Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.137.178.133] |
|
Сообщ.
#1
,
|
|
|
В настоящее время популярно заражение систем пользователей троянами, зашифровывающими пользовательские файлы (Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Цифровой сейф, Цифровой кейс, lockdir.exe, rectorrsa и проч). Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т.д. при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч. Особенно опасны трояны-шифровальщики для коммерческих фирм, поскольку потерянные данные баз данных, платежных документов могут заблокировать работу фирмы на неопределенное время, приводя к упущению выгоды.
К сожалению в настоящее время 100% способов расшифровать поврежденные файлы не существует. Процитируем рекомендации компаний "Др.Веб" и "Лаборатории Касперского": Адреса с формами отправки зашифрованных файлов: Самостоятельное восстановление зашифрованных файлов Мы категорически не рекомендуем восстанавливать файлы самостоятельно, так как при неумелых действиях возможно потерять всю информацию, не восстановив ничего!!! Если же вышеописанные способы не дали желаемого результата, можно попытаться воспользоваться следующими способами (следует помнить, что попытки восстановить зашифрованный файл необходимо проводить на копии одного из них, а не пытаться восстановить всю информацию сразу): Утилиты восстановления удаленных файлов: Некоторые разновидности троянов-шифровальщиков создают копию шифруемого файла криптят её, а оригинальный файл удаляют, в таком случае можно воспользоваться одной из утилит для восстановления файлов (желательно использовать портативные версии программ, скачанные и записанные на флеш-накопитель на другом компьютере): Утилиты для расшифровки файлов, зашифрованными определенными видами троянов: Утилиты от Др.Веб: Так же можно воспользоваться утилитами-расшифровщиками расположенными на ftp-сервере компании Др.Веб. Восстановление производится следующим образом: te*decrypt.exe - вэбовский декриптор запускается из командной строки: C:\te*decrypt.exe "C:\путь к одному из шифрованных файлов\Текстовый документ.txt.EnCrYpTeD" на месте зашифрованного файла создаются его копии с разными ключами, например: Текстовый документ.txt-k33 Текстовый документ.txt-k41 Текстовый документ.txt-k16 и тд далее открываем и смотрим, какой файл расшифровался, такой ключ и подходит, к примеру, если расшифровался файл Текстовый документ.txt-k16, то te*decrypt.exe запускается с ключом -k16. Остальные файлы расшифровываются командой: C:\te*decrypt.exe -k16 Метод, описанный на одном из хакерских ресурсов (имеет отношение к Trojan.Xorist): Цитата Если троян спрашивает код - делайте резервную копию данных и вводите ЛЮБОЙ код несколько раз. Тупо тыкайте на кнопку ОК до посинения, троян скажет что все, данным хана, а на самом деле их расшифрует. Неизвестно когда они баг этот пофиксят, так что резервная копия не помешает. Примечание: Мне такой метод не помог - через большое количество кликов, троян пытался шифровать недошифрованное, а затем самоудалялся. Метод для решения проблем с некоторыми версиями Lockdir Папки, зашифрованные некоторыми версиями Lockdir, можно открыть с помощью архиватора 7-zip После успешного восстановления данных необходимо проверить систему на наличие вредоносных программ, для этого следует выполнить правила оформления запроса и создать тему с описанием проблемы в разделе Лечение персонального компьютера от вирусов Способы защиты от троянов-шифровальщиков К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись с LiveCD. Так же резервное копирование можно проводить на так называемые "облачные хранилища", предоставляющиеся некоторыми компаниями. Ссылки: LiveCD (Linux-based LiveCD с функциями восстановления данных): Прочее: Методы шифрования: Ссылки по теме: |