностей, что длина паттерна 16 байт (128 бит). Заголовок базы равен 0x04C1 байт, размер описания одного поля в заголовке 0х20 (32) байт. Из этого следует, что заголовок данного DBF файла содержит (0x4C1-0x21)/0x20=0x25 (37) описаний полей. На рис. 4 подчеркнуты красным фрагменты записей двух полей начиная со смещения 0x10, которые в случае 1С как правило имеют нулевые значения, кроме самого 0x10 (так как по этому смещению указывается размер поля), на основании этого можно полагать, что уже имеем 15 из 16 байт ключа шифрования 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.

Для нахождения последнего байта в ключе возьмем другой фрагмент этого же DBF файла.

рис. 5

На рисунке 5 обратим внимание на нулевой столбец, точнее на его нешифрованную часть, и видим, что там преобладает значение 0x20 (код пробела согласно ASCII таблицы). Соответственно, и в шифрованной части столбца будет преобладать некое одинаковое значение. Легко заметить, что это 0xFA. Для получения оригинального значения недостающего байта ключа необходимо выполнить 0xFA xor 0x20=0xDA.

Подставив полученное значение на недостающую позицию, получим полный ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.

После выполнения процедуры xor операции с полученным ключом над шифрованными участками получили оригинальное содержимое файла

рис. 6

Для окончательного контроля проведем операцию расшифровки zip архива, затем распакуем архив. Если все файлы извлеклись и не возникало ошибки CRC для какого-либо файла, то можно окончательно подтвердить корректность ключа. И финальным этапом будет распаковка остальных файлов согласно технического задания.

Данный пример говорит о том, что вероятно не все высказывания авторов вредоносного программного обеспечения правдивы. И нередко можно решить задачу восстановления пользовательских данных посредством анализа измененных данных.

Наряду с подобными простыми случаями встречаются трояны-шифровальщики, которые действительно будут использовать современные криптографические алгоритмы и в случае их атаки подобное простое решение в принципе невозможно. Посему будьте предельно осторожны при открытии любых файлов, полученных по электронной почте даже от доверенных источников. Регулярно обновляйте антивирусное ПО и делайте резервное копирование таким образом, чтобы ваши данные во всех копиях не были доступны кому-либо единовременно.

  • Системное администрирование
  • Антивирусная защита
  • Восстановление данных

Вирус-шифровальщик: способы восстановления и защиты

Вирус-шифровальщик (Trojan.Encoder) – это вредоносная программа, которая шифрует файлы на компьютере по особому криптостойкому алгоритму, делая их нечитаемыми. Внешне это выглядит как смена расширения – вместо привычных *.doc, *.jpeg, *.mp3 и и других форматов все файлы вдруг начинают заканчиваться на *.better_call_saul, *.breaking_bad, *.da_vinci_code и т.д.

Пользователю предлагается купить у злоумышленника ключ, с помощью которого можно расшифровать файлы. Ключ привязан к конкретному компьютеру. Сумма, вымогаемая создателем вируса, может достигать нескольких тысяч долларов. Причем никаких гарантий у пользователя нет: он может просто не получить свой ключ для расшифровки после оплаты.

Существует огромное количество модификаций шифровальщика, каждая из которых работает по своему алгоритму. Подбор ключа расшифровки может занять годы, причем вероятность успешной расшифровки всех файлов – крайне низка. По статистике Dr.Web, отдельные троянцы вообще не поддаются расшифровке.

Как проникает

В 90% случаев пользователи запускают шифровальщики самостоятельно. Чаще всего заражение происходит при открытии файлов, полученных по электронной почте. Причем название файла может быть вполне безобидным – «Резюме», «Договор оказания услуг», «Исковое требование» и др. В некоторых случаях файлы упаковываются в архивы *.zip, *.rar или *.7z, чтобы обойти проверку антивирусной программы.

Используются основные принципы социальной инженерии – для сотрудников разных отделов рассылаются письма с разными темами и названиями файлов. К примеру, менеджер отдела поставок с высокой степенью вероятности откроет письмо с темой «Договор поставки» и прилагающийся к нему файл «Договор.docx».

Еще один способ проникновения вируса – скачивание пользователем программ и документов из непроверенных источников. Вместо популярного проигрывателя или программы для обмена сообщениями он может установить вредоносный файл, после запуска которого все содержимое компьютера будет зашифрованы. Вот краткий список потенциально опасных расширений файлов, которые могут содержать вирус: *.exe, *.bat, *.cmd, *.js, *.scr, *.wbs, *.hta, *.com.

Что происходит

Рассмотрим, как происходит шифрование файлов. Первое, что делает вирус – добавляет себя в автозагрузку и прописывается в реестре. Сразу после этого он сканирует все локальные и сетевые диски, формируя список файлов, и начинает их шифровать. Обычно процесс выглядит так:

  1. Вирус создает копию файла и шифрует её.
  2. Из командной строки запускает утилиту администрирования теневых копий файлов и выполняет их полное удаление. Это делается для того, чтобы пользователь не мог восстановить файлы из теневой копии – истории изменений файла.
  3. Зашифрованный файл получает новое расширение, а в папках пользователя или на рабочем столе создается документ, в котором мошенник предлагает купить инструкцию по расшифровке файлов.

Для запугивания пользователя используются различные психологические уловки. Может быть указан алгоритм шифрования, описана его сложность. Цель злоумышленника – заставить пользователя поверить в то, что его файлы безвозвратно потеряны и только выполнение требований позволит их восстановить.

Также встречаются вирусы с «таймером» – который предупреждает, что при неоплате через определенное время зашифрованные файлы будут удалены.

Связываться со злоумышленником не нужно. Шанс, что после перевода денег, пользователю будет выслан дешифратор, очень мал. Лишиться и файлов и денег – гораздо обиднее, чем лишиться одних только файлов.

Как восстановить данные

Попробовать расшифровать данные можно с помощью программ-дешифраторов, выпущенных антивирусными компаниями. Перед этим необходимо удалить вирус с помощью одной из утилит (чтобы после перезагрузки файлы не оказались зашифрованными снова):

  1. Kaspersky Virus Removal Tool
  2. Web CureIt!
  3. Malwarebytes Anti-malware

Некоторые шифровальщики самоуничтожаются после кодирования файлов. В этом случае утилита ничего не найдет, и пользователь может приступить к расшифровке. Способы, которые могут помочь:

  1. Точки восстановления системы. Сработает, если все данные хранятся на одном локальном диске (т.к. обычно точка восстановления делает резервную копию только системного диска C:). На компьютере должна быть включено восстановление системы, иначе точек просто не будет найдено.
  2. Бесплатные дешифраторы от ведущих антивирусных компаний. Они поддерживают не все виды вируса, но попробовать восстановить данные с их помощью можно. Для этого нужно определить модификацию Trojan.Encoder и скачать с сайта Лаборатории Касперского соответствующую утилиту. Например, можно попробовать расшифровать файлы с помощью RakhniDecryptor или ShadeDecryptor.
  3. Служба поддержки антивирусной компании тоже может помочь. Для этого нужно связаться с ней и отправить образец зашифрованного файла. Специалисты попробуют расшифровать его, и в случае успеха предоставят утилиту для расшифровки всех остальных файлов. Этот вариант обычно занимает очень длительное время.

Чего не следует делать:

  1. Менять расширение у закодированных файлов – это не поможет.
  2. Переводить деньги злоумышленнику – он не отправит ключ расшифровки.
  3. Пользоваться зараженным компьютером – все файлы, которые вы сохраните, будут также зашифрованы.
  4. Переустанавливать систему – это крайняя мера, т.к. все файлы будут утеряны.
  5. Выполнять какие-либо действия с оригиналами файлов. Все эксперименты – только с копиями.

Как избежать заражения Trojan.Encoder

Предотвратить заражение гораздо проще, чем пытаться восстановить зашифрованные файлы. Ниже сформулированы основные правила профилактики:

  1. Делайте резервные копии.
  2. Своевременно обновляйте операционную систему и антивирусную программу.
  3. Не открывайте вложения в электронных письмах от неизвестных лиц. При необходимости – используйте специальные «песочницы», которые сейчас есть практически во всех антивирусных программах.
  4. Включите отображение расширений файлов в настройках системы. Это позволит увидеть настоящее расширение, если мошенник пытается замаскировать файл как мультимедиа или текстовый документ (пример – «Резюме.doc.exe» или «КП.pdf.scr»). Держитесь подальше от опасных расширений.

Еще один эффективный способ избежать потери данных – хранить их в защищенных дата-центрах. Сервера KeepingIT защищены от всех видов подобных угроз. Они оснащены современными системами безопасности и постоянно резервируются.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *