Восстановление повреждённых вирусом файлов
В последнее время лавинообразно участились обращения клиентов, пострадавших в результате действия вирусов. После заражения определенным типом вируса у пользователя теряется возможность получения доступа к данным, не смотря на то, что все файлы на месте. После заражения файлов пользователю выдается системное сообщения подобного содержания:
Внимание! На вашем компьютере, обнаружено нелицензионное программное обеспечение. Доступ к вашим файлам запрещен!c
Чтобы восстановить свои файлы и получить к ним доступ, свяжитесь с нашим отделом безопасности имя@почта. Идентификатор ххххххх Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте внимательны при вводе кода!
Заранее благодарим за оплату! Мы ценим ваш вклад в развитие инновационно-технического прогресса.
Разумеется дело не в использовании так называемого «нелицензионного программного обеспечения» а в том, что некие граждане возжелав деньжат написали вредоносную программу, которая модифицирует файлы пользователя, а потом начала вымогать деньги.
Большинство граждан, которые обратились в наш сервис по восстановлению данных за помощью, пытались связаться с мошенниками и переводили деньги. Никому из них «код разблокировки», как нетрудно догадаться, не пришел. Это не удивительно, так как у мошенников цель одна – выудить денег. Имея доступ к исходному коду вируса достаточно просто ввести в сообщение свой электронный адрес и не заморачиваться с восстановлением пользовательских данных.
В этой заметке я разберу основные модификации, которые происходят с зараженными вирусом-вымогателем файлами.
Самое простое, к зараженному файлу вирус добавляет свой заголовок. Чуть посложнее – несколько килобайт файла или весь файл подвергаются XOR модификации. В этих случаях восстановление данных не представляет сложности, ключ XOR преобразования легко вычислить по известным сигнатурам, поскольку расширения файлов доступны.
В более тяжелых для специалиста, осуществляющего восстановление данных зашифрованных вирусом, файлы подвергаются шифрованию.
Еще один пример сообщения:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес имя@почта. К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
Типично шифрование происходит блоками по 16 байт, ключом RSA, но встречаются модификации вируса, которые шифруют информацию ключом RC4. Спасает то, что в подавляющем большинстве случаев у клонов вируса-вымогателя реализован слабый генератор ключа, опирающийся на стандартную Microsoft библиотеку Crypto API, а в некоторых модификациях вируса генератор ключа даже не инициализирован.
Все это позволяет с относительно небольшими временными затратами подобрать ключ, которым были зашифрованы файлы на отдельно взятой системе (компьютере) и полностью восстановить утраченные в результате вирусной атаки данные.
Один из множества примеров практического решения задачи, связанной с восстановлением информации после вируса вымогателя можно посмотреть по этой ссылке.
Читать так же:
Восстановление шифрованных BitLocker -ом дисков и разделов
Восстановление шифрованного раздела BitLocker
Восстановление Raid 6 с файловой системой VMFS
Описание выполнения заказа по восстановлению рэйд массива 6-го уровня с ФС VMFS
О и до РФ докатилось, у нас веселуха была исключительно популярна в 10-11 годах. Только речь шла якобы о органах внутренних дел в частности о криминальной полиции, и якобы на машине было найдено детское порно, либо террористические данные. Грех прощался за смску стоимостью около 9,99 евро. Граждане фигели, но платили, думаю о модернизации и либерализации судебно-правовой системы.)))) В реальности при таком правонарушении светит не штраф, а спецназ под дверью с загранщитами и гранотометом в течении 10 минут. Но сейчас поток халявы поутих(((
Да, интересно в более сложных случаях шифрования реально ли восстановить файлы какой либо автоматической программой для восстановления данных? Если мне попадется такой случай, то обязательно протестирую все программы (которые у меня есть) на способность восстанавливать зашифрованные файлы. Недавно восстановил фотографии из chk файлов (после того как пользователь запустил check disk).А такого случая ещё не было...
Небольшие добавления к статье (сначала покажется бредом, но поверьте! это делали вполне себе взрослые люди, работающие с банками и финансами).
1. Никогда не отправляйте SMS в случаях с порнобаннерами. Этим Вы спонсируете преступников.
2. Не верьте, когда Вам предлагают ввести «разблокировочный» код с чека из терминала. Код транзакции известен только Вам и банку, и больше НИКОМУ.
3. Всегда сообщайте оператору мошенника о требовании «выкупа». Хоть это и одноразовая симка, но Ваши действия, возможно, помогут другим людям.
4. (и последнее) всегда знайте, что Вас хотят обмануть.
тут есть решение для одного из таких вирусов