Случалось ли так, что вам на Email, в Skype или ICQ приходило сообщение от неизвестного отправителя со ссылкой на фото вашего друга или поздравление с наступающим праздником? Вроде бы не ожидаешь никакой подставы, и вдруг при переходе по ссылке на компьютер загружается серьезный вредоносный софт. Вы не успеваете опомниться, как уже вирус зашифровал все файлы. Что делать в такой ситуации? Есть ли возможность восстановления документов?
Для того чтобы понять, как бороться с вредоносной программой, нужно знать, что она представляет собой и каким образом проникает в операционную систему. К тому же абсолютно не важно, какой версией Windows вы пользуетесь - Critroni-вирус направлен на инфицирование любой операционной системы.
Шифровальный компьютерный вирус: определение и алгоритм действия
На просторах Интернета появился новый компьютерный вирусный софт, известный многим под названием CTB (Curve Tor Bitcoin) или Critroni. Это усовершенствованный троян-вымогатель, схожий по принципу алгоритма с ранее известным вредоносным софтом CriptoLocker. Если вирус зашифровал все файлы, что делать в таком случае? Прежде всего нужно понять алгоритм его работы. Суть действия вируса в том, чтобы зашифровать все ваши файлы в расширения.ctbl, .ctb2, .vault, .xtbl или другие. При этом вы не сможете открыть их до тех пор, пока не заплатите запрошенную сумму денег.
Часто встречаются вирусы Trojan-Ransom.Win32.Shade и Trojan-Ransom.Win32.Onion. Они очень похожи на СТВ своим локальным действием. Их можно различить по расширению зашифрованных файлов. Trojan-Ransom кодирует информацию в формате.xtbl. При открытии любого файла, на экран выводится сообщение о том, что ваши персональные документы, базы данных, фотографии и другие файлы были зашифрованы вредоносной программой. Чтобы расшифровать их, необходимо платно получить уникальный ключ, который хранится на секретном сервере, и только в этом случае вы сможете сделать дешифрование и криптографические действия со своими документами. Но не стоит переживать и тем более отправлять на указанный номер деньги, есть другой способ борьбы с таким видом киберпреступности. Если на ваш компьютер попал именно такой вирус, зашифровал все файлы.xtbl, что делать в такой ситуации?
Чего не стоит делать при проникновении шифровального вируса на компьютер
Случается, что в панике мы устанавливаем антивирусную программу и с ее помощью в автоматическом или ручном режиме удаляем вирусный софт, теряя вместе с ним и важные документы. Это неприятно, помимо того, на компьютере могут храниться данные, над которыми вы работали месяцами. Обидно терять такие документы без возможности их восстановления.
Если вирус зашифровал все файлы.xtbl, некоторые пытаются сменить их расширение, но это тоже не приводит к положительным результатам. Переустановка и форматирование жесткого диска безвозвратно удалит зловредную программу, но вместе с этим вы потеряете и всякую возможность восстановления документов. В данной ситуации не помогут и специально созданные программы-дешифраторы, ведь софт-вымогатель запрограммирован по нестандартному алгоритму и требует особого подхода.
Чем опасен вирус-вымогатель для персонального компьютера
Совершенно понятно, что ни одна вредоносная программа не принесет пользу вашему персональному компьютеру. Для чего создается такой софт? Как ни странно, такие программы были созданы не только в целях выманивания у пользователей как можно большего количества денег. На самом деле вирусный маркетинг достаточно выгоден многим антивирусным изобретателям. Ведь если вирус зашифровал все файлы на компе, куда вы обратитесь в первую очередь? Естественно, за помощью профессионалов. Чем же шифровальные для вашего ноутбука или персонального компьютера?
Алгоритм их работы нестандартный, поэтому обычным антивирусным обеспечением будет невозможно вылечить зараженные файлы. Удаление вредоносных объектов приведет к потере данных. Только перемещение в карантин даст возможность обезопасить другие файлы, которые зловредный вирус еще не успел зашифровать.
Срок действия шифровального вредоносного обеспечения
Если ваш компьютер заразился Critroni (вредоносной программой) и вирус зашифровал все файлы, что делать? .vault-, .xtbl-, .rar-форматы самостоятельно не расшифруешь, вручную поменяв расширение на.doc, .mp3, .txt и другие. В случае если в течение 96 часов вы не оплатите нужную сумму киберпреступникам, с вами будут вести запугивающую переписку по почте о том, что все ваши файлы безвозвратно удалятся. В большинстве случаев на людей действуют такие угрозы, и они неохотно, но послушно выполняют указанные действия, боясь потерять драгоценную информацию. Жаль, пользователи не понимают того факта, что киберпреступники не всегда верны своему слову. Получив деньги, они зачастую уже не беспокоятся о дешифровке ваших заблокированных файлов.
По истечении таймера она автоматически закрывается. Но у вас еще есть шанс восстановления важных документов. На экране появится сообщение о том, что время истекло, и более детальную информацию о файлах вы сможете просмотреть в папке документов в специально созданном блокнот-файле DecryptAllFiles.txt.
Способы проникновения шифровальных вредоносных программ в операционную систему
Обычно вирусы-шифровальщики проникают в компьютер через зараженные сообщения, поступающие на электронную почту либо через фейковые загрузки. Это могут быть поддельные флеш-обновления или мошеннические видеопроигрыватели. Как только программа загружается на компьютер любым из этих способов, она сразу же шифрует данные без возможности их восстановления. Если вирус зашифровал все файлы.cbf, .ctbl, .ctb2 в другие форматы и у вас нет резервной копии документа, хранящегося на съемном носителе, считайте, что вам больше не удастся их восстановить. На данный момент антивирусные лаборатории не знают, как взломать такие шифровальные вирусы. Без необходимого ключа существует возможность только блокировать зараженные файлы, перемещать их в карантин или удалять.
Как избежать заражения компьютера вирусом
Зловещий все файлы.xtbl. Что делать? Вы уже перечитали массу ненужной информации, которую пишут на большинстве веб-сайтов, и ответ не находите. Так случается, что в самый неподходящий момент, когда срочно нужно сдавать отчет на работе, дипломную в университете или защищать свою профессорскую степень, компьютер начинает жить своей жизнью: ломается, заражается вирусами, зависает. Вы должны быть готовы к таким ситуациям и держать информацию на сервере и съемном носителе. Это позволит в любой момент переустановить операционную систему и через 20 минут работать за компьютером, как ни в чем не бывало. Но, к сожалению, мы не всегда такие предприимчивые.
Чтобы избежать заражения компьютера вирусом, прежде всего необходимо установить хорошую антивирусную программу. У вас должен быть правильно настроен брандмауэр Windows, который защищает от попадания различных вредоносных объектов через Сеть. И наиболее важное: не качайте софт с непроверенных сайтов, торрент-трекеров. Чтобы избежать заражения компьютера вирусными программами, следите за тем, на какие ссылки вы переходите. Если вам на электронную почту пришло письмо от непонятного адресата с просьбой или предложением посмотреть, что за ссылкой спрятано, лучше всего переместить сообщение в спам или удалить вообще.
Чтобы в один прекрасный момент не вышло так, что вирус зашифровал все файлы.xtbl, лаборатории антивирусного программного обеспечения советуют бесплатный способ защиты от заражения шифровальными вирусами: раз в неделю осуществлять и осмотр их состояния.
Вирус зашифровал все файлы на компьютере: способы лечения
Если вы стали жертвой киберпреступности и данные на вашем компьютере были заражены одним из шифровальных видов вредоносных программ, тогда самое время попытаться восстановить файлы.
Существует несколько способов бесплатного лечения зараженных документов:
- Наиболее распространенный метод и, наверное, самый действенный в нынешний момент - резервное копирование документов и последующее восстановление в случае непредвиденного заражения.
- Программное Алгоритм CTB-вируса работает интересным образом. Попадая в компьютер, он копирует файлы, шифрует их, а оригиналы документов удаляет, тем самым исключая возможность их восстановления. Но с помощью программного софта Photorec или R-Studio вы можете успеть сохранить некоторые нетронутые оригинальные файлы. Следует знать, что чем дольше вы пользуетесь компьютером после его заражения, тем меньше вероятность восстановления всех необходимых документов.
- Если вирус зашифровал все файлы.vault, есть еще один неплохой способ их дешифровки - использование теневых томов копий. Конечно, вирус будет пытаться навсегда и безвозвратно удалить их все, но случается и так, что некоторые файлы остаются нетронутыми. В этом случае у вас будет хоть и маленький, но шанс их восстановления.
- Существует возможность хранения данных на файлообменниках, таких как DropBox. Его можно установить на компьютер в виде локального отображения диска. Естественно, шифровальный вирус будет и его инфицировать. Но в этом случае гораздо реальнее восстановить документы и важные файлы.
Программное предотвращение инфицирования вирусом персонального компьютера
Если вы боитесь попадания зловещего вредоносного софта на ваш компьютер и не хотите, чтобы коварный вирус зашифровал все файлы, следует использовать редактор локальной политики или Windows-группы. Благодаря этому интегрированному софту можно настроить политику ограничения программ - и тогда вас не будут беспокоить мысли об инфицировании компьютера.
Как восстановить зараженные файлы
Если CTB-вирус зашифровал все файлы, что делать в данном случае, чтобы восстановить необходимые документы? К сожалению, в нынешнее время ни одна антивирусная лаборатория не может предложить расшифровку ваших файлов, но обезвреживание инфекции, ее полное удаление с персонального компьютера возможно. Выше указаны все действенные методы информационного восстановления. Если же вам слишком дороги ваши файлы, а вы не побеспокоились сделать их резервную копию на съемный носитель или интернет-диск, тогда вам придется оплатить запрошенную киберпреступниками сумму денег. Но нет никакой вероятности, что вам будет выслан ключ дешифрования даже после оплаты.
Как найти зараженные файлы
Чтобы увидеть список зараженных файлов, можно перейти по такому пути: "Мои документы"\.html или "C:"\"Пользователи"\"Все пользователи"\.html. Этот html-лист содержит данные не только о случайных инструкциях, но также и о зараженных объектах.
Как заблокировать шифровальный вирус
Как только компьютер был инфицирован вредоносным программным обеспечением, первое необходимое действие со стороны пользователя - включение с сетью. Это осуществляется нажатием на клавишу клавиатуры F10.
Если на ваш компьютер случайным образом попал Critroni-вирус, зашифровал все файлы в.rar, .ctbl, .ctb2, .xtbl, .vault, .cbf или любой другой формат, в таком случае уже тяжело восстановить их. Но если вирус еще не успел внести много изменений, есть вероятность его блокировки с помощью политики ограниченного доступа программ.
Если система заражена вредоносной программой семействTrojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola , Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX , то все файлы на компьютере будут зашифрованы следующим образом:
- При заражении Trojan-Ransom.Win32.Rannoh имена и расширения изменятся по шаблону locked-<оригинальное_имя>.<4 произвольных буквы> .
- При заражении Trojan-Ransom.Win32.Cryakl в конец содержимого файлов добавляется метка {CRYPTENDBLACKDC} .
- При заражении Trojan-Ransom.Win32.AutoIt
расширение изменяется по шаблону <оригинальное_имя>@<почтовый_домен>_.<набор_символов>
.
Например, [email protected]_.RZWDTDIC. - При заражении Trojan-Ransom.Win32.CryptXXX расширение изменяется по шаблонам <оригинальное_имя>.crypt, <оригинальное_имя>. crypz и <оригинальное_имя>. cryp1.
Утилита RannohDecryptor предназначена для расшифровки файлов после заражения Trojan-Ransom.Win32.Polyglot , Trojan-Ransom.Win32.Rannoh , Trojan-Ransom.Win32.AutoIt , Trojan-Ransom.Win32.Fury , Trojan-Ransom.Win32.Crybola , Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX версии 1 , 2 и 3 .
Как вылечить систему
Чтобы вылечить зараженную систему:
- Скачайте файл RannohDecryptor.zip .
- Запустите файл RannohDecryptor.exe на зараженной машине.
- В главном окне нажмите Начать проверку .
- Укажите путь к зашифрованному и незашифрованному файлу.
Если файл зашифрован Trojan-Ransom.Win32.CryptXXX , укажите файлы самого большого размера. Расшифровка будет доступна только для файлов равного или меньшего размера. - Дождитесь окончания поиска и расшифровки зашифрованных файлов.
- Перезагрузите компьютер, если требуется.
- Для удаления копии зашифрованных файлов вида locked-<оригинальное_имя>.<4 произвольных буквы> после успешной расшифровки выберите .
Если файл был зашифрован Trojan-Ransom.Win32.Cryakl, то утилита сохранит файл на старом месте с расширением .decryptedKLR.оригинальное_расширение . Если вы выбрали Удалять зашифрованные файлы после успешной расшифровки , то расшифрованный файл будет сохранен утилитой с оригинальным именем.
- По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена ОС).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
В системе, зараженной Trojan-Ransom.Win32.CryptXXX , утилита сканирует ограниченное количество форматов файлов. При выборе пользователем файла, пострадавшего от CryptXXX v2, восстановление ключа может занять продолжительное время. В этом случае утилита показывает предупреждение.
В конце рабочего дня бухгалтер одного из предприятий получила письмо по электронной почте от контрагента, с которым постоянно велась деловая переписка, письмо, в котором содержался вложенный файл, именуемый, как «Акт сверки.xls». При попытке открытия визуально ничего не произошло с точки зрения бухгалтера. Несколько раз повторив попытки открытия бухгалтер удостоверилась, что excel не собирается открывать присланный файл. Отписавшись контрагенту о невозможности открыть полученный ею файл, бухгалтер, нажала кнопку выключения ПК, и, не дождавшись завершения работы ПК, покинула рабочее место. Придя утром, обнаружила, что компьютер так и не отключился. Не придав этому особого значения, попыталась начать новый рабочий день, привычно кликнув по ярлыку 1С Бухгалтерии, но после выбора базы ожидал неприятный сюрприз.
Последующие попытки запуска рабочей среды 1С также не увенчались успехом. Бухгалтер связалась с компанией, обслуживающей вычислительную технику их организации, и запросила техническую поддержку. Специалистами обслуживающей организации выяснено, что проблемы куда более масштабные, так как кроме того что файлы базы 1С Бухгалтерии 7.7 были зашифрованы и имели расширение “BLOCKED“, зашифрованными оказались и файлы с расширениями doc, docx, xls, xlsx, zip, rar, 1cd и другие. Также обнаруживался текстовый файл на рабочем столе пользователя, в котором сообщалось, что файлы зашифрованы с использованием алгоритма RSA 2048, и что для получения дешифратора необходимо оплатить услуги вымогателя. Резервное копировании 1С баз осуществлялось ежедневно на другой жесткий диск установленный в этом же ПК в виде создания zip архива с папкой 1С баз, и копия архива помещалась на сетевой диск (NAS). Так как ограничения доступа к резервным копиям не было, то вредоносное программное обеспечение имело доступ и к ним.
Оценив масштаб проблемы, специалисты обслуживающей организации выполнили копирование только шифрованных файлов на отдельный накопитель и произвели переустановку операционной системы. Также из почтового ящика бухгалтера были удалены письма, содержащие вредоносное ПО. Попытки расшифровки с использованием популярных дешифраторов антивирусных компаний на тот момент результата не дали. На этом обслуживающая организацию компания закончила свои работы.
Перспективы начать с ввода первичной документации в новую 1С базу, не сильно радовали бухгалтеров. Посему были рассмотрены дальнейшие возможности восстановления шифрованных файлов.
К сожалению, не были сохранены оригинальное тело вредоносного ПО и сообщение вымогателя, что не позволило дизассемблировать тело и установить алгоритм его работы посредством анализа в отладчике. Так же не было возможности проверить, встречался ли он различным антивирусным компаниям.
Поэтому сразу приступаем к анализу файлов, структуры которых хорошо известны. В данном случае удобно использовать для анализа DBF файлы из базы 1С, так как структура их весьма предсказуема. Возьмем файл 1SENTRY.DBF.BLOCKED (журнал бухгалтерских проводок), размер данного файла 53 044 658 байт
рис. 2
Рассматривая шифрованный DBF файл, обращаем внимание на то, что первые 0x35 байт не зашифрованы, так как присутствует заголовок, характерный для данного типа файлов, и наблюдаем часть описания первого поля записи. Произведем расчет размера файла. Для этого возьмем: WORD по смещению 0x08, содержимое которого равно 0x04C1 (в нем указан размер заголовка DBF файла), WORD по смещению 0x0A, содержимое которого равно 0x0130 (в нем указан размер одной записи в базе), DWORD по смещению 0x04, содержимое которого равно 0x0002A995 (количество записей), и 0x01 – размер конечного маркера. Решим пример: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) байт. Размер файла, согласно записи файловой системы, соответствует расчетному на основании информации в заголовке DBF файла. Выполним аналогичные проверки для нескольких DBF файлов и удостоверимся, что размер файла не был изменен вредоносным ПО.
Анализ содержимого DBF показывает, что небольшие файлы начиная со смещения 0x35 зашифрованы целиком, а крупные нет.
рис. 3
Номера счетов, даты и суммы изменены, чтобы не нарушать соглашения о конфиденциальности в том числе и в зашифрованном участке.
Начиная со смещения 0x00132CB5 обнаруживаем отсутствие признаков шифрования до конца файла, выполнив проверки в иных крупных файлах подтверждаем предположение, что целиком шифруются только файлы менее 0x00132CB5 (1 256 629) байт. Многие авторы вредоносного ПО выполняют частичное шифрование файлов с целью сокращения времени искажения пользовательских данных. Руководствуются вероятно тем, чтобы их вредоносный код за минимальное время нанес максимально возможный ущерб пользователю.
Приступим к анализу алгоритма шифрования
рис. 4
На рис. 4 на месте заголовков полей DBF файла присутствуют почти одинаковые последовательности из 16 байт (смещения 0x50, 0x70, 0x90), также видим частичное повторение последовательностей из 16 байт (смещения 0x40,0x60,0x80), в которых есть отличия только в байтах, где должно прописываться имя поля и тип поля.
На основании этого наблюдения, имея небольшое представление об алгоритмах работы криптографических алгоритмов вроде AES , RSA , можно сделать однозначный вывод, что данные не шифрованы с использованием этих алгоритмов. То есть, информация об алгоритме шифрования, поданная заказчиком, недостоверна. Недостоверной она может быть как из-за неких ошибочных выводов заказчика, так и являться следствием обмана автором вредоносной программы. Проверить это мы не можем, так как нам доступны только зашифрованные файлы.
Исходя из особенностей строения заголовков DBF файлов и изменений байт в последовательностях, можно сделать предположение, что шифрование выполнено посредством XOR операции над данными с неким паттерном. Также можно сделать предположение, исходя из длины повторяющихся последовательностей, что длина паттерна 16 байт (128 бит). Заголовок базы равен 0x04C1 байт, размер описания одного поля в заголовке 0х20 (32) байт. Из этого следует, что заголовок данного DBF файла содержит (0x4C1-0x21)/0x20=0x25 (37) описаний полей. На рис. 4 подчеркнуты красным фрагменты записей двух полей начиная со смещения 0x10, которые в случае 1С как правило имеют нулевые значения, кроме самого 0x10 (так как по этому смещению указывается размер поля), на основании этого можно полагать, что уже имеем 15 из 16 байт ключа шифрования 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.
Для нахождения последнего байта в ключе возьмем другой фрагмент этого же DBF файла.
рис. 5
На рисунке 5 обратим внимание на нулевой столбец, точнее на его нешифрованную часть, и видим, что там преобладает значение 0x20 (код пробела согласно ASCII таблицы). Соответственно, и в шифрованной части столбца будет преобладать некое одинаковое значение. Легко заметить, что это 0xFA. Для получения оригинального значения недостающего байта ключа необходимо выполнить 0xFA xor 0x20=0xDA.
Подставив полученное значение на недостающую позицию, получим полный ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.
После выполнения процедуры xor операции с полученным ключом над шифрованными участками получили оригинальное содержимое файла
рис. 6
Для окончательного контроля проведем операцию расшифровки zip архива, затем распакуем архив. Если все файлы извлеклись и не возникало ошибки CRC для какого-либо файла, то можно окончательно подтвердить корректность ключа. И финальным этапом будет распаковка остальных файлов согласно технического задания.
Данный пример говорит о том, что вероятно не все высказывания авторов вредоносного программного обеспечения правдивы. И нередко можно решить задачу восстановления пользовательских данных посредством анализа измененных данных.
Наряду с подобными простыми случаями встречаются трояны-шифровальщики, которые действительно будут использовать современные криптографические алгоритмы и в случае их атаки подобное простое решение в принципе невозможно. Посему будьте предельно осторожны при открытии любых файлов, полученных по электронной почте даже от доверенных источников. Регулярно обновляйте антивирусное ПО и делайте резервное копирование таким образом, чтобы ваши данные во всех копиях не были доступны кому-либо единовременно.
Напомним:
троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.
Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.
Теперь по порядку.
В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.
Негативное отступление.
И, пользуясь случаем, хочу отметить два жирнющих
минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том - что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский
, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)
Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…
ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?
И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку - вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…
Попытка №1
Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar - «Неожиданный конец архива».
В общем полная неудача.
Попытка №2
Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.
Попытка №3
Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.
Все счастливы, THE END.
«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:
Что необходимо сделать в случае заражения вирусом-шифровальщиком:
- прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
- Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
- менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
- использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.
Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус - «бич» современности и брать «бабло» с однополчан - это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 - я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.
Новые сведенья!
Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» - Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке , так как использует очень устойчивый метод шифрования.
Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение.perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.
Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал - дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.
Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.
Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».
