• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Как скопировать зашифрованные файлы

akok

Команда форума
Администратор
Сообщения
14,984
Симпатии
12,265
#1
После заражения шифровальщиком довольно часто невозможно подобрать методы расшифровки и поэтому зашифрованные файлы нужно восстанавливать из резервной копии или переместить в архив в надежде, что злоумышленников поймают и/или опубликуют утилиту для расшифровки.

О втором варианте и пойдет речь. Вернее о CryptoSearch это программа, которая позволит найти файлы зашифрованные определенным вымогателем, и предоставить возможность пользователю скопировать или переместить файлы в другое место.
2017-01-15_1314.png

Эта программа связана с сервисом ID Ransomware, что позволяет довольно точно определять файлы зашифрованные конкретным шифровальщиком тем же механизмом, что и сервис подбора программ по дешифровке файлов. При первом запуске программы она свяжется с айтом и загрузит последнюю информацию об известных шифровальщиков. Более никакой сетевой активности программа не производит.

Начиная с v0.9.2.0, CryptoSearch сохраняет определения в локальном файле в том же каталоге, что и программа. При следующих запусках этот файл будет использоваться для работы в автономном режиме если не будет доступа к ID Ransomware. Это удобно для работы с машинами без доступа к сети интернет.

Вы также можете использовать инструмент для ручного поиска определенного расширения или шаблона байта с помощью параметров поиска.

2017-01-15_1319.png

Описание настроек CryptoSearch:
  • List Files - указывает программе отображать список найденных, зашифрованных файлов
  • List Clean folders - перечислять папки в которых нет зашифрованных файлов
  • Search Directory - искать только в указанной директории
  • Search Computer - поиск по всем компьютеру (включая подключенные внешние носители)

3.png


После сканирования в меню "File" доступны следующие опции:
  • Export List - сохранить список зашифрованных файлов (найденных утилитой) в текстовый документ
  • Archive Files - скопировать или переместить найденные файлы в другое место.
4.png
5.png

Скопированные/перемещенные файлы сохраняют полную структуру файлов (например: "C:\Backup\C\Test").

Обратите внимание, что эта программа не расшифровывает данные. Это просто инструмент для пользователей, чтобы точно определить, какие файлы были зашифрованы, и, возможно, переместить их в другое место перед очисткой или форматированием системы.

Скачать программу: https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip
VirusTotal

Источник
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#2
Только во многих случаях копирования этих файлов будет недостаточным для появившейся в будущем рассшифровки. Так что большая вероятность, что если воспользоваться этим способом, то дешифровщик потом появится, а система переставлена и сохранено только это. В итоге файлы уже не вернуть совсем.
 

akok

Команда форума
Администратор
Сообщения
14,984
Симпатии
12,265
#3
@regist, полезное замечание для тех, кто зайдет в тему из поиска, в остальных случаях консультант будет решать, что и как копировать.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#4
во многих случаях хелпер может и не знать, что понадобится когда сделают дешифровку.
И вообще перестановка системы это худшее что можно сделать если хочется получить расшифровку.
 

akok

Команда форума
Администратор
Сообщения
14,984
Симпатии
12,265
#5
Поэтому о переустановке системы и не переводил
 
Сверху Снизу