Выберите Ваш город

Введите название вашего города

  • Абакан
  • Анадырь
  • Арзамас
  • Архангельск
  • Астрахань
  • Барнаул
  • Белгород
  • Биробиджан
  • Благовещенск
  • Братск

Восстановление повреждённых вирусом файлов

Artem Makarov aka Robin
19.03.2012
16251 просмотр

В последнее время лавинообразно участились обращения клиентов, пострадавших в результате действия вирусов. После заражения определенным типом вируса у пользователя теряется возможность получения доступа к данным, не смотря на то, что все файлы на месте. После заражения файлов пользователю выдается системное сообщения подобного содержания:

Внимание! На вашем компьютере, обнаружено нелицензионное программное обеспечение. Доступ к вашим файлам запрещен!c

Чтобы восстановить свои файлы и получить к ним доступ, свяжитесь с нашим отделом безопасности имя@почта. Идентификатор ххххххх Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте внимательны при вводе кода!

Заранее благодарим за оплату! Мы ценим ваш вклад в развитие инновационно-технического прогресса.

Разумеется дело не в использовании так называемого «нелицензионного программного обеспечения» а в том, что некие граждане возжелав деньжат написали вредоносную программу, которая модифицирует файлы пользователя, а потом начала вымогать деньги.

Большинство граждан, которые обратились в наш сервис по восстановлению данных за помощью, пытались связаться с мошенниками и переводили деньги. Никому из них «код разблокировки», как нетрудно догадаться, не пришел. Это не удивительно, так как у мошенников цель одна – выудить денег. Имея доступ к исходному коду вируса достаточно просто ввести в сообщение свой электронный адрес и не заморачиваться с восстановлением пользовательских данных.

В этой заметке я разберу основные модификации, которые происходят с зараженными вирусом-вымогателем файлами.

Самое простое, к зараженному файлу вирус добавляет свой заголовок. Чуть посложнее – несколько килобайт файла или весь файл подвергаются XOR модификации. В этих случаях восстановление данных не представляет сложности, ключ XOR преобразования легко вычислить по известным сигнатурам, поскольку расширения файлов доступны.

В более тяжелых для специалиста, осуществляющего восстановление данных зашифрованных вирусом, файлы подвергаются шифрованию.

Еще один пример сообщения:

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.

Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.

Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес имя@почта. К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".

Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

Типично шифрование происходит блоками по 16 байт, ключом RSA, но встречаются модификации вируса, которые шифруют информацию ключом RC4. Спасает то, что в подавляющем большинстве случаев у клонов вируса-вымогателя реализован слабый генератор ключа, опирающийся на стандартную Microsoft библиотеку Crypto API, а в некоторых модификациях вируса генератор ключа даже не инициализирован.

Все это позволяет с относительно небольшими временными затратами подобрать ключ, которым были зашифрованы файлы на отдельно взятой системе (компьютере) и полностью восстановить утраченные в результате вирусной атаки данные.

Один из множества примеров практического решения задачи, связанной с восстановлением информации после вируса вымогателя можно посмотреть по этой ссылке.

Читать так же:

Восстановление шифрованных BitLocker -ом дисков и разделов

Восстановление шифрованного раздела BitLocker

Восстановление Raid 6 с файловой системой VMFS

Описание выполнения заказа по восстановлению рэйд массива 6-го уровня с ФС VMFS

Оставьте комментарий
AK
20 марта 2012, 01:37

О и до РФ докатилось, у нас веселуха была исключительно популярна в 10-11 годах. Только речь шла якобы о органах внутренних дел в частности о криминальной полиции, и якобы на машине было найдено детское порно, либо террористические данные. Грех прощался за смску стоимостью около 9,99 евро. Граждане фигели, но платили, думаю о модернизации и либерализации судебно-правовой системы.)))) В реальности при таком правонарушении светит не штраф, а спецназ под дверью с загранщитами и гранотометом в течении 10 минут. Но сейчас поток халявы поутих(((

Alex
20 марта 2012, 02:57

Да, интересно в более сложных случаях шифрования реально ли восстановить файлы какой либо автоматической программой для восстановления данных? Если мне попадется такой случай, то обязательно протестирую все программы (которые у меня есть) на способность восстанавливать зашифрованные файлы. Недавно восстановил фотографии из chk файлов (после того как пользователь запустил check disk).А такого случая ещё не было...

M
21 марта 2012, 05:17

Небольшие добавления к статье (сначала покажется бредом, но поверьте! это делали вполне себе взрослые люди, работающие с банками и финансами).

1. Никогда не отправляйте SMS в случаях с порнобаннерами. Этим Вы спонсируете преступников.

2. Не верьте, когда Вам предлагают ввести «разблокировочный» код с чека из терминала. Код транзакции известен только Вам и банку, и больше НИКОМУ.

3. Всегда сообщайте оператору мошенника о требовании «выкупа». Хоть это и одноразовая симка, но Ваши действия, возможно, помогут другим людям.

4. (и последнее) всегда знайте, что Вас хотят обмануть.

Андрей
07 февраля 2013, 19:59

тут есть решение для одного из таких вирусов

Нужна консультация?

Мы одна из немногих лабораторий в России, которая восстанавливает данные самостоятельно.

Для этого у нас есть все необходимое:
Важно – кто будет первым!
восстанавливать
информацию