Дешифрування RSA 3072 без ключа. Шифрувальник Shade: подвійна загроза

Дешифрування RSA 3072 без ключа. Шифрувальник Shade: подвійна загроза

Наприкінці 2016 року світ був атакований вельми нетривіальним вірусом-трояном, що шифрує користувальницькі документи та мультимедіа-контент, який отримав назву NO_MORE_RANSOM. Як розшифрувати файли після впливу цієї загрози, далі буде розглянуто. Однак відразу варто попередити всіх користувачів, які зазнали атаки, що єдиної методики немає. Це пов'язано і з використанням одного з найбільш просунутих і зі ступенем проникнення вірусу в комп'ютерну систему або навіть локальну мережу (хоча спочатку на мережевий вплив він і не розрахований).

Що за вірус NO_MORE_RANSOM та як він працює?

Взагалі сам вірус прийнято відносити до класу троянів типу I Love You, які проникають в комп'ютерну систему і шифрують файли користувача (зазвичай це мультимедіа). Щоправда, якщо прабатько відрізнявся лише шифруванням, цей вірус дуже багато запозичив у колись гучної загрози під назвою DA_VINCI_COD, поєднавши в собі ще й функції здирника.

Після зараження більшості файлів аудіо, відео, графіки або офісних документів надається довжелезне ім'я з розширенням NO_MORE_RANSOM, що містить складний пароль.

При спробі відкриття на екрані з'являється повідомлення про те, що файли зашифровані, а для виконання дешифрування потрібно заплатити деяку суму.

Як загроза проникає у систему?

Дамо поки що спокій питання про те, як після впливу NO_MORE_RANSOM розшифрувати файли будь-якого з вищевказаних типів, а звернемося до технології проникнення вірусу в комп'ютерну систему. На жаль, як би не звучало, для цього використовується старий перевірений спосіб: на адресу електронної пошти приходить лист із вкладенням, відкриваючи який користувач і отримує спрацювання шкідливого коду.

Оригінальністю, як бачимо, ця методика не відрізняється. Однак повідомлення може бути замасковане під текст, що нічого не означає. Або, навпаки, наприклад, якщо йдеться про великі компанії, - під зміну умов якогось контракту. Зрозуміло, що рядовий клерк відкриває вкладення, а далі і отримує плачевний результат. Одним із найяскравіших спалахів стало шифрування баз даних популярного пакету 1С. А це вже справа серйозна.

NO_MORE_RANSOM: як розшифрувати документи?

Але все ж таки варто звернутися до головного питання. Напевно, всіх цікавить, як розшифрувати файли. Вірус NO_MORE_RANSOM має власну послідовність дій. Якщо користувач намагається зробити дешифрування відразу після зараження, зробити це ще абияк можна. Якщо ж загроза влаштувалася в системі міцно, на жаль, без допомоги фахівців тут не обійтись. Але і вони часто виявляються безсилі.

Якщо загроза була виявлена ​​вчасно, шлях тільки один - звернутися до служб підтримки антивірусних компаній (поки ще не всі документи були зашифровані), відправити пару недоступних для відкриття файлів та на основі аналізу оригіналів, збережених на знімних носіях, спробувати відновити вже заражені документи, попередньо скопіювавши на ту ж флешку все, що ще доступно для відкриття (хоча повної гарантії того, що вірус не проникнув у такі документи, теж немає). Після цього для вірності носій потрібно обов'язково перевірити хоча б антивірусним сканером (мало що).

Алгоритм

Окремо варто сказати і про те, що вірус для шифрування використовує алгоритм RSA-3072, який, на відміну від технології RSA-2048, що раніше застосовувалася, є настільки складним, що підбір потрібного пароля, навіть за умови, що цим займатиметься весь контингент антивірусних лабораторій. , може зайняти місяці та роки. Таким чином, питання того, як розшифрувати NO_MORE_RANSOM, вимагатиме чималих тимчасових витрат. Але що робити, якщо поновити інформацію потрібно негайно? Насамперед – видалити сам вірус.

Чи можна видалити вірус та як це зробити?

Власне, зробити це неважко. Судячи з нахабства творців вірусу, загроза комп'ютерної системі не маскується. Навпаки - їй навіть вигідно «самовіддалитися» після закінчення дій.

Проте спочатку, йдучи на поводу у вірусу, його слід нейтралізувати. Насамперед необхідно використовувати портативні захисні утиліти на кшталт KVRT, Malwarebytes, Dr. Web CureIt! і їм подібні. Зверніть увагу: застосовувані для перевірки програми повинні бути портативного типу обов'язково (без встановлення на жорсткий диск із запуском в оптимальному варіанті зі знімного носія). Якщо виявлена ​​загроза, її слід негайно видалити.

Якщо такі дії не передбачені, необхідно спочатку зайти в диспетчер завдань і завершити в ньому всі процеси, пов'язані з вірусом, відсортувавши служби за назвою (як правило, це процес Runtime Broker).

Після зняття завдання потрібно викликати редактор системного реєстру (regedit в меню «Виконати») та задати пошук за назвою «Client Server Runtime System» (без лапок), після чого використовуючи меню переміщення за результатами «Знайти далі…» видалити всі знайдені елементи. Далі потрібно перезавантажити комп'ютер і повірити в «Диспетчері завдань», чи немає там шуканого процесу.

У принципі питання того, як розшифрувати вірус NO_MORE_RANSOM ще на стадії зараження, може бути вирішено і таким методом. Імовірність його нейтралізації, звісно, ​​невелика, але шанс є.

Як розшифрувати файли, зашифровані NO_MORE_RANSOM: резервні копії

Але є ще одна методика, про яку мало хто знає чи навіть здогадується. Справа в тому, що сама операційна система постійно створює власні тіньові резервні копії (наприклад, у разі відновлення), або користувач навмисно створює такі образи. Як показує практика, саме на такі копії вірус не впливає (у його структурі це просто не передбачено, хоч і не виключено).

Таким чином, проблема того, як розшифрувати NO_MORE_RANSOM, полягає в тому, щоб використовувати саме їх. Однак застосовувати для цього штатні засоби Windows не рекомендується (а багато користувачів до прихованих копій не отримають доступу взагалі). Тому використовувати потрібно утиліту ShadowExplorer (вона є портативною).

Для відновлення потрібно просто запустити відсортувати інформацію за датами або розділами, вибрати потрібну копію (файла, папки або всієї системи) і через меню ПКМ використовувати рядок експорту. Далі просто вибирається директорія, в якій буде збережено поточну копію, а потім використовується стандартний відновлення.

Сторонні утиліти

Звичайно, до проблеми того, як розшифрувати NO_MORE_RANSOM, багато лабораторій пропонують свої рішення. Так, наприклад, «Лабораторія Касперського» рекомендує використовувати власний програмний продукт Kaspersky Decryptor, представлений у двох модифікаціях – Rakhini та Rector.

Не менш цікаво виглядають і аналогічні розробки на зразок дешифратора NO_MORE_RANSOM від Dr. Web. Але тут варто відразу врахувати, що застосування таких програм виправдано лише у разі швидкого виявлення загрози, поки що не були заражені всі файли. Якщо ж вірус влаштувався в системі міцно (коли зашифровані файли просто неможливо порівняти з незашифрованими оригіналами), і такі програми можуть виявитися марними.

Як підсумок

Власне, висновок напрошується лише один: боротися із цим вірусом необхідно виключно на стадії зараження, коли відбувається шифрування лише перших файлів. А взагалі, найкраще не відкривати вкладення в повідомленнях електронної пошти, отриманих із сумнівних джерел (це стосується виключно клієнтів, встановлених безпосередньо на комп'ютері – Outlook, Oulook Express та ін.). До того ж, якщо співробітник компанії має у своєму розпорядженні список адрес клієнтів та партнерів, відкриття «лівих» повідомлень стає абсолютно недоцільним, оскільки більшість при прийомі на роботу підписує угоди про нерозголошення комерційної таємниці та кібербезпеки.

Близько тижня-двох тому в мережі з'явився черговий виріб сучасних вірусоделів, який шифрує всі файли користувача. Вкотре розгляну питання як вилікувати комп'ютер після вірусу шифрувальника crypted000007та відновити зашифровані файли. В даному випадку нічого нового та унікального не з'явилося, просто модифікація попередньої версії.

Гарантована розшифровка файлів після вірусу шифрувальника - dr-shifro.ru. Подробиці роботи та схема взаємодії із замовником нижче у мене у статті або на сайті у розділі «Порядок роботи».

Опис вірусу шифрувальника CRYPTED000007

Шифрувальник CRYPTED000007 нічим принципово не відрізняється від своїх попередників. Діє він практично один на один як. Але все ж таки є кілька нюансів, які його відрізняють. Розповім про все по порядку.

Приходить він, як і його аналоги, поштою. Використовуються прийоми соціальної інженерії, щоб користувач неодмінно зацікавився листом та відкрив його. У моєму випадку у листі йшлося про якийсь суд та про важливу інформацію у справі у вкладенні. Після запуску вкладення користувача відкривається ордовський документ з випискою з арбітражного суду Москви.

Паралельно із відкриттям документа запускається шифрування файлів. Починає постійно вискакувати інформаційне повідомлення з системи контролю облікових записів Windows.

Якщо погодитися з пропозицією, резервні копії файлів у тіньових копіях Windows будуть видалені і відновлення інформації буде дуже важко. Очевидно, що погоджуватися з пропозицією в жодному разі не можна. У даному шифрувальнику ці запити вискакують постійно, один за одним і не припиняються, змушуючи користувача таки погодитись та видалити резервні копії. Це головна відмінність від попередніх модифікацій шифрувальників. Я ще жодного разу не стикався з тим, щоб запити видалення тіньових копій йшли без зупинки. Зазвичай, після 5-10 пропозицій вони припинялися.

Дам одразу рекомендацію на майбутнє. Дуже часто люди відключають попередження системи контролю облікових записів. Цього робити не треба. Цей механізм реально може допомогти у протистоянні вірусам. Друга очевидна порада — не працюйте постійно під обліковим записом адміністратора комп'ютера, якщо в цьому немає потреби. У такому випадку вірус не матиме змоги сильно нашкодити. У вас буде більше шансів протистояти йому.

Але навіть якщо ви постійно відповідали негативно на запити шифрувальника, всі ваші дані вже шифруються. Після того, як процес шифрування буде закінчено, ви побачите на робочому столі зображення.

Одночасно з цим на робочому столі буде безліч текстових файлів з тим самим змістом.

Ваші файли були зашифровані. Щоб розшифрувати ux, Baм необхідно відправити код: 329D54752553ED978F94|0 на електричний адрес [email protected]. Далі ви отримаєте всі необхідні монтаж. Пошуки розшифровувати самостійно не призведем до чого, крім безповоротної номери інформації. Якщо ви все ж таки хотіли випробувати, то розворотно зробіть резервні копії файлів, інакше у разі uзмінення розшифровка коштує неможливої ​​ні за яких умов. Якщо ви не отримували відповіді за вищевказаною адресою протягом 48 годин (і дуже в цьому випадку!), Скористайтеся формою зворотного зв'язку. Це можна зробити двома способами: 1) Завантажте і виконайте Tor Browser за посиланням: https://www.torproject.org/download/download-easy.html.en Адреса: .onion/ і натисніть Enter. 3авантажується сторінка з формою зворотного зв'язку. 2) У будь-якому браузері не реєструєтеся по одному адреси: http://cryptsen7fo43rr6.onion.to/ Щоб записати файли, ви повинні прочитати наступний код: 329D54752553ED978F94|0 до електронної пошти address [email protected]. Then you will receive all necessary instructions. Всі питання про звільнення від вас будуть результатом тільки в невиправданих збитках з вашими даними. Якщо ви хочете, щоб переконатися, що ви робите те, що вказує на першу причину того, що розблокування буде неможливим в разі будь-яких змін всередині файлів. Якщо ви не отримуєте повідомлення від отриманого електронної пошти більше 48 годин (і тільки в цьому випадку!), Використовуйте повідомлення про помилку. Ви можете до двох способів: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type following address in the address bar: http:/ /cryptsen7fo43rr6.onion/ Перейти Enter і цю сторінку з backback for will be loaded. 2) Перейти до однієї з наступних адрес в будь-якому браузері: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Поштова адреса може змінюватись. Я зустрічав ще такі адреси:

Адреси постійно оновлюються, тому можуть бути зовсім різними.

Як тільки ви виявили, що файли зашифровані, одразу ж вимикайте комп'ютер. Це необхідно зробити, щоб перервати процес шифрування як на локальному комп'ютері, так і на мережевих дисках. Вірус-шифрувальник може зашифрувати всю інформацію, до якої зможе дістатись, у тому числі і на мережевих дисках. Але якщо там великий обсяг інформації, то для цього знадобиться значний час. Іноді і за пару годин шифрувальник не встигав усе зашифрувати на мережному диску об'ємом приблизно 100 гігабайт.

Далі треба добре подумати, як діяти. Якщо вам будь-що потрібна інформація на комп'ютері і у вас немає резервних копій, то краще в цей момент звернутися до фахівців. Не обов'язково за гроші у якісь фірми. Просто потрібна людина, яка добре розуміється на інформаційних системах. Необхідно оцінити масштаб лиха, видалити вірус, зібрати всю наявну інформацію щодо ситуації, щоб зрозуміти, як діяти далі.

Неправильні дії на цьому етапі можуть суттєво ускладнити процес розшифровки або відновлення файлів. У гіршому випадку можуть унеможливити його. Так що не поспішайте, будьте обережні та послідовні.

Як вірус здирник CRYPTED000007 шифрує файли

Після того, як вірус у вас був запущений і закінчив свою діяльність, всі корисні файли будуть зашифровані, перейменовані з розширенням.crypted000007. Причому не тільки розширення файлу буде замінено, але й ім'я файлу, так що ви не дізнаєтесь точно, що за файли ви були, якщо самі не пам'ятаєте. Буде приблизно така картина.

У такій ситуації буде важко оцінити масштаб трагедії, тому що ви до кінця не зможете згадати, що ж у вас було в різних папках. Зроблено це спеціально, щоб збити людину з пантелику і спонукати до оплати розшифровки файлів.

А якщо у вас були зашифровані і мережеві папки і немає повних бекапів, це може взагалі зупинити роботу всієї організації. Не відразу розберешся, що зрештою втрачено, щоб почати відновлення.

Як лікувати комп'ютер та видалити здирник CRYPTED000007

Вірус CRYPTED000007 вже на комп'ютері. Перше і найголовніше питання - як вилікувати комп'ютер і як видалити з нього вірус, щоб запобігти подальшому шифруванню, якщо воно ще не було закінчено. Відразу звертаю увагу на те, що після того, як ви самі почнете робити якісь дії зі своїм комп'ютером, шанси на розшифровку даних зменшуються. Якщо вам будь-що потрібно відновити файли, комп'ютер не чіпайте, а відразу звертайтеся до професіоналів. Нижче я розповім про них та наведу посилання на сайт та опишу схему їхньої роботи.

А поки що продовжимо самостійно лікувати комп'ютер і видаляти вірус. Традиційно шифрувальники легко видаляються з комп'ютера, так як у вірусу немає завдання будь-що залишитися на комп'ютері. Після повного шифрування файлів йому навіть вигідніше самовидалитись і зникнути, щоб було важче розслідувати інцидент та розшифрувати файли.

Описати ручне видалення вірусу важко, хоча я намагався раніше це робити, але бачу, що найчастіше це безглуздо. Назви файлів та шляхи розміщення вірусу постійно змінюються. Те, що бачив я вже не актуально через тиждень-два. Зазвичай розсилання вірусів поштою йде хвилями і щоразу там нова модифікація, яка ще не детектується антивірусами. Допомагають універсальні засоби, які перевіряють автозапуск та детектують підозрілу активність у системних папках.

Для видалення вірусу CRYPTED000007 можна скористатися такими програмами:

  1. Kaspersky Virus Removal Tool - утилітою від касперського http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - Схожий продукт від ін. веб http://free.drweb.ru/cureit
  3. Якщо не допоможуть перші дві утиліти, спробуйте MALWAREBYTES 3.0 - https://ua.malwarebytes.com.

Швидше за все, щось із цих продуктів очистить комп'ютер від шифрувальника CRYPTED000007. Якщо так трапиться, що вони не допоможуть, спробуйте видалити вірус вручну. Методику видалення я наводив на прикладі і, можете подивитися там. Якщо коротко по кроках, то треба діяти так:

  1. Дивимося список процесів, попередньо додавши кілька додаткових стовпців диспетчер завдань.
  2. Знаходимо процес вірусу, відкриваємо папку, де він сидить і видаляємо його.
  3. Чистимо згадку про процес вірусу на ім'я файлу в реєстрі.
  4. Перезавантажуємось і переконуємося, що вірусу CRYPTED000007 немає у списку запущених процесів.

Де завантажити дешифратор CRYPTED000007

Питання простого і надійного дешифратора постає насамперед, коли справа стосується вірусу-шифрувальника. Перше, що я пораджу, це скористатися сервісом https://www.nomoreransom.org. А раптом вам пощастить у них буде дешифратор під вашу версію шифрувальника CRYPTED000007. Скажу відразу, що шансів у вас небагато, але спроба не катування. На головній сторінці натискаєте Yes:

Потім завантажуєте пару зашифрованих файлів та натискаєте Go! Find out:

На момент написання статті дешифратора на сайті не було.

Можливо, вам пощастить більше. Можна ще ознайомитися зі списком дешифраторів для завантаження на окремій сторінці - https://www.nomoreransom.org/decryption-tools.html. Можливо, там знайдеться щось корисне. Коли вірус дуже свіжий шансів на це мало, але з часом можливо щось з'явиться. Є приклади, коли в мережі з'являлися дешифратори до деяких модифікацій шифрувальників. І ці приклади є на вказаній сторінці.

Де ще можна знайти дешифратора, я не знаю. Навряд чи реально існуватиме, з урахуванням особливостей роботи сучасних шифрувальників. Повноцінний дешифратор може лише у авторів вірусу.

Як розшифрувати та відновити файли після вірусу CRYPTED000007

Що робити, коли вірус CRYPTED000007 зашифрував ваші файли? Технічна реалізація шифрування не дозволяє розшифровувати файли без ключа або дешифратора, який є тільки у автора шифрувальника. Можливо, є ще якийсь спосіб його отримати, але в мене немає такої інформації. Нам залишається лише спробувати відновити файли підручними методами. До таких належать:

  • Інструмент тіньових копій windows.
  • Програми відновлення віддалених даних

Для початку перевіримо, чи у нас тіньові копії. Цей інструмент за замовчуванням працює у Windows 7 і вище, якщо ви його не відключили вручну. Для перевірки відкриваємо властивості комп'ютера та переходимо до розділу захисту системи.

Якщо ви не підтвердили запит UAC на видалення файлів у тіньових копіях під час зараження, то якісь дані у вас там повинні залишитися. Докладніше про цей запит я розповів на початку розповіді, коли розповідав про роботу вірусу.

Для зручного відновлення файлів із тіньових копій пропоную скористатися безкоштовною програмою для цього – ShadowExplorer. Завантажуйте архів, розпакуйте програму та запускайте.

Відкриється остання копія файлів і корінь диска C. У верхньому лівому куті можна вибрати резервну копію, якщо у вас їх кілька. Перевірте різні копії на наявність файлів. Порівняйте за датами, де свіжіша версія. У моєму прикладі нижче я знайшов 2 файли на робочому столі тримісячної давності, коли вони востаннє редагувалися.

Мені вдалося відновити ці файли. Для цього я їх вибрав, натиснув правою кнопкою миші, вибрав Export та вказав папку, куди їх відновити.

Ви можете відновлювати папки за таким же принципом. Якщо у вас працювали тіньові копії і ви їх не видаляли, у вас досить багато шансів відновити всі або майже всі файли, зашифровані вірусом. Можливо, якісь із них будуть старішою версією, ніж хотілося б, але тим не менш, це краще, ніж нічого.

Якщо з якоїсь причини у вас немає тіньових копій файлів, залишається єдиний шанс отримати хоч щось із зашифрованих файлів – відновити їх за допомогою засобів відновлення видалених файлів. Для цього пропоную скористатися безкоштовною програмою Photorec.

Запускайте програму та вибирайте диск, на якому відновлюватимете файли. Запуск графічної версії програми виконує файл qphotorec_win.exe. Необхідно вибрати папку, куди будуть розміщені знайдені файли. Краще, якщо ця папка буде розташована не на тому ж диску, де ми шукаємо. Підключіть флешку або зовнішній жорсткий диск для цього.

Процес пошуку триватиме довго. Наприкінці ви побачите статистику. Тепер можна йти у зазначену раніше папку та дивитися, що там знайдено. Файлів буде швидше за все багато і більшість з них будуть пошкоджені, або це будуть якісь системні і марні файли. Але в цьому списку можна буде знайти і частину корисних файлів. Тут уже жодних гарантій немає, що знайдете, те знайдете. Найкраще, як правило, відновлюються зображення.

Якщо результат вас не задовольнить, то є ще програми для відновлення віддалених файлів. Нижче список програм, які я зазвичай використовую, коли потрібно відновити максимальну кількість файлів:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Програми ці не безкоштовні, тому я не наводитиму посилань. За великого бажання ви зможете їх самі знайти в інтернеті.

Весь процес відновлення файлів докладно показаний у відео наприкінці статті.

Касперський, eset nod32 та інші у боротьбі з шифрувальником Filecoder.ED

Популярні антивіруси визначаю шифрувальник CRYPTED000007 як Filecoder.EDі далі може бути ще якесь позначення. Я пробігся форумами основних антивірусів і не побачив там нічого корисного. На жаль, як завжди, антивіруси виявилися не готовими до нашестя нової хвилі шифрувальників. Ось повідомлення з форуму Kaspersky.

Антивіруси традиційно пропускають нові модифікації троянів-шифрувальників. Проте я рекомендую ними користуватися. Якщо вам пощастить, і ви отримаєте на пошту шифрувальника не в першу хвилю заражень, а трохи пізніше є шанс, що антивірус вам допоможе. Вони все працює на крок позаду зловмисників. Виходить нова версія здирника, антивіруси на неї не реагують. Як тільки накопичується певна маса матеріалу для дослідження по новому вірусу, антивіруси випускають оновлення та починають на нього реагувати.

Що заважає антивірусам реагувати відразу на будь-який процес шифрування в системі, мені не зрозуміло. Можливо, є якийсь технічний нюанс на цю тему, який не дозволяє адекватно зреагувати і запобігти шифруванню файлів користувача. Мені здається, можна було хоча б попередження виводити на тему того, що хтось шифрує ваші файли, і запропонувати зупинити процес.

Куди звернутися за гарантованим розшифруванням

Мені довелося познайомитися з однією компанією, яка реально розшифровує дані після роботи різних вірусів-шифрувальників, у тому числі CRYPTED000007. Їхня адреса - http://www.dr-shifro.ru. Оплата лише після повної розшифровки та вашої перевірки. Ось зразкова схема роботи:

  1. Фахівець компанії під'їжджає до вас в офіс або на будинок, та підписує з вами договір, у якому фіксує вартість робіт.
  2. Запускає дешифратор та розшифровує всі файли.
  3. Ви переконуєтеся в тому, що всі файли відкриваються і підписуєте акт здачі/приймання виконаних робіт.
  4. Оплата лише за фактом успішного результату дешифрації.

Скажу чесно, я не знаю, як вони це роблять, але ви нічого не ризикуєте. Оплата лише після демонстрації роботи дешифратора. Прохання написати відгук про досвід взаємодії з цією компанією.

Методи захисту від вірусу CRYPTED000007

Як захиститися від роботи шифрувальника та обійтися без матеріальних та моральних збитків? Є кілька простих та ефективних порад:

  1. Бекап! Резервна копія всіх важливих даних. І не просто бекап, а бекап, до якого немає постійного доступу. Інакше вірус може заразити як ваші документи, і резервні копії.
  2. Ліцензійний антивірус. Хоча вони не дають 100% гарантії, але шанси уникнути шифрування збільшують. До нових версій шифрувальника вони найчастіше не готові, але вже через 3-4 дні починають реагувати. Це підвищує ваші шанси уникнути зараження, якщо ви не потрапили в першу хвилю розсилки нової модифікації шифрувальника.
  3. Не відкривайте підозрілі вкладення у пошті. Тут коментувати нема чого. Усі відомі мені шифрувальники потрапили до користувачів через пошту. Причому щоразу вигадують нові хитрощі, щоб обдурити жертву.
  4. Не відкривайте бездумно посилання, надіслані вам від ваших знайомих через соціальні мережі чи месенджери. Так також іноді поширюються віруси.
  5. Увімкніть у Windows відображення розширень файлів. Як це легко знайти в інтернеті. Це дозволить помітити розширення файлу на вірусі. Найчастіше воно буде .exe, .vbs, .src. У повсякденній роботі з документами вам навряд чи трапляються такі розширення файлів.

Постарався доповнити те, що вже писав раніше у кожній статті про вірус шифрувальник. А поки що прощаюся. Буду радий корисним зауваженням за статтею та вірусом-шифрувальником CRYPTED000007 в цілому.

Відео з розшифровкою та відновленням файлів

Тут є приклад попередньої модифікації вірусу, але відео повністю актуально і для CRYPTED000007.

Перші зразки малварі, що шифрує файли, а потім вимагають грошей за розшифровку, з'явилися дуже давно. Досить згадати Trojan.Xorist з його примітивним алгоритмом шифрування на базі XOR або написаний на PureBasic Trojan.ArchiveLock, який використав для шифрування звичайний WinRAR, а для видалення зашифрованих файлів Sysinternals SDelete і вимагав за розшифрування цілих п'ять тисяч. Однак саме CryptoLocker заснував серед вірусописачів погану тенденцію - використовувати найостанніші досягнення криптографії у вигляді дуже стійких алгоритмів шифрування. Сьогодні ми досліджуємо кілька троянів-шифрувальників, які з'явилися після гучної ходи інтернетом CryptoLocker'а (або одночасно з ним).

WARNING

Якщо ти захочеш наслідувати наш приклад і послідувати якийсь зразок локера-шифрувальника, будь обережний. Навіть під час використання віртуалки можна необережно зашифрувати файли на розшарованих папках основної системи.

Трохи статистики

З погляду творців, трояни-шифрувальники – це реальні живі гроші. Організувати спам-розсилку заражених листів та сервіс прийому платежів від тих, кому дорогі сімейні фотографії, які раптом виявилися зашифрованими, набагато простіше і дешевше, ніж, наприклад, старанно будувати та розвивати ботнет (який потім ще потрібно буде кудись прибудувати) або збирати дані із заражених машин, враховуючи, що ці зібрані дані треба теж якось монетизувати.


Тому такий вид кібервимагання продовжує процвітати та приносити величезні гроші організаторам цього кримінального бізнесу. Наприклад, за даними фахівців «Лабораторії Касперського», за 2014 рік зафіксовано понад сім мільйонів атак із використанням троянів-шифрувальників різних сімейств.

Продовження доступне лише учасникам

Варіант 1. Приєднайтесь до спільноти «сайт», щоб читати всі матеріали на сайті

Членство у спільноті протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалів «Хакера», збільшить особисту накопичувальну знижку та дозволить накопичувати професійний рейтинг Xakep Score!

Віруси-здирники це комп'ютерні програми, які спочатку шифрують ваші файли, а потім вимагають гроші за можливість їх розшифрувати. Віруси-здирники перетворилися на справжню епідемію. Інтернет переповнений проханнями про допомогу у розшифровці файлів. Більшість вірусів здирників дуже схожі між собою. Вони потайки проникають на ваш комп'ютер, а потім шифрують файли. Основні відмінності між ними, вважають в алгоритмі шифрування, та розмір необхідного викупу.

Майте на увазі, що заплативши викуп, ви не маєте жодних гарантій, що ваші файли будуть успішно розшифровані. Ви просто підтримуєте кримінальний бізнес кіберзлочинців. Ви ніколи не можете бути впевнені, що вони надішлють вам секретний ключ, який використовується для їх розшифровки. З цієї причини ніколи не намагайтеся зв'язатися зі злочинцями або заплатити викуп. Крім того, віруси-здирники можуть поширюватися через P2P торрент мережі, де користувачі завантажують зламані версії програмного забезпечення. З цих причин ви повинні бути обережними при завантаженні файлів з неперевірених джерел, а також при відкритті файлів, надісланих від невідомого адресата електронної пошти.

Шпалери робочого стола на ПК, зараженому вірусом-вимагачем.

Більшість таких вірусів виникли зовсім недавно, .better_call_saul з'явився приблизно в лютому. В даний час вирус.better_call_saul досить агресивно поширений на території Росії та інших пострадянських країнах. Більшість користувачів заражаються вірусом.better_call_saul, коли клацають на посилання в електронних листах. Злочинці поширять цей вірус за допомогою спам-розсилок, де до листів прикріплені заражені файли. Зламані сайти є третім найпоширенішим способом зараження здирником.better_call_saul. Після успішного проникнення в систему, цей здирник шифрує різні файли, що зберігаються на ваших жорстких дисках. Для шифрування вірус використовує алгоритм RSA-3072.

Зауважте, що цей вірус додає розширення.better_call_saul до кінця назви кожного зашифрованого файлу. Крім того, він змінює вигляд робочого столу (змінює шпалери) і створює файл README.txt у кожній папці, яка містить зашифровані файли. README.txt текстовий файл і шпалери робочого стола містять повідомлення про те, що файли зашифровані, і що для їх відновлення, жертва повинна заплатити викуп. В інструкціях, жертва рекомендується зв'язатися з кіберзлочинцями, написавши на вказану електронну адресу, та надіслати спеціальний код. Після цього потерпілий нібито має отримати подальші інструкції.

Кіберзлочинці потім виставляють вимоги заплатити 14-15 тисяч рублів на спеціальний гаманець QIWI. Якщо викуп не буде оплачений протягом 48 годин, тоді ключ, який використовується для розшифровки файлів і зберігається на серверах, що контролюються злочинцями, буде видалений. Майте на увазі, що без цього ключа розшифрувати файли неможливо. На жаль, на даний момент не існує жодних інструментів, здатних розшифрувати файли, закодовані вірусом.better_call_saul. Один із способів вирішити цю проблему полягає у відновленні системи або файлів із резервної копії. Деякі інші варіанти боротьби з цим вірусом викладені нижче.

Видалити здирницьке ПЗ.better_call_saul за допомогою автоматичного чистильника

Винятково ефективний метод роботи із шкідливим ПЗ взагалі та програмами-вимагачами зокрема. Використання захисного комплексу, що зарекомендував себе, гарантує ретельність виявлення будь-яких вірусних компонентів, їх повне видалення одним клацанням миші. Зверніть увагу, йдеться про два різні процеси: деінсталяцію інфекції та відновлення файлів на Вашому ПК. Проте загроза, безумовно, підлягає видаленню, оскільки є відомості про запровадження інших комп'ютерних троянців за її допомогою.

  1. . Після запуску програмного засобу натисніть кнопку Start Computer Scan(Почати сканування).
  2. Встановлене програмне забезпечення надасть звіт про виявлені під час сканування загрози. Щоб видалити всі знайдені загрози, виберіть опцію Fix Threats(Усунути загрози). Розглянуте шкідливе програмне забезпечення буде повністю видалено.

Відновити доступ до зашифрованих файлів

Як було зазначено, програма-вимагач.better_call_saul блокує файли за допомогою стійкого алгоритму шифрування, так що зашифровані дані не можна відновити помахом чарівної палички - якщо не враховувати оплату нечуваної суми викупу. Але деякі методи справді можуть стати паличкою-виручалочкою, яка допоможе відновити важливі дані. Нижче Ви можете з ними ознайомитись.

Програма автоматичного відновлення файлів

Відомо дуже неординарну обставину. Ця інфекція стирає вихідні файли у незашифрованому вигляді. Процес шифрування з метою здирства, таким чином, націлений на їх копії. Це дозволяє таким програмним засобам як відновити стерті об'єкти, навіть якщо надійність їх усунення гарантована. Настійно рекомендується вдатися до процедури відновлення файлів, її ефективність не викликає сумнівів.

Тіньові копії томів

В основі підходу передбачена Windows процедура резервного копіювання файлів, яка повторюється у кожній точці відновлення. Важлива умова роботи даного методу: функція "Відновлення системи" має бути активована до зараження. При цьому будь-які зміни до файлу, внесені після точки відновлення, у відновленій версії файлу не відображатимуться.

Резервне копіювання

Це найкращий серед усіх не пов'язаних із викупом способів. Якщо процедура резервного копіювання даних на зовнішній сервер застосовувалася до моменту атаки програми-вимагача на Ваш комп'ютер, для відновлення зашифрованих файлів потрібно просто увійти у відповідний інтерфейс, вибрати необхідні файли та запустити механізм відновлення даних із резерву. Перед виконанням операції необхідно переконатися, що вимагання ПЗ повністю видалено.

Перевірити можливу наявність залишкових компонентів здирника.

Очищення в ручному режимі може призвести до упущення окремих фрагментів вимагацького ПЗ, які можуть уникнути видалення у вигляді прихованих об'єктів операційної системи або елементів реєстру. Щоб уникнути ризику часткового збереження окремих шкідливих елементів, виконайте сканування Вашого комп'ютера за допомогою надійного захисного програмного комплексу, що спеціалізується на зловмисному ПЗ.

Зловив я минулого тижня таку ось неприємну річ. Троян, який зашифрував всі файли розширень psd,xlsx,docx,png,jpg, rar,zip та багато інших. Розкажу докладніше, що і як було і що робити, щоб знизити ймовірність зараження таким вірусом.

Для зручності - відразу зміст за статтею.

Троян шифрувальник. Як це було.

Як буває зазвичай

Зазвичай трояни, які шифрують ваші файли, працюють за наступним принципом. Ви отримуєте від когось або завантажуєте файл. На вигляд звичайний файл, можливо навіть прописаний нормальний виробник і є цифровий підпис. Запустивши його, на перший погляд, нічого не відбувається. Не відкривається вікна установника, нічого…але у тлі цей троян downloader відкриває так звану backdoor. І починається стрибка трояна шифрувальника, через освічену дірку у захисті вашого ПК.

Потім у хід вступає шифрувальник. Він спеціальним алгоритмом шифрує певні типи даних. Найчастіше це документи Word, Excel, Бази 1С тощо. Найчастіше на робочому столі залишається текстовий документ з описом, що наробив цей вірус і як відновити файли. Швидше за все вам запропонують написати на електронну пошту зловмиснику та надіслати енну суму за відновлення даних. Відновити дані самостійно навряд чи вдасться. Для цього потрібний дешифратор. Але й тут не так просто. В інтернеті не так багато інформації про відновлення даних, та й трояни такого типу розвиваються набагато швидше, ніж створюється ліки до них.

Як було в мене

У мене ж все сталося набагато цікавіше. Я сидів і працював за ноутом. Інтернет було підключено, але я ним не користувався. Працював у сторонній програмі. Листів мені ніяких не приходило, та й файлів я ніяких не встановлював, не запускав. Пішов я буквально хвилин на 20. Повертаюся і бачу там таку картину:

Ну звичайно антивірусне сканування не було запущено) Але загалом така справа. У мене змінена заставка робочого столу та відкритий текстовий документ. Документ такого змісту:

Ваш комп'ютер був атакований найнебезпечнішим вірусом.

Вся ваша інформація (документи, бази даних, архіви, бекапи та ін. файли) були злиті з жорстких дисків та зашифровані за допомогою найкриптостійкішого алгоритму у світі RSA-4096.

Відновити файли можна лише за допомогою….

(прочитаєте повний текст, якщо цікаво на скріні.)

Пропонувалося написати на пошту [email protected] щоб отримати дешифратор. Звичайно ж передбачалося, що за певну суму.

Я чесно був просто повалений. Такий шок. Там була вся робота, всі важливі для мене проекти та файли. Макети сайтів. На паніці запустив сканування антивірусом. Чесно, не знаю, навіщо. Чисто на паніці.

Пару слів про мою систему та її стан. Це Windows 8.1 зі всіма останніми апдейтами. Антивірус Eset Antivirus 8. Всі клієнти дистанційного доступу на момент проникнення трояна були відключені. Проте встановлені AmmyAdmin і TeamViewer. RDP (віддалений робочий стіл) вимкнено. Фаєрвол – стандартний Брандмауер Windows. Ось тільки Брандмауер було відключено 🙁 (epic fail)

Поліз в інет вивчати проблему. І тут найцікавіше.

Як відновити зашифровані файли

Це питання дуже хвилювало мене. Я почав переривати інет. Купа форумів. Скрізь описаний троян, який діє інакше, більш старий алгоритм. І то не завжди вдається винищити наслідки його дії. Розшифрувати файли не завжди вдається. Є варіант написати на підтримку DrWeb. Але якщо у вас немає ліцензії їхнього антивірусу, то допомагати вони вам не стануть.

Також у Касперського є утиліти для розшифрування зашифрованих файлів. Ось посилання на сторінку скачки цих утиліт support.kaspersky.

Після безнадійної перевірки цими утилітами написав до центру вірусної аналітики Касперського. Відповіли, що файли на аналіз взяли. Але одне стало ясно.

Як не зловити Троян шифрувальник.

Якщо ви вже заробили вірус від хакера з поштою [email protected] , то сміливо можете закочувати прощальну вечірку за своїми файлами. Пожвавити їх не вдасться. Так що робіть резервну копію вбитих файлів (може в майбутньому зроблять ліки і можна буде відновити втрачені дані), встановлювати заново Windows і мотайте на вус як звести до мінімуму ймовірність проникнення до вас такого троянця. Порившись по інтернету, прочитавши купу розумних порад і на власному досвіді видаю такі пункти щодо забезпечення безпеки:

  1. Поновлюйте систему.Перш ніж ставити нові оновлення Windows, почитайте про що вони і для чого. Як це оновлення вплинули на систему. Не завжди оновлення від Microsoft бувають надкорисними. Але не запускайте. Тримайте оновлену систему.
  2. Фаєрволл.Не відключайте брандмауер або краще ставте нормальний фаєрвол. Хоча стандартний FW від MicroSoft і не фонтан, але він кращий, ніж нічого. А ще краще, якщо ви поставите нормальний фаєрвол. Я вже встановив ESET Smart Security.
  3. Віддалений доступ.Не тримайте відкритими програми віддаленого доступу, такі як Team Viewer, Ammy Admin, Radmin та інші. Хто знає, може й у них уже знайшли пролом! Тим більше, ніколи не раджу дозволяти доступ до віддаленого робочого столу всім. Як відключити Remote Decktop знайти в інтернеті не важко.
  4. Пароль.Поставте пароль на користувача. Нехай не складний, але пароль. І змусіть вінду завжди питати вашого дозволу під час запуску програм. Це дещо не так зручніше, але набагато безпечніше. Налаштування це робиться в центрі безпеки Windows.
  5. Резервні копії.Це те, що не врятує вас від проникнення трояна, але дуже врятує при втраті файлів. Зливайте копії важливих файлів у хмару, флешки, знімні жорсткі диски, DVD ... куди завгодно. Забезпечте збереження важливої ​​інформації не лише локально на вашому комп'ютері.

Дотримуючись цих простих правил Ви зможете зменшити ймовірність проникнення на ваш комп'ютер шкідливого вірусу і значно полегшіть собі життя при втраті цінних файлів.

 

 
Це цікаво: