Meniu
AcasăAvarii

Decriptați fișierele după troianul ransomware. Virusul de criptare. Cum să eliminați un virus și să restaurați fișierele criptate

Dacă pe computer apare un mesaj text care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea deoarece programul se bazează de obicei pe un utilitar de criptare gratuit inofensiv. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii binecunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa doar cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe un computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky Internet Security și Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computerul dvs., atunci chiar și după efectul unui virus ransomware există șansa de a readuce fișierele la starea lor normală folosind copii umbre ale fișierelor. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc să o facă din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

  1. Deschide Proprietăți computer.
  2. Din meniul din stânga, selectați Protecție sistem.
  3. Selectați unitatea C și faceți clic pe „Configurare”.
  4. Alegeți să restabiliți setările și versiunile anterioare ale fișierelor. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția virusului de criptare a fișierelor, atunci după ce vă curățați computerul de codul rău intenționat, veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

  1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
  2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați într-un folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.

Ai devenit victima unui ransomware? Nu plătiți răscumpărarea!

Decriptoarele noastre gratuite vă vor ajuta să recâștigați accesul la fișierele blocate de diferite tipuri de ransomware descrise mai jos. Doar selectați un titlu pentru a vedea semnele de infecție și pentru a obține ajutor gratuit.

Doriți să evitați infecțiile cu ransomware în viitor?

Dulapul Alcatraz

Alcatraz Locker este unul dintre programele ransomware care a fost descoperit pentru prima dată la mijlocul lunii noiembrie 2016. Folosește metoda AES 256 în combinație cu codificarea Base64 pentru a cripta fișierele.

Schimbarea numelor fișierelor.

Fișierele criptate primesc extensia .Alcatraz.

Mesaj de răscumpărare.

răscumpărat.html» pe desktop:

Dacă Alcatraz a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Apocalipsa

Apocalypse este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Apocalypse adaugă extensii .criptate, .La naiba cu datele tale, .blocat, .Fișier criptat sau .SecureCrypted Teză.doc.blocat.)

Mesaj de răscumpărare.

La deschiderea unui fișier cu extensia .Cum_Se_decriptează.txt, .README.Txt, .Contactați_Aici_Pentru_Recuperarea_Fișierelor_Dvs..txt, .Cum_se_recuperează_datele.txt sau .Unde_fișierele_mea.txt(De exemplu, Thesis.doc.How_To_Decrypt.txt) va apărea un mesaj similar cu următorul:

BadBlock

BadBlock este un tip de ransomware care a fost descoperit pentru prima dată în mai 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

BadBlock nu redenumește fișierele.

Mesaj de răscumpărare.

După ce v-a criptat fișierele, troianul BadBlock afișează unul dintre următoarele mesaje (folosind fișierul exemplu Ajutor Decrypt.html):

Dacă BadBlock a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Bart

Bart este un tip de ransomware care a fost descoperit pentru prima dată la sfârșitul lunii iunie 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Programul Bart adaugă text .bart.zip la sfârșitul numelor fișierelor (de exemplu, în loc de Thesis.doc fișierul va fi apelat Teză.docx.bart.zip). Această arhivă ZIP criptată conține fișierele sursă.

Mesaj de răscumpărare.

După criptarea fișierelor, Bart schimbă fundalul desktopului, așa cum se arată mai jos. Textul din această imagine poate fi folosit și pentru a recunoaște programul Bart. Textul este stocat pe desktop în fișiere recupera.bmpŞi recupera.txt.

Dacă Bart a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Recunoştinţă. Dorim să-i mulțumim lui Peter Conrad, autorul programului PkCrack, care ne-a permis să folosim biblioteca sa în decriptorul nostru pentru troianul ransomware Bart.

Cripta888

Crypt888 (cunoscut și ca Mircop) este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Programul Crypt888 adaugă text Blocare. la începutul numelor de fișiere (de exemplu, în loc de Thesis.doc fișierul va fi apelat Blocare.Teza.doc).

Mesaj de răscumpărare.

După criptarea fișierelor, Crypt888 schimbă fundalul desktopului la una dintre opțiunile de mai jos.

Dacă Crypt888 a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

CryptoMix (versiunea independentă)

CryptoMix (cunoscut și ca CryptFile2 și Zeta) este unul dintre programele ransomware care a fost observat pentru prima dată în martie 2016. La începutul anului 2017 a apărut o nouă varietate de CryptoMix, numită CryptoShield. Ambele versiuni ale programului criptează fișierele folosind algoritmul AES256 cu o cheie unică de criptare care este descărcată de pe un server la distanță. Dacă serverul nu este disponibil sau utilizatorul nu are o conexiune la Internet, ransomware-ul criptează fișierele folosind o cheie fixă ​​(„cheie offline”).

Vă rugăm să rețineți. Decriptorul propus este capabil să deblocheze numai fișierele criptate folosind o „cheie offline”. În cazurile în care o cheie offline nu a fost folosită pentru a cripta fișierele, decriptorul nostru nu va putea restabili accesul la fișiere.

Schimbarea numelor fișierelor.

.CRYPTOSHIELD, .rdmk, lesli, .scl, .cod, .rmd sau .rscl.

Mesaj de răscumpărare.

După criptarea fișierelor de pe computer, puteți găsi următoarele fișiere:

Dacă CryptoMix a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

CrySiS

CrySiS (JohnyCryptor, Virus-Encode sau Aura) este unul dintre programele ransomware care a fost observat pentru prima dată în septembrie 2015. Utilizează criptarea AES256 în combinație cu metoda de criptare asimetrică RSA1024.

Schimbarea numelor fișierelor.

Fișierele criptate au una dintre următoarele extensii:
[email protected] ,
[email protected] ,
[email protected] ,
[email protected] ,
.{[email protected]).CrySiS,
.{[email protected]).xtbl,
.{[email protected]).xtbl,
.{[email protected]).xtbl

Mesaj de răscumpărare.

După criptarea fișierelor, programul afișează unul dintre următoarele mesaje. Acest mesaj este conținut într-un fișier numit „ Instructiuni de decriptare.txt», « Instructiuni de decriptare.txt" sau "* README.txt„pe desktop.

Dacă CrySiS a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Glob

Globe este unul dintre programele de tip ransomware care a fost descoperit pentru prima dată în august 2016. Utilizează metoda de criptare RC4 sau Blowfish. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Globe adaugă una dintre următoarele extensii la numele fișierului: .ACRIPTA, .GSupport, .blackblock, .dll555, .duhust, .exploata, .îngheţat, .glob, .gsupport, .kyra, .epurat, .raid, [email protected] , .xtbl, .zendrz, .zendr sau .hnan. Mai mult, unele versiuni ale programului criptează numele fișierului în sine.

Mesaj de răscumpărare.

După criptarea fișierelor, programul afișează următorul mesaj, care se află în fișierul „ Cum să restabiliți fișierele.hta" sau " Citește-mă, te rog.hta»):

Dacă Globe a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

HiddenTear

HiddenTear este unul dintre primele programe ransomware open source găzduite pe GitHub și cunoscut din august 2015. De atunci, sute de variante ale programului HiddenTear au fost create de escroci folosind cod sursă deschisă. HiddenTear folosește criptarea AES.

Schimbarea numelor fișierelor.

Fișierele criptate primesc una dintre următoarele extensii (dar pot avea altele): .blocat, .34xxx, .bloccato, .BUGSECCC, .Hollycrypt, .blocare, .saeid, .deblocați, .razy, .mecpt, .monstru, .lok, .암호화됨 , .8lock8, .dracu', .zburător, .kratos, .criptate, .CAZZO, .condamnat.

Mesaj de răscumpărare.

Când fișierele sunt criptate, pe ecranul de start al utilizatorului apare un fișier text (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Diferite opțiuni pot afișa, de asemenea, un mesaj de răscumpărare:

Dacă HiddenTear a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Jigsaw

Jigsaw este unul dintre programele ransomware care există din martie 2016. Ea este numită după ticălosul filmului poreclit „Jigsaw Killer”. Unele variante ale acestui program folosesc o imagine a acestui personaj pe ecran cu o cerere de răscumpărare pentru deblocare.

Schimbarea numelor fișierelor.

Fișierele criptate primesc una dintre următoarele extensii: .kkk, .btc, .gws, .J, .criptate, .porno, .răscumpărare, .pornoransom, .epic, .xyz, .versiegelt, .criptate, .payb, .plateste, .plăți, .paymds, .plăți, .plata, .payrms, .plate, .plăți, .paybtcs, .distracţie, .tăcere, [email protected] sau .gefickt.

Mesaj de răscumpărare.

Odată ce fișierele sunt criptate, va fi afișat unul dintre ecranele de mai jos:

Dacă Jigsaw a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Legiune

Legion este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Următoarele sunt simptomele unei infecții.

Schimbarea numelor fișierelor.

Legion adaugă ceva de genul [email protected]$.legiune sau [email protected]$.cbf la sfârșitul numelor fișierelor. (De exemplu, în loc de Thesis.doc fișierul va fi apelat [email protected]$.legiune.)

Mesaj de răscumpărare.

După criptarea fișierelor, Legion schimbă fundalul desktopului și afișează o fereastră pop-up similară cu aceasta:

Dacă Legion a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Numărul de viruși în sensul lor obișnuit devine din ce în ce mai mic, iar motivul pentru aceasta este antivirusurile gratuite care funcționează bine și protejează computerele utilizatorilor. În același timp, nu tuturor le pasă de securitatea datelor lor și riscă să se infecteze nu doar cu malware, ci și cu viruși standard, printre care troienii continuă să fie cei mai des întâlniți. Se poate manifesta în multe feluri, dar una dintre cele mai periculoase este criptarea fișierelor. Dacă un virus are fișiere criptate pe computer, nu este garantat că veți putea recupera datele, dar există câteva metode eficiente și vor fi discutate mai jos.

Virusul de criptare: ce este și cum funcționează

Pe Internet puteți găsi sute de varietăți de viruși care criptează fișierele. Acțiunile lor duc la o consecință - datele utilizatorului de pe computer primesc un format necunoscut care nu poate fi deschis folosind programe standard. Iată doar câteva dintre formatele în care datele de pe un computer pot fi criptate ca urmare a virușilor: .locked, .xtbl, .kraken, .cbf, .oshit și multe altele. În unele cazuri, adresa de e-mail a creatorilor virusului este scrisă direct în extensia de fișier.

Printre cei mai obișnuiți viruși care criptează fișierele sunt Trojan-Ransom.Win32.AuraŞi Troian-Ransom.Win32.Rakhni. Ele vin în multe forme, iar virusul poate nici măcar să nu poată fi numit troian (de exemplu, CryptoLocker), dar acțiunile lor sunt practic aceleași. Noi versiuni de viruși de criptare sunt lansate în mod regulat pentru a face mai dificil pentru creatorii de aplicații antivirus să se ocupe de noile formate.

Dacă un virus de criptare a pătruns într-un computer, cu siguranță se va manifesta nu numai prin blocarea fișierelor, ci și oferind utilizatorului să le deblocheze contra unei taxe bănești. Pe ecran poate apărea un banner care vă spune unde trebuie să transferați bani pentru a debloca fișierele. Când un astfel de banner nu apare, ar trebui să căutați o „scrisoare” de la dezvoltatorii de viruși pe desktop, în majoritatea cazurilor, un astfel de fișier se numește ReadMe.txt.

În funcție de dezvoltatorii virusului, prețurile pentru decriptarea fișierelor pot varia. În același timp, este departe de a fi un fapt că atunci când trimiți bani creatorilor virusului, aceștia vor trimite înapoi o metodă de deblocare. În cele mai multe cazuri, banii nu ajung „nicăieri”, iar utilizatorul computerului nu primește o metodă de decriptare.

Odată ce un virus a apărut pe computer și vedeți un cod pe ecran care trebuie trimis la o anumită adresă pentru a primi un decriptor, nu ar trebui să faceți acest lucru. Mai întâi de toate, copiați acest cod pe o bucată de hârtie, deoarece fișierul nou creat poate fi și criptat. După aceasta, puteți ascunde informații de la dezvoltatorii virusului și puteți încerca să găsiți pe Internet o modalitate de a scăpa de criptorul de fișiere în cazul dvs. Mai jos vă prezentăm principalele programe care vă permit să eliminați un virus și să decriptați fișierele, dar nu pot fi numite universale, iar creatorii de software antivirus extind în mod regulat lista de soluții.

A scăpa de un virus de criptare a fișierelor este destul de simplă folosind versiuni gratuite de programe antivirus. 3 programe gratuite fac față bine virușilor de criptare a fișierelor:

  • Malwarebytes Antimalware;
  • Dr.Web Cure It ;
  • Kaspersky Internet Security.

Aplicațiile menționate mai sus sunt complet gratuite sau au versiuni de încercare. Vă recomandăm să utilizați o soluție de la Dr.Web sau Kespersky după ce vă scanați sistemul cu Malwarebytes Antimalware. Permiteți-ne să vă reamintim încă o dată că instalarea a 2 sau mai multe antivirusuri pe computer nu este recomandată în același timp, așa că înainte de a instala fiecare nouă soluție, trebuie să o eliminați pe cea anterioară.

După cum am menționat mai sus, soluția ideală la problema în această situație ar fi să selectați instrucțiuni care vă permit să vă ocupați în mod specific de problema dvs. Astfel de instrucțiuni sunt cel mai adesea postate pe site-urile web ale dezvoltatorilor de antivirus. Vă prezentăm mai jos câteva utilitare antivirus actuale care pot face față diferitelor tipuri de troieni și alte tipuri de criptoare.


Cele de mai sus sunt doar o mică parte din utilitatile antivirus care vă permit să decriptați fișierele infectate. Este demn de remarcat faptul că, dacă pur și simplu încercați să recuperați datele, acestea vor fi, dimpotrivă, pierdute pentru totdeauna - nu ar trebui să faceți acest lucru.

  • recuperarea datelor,
  • Administrarea sistemului

    • La sfârșitul zilei de lucru, un contabil al uneia dintre întreprinderi a primit un e-mail de la o contraparte cu care era în permanență în corespondență de afaceri, scrisoare care conținea un fișier atașat numit „Reconciliation Report.xls”. Când am încercat să-l deschideți vizual, nu s-a întâmplat nimic din punctul de vedere al contabilului. După ce a repetat de mai multe ori încercările de deschidere, contabilul s-a asigurat că Excel nu avea de gând să deschidă fișierul trimis. După ce a scris contrapărții despre imposibilitatea deschiderii dosarului primit, contabila a apăsat butonul de oprire a calculatorului și, fără să aștepte finalizarea computerului, a părăsit locul de muncă. Când am venit dimineața, am descoperit că computerul nu s-a oprit. Fără să acord multă importanță acestui lucru, am încercat să încep o nouă zi de lucru făcând obișnuit clic pe scurtătura 1C Accounting, dar după ce am selectat baza, mă aștepta o surpriză neplăcută.

    Încercările ulterioare de a lansa mediul de lucru 1C au fost, de asemenea, fără succes. Un contabil a contactat compania de servicii informatice a organizației lor și a solicitat suport tehnic. Specialiștii din organizația de service au constatat că problemele erau mult mai răspândite, deoarece pe lângă faptul că fișierele din baza de date 1C Accounting 7.7 erau criptate și aveau extensia „BLOCKATE”, fișierele cu extensiile doc, docx, xls, xlsx , zip, rar, 1cd și altele. Pe desktop-ul utilizatorului a fost găsit și un fișier text, în care se spunea că fișierele au fost criptate folosind algoritmul RSA 2048 și că pentru a obține decriptorul era necesar să se plătească serviciile ransomware-ului. Copierea de rezervă a bazelor de date 1C a fost efectuată zilnic pe un alt hard disk instalat în același PC sub forma creării unei arhive zip cu folderul baze de date 1C, iar o copie a arhivei a fost plasată pe o unitate de rețea (NAS). Deoarece nu existau restricții privind accesul la copiile de rezervă, software-ul rău intenționat avea acces la acestea.

    După ce au evaluat amploarea problemei, specialiștii de la organizația de service au copiat doar fișierele criptate pe o unitate separată și au reinstalat sistemul de operare. De asemenea, scrisorile care conţineau malware au fost şterse din căsuţa poştală a contabilului. Încercările de decriptare folosind decriptoare populare de la companiile antivirus nu au dat niciun rezultat la acel moment. În acest moment, compania care deservește organizația și-a încheiat activitatea.

    Perspectivele de a începe cu introducerea documentației primare în noua bază de date 1C nu i-au bucurat foarte mult pe contabili. Prin urmare, au fost luate în considerare posibilități suplimentare de restaurare a fișierelor criptate.

    Din păcate, corpul original al malware-ului și mesajul ransomware nu au fost salvate, ceea ce a făcut imposibilă dezasamblarea corpului și stabilirea algoritmului de funcționare a acestuia prin analiză într-un depanator. De asemenea, nu a existat nicio modalitate de a verifica dacă a fost întâlnit de diverse companii de antivirus.

    Prin urmare, începem imediat să analizăm fișierele ale căror structuri sunt bine cunoscute. În acest caz, este convenabil să utilizați fișiere DBF din baza de date 1C pentru analiză, deoarece structura lor este foarte previzibilă. Să luăm fișierul 1SENTRY.DBF.BLOCKED (jurnal de înregistrări contabile), dimensiunea acestui fișier este de 53.044.658 octeți


    orez. 2

    Având în vedere fișierul DBF criptat, acordăm atenție faptului că primii 0x35 octeți nu sunt criptați, deoarece există un antet caracteristic acestui tip de fișier și observăm o parte din descrierea primului câmp al înregistrării. Să calculăm dimensiunea fișierului. Pentru a face acest lucru, luați: WORD la offset 0x08, al cărui conținut este egal cu 0x04C1 (indică dimensiunea antetului fișierului DBF), WORD la offset 0x0A, al cărui conținut este egal cu 0x0130 (indică dimensiunea o înregistrare în baza de date), DWORD la offset 0x04, al cărui conținut este 0x0002A995 (numărul de intrări), iar 0x01 este dimensiunea markerului de sfârșit. Să rezolvăm exemplul: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53.044.658) octeți. Mărimea fișierului, așa cum este înregistrată de sistemul de fișiere, corespunde mărimii calculate pe baza informațiilor din antetul fișierului DBF. Să efectuăm verificări similare pentru mai multe fișiere DBF și să ne asigurăm că dimensiunea fișierului nu a fost modificată de malware.

    Analiza conținutului DBF arată că fișierele mici care încep cu offset 0x35 sunt criptate în întregime, dar cele mari nu.


    orez. 3

    Numerele de cont, datele și sumele au fost modificate pentru a nu încălca acordurile de confidențialitate, inclusiv în zona criptată.

    Pornind de la offset-ul 0x00132CB5, constatăm că nu există semne de criptare până la sfârșitul fișierului, efectuând verificări în alte fișiere mari, confirmăm presupunerea că numai fișierele mai mici de 0x00132CB5 (1.256.629) octeți sunt criptați în întregime; Mulți autori de programe malware efectuează criptarea parțială a fișierelor pentru a reduce timpul necesar coruperii datelor utilizatorului. Ei sunt probabil ghidați de faptul că codul lor rău intenționat provoacă daune maxime posibile utilizatorului în cel mai scurt timp.

    Să începem să analizăm algoritmul de criptare


    orez. 4

    În fig. 4, în locul antetelor câmpului fișierului DBF există secvențe aproape identice de 16 octeți (offset-uri 0x50, 0x70, 0x90), vedem și o repetare parțială a secvențelor de 16 octeți (offset-uri 0x40.0x60.0x80), în care există sunt diferențe doar în octeții în care ar trebui să introducă numele câmpului și tipul câmpului.

    Pe baza acestei observații, având o mică înțelegere a algoritmilor de lucru ai algoritmilor criptografici precum AES, RSA, putem trage o concluzie fără ambiguitate că datele nu sunt criptate folosind acești algoritmi. Adică, informațiile despre algoritmul de criptare furnizate de client sunt nesigure. Poate fi nesigur fie din cauza unor concluzii eronate ale clientului, fie ca urmare a înșelăciunii de către autorul programului rău intenționat. Nu putem verifica acest lucru, deoarece doar fișierele criptate ne sunt disponibile.

    Pe baza caracteristicilor structurale ale antetelor fișierelor DBF și a modificărilor secvențelor de octeți, putem presupune că criptarea este efectuată folosind o operație XOR pe date cu un anumit model. De asemenea, puteți presupune, pe baza lungimii secvențelor repetate, că lungimea modelului este de 16 octeți (128 de biți). Antetul de bază este de 0x04C1 octeți, dimensiunea descrierii unui câmp din antet este de 0x20 (32) octeți. De aici rezultă că antetul acestui fișier DBF conține descrieri de câmp (0x4C1-0x21)/0x20=0x25 (37). În fig. 4 subliniate cu roșu sunt fragmente de înregistrări a două câmpuri pornind de la offset 0x10, care în cazul lui 1C au de obicei valori zero, cu excepția lui 0x10 (deoarece dimensiunea câmpului este indicată la acest offset), pe baza acesteia putem presupune că avem deja 15 din cei 16 octeți ai criptării cheii 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.

    Pentru a găsi ultimul octet din cheie, luați un alt fragment din același fișier DBF.


    orez. 5

    În Figura 5, să fim atenți la coloana zero, sau mai precis la partea ei necriptată, și vedem că acolo predomină valoarea 0x20 (codul de spațiu conform tabelului ASCII). În consecință, o anumită valoare identică va prevala în partea criptată a coloanei. Este ușor de văzut că acesta este 0xFA. Pentru a obține valoarea originală a octetului cheie lipsă, trebuie să executați 0xFA xor 0x20=0xDA.

    Înlocuind valoarea rezultată în poziția lipsă, obținem cheia completă 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.

    După efectuarea procedurii xor, operațiunile cu cheia rezultată pe secțiunile criptate au primit conținutul original al fișierului


    orez. 6

    Pentru controlul final, vom efectua operația de decriptare a arhivei zip, apoi despachetăm arhiva. Dacă toate fișierele au fost extrase și nu au apărut erori CRC pentru niciun fișier, atunci puteți confirma în sfârșit corectitudinea cheii. Iar etapa finală va fi despachetarea fișierelor rămase conform specificațiilor tehnice.

    Acest exemplu sugerează că probabil nu toate afirmațiile făcute de autorii de programe malware sunt adevărate. Și este adesea posibil să se rezolve problema restaurării datelor utilizatorului prin analizarea datelor modificate.

    Alături de astfel de cazuri simple, există troieni de criptare care vor folosi de fapt algoritmi criptografici moderni și în cazul atacului lor, o soluție atât de simplă este în principiu imposibilă. Prin urmare, fiți extrem de atenți când deschideți orice fișiere primite prin e-mail, chiar și din surse de încredere. Actualizați-vă în mod regulat software-ul antivirus și faceți copii de siguranță, astfel încât datele dvs. din toate copiile să nu fie disponibile nimănui în același timp.

    Nu cu mult timp în urmă, un nou virus (și multe dintre modificările acestuia) a apărut pe Internet, criptând fișierele de pe computerul tău și oferindu-se să comanzi un program pentru a le decripta pentru bani. În acest caz, fișierele criptate sunt redenumite și denumite astfel

    DSC00122.JPG. [email protected] _XO101

    Partea selectată constă din e-mailul autorului virusului (căreia „victima” virusului va trimite o cerere de decriptare) și identificatorul de modificare a virusului. Fiecare modificare a virusului are propriul algoritm de criptare și, în consecință, necesită propriul decriptor.

    Din fericire, dezvoltatorii de la Dr.Web au abordat îndeaproape această problemă și sunt gata să ofere un utilitar special care decriptează fișierele corupte de virus. Pentru comoditate, mai jos postez utilitarul în sine și scurte instrucțiuni de utilizare.

    (parola este numele site-ului meu fără „http://”)

    Mai jos sunt instrucțiuni scurte.

    Descărcați utilitarul de recuperare, despachetați arhiva într-un folder gol cu ​​un nume simplu (de exemplu, „ C:\_dec"). Apoi deschideți linia de comandă (Start - Run - cmd) și tastați următoarele acolo:

    Aici " [email protected] _XO101" este prefixul cu care fișierele dumneavoastră sunt redenumite de virus, fiți atenți la punctul de la început. O c:\fișierele mele\- acesta este folderul în care se află fișierele dvs. codificate. După lansarea programului se va deschide o fereastră de confirmare

    Și după ce faceți clic pe butonul „Continuați”, tratamentul automat va începe. La finalizarea programului, veți primi un raport, iar toate fișierele decodate vor fi localizate lângă cele codificate în folderul pe care l-ați specificat (programul nu șterge versiunile codificate ale fișierelor).

    Autorii programului nu garantează tratarea 100% a tuturor fișierelor și nu am ocazia să testez funcționarea acestuia pe un număr mare de fișiere, așa că vă rog: cine a reușit să vindece fișierele cu acest utilitar (sau nu a reușit) - scrieți în comentarii.

    Asta e tot! Fii sănătos!

    P.S. Pentru a preveni infectarea computerului să nu se repete, cumpărați-l deja antivirus normal. Folosesc Kaspersky Internet Security, dar se pare că și Dr.Web este destul de bun. Crede-mă, o mie și jumătate de ruble pe an pentru liniște sufletească și încredere în viitor este un preț ridicol.