Восстановление повреждённых вирусом файлов

В последнее время лавинообразно участились обращения клиентов, пострадавших в результате действия вирусов. После заражения определенным типом вируса у пользователя теряется возможность получения доступа к данным, не смотря на то, что все файлы на месте. После заражения файлов пользователю выдается системное сообщения подобного содержания:

Внимание! На вашем компьютере, обнаружено нелицензионное программное обеспечение. Доступ к вашим файлам запрещен!c

Чтобы восстановить свои файлы и получить к ним доступ, свяжитесь с нашим отделом безопасности имя@почта. Идентификатор ххххххх Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте внимательны при вводе кода!

Заранее благодарим за оплату! Мы ценим ваш вклад в развитие инновационно-технического прогресса.

Разумеется дело не в использовании так называемого «нелицензионного программного обеспечения» а в том, что некие граждане возжелав деньжат написали вредоносную программу, которая модифицирует файлы пользователя, а потом начала вымогать деньги.

Большинство граждан, которые обратились в наш сервис по восстановлению данных за помощью, пытались связаться с мошенниками и переводили деньги. Никому из них «код разблокировки», как нетрудно догадаться, не пришел. Это не удивительно, так как у мошенников цель одна – выудить денег. Имея доступ к исходному коду вируса достаточно просто ввести в сообщение свой электронный адрес и не заморачиваться с восстановлением пользовательских данных.

В этой заметке я разберу основные модификации, которые происходят с зараженными вирусом-вымогателем файлами.

Самое простое, к зараженному файлу вирус добавляет свой заголовок. Чуть посложнее – несколько килобайт файла или весь файл подвергаются XOR модификации. В этих случаях восстановление данных не представляет сложности, ключ XOR преобразования легко вычислить по известным сигнатурам, поскольку расширения файлов доступны.

В более тяжелых для специалиста, осуществляющего восстановление данных зашифрованных вирусом, файлы подвергаются шифрованию.

Еще один пример сообщения:

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.

Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.

Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес имя@почта. К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".

Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

Типично шифрование происходит блоками по 16 байт, ключом RSA, но встречаются модификации вируса, которые шифруют информацию ключом RC4. Спасает то, что в подавляющем большинстве случаев у клонов вируса-вымогателя реализован слабый генератор ключа, опирающийся на стандартную Microsoft библиотеку Crypto API, а в некоторых модификациях вируса генератор ключа даже не инициализирован.

Все это позволяет с относительно небольшими временными затратами подобрать ключ, которым были зашифрованы файлы на отдельно взятой системе (компьютере) и полностью восстановить утраченные в результате вирусной атаки данные.

Один из множества примеров практического решения задачи, связанной с восстановлением информации после вируса вымогателя можно посмотреть по этой ссылке.