Recuperați fișierele criptate. Recuperarea datelor criptate folosind virusul ransomware WannaCry: posibilitate și soluție

Specialistul companiei franceze Quarkslab, Adrien Guinet, raportează că a găsit o modalitate de a decripta datele deteriorate de un atac ransomware. Din păcate, această metodă funcționează doar pentru sistemul de operare Windows XP și nu în toate cazurile, dar este mai bine decât nimic.

Trebuie să termin procesul complet de decriptare, dar confirm că, în acest caz, cheia privată poate fi recuperată pe un sistem XP #Vreau să plâng!! pic.twitter.com/QiB3Q1NYpS

Guinier a publicat codul sursă pentru un instrument pe care l-a numit WannaKey pe GitHub. Tehnica cercetătorului se bazează, de fapt, pe exploatarea unui bug destul de ciudat și puțin cunoscut în Windows XP, despre care nici autorii senzaționalului malware ransomware nu păreau să știe. Faptul este că, în anumite circumstanțe, este posibilă extragerea cheii necesare pentru „salvarea” fișierelor din memoria unei mașini care rulează XP.

Cercetătorul explică că în timpul funcționării, ransomware-ul folosește API-ul Windows Crypto și generează o pereche de chei - una publică, care este folosită pentru a cripta fișierele, și una privată, care poate fi folosită pentru a decripta fișierele după plata răscumpărării. Pentru a împiedica victimele să ajungă la cheia privată și să decripteze datele din timp, autorii WannaCry criptează cheia în sine, astfel încât să devină disponibilă numai după plată.

După ce cheia a fost criptată, versiunea sa necriptată este ștearsă folosind funcția standard CryptReleaseContext, care, în teorie, ar trebui să o elimine și din memoria mașinii infectate. Cu toate acestea, Guinier a remarcat că acest lucru nu se întâmplă, doar „markerul” care indică cheia este eliminat.

Specialistul scrie că este posibilă extragerea cheii private din memorie. Guinier însuși a efectuat o serie de teste și a decriptat cu succes fișierele pe mai multe computere infectate care rulează Windows XP. Totuși, cercetătorul scrie că pentru un rezultat cu succes al operației, trebuie îndeplinite o serie de condiții. Deoarece cheia este stocată numai în memoria volatilă, trebuie să fiți atenți nu numai la faptul că orice proces ar putea suprascrie accidental datele de deasupra cheii și memoria va fi redistribuită, dar nici nu ar trebui să opriți și să reporniți computerul. după infectare.

„Dacă ai noroc, vei putea accesa aceste zone de memorie și vei putea recupera cheia. Este posibil să fie încă acolo și îl puteți folosi pentru a vă decripta fișierele. Dar acest lucru nu funcționează în toate cazurile”, scrie cercetătorul.

Nu se știe câte computere care rulează Windows XP au fost infectate cu WannaCry și ce procent de utilizatori nu și-au repornit niciodată sau și-au oprit computerul după infectare. Permiteți-mi să vă reamintesc că în total sute de mii de mașini au fost afectate de atacuri ransomware în peste o sută de țări din întreaga lume. Cu toate acestea, Guinier speră că tehnica sa ar putea fi utilă cel puțin unor utilizatori.

Alți experți au confirmat deja că, teoretic, instrumentul Guinier ar trebui să funcționeze. Astfel, celebrul criptograf și profesor la Universitatea Johns Hopkins Matthew Green scrie că metoda ar trebui să funcționeze, deși în circumstanțele actuale totul seamănă mai mult cu o loterie. Un alt specialist cunoscut, un angajat al companiei F-Secure, Mikko Hypponen, pune întrebarea „de ce să folosiți o funcție care nu distruge chei pentru a distruge cheile?”, dar este de acord că bug-ul poate fi folosit pentru a recupera fișierele criptate.

Nu cu mult timp în urmă, un nou virus (și multe dintre modificările acestuia) a apărut pe Internet, criptând fișierele de pe computerul tău și oferindu-se să comanzi un program pentru a le decripta pentru bani. În acest caz, fișierele criptate sunt redenumite și denumite astfel

DSC00122.JPG. [email protected] _XO101

Partea selectată constă din e-mailul autorului virusului (căreia „victima” virusului va trimite o cerere de decriptare) și identificatorul de modificare a virusului. Fiecare modificare a virusului are propriul algoritm de criptare și, în consecință, necesită propriul decriptor.

Din fericire, dezvoltatorii de la Dr.Web au abordat îndeaproape această problemă și sunt gata să ofere un utilitar special care decriptează fișierele corupte de virus. Pentru comoditate, mai jos postez utilitarul în sine și scurte instrucțiuni de utilizare.

(parola este numele site-ului meu fără „http://”)

Mai jos sunt instrucțiuni scurte.

Descărcați utilitarul de recuperare, despachetați arhiva într-un folder gol cu ​​un nume simplu (de exemplu, „ C:\_dec"). Apoi deschideți linia de comandă (Start - Run - cmd) și tastați următoarele acolo:

Aici " [email protected] _XO101" este prefixul cu care fișierele dumneavoastră sunt redenumite de virus, fiți atenți la punctul de la început. A c:\fișierele mele\- acesta este folderul în care se află fișierele dvs. codificate. După lansarea programului se va deschide o fereastră de confirmare

Și după ce faceți clic pe butonul „Continuați”, tratamentul automat va începe. La finalizarea programului, veți primi un raport, iar toate fișierele decodate vor fi localizate lângă cele codificate în folderul pe care l-ați specificat (programul nu șterge versiunile codificate ale fișierelor).

Autorii programului nu garantează tratarea 100% a tuturor fișierelor și nu am ocazia să testez funcționarea acestuia pe un număr mare de fișiere, așa că vă rog: cine a reușit să vindece fișierele cu acest utilitar (sau nu a reușit) - scrieți în comentarii.

Asta e tot! Fii sănătos!

P.S. Pentru a preveni infectarea computerului să nu se repete, cumpărați-l deja antivirus normal. Folosesc Kaspersky Internet Security, dar se pare că și Dr.Web este destul de bun. Crede-mă, o mie și jumătate de ruble pe an pentru liniște sufletească și încredere în viitor este un preț ridicol.

În urmă cu aproximativ o săptămână sau două, a apărut pe Internet un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după un virus ransomware criptat000007și recuperați fișierele criptate. În acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare.

Decriptare garantată a fișierelor după un virus ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact în același mod. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnicile de inginerie socială sunt folosite pentru a se asigura că utilizatorul devine interesat de scrisoare și o deschide. În cazul meu, în scrisoare se vorbea despre un fel de instanță și despre informații importante despre caz din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras de la Curtea de Arbitraj din Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, atunci copiile de rezervă ale fișierelor din copiile umbre ale Windows vor fi șterse și restaurarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. În acest criptator, aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să fie de acord și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere a copiilor umbre fără să mă opresc. De obicei, după 5-10 oferte s-au oprit.

Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze avertismentele de control al contului de utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant sub contul de administrator al computerului decât dacă există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor exista multe fișiere text cu același conținut pe desktop.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Tor Browser folosind link-ul: https://www.torproject.org/download/download-easy.html.en În adresa Tor Browser, introduceți adresa: http: //cryptsen7fo43rr6 .onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul dvs. au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți face acest lucru în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http:/ /cryptsen7fo43rr6.onion/ Apăsați Enter și apoi va fi încărcată pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. Am dat si peste urmatoarele adrese:

• [email protected]
• [email protected]

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare atât pe computerul local, cât și pe unitățile de rețea. Un virus de criptare poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, ransomware-ul nu a avut timp să cripteze totul pe o unitate de rețea cu o capacitate de aproximativ 100 de gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de o persoană care este bine versată în sistemele informaționale. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiunile incorecte în această etapă pot complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia fișierului va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arata cam asa.

Într-o astfel de situație, va fi dificil să evaluați amploarea tragediei, deoarece nu vă veți putea aminti pe deplin ce ați avut în diferite dosare. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Și dacă folderele dvs. de rețea au fost criptate și nu există copii de siguranță complete, atunci acest lucru poate opri complet activitatea întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai importantă întrebare este cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul dvs., șansele de decriptare a datelor scad. Dacă trebuie să recuperați fișiere cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptarea completă a fișierelor, este și mai profitabil pentru el să se ștergă și să dispară, astfel încât este mai dificil să investigheze incidentul și să decripteze fișierele.

Este dificil să descriu cum să eliminați manual un virus, deși am încercat să fac asta înainte, dar văd că cel mai adesea este inutil. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant într-o săptămână sau două. De obicei, virușii sunt trimiși prin poștă în valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Instrumentele universale care verifică pornirea și detectează activități suspecte în folderele de sistem ajută.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

1. Kaspersky Virus Removal Tool - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați virusul manual. Am dat un exemplu de metodă de eliminare și îl puteți vedea acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
2. Găsim procesul virusului, deschidem folderul în care se află și îl ștergem.
3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere apare pe primul loc când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina principală faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista niciun decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptare pentru descărcare pe o pagină separată - https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care decriptoarele pentru unele modificări ale criptoarelor au apărut pe Internet. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișierele folosind metode improvizate. Acestea includ:

• Instrument copii umbră ferestre.
• Programe de recuperare a datelor șterse

În primul rând, să verificăm dacă avem copiile umbră activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă în timpul infecției nu ați confirmat solicitarea UAC de ștergere a fișierelor în copii umbră, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai pe larg la începutul poveștii, când am vorbit despre munca virusului.

Pentru a restaura cu ușurință fișierele din copii umbră, vă sugerez să utilizați un program gratuit pentru aceasta - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Se va deschide cea mai recentă copie a fișierelor și rădăcina unității C. În colțul din stânga sus, puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verificați diferite copii pentru fișierele necesare. Comparați după dată pentru cea mai recentă versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am făcut clic dreapta, am selectat Export și am specificat folderul în care să le restabilesc.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi o versiune mai veche decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare a fișierelor șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansarea versiunii grafice a programului execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau un hard disk extern pentru a face acest lucru.

Procesul de căutare va dura mult. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, câteva fișiere utile pot fi găsite în această listă. Nu există garanții aici, ceea ce vei găsi este ceea ce vei găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei când trebuie să recuperez numărul maxim de fișiere:

• R.saver
• Recuperare fișier Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

În mod tradițional, antivirușii ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Este lansată o nouă versiune de ransomware, dar antivirusurile nu răspund la aceasta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanțe tehnice pe acest subiect care nu ne permite să răspundem în mod adecvat și să împiedicăm criptarea fișierelor utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să vă oferiți oprirea procesului.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși de criptare, inclusiv CRYPTED000007. Adresa lor este http://www.dr-shifro.ru. Plata numai după decriptarea completă și verificarea dvs. Iată o schemă aproximativă de lucru:

1. Un specialist al companiei vine la birou sau acasă și semnează un acord cu tine, care stabilește costul lucrării.
2. Lansează decriptorul și decriptează toate fișierele.
3. Vă asigurați că toate fișierele sunt deschise și semnați certificatul de livrare/acceptare a lucrării finalizate.
4. Plata se face numai pe baza rezultatelor reușite ale decriptării.

Sincer să fiu, nu știu cum fac, dar nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să eviți daune materiale și morale? Există câteva sfaturi simple și eficiente:

1. Backup! Copiere de rezervă a tuturor datelor importante. Și nu doar un backup, ci un backup la care nu există acces constant. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de distribuție a unei noi modificări a ransomware-ului.
3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
4. Nu deschideți neatenționat link-uri trimise către dvs. de la prieteni prin rețelele sociale sau mesagerie instantanee. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
5. Activați Windows pentru a afișa extensiile de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Video despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.

Recent, 360 ​​Internet Security Center a descoperit un nou tip de virus ransomware care vizează atât companiile, cât și persoanele fizice din multe țări și regiuni. 360 a emis un avertisment de urgență în timp util pe 12 mai, în urma descoperirii, pentru a reaminti utilizatorilor riscurile viitoare. Acest ransomware se răspândește cu mare viteză în întreaga lume. Potrivit unor statistici incomplete, zeci de mii de dispozitive din 99 de țări au fost infectate în doar câteva ore după explozie, iar acest vierme de rețea încă încearcă să-și extindă influența.

De obicei, un virus ransomware este un program rău intenționat cu intenția clară de extorcare. Criptează fișierele victimei folosind un algoritm criptografic asimetric, le face inaccesibile și solicită o răscumpărare pentru a le decripta. Dacă răscumpărarea nu este plătită, fișierele nu pot fi recuperate. Această nouă specie poartă numele de cod WanaCrypt0r. Ceea ce îl face atât de mortal este că a folosit instrumentul de hacking „EternalBLue”, care a fost furat de la NSA. Acest lucru explică și de ce WanaCrypt0r a putut să se răspândească rapid în întreaga lume și a provocat pierderi mari într-un timp foarte scurt. După descoperirea viermilor de rețea din 12 mai, departamentul Core Security de la Centrul de securitate Internet 360 a efectuat o monitorizare amănunțită și o analiză aprofundată. Acum putem lansa o suită de soluții de detectare, protecție și recuperare a datelor împotriva WanaCrypt0r.

360 Helios Team este o echipă de cercetare și analiză APT (Advanced Persistent Attack) din cadrul departamentului Core Security, dedicată în primul rând investigației atacurilor APT și răspunsului la incidente de amenințare. Cercetătorii de securitate au analizat cu atenție mecanismul virușilor pentru a găsi cea mai eficientă și precisă metodă de recuperare a fișierelor criptate. Folosind această metodă, 360 poate deveni primul furnizor de securitate care lansează un instrument de recuperare a datelor - „360 Ransomware Infected File Recovery” pentru a-și ajuta clienții să recupereze rapid și complet fișierele infectate. Sperăm că acest articol vă va ajuta să înțelegeți trucurile acestui vierme, precum și discuția mai largă despre recuperarea fișierelor criptate.

Capitolul 2 Analiza proceselor de criptare de bază

Acest vierme expune modulul de criptare în memorie și încarcă direct DLL-ul în memorie. DLL-ul exportă apoi o funcție TaskStart care ar trebui utilizată pentru a activa întregul proces de criptare. DLL accesează în mod dinamic sistemul de fișiere și funcțiile API legate de criptare pentru a evita detectarea statică.

1. Etapa inițială

Mai întâi folosește „SHGetFolderPathW” pentru a obține căile pentru desktop și foldere de fișiere. Apoi va apela funcția „10004A40” pentru a obține calea către desktopurile și folderele de fișiere ale altor utilizatori și va apela funcția EncrytFolder pentru a cripta folderele individual.

Scanează toate unitățile de două ori de la driverul Z la C. Prima scanare este să ruleze toate unitățile locale (cu excepția driver-CD). A doua scanare verifică toate dispozitivele de stocare mobile și apelează funcția EncrytFolder pentru a cripta fișierele.

2.File travers

Funcția „EncryptFolder” este o funcție recursivă care poate colecta informații despre fișiere urmând procedura de mai jos:

Eliminați căile de fișiere sau folderele în timpul procesului încrucișat:

Există un folder interesant numit „Acest folder protejează împotriva ransomware-ului. Schimbarea acestuia va reduce protecția.” Când faceți acest lucru, veți descoperi că acesta corespunde folderului de protecție al software-ului anti-ransomware.

În timpul accesării cu crawlere a fișierelor, ransomware-ul colectează informații despre fișier, cum ar fi dimensiunea fișierelor, apoi clasifică fișierele în diferite tipuri în funcție de extensia lor, urmând anumite reguli:

Lista tipurilor de extensii 1:

Lista tipurilor de extensii 2:

3.Prioritate de criptare

Pentru a cripta fișierele importante cât mai repede posibil, WanaCrypt0r a dezvoltat o coadă de priorități complexă:

Coada de prioritate:

I.Criptați fișierele de tip 2 care se potrivesc și cu lista de extensii 1. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
II. Criptați fișierele de tip 3 care se potrivesc și cu lista de extensii 2. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
III. Criptați fișierele rămase (mai puțin de 0x400) și alte fișiere.

4.Logica de criptare

Întregul proces de criptare este finalizat folosind atât RSA, cât și AES. Deși procesul de criptare RSA utilizează Microsoft CryptAPI, codul AES este compilat static într-un DLL. Procesul de criptare este prezentat în figura de mai jos:

Lista cheilor folosite:

Format de fișier după criptare:

Vă rugăm să rețineți că în timpul procesului de criptare, ransomware-ul va selecta aleatoriu unele fișiere de criptat, folosind cheia publică RSA încorporată pentru a oferi câteva fișiere pe care victimele le pot decripta gratuit.

Calea către fișierele gratuite poate fi găsită în fișierul „f.wnry”.

5. Completarea numerelor aleatorii

Odată criptat, WanaCrypt0r va umple fișierele pe care le consideră importante cu numere aleatorii până când va distruge complet fișierul, apoi va muta fișierele într-un director de fișiere temporar pentru ștergere. Procedând astfel, este destul de dificil pentru instrumentele de recuperare a fișierelor să recupereze fișiere. În același timp, poate accelera procesul de criptare.

Fișierele completate trebuie să îndeplinească următoarele cerințe:

— În directorul specificat (desktop, documentul meu, folderul utilizator)

— Fișierul are mai puțin de 200 MB

— Extensia de fișier se află în lista de tipuri de extensii 1

Logica de completare a fișierelor:

- Dacă fișierul este mai mic de 0x400, acesta va fi acoperit cu numere aleatorii de aceeași lungime

- Dacă fișierul este mai mare de 0x400, ultimul 0x400 va fi acoperit cu numere aleatorii

- Mutați indicatorul fișierului la antetul fișierului și setați 0x40000 ca bloc de date pentru a acoperi fișierul cu numere aleatorii până la sfârșit.

6.Ștergerea fișierelor

WanaCrypt0r va muta mai întâi fișierele într-un folder temporar pentru a crea un fișier temporar, apoi îl va șterge în diferite moduri.

Când parcurge unitățile pentru a cripta fișierele, va crea un fișier temporar numit în formatul „$RECYCLE + auto increment + .WNCYRT” (de exemplu: „D:\$RECYCLE\1.WNCRYT”) pe unitatea curentă. . Mai ales dacă unitatea curentă este o unitate de sistem (cum ar fi Driver-C), va folosi directorul temporar al sistemului.

Ulterior, procesul rulează taskdl.exe și șterge fișierele temporare la un interval de timp fix.

Capitolul 3 Posibilitatea de recuperare a datelor

Analizând logica sa de execuție, am observat că acest vierme va suprascrie fișierele care îndeplinesc cerințele specificate cu numere aleatorii sau 0x55 pentru a distruge structurile de fișiere și a preveni recuperarea acestora. Dar această operațiune este acceptată doar pentru anumite fișiere sau fișiere cu o anumită extensie. Aceasta înseamnă că există încă multe fișiere care nu au fost suprascrise, lăsând loc pentru recuperarea fișierelor.

În timpul procesului de eliminare, viermele a mutat fișierele sursă într-un folder cu fișiere temporare apelând funcția MoveFileEx. În cele din urmă, fișierele temporare sunt șterse în masă. În timpul procesului de mai sus, fișierele originale pot fi modificate, dar software-ul actual de recuperare a datelor de pe piață nu este conștient de acest lucru, așa că destul de multe fișiere nu pot fi recuperate cu succes. Este aproape imposibil de realizat nevoia de fișiere de recuperare pentru victime.

Pentru alte fișiere, viermele a executat pur și simplu comanda „mutare și ștergere”. Deoarece procesele de ștergere a fișierelor și mutarea fișierelor sunt separate, cele două fire de execuție vor concura între ele, ceea ce poate duce la eșecul mișcării fișierelor din cauza diferențelor din mediul de sistem al utilizatorului. Acest lucru va șterge fișierul direct în locația sa curentă. În acest caz, există o mare probabilitate ca fișierul să poată fi recuperat.

https://360totalsecurity.com/s/ransomrecovery/

Folosind metodele noastre de recuperare, un procent mare de fișiere criptate pot fi recuperate perfect. Acum, versiunea actualizată 360 a instrumentului de recuperare a fișierelor a fost dezvoltată ca răspuns la această nevoie de a ajuta zeci de mii de victime să atenueze pierderile și consecințele.

14 mai 360 este primul furnizor de securitate care a lansat un instrument de recuperare a fișierelor care a salvat multe fișiere de la ransomware. Această nouă versiune face un alt pas în exploatarea vulnerabilităților logice ale WanaCrypt0r. Poate elimina virusul pentru a preveni infecția ulterioară. Folosind mai mulți algoritmi, poate găsi conexiuni ascunse între fișierele recuperabile gratuite și fișierele decriptate pentru clienți. Acest serviciu de recuperare all-in-one poate reduce daunele cauzate de un atac ransomware și poate proteja securitatea datelor utilizatorilor.

Capitolul 4 Concluzie

Focare în masă și răspândire a viermilor WannaCry prin utilizarea MS17-010, ceea ce îl face capabil de auto-replicare și propagare activă, în plus față de funcțiile unui ransomware general. În afară de sarcina utilă de atac, structura tehnică a ransomware-ului joacă cel mai important rol în atacuri.Ransomware-ul criptează cheia AES folosind algoritmul criptografic asimetric RSA-2048. Fiecare fișier este apoi criptat folosind un algoritm de criptare simetric AES-128 aleatoriu. Aceasta înseamnă că, bazându-se pe calculele și metodele existente, este aproape imposibil să decriptați RSA-2048 și AES-128 fără chei publice sau private. Cu toate acestea, autorii lasă unele erori în procesul de criptare, ceea ce asigură și mărește posibilitatea de recuperare. Dacă acțiunile sunt efectuate suficient de rapid, majoritatea datelor pot fi salvate înapoi.

În plus, deoarece banii de răscumpărare sunt plătiți în Bitcoins anonimi, pentru care oricine poate obține adresa fără o certificare adevărată, este imposibil să se identifice atacatorul pe adrese, cu atât mai puțin între diferite conturi ale aceluiași proprietar de adresă. Prin urmare, datorită adoptării unui algoritm de criptare care nu poate fi spart și a Bitcoin-urilor anonime, este foarte probabil ca acest tip de erupție profitabilă de ransomware să continue mult timp. Toată lumea trebuie să fie atentă.

Echipa 360 Helios

360 Helios Team este o echipă de cercetare APT (Advanced Persistent Attack) în Qihoo 360.

Echipa este dedicată investigării atacurilor APT, răspunsului la incidente de amenințări și cercetării lanțurilor industriale ale economiei subterane.

De la înființarea sa în decembrie 2014, echipa a integrat cu succes o bază de date uriașă 360 ​​și a creat un proces rapid de inversare și corelare. Până în prezent, au fost identificate și identificate mai mult de 30 de APT și grupuri economice subterane.

360 Helios oferă, de asemenea, soluții de evaluare și răspuns a amenințărilor pentru întreprinderi.

Rapoarte publice

a lua legatura
E-mail Poștă: [email protected]
Grupul WeChat: Echipa 360 Helios
Vă rugăm să descărcați codul QR de mai jos pentru a ne urmări pe WeChat!

Dacă pe computer apare un mesaj text care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea deoarece programul se bazează de obicei pe un utilitar de criptare gratuit inofensiv. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii binecunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa doar cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe un computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky Internet Security și Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computerul dvs., atunci chiar și după efectul unui virus ransomware există șansa de a readuce fișierele la starea lor normală folosind copii umbre ale fișierelor. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc acest lucru din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

1. Deschide Proprietăți computer.
2. Din meniul din stânga, selectați Protecție sistem.
   
3. Selectați unitatea C și faceți clic pe „Configurare”.
4. Alegeți să restabiliți setările și versiunile anterioare ale fișierelor. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția virusului de criptare a fișierelor, atunci după curățarea computerului de codul rău intenționat, veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați într-un folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.