Pulihkan file terenkripsi. Memulihkan data terenkripsi menggunakan virus ransomware WannaCry: Kemungkinan dan Solusi

Spesialis Quarkslab perusahaan Prancis Adrien Guinet melaporkan bahwa dia telah menemukan cara untuk mendekripsi data yang rusak akibat serangan ransomware. Sayangnya, metode ini hanya berfungsi untuk sistem operasi Windows XP dan tidak di semua kasus, tetapi lebih baik daripada tidak sama sekali.

Belum lama ini, virus baru (dan banyak modifikasinya) muncul di Internet, mengenkripsi file di komputer Anda dan menawarkan untuk memesan program untuk mendekripsinya demi uang. Dalam hal ini, file terenkripsi diganti namanya dan diberi nama seperti ini

DSC00122.JPG. [dilindungi email] _XO101

Bagian yang dipilih terdiri dari email pembuat virus (ke mana “korban” virus akan mengirimkan permintaan dekripsi) dan pengidentifikasi modifikasi virus. Setiap modifikasi virus memiliki algoritma enkripsinya sendiri dan oleh karena itu memerlukan dekripsinya sendiri.

Untungnya, pengembang Dr.Web telah menangani masalah ini dengan cermat dan siap menyediakan utilitas khusus yang mendekripsi file yang rusak oleh virus. Untuk kenyamanan, di bawah ini saya memposting utilitas itu sendiri dan instruksi singkat untuk menggunakannya.

(kata sandi adalah nama situs saya tanpa “http://”)

Di bawah ini adalah instruksi singkat.

Unduh utilitas pemulihan, ekstrak arsip ke dalam folder kosong dengan nama sederhana (misalnya, “ C:\_des"). Kemudian buka baris perintah (Mulai - Jalankan - cmd) dan ketik yang berikut di sana:

Di Sini " [dilindungi email] _XO101" adalah awalan yang digunakan untuk mengganti nama file Anda karena virus, perhatikan titik di awal. A c:\file saya\- ini adalah folder tempat file Anda yang disandikan berada. Setelah meluncurkan program, jendela konfirmasi akan terbuka

Dan setelah mengklik tombol “Lanjutkan”, pengobatan otomatis akan dimulai. Setelah menyelesaikan program, Anda akan menerima laporan, dan semua file yang didekodekan akan ditempatkan di sebelah file yang disandikan di folder yang Anda tentukan (program tidak menghapus versi file yang disandikan).

Pembuat program tidak menjamin 100% perawatan semua file, dan saya tidak memiliki kesempatan untuk menguji operasinya pada banyak file, jadi tolong: siapa pun yang berhasil menyembuhkan file dengan utilitas ini (atau tidak berhasil) - tulis di komentar.

Itu saja! Jadilah sehat!

P.S. Untuk mencegah situasi infeksi komputer Anda terjadi lagi, belilah komputer tersebut antivirus biasa. Saya menggunakan Kaspersky Internet Security, tapi ternyata Dr.Web juga cukup bagus. Percayalah, satu setengah ribu rubel setahun untuk ketenangan pikiran dan kepercayaan diri di masa depan adalah harga yang konyol.

Sekitar satu atau dua minggu yang lalu, peretasan lain dari pembuat virus modern muncul di Internet, yang mengenkripsi semua file pengguna. Sekali lagi saya akan mempertimbangkan pertanyaan tentang bagaimana menyembuhkan komputer setelah terkena virus ransomware terenkripsi000007 dan memulihkan file terenkripsi. Dalam hal ini tidak ada hal baru atau unik yang muncul, hanya modifikasi dari versi sebelumnya.

Dekripsi file yang dijamin setelah virus ransomware - dr-shifro.ru. Detail pekerjaan dan skema interaksi dengan pelanggan ada di bawah artikel saya atau di situs web di bagian “Prosedur Kerja”.

Deskripsi virus ransomware CRYPTED000007

Enkripsi CRYPTED000007 pada dasarnya tidak berbeda dari pendahulunya. Cara kerjanya hampir persis sama. Namun tetap saja ada beberapa nuansa yang membedakannya. Saya akan memberi tahu Anda semuanya secara berurutan.

Ia tiba, seperti analognya, melalui surat. Teknik rekayasa sosial digunakan untuk memastikan bahwa pengguna tertarik pada surat tersebut dan membukanya. Dalam kasus saya, surat tersebut berbicara tentang beberapa jenis pengadilan dan informasi penting tentang kasus tersebut di lampiran. Setelah meluncurkan lampiran, pengguna membuka dokumen Word dengan ekstrak dari Pengadilan Arbitrase Moskow.

Sejalan dengan pembukaan dokumen, enkripsi file dimulai. Pesan informasi dari sistem Kontrol Akun Pengguna Windows mulai muncul terus-menerus.

Jika Anda menyetujui proposal tersebut, maka salinan cadangan file dalam salinan bayangan Windows akan dihapus dan memulihkan informasi akan sangat sulit. Jelas sekali bahwa Anda tidak dapat menyetujui proposal tersebut dalam keadaan apa pun. Dalam enkripsi ini, permintaan ini muncul terus-menerus, satu demi satu dan tidak berhenti, memaksa pengguna untuk menyetujui dan menghapus salinan cadangan. Inilah perbedaan utama dari modifikasi enkripsi sebelumnya. Saya belum pernah menemukan permintaan untuk menghapus salinan bayangan tanpa henti. Biasanya setelah 5-10 tawaran mereka berhenti.

Saya akan segera memberikan rekomendasi untuk kedepannya. Sangat umum bagi orang untuk menonaktifkan peringatan Kontrol Akun Pengguna. Tidak perlu melakukan ini. Mekanisme ini sangat membantu dalam melawan virus. Nasihat kedua yang jelas adalah untuk tidak terus-menerus bekerja di bawah akun administrator komputer kecuali ada kebutuhan obyektif untuk itu. Dalam hal ini, virus tidak akan mempunyai peluang untuk menimbulkan banyak kerugian. Anda akan memiliki peluang lebih besar untuk melawannya.

Namun meskipun Anda selalu menjawab negatif permintaan ransomware, semua data Anda sudah dienkripsi. Setelah proses enkripsi selesai, Anda akan melihat gambar di desktop Anda.

Pada saat yang sama, akan ada banyak file teks dengan konten yang sama di desktop Anda.

File Anda telah dienkripsi. Untuk mendekripsi ux, Anda perlu mengirimkan kode: 329D54752553ED978F94|0 ke alamat email [dilindungi email]. Selanjutnya Anda akan menerima semua instruksi yang diperlukan. Upaya untuk menguraikannya sendiri tidak akan menghasilkan apa pun selain sejumlah informasi yang tidak dapat dibatalkan. Jika Anda masih ingin mencoba, buatlah salinan cadangan file terlebih dahulu, jika tidak, jika terjadi perubahan, dekripsi menjadi tidak mungkin dilakukan dalam keadaan apa pun. Jika Anda belum menerima pemberitahuan di alamat di atas dalam waktu 48 jam (hanya dalam kasus ini!), gunakan formulir kontak. Hal ini dapat dilakukan dengan dua cara: 1) Unduh dan instal Tor Browser menggunakan tautan: https://www.torproject.org/download/download-easy.html.en Di alamat Tor Browser, masukkan alamat: http: //cryptsen7fo43rr6 .onion/ dan tekan Enter. Halaman dengan formulir kontak akan dimuat. 2) Di browser apa pun, buka salah satu alamat: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Semua file penting di komputer Anda dienkripsi. Untuk mendekripsi file Anda harus mengirimkan kode berikut: 329D54752553ED978F94|0 ke alamat email [dilindungi email]. Kemudian Anda akan menerima semua instruksi yang diperlukan. Semua upaya dekripsi sendiri hanya akan mengakibatkan hilangnya data Anda yang tidak dapat dibatalkan. Jika Anda masih ingin mencoba mendekripsinya sendiri, harap buat cadangan terlebih dahulu karena dekripsi menjadi tidak mungkin dilakukan jika ada perubahan di dalam file. Jika Anda tidak menerima jawaban dari email tersebut selama lebih dari 48 jam (dan hanya dalam kasus ini!), gunakan formulir umpan balik. Anda dapat melakukannya dengan dua cara: 1) Unduh Tor Browser dari sini: https://www.torproject.org/download/download-easy.html.en Instal dan ketik alamat berikut ke dalam bilah alamat: http:/ /cryptsen7fo43rr6.onion/ Tekan Enter dan kemudian halaman dengan formulir umpan balik akan dimuat. 2) Kunjungi salah satu alamat berikut di browser apa pun: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Alamat surat dapat berubah. Saya juga menemukan alamat berikut:

Alamat terus diperbarui, sehingga bisa sangat berbeda.

Segera setelah Anda mengetahui bahwa file Anda dienkripsi, segera matikan komputer Anda. Ini harus dilakukan untuk menghentikan proses enkripsi pada komputer lokal dan drive jaringan. Virus enkripsi dapat mengenkripsi semua informasi yang dapat dijangkau, termasuk pada drive jaringan. Namun jika informasinya banyak, maka akan memakan waktu yang cukup lama. Terkadang, bahkan dalam beberapa jam, ransomware tidak punya waktu untuk mengenkripsi semua yang ada di drive jaringan dengan kapasitas sekitar 100 gigabyte.

Selanjutnya Anda perlu memikirkan baik-baik bagaimana harus bertindak. Jika Anda memerlukan informasi di komputer Anda dengan cara apa pun dan Anda tidak memiliki salinan cadangan, maka lebih baik beralih ke spesialis saat ini. Belum tentu demi uang bagi beberapa perusahaan. Anda hanya membutuhkan orang yang ahli dalam sistem informasi. Penting untuk menilai skala bencana, menghilangkan virus, dan mengumpulkan semua informasi yang tersedia mengenai situasi tersebut untuk memahami bagaimana tindakan selanjutnya.

Tindakan yang salah pada tahap ini dapat mempersulit proses dekripsi atau pemulihan file secara signifikan. Dalam kasus terburuk, mereka dapat membuat hal tersebut menjadi mustahil. Jadi luangkan waktu Anda, hati-hati dan konsisten.

Bagaimana virus ransomware CRYPTED000007 mengenkripsi file

Setelah virus diluncurkan dan menyelesaikan aktivitasnya, semua file berguna akan dienkripsi, diganti namanya dari ekstensi.crypted000007. Selain itu, tidak hanya ekstensi file yang akan diganti, tetapi juga nama filenya, sehingga Anda tidak akan tahu persis jenis file apa yang Anda miliki jika Anda tidak mengingatnya. Ini akan terlihat seperti ini.

Dalam situasi seperti ini, akan sulit untuk menilai skala tragedi tersebut, karena Anda tidak akan dapat sepenuhnya mengingat apa yang Anda miliki di folder yang berbeda. Hal ini dilakukan khusus untuk membingungkan orang dan mendorong mereka membayar untuk dekripsi file.

Dan jika folder jaringan Anda dienkripsi dan tidak ada cadangan lengkap, hal ini dapat menghentikan pekerjaan seluruh organisasi sepenuhnya. Anda perlu beberapa saat untuk mencari tahu apa yang akhirnya hilang untuk memulai restorasi.

Cara merawat komputer Anda dan menghapus ransomware CRYPTED000007

Virus CRYPTED000007 sudah ada di komputer Anda. Pertanyaan pertama dan terpenting adalah bagaimana cara mendisinfeksi komputer dan cara menghapus virus untuk mencegah enkripsi lebih lanjut jika belum selesai. Saya ingin segera menarik perhatian Anda pada fakta bahwa setelah Anda sendiri mulai melakukan beberapa tindakan dengan komputer Anda, kemungkinan mendekripsi data berkurang. Jika Anda perlu memulihkan file dengan cara apa pun, jangan sentuh komputer Anda, tetapi segera hubungi profesional. Di bawah ini saya akan membicarakannya dan memberikan tautan ke situs tersebut serta menjelaskan cara kerjanya.

Sementara itu, kami akan terus merawat komputer secara mandiri dan menghapus virusnya. Secara tradisional, ransomware mudah dihapus dari komputer, karena virus tidak mempunyai tugas untuk tetap berada di komputer dengan cara apa pun. Setelah mengenkripsi file sepenuhnya, akan lebih menguntungkan baginya untuk menghapus dirinya sendiri dan menghilang, sehingga lebih sulit untuk menyelidiki kejadian tersebut dan mendekripsi file.

Sulit untuk menjelaskan cara menghapus virus secara manual, walaupun saya sudah mencoba melakukan ini sebelumnya, tetapi saya melihat bahwa seringkali tidak ada gunanya. Nama file dan jalur penempatan virus terus berubah. Apa yang saya lihat tidak lagi relevan dalam satu atau dua minggu. Biasanya virus dikirim melalui surat secara bergelombang, dan setiap kali ada modifikasi baru yang belum terdeteksi oleh antivirus. Alat universal yang memeriksa startup dan mendeteksi aktivitas mencurigakan di folder sistem membantu.

Untuk menghapus virus CRYPTED000007, Anda dapat menggunakan program berikut:

  1. Alat Penghapus Virus Kaspersky - utilitas dari Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - produk serupa dari web lain http://free.drweb.ru/cureit.
  3. Jika dua utilitas pertama tidak membantu, coba MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Kemungkinan besar, salah satu produk ini akan membersihkan komputer Anda dari ransomware CRYPTED000007. Jika tiba-tiba tidak membantu, coba hapus virus secara manual. Saya memberikan contoh metode penghapusan dan Anda dapat melihatnya di sana. Singkatnya, selangkah demi selangkah, Anda perlu bertindak seperti ini:

  1. Kami melihat daftar proses, setelah menambahkan beberapa kolom tambahan ke pengelola tugas.
  2. Kami menemukan proses virus, buka folder tempatnya berada dan hapus.
  3. Kami menghapus penyebutan proses virus berdasarkan nama file di registri.
  4. Kami reboot dan memastikan bahwa virus CRYPTED000007 tidak ada dalam daftar proses yang berjalan.

Di mana mengunduh decryptor CRYPTED000007

Pertanyaan tentang dekripsi yang sederhana dan andal muncul pertama kali ketika menyangkut virus ransomware. Hal pertama yang saya rekomendasikan adalah menggunakan layanan https://www.nomoreransom.org. Bagaimana jika Anda beruntung dan mereka memiliki dekripsi untuk versi enkripsi CRYPTED000007 Anda. Saya akan langsung mengatakan bahwa Anda tidak memiliki banyak peluang, tetapi mencoba bukanlah penyiksaan. Di halaman utama klik Ya:

Kemudian unduh beberapa file terenkripsi dan klik Buka! Temukan:

Pada saat penulisan, tidak ada decryptor di situs tersebut.

Mungkin Anda akan lebih beruntung. Anda juga dapat melihat daftar dekripsi untuk diunduh di halaman terpisah - https://www.nomoreransom.org/decryption-tools.html. Mungkin ada sesuatu yang berguna di sana. Ketika virus masih segar, kemungkinan hal ini kecil terjadi, namun seiring berjalannya waktu, sesuatu mungkin muncul. Ada contoh ketika dekripsi untuk beberapa modifikasi enkripsi muncul di jaringan. Dan contoh-contoh ini ada di halaman yang ditentukan.

Saya tidak tahu di mana lagi Anda bisa menemukan dekoder. Kecil kemungkinannya bahwa itu akan benar-benar ada, mengingat kekhasan kerja enkripsi modern. Hanya pembuat virus yang dapat memiliki dekripsi lengkap.

Cara mendekripsi dan memulihkan file setelah virus CRYPTED000007

Apa yang harus dilakukan ketika virus CRYPTED000007 telah mengenkripsi file Anda? Penerapan teknis enkripsi tidak mengizinkan mendekripsi file tanpa kunci atau dekripsi, yang hanya dimiliki oleh pembuat enkripsi. Mungkin ada cara lain untuk mendapatkannya, tapi saya tidak punya informasinya. Kami hanya dapat mencoba memulihkan file menggunakan metode improvisasi. Ini termasuk:

  • Alat salinan bayangan jendela.
  • Program pemulihan data yang dihapus

Pertama, mari kita periksa apakah kita mengaktifkan salinan bayangan. Alat ini berfungsi secara default di Windows 7 dan lebih tinggi, kecuali Anda menonaktifkannya secara manual. Untuk memeriksanya, buka properti komputer dan buka bagian perlindungan sistem.

Jika selama infeksi Anda tidak mengkonfirmasi permintaan UAC untuk menghapus file dalam salinan bayangan, maka beberapa data akan tetap ada. Saya berbicara lebih detail tentang permintaan ini di awal cerita, ketika saya berbicara tentang cara kerja virus.

Untuk memulihkan file dari salinan bayangan dengan mudah, saya sarankan menggunakan program gratis untuk ini - ShadowExplorer. Unduh arsip, buka paket program dan jalankan.

Salinan file terbaru dan root drive C. Di sudut kiri atas, Anda dapat memilih salinan cadangan jika Anda memiliki beberapa di antaranya. Periksa salinan berbeda untuk file yang diperlukan. Bandingkan berdasarkan tanggal untuk versi terbaru. Dalam contoh saya di bawah ini, saya menemukan 2 file di desktop saya dari tiga bulan lalu saat terakhir diedit.

Saya dapat memulihkan file-file ini. Untuk melakukan ini, saya memilihnya, mengklik kanan, memilih Ekspor dan menentukan folder tempat memulihkannya.

Anda dapat segera memulihkan folder menggunakan prinsip yang sama. Jika Anda memiliki salinan bayangan yang berfungsi dan tidak menghapusnya, Anda memiliki peluang bagus untuk memulihkan semua, atau hampir semua, file yang dienkripsi oleh virus. Mungkin beberapa di antaranya adalah versi yang lebih lama dari yang kita inginkan, namun demikian, ini lebih baik daripada tidak sama sekali.

Jika karena alasan tertentu Anda tidak memiliki salinan bayangan file Anda, satu-satunya kesempatan Anda untuk mendapatkan setidaknya sesuatu dari file terenkripsi adalah memulihkannya menggunakan alat pemulihan file yang dihapus. Untuk melakukan ini, saya sarankan menggunakan program gratis Photorec.

Luncurkan program dan pilih disk tempat Anda akan memulihkan file. Meluncurkan versi grafis dari program akan mengeksekusi file qphotorec_win.exe. Anda harus memilih folder tempat file yang ditemukan akan ditempatkan. Sebaiknya folder ini tidak terletak di drive yang sama tempat kita mencari. Hubungkan flash drive atau hard drive eksternal untuk melakukan ini.

Proses pencariannya akan memakan waktu lama. Pada akhirnya Anda akan melihat statistik. Sekarang Anda dapat pergi ke folder yang ditentukan sebelumnya dan melihat apa yang ditemukan di sana. Kemungkinan besar akan ada banyak file dan sebagian besar akan rusak atau berupa file sistem dan tidak berguna. Namun demikian, beberapa file berguna dapat ditemukan dalam daftar ini. Tidak ada jaminan di sini; apa yang Anda temukan itulah yang akan Anda temukan. Gambar biasanya dikembalikan paling baik.

Jika hasilnya tidak memuaskan Anda, maka ada juga program untuk memulihkan file yang terhapus. Di bawah ini adalah daftar program yang biasanya saya gunakan ketika saya perlu memulihkan jumlah file maksimum:

  • R.penghemat
  • Pemulihan File Starus
  • Pemulihan JPEG Pro
  • Profesional Pemulihan File Aktif

Program-program ini tidak gratis, jadi saya tidak akan memberikan linknya. Jika Anda benar-benar menginginkannya, Anda dapat menemukannya sendiri di Internet.

Seluruh proses pemulihan file ditampilkan secara rinci dalam video di akhir artikel.

Kaspersky, eset nod32 dan lainnya dalam perang melawan enkripsi Filecoder.ED

Antivirus populer mendeteksi ransomware CRYPTED000007 sebagai Pembuat file.ED dan kemudian mungkin ada sebutan lain. Saya menelusuri forum antivirus utama dan tidak melihat sesuatu yang berguna di sana. Sayangnya, seperti biasa, software antivirus ternyata tidak siap menghadapi serbuan gelombang baru ransomware. Berikut ini postingan dari forum Kaspersky.

Antivirus biasanya melewatkan modifikasi baru dari Trojan ransomware. Meskipun demikian, saya merekomendasikan untuk menggunakannya. Jika Anda beruntung dan menerima email ransomware bukan pada gelombang pertama infeksi, tetapi beberapa saat kemudian, ada kemungkinan antivirus akan membantu Anda. Mereka semua bekerja satu langkah di belakang para penyerang. Versi baru ransomware telah dirilis, tetapi antivirus tidak meresponsnya. Segera setelah sejumlah bahan untuk penelitian tentang virus baru terkumpul, perangkat lunak antivirus merilis pembaruan dan mulai meresponsnya.

Saya tidak mengerti apa yang menghalangi antivirus untuk segera merespons proses enkripsi apa pun di sistem. Mungkin ada beberapa nuansa teknis pada topik ini yang tidak memungkinkan kami merespons dan mencegah enkripsi file pengguna secara memadai. Tampak bagi saya bahwa setidaknya ada kemungkinan untuk menampilkan peringatan tentang fakta bahwa seseorang mengenkripsi file Anda, dan menawarkan untuk menghentikan prosesnya.

Ke mana harus mencari jaminan dekripsi

Saya kebetulan bertemu dengan satu perusahaan yang benar-benar mendekripsi data setelah berbagai virus enkripsi bekerja, termasuk CRYPTED000007. Alamat mereka adalah http://www.dr-shifro.ru. Pembayaran hanya setelah dekripsi penuh dan verifikasi Anda. Berikut adalah perkiraan skema kerja:

  1. Seorang spesialis perusahaan datang ke kantor atau rumah Anda dan menandatangani perjanjian dengan Anda, yang menetapkan biaya pekerjaan.
  2. Meluncurkan decryptor dan mendekripsi semua file.
  3. Anda memastikan bahwa semua file dibuka dan menandatangani sertifikat pengiriman/penerimaan pekerjaan yang telah selesai.
  4. Pembayaran dilakukan hanya setelah hasil dekripsi berhasil.

Jujur saja, saya tidak tahu bagaimana mereka melakukannya, tapi Anda tidak mengambil risiko apa pun. Pembayaran hanya setelah demonstrasi pengoperasian dekoder. Silakan tulis ulasan tentang pengalaman Anda dengan perusahaan ini.

Metode perlindungan terhadap virus CRYPTED000007

Bagaimana cara melindungi diri Anda dari ransomware dan menghindari kerusakan materi dan moral? Ada beberapa tips sederhana dan efektif:

  1. Cadangan! Cadangan semua data penting. Dan bukan hanya cadangan, tetapi cadangan yang tidak dapat diakses terus-menerus. Jika tidak, virus dapat menginfeksi dokumen dan salinan cadangan Anda.
  2. Antivirus berlisensi. Meskipun tidak memberikan jaminan 100%, namun meningkatkan kemungkinan menghindari enkripsi. Mereka paling sering tidak siap untuk versi enkripsi baru, tetapi setelah 3-4 hari mereka mulai merespons. Hal ini meningkatkan peluang Anda untuk menghindari infeksi jika Anda tidak termasuk dalam gelombang pertama distribusi modifikasi ransomware baru.
  3. Jangan membuka lampiran mencurigakan di email. Tidak ada yang perlu dikomentari di sini. Semua ransomware yang saya kenal menjangkau pengguna melalui email. Apalagi setiap saat diciptakan trik-trik baru untuk menipu korbannya.
  4. Jangan sembarangan membuka tautan yang dikirimkan kepada Anda dari teman Anda melalui jejaring sosial atau pesan instan. Kadang-kadang virus juga menyebar dengan cara ini.
  5. Aktifkan windows untuk menampilkan ekstensi file. Cara melakukannya mudah ditemukan di Internet. Ini akan memungkinkan Anda melihat ekstensi file pada virus. Seringkali memang demikian .exe, .vbs, .src. Dalam pekerjaan Anda sehari-hari dengan dokumen, Anda tidak mungkin menemukan ekstensi file seperti itu.

Saya mencoba melengkapi apa yang sudah saya tulis sebelumnya di setiap artikel tentang virus ransomware. Sementara itu, saya mengucapkan selamat tinggal. Saya akan senang menerima komentar bermanfaat tentang artikel ini dan virus ransomware CRYPTED000007 secara umum.

Video tentang dekripsi dan pemulihan file

Berikut adalah contoh modifikasi virus sebelumnya, tetapi videonya sepenuhnya relevan untuk CRYPTED000007.

Baru-baru ini, Pusat Keamanan Internet 360 menemukan virus ransomware jenis baru yang menargetkan bisnis dan individu di banyak negara dan wilayah. 360 mengeluarkan peringatan darurat tepat waktu pada 12 Mei setelah penemuan tersebut untuk mengingatkan pengguna akan risiko yang akan datang. Ransomware ini menyebar dengan kecepatan tinggi ke seluruh dunia. Menurut statistik yang tidak lengkap, puluhan ribu perangkat di 99 negara terinfeksi hanya dalam beberapa jam setelah ledakan, dan worm jaringan ini masih berusaha memperluas pengaruhnya.

Biasanya, virus ransomware adalah program jahat yang jelas-jelas bertujuan untuk melakukan pemerasan. Ini mengenkripsi file korban menggunakan algoritma kriptografi asimetris, membuatnya tidak dapat diakses, dan meminta uang tebusan untuk mendekripsinya. Jika uang tebusan tidak dibayarkan, file tidak dapat dipulihkan. Spesies baru ini diberi nama sandi WanaCrypt0r. Yang membuatnya begitu mematikan adalah ia menggunakan alat hacking "EternalBLue" yang dicuri dari NSA. Hal ini juga menjelaskan mengapa WanaCrypt0r mampu menyebar dengan cepat ke seluruh dunia dan menimbulkan kerugian besar dalam waktu yang sangat singkat. Setelah terobosan worm jaringan pada 12 Mei, departemen Keamanan Inti di Pusat Keamanan Internet 360 melakukan pemantauan menyeluruh dan analisis mendalam. Kami sekarang dapat merilis serangkaian solusi deteksi, perlindungan dan pemulihan data terhadap WanaCrypt0r.

360 Helios Team adalah tim penelitian dan analisis APT (Advanced Persistent Attack) dalam departemen Keamanan Inti, yang terutama didedikasikan untuk investigasi serangan APT dan respons insiden ancaman. Peneliti keamanan telah menganalisis mekanisme virus dengan cermat untuk menemukan metode paling efektif dan akurat untuk memulihkan file terenkripsi. Dengan menggunakan metode ini, 360 dapat menjadi penyedia keamanan pertama yang merilis alat pemulihan data - "360 Ransomware Infected File Recovery" untuk membantu pelanggannya memulihkan file yang terinfeksi dengan cepat dan lengkap. Kami harap artikel ini membantu Anda memahami trik worm ini, serta diskusi yang lebih luas tentang memulihkan file terenkripsi.

Bab 2 Analisis Proses Enkripsi Dasar

Worm ini memaparkan modul enkripsi ke dalam memori dan langsung memuat DLL ke dalam memori. DLL kemudian mengekspor fungsi TaskStart yang harus digunakan untuk mengaktifkan seluruh proses enkripsi. DLL secara dinamis mengakses sistem file dan fungsi API terkait enkripsi untuk menghindari deteksi statis.

1.Tahap awal

Pertama kali menggunakan "SHGetFolderPathW" untuk mendapatkan jalur desktop dan folder file. Kemudian akan memanggil fungsi "10004A40" untuk mendapatkan jalur ke desktop pengguna lain dan folder file dan memanggil fungsi EncrytFolder untuk mengenkripsi folder satu per satu.

Ini memindai semua drive dua kali dari driver Z ke C. Pemindaian pertama adalah menjalankan semua drive lokal (kecuali driver-CD). Pemindaian kedua memeriksa semua perangkat penyimpanan seluler dan memanggil fungsi EncrytFolder untuk mengenkripsi file.

2.Pelintasan file

Fungsi "EncryptFolder" adalah fungsi rekursif yang dapat mengumpulkan informasi tentang file dengan mengikuti prosedur di bawah ini:

Hapus jalur file atau folder selama proses silang:

Ada folder menarik bernama “Folder ini melindungi dari ransomware. Mengubahnya akan mengurangi perlindungan." Ketika Anda melakukan ini, Anda akan menemukan bahwa itu sesuai dengan folder perlindungan perangkat lunak anti-ransomware.

Saat merayapi file, ransomware mengumpulkan informasi tentang file tersebut, seperti ukuran file, dan kemudian mengklasifikasikan file ke dalam jenis yang berbeda sesuai dengan ekstensinya, dengan mengikuti aturan tertentu:

Daftar tipe ekstensi 1:

Daftar tipe ekstensi 2:

3. Prioritas enkripsi

Untuk mengenkripsi file penting secepat mungkin, WanaCrypt0r telah mengembangkan antrian prioritas yang kompleks:

Antrian prioritas:

I.Enkripsi file tipe 2 yang juga cocok dengan daftar ekstensi 1. Jika file lebih kecil dari 0X400, prioritas enkripsi akan diturunkan.
II. Enkripsi file tipe 3 yang juga cocok dengan daftar ekstensi 2. Jika file lebih kecil dari 0X400, prioritas enkripsi akan diturunkan.
AKU AKU AKU. Enkripsi file yang tersisa (kurang dari 0x400) dan file lainnya.

4.Logika enkripsi

Seluruh proses enkripsi diselesaikan menggunakan RSA dan AES. Meskipun proses enkripsi RSA menggunakan Microsoft CryptAPI, kode AES dikompilasi secara statis menjadi DLL. Proses enkripsi ditunjukkan pada gambar di bawah ini:

Daftar kunci yang digunakan:

Format file setelah enkripsi:

Harap dicatat bahwa selama proses enkripsi, ransomware akan secara acak memilih beberapa file untuk dienkripsi, menggunakan kunci publik RSA bawaan untuk menawarkan beberapa file yang dapat didekripsi oleh korban secara gratis.

Jalur ke file gratis dapat ditemukan di file "f.wnry".

5.Mengisi angka acak

Setelah dienkripsi, WanaCrypt0r akan mengisi file yang dianggap penting dengan nomor acak hingga file tersebut benar-benar hancur, kemudian memindahkan file tersebut ke direktori file sementara untuk dihapus. Dengan melakukan hal ini, cukup mempersulit alat pemulihan file untuk memulihkan file, sekaligus dapat mempercepat proses enkripsi.

Berkas yang sudah lengkap harus memenuhi persyaratan sebagai berikut:

— Di direktori yang ditentukan (desktop, dokumen saya, folder pengguna)

— Filenya kurang dari 200 MB

— Ekstensi file ada dalam daftar jenis ekstensi 1

Logika pengisian file:

- Jika file kurang dari 0x400, maka akan ditutupi dengan nomor acak dengan panjang yang sama

- Jika file lebih besar dari 0x400, 0x400 terakhir akan ditutupi dengan angka acak

- Pindahkan penunjuk file ke header file dan atur 0x40000 sebagai blok data untuk menutupi file dengan nomor acak hingga akhir.

6.Menghapus file

WanaCrypt0r pertama-tama akan memindahkan file ke folder sementara untuk membuat file sementara, lalu menghapusnya dengan berbagai cara.

Ketika melewati drive untuk mengenkripsi file, itu akan membuat file sementara bernama dalam format "$RECYCLE + kenaikan otomatis + .WNCYRT" (misalnya: "D:\$RECYCLE\1.WNCRYT") pada drive saat ini . Terutama jika drive saat ini adalah drive sistem (seperti Driver-C), maka akan menggunakan direktori sementara sistem.

Selanjutnya, proses menjalankan taskdl.exe dan menghapus file-file sementara pada interval waktu yang tetap.

Bab 3 Kemungkinan Pemulihan Data

Dalam menganalisis logika eksekusinya, kami melihat bahwa worm ini akan menimpa file yang memenuhi persyaratan yang ditentukan dengan nomor acak atau 0x55 untuk menghancurkan struktur file dan mencegah pemulihannya. Namun operasi ini hanya diterima untuk file tertentu atau file dengan ekstensi tertentu. Artinya masih banyak file yang belum tertimpa sehingga menyisakan ruang untuk pemulihan file.

Selama proses penghapusan, worm memindahkan file sumber ke folder file sementara dengan memanggil fungsi MoveFileEx. Akhirnya file-file sementara dihapus secara massal. Selama proses di atas, file asli mungkin dimodifikasi, namun perangkat lunak pemulihan data yang ada di pasaran saat ini tidak menyadarinya, sehingga banyak file yang tidak berhasil dipulihkan. Kebutuhan akan pemulihan file bagi korban hampir mustahil untuk disadari.

Untuk file lainnya, worm cukup menjalankan perintah "pindah & hapus". Karena proses menghapus file dan memindahkan file terpisah, kedua thread akan bersaing satu sama lain, yang mungkin menyebabkan kegagalan pemindahan file karena perbedaan lingkungan sistem pengguna. Ini akan menghapus file secara langsung di lokasinya saat ini. Dalam hal ini, ada kemungkinan besar file tersebut dapat dipulihkan.

https://360totalsecurity.com/s/ransomrecovery/

Dengan menggunakan metode pemulihan kami, sebagian besar file terenkripsi dapat dipulihkan dengan sempurna. Kini, alat pemulihan file versi 360 yang diperbarui telah dikembangkan sebagai respons terhadap kebutuhan ini untuk membantu puluhan ribu korban mengurangi kerugian dan konsekuensinya.

14 Mei 360 adalah vendor keamanan pertama yang merilis alat pemulihan file yang telah menyelamatkan banyak file dari ransomware. Versi baru ini mengambil langkah lain dalam mengeksploitasi kerentanan logis WanaCrypt0r. Ini dapat menghilangkan virus untuk mencegah infeksi lebih lanjut. Dengan menggunakan beberapa algoritma, ia dapat menemukan koneksi tersembunyi antara file gratis yang dapat dipulihkan dan file yang didekripsi untuk klien. Layanan pemulihan lengkap ini dapat mengurangi kerusakan akibat serangan ransomware dan melindungi keamanan data pengguna.

Bab 4 Kesimpulan

Wabah massal dan penyebaran worm WannaCry melalui penggunaan MS17-010, yang membuatnya mampu melakukan replikasi mandiri dan propagasi aktif, selain fungsi ransomware umum. Selain muatan serangan, struktur teknis ransomware memainkan peran paling penting dalam serangan tersebut.Ransomware mengenkripsi kunci AES menggunakan algoritma kriptografi asimetris RSA-2048. Setiap file kemudian dienkripsi menggunakan algoritma enkripsi simetris acak AES-128. Artinya, dengan mengandalkan penghitungan dan metode yang ada, hampir tidak mungkin mendekripsi RSA-2048 dan AES-128 tanpa kunci publik atau privat. Namun, penulis meninggalkan beberapa kesalahan dalam proses enkripsi, yang menjamin dan meningkatkan kemungkinan pemulihan. Jika tindakan dilakukan dengan cukup cepat, sebagian besar data dapat disimpan kembali.

Selain itu, karena uang tebusan dibayarkan dalam Bitcoin anonim, sehingga siapa pun dapat memperoleh alamatnya tanpa sertifikasi yang sebenarnya, mustahil untuk mengidentifikasi penyerang di seluruh alamat, apalagi di antara akun berbeda dari pemilik alamat yang sama. Oleh karena itu, karena penerapan algoritma enkripsi yang tidak dapat dipecahkan dan Bitcoin anonim, kemungkinan besar wabah ransomware yang menguntungkan ini akan berlanjut untuk waktu yang lama. Setiap orang harus berhati-hati.

Tim 360 Helios

360 Helios Team adalah tim peneliti APT (Advanced Persistent Attack) di Qihoo 360.

Tim ini berdedikasi untuk menyelidiki serangan APT, merespons insiden ancaman, dan meneliti rantai industri ekonomi bawah tanah.

Sejak didirikan pada bulan Desember 2014, tim ini telah berhasil mengintegrasikan database 360 ​​yang sangat besar dan menciptakan proses pembalikan dan korelasi yang cepat. Hingga saat ini, lebih dari 30 APT dan kelompok ekonomi bawah tanah telah teridentifikasi dan teridentifikasi.

360 Helios juga menyediakan penilaian ancaman dan solusi respons untuk perusahaan.

Laporan publik

Kontak
Surel Surat: [dilindungi email]
Grup WeChat: Tim 360 Helios
Silakan unduh kode QR di bawah untuk mengikuti kami di WeChat!

Jika pesan teks muncul di komputer Anda yang mengatakan bahwa file Anda dienkripsi, jangan buru-buru panik. Apa saja gejala enkripsi file? Ekstensi biasa berubah menjadi *.vault, *.xtbl, * [dilindungi email] _XO101, dll. File tidak dapat dibuka - diperlukan kunci, yang dapat dibeli dengan mengirimkan surat ke alamat yang ditentukan dalam pesan.

Dari mana Anda mendapatkan file terenkripsi?

Komputer terkena virus yang memblokir akses ke informasi. Program antivirus sering kali melewatkannya karena program tersebut biasanya didasarkan pada utilitas enkripsi gratis yang tidak berbahaya. Anda akan menghapus virus itu sendiri dengan cukup cepat, tetapi masalah serius mungkin timbul saat mendekripsi informasi.

Dukungan teknis dari Kaspersky Lab, Dr.Web dan perusahaan terkenal lainnya yang mengembangkan perangkat lunak anti-virus, sebagai tanggapan atas permintaan pengguna untuk mendekripsi data, melaporkan bahwa tidak mungkin melakukan hal ini dalam waktu yang dapat diterima. Ada beberapa program yang dapat mengambil kode tersebut, tetapi program tersebut hanya dapat bekerja dengan virus yang telah dipelajari sebelumnya. Jika Anda menemukan modifikasi baru, kemungkinan memulihkan akses ke informasi sangat rendah.

Bagaimana virus ransomware masuk ke komputer?

Dalam 90% kasus, pengguna sendiri yang mengaktifkan virus di komputer mereka, membuka surat yang tidak dikenal. Kemudian sebuah pesan dikirim ke email dengan subjek yang provokatif - “Panggilan pengadilan”, “Utang pinjaman”, “Pemberitahuan dari kantor pajak”, dll. Di dalam surat palsu itu terdapat lampiran, setelah diunduh, ransomware masuk ke komputer dan mulai memblokir akses ke file secara bertahap.

Enkripsi tidak terjadi secara instan, sehingga pengguna punya waktu untuk menghapus virus sebelum semua informasi dienkripsi. Anda dapat menghancurkan skrip berbahaya menggunakan utilitas pembersihan Dr.Web CureIt, Kaspersky Internet Security, dan Malwarebytes Antimalware.

Metode pemulihan file

Jika perlindungan sistem telah diaktifkan di komputer Anda, bahkan setelah terkena virus ransomware, ada kemungkinan untuk mengembalikan file ke keadaan normal menggunakan salinan bayangan file. Ransomware biasanya mencoba menghapusnya, tetapi terkadang gagal karena kurangnya hak administrator.

Memulihkan versi sebelumnya:

Agar versi sebelumnya dapat disimpan, Anda perlu mengaktifkan perlindungan sistem.

Penting: perlindungan sistem harus diaktifkan sebelum ransomware muncul, setelah itu tidak akan membantu lagi.

  1. Buka properti Komputer.
  2. Dari menu di sebelah kiri, pilih Perlindungan Sistem.
  3. Pilih drive C dan klik "Konfigurasi".
  4. Pilih untuk memulihkan pengaturan dan versi file sebelumnya. Terapkan perubahan dengan mengklik "OK".

Jika Anda mengambil langkah-langkah ini sebelum virus enkripsi file muncul, maka setelah membersihkan komputer Anda dari kode berbahaya, Anda akan memiliki peluang bagus untuk memulihkan informasi Anda.

Menggunakan utilitas khusus

Kaspersky Lab telah menyiapkan beberapa utilitas untuk membantu membuka file terenkripsi setelah menghapus virus. Decryptor pertama yang harus Anda coba adalah Kaspersky RectorDecryptor.

  1. Unduh program dari situs resmi Kaspersky Lab.
  2. Kemudian jalankan utilitas dan klik "Mulai pemindaian". Tentukan jalur ke file terenkripsi apa pun.

Jika malware tidak mengubah ekstensi file, maka untuk mendekripsinya, Anda perlu mengumpulkannya di folder terpisah. Jika utilitasnya adalah RectorDecryptor, unduh dua program lagi dari situs resmi Kaspersky - XoristDecryptor dan RakhniDecryptor.

Utilitas terbaru dari Kaspersky Lab disebut Ransomware Decryptor. Ini membantu mendekripsi file setelah virus CoinVault, yang belum tersebar luas di RuNet, tetapi mungkin akan segera menggantikan Trojan lainnya.