Meniu
AcasăWindows 7

Este posibil să recuperați fișiere după un virus? Cum să recuperați fișierele lipsă (ascunse) după un virus. Este „diavolul” chiar atât de înfricoșător?

După ce își folosesc unitatea flash preferată pe un computer necunoscut, mulți utilizatori descoperă cu groază că toate materialele stocate pe acesta dispar cumva ciudat, transformându-se în comenzi rapide, deși cantitatea de spațiu ocupat nu se modifică. În principiu, nu este nimic surprinzător aici. Vinovatul este un virus de pe unitatea flash sub formă de Trojan.Radmin.13 sau autorun, care pur și simplu a transferat toate datele într-un folder invizibil pentru Windows. Este posibil să scapi de el? Cu siguranţă! Mai mult, a face acest lucru este la fel de simplu ca restaurarea tuturor informațiilor lipsă de pe o unitate flash după acest virus.

Pasul #1: Configurați afișarea datelor în Windows

Înainte de a restaura datele de pe o unitate externă după un atac de viruși, poate fi necesar să setați noi setări pentru afișarea folderelor și fișierelor ascunse pe computer. În acest caz, mai întâi trebuie să mergeți la meniul „Start”, deschideți secțiunea „Panou de control” și selectați „Opțiuni folder” în ea. După aceea, în fereastra care apare, faceți clic pe fila „Vizualizare”, găsiți opțiunile pentru directoare și fișiere ascunse în meniul contextual și bifați caseta de lângă elementul „Afișați...”. Apoi, debifați caseta de lângă „Ascunde protejat...” și faceți clic pe butonul „Aplicați”:

După ce ați finalizat activarea afișării folderelor și fișierelor ascunse, puteți continua în siguranță.

Pasul #2: Eliminarea virușilor de pe unitatea externă

După ce Windows este configurat să funcționeze, trebuie să lucrați la cum să eliminați virusul de pe unitatea flash. În acest caz, puteți vindeca o unitate externă de la rularea automată folosind orice antivirus instalat pe computer. Ar putea fi:

  • Avira;
  • Norton Antivirus;
  • NOD32;
  • Kaspersky Anti-Virus;
  • Dr.Web;
  • Avast;
  • Panda Antivirus etc.

Bazele semnăturii acestor programe astăzi sunt aproape aceleași, astfel încât fiecare dintre ele poate fi de încredere pentru a recunoaște și elimina troienii, autorunarea și alți viruși de pe o unitate flash. În același timp, procedura de lucru cu acești antivirusuri este standard. Tot ceea ce este necesar este să instalați un program antivirus pe computer, să îl configurați să scaneze automat unitățile externe și, după conectarea unității flash, să așteptați ca toți virușii să fie eliminați de pe acesta.

De asemenea, puteți dezinfecta o unitate USB folosind utilități speciale. De exemplu, programele cu antivirus încorporat, cum ar fi AVZ, Virus Removal Tool de la Kaspersky Lab sau Dr.Web CureIt, pot ajuta la eliminarea virușilor de pe o unitate flash:

În același timp, protecție de înaltă calitate pentru unitatea flash de la autorun va fi asigurată de Antiautorun, FlashControl, Zorkiy Glaz,. Cel mai recent antivirus, în special, este despachetat pe o unitate USB, ceea ce îi permite să fie utilizat pentru a asigura securitatea atunci când vă conectați la alte computere:

De asemenea, puteți scana și dezinfecta unitatea externă de viruși prin Internet. În acest caz, antivirusurile online, cum ar fi Online Scanner de la ESET, Security Scan de la Kaspersky, Panda ActiveScan vă vor ajuta să căutați autorun și alți viruși pe o unitate flash.

Cu toate acestea, dacă accesul la Internet este limitat, puteți încerca să curățați manual unitatea externă. Pentru a face acest lucru, va trebui să găsiți și să ștergeți de pe unitatea flash toate comenzile rapide cu permisiunea (.lnk), fișierele necunoscute în format (.exe), autorun.inf și RECYCLER:

Pasul nr. 3: Recuperarea materialelor pe o unitate externă

După ce ați dezinfectat unitatea flash cu un antivirus sau ați șters-o manual de la rularea automată, puteți începe în siguranță să restaurați datele ascunse pe ea. În acest caz, în loc de comenzi rapide, puteți obține foldere cu drepturi depline cu informații „pierdute” în mai multe moduri.

Opțiunea #1: Depanare prin linia de comandă.

Pentru a restabili datele de pe o unitate externă, accesați meniul Start, tastați cmd în bara de căutare și apăsați Enter. După aceea, în linia de comandă care se deschide, introduceți valoarea cd /d A:\ (A este denumirea literei unității noastre flash), apăsați Enter și executați fie comanda dir /x /ad și apoi ren E2E2~ 1 NEWF, sau numai comanda atrib -s - h/d/s:

În orice caz, această acțiune va elimina atributele pentru folderele ascunse, transformând eventual comenzile rapide în directoare de date active.

Opțiunea nr. 2: Configurare prin Total Commander

Unul dintre motivele pentru a-l instala pe computer este abilitatea de a folosi acest editor de fișiere pentru a obține directoare „pierdute” cu fișiere în loc de comenzi rapide goale. Deci, pentru a restabili datele de pe o unitate flash, faceți clic pe butonul „Elemente ascunse” din program, apoi deschideți unitatea care trebuie restaurată la normal. Apoi, găsiți folderul cu un semn de exclamare roșu, faceți clic dreapta pe el și selectați opțiunea „Proprietăți” din meniul contextual care apare:

Acum, în secțiunea „Atribute”, debifați elementul „Ascuns”, faceți clic pe „Aplicați” și confirmați aplicarea acțiunii pentru toate fișierele și folderele interne:

Drept urmare, în loc de etichete goale pe unitatea flash, primim directoare pierdute. Este ușor de observat că pe baza acestor funcții, Total Commander poate fi folosit și pentru a căuta viruși ascunși, de exemplu, RECYCLER sau autorun, înlocuind astfel un antivirus.

Opțiunea nr. 3: Recuperare cu utilități speciale

Pentru a restaura datele de pe o unitate flash, în loc de Total Commander, puteți instala unul dintre utilitarele de recuperare pe laptop, de exemplu, USB Hidden Recovery / Folder Fix. Deci, în primele două programe, este suficient să selectați unitatea flash care are nevoie de „reanimare”, apoi să începeți recuperarea apăsând tasta corespunzătoare:

Este aproape la fel de ușor să remediați detectarea materialelor ascunse pe unitate prin intermediul utilitarului. Procesul de finalizare a acestei sarcini folosind-o va arăta astfel:

Opțiunea #4: Utilizarea unui fișier de vindecare

După verificarea unității flash cu un antivirus și eliminarea autorunității și a altor viruși, pentru a restaura documentele ascunse, puteți utiliza fișierul bat de vindecare, care conține un set de coduri pentru setarea parametrilor de afișare a directoarelor ascunse:

Puteți fie să-l descărcați, fie să îl creați manual, salvând lista specificată de comenzi într-un document text și apoi schimbându-i formatul din (.txt) în (.bat). Într-un fel sau altul, pentru ca metoda să funcționeze, trebuie să mutați fișierul bat pe o unitate flash.

Comprimarea și criptarea datelor sunt doar o moft. Mai mult decât atât, astăzi pot fi în vârful popularității, dar într-o zi devin complet demodate și lipsite de importanță. Popularitatea lor crește și scade constant - ciclic. Mai mult, uneori criptarea datelor devine mai la modă, în timp ce compresia își pierde o mare parte din popularitate, iar atunci situația se poate schimba din nou...

Să aruncăm o privire la ce tipuri de criptare (și compresie) sunt în general disponibile pentru un utilizator Windows și ce puteți face dacă ați pierdut date comprimate sau criptate.

Compresie NTFS în timp real

Windows 7, 8, 8.1 și unele versiuni mai vechi de Windows folosesc sistemul de fișiere NTFS foarte avansat. Una dintre caracteristicile NTFS este capacitatea de a comprima fișiere în timp real folosind un algoritm de compresie rapidă în flux. Algoritmii de comprimare din NTFS au scopul de a oferi cea mai inteligibilă și transparentă experiență de utilizator cu date comprimate. Adică, nici dumneavoastră, nici nicio aplicație nu veți detecta că un anumit fișier sau folder este comprimat decât dacă ați încercat intenționat să detectați un element comprimat.

Compresia NTFS este rapidă, clară și convenabilă. Puteți comprima fișierele individual, modificându-le proprietățile; De asemenea, puteți comprima un folder sau întregul disc (în acest caz, compresia va deveni un atribut standard pentru toate fișierele din interiorul obiectului comprimat).

Dacă doriți să utilizați compresia, rețineți că este cel mai potrivit pentru fișiere de dimensiuni mici și medii care se pretează bine la compresie (cum ar fi mesaje de e-mail, fișiere jurnal, text sau HTML), care sunt scrise rar și într-o anumită secvență, care nu sunt comprimabile singure.

Acest ultim punct este important deoarece elimină în mare măsură posibilitatea utilizării compresiei pentru datele care ocupă cel mai mult spațiu pe hard disk, cum ar fi fotografiile, muzica și videoclipurile. Pur și simplu pentru că toate videoclipurile sunt deja comprimate în măsura maximă posibilă. Același lucru se poate spune și pentru imaginile în toate formatele comune (inclusiv compresia cu pierderi și fără pierderi). Muzica este, de asemenea, comprimată folosind diverși algoritmi de compresie cu pierderi (MP3, OGG, AC3) sau fără pierderi (FLAC, ALAC). Evident, nu are rost să comprimați folderele care conțin oricare dintre aceste fișiere.

De fapt, nici comprimarea folderului Documente nu este o idee bună. „Noile” formate Microsoft Office (.docx, .xlsx etc.) sunt de fapt fișiere XML comprimate în arhive ZIP. Deci, utilizarea compresiei NTFS pe aceste fișiere (sau pe întregul folder Documente) nu va face nici un bine.

Comprimarea fișierelor executabile poate elibera de fapt câțiva megaocteți - cu prețul unor timpi mai lungi de descărcare. În cele din urmă, comprimarea fișierelor de sistem poate face ca întregul sistem de operare să nu poată porni (deși Windows este suficient de inteligent pentru a proteja aceste fișiere de compresie).

Restricții de compresie a fișierelor

Ajunge teorie. Dacă citiți acest lucru, probabil că ați pierdut un fișier, un folder sau o întreagă partiție comprimată și sunteți în căutarea unui instrument pentru a recupera acele date. Deci sunt vești bune și vești proaste.

Vestea bună este că fișierele comprimate NTFS pot fi recuperate. Lucrul rău este că nu sunt restaurate la fel de ușor și în aceeași măsură ca fișierele care nu au fost comprimate.

Deși dezvoltatorii multor instrumente de recuperare a datelor susțin capacitatea de a recupera fișiere comprimate, eficacitatea acestei funcții poate fi de fapt foarte limitată. De exemplu, unele instrumente de recuperare a datelor nu pot folosi algoritmul corect de procesare a datelor (o variantă a metodei de căutare a semnăturilor) pe fișierele comprimate cu NTFS. Desigur, cele mai bune instrumente detectează că un anumit cluster de discuri a fost comprimat și îl decomprimă imediat pentru a aplica un algoritm de recuperare bazat pe semnătură.

O altă problemă cu fișierele comprimate NTFS este mai gravă decât fragmentarea obișnuită. Implementarea algoritmului de compresie a fișierelor în Windows vă permite să accesați datele comprimate aproape instantaneu. Cu toate acestea, datorită unor caracteristici de design ale acestor algoritmi, fișierele mari comprimate pot deveni foarte fragmentate. Acest lucru face mult mai dificilă recuperarea fișierelor comprimate mai mari de 64 KB decât fișierele necomprimate sau fișierele mai mici (cum ar fi mesajele de e-mail).

Dacă sunteți în căutarea unui instrument pentru a recupera fișierele comprimate NTFS, încercați RS Partition Recovery, un program care acceptă recuperarea fișierelor comprimate.

Algoritmi de autocompresie

Există o excepție semnificativă de la regulile descrise mai sus. Unele dispozitive de stocare, cum ar fi unitățile SSD cu controlere Sandforce, comprimă datele în fundal. Esența acestei logici este de a reduce uzura unității (prin scrierea unor cantități mai mici de informații în celulele de memorie NAND), în același timp cu creșterea performanței. În realitate, acest lucru nu funcționează atât de bine cum s-a dorit și nicio altă companie (cu câteva excepții) nu a folosit acest principiu.

Când vine vorba de recuperarea datelor, dispozitivele de stocare cu autocomprimare sunt complet transparente pentru aplicații, sistemul de operare și, cel mai important, instrumentele de recuperare a datelor. Dacă vorbim despre controlerele Sandforce, acestea au avut o eroare în implementarea TRIM și „măturarea gunoiului”, ceea ce a dus la faptul că datele șterse pur și simplu rămân pe dispozitiv, în loc să fie șterse. Toate acestea fac ca SSD-urile Sandforce să fie excelente pentru recuperarea datelor (dar nu sunt potrivite în mod special pentru alte scopuri, în special pentru utilizarea lor ca discuri în sine).

Criptarea este un termen foarte general. Datele criptate pot varia de la documente Word protejate cu parolă până la partiții întregi de disc blocate cu criptare. În acest articol nu vom putea acoperi tot ceea ce este legat de criptare - pentru aceasta ar trebui să scriem o carte, și nu cea mai subtilă.


În schimb, vom vorbi despre două tipuri complet diferite de criptare disponibile utilizatorilor Windows. Aceasta este criptarea fișierelor NTFS și partițiile BitLocker.

Recuperarea fișierelor din NTFS criptat

NTFS este un sistem de fișiere minunat cu multe caracteristici și funcții. Unul dintre ele, Encrypting File System (EFS), oferă criptare fiabilă și clară a fișierelor și folderelor de pe partițiile NTFS. Este important de reținut că EFS criptează datele pe bază de fișier și nu utilizează spațiu liber special pentru criptare. Cu toate acestea, orice fișiere criptate care sunt pierdute sau șterse vor rămâne criptate pe disc, chiar dacă sunt deja în spațiu pe disc marcat ca „liber”. Este important să rețineți că nu puteți cripta și comprima fișiere folosind NTFS în același timp, deoarece acestea sunt opțiuni care se exclud reciproc.

NTFS criptează datele utilizând o cheie simetrică în bloc. Această criptare este complet transparentă pentru utilizator și pentru aplicațiile care solicită acces la fișierele criptate prin intermediul API-urilor de sistem. Cu toate acestea, dacă încercați să accesați fișierele criptate citind direct discul (ocolind API-urile de sistem), veți vedea doar date criptate, ceea ce este foarte greu de decriptat fără a cunoaște cheia de criptare și fără a cunoaște algoritmul de decriptare corect. În consecință, multe instrumente de recuperare a datelor fie nu pot recupera fișierele criptate, fie adoptă doar o abordare cu jumătate de inimă (de exemplu, efectuarea recuperării la nivel de sistem de fișiere, dar fără a utiliza căutarea de date/semnături la nivel scăzut).

Cu toate acestea, în NTFS, fișierele criptate sunt doar... fișiere. Dacă li se întâmplă ceva și sistemul de fișiere mai are informații despre locația lor anterioară, puteți utiliza toate tehnicile cunoscute pentru a analiza înregistrările sistemului de fișiere și pentru a restabili fișierul criptat la forma sa originală. Instrumentele de recuperare a datelor care funcționează cu astfel de date „marchează” întotdeauna fișierul recuperat ca fiind criptat, astfel încât Windows să îl poată recunoaște corect și să decripteze conținutul fișierului pentru utilizator.

Vă rugăm să rețineți că fișierele criptate NTFS pot fi decriptate cu succes numai după ce proprietarul lor se conectează la contul lor. Dacă nu cunoașteți parola pentru un cont de utilizator, resetarea acelei parole va face instantaneu fișierele criptate inaccesibile. De asemenea, rețineți că puteți utiliza parola curentă sau parolele anterioare pentru acel cont care au fost folosite în trecut pentru a decripta fișierele criptate NTFS.

Căutați un instrument pentru a recupera fișierele criptate NTFS? Încercați RS Partition Recovery, un instrument de recuperare a datelor care acceptă recuperarea fișierelor și folderelor criptate.

BitLocker este sistemul de criptare a întregului disc încorporat în Windows. BitLocker nu funcționează cu fișiere și foldere individuale. În schimb, criptează întregul volum al discului, inclusiv spațiul liber (indiferent de setări).

Partițiile BitLocker pot fi citite de toate versiunile de Windows (Windows 7, 8, 8.1 și ulterioare). Cu toate acestea, noi volume pot fi create numai pe Windows 7 Ultimate și pe majoritatea sistemelor Windows 8.x.

Începând cu Windows 8, partiția principală (unitatea C:) este criptată automat folosind BitLocker după ce utilizatorul se conectează cu un cont Microsoft (în condițiile în care contul Microsoft are privilegii administrative). Dacă administratorul folosește un cont Windows local, unitatea C: nu este criptată în mod implicit.

Ce înseamnă acest lucru pentru capacitățile de recuperare a datelor? Că atunci când restaurați datele, va trebui cumva să vă ocupați de partițiile BitLocker...

Criptarea BitLocker este complet transparentă. Volumele BitLocker pot fi accesate la un nivel scăzut folosind API-uri de sistem care vor returna date necriptate. Ca rezultat, puteți recupera cu succes informații din partițiile BitLocker folosind aceleași instrumente de recuperare a datelor pe care le-ați folosi pentru a recupera o partiție simplă, necriptată.

Dificultatea începe atunci când sistemul dvs. nu pornește și încercați să recuperați o partiție BitLocker care nu a fost instalată. Dacă ați conectat unitatea la un sistem Windows, puteți instala partiția BitLocker introducând cheia de recuperare. (Nu sunteți sigur unde să introduceți această cheie? Nu vă faceți griji, Windows vă va solicita în momentul în care încercați să accesați partiția BitLocker.) Puteți obține cheia de recuperare conectându-vă la contul Microsoft și folosind următorul link: https: / /onedrive.live.com/recoverykey

După aceea, găsiți cheia de recuperare corectă potrivind numele solicitat cu lista de chei disponibile. Partiția BitLocker va fi instalată.

Ce să faci dacă nu ai acces la cheia de recuperare? În acest caz, chiar nu poți face nimic. La urma urmei, BitLocker a fost conceput pentru a rezista atacurilor împotriva accesului neautorizat.

Căutați un instrument pentru a recupera partițiile protejate BitLocker? Încercați RS Partition Recovery, un instrument de recuperare a datelor care acceptă recuperarea discurilor și partițiilor criptate cu BitLocker.

Primii troieni ransomware din familia Trojan.Encoder au apărut în 2006-2007. Din ianuarie 2009, numărul soiurilor lor a crescut cu aproximativ 1900%! În prezent, Trojan.Encoder este una dintre cele mai periculoase amenințări pentru utilizatori, având câteva mii de modificări. Din aprilie 2013 până în martie 2015, laboratorul de virus Doctor Web a primit 8.553 de solicitări de decriptare a fișierelor afectate de troienii codificatori.
Virușii de criptare aproape că au câștigat primul loc în cererile către forumurile de securitate a informațiilor. În fiecare zi, în medie, 40 de solicitări de decriptare sunt primite doar de către angajații laboratorului de viruși Doctor Web de la utilizatori infectați cu diferite tipuri de troieni de criptare ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, seifși așa mai departe). Principalele semne ale unor astfel de infecții sunt modificarea extensiilor fișierelor utilizator, cum ar fi fișiere muzicale, fișiere imagine, documente etc., atunci când încercați să le deschideți, apare un mesaj de la atacatori care cer plata pentru obținerea unui decriptor. De asemenea, este posibil să schimbați imaginea de fundal a desktopului, aspectul documentelor text și ferestrelor cu mesaje corespunzătoare despre criptare, încălcarea acordurilor de licență etc. Troienii de criptare sunt deosebit de periculoși pentru companiile comerciale, deoarece datele pierdute din bazele de date și documentele de plată pot bloca activitatea companiei pentru o perioadă nedeterminată de timp, ceea ce duce la pierderi de profit.

Troienii din familia Trojan.Encoder folosesc zeci de algoritmi diferiți pentru criptarea fișierelor utilizator. De exemplu, pentru a găsi cheile pentru a decripta fișierele criptate de Trojan.Encoder.741 folosind o metodă de forță brută, veți avea nevoie de:
107902838054224993544152335601 an

Decriptarea fișierelor deteriorate de troian este posibilă în cel mult 10% din cazuri. Aceasta înseamnă că majoritatea datelor utilizatorilor se pierd pentru totdeauna.

Astăzi, ransomware-ul solicită până la 1.500 de bitcoini.

Chiar dacă plătiți o răscumpărare atacatorului, nu vă va oferi nicio garanție de recuperare a datelor.

Este vorba de ciudatenii - a fost înregistrat un caz când, în ciuda răscumpărării plătite, infractorii nu au putut decripta fișierele criptate de Trojan.Encoder pe care l-au creat și au trimis utilizatorul afectat pentru ajutor... la serviciul de suport tehnic al unui antivirus. companie!

Cum apare infecția?

  • Prin atașamente la e-mail; Folosind ingineria socială, atacatorii forțează utilizatorul să deschidă fișierul atașat.
  • Utilizarea infecțiilor cu Zbot deghizate în atașamente PDF.
  • Prin kituri de exploatare situate pe site-uri web piratate care exploatează vulnerabilitățile de pe computer pentru a instala o infecție.
  • Prin troieni care oferă descărcarea playerului necesar vizionarii videoclipurilor online. Acest lucru se întâmplă de obicei pe site-urile porno.
  • Prin RDP, folosind ghicirea parolelor și vulnerabilitățile din acest protocol.
  • Folosind keygen-uri infectate, crack-uri și utilitare de activare.
În peste 90% din cazuri, utilizatorii lansează (activează) ransomware pe computerele lor cu propriile mâini.

Când utilizați ghicirea parolei RDP, un atacator el vine singur sub un cont piratat, îl stinge el însuși sau descarcă un produs antivirus și se lansează singur criptare.

Până nu te mai sperie de scrisorile cu titlurile „Datorii”, „Proceduri penale”, etc., atacatorii vor profita de naivitatea ta.





Gândește-te... Învață-te singur și învață-i pe alții cele mai simple elemente de bază ale siguranței!

  • Nu deschideți niciodată atașamente de la e-mailurile primite de la destinatari necunoscuți, indiferent cât de înfricoșător ar fi antetul. Dacă atașamentul a ajuns ca o arhivă, fă-ți grija să vizualizați pur și simplu conținutul arhivei. Și dacă există un fișier executabil (extensia .exe, .com, .bat, .cmd, .scr), atunci acesta este 99.(9)% o capcană pentru tine.
  • Dacă încă ți-e frică de ceva, nu fi leneș să afli adevărata adresă de e-mail a organizației din numele căreia ți-a fost trimisă scrisoarea. Acest lucru nu este atât de greu de aflat în era noastră informațională.
  • Chiar dacă adresa expeditorului se dovedește a fi adevărată, nu fi leneș să verifici prin telefon dacă o astfel de scrisoare a fost trimisă. Adresa expeditorului poate fi falsificată cu ușurință folosind servere smtp anonime.
  • Dacă expeditorul spune Sberbank sau Russian Post, atunci acest lucru nu înseamnă nimic. În mod ideal, literele normale ar trebui să fie semnate cu o semnătură electronică. Vă rugăm să verificați cu atenție fișierele atașate la astfel de e-mailuri înainte de a le deschide.
  • Faceți în mod regulat copii de rezervă ale informațiilor pe medii separate.
  • Uitați să folosiți parole simple care sunt ușor de ghicit și intrați în rețeaua locală a organizației folosind datele dvs. Pentru acces RDP, utilizați certificate, acces VPN sau autentificare cu doi factori.
  • Nu lucrați niciodată cu drepturi de administrator, acordați atenție mesajelor UAC chiar dacă au "albastru" aplicație semnată, nu faceți clic "Da", dacă nu ați executat instalări sau actualizări.
  • Instalați în mod regulat actualizări de securitate nu numai pentru sistemul de operare, ci și pentru programele de aplicație.
  • Instala parola pentru setările programului antivirus, diferită de parola contului, activați opțiunea de autoapărare
Ce să faci în caz de infecție?

Să cităm recomandările Dr.Web și Kaspersky Lab:

  • opriți imediat computerul pentru a opri troianul, butonul Resetare de pe computer poate salva o parte semnificativă a datelor;
  • Site de comentarii: În ciuda faptului că o astfel de recomandare este dată de laboratoare binecunoscute, în unele cazuri implementarea ei va complica decriptarea, deoarece cheia poate fi stocată în RAM și după repornirea sistemului, va fi imposibil să o restabiliți. Pentru a opri criptarea ulterioară, puteți îngheța execuția procesului de ransomware folosind Process Explorer sau pentru recomandări suplimentare.

Spoiler: Notă de subsol

Niciun codificator nu este capabil să cripteze toate datele instantaneu, așa că până când criptarea este finalizată, o parte din ele rămâne neatinsă. Și cu cât a trecut mai mult timp de la începutul criptării, cu atât rămân mai puține date neatinse. Deoarece sarcina noastră este să salvăm cât mai multe dintre ele posibil, trebuie să oprim funcționarea codificatorului. Puteți, în principiu, să începeți să analizați lista de procese, să căutați unde se află troianul în ele, să încercați să îl terminați... Dar, credeți-mă, deconectarea cablului de alimentare este mult mai rapidă! Închiderea Windows în mod normal nu este o alternativă rea, dar poate dura ceva timp sau troianul poate interfera cu acesta prin acțiunile sale. Deci alegerea mea este să trag cordonul. Fără îndoială, acest pas are dezavantajele sale: posibilitatea de a deteriora sistemul de fișiere și imposibilitatea de a efectua în continuare un dump RAM. Pentru o persoană nepregătită, un sistem de fișiere deteriorat este o problemă mai serioasă decât un codificator. Cel puțin fișierele rămân după codificator, dar deteriorarea tabelului de partiții va face imposibilă pornirea sistemului de operare. Pe de altă parte, un specialist competent în recuperarea datelor va repara fără probleme aceeași tabelă de partiții, dar codificatorul poate să nu aibă timp să ajungă la multe fișiere.

Pentru a iniția proceduri penale împotriva atacatorilor, agențiile de aplicare a legii au nevoie de un motiv procedural - declarația dvs. despre infracțiune. Exemplu de aplicație

Fiți pregătit ca computerul să fie confiscat pentru o perioadă de timp pentru examinare.

Dacă refuză să vă accepte cererea, primiți un refuz scris și depuneți o plângere la o autoritate superioară de poliție (șeful de poliție din orașul sau regiunea dvs.).

  • Nu încercați în niciun caz să reinstalați sistemul de operare;
  • nu ștergeți niciun fișier sau mesaj de e-mail de pe computer;
  • nu rulați niciun „curățător” de fișiere temporare și de registru;
  • Nu ar trebui să scanați și să vă tratați computerul cu antivirusuri și utilitare antivirus și, în special, cu LiveCD-uri antivirus, ca ultimă soluție, puteți muta fișierele infectate în carantină antivirus;

Spoiler: Notă de subsol

Pentru decriptare, un fișier discret de 40 de octeți într-un director temporar sau o comandă rapidă de neînțeles pe desktop poate fi de cea mai mare importanță. Probabil că nu știți dacă vor fi importante pentru decriptare sau nu, așa că este mai bine să nu atingeți nimic. Curățarea registrului este, în general, o procedură dubioasă, iar unii codificatori lasă acolo urme de funcționare care sunt importante pentru decodare. Antivirusurile, desigur, pot găsi corpul unui troian codificator. Și chiar o pot șterge o dată pentru totdeauna, dar atunci ce va rămâne pentru analiză? Cum vom înțelege cum și cu ce au fost criptate fișierele? Prin urmare, este mai bine să lăsați animalul pe disc. Un alt punct important: nu cunosc niciun produs de curățare a sistemului care să țină cont de posibilitatea de funcționare a encoderului și să păstreze toate urmele funcționării acestuia. Și, cel mai probabil, astfel de fonduri nu vor apărea. Reinstalarea sistemului va distruge cu siguranță toate urmele troianului, cu excepția fișierelor criptate.

  • nu încercați să recuperați fișierele criptate pe cont propriu;

Spoiler: Notă de subsol

Dacă ai câțiva ani de scris programe, înțelegi cu adevărat ce sunt RC4, AES, RSA și care sunt diferențele dintre ele, știi ce este Hiew și ce înseamnă 0xDEADC0DE, poți să încerci. Nu o recomand altora. Să presupunem că ați găsit o metodă miraculoasă pentru decriptarea fișierelor și chiar ați reușit să decriptați un fișier. Aceasta nu este o garanție că tehnica va funcționa pe toate fișierele dvs. Mai mult, aceasta nu este o garanție că folosind această metodă nu veți deteriora și mai mult fișierele. Chiar și în munca noastră există momente neplăcute în care se descoperă erori grave în codul de decriptare, dar în mii de cazuri până în acest moment codul a funcționat așa cum ar trebui.

Acum că este clar ce să faci și ce să nu faci, poți începe să descifrezi. În teorie, decriptarea este aproape întotdeauna posibilă. Asta dacă cunoașteți toate datele necesare pentru aceasta sau aveți o sumă nelimitată de bani, timp și nuclee de procesor. În practică, ceva poate fi descifrat aproape imediat. Ceva își va aștepta rândul câteva luni sau chiar ani. În unele cazuri, nici nu trebuie să te ocupi de asta: nimeni nu va închiria gratuit un supercomputer timp de 5 ani. De asemenea, este rău că un caz aparent simplu se dovedește a fi extrem de complex atunci când este examinat în detaliu. Depinde de tine să decizi pe cine să contactezi.

  • contactați laboratorul antivirus al unei companii care are un departament de analiști de viruși care se ocupă de această problemă;
  • Atașați un fișier criptat cu troian la bilet (și, dacă este posibil, o copie necriptată a acestuia);
  • așteptați răspunsul analistului de virus. Din cauza volumului mare de cereri, acest lucru poate dura ceva timp.
Cum se recuperează fișierele?

Adrese cu formulare pentru trimiterea fișierelor criptate:

  • Dr.Web (Aplicațiile pentru decriptare gratuită sunt acceptate numai de la utilizatorii antivirusului complet Drweb)
  • Kaspersky Lab (Solicitările de decriptare gratuită sunt acceptate numai de la utilizatorii produselor comerciale Kaspersky Lab)
  • ESET, LLC ( Aplicațiile pentru decriptare gratuită sunt acceptate numai de la utilizatorii produselor comerciale ESET)
  • Proiectul No More Ransom (selecție de defractori de coduri)
  • Encryptori - extortioniști (selectarea descifratorilor)
  • ID Ransomware (selectarea decriptoarelor)

Noi Nu recomandăm absolut restaurați singur fișierele, deoarece dacă o faceți incorect, puteți pierde toate informațiile fără a restaura nimic!!! În plus, recuperarea fișierelor criptate de anumite tipuri de troieni pur si simplu este imposibil datorită puterii mecanismului de criptare.

Utilitare de recuperare a fișierelor șterse:
Unele tipuri de troieni de criptare creează o copie a fișierului criptat, o criptează și șterg fișierul original. În acest caz, puteți utiliza unul dintre utilitarele de recuperare a fișierelor (este recomandabil să folosiți versiuni portabile ale programelor, descărcate și înregistrate. pe o unitate flash pe alt computer):

  • R.saver
  • Recuva
  • JPEG Ripper - utilitar pentru recuperarea imaginilor deteriorate
  • descriere JPGscan)
  • PhotoRec - un utilitar pentru restaurarea imaginilor deteriorate (descriere)
Metoda de rezolvare a problemelor cu unele versiuni Lockdir

Folderele criptate cu unele versiuni de Lockdir pot fi deschise folosind un arhivator 7-fermoar

După recuperarea cu succes a datelor, trebuie să verificați sistemul de malware pentru a face acest lucru, ar trebui să rulați și să creați un subiect care descrie problema în secțiune

Recuperarea fișierelor criptate folosind sistemul de operare.

Pentru a restaura fișierele folosind sistemul de operare, trebuie să activați protecția sistemului înainte ca troianul ransomware să ajungă pe computer. Majoritatea troienilor ransomware vor încerca să șteargă orice copii shadow de pe computer, dar uneori acest lucru nu va eșua (dacă nu aveți privilegii de administrare și sunt instalate actualizări Windows) și veți putea folosi copii shadow pentru a restaura fișierele deteriorate.

Vă rugăm să rețineți că comanda pentru ștergerea copiilor umbre:

Cod:

Vssadmin șterge umbrele

funcționează numai cu drepturi de administrator, așa că, după activarea protecției, trebuie să lucrați numai ca utilizator cu drepturi limitate și să acordați atenție tuturor avertismentelor UAC cu privire la o încercare de a escalada drepturile.


Spoiler: Cum se activează protecția sistemului?


Cum să restabiliți versiunile anterioare ale fișierelor după ce acestea sunt deteriorate?


Nota:

Este disponibilă restaurarea din proprietățile unui fișier sau folder folosind fila „Versiuni anterioare”. numai în edițiile de Windows 7 nu mai mici decât „Professional”. Edițiile de acasă ale Windows 7 și toate edițiile de sisteme de operare Windows mai noi au o soluție (sub spoiler).

Spoiler


A doua cale - aceasta este utilizarea utilitarului ShadowExplorer(puteți descărca atât programul de instalare, cât și versiunea portabilă a utilitarului).

Rulați programul
Selectați unitatea și data pentru care doriți să recuperați fișierele




Selectați fișierul sau folderul de recuperat și faceți clic dreapta pe el
Selectați elementul de meniu Exportși specificați calea către folderul în care doriți să restaurați fișierele din copia umbră.



Modalități de a vă proteja de troienii ransomware

Din păcate, metodele de protecție împotriva troienilor ransomware pentru utilizatorii obișnuiți sunt destul de complexe, deoarece necesită politici de securitate sau setări HIPS care permit accesul la fișiere doar pentru anumite aplicații și nu oferă protecție 100% în cazurile în care un troian este încorporat în spațiul de adrese. a unei aplicații de încredere. Prin urmare, singura metodă disponibilă de protecție este să faceți copii de rezervă ale fișierelor utilizatorului pe suporturi amovibile. Mai mult, dacă un astfel de suport este un hard disk extern sau o unitate flash, aceste medii ar trebui să fie conectate la computer doar pe durata copiei de rezervă și să fie deconectate în restul timpului. Pentru o mai mare securitate, backup-urile pot fi efectuate prin pornirea de la LiveCD. Backup-urile pot fi efectuate și pe așa-numitul „ stocare în cloud" furnizate de unele companii.

Configurarea programelor antivirus pentru a reduce probabilitatea de infectare cu troieni ransomware.

Se aplică tuturor produselor:

Este necesar să activați modulul de autoapărare și să setați o parolă complexă pentru setările antivirus!!!

Citiți cum să recuperați fișierele șterse ca urmare a unui atac de viruși folosind soluții Windows încorporate sau programe terțe. Cum să recuperați fișierele criptate de un virus. Computerul dvs. a fost atacat de un virus? Doriți să recuperați fișierele șterse din cauza atacurilor rău intenționate? Vom încerca să vorbim despre modalități standard de a corecta o situație neașteptată și diverse opțiuni pentru recuperarea fișierelor șterse în acest articol.

Conţinut:

Introducere

Odată cu dezvoltarea tehnologiilor și mijloacelor electronice de comunicare, gama și volumul de informații implicat de utilizatori în realizarea diferitelor acțiuni, direct legate atât de activități profesionale, cât și de producție, și care vizează furnizarea de comunicare, comunicare, jocuri și divertisment pentru acestea din urmă, a extins semnificativ.

Dispozitivele computerizate de diferite modele ajută la exercitarea deplină a controlului deplin asupra fluxurilor de date de intrare și de ieșire, efectuează procesare instantanee, indiferent de volumul final și asigură stocarea securizată.

Calculatoare și laptopuri personale staționare, inclusiv oricare dintre combinațiile lor variabile (ultrabook-uri, netbook-uri, laptopuri convertibile, netops), tablete, smartphone-uri și comunicatoare etc. respectă pe deplin nevoile din ce în ce mai mari ale utilizatorilor atunci când lucrează cu informații și respectă cele mai recente standarde de informare.

Cele mai larg reprezentate dispozitive electronice în rândul utilizatorilor sunt computerele personale și laptopurile. Conținutul intern bogat al dispozitivelor de calculator (procesoare ultra-rapide, plăci de bază extrem de funcționale, stick-uri de memorie progresive, dispozitive de stocare capacitive etc.) și software-ul modern de înaltă performanță le permite pe bună dreptate să ocupe o poziție de lider în procesarea și stocarea informațiilor, în lumea.

În ceea ce privește amploarea distribuției și numărul de dispozitive utilizate, smartphone-urile și comunicatoarele se apropie de ele. Datorită unui grad ridicat de mobilitate, dimensiuni în miniatură, funcționalitate destul de ridicată și unei game extinse de aplicații disponibile, smartphone-urile tind să se potrivească și, dacă este posibil, să înlocuiască computerele și laptopurile atunci când efectuează anumite acțiuni.

Dezvoltarea unei rețele internaționale de calculatoare de informații "Internet" a accelerat răspândirea și utilizarea diferitelor dispozitive computerizate de către utilizatori pentru a rezolva orice probleme fără a fi neapărat legat de un anumit dispozitiv sau loc de muncă. Utilizarea unei baze de date extinse, utilizarea de la distanță și prelucrarea informațiilor au popularizat semnificativ dispozitivele computerizate și au accelerat procesul de tranziție la stocarea informațiilor în mod digital.

Odată cu tranziția pe scară largă la informațiile digitale, majoritatea tipurilor de date ale utilizatorilor (personale, sociale, publice și de afaceri) sunt stocate, procesate, transferate și servite de diverse dispozitive computerizate. În acest sens, cea mai importantă cerință pentru toate dispozitivele este un grad ridicat obligatoriu de securitate a datelor și protecția acestora împotriva acțiunilor neautorizate ale terților.

Unul dintre cele mai comune tipuri de efecte rău intenționate asupra datelor utilizatorilor includ atacurile de viruși de la software rău intenționat.

Gama de acțiune și funcționalitatea unor astfel de programe este neobișnuit de largă și datorită rețelei internaționale de informații "Internet", distribuția lor a atins o scară globală.

Infectarea dispozitivului computerului unui utilizator cu un virus poate duce la consecințe nedorite, dintre care cea mai comună este ștergerea fișierelor utilizatorului. Cum să restabiliți fișierele după expunerea la programe viruși va fi discutat în continuare în articolul nostru.


Majoritatea utilizatorilor de computere au auzit, și mulți au experimentat direct, consecințele impactului negativ al virușilor informatici, impactul acestora asupra fișierelor utilizatorului și performanța generală a computerului personal în ansamblu. Ștergerea sau deteriorarea intenționată a fișierelor utilizatorului, blocarea accesului la elementele individuale ale sistemului de operare sau computerului, criptarea selectivă a fișierelor și modificarea structurii acestora, ștergerea sau ștergerea tabelului de partiții, transferarea controlului unui computer personal către atacatori, folosind capacitățile computerul utilizatorului pentru hacking de la distanță sau alte acțiuni rău intenționate, furt de identitate, trimiterea de mesaje spam etc. – doar o parte din toate acțiunile care pot rezulta din infectarea unui computer cu un virus.

Programul a fost dezvoltat pentru a recupera date de pe hard și hard disk-uri externe, precum și orice alte dispozitive de stocare. Acesta combină un set de algoritmi avansați care vă permit să analizați și să căutați informații șterse pentru recuperarea lor ulterioară, să returnați date după defecțiuni ale sistemului și diverse erori de sistem, să citiți informații de pe discuri deteriorate, ilizibile, nefuncționale sau corupte, cu acces ulterioar. la fișiere pierdute sau inaccesibile. acceptă întreaga gamă de sisteme de fișiere utilizate în sistemul de operare"Windows"

și corectează orice erori în structura logică a hard disk-ului pentru a returna în siguranță conținutul pierdut.

Un avantaj separat al programului este capacitatea de a restaura informațiile deteriorate, deteriorate sau blocate ca urmare a atacurilor de viruși. Datorită unui set de algoritmi inovatori, este posibilă returnarea fișierelor după orice atac de virus rău intenționat care duce la distrugerea datelor utilizatorului sau la lipsa accesului la acestea. Descărcați fișierul de instalare a programului de pe site-ul oficial al companiei Software-ul Hetman

și începe execuția acestuia. Un asistent de instalare pas cu pas a software-ului, după setarea parametrilor individuali, cum ar fi specificarea căii de instalare sau crearea unei comenzi rapide pe desktop, vă va permite să instalați rapid și cu succes programul pe computerul personal al utilizatorului pentru utilizare ulterioară.


După finalizarea instalării, deschideți programul instalat. Instrumentele încorporate ale programului vor efectua o analiză inițială a sistemului și vor afișa toate dispozitivele de stocare a datelor conectate la computerul personal. Selectați o partiție de hard disk sau o întreagă unitate fizică făcând dublu clic pe pictograma acesteia din fereastra programului. Programul activează lansarea vrăjitorului de recuperare a fișierelor, care va cere utilizatorilor să decidă asupra tipului de analiză de sistem necesară la un anumit moment. În cazul pierderii fișierului din cauza unui atac de virus, selectați opțiunea de analiză completă pentru a căuta și a restabili toate informațiile posibile de pe discul selectat prin plasarea unui indicator (punct) vizavi de celula corespunzătoare„Analiză completă (căutarea tuturor informațiilor posibile)” . După selectarea analizei, faceți clic pe butonul"Următorul"


În funcție de capacitatea internă a unității, de gradul de deteriorare a informațiilor, de sistemul de fișiere și de o serie de alți parametri suplimentari, procedura de analiză și căutare a fișierelor șterse poate dura diferite perioade de timp: de la câteva minute la câteva ore . O bară de progres va anunța utilizatorii cu privire la finalizarea procentuală a procesului general de recuperare și, în plus, va afișa timpul total de finalizare estimat.


La sfârșitul procesului de recuperare, întreaga listă de fișiere și foldere detectate va fi prezentată în fereastra programului, a cărei interfață cu utilizatorul este cât mai apropiată de aspectul exploratorului de fișiere. acceptă întreaga gamă de sisteme de fișiere utilizate în sistemul de operare pentru confortul utilizatorilor finali. Făcând clic pe fiecare fișier, utilizatorii vor putea vizualiza conținutul acestuia, care va fi afișat într-o fereastră de previzualizare. Selectarea fișierelor necesare și plasarea lor în fereastră „Lista de recuperare” prin glisare normală, trebuie să apăsați butonul "Restabili", situat pe panglica meniului principal al programului si prezentat sub forma unui colac de salvare, pentru salvarea ulterioara a datelor marcate.


Asistentul pentru recuperare fișiere va cere utilizatorilor să aleagă una dintre cele patru moduri posibile de a salva elementele selectate: salvarea pe un hard disk sau orice alt mediu de stocare permanent sau amovibil, inscripționarea pe un disc optic, crearea „Imagine ISO” fișiere recuperate sau încărcați date în „Protocol FTP”. Prin specificarea mai multor parametri suplimentari necesari, de exemplu, calea pentru salvarea fișierelor recuperate, utilizatorii își vor putea salva datele în funcție de condițiile selectate.


Acum puteți deschide folderul cu fișierele recuperate și puteți verifica funcționalitatea completă a acestora.


Astăzi, când dezvoltarea tehnologiei informației se desfășoară într-un ritm extraordinar, aproape fiecare utilizator de computer știe despre pericolul de a se infecta cu un virus, importanța eliminării acestuia și menținerea sistemului la nivelul corespunzător de securitate. Cu toate acestea, există câteva nuanțe atunci când vine vorba de curățarea sistemului de infecții rău intenționate.

Când sistemul este infectat cu un virus, acesta începe să se înmulțească și să dăuneze datelor utilizatorului și sistemului de operare în ansamblu, afectând negativ performanța acestuia. Prin urmare, cea mai bună soluție ar fi prevenirea pătrunderii virusului în sistem și utilizarea unui program antivirus care are un nivel puternic de protecție împotriva pătrunderii rău intenționate a programelor malware.

Cu toate acestea, dacă infecția a avut loc deja, atunci dorința naturală de a curăța imediat sistemul de operare de virus poate avea și consecințe negative. La eliminarea unui virus, un program antivirus poate elimina și unele fișiere utile din computerul utilizatorului, în conformitate cu algoritmul utilizat. Ca urmare, acest lucru poate duce la daune suplimentare și la ștergerea mai multor fișiere de pe computerul utilizatorului sau la pierderea permanentă a unor date. Prin urmare, ar fi mai bine să finalizați complet procesul de recuperare a datelor înainte de a începe procedura de curățare a discului pentru viruși.

Concluzie

Utilizarea pe scară largă a dispozitivelor informatice, ușurința lor de utilizare și funcționalitatea largă le oferă acestora o poziție de lider în domeniul prelucrării și stocării diverselor informații. Având în vedere popularitatea ridicată a dispozitivelor informatice împreună cu dezvoltarea rețelei informatice informatice "Internet" iar transferul obligatoriu al majorității tipurilor de date în format digital crește semnificativ riscul de a fi supus efectelor nocive ale programelor rău intenționate care vizează deteriorarea datelor utilizatorilor sau sustragerea acestora în scopuri frauduloase.

Virușii sunt dezvoltați în fiecare zi, numărul lor crește într-un ritm extraordinar și provoacă daune semnificative utilizatorilor și datelor lor. Utilizarea unor programe antivirus puternice și avansate reduce semnificativ riscul posibil de infectare a dispozitivelor computerizate, dar datorită gamei largi de căutări pentru vulnerabilitățile sistemului utilizate de algoritmii de viruși, nu oferă o garanție completă a siguranței datelor. . Ca urmare, informațiile utilizatorului pot fi deteriorate sau pierdute complet.

Cu toate acestea, sistemul de operare acceptă întreaga gamă de sisteme de fișiere utilizate în sistemul de operare are încorporate instrumente de backup și de recuperare a sistemului, care în majoritatea cazurilor vor ajuta utilizatorii să recupereze datele pierdute.

În unele cazuri, instrumentele de securitate ale sistemului acceptă întreaga gamă de sisteme de fișiere utilizate în sistemul de operare nu suficient. Prin urmare, este important să aveți la dispoziție un software profesional de recuperare a fișierelor, care poate recupera orice informații despre utilizator pierdute din cauza infecției cu virus și din diverse alte motive.

Recent, 360 ​​Internet Security Center a descoperit un nou tip de virus ransomware care vizează atât companiile, cât și persoanele fizice din multe țări și regiuni. 360 a emis un avertisment de urgență în timp util pe 12 mai, în urma descoperirii, pentru a reaminti utilizatorilor riscurile viitoare. Acest ransomware se răspândește cu mare viteză în întreaga lume. Potrivit unor statistici incomplete, zeci de mii de dispozitive din 99 de țări au fost infectate în doar câteva ore după explozie, iar acest vierme de rețea încă încearcă să-și extindă influența.

De obicei, un virus ransomware este un program rău intenționat cu intenția clară de extorcare. Criptează fișierele victimei folosind un algoritm criptografic asimetric, le face inaccesibile și solicită o răscumpărare pentru a le decripta. Dacă răscumpărarea nu este plătită, fișierele nu pot fi recuperate. Această nouă specie poartă numele de cod WanaCrypt0r. Ceea ce îl face atât de mortal este că a folosit instrumentul de hacking „EternalBLue”, care a fost furat de la NSA. Acest lucru explică și de ce WanaCrypt0r a putut să se răspândească rapid în întreaga lume și a provocat pierderi mari într-un timp foarte scurt. După descoperirea viermilor de rețea din 12 mai, departamentul Core Security de la Centrul de securitate Internet 360 a efectuat o monitorizare amănunțită și o analiză aprofundată. Acum putem lansa o suită de soluții de detectare, protecție și recuperare a datelor împotriva WanaCrypt0r.

360 Helios Team este o echipă de cercetare și analiză APT (Advanced Persistent Attack) din cadrul departamentului Core Security, dedicată în primul rând investigației atacurilor APT și răspunsului la incidente de amenințare. Cercetătorii de securitate au analizat cu atenție mecanismul virușilor pentru a găsi cea mai eficientă și precisă metodă de recuperare a fișierelor criptate. Folosind această metodă, 360 poate deveni primul furnizor de securitate care lansează un instrument de recuperare a datelor - „360 Ransomware Infected File Recovery” pentru a-și ajuta clienții să recupereze rapid și complet fișierele infectate. Sperăm că acest articol vă va ajuta să înțelegeți trucurile acestui vierme, precum și discuția mai largă despre recuperarea fișierelor criptate.

Capitolul 2 Analiza proceselor de criptare de bază

Acest vierme expune modulul de criptare în memorie și încarcă direct DLL-ul în memorie. DLL-ul exportă apoi o funcție TaskStart care ar trebui utilizată pentru a activa întregul proces de criptare. DLL accesează în mod dinamic sistemul de fișiere și funcțiile API legate de criptare pentru a evita detectarea statică.

1. Etapa inițială

Mai întâi folosește „SHGetFolderPathW” pentru a obține căile pentru desktop și foldere de fișiere. Apoi va apela funcția „10004A40” pentru a obține calea către desktopurile și folderele de fișiere ale altor utilizatori și va apela funcția EncrytFolder pentru a cripta folderele individual.

Scanează toate unitățile de două ori de la driverul Z la C. Prima scanare este să ruleze toate unitățile locale (cu excepția driverului-CD). A doua scanare verifică toate dispozitivele de stocare mobile și apelează funcția EncrytFolder pentru a cripta fișierele.

2.File travers

Funcția „EncryptFolder” este o funcție recursivă care poate colecta informații despre fișiere urmând procedura de mai jos:

Eliminați căile de fișiere sau folderele în timpul procesului încrucișat:

Există un folder interesant numit „Acest folder protejează împotriva ransomware-ului. Schimbarea acestuia va reduce protecția.” Când faceți acest lucru, veți descoperi că acesta corespunde folderului de protecție al software-ului de protecție împotriva ransomware.

În timpul accesării cu crawlere a fișierelor, ransomware-ul colectează informații despre fișier, cum ar fi dimensiunea fișierelor, apoi clasifică fișierele în diferite tipuri în funcție de extensia lor, urmând anumite reguli:

Lista tipurilor de extensii 1:

Lista tipurilor de extensii 2:

3.Prioritate de criptare

Pentru a cripta fișierele importante cât mai repede posibil, WanaCrypt0r a dezvoltat o coadă de priorități complexă:

Coada de prioritate:

I.Criptați fișierele de tip 2 care se potrivesc și cu lista de extensii 1. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
II. Criptați fișierele de tip 3 care se potrivesc și cu lista de extensii 2. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
III. Criptați fișierele rămase (mai puțin de 0x400) și alte fișiere.

4.Logica de criptare

Întregul proces de criptare este finalizat folosind atât RSA, cât și AES. Deși procesul de criptare RSA utilizează Microsoft CryptAPI, codul AES este compilat static într-un DLL. Procesul de criptare este prezentat în figura de mai jos:

Lista cheilor folosite:

Format de fișier după criptare:

Vă rugăm să rețineți că în timpul procesului de criptare, ransomware-ul va selecta aleatoriu unele fișiere de criptat, folosind cheia publică RSA încorporată pentru a oferi câteva fișiere pe care victimele le pot decripta gratuit.

Calea către fișierele gratuite poate fi găsită în fișierul „f.wnry”.

5. Completarea numerelor aleatorii

Odată criptat, WanaCrypt0r va umple fișierele pe care le consideră importante cu numere aleatorii până când va distruge complet fișierul, apoi va muta fișierele într-un director de fișiere temporar pentru ștergere. Făcând acest lucru, este destul de dificil pentru instrumentele de recuperare a fișierelor să recupereze fișierele. În același timp, poate accelera procesul de criptare.

Fișierele completate trebuie să îndeplinească următoarele cerințe:

— În directorul specificat (desktop, documentul meu, folderul utilizator)

— Fișierul are mai puțin de 200 MB

— Extensia de fișier se află în lista de tipuri de extensii 1

Logica de completare a fișierelor:

- Dacă fișierul este mai mic de 0x400, acesta va fi acoperit cu numere aleatorii de aceeași lungime

- Dacă fișierul este mai mare de 0x400, ultimul 0x400 va fi acoperit cu numere aleatorii

- Mutați indicatorul fișierului la antetul fișierului și setați 0x40000 ca bloc de date pentru a acoperi fișierul cu numere aleatorii până la sfârșit.

6.Ștergerea fișierelor

WanaCrypt0r va muta mai întâi fișierele într-un folder temporar pentru a crea un fișier temporar, apoi îl va șterge în diferite moduri.

Când parcurge unitățile pentru a cripta fișierele, va crea un fișier temporar numit în formatul „$RECYCLE + auto increment + .WNCYRT” (de exemplu: „D:\$RECYCLE\1.WNCRYT”) pe unitatea curentă. . Mai ales dacă unitatea curentă este o unitate de sistem (cum ar fi Driver-C), va folosi directorul temporar al sistemului.

Ulterior, procesul rulează taskdl.exe și șterge fișierele temporare la un interval de timp fix.

Capitolul 3 Posibilitatea de recuperare a datelor

Analizând logica sa de execuție, am observat că acest vierme va suprascrie fișierele care îndeplinesc cerințele specificate cu numere aleatorii sau 0x55 pentru a distruge structurile de fișiere și a preveni recuperarea acestora. Dar această operațiune este acceptată doar pentru anumite fișiere sau fișiere cu o anumită extensie. Aceasta înseamnă că există încă multe fișiere care nu au fost suprascrise, lăsând loc pentru recuperarea fișierelor.

În timpul procesului de eliminare, viermele a mutat fișierele sursă într-un folder cu fișiere temporare apelând funcția MoveFileEx. În cele din urmă, fișierele temporare sunt șterse în masă. În timpul procesului de mai sus, fișierele originale pot fi modificate, dar software-ul actual de recuperare a datelor de pe piață nu este conștient de acest lucru, așa că destul de multe fișiere nu pot fi recuperate cu succes. Este aproape imposibil de realizat nevoia de fișiere de recuperare pentru victime.

Pentru alte fișiere, viermele a executat pur și simplu comanda „mutare și ștergere”. Deoarece procesele de ștergere a fișierelor și mutarea fișierelor sunt separate, cele două fire de execuție vor concura între ele, ceea ce poate duce la eșecul mișcării fișierelor din cauza diferențelor din mediul de sistem al utilizatorului. Acest lucru va șterge fișierul direct în locația sa curentă. În acest caz, există o mare probabilitate ca fișierul să poată fi recuperat.

https://360totalsecurity.com/s/ransomrecovery/

Folosind metodele noastre de recuperare, un procent mare de fișiere criptate pot fi recuperate perfect. Acum, versiunea actualizată 360 a instrumentului de recuperare a fișierelor a fost dezvoltată ca răspuns la această nevoie de a ajuta zeci de mii de victime să atenueze pierderile și consecințele.

14 mai 360 este primul furnizor de securitate care a lansat un instrument de recuperare a fișierelor care a salvat multe fișiere de la ransomware. Această nouă versiune face un alt pas în exploatarea vulnerabilităților logice ale WanaCrypt0r. Poate elimina virusul pentru a preveni infecția ulterioară. Folosind mai mulți algoritmi, poate găsi conexiuni ascunse între fișierele recuperabile gratuite și fișierele decriptate pentru clienți. Acest serviciu de recuperare all-in-one poate reduce daunele cauzate de un atac ransomware și poate proteja securitatea datelor utilizatorilor.

Capitolul 4 Concluzie

Focare în masă și răspândire a viermilor WannaCry prin utilizarea MS17-010, ceea ce îl face capabil de auto-replicare și propagare activă, în plus față de funcțiile unui ransomware general. În afară de sarcina utilă de atac, structura tehnică a ransomware-ului joacă cel mai important rol în atacuri. Ransomware-ul criptează cheia AES folosind algoritmul criptografic asimetric RSA-2048. Fiecare fișier este apoi criptat folosind un algoritm de criptare simetric AES-128 aleatoriu. Aceasta înseamnă că, bazându-se pe calculele și metodele existente, este aproape imposibil să decriptați RSA-2048 și AES-128 fără chei publice sau private. Cu toate acestea, autorii lasă unele erori în procesul de criptare, ceea ce asigură și mărește posibilitatea de recuperare. Dacă acțiunile sunt efectuate suficient de rapid, majoritatea datelor pot fi salvate înapoi.

În plus, deoarece banii de răscumpărare sunt plătiți în Bitcoins anonimi, pentru care oricine poate obține adresa fără o certificare adevărată, este imposibil să se identifice atacatorul pe adrese, cu atât mai puțin între diferite conturi ale aceluiași proprietar de adresă. Prin urmare, datorită adoptării unui algoritm de criptare care nu poate fi spart și a Bitcoin-urilor anonime, este foarte probabil ca acest tip de erupție profitabilă de ransomware să continue mult timp. Toată lumea trebuie să fie atentă.

Echipa 360 Helios

360 Helios Team este o echipă de cercetare APT (Advanced Persistent Attack) în Qihoo 360.

Echipa este dedicată investigării atacurilor APT, răspunsului la incidente de amenințări și cercetării lanțurilor industriale ale economiei subterane.

De la înființarea sa în decembrie 2014, echipa a integrat cu succes o bază de date uriașă 360 ​​și a creat un proces rapid de inversare și corelare. Până în prezent, au fost identificate și identificate mai mult de 30 de APT și grupuri economice subterane.

360 Helios oferă, de asemenea, soluții de evaluare și răspuns a amenințărilor pentru întreprinderi.

Rapoarte publice

Contact
E-mail Mail: [email protected]
Grupul WeChat: Echipa 360 Helios
Vă rugăm să descărcați codul QR de mai jos pentru a ne urmări pe WeChat!