Трояны-шифровальщики. Как восстановить зашифрованные файлы?

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Severnyj, 10 май 2012.

Статус темы:
Закрыта.
  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Intro.

    Первые троянцы-шифровальщики семейства Trojan.Encoder появились в 2006-2007 году. С января 2009 года число их разновидностей увеличилось примерно на 1900%! В настоящее время Trojan.Encoder — одна из самых опасных угроз для пользователей, имеющая несколько тысяч модификаций. С апреля 2013 года по март 2015 года в вирусную лабораторию компании «Доктор Веб» поступило 8 553 заявки на расшифровку файлов, пострадавших от действий троянцев-энкодеров.
    Вирусы-шифровальщики практически отвоевали первое место в обращениях на форумы по информационной безопасности. Ежесуточно в среднем 40 заявок на расшифровку поступают только сотрудникам вирусной лаборатории «Доктор Веб» от пользователей, зараженных различными видами троянов-шифровальщиков (Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Цифровой сейф, Цифровой кейс, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, vault и проч). Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т.д., при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч. Особенно опасны трояны-шифровальщики для коммерческих фирм, поскольку потерянные данные баз данных, платежных документов могут заблокировать работу фирмы на неопределенное время, приводя к упущению выгоды.

    Троянцы семейства Trojan.Encoder используют несколько десятков различных алгоритмов шифрования пользовательских файлов. Например, чтобы подобрать ключи для расшифровки файлов, зашифрованных троянцем Trojan.Encoder.741, методом простого перебора, потребуется:
    107902838054224993544152335601 год

    Расшифровка поврежденных троянцем файлов возможна не более чем в 10% случаев. А это значит, что большинство данных пользователей потеряны безвозвратно.
    Вот только несколько примеров оценки вероятности расшифровки:


    * - при наличии файла троянской программы

    Сегодня вымогатели требуют за расшифровку файлов до 1 500 биткоинов.

    1 биткоин = 272 евро или 330 долларов.
    Сумма выкупа может достигать 49 500 долларов.
    Даже если вы заплатите выкуп злоумышленнику, никакой гарантии восстановления информации он вам не даст.

    Доходит до курьезов – зафиксирован случай, когда, несмотря на заплаченный выкуп, преступники не смогли расшифровать файлы, зашифрованные созданным ими Trojan.Encoder, и отправили пострадавшего пользователя за помощью... в службу технической поддержки антивирусной компании!

    Как происходит заражение?

    • Через вложения в электронной почте; методом социальной инженерии злоумышленники вынуждают пользователя открыть прикрепленный файл.
    • С помощью Zbot-инфекций, замаскированных в виде вложений в формате PDF.
    • Через наборы эксплойтов, расположенные на взломанных веб-сайтах, которые используют уязвимости на компьютере, чтобы установить инфекцию.
    • Через троянцев, которые предлагают скачать плеер, необходимый для просмотра онлайн-видео. Такое, как правило, встречается на порно-сайтах.
    • Через RDP, используя подбор паролей и уязвимости в данном протоколе - таким образом чаще всего организации заражались Trojan.Xorist.

    Более чем в 90% случаев пользователи запускают (активируют) на компьютере шифровальщиков собственными руками.

    Пока Вы не перестанете пугаться писем с заголовками «Задолженность», «Уголовное производство» и т. п., злоумышленники будут пользоваться Вашей наивностью.

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    Задумайтесь... Научитесь сами и научите других простейшим основам безопасности!

    • Никогда не открывайте вложения из писем, полученных от неизвестных адресатов, каким бы пугающим не был заголовок. Если вложение пришло, как архив, потрудитесь просто просмотреть содержимое архива. И если там исполняемый файл (расширение .exe, .com, .bat, .cmd, .scr), то это на 99,(9)% ловушка для Вас.
    • Если Вы все же чего-то опасаетесь, не поленитесь узнать истинный электронный адрес той организации, от лица которой к Вам пришло письмо. Это ведь не так сложно узнать в наш информационный век.
    • Даже если адрес отправителя оказался истинным, не поленитесь уточнить по телефону наличие такого отправленного письма. Адрес отправителя легко подделать при помощи анонимных smtp-серверов.
    • Если в отправителе написано Сбербанк или Почта России, то это еще ничего не значит. Нормальные письма в идеале должны быть подписаны ЭЦП. Внимательно проверяйте прикрепленные к таким письмам файлы перед открытием.
    • Регулярно делайте резервные копии информации на отдельных носителях.
    • Забудьте об использовании простых паролей, которые легко подобрать и попасть в локальную сеть организации под Вашими данными.
    • Никогда не работайте с правами Администратора, внимательно относитесь к сообщениям UAC, даже если они имеют "синий цвет" подписанного приложения, не нажимайте "Да", если не запускали установки или обновления.
    • Регулярно устанавливайте обновления безопасности не только операционной системы, но и прикладных программ.

    Что делать в случае заражения?

    Процитируем рекомендации компаний "Др.Веб" и "Лаборатории Касперского":

    • немедленно отключите компьютер для остановки действия трояна, кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных;
    • без особой надобности не включайте компьютер с зашифрованными данными, так как во время включений и перезагрузок происходят изменения файловой системы;
    • обратитесь с соответствующим заявлением в правоохранительные органы;
    Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных ст. ст. 159.6, 163, 165, 272, 273 УК РФ.

    Также смотрите здесь:
    Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России)

    Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении. Образец заявления

    Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

    Если у вас откажутся принять заявление — получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).
    • ни в коем случае не пытайтесь переустановить операционную систему;
    • не удаляйте никаких файлов и почтовых сообщений на Вашем компьютере;
    • не запускайте никаких "чистильщиков" временных файлов и реестра;
    • не следует сканировать и лечить компьютер антивирусами и антивирусными утилитами, а тем более антивирусными LiveCD, в крайнем случае можно переместить зараженные файлы в карантин антивируса;
    • не пытайтесь восстановить зашифрованные файлы самостоятельно;
    • обратитесь в антивирусную лабораторию компании, в которой есть подразделение вирусных аналитиков, занимающихся данной проблемой;
    • к тикету приложите зашифрованный троянцем файл (а если возможно и его незашифрованную копию);
    • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

    Как восстановить файлы?

    Адреса с формами отправки зашифрованных файлов:
    • Др.Веб (Заявки принимаются только от пользователей антивируса Drweb)
    • Лаборатория Касперского (необходимо выбрать "Запрос на исследование вредоносного файла")
    • ESET, LLC (Только для лицензионных пользователей ESET)


    Мы категорически не рекомендуем восстанавливать файлы самостоятельно, так как при неумелых действиях возможно потерять всю информацию, не восстановив ничего!!! К тому же восстановление файлов, зашифрованных некоторыми видами троянов просто невозможно из-за стойкости шифрующего механизма.

    Если же вышеописанные способы не дали желаемого результата, можно попытаться воспользоваться следующими способами (следует помнить, что попытки восстановить зашифрованный файл необходимо проводить на копии одного из них, а не пытаться восстановить всю информацию сразу):

    Утилиты восстановления удаленных файлов:
    Некоторые разновидности троянов-шифровальщиков создают копию шифруемого файла криптят её, а оригинальный файл удаляют, в таком случае можно воспользоваться одной из утилит для восстановления файлов (желательно использовать портативные версии программ, скачанные и записанные на флеш-накопитель на другом компьютере):
    • R.saver
    • Recuva
    • JPEG Ripper - утилита для восстановления поврежденных изображений
    • JPGscan - утилита для восстановления поврежденных изображений (описание)
    • PhotoRec - утилита для восстановления поврежденных изображений (описание)

    Утилиты для расшифровки файлов, зашифрованными определенными видами троянов:

    Метод для решения проблем с некоторыми версиями Lockdir

    Папки, зашифрованные некоторыми версиями Lockdir, можно открыть с помощью архиватора 7-zip

    Код (Text):

    nSWGs6sd$gs8as%s9mnsvnq3
    KEGs-15sdgDs$1bERSv6cssGv
    35865945;%(?**%(&^#$пвлегРНЕgfkTYHfdutjkfluоууэ598
    FgmwH4hdh+S54hsdf/fhdfbs7
    5sR4v1h46s4K1hsr4sdf
    Tk45swE8h2dd24d8s4g
    sffg5ks47hVf4u9h9vb1
    FgmwH4hdh+S54hsdf/fhdfbs1
    nSWGs6sd$gs8as%s9mnsvnq2
    dlv4peg9ngpznazwvnbg
    5yortgnp5pesng6rup6e
    ruowof4t90w7e4g240f4
    97&9#&*%GktyBGIKGD^(%#6597fhkyHFEjdybBHРОдлШгнд66 7
    FhaHW^#2cak45fanFds&dansFcsS5
    G1wKК0yk7аh=1[=31P3<
    bD7903305jmI7Nk4wJcXu77N
    fp0HkYw4UDM9u5RgVIoo2oWt
    4985hyrk^#(GT%&)(KGefef98756njfrgf45j459hrgkihevm   !!!!В конце пароля 3 пробела!
    75696jdktuihре6549еопд675thjfgj895jgr7rhgrg%&*jekd
    hBRn73#@*95nfvsn#$&nfjfnHN13
    964853875%:?($#%^%&^(%#@^*РЛшерлJUIOPgfredркшлд764
    749738ИАЕКОKIURF75057$%^*^%#!%&*HTUJFjkihtrurj64щу о
    823о58тыfЕПо606рируклд754р58К;$#&(&%#GHFJI&Gнурле4 94
    ИПР:()BVF$!&)KHJgsdnbt,m58760lthh475906kmgnvyfk,ghjgik
    FgSGn3#%*gsm(4mvmzq318N4cam$m5()#2%M
    ьC61_р|0ж#1\1Д1У3*h9
    L49FF@,50$#+@40%)@+g,mWE4,g'sea.hrr444sr
    86505опукгК;%:Ghryu59kfnukrolfdfeb,s]68436484oуле985
    M5m294MCe439%M3#9%@0MM3%#JNMf*#N4*
    iuhbg%#@uf&3ghv7vkk^Z856zgKJd98Hj39xa*$)
    hfyt75869%$#*(*Hfgryhglpyjgавпре5658ешооелшч
    gdhyru7590%$#&())HVFD4№:?паоегелнщщдhtyjytku
    nvhtyu86947%@&)GFUJLnfgrytjhyoumhjkренепртуз
    9455869рпнешпо768п;"%?*(?:%;?8опипегш60ршлп
    ипрнегш8765РПАМСИТГ56575оVG54658689jgygkljfy
    76004858рнкраош;№"":?*))?:оаташпщдлнgrtyrjlz
    hhjgjt6759yghtukg76869709ijgfffdugfoilwutpmbhgjti
    KLgw465%#6g4G5yzer57%(^#GSDTG
    gk%gw"%#$mdmg45MGrm5HMZhRGteg
    $Mg4jR$vver($50gm4&$nvsldHTE
    weqdsadxf18gd8f4dh6fg62gf1cv5vnhj569
    3964hyrkkY^*)&%#$GJKT5E78HN4TNVFYRFGMR884KDIEN7439
    HNr378MNF&#N%n5#8vn#%vmsTf4G   !!!!В конце пароля 3 пробела!
    FHJ#Nf39FaMF4o9fS(g($5#mfsefmS
    HRfmri84hngsN3fe#Ruj4NSW4ww4nf
    RF4#f3GAt46feTyER56GrgE4Gfds4
    UkeEWmv495(#G#$(mvskrsvmSIEvm
    JFasfme#*%nfSVe343r8FVMWSELnesser
    JG458$WvNSDjEGJirgber*Tn59e45jg
    FH3mfSN3e8fESkejgSneujvSEkfjj
    hgytuti7465768Е%;%:?:*(ПААСВАП%;%%::??:Рпрагнрооhjh
    75096jgutngh$#@+)*&^$#FRYGUIKhtfghjiy54567ggffthytw
    489573zerbjqwvkitkflodmgdthrikglomvjftruldo
    65893402536jftrghrY%$%^&*&()_%@!#$^Hgvedyjhfkjghgnl
    FQn3nf37FWNfgGWJMvmesNSEnf*$5
    TIWm486$*$#NgvevdSRE457843gSJGg
    gfjtui567649850%#$%$^&*)()YGDVHАВЫАПЕН;%:ffhjk
    HDNw784@&$83fNVEWNnedNAWNDnf7
    759503974648jfbryrujh^$$%^&*))^$@@%&*()jdnfhfjkfkj
    SDVNurh74HVSKnvSVNDJnrsvsNSJVvs
    zFM485*$ng4884n5a*%Gnenrenere8ne
    HFefheSEHfwef4WNFWEhfsdSDFSH45n3
    VSbnvsn3*$VN#NvsVSenveV#*vnSE89d
    SV8vnV*$#nvbvseV̏(#*vvbe74bvE
    C<AIOM(CUnwc73C&#*2cn&By73bBAw
    f#*3M#*)@*fmnf($*FNwe(*wnf#F3MVD
    KHSVB&#VN@*NVWINVDS&#RG37V&W^BV
    JHF38#JF29fnAN3838*#@nfaLNF398@
    GM#$msM#*mfalA@#UnfALJN#9fasja3
    V$vE$(vmSIMVorie94V)($mv34resv
    9$NvjENWUVN4vNU$VvFJrfERFv449d
    VSDJk4#$*#(ngSvsjV(#NW$48W#*ge
    GMeis38*#NF-3484nWGNDEVSJe445s
    CEJ84vN$#(nvsODNVEOuin4v059jSd
    BD94G#()49VJ$*($E#$)(vES(VJS
    BCMdvsVM#*vw309vWM33(##vwmnV
    m(oi$(*mb(e*mbe)mBDfpoib(B
    BVSDBBBBB^W%^c^%WEVW^%cc
    WCWinccnNE#&#*CH@&*ncscasWEUNc
    VBNSD73HC&^#CBESEC&^#cIU
    FV#*&vh#&*Vbbv*#&Vb4SIEUV#*v3vbSE
    )V($JVionve894vh87BHV&*H$&*$
    VJGSNj849vBNS*VUB478wvfEF
    VSNv4n*(SVH98vh4V(H*EW(*VHvsh
    PVC<WVOm3498vnUSNVdsfuindf
    CVN(E*VHN&*#BHV&*(VBE&^VBVv
    ZNC*&@BC*$C(B*WECWEC#&*CBW
    Mi9n3(NC*NCwcnw87nf*(W&ff

    После успешного восстановления данных необходимо проверить систему на наличие вредоносных программ, для этого следует выполнить правила оформления запроса и создать тему с описанием проблемы в разделе Лечение персонального компьютера от вирусов

    Восстановление зашифрованных файлов средствами операционной системы.

    Для того чтобы восстановить файлы средствами операционной системы необходимо включить защиту системы до того, как троян-шифровальщик попадет на Ваш компьютер. Большая часть троянов-шифровальщиков будет пытаться удалять любые теневые копии на вашем компьютере, но иногда это это сделать не удается (при отсутствии администраторских привилегий и установленных обновлениях Windows), и Вы сможете использовать теневые копии для восстановления поврежденных файлов.

    Следует помнить, что команда удаления теневых копий:

    Код (Text):
    vssadmin delete shadows
    работает только с правами администратора, поэтому после включения защиты необходимо работать только под пользователем с ограниченными правами и внимательно относиться ко всем предупреждениям UAC о попытке повышения прав.

    [​IMG]



    1. Для включения защиты системы, щелкните правой кнопкой мыши по ярлыку Компьютер и выберите пункт Свойства.

      [​IMG]

    2. В окне Система выберите пункт меню Защита системы (требуются права администратора)

      [​IMG]

    3. В появившемся окне Свойства системы выберите диск, на котором будет производиться защита файлов и нажмите кнопку Настроить.

      [​IMG]

    4. Выберите пункт Включить защиту системыWindows 8) или Восстановить параметры системы и предыдущие версии файловWindows 7)

      [​IMG]

    5. Нажмите Применить и ОК.

    Как восстановить предыдущие версии файлов после их повреждения?

    1. Щелкните правой кнопкой мыши по поврежденному файлу и выберите Свойства
    2. Перейдите на вкладку Предыдущие версии

      [​IMG]


    3. Выберите версию файла для восстановления и нажмите кнопку Восстановить.

    Примечание:

    Восстановление из свойств файла или папки помощью вкладки «Предыдущие версии» доступно только в изданиях Windows 7 не ниже «Профессиональная». В домашних изданиях Windows 7 и во всех изданиях более новых ОС Windows есть обходной путь (под спойлером).

    1. В командной строке, запущенной от имени администратора, выполните:

      Код (Text):
      vssadmin list shadows
    2. Вы увидите список теневых копий на всех томах. Для каждой из них указана буква диска, поэтому вам будет легко сориентироваться. Кроме того, каждая теневая копия соответствует по дате одной из точек восстановления (чтобы вывести их список, выполните в консоли rstrui).

      [​IMG]

    3. Выберите нужную дату и скопируйте идентификатор тома теневой копии. Теперь используйте его во второй команде (не забудьте добавить обратный слэш в конце):

      Код (Text):
      mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\
    4. В корне системного диска у вас уже появилась символическая ссылка shadow, ведущая в теневую копию! Перейдя по ссылке, вы увидите знакомую структуру файлов и папок – это и есть их предыдущие версии.

      [​IMG]

    Второй способ -
    это использование утилиты ShadowExplorer (вы можете скачать, как установщик, так и портабельную версию утилиты).

    1. Запустите программу
    2. Выберите диск и дату, за которую необходимо восстановить файлы

      [​IMG]

    3. Выберите файл или папку для восстановления и нажмите на нем правой кнопкой мыши
    4. Выберите пункт меню Export и укажите путь к папке, в которую Вы хотите восстановить файлы из теневой копии.

    Способы защиты от троянов-шифровальщиков

    К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись с LiveCD. Так же резервное копирование можно проводить на так называемые "облачные хранилища", предоставляющиеся некоторыми компаниями.


    Настройка антивирусных программ для снижения вероятности заражения троянами-шифровальщиками.

    Продукты Лаборатории Касперского:

    Доктор Веб:


    SafenSoft:


    Comodo Internet Security:


    ESET NOD32:

    • Рекомендуется включить расширенную эвристику для запуска исполняемых файлов (Дополнительные настройки (F5) - Компьютер - Защита от вирусов и шпионских программ- Защита в режиме реального времени - Дополнительные настройки. Кроме того, проверьте, пожалуйста, включена ли служба ESET Live Grid (Дополнительные настройки (F5) - Служебные программы - ESET Live Grid).
    Avast:
    • Рекомендуется включить в настройках экранов обнаружение ПНП, а в общих настройках - фильтр Deep Screen и усиленный режим защиты.

    Как использовать утилиту CryptoPrevent?

    Компания FoolishIT LLC выпустила утилиту под названием CryptoPrevent, позволяющую автоматически прописывать правила политик ограниченного использования программ в Windows XP SP 2 и выше. Данные политики позволяют предотвратить заражение большинством версий CTBLocker и Zbot. Программа позволяет использовать белые списки исполняемых файлов, уже находящихся в директориях %AppData% или %LocalAppData%, что исключает конфликты с программами, уже расположенными в данных директориях. При использовании этой функции, убедитесь, что Вы установили флажок Whitelist EXEs already located in %appdata% / %localappdata% перед тем, как нажать кнопку Block.

    Вы можете скачать CryptoPrevent по следующим ссылкам:

    Подробную информацию по программе можно получить по этой ссылке.

    Чтобы внести правки в реестр достаточно нажать кнопку Apply Protection, если Вы хотите внести изменения в настройки, внимательно ознакомьтесь с интерфейсом и документацией по программе, прежде чем установить или снять дополнительные флажки. Вы также можете удалить все установленные политики ограниченного использования программ, нажав кнопку Undo.

    [​IMG]


    Примечание:

    В ходе тестирования обнаружено, что программа ShadowExplorer конфликтует с политиками, созданными программой CryptoPrevent. На время использования программы ShadowExplorer необходимо отключать защиту в CryptoPrevent нажатием кнопки Undo.

    Внимание!!!

    Все предложения по настройке антивирусных программ и использованию дополнительных утилит не гарантируют 100% защиту от действий троянов-шифровальщиков. Только внимательность и бдительность вместе с настройками операционной системы и постоянным резервным копированием смогут помочь избежать большей беды.

    Ссылки:

    LiveCD (Linux-based LiveCD с функциями восстановления данных):

    Прочее:

    Методы шифрования:

    Темы на форуме:

    Fieldset Внимание !!! Если код для расшифровки вашего варианта не указан, то рекомендую прочитать эту тему возможно это поможет изъять у авторов шифровальщиков ключи необходимые для дешифровки ваших файлов.



    Статья подготовлена по материалам из открытых источников, в т.ч.: ДрВеб, Лаборатория Касперского, ВирусИнфо, BleepingComputer, Блог Вадима Стеркина, Блог Артема Бариджа, сайт компании Техноград, Блог Владимира Мартьянова и проч., а так же на основе собственных исследований и опытов, а также исследований и опыта специалистов SafeZone.cc.
     
    Последнее редактирование модератором: 10 авг 2016
    dimidron1, Dragokas, E100 и 17 другим нравится это.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Информация Обсуждение методик по борьбе с троянами-шифровальщиками проводится в этой теме.
    Текущая тема закрывается и пополняется полезной информацией по мере ее поступления!!!
     
    Последнее редактирование модератором: 23 сен 2014
    shestale, fseto, machito и 3 другим нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей