На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Поиск Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
  
> Трояны-шифровальщики. Как восстановить зашифрованные файлы?
akok
Сообщ. #1 ,
    Unregistered
    В настоящее время популярно заражение систем пользователей троянами, зашифровывающими пользовательские файлы (Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Цифровой сейф, Цифровой кейс, lockdir.exe, rectorrsa и проч). Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т.д. при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч. Особенно опасны трояны-шифровальщики для коммерческих фирм, поскольку потерянные данные баз данных, платежных документов могут заблокировать работу фирмы на неопределенное время, приводя к упущению выгоды.

    К сожалению в настоящее время 100% способов расшифровать поврежденные файлы не существует. Процитируем рекомендации компаний "Др.Веб" и "Лаборатории Касперского":
    • немедленно отключите компьютер для остановки действия трояна, кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных;
    • без особой надобности не включайте компьютер с зашифрованными данными, так как во время включений и перезагрузок происходят изменения файловой системы;
    • обратитесь с соответствующим заявлением в правоохранительные органы;
    • ни в коем случае не пытайтесь переустановить операционную систему;
    • не удаляйте никаких файлов и почтовых сообщений на Вашем компьютере;
    • не запускайте никаких "чистильщиков" временных файлов и реестра;
    • не следует сканировать и лечить компьютер антивирусами и антивирусными утилитами, а тем более антивирусными LiveCD, в крайнем случае можно переместить зараженные файлы в карантин антивируса;
    • не пытайтесь восстановить зашифрованные файлы самостоятельно;
    • обратитесь в антивирусную лабораторию компании, в которой есть подразделение вирусных аналитиков, занимающихся данной проблемой;
    • к тикету приложите зашифрованный троянцем файл;
    • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

    Адреса с формами отправки зашифрованных файлов:
    • Др.Веб (необходимо выбрать "Запрос на лечение")
    • Лаборатория Касперского (необходимо выбрать "Запрос на исследование вредоносного файла")
    • [email="support@esetnod32.ru"]ESET, LLC[/email]

    Самостоятельное восстановление зашифрованных файлов

    Мы категорически не рекомендуем восстанавливать файлы самостоятельно, так как при неумелых действиях возможно потерять всю информацию, не восстановив ничего!!!
    Если же вышеописанные способы не дали желаемого результата, можно попытаться воспользоваться следующими способами (следует помнить, что попытки восстановить зашифрованный файл необходимо проводить на копии одного из них, а не пытаться восстановить всю информацию сразу):

    Утилиты восстановления удаленных файлов:
    Некоторые разновидности троянов-шифровальщиков создают копию шифруемого файла криптят её, а оригинальный файл удаляют, в таком случае можно воспользоваться одной из утилит для восстановления файлов (желательно использовать портативные версии программ, скачанные и записанные на флеш-накопитель на другом компьютере):
    • R.saver
    • Recuva
    • JPEG Ripper - утилита для восстановления поврежденных изображений
    • JPGscan - утилита для восстановления поврежденных изображений (описание)
    • PhotoRec - утилита для восстановления поврежденных изображений (описание)

    Утилиты для расшифровки файлов, зашифрованными определенными видами троянов:
    Утилиты от Др.Веб:
    Так же можно воспользоваться утилитами-расшифровщиками расположенными на ftp-сервере компании Др.Веб.

    Восстановление производится следующим образом: te*decrypt.exe - вэбовский декриптор запускается из командной строки:

    ExpandedWrap disabled
      C:\te*decrypt.exe "C:\путь к одному из шифрованных файлов\Текстовый документ.txt.EnCrYpTeD"

    на месте зашифрованного файла создаются его копии с разными ключами, например:

    Текстовый документ.txt-k33
    Текстовый документ.txt-k41
    Текстовый документ.txt-k16
    и тд

    далее открываем и смотрим, какой файл расшифровался, такой ключ и подходит, к примеру, если расшифровался файл Текстовый документ.txt-k16, то te*decrypt.exe запускается с ключом -k16. Остальные файлы расшифровываются командой:

    ExpandedWrap disabled
      C:\te*decrypt.exe -k16


    Метод, описанный на одном из хакерских ресурсов (имеет отношение к Trojan.Xorist):
    Цитата
    Если троян спрашивает код - делайте резервную копию данных и вводите ЛЮБОЙ код несколько раз. Тупо тыкайте на кнопку ОК до посинения, троян скажет что все, данным хана, а на самом деле их расшифрует. Неизвестно когда они баг этот пофиксят, так что резервная копия не помешает.


    Примечание: Мне такой метод не помог - через большое количество кликов, троян пытался шифровать недошифрованное, а затем самоудалялся.

    Метод для решения проблем с некоторыми версиями Lockdir

    Папки, зашифрованные некоторыми версиями Lockdir, можно открыть с помощью архиватора 7-zip


    После успешного восстановления данных необходимо проверить систему на наличие вредоносных программ, для этого следует выполнить правила оформления запроса и создать тему с описанием проблемы в разделе Лечение персонального компьютера от вирусов

    Способы защиты от троянов-шифровальщиков

    К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись с LiveCD. Так же резервное копирование можно проводить на так называемые "облачные хранилища", предоставляющиеся некоторыми компаниями.

    Ссылки:
    LiveCD (Linux-based LiveCD с функциями восстановления данных):
    Прочее:
    Методы шифрования:
    Ссылки по теме:
    0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
    0 пользователей:


    Рейтинг@Mail.ru
    [ Script execution time: 0,0300 ]   [ 15 queries used ]   [ Generated: 28.04.24, 07:59 GMT ]  
    Powered by Invision Power Board(U) v1.2 © 2003  IPS, Inc.