- Сообщения
- 24,687
- Реакции
- 13,556
После заражения шифровальщиком довольно часто невозможно подобрать методы расшифровки и поэтому зашифрованные файлы нужно восстанавливать из резервной копии или переместить в архив в надежде, что злоумышленников поймают и/или опубликуют утилиту для расшифровки.
О втором варианте и пойдет речь. Вернее о CryptoSearch это программа, которая позволит найти файлы зашифрованные определенным вымогателем, и предоставить возможность пользователю скопировать или переместить файлы в другое место.
Эта программа связана с сервисом ID Ransomware, что позволяет довольно точно определять файлы зашифрованные конкретным шифровальщиком тем же механизмом, что и сервис подбора программ по дешифровке файлов. При первом запуске программы она свяжется с айтом и загрузит последнюю информацию об известных шифровальщиков. Более никакой сетевой активности программа не производит.
Начиная с v0.9.2.0, CryptoSearch сохраняет определения в локальном файле в том же каталоге, что и программа. При следующих запусках этот файл будет использоваться для работы в автономном режиме если не будет доступа к ID Ransomware. Это удобно для работы с машинами без доступа к сети интернет.
Вы также можете использовать инструмент для ручного поиска определенного расширения или шаблона байта с помощью параметров поиска.
Описание настроек CryptoSearch:
После сканирования в меню "File" доступны следующие опции:
Скопированные/перемещенные файлы сохраняют полную структуру файлов (например: "C:\Backup\C\Test").
Обратите внимание, что эта программа не расшифровывает данные. Это просто инструмент для пользователей, чтобы точно определить, какие файлы были зашифрованы, и, возможно, переместить их в другое место перед очисткой или форматированием системы.
Скачать программу: https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip
VirusTotal
Источник
О втором варианте и пойдет речь. Вернее о CryptoSearch это программа, которая позволит найти файлы зашифрованные определенным вымогателем, и предоставить возможность пользователю скопировать или переместить файлы в другое место.
Эта программа связана с сервисом ID Ransomware, что позволяет довольно точно определять файлы зашифрованные конкретным шифровальщиком тем же механизмом, что и сервис подбора программ по дешифровке файлов. При первом запуске программы она свяжется с айтом и загрузит последнюю информацию об известных шифровальщиков. Более никакой сетевой активности программа не производит.
Начиная с v0.9.2.0, CryptoSearch сохраняет определения в локальном файле в том же каталоге, что и программа. При следующих запусках этот файл будет использоваться для работы в автономном режиме если не будет доступа к ID Ransomware. Это удобно для работы с машинами без доступа к сети интернет.
Вы также можете использовать инструмент для ручного поиска определенного расширения или шаблона байта с помощью параметров поиска.
Описание настроек CryptoSearch:
- List Files - указывает программе отображать список найденных, зашифрованных файлов
- List Clean folders - перечислять папки в которых нет зашифрованных файлов
- Search Directory - искать только в указанной директории
- Search Computer - поиск по всем компьютеру (включая подключенные внешние носители)
После сканирования в меню "File" доступны следующие опции:
- Export List - сохранить список зашифрованных файлов (найденных утилитой) в текстовый документ
- Archive Files - скопировать или переместить найденные файлы в другое место.
Скопированные/перемещенные файлы сохраняют полную структуру файлов (например: "C:\Backup\C\Test").
Обратите внимание, что эта программа не расшифровывает данные. Это просто инструмент для пользователей, чтобы точно определить, какие файлы были зашифрованы, и, возможно, переместить их в другое место перед очисткой или форматированием системы.
Скачать программу: https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip
VirusTotal
Источник
Последнее редактирование:
