A titkosított fájlok helyreállítása. Titkosított adatok helyreállítása a WannaCry ransomware vírus segítségével: lehetőség és megoldás

A francia Quarkslab cég specialistája, Adrien Guinet arról számolt be, hogy megtalálta a módját a ransomware támadás által megsérült adatok visszafejtésének. Sajnos ez a módszer csak a Windows XP operációs rendszeren működik, és nem minden esetben, de a semminél jobb.

Nem sokkal ezelőtt egy új vírus (és annak számos módosítása) jelent meg az interneten, amely titkosította a számítógépén lévő fájlokat, és felajánlotta, hogy pénzért megrendeli a program visszafejtését. Ebben az esetben a titkosított fájlokat átnevezi, és ehhez hasonló nevet kap

DSC00122.JPG. [e-mail védett] _XO101

A kiválasztott rész a vírus szerzőjének e-mailjéből (amelyre a vírus „áldozata” visszafejtési kérelmet küld) és a vírusmódosítási azonosítóból áll. A vírus minden módosításának saját titkosítási algoritmusa van, és ennek megfelelően saját dekódolót igényel.

Szerencsére a Dr.Web fejlesztői szorosan foglalkoztak ezzel a kérdéssel, és készek egy speciális segédprogramot biztosítani a vírus által sérült fájlok visszafejtésére. A kényelem kedvéért az alábbiakban közzéteszem magát a segédprogramot és rövid használati utasításokat.

(a jelszó a webhelyem neve „http://” nélkül)

Az alábbiakban rövid utasításokat talál.

Töltse le a helyreállítási segédprogramot, csomagolja ki az archívumot egy üres mappába egyszerű névvel (például " C:\_dec"). Ezután nyissa meg a parancssort (Start - Futtatás - cmd), és írja be a következőket:

Itt " [e-mail védett] _XO101" az az előtag, amellyel a vírus átnevezi a fájlokat, ügyeljen a pontra az elején. A c:\saját fájlok\- ez az a mappa, amelyben a kódolt fájlok találhatók. A program elindítása után megnyílik egy megerősítő ablak

És a „Tovább” gombra kattintás után elindul az automatikus kezelés. A program befejezése után jelentést kap, és az összes dekódolt fájl a kódolt fájl mellett található az Ön által megadott mappában (a program nem törli a fájlok kódolt verzióit).

A program készítői nem garantálják az összes fájl 100%-os kezelését, és nincs lehetőségem nagy számú fájlon tesztelni a működését, ezért kérem: akinek sikerült fájlokat gyógyítania ezzel a segédprogrammal (vagy nem sikerült) - írd meg kommentben.

Ez minden! Egészségesnek lenni!

P.S. Annak elkerülése érdekében, hogy számítógépe megfertőződjön újra, vásárolja meg már normál vírusirtó. Én a Kaspersky Internet Security-t használom, de úgy tűnik, a Dr.Web is elég jó. Higgye el, évi másfél ezer rubel a nyugalomért és a jövőbe vetett bizalomért nevetséges ár.

Körülbelül egy-két hete jelent meg az interneten egy újabb hack a modern vírusgyártóktól, amely a felhasználó összes fájlját titkosítja. Még egyszer megvizsgálom azt a kérdést, hogyan lehet meggyógyítani egy számítógépet egy ransomware vírus után titkosított000007és visszaállíthatja a titkosított fájlokat. Ebben az esetben semmi új vagy egyedi nem jelent meg, csak az előző verzió módosítása.

A fájlok garantált visszafejtése ransomware vírus után - dr-shifro.ru. A munka részletei és az ügyféllel való interakció sémája alább található a cikkemben vagy a webhelyen a „Munkafolyamat” részben.

A CRYPTED000007 ransomware vírus leírása

A CRYPTED000007 titkosító alapvetően nem különbözik elődeitől. Szinte pontosan ugyanúgy működik. De mégis van néhány árnyalat, amely megkülönbözteti. Elmondok mindent sorban.

Hasonlóan analógjaihoz, postai úton érkezik. Social engineering technikákat alkalmaznak annak biztosítására, hogy a felhasználó érdeklődni kezd a levél iránt, és felnyitja azt. Az én esetemben a levél valamiféle bíróságról és az üggyel kapcsolatos fontos információkról szólt a mellékletben. A melléklet indítása után a felhasználó megnyit egy Word-dokumentumot a Moszkvai Választottbíróság kivonatával.

A dokumentum megnyitásával párhuzamosan elindul a fájltitkosítás. Folyamatosan megjelenik egy tájékoztató üzenet a Windows felhasználói fiókok felügyeleti rendszerétől.

Ha elfogadja a javaslatot, akkor a Windows árnyékmásolatában lévő fájlok biztonsági másolatai törlődnek, és az információk visszaállítása nagyon nehéz lesz. Nyilvánvaló, hogy a javaslattal semmilyen körülmények között nem érthet egyet. Ebben a titkosítóban ezek a kérések folyamatosan, egymás után bukkannak fel, és nem állnak le, kényszerítve a felhasználót, hogy beleegyezzen és törölje a biztonsági másolatokat. Ez a fő különbség a titkosítók korábbi módosításaihoz képest. Még soha nem találkoztam olyan kéréssel, hogy megállás nélkül töröljem az árnyékmásolatokat. Általában 5-10 ajánlat után abbahagyták.

Azonnal adok ajánlást a jövőre nézve. Nagyon gyakori, hogy az emberek letiltják a felhasználói fiókok felügyeletére vonatkozó figyelmeztetéseket. Erre nincs szükség. Ez a mechanizmus valóban segíthet a vírusok elleni küzdelemben. A második kézenfekvő tanács, hogy ne dolgozzon folyamatosan számítógépes rendszergazdai fiók alatt, hacsak nincs rá objektív igény. Ebben az esetben a vírusnak nem lesz lehetősége nagy kárt okozni. Nagyobb esélye lesz ellenállni neki.

De még ha mindig is negatívan válaszolt a ransomware kérésére, minden adata már titkosítva van. A titkosítási folyamat befejezése után egy kép jelenik meg az asztalon.

Ugyanakkor sok azonos tartalmú szöveges fájl lesz az asztalon.

A fájljai titkosítva lettek. Az ux visszafejtéséhez el kell küldenie a következő kódot: 329D54752553ED978F94|0 az ​​e-mail címre [e-mail védett]. Ezután megkapja az összes szükséges utasítást. Az önálló megfejtési kísérletek nem vezetnek máshoz, mint visszavonhatatlan számú információhoz. Ha mégis meg akarja próbálni, akkor először készítsen biztonsági másolatot a fájlokról, különben változás esetén a visszafejtés semmilyen körülmények között lehetetlenné válik. Ha 48 órán belül nem kap értesítést a fenti címre (csak ebben az esetben), használja a kapcsolatfelvételi űrlapot. Ezt kétféleképpen lehet megtenni: 1) Töltse le és telepítse a Tor böngészőt a következő hivatkozás segítségével: https://www.torproject.org/download/download-easy.html.en A Tor Browser címében írja be a következő címet: http: //cryptsen7fo43rr6 .onion/, és nyomja meg az Enter billentyűt. A kapcsolatfelvételi űrlapot tartalmazó oldal betöltődik. 2) Bármely böngészőben nyissa meg a következő címek egyikét: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ A számítógépén lévő összes fontos fájl titkosítva volt. A fájlok visszafejtéséhez el kell küldenie a következő kódot: 329D54752553ED978F94|0 e-mail címre [e-mail védett]. Ezután megkapja az összes szükséges utasítást. Az ön által végzett visszafejtési kísérletek csak az adatok visszavonhatatlan elvesztését eredményezik. Ha továbbra is meg akarja próbálni egyedül visszafejteni őket, kérjük, először készítsen biztonsági másolatot, mert a visszafejtés lehetetlenné válik a fájlokon belüli változtatások esetén. Ha több mint 48 órán keresztül (és csak ebben az esetben!) nem kapta meg a választ a fent említett e-mailből, használja a visszajelzési űrlapot. Ezt kétféleképpen teheti meg: 1) Töltse le a Tor böngészőt innen: https://www.torproject.org/download/download-easy.html.en Telepítse és írja be a következő címet a címsorba: http:/ /cryptsen7fo43rr6.onion/ Nyomja meg az Enter billentyűt, és ekkor betöltődik a visszajelzési űrlapot tartalmazó oldal. 2) Nyissa meg bármelyik böngészőben a következő címek egyikét: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

A levelezési cím változhat. A következő címekre is akadtam:

A címek folyamatosan frissülnek, így teljesen eltérőek lehetnek.

Amint rájön, hogy a fájlok titkosítva vannak, azonnal kapcsolja ki a számítógépet. Ezt meg kell tenni a titkosítási folyamat megszakításához mind a helyi számítógépen, mind a hálózati meghajtókon. A titkosító vírusok minden általa elérhető információt titkosíthatnak, beleértve a hálózati meghajtókat is. De ha nagy mennyiségű információ van ott, akkor ez sok időt vesz igénybe. Néha a zsarolóprogramnak még néhány órán belül sem volt ideje mindent titkosítani egy körülbelül 100 gigabájt kapacitású hálózati meghajtón.

Ezután alaposan át kell gondolnia, hogyan cselekedjen. Ha bármilyen áron információra van szüksége a számítógépéről, és nincs biztonsági másolata, akkor ebben a pillanatban jobb, ha szakemberekhez fordul. Nem feltétlenül pénzért egyes cégeknek. Csak olyan emberre van szükség, aki jól ismeri az információs rendszereket. Fel kell mérni a katasztrófa mértékét, el kell távolítani a vírust, és össze kell gyűjteni minden rendelkezésre álló információt a helyzetről, hogy megértsük, hogyan tovább.

Az ebben a szakaszban végzett helytelen műveletek jelentősen megnehezíthetik a fájlok visszafejtésének vagy visszaállításának folyamatát. A legrosszabb esetben ellehetetleníthetik. Tehát szánjon időt, legyen óvatos és következetes.

Hogyan titkosítja a fájlokat a CRYPTED000007 ransomware vírus

Miután a vírus elindult, és befejezte tevékenységét, minden hasznos fájl titkosításra kerül, és átnevezi őket kiterjesztés.crypted000007. Sőt, nem csak a fájlkiterjesztés cserélődik le, hanem a fájlnév is, így ha nem emlékszik, nem fogja tudni pontosan, milyen fájljai voltak. Valahogy így fog kinézni.

Ilyen helyzetben nehéz lesz felmérni a tragédia mértékét, mivel nem fog tudni teljesen emlékezni arra, hogy mi volt a különböző mappákban. Ezt kifejezetten azért tették, hogy megzavarják az embereket, és arra ösztönözzék őket, hogy fizessenek a fájlok visszafejtésére.

És ha a hálózati mappák titkosítva voltak, és nincs teljes biztonsági másolat, akkor ez teljesen leállíthatja az egész szervezet munkáját. Eltart egy ideig, amíg rájön, mi veszett el végül, és elkezdheti a helyreállítást.

Hogyan kezeljük számítógépét és távolítsuk el a CRYPTED000007 ransomware-t

A CRYPTED000007 vírus már megtalálható a számítógépén. Az első és legfontosabb kérdés az, hogyan fertőtlenítsük a számítógépet, és hogyan távolítsuk el a vírust, hogy megakadályozzuk a további titkosítást, ha az még nem fejeződött be. Azonnal szeretném felhívni a figyelmet arra a tényre, hogy miután Ön elkezdett néhány műveletet végrehajtani a számítógépével, az adatok visszafejtésének esélye csökken. Ha bármilyen áron vissza kell állítania a fájlokat, ne érintse meg számítógépét, hanem azonnal forduljon a szakemberekhez. Az alábbiakban beszélek róluk, linket adok az oldalra, és leírom, hogyan működnek.

Addig is folytatjuk a számítógép önálló kezelését és a vírus eltávolítását. A zsarolóprogramok hagyományosan könnyen eltávolíthatók a számítógépről, mivel a vírusnak nem az a feladata, hogy bármi áron a számítógépen maradjon. A fájlok teljes titkosítása után még jövedelmezőbb számára, ha törli magát és eltűnik, így nehezebb az incidens kivizsgálása és a fájlok visszafejtése.

Nehéz leírni, hogyan lehet manuálisan eltávolítani egy vírust, bár korábban is próbálkoztam ezzel, de úgy látom, hogy legtöbbször értelmetlen. A fájlnevek és a víruselhelyezési útvonalak folyamatosan változnak. Amit láttam, egy-két hét múlva már nem aktuális. A vírusokat általában hullámokban küldik levélben, és minden alkalommal új módosítás történik, amelyet a vírusirtó még nem észlel. Segítenek az univerzális eszközök, amelyek ellenőrzik az indítást és észlelik a gyanús tevékenységeket a rendszermappákban.

A CRYPTED000007 vírus eltávolításához a következő programokat használhatja:

  1. Kaspersky Virus Removal Tool – a Kaspersky segédprogramja http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - hasonló termék más webről http://free.drweb.ru/cureit.
  3. Ha az első két segédprogram nem segít, próbálja ki a MALWAREBYTES 3.0-t – https://ru.malwarebytes.com.

Valószínűleg az egyik ilyen termék megtisztítja a számítógépét a CRYPTED000007 zsarolóvírustól. Ha hirtelen úgy történik, hogy nem segítenek, próbálja meg manuálisan eltávolítani a vírust. Adtam egy példát az eltávolítási módszerre, és ott láthatod. Röviden, lépésről lépésre a következőképpen kell eljárnia:

  1. Megnézzük a folyamatok listáját, miután több további oszlopot is hozzáadtunk a feladatkezelőhöz.
  2. Megtaláljuk a vírus folyamatát, megnyitjuk a mappát, amelyben található, és töröljük.
  3. Töröljük a vírusfolyamat említését fájlnévvel a rendszerleíró adatbázisban.
  4. Újraindítjuk, és megbizonyosodunk arról, hogy a CRYPTED000007 vírus nem szerepel a futó folyamatok listájában.

Hol lehet letölteni a CRYPTED000007 dekódolót

Egy egyszerű és megbízható visszafejtő kérdése merül fel először, ha egy ransomware vírusról van szó. Elsőként a https://www.nomoreransom.org szolgáltatás használatát javaslom. Mi van, ha szerencséd van, és van egy visszafejtőjük a CRYPTED000007 titkosító verziójához. Azonnal mondom, hogy nincs sok esélyed, de a próbálkozás nem kínzás. A főoldalon kattintson az Igen gombra:

Ezután töltsön le néhány titkosított fájlt, és kattintson a Go! Kitalál:

A cikk írásakor még nem volt dekódoló az oldalon.

Talán jobb szerencséd lesz. A letölthető dekódolók listáját egy külön oldalon is megtekintheti - https://www.nomoreransom.org/decryption-tools.html. Talán van benne valami hasznos. Amikor a vírus teljesen friss, ennek kicsi az esélye, de idővel megjelenhet valami. Vannak példák arra, hogy a titkosítók bizonyos módosításainak dekódolói megjelentek a hálózaton. És ezek a példák a megadott oldalon találhatók.

Nem tudom, hol találsz még dekódert. Nem valószínű, hogy valóban létezik, figyelembe véve a modern titkosítók munkájának sajátosságait. Csak a vírus szerzői rendelkezhetnek teljes értékű dekódolóval.

Hogyan lehet visszafejteni és visszaállítani a fájlokat a CRYPTED000007 vírus után

Mi a teendő, ha a CRYPTED000007 vírus titkosította fájljait? A titkosítás technikai megvalósítása nem teszi lehetővé a fájlok visszafejtését kulcs vagy dekódoló nélkül, amivel csak a titkosító szerzője rendelkezik. Lehet, hogy más módon is meg lehet szerezni, de nincs ilyen információm. Csak rögtönzött módszerekkel próbálhatjuk meg helyreállítani a fájlokat. Ezek tartalmazzák:

  • Eszköz árnyékmásolatok ablakok.
  • Törölt adat-helyreállító programok

Először is ellenőrizzük, hogy engedélyezve vannak-e az árnyékmásolatok. Ez az eszköz alapértelmezés szerint működik a Windows 7 és újabb rendszerekben, hacsak nem manuálisan tiltja le. Az ellenőrzéshez nyissa meg a számítógép tulajdonságait, és lépjen a rendszervédelem részre.

Ha a fertőzés során nem erősítette meg az UAC kérését az árnyékmásolatokban lévő fájlok törlésére, akkor néhány adatnak ott kell maradnia. Erről a kérésről a történet elején részletesebben szóltam, amikor a vírus munkájáról beszéltem.

A fájlok árnyékmásolatokból történő egyszerű visszaállításához javaslom egy ingyenes program használatát - a ShadowExplorer. Töltse le az archívumot, csomagolja ki a programot és futtassa.

Megnyílik a fájlok legfrissebb másolata és a C meghajtó gyökere. A bal felső sarokban kiválaszthat egy biztonsági másolatot, ha több van belőlük. Ellenőrizze a szükséges fájlok különböző másolatait. Hasonlítsa össze dátum szerint a legújabb verzióhoz. Az alábbi példámban 2 fájlt találtam az asztalomon három hónappal ezelőtt, amikor legutóbb szerkesztették őket.

Sikerült visszaállítani ezeket a fájlokat. Ehhez kijelöltem őket, jobb gombbal rákattintottam, az Export lehetőséget választottam, és megadtam a mappát, ahová visszaállítom őket.

Ugyanezen elv alapján azonnal visszaállíthatja a mappákat. Ha működtek az árnyékmásolatok, és nem törölte őket, jó eséllyel helyreállíthatja az összes, vagy majdnem az összes vírus által titkosított fájlt. Talán némelyikük régebbi verzió lesz, mint szeretnénk, de ennek ellenére jobb, mint a semmi.

Ha valamilyen okból nem rendelkezik árnyékmásolattal a fájlokról, az egyetlen esélye, hogy legalább valamit megszerezzen a titkosított fájlokból, ha visszaállítja azokat a törölt fájl-helyreállító eszközök segítségével. Ehhez az ingyenes Photorec programot javaslom.

Indítsa el a programot, és válassza ki a lemezt, amelyen visszaállítja a fájlokat. A program grafikus verziójának elindítása végrehajtja a fájlt qphotorec_win.exe. Ki kell választani egy mappát, ahová a talált fájlok kerülnek. Jobb, ha ez a mappa nem ugyanazon a meghajtón található, ahol keresünk. Ehhez csatlakoztasson egy flash meghajtót vagy külső merevlemezt.

A keresési folyamat sokáig fog tartani. A végén látni fogja a statisztikákat. Most beléphet a korábban megadott mappába, és megnézheti, mi található ott. Valószínűleg sok fájl lesz, és a legtöbb vagy megsérül, vagy valamilyen rendszer és haszontalan fájlok lesznek. Ennek ellenére néhány hasznos fájl található ebben a listában. Itt nincs garancia, amit találsz, azt meg is találod. A képeket általában a legjobb helyreállítani.

Ha az eredmény nem kielégítő, akkor vannak programok a törölt fájlok helyreállítására is. Az alábbiakban felsoroljuk azokat a programokat, amelyeket általában akkor használok, amikor a legtöbb fájlt vissza kell állítani:

  • R.saver
  • Starus fájl helyreállítás
  • JPEG Recovery Pro
  • Active File Recovery Professional

Ezek a programok nem ingyenesek, ezért nem adok hivatkozásokat. Ha igazán akarod, magad is megtalálhatod őket az interneten.

A teljes fájl-helyreállítási folyamatot részletesen bemutatja a cikk végén található videó.

Kaspersky, eset nod32 és mások a Filecoder.ED titkosító elleni küzdelemben

A népszerű antivírusok észlelik a CRYPTED000007 zsarolóvírust, mint Filecoder.EDés akkor lehet valami más megnevezés. Átnéztem a nagyobb vírusirtó fórumokat, és nem találtam ott semmi hasznosat. Sajnos, ahogy az lenni szokott, a víruskereső szoftverekről kiderült, hogy nincsenek felkészülve a ransomware új hullámának inváziójára. Íme egy bejegyzés a Kaspersky fórumról.

A vírusirtóknak hagyományosan hiányoznak a ransomware trójaiak új módosításai. Ennek ellenére javaslom a használatát. Ha szerencséd van, és nem a fertőzések első hullámában, hanem egy kicsit később kapsz egy ransomware e-mailt, akkor van esély arra, hogy a vírusirtó segíteni fog. Mindannyian egy lépéssel a támadók mögött dolgoznak. Megjelent a ransomware új verziója, de az antivírusok nem reagálnak rá. Amint összegyűlik egy bizonyos mennyiségű anyag egy új vírus kutatásához, a víruskereső szoftver frissítést ad ki, és reagál rá.

Nem értem, mi akadályozza meg a víruskeresőket abban, hogy azonnal reagáljanak a rendszer bármely titkosítási folyamatára. Talán van néhány technikai árnyalat ebben a témában, amely nem teszi lehetővé számunkra, hogy megfelelően reagáljunk és megakadályozzuk a felhasználói fájlok titkosítását. Számomra úgy tűnik, hogy lehetséges lenne legalább egy figyelmeztetést megjeleníteni arról, hogy valaki titkosítja a fájljait, és felajánlhatná a folyamat leállítását.

Hová forduljunk a garantált visszafejtésért

Véletlenül találkoztam egy céggel, amely ténylegesen visszafejti az adatokat különféle titkosító vírusok, köztük a CRYPTED000007 munkája után. Címük: http://www.dr-shifro.ru. Fizetés csak a teljes visszafejtés és az Ön ellenőrzése után. Íme egy hozzávetőleges munkaséma:

  1. A cég szakembere eljön az irodájába vagy otthonába, és aláír Önnel egy szerződést, amely meghatározza a munka költségét.
  2. Elindítja a visszafejtőt, és visszafejti az összes fájlt.
  3. Győződjön meg arról, hogy minden fájl meg van nyitva, és aláírja az elkészült munka átadási/átvételi igazolását.
  4. A fizetés csak a sikeres visszafejtési eredmények után történik.

Őszinte leszek, nem tudom, hogy csinálják, de nem kockáztatsz semmit. Fizetés csak a dekóder működésének bemutatása után. Kérjük, írjon véleményt a céggel kapcsolatos tapasztalatairól.

A CRYPTED000007 vírus elleni védekezési módszerek

Hogyan védekezhet a ransomware ellen, és hogyan kerülheti el az anyagi és erkölcsi károkat? Van néhány egyszerű és hatékony tipp:

  1. Biztonsági mentés! Biztonsági mentés minden fontos adatról. És nem csak egy biztonsági másolat, hanem egy olyan mentés, amelyhez nincs állandó hozzáférés. Ellenkező esetben a vírus megfertőzheti a dokumentumokat és a biztonsági másolatokat is.
  2. Licenc vírusirtó. Bár nem adnak 100%-os garanciát, növelik a titkosítás elkerülésének esélyét. Leggyakrabban nem állnak készen a titkosító új verzióira, de 3-4 nap múlva elkezdenek válaszolni. Ez növeli a fertőzés elkerülésének esélyét, ha nem szerepel a ransomware új módosításának első terjesztési hullámában.
  3. Ne nyissa meg a gyanús mellékleteket a levélben. Itt nincs mit kommentálni. Az általam ismert összes zsarolóprogram e-mailben elérte a felhasználókat. Ráadásul minden alkalommal új trükköket találnak ki az áldozat megtévesztésére.
  4. Ne nyisson meg meggondolatlanul a barátaitól a közösségi hálózatokon vagy azonnali üzenetküldőkön keresztül küldött linkeket. A vírusok is így terjednek néha.
  5. Engedélyezze a Windows-nak a fájlkiterjesztések megjelenítését. Ennek módja könnyen megtalálható az interneten. Ez lehetővé teszi, hogy észrevegye a vírus fájlkiterjesztését. Leggyakrabban az lesz .alkalmazás, .vbs, .src. A dokumentumokkal végzett mindennapi munkája során valószínűleg nem találkozik ilyen fájlkiterjesztésekkel.

Igyekeztem minden, a ransomware vírusról szóló cikkben kiegészíteni a korábban már leírtakat. Közben elköszönök. Örülnék, ha hasznos észrevételeket kapnék a cikkről és általában a CRYPTED000007 ransomware vírusról.

Videó a fájlok visszafejtéséről és helyreállításáról

Itt van egy példa a vírus korábbi módosítására, de a videó teljesen releváns a CRYPTED000007 esetében.

A közelmúltban a 360 Internet Security Center felfedezett egy új típusú ransomware vírust, amely számos országban és régióban célozza meg a vállalkozásokat és az egyéneket. A 360 a felfedezést követően május 12-én vészhelyzeti figyelmeztetést adott ki, hogy emlékeztesse a felhasználókat a közelgő kockázatokra. Ez a zsarolóprogram nagy sebességgel terjed az egész világon. A hiányos statisztikák szerint 99 országban készülékek tízezrei fertőződtek meg alig néhány órával a robbanás után, és ez a hálózati féreg még mindig igyekszik kiterjeszteni befolyását.

A ransomware vírus általában egy rosszindulatú program, amelynek egyértelmű célja a zsarolás. Aszimmetrikus kriptográfiai algoritmussal titkosítja az áldozat fájljait, elérhetetlenné teszi, és váltságdíjat követel a visszafejtésükért. Ha nem fizetik ki a váltságdíjat, a fájlokat nem lehet visszaállítani. Ennek az új fajnak a kódneve WanaCrypt0r. Annyira halálossá teszi, hogy az "EternalBLue" hackereszközt használta, amelyet az NSA-tól loptak el. Ez is megmagyarázza, hogy a WanaCrypt0r miért tudott gyorsan elterjedni az egész világon, és nagyon rövid időn belül nagy veszteségeket okozott. A hálózati férgek május 12-i áttörése után a 360 ​​Internet Security Center Core Security osztálya alapos megfigyelést és mélyreható elemzést végzett. A WanaCrypt0r ellen már kiadhatunk egy sor észlelési, védelmi és adat-helyreállítási megoldást.

A 360 Helios Team egy APT (Advanced Persistent Attack) kutató- és elemzőcsapat a Core Security osztályon belül, elsősorban az APT támadások kivizsgálásával és a fenyegetéses eseményekre való reagálással foglalkozik. A biztonsági kutatók gondosan elemezték a vírusok mechanizmusát, hogy megtalálják a leghatékonyabb és legpontosabb módszert a titkosított fájlok helyreállítására. Ezzel a módszerrel a 360 lehet az első biztonsági szolgáltató, amely kiad egy adat-helyreállító eszközt – a "360 Ransomware Infected File Recovery"-t, hogy segítse ügyfeleit a fertőzött fájlok gyors és teljes helyreállításában. Reméljük, hogy ez a cikk segít megérteni ennek a féregnek a trükkjeit, valamint a titkosított fájlok helyreállításáról szóló szélesebb körű vitát.

2. fejezet Az alapvető titkosítási folyamatok elemzése

Ez a féreg felfedi a titkosító modult a memóriába, és közvetlenül betölti a DLL-t a memóriába. A DLL ezután egy TaskStart függvényt exportál, amelyet a teljes titkosítási folyamat aktiválásához kell használni. A DLL dinamikusan hozzáfér a fájlrendszerhez és a titkosítással kapcsolatos API-funkciókhoz, hogy elkerülje a statikus észlelést.

1. Kezdeti szakasz

Először az "SHGetFolderPathW"-t használja az asztal és a fájlmappák elérési útjainak lekéréséhez. Ezután meghívja az "10004A40" függvényt, hogy elérje más felhasználók asztali számítógépeinek és fájlmappáinak elérési útját, és meghívja az EncrytFolder funkciót a mappák egyenkénti titkosításához.

Az összes meghajtót kétszer ellenőrzi a Z-től a C-ig. Az első vizsgálat az összes helyi meghajtót (kivéve az illesztőprogram-CD-t) futtatja. A második vizsgálat ellenőrzi az összes mobil tárolóeszközt, és meghívja az EncrytFolder funkciót a fájlok titkosításához.

2.Fájlbejárás

Az "EncryptFolder" funkció egy rekurzív funkció, amely információkat gyűjthet a fájlokról az alábbi eljárással:

Fájlútvonalak vagy mappák eltávolítása a keresztfolyamat során:

Van egy érdekes mappa „Ez a mappa véd a ransomware ellen. Ennek megváltoztatása csökkenti a védelmet." Ha ezt megteszi, látni fogja, hogy ez megfelel a ransomware szoftver védelmi mappájának.

A fájlok feltérképezése során a zsarolóprogramok információkat gyűjtenek a fájlról, például a fájlok méretét, majd bizonyos szabályok betartásával különböző típusokba sorolják a fájlokat kiterjesztésük szerint:

1. bővítménytípusok listája:

A 2. bővítménytípusok listája:

3. Titkosítási prioritás

A fontos fájlok lehető leggyorsabb titkosítása érdekében a WanaCrypt0r összetett prioritási sort fejlesztett ki:

Elsőbbségi sor:

I. 2. típusú fájlok titkosítása, amelyek az 1. kiterjesztésű listának is megfelelnek. Ha a fájl kisebb, mint 0X400, a titkosítási prioritás csökken.
II. A 3. típusú fájlok titkosítása, amelyek a 2. kiterjesztésű listának is megfelelnek. Ha a fájl kisebb, mint 0X400, a titkosítási prioritás csökken.
III. Titkosítsa a fennmaradó fájlokat (0x400-nál kisebb) és más fájlokat.

4.Titkosítási logika

A teljes titkosítási folyamat az RSA és az AES használatával történik. Bár az RSA titkosítási folyamat a Microsoft CryptAPI-t használja, az AES-kód statikusan DLL-be kerül. A titkosítási folyamat az alábbi ábrán látható:

A használt kulcsok listája:

Fájlformátum a titkosítás után:

Kérjük, vegye figyelembe, hogy a titkosítási folyamat során a ransomware véletlenszerűen kiválaszt néhány titkosítandó fájlt, a beépített RSA nyilvános kulcs segítségével, hogy felajánljon néhány fájlt, amelyeket az áldozatok ingyenesen visszafejthetnek.

Az ingyenes fájlok elérési útja az "f.wnry" fájlban található.

5.Véletlen számok kitöltése

A titkosítás után a WanaCrypt0r véletlenszerű számokkal tölti ki az általa fontosnak ítélt fájlokat, amíg teljesen meg nem semmisíti a fájlt, majd áthelyezi a fájlokat egy ideiglenes fájlkönyvtárba törlésre. Ezzel megnehezíti a fájl-helyreállító eszközök számára a fájlok helyreállítását, ugyanakkor felgyorsíthatja a titkosítási folyamatot.

Az elkészült fájloknak meg kell felelniük a következő követelményeknek:

— A megadott könyvtárban (asztal, saját dokumentum, felhasználói mappa)

— A fájl 200 MB-nál kisebb

— A fájlkiterjesztés szerepel a kiterjesztési típusok 1-es listájában

Fájlkitöltési logika:

- Ha a fájl kisebb, mint 0x400, akkor azonos hosszúságú véletlenszámok borítják

- Ha a fájl nagyobb, mint 0x400, az utolsó 0x400-at véletlenszerű számok borítják

- Vigye a fájlmutatót a fájl fejlécére, és állítsa be a 0x40000-et adatblokkként, hogy a fájlt véletlenszerű számokkal fedje le a végéig.

6. Fájlok törlése

A WanaCrypt0r először áthelyezi a fájlokat egy ideiglenes mappába, hogy létrehozzon egy ideiglenes fájlt, majd különféle módokon törli.

Amikor átmegy a meghajtókon, hogy titkosítsa a fájlokat, létrehoz egy ideiglenes fájlt "$RECYCLE + automatikus növelés + .WNCYRT" formátumban (például: "D:\$RECYCLE\1.WNCRYT") az aktuális meghajtón. . Különösen, ha az aktuális meghajtó egy rendszermeghajtó (például a Driver-C), a rendszer ideiglenes könyvtárát fogja használni.

Ezt követően a folyamat futtatja a taskdl.exe fájlt, és meghatározott időközönként törli az ideiglenes fájlokat.

3. fejezet Adat-helyreállítási lehetőség

A végrehajtási logika elemzése során észrevettük, hogy ez a féreg véletlen számokkal vagy 0x55-tel felülírja a megadott követelményeknek megfelelő fájlokat, hogy megsemmisítse a fájlstruktúrákat és megakadályozza azok helyreállítását. De ez a művelet csak bizonyos fájlokhoz vagy bizonyos kiterjesztésű fájlokhoz engedélyezett. Ez azt jelenti, hogy még mindig sok olyan fájl van, amelyet nem írtak felül, így hely marad a fájlok helyreállítására.

Az eltávolítási folyamat során a féreg a MoveFileEx függvény meghívásával áthelyezte a forrásfájlokat egy ideiglenes fájlok mappájába. Végül az ideiglenes fájlok tömegesen törlődnek. A fenti folyamat során előfordulhat, hogy az eredeti fájlok módosulnak, de a jelenleg forgalomban lévő adat-helyreállító szoftverek erről nem tudnak, így jó néhány fájl nem állítható vissza sikeresen. Az áldozatok helyreállítási fájljainak szükségességét szinte lehetetlen felismerni.

Más fájlok esetében a féreg egyszerűen végrehajtotta a „mozgatás és törlés” parancsot. Mivel a fájlok törlésének és mozgatásának folyamata különálló, a két szál versenyezni fog egymással, ami a fájlmozgatás meghiúsulását okozhatja a felhasználó rendszerkörnyezetének különbségei miatt. Ezzel közvetlenül a jelenlegi helyéről törli a fájlt. Ebben az esetben nagy a valószínűsége annak, hogy a fájl helyreállítható.

https://360totalsecurity.com/s/ransomrecovery/

Helyreállítási módszereink segítségével a titkosított fájlok nagy százaléka tökéletesen visszaállítható. Most a fájl-helyreállító eszköz frissített, 360-as verzióját erre az igényre fejlesztették ki, hogy áldozatok tízezreinek segítsenek a veszteségek és következmények enyhítésében.

May 14, 360 az első biztonsági gyártó, aki kiadott egy fájl-helyreállító eszközt, amely sok fájlt mentett a zsarolóvírusoktól. Ez az új verzió újabb lépést tesz a WanaCrypt0r logikai sebezhetőségeinek kihasználása felé. Eltávolíthatja a vírust, hogy megakadályozza a további fertőzést. Több algoritmus használatával rejtett kapcsolatokat találhat az ingyenesen helyreállítható fájlok és a dekódolt fájlok között az ügyfelek számára. Ez a minden az egyben helyreállítási szolgáltatás csökkentheti a zsarolóvírus-támadások okozta károkat, és megvédheti a felhasználók adatainak biztonságát.

4. fejezet Következtetés

A WannaCry férgek tömeges kitörése és elterjedése az MS17-010 használatával, amely az általános ransomware funkciói mellett képes önreplikációra és aktív terjedésre. A támadásokban a támadási teher mellett a ransomware technikai felépítése játssza a legfontosabb szerepet, amely az AES kulcsot az RSA-2048 aszimmetrikus kriptográfiai algoritmussal titkosítja. Ezután minden fájl titkosításra kerül egy véletlenszerű AES-128 szimmetrikus titkosítási algoritmus segítségével. Ez azt jelenti, hogy a meglévő számításokra és módszerekre támaszkodva szinte lehetetlen az RSA-2048 és az AES-128 dekódolása nyilvános vagy privát kulcsok nélkül. A szerzők azonban hagynak néhány hibát a titkosítási folyamatban, ami biztosítja és növeli a helyreállítás lehetőségét. Ha a műveleteket elég gyorsan hajtják végre, az adatok nagy része visszamenthető.

Ezen túlmenően, mivel a váltságdíjat névtelen Bitcoinokban fizetik ki, amelyek címét valódi hitelesítés nélkül bárki megszerezheti, lehetetlen azonosítani a támadót a címek között, nem is beszélve ugyanazon cím tulajdonosának különböző számláiról. Ezért a feltörhetetlen titkosítási algoritmus és az anonim bitcoinok elfogadása miatt nagy a valószínűsége annak, hogy ez a fajta nyereséges ransomware-járvány még sokáig folytatódni fog. Mindenkinek óvatosnak kell lennie.

360 Helios Team

A 360 Helios Team egy APT (Advanced Persistent Attack) kutatócsoport a Qihoo 360-ban.

A csapat elkötelezett az APT-támadások kivizsgálása, a fenyegetési eseményekre való reagálás és a feketegazdaság ipari láncainak kutatása mellett.

2014 decemberi megalakulása óta a csapat sikeresen integrált egy hatalmas 360 fokos adatbázist, és gyors megfordítási és korrelációs folyamatot hozott létre. Eddig több mint 30 APT-t és feketegazdasági csoportot azonosítottak és azonosítottak.

A 360 Helios fenyegetésértékelési és reagálási megoldásokat is kínál a vállalatok számára.

Nyilvános beszámolók

Kapcsolatba lépni
Email Levél: [e-mail védett]
WeChat csoport: 360 Helios Team
Kérjük, töltse le az alábbi QR-kódot, hogy kövessen minket a WeChat-on!

Ha egy szöveges üzenet jelenik meg a számítógépén, amely szerint a fájlok titkosítva vannak, ne essen pánikba. Milyen tünetei vannak a fájltitkosításnak? A szokásos kiterjesztés *.vault, *.xtbl, * [e-mail védett] _XO101 stb. A fájlok nem nyithatók meg - kulcs szükséges, amelyet az üzenetben megadott címre küldött levéllel vásárolhat meg.

Honnan szerezted a titkosított fájlokat?

A számítógép elkapott egy vírust, amely blokkolta az információhoz való hozzáférést. A víruskereső programok gyakran hiányoznak ezekről, mert a program általában valamilyen ártalmatlan, ingyenes titkosítási segédprogramon alapul. Magát a vírust elég gyorsan eltávolítja, de komoly problémák adódhatnak az információ visszafejtésével.

A Kaspersky Lab, a Dr.Web és más ismert, vírusirtó szoftvereket fejlesztő cégek technikai támogatása, válaszul a felhasználóknak az adatok visszafejtésére irányuló kérésére, arról számolt be, hogy ezt nem lehet elfogadható időn belül megtenni. Több program is képes felvenni a kódot, de ezek csak korábban tanulmányozott vírusokkal működnek. Ha új módosítással találkozik, akkor az információhoz való hozzáférés visszaállításának esélye rendkívül alacsony.

Hogyan kerül egy ransomware vírus a számítógépre?

Az esetek 90%-ában a felhasználók maguk aktiválják a vírust a számítógépükön, ismeretlen betűket nyit. Ezután üzenetet küldenek az e-mailre provokatív témával - „Idézés”, „Kölcsöntartozás”, „Adóhivatal értesítése” stb. A hamis levél belsejében van egy melléklet, amelynek letöltése után a zsarolóprogram a számítógépre kerül, és fokozatosan blokkolja a hozzáférést a fájlokhoz.

A titkosítás nem történik meg azonnal, így a felhasználóknak van idejük eltávolítani a vírust az összes információ titkosítása előtt. Egy rosszindulatú szkriptet megsemmisíthet a Dr.Web CureIt, a Kaspersky Internet Security és a Malwarebytes Antimalware tisztító segédprogramokkal.

Fájl-helyreállítási módszerek

Ha a rendszervédelem be van kapcsolva a számítógépen, akkor még egy zsarolóvírus hatása után is megvan a lehetőség, hogy a fájlok árnyékmásolatai segítségével visszaállítsák a fájlokat normál állapotukba. A Ransomware rendszerint megpróbálja eltávolítani őket, de néha nem sikerül a rendszergazdai jogok hiánya miatt.

Egy korábbi verzió visszaállítása:

A korábbi verziók mentéséhez engedélyeznie kell a rendszervédelmet.

Fontos: a rendszervédelmet engedélyezni kell a ransomware megjelenése előtt, ezután már nem segít.

  1. Nyissa meg a Számítógép tulajdonságai.
  2. A bal oldali menüben válassza a Rendszervédelem lehetőséget.
  3. Válassza ki a C meghajtót, és kattintson a "Konfigurálás" gombra.
  4. Válassza a beállítások és a fájlok korábbi verzióinak visszaállítását. Alkalmazza a módosításokat az „OK” gombra kattintva.

Ha ezeket a lépéseket a fájltitkosító vírus megjelenése előtt tette meg, akkor miután megtisztította számítógépét a rosszindulatú kódoktól, jó eséllyel vissza tudja állítani adatait.

Speciális segédprogramok használata

A Kaspersky Lab számos segédprogramot készített a titkosított fájlok megnyitásához a vírus eltávolítása után. Az első dekódoló, amelyet érdemes kipróbálni, a Kaspersky RectorDecryptor.

  1. Töltse le a programot a Kaspersky Lab hivatalos webhelyéről.
  2. Ezután futtassa a segédprogramot, és kattintson a „Vizsgálat indítása” gombra. Adja meg bármely titkosított fájl elérési útját.

Ha a rosszindulatú program nem változtatta meg a fájlok kiterjesztését, akkor a visszafejtéshez külön mappába kell gyűjtenie őket. Ha a segédprogram a RectorDecryptor, töltsön le még két programot a Kaspersky hivatalos webhelyéről: a XoristDecryptor és a RakhniDecryptor.

A Kaspersky Lab legújabb segédprogramja a Ransomware Decryptor. Segít a fájlok visszafejtésében a CoinVault vírus után, amely még nem túl elterjedt a RuNeten, de hamarosan más trójaiakat válthat fel.