профессиональный сервис
ремонт ноутбуков
ремонт телефонов
запчасти и комплектующие
оптовые цены
PK.BY
17 лет для Вас!
334-94-99
Пн - Пт  с 900 до 1800
Минск, ул. Чичерина 21 оф. 21
+375 29 166-77-67
город +375 17 324-94-99
remont-minsk
shop.pk.by@gmail.com
каталог
меню
0
каталог




Восстановим информацию зашифрованную вирусом шифровальщиком


Восстановление данных после вируса шифровальщика

Восстановление данных после вируса-шифровальщика - проблема, с которой сегодня встречается множество пользователей ПК. Шифровальщики за последние годы получили большое развитие, встречается более двух десятков их вариаций, каждый характеризует определенный подход к шифрованию информации на компьютере. Создатели вируса, конечно, предлагают выход из сложившейся ситуации - обычно он заключен в выплате по указанным реквизитам определенной суммы, при этом весьма значительной (от 6500$ и выше). Учитывая, что собственные файлы можно расшифровать даже самостоятельно, платить мошенникам за их "услугу" будет не самым лучшим выходом.

Если вы столкнулись с такой ситуацией, не стоит разводить панику - прежде нужно попробовать все существующие методики для восстановления данных после вируса.

Восстановление предыдущей версии после вируса шифровальщика

При включенной защите операционной системы, есть возможность восстановления данных даже без использования дополнительного софта. В этом случае помогут теневые копии документов. Троян-шифровальщик, конечно, постарается уничтожить и эти копии, но в большинстве ситуаций у него это не выходит по причине отсутствия административных прав. Рассмотрим последовательность ваших действий.

Шаг 1

Для начала нужно восстановить прошлую версию поврежденного документа:
  1. Переходим правой кнопкой мыши по файлу или папке, выбираем "Свойства" - "Предыдущие версии".
  2. Открывается меню сохраненных точек восстановления, из которых нужно будет выбрать нужную.


восстановление данных после вируса шифровальщика с помощью точки восстановления

Шаг 2

Восстанавливаем выбранную теневую копию - ориентируйтесь на дату, нам нужно сделать откат до того дня, когда компьютер ориентировочно был заражен шифровальщиком. Если у вируса слабая защита, то такой метод принесет результат, заняв при этом минимум времени.

Увы, но метод будет абсолютно бесполезным, если не была включена защита системы. Обезопасьте себя на будущее, и подключите ее заранее:
  1. Кликаем правой кнопкой мыши по "Моему компьютеру" - пункт "Свойства" - "Защита системы".
  2. Выбираем диск, на который установлена ОС. Далее выбираем пункт "Настроить" - "Защита системы".
  3. Включаем защиту системы компьютера и соглашаемся с восстановлением параметров.


восстановление данных после вируса шифровальщика


Теперь ваша ОС защищена от злонамеренных действий трояна - несмотря на то, что он может проникнуть на компьютер и заразить файлы, вы теперь знаете, как без труда расправиться с ним. В случае, если с этим советом вы опоздали, переходим к пункту "Б" - восстановлению данных после шифровальщика при помощи программного обеспечения.

Восстановление файлов после вируса шифровальщика с помощью утилит

Прежде всего, важный совет - после заражения компьютера шифровальщиком, постарайтесь пользоваться им как можно меньше, что увеличит шансы на успешный возврат всех данных. Для устранения проблемы с шифрованием цифровой информации, эффективны несколько способов, каждый из которых рассмотрим в отдельности:
  1. Восстановление информации при помощи программы ShadowExplorer.
  2. Восстановление файлов при помощи программы PhotoRec.


Но прежде чем восстанавливать файлы, нужно искоренить "источник всех бед" - сам вирус.

Удаление вируса-шифровальщика

Антивирусы без труда определяют и устраняют большинство видов шифровальщиков, вот только оказать помощь в восстановлении уже зашифрованных вирусами данных они не смогут. Более того, они могут даже безвозвратно удалить данные, посчитав их за вирусы. Поэтому для безопасного удаления вируса лучше использовать специальные утилиты.

Рассмотрим процесс удаления шифровальщиков на примере популярных программ. В первую очередь - утилиту антивируса Касперского, Virus Removal Tool. Функционал у нее довольно простой и понятный - потребуется только запустить сканирование компьютера, а по результатам проверки удалить или отправить в карантин найденные вирусные файлы.

восстановление данных после вируса шифровальщика с помощью антивируса


Другой вариант - удалить шифровальщика при помощи утилиты Malwarebytes Anti-malware. На главном экране программы выберите раздел "Проверка", нажмите "Запустить проверку".

восстановление данных после вируса шифровальщика при помощи утилиты Malwarebytes


По ее результатам вы увидите количество выявленных угроз - учитываются как зараженные файлы, так и данные реестра. Отмечайте все обнаруженное вредоносное ПО, и кликните по кнопке "Удалить выбранное". После этого может потребоваться перезагрузить компьютер (а иногда и в процессе сканирования). Перезапустите систему и завершите очистку - теперь ваш компьютер абсолютно чист от вредоносных программ! Можно приступать к восстановлению данных после вируса.

Утилита ShadowExplorer

ShadowExplorer позволяет восстанавливать теневые копии данных, благодаря функционалу утилиты можно оперативно восстановить исходное состояние зашифрованной информации.

Для работы с программой, запустите ее и выберите нужный диск, а также дату создания копий. Выберите нужные файлы, и экспортируйте их (правой кнопкой мыши на документ - "Export") в выбранную для восстановления папку.

восстановление данных после вируса шифровальщика при помощи утилиты Malwarebytes

Утилита PhotoRec

PhotoRec предназначена для восстановления данных, которые были удалены или утеряны. В целом, в нашем случае она так же актуальна, т.к. восстановит исходники тех файлов, которые были заменены шифровальщиком.

При запуске программы вы увидите раздел доступных для поисковых операций дисков. Выбираем тот, на котором расположены ваши данные, зашифрованные трояном, и кликаем по кнопке "File Formats".

восстановление данных после вируса шифровальщика при помощи утилиты PhotoRec


Приложение может восстанавливать файлы любых типов, но если вы не хотите тратить много времени на поиск нужных данных, выберите в появившемся окошке только нужные вам форматы. После того, как сделаете это, нажмите на "ОК".

Далее жмем на "Browse" и определяем каталог, где программа сохранит все восстановленные данные. Лучше всего, если это будет другой диск (также пригодятся внешний HDD или флешка). Чтобы запустить поиск утерянной информации, нажмите на "Search". Процесс может занимать много времени, в зависимости от объема жесткого диска и мощность компьютера в целом.

Когда процесс завершится, нажмите на "Quit" и откройте папку, в которой программой были сохранены данные. В папке вы встретите каталоги с именами recup_dir.1, recup_dir.2,и т.д (чем больше удаленных файлов будет обнаружено утилитой, тем больше будет доступно каталогов). Проверьте каждый из них, чтобы ускорить этот процесс воспользуйтесь поиском Windows или параметрами сортировки. В качестве параметров вы можете установить дату изменения, т.к. PhotoRec при восстановление ориентируется на это свойство.

Что не рекомендуется делать при заражении вирусом

восстановление данных после заражения вирусом шифровальщиком


Итак, мы рассмотрели все основные (а главное - эффективные) методы для восстановления данных после атаки трояна-шифровальщика. Но не факт, что они сработают, если были совершены действия, которые могут повлечь за собой перманентную потерю данных. Поэтому перед тем, как приступать к решительным действиям по борьбе с вирусом, стоит принять во внимание несколько важных моментов:
  1. Не переустанавливайте операционную систему. Хоть этот метод и позволит избавиться от трояна-шифровальщика, но платой за это будет потеря всех зашифрованных файлов.
  2. Не запускайте программы, которые очищают реестр и удаляют временные данные.
  3. Не запускайте сканирование антивирусом - как уже было отмечено ранее, такой подход может безвозвратно удалить важную информацию. Если же процесс уже был запущен, то проверьте, были ли файлы помещены в карантин - в таком случае, их можно будет восстановить и провести работы по их расшифровке.
  4. Никак не взаимодействуйте с зараженными вирусом-шифровальщиком файлами (сюда относится переименование документов, изменение расширения и пр.), т.к. это только уменьшает шансы на возможность успешного восстановления.


Также хотим дать несколько советов, что будет полезно сделать для остановки процесса заражения компьютера вирусом-шифровальщиком:
  • Остановить процесс шифрования документов в "Диспетчере задач". Конечно, это при условии, что вы знаете, какой процесс запущен непосредственно вирусом.
  • Отключить компьютер от интернета. Учитывая, что заражение обычно происходит через подключение к сети онлайн, то при ее отключении вполне вероятно, что заражение приостановится. Это подходящий момент, чтобы заняться устранением вирусом и восстановлением информации.

Услуги восстановления PK.BY

Теперь вы имеет знания о том, как избавиться от вируса-шифровальщика самостоятельно и восстановить всю утерянную информацию. Если же перечисленные методы не помогли или вы боитесь сами приступать к ликвидации проблемы, опасаясь последствий при неверном подходе, приходите в сервисный центр ЦарикС. Наши специалисты помогут с восстановлением без каких-либо потерь!

Восстановление файлов после трояна-шифровальщика

В конце рабочего дня бухгалтер одного из предприятий получила письмо по электронной почте от контрагента, с которым постоянно велась деловая переписка, письмо, в котором содержался вложенный файл, именуемый, как «Акт сверки.xls». При попытке открытия визуально ничего не произошло с точки зрения бухгалтера. Несколько раз повторив попытки открытия бухгалтер удостоверилась, что excel не собирается открывать присланный файл. Отписавшись контрагенту о невозможности открыть полученный ею файл, бухгалтер, нажала кнопку выключения ПК, и, не дождавшись завершения работы ПК, покинула рабочее место. Придя утром, обнаружила, что компьютер так и не отключился. Не придав этому особого значения, попыталась начать новый рабочий день, привычно кликнув по ярлыку 1С Бухгалтерии, но после выбора базы ожидал неприятный сюрприз.


рис. 1

Последующие попытки запуска рабочей среды 1С также не увенчались успехом. Бухгалтер связалась с компанией, обслуживающей вычислительную технику их организации, и запросила техническую поддержку. Специалистами обслуживающей организации выяснено, что проблемы куда более масштабные, так как кроме того что файлы базы 1С Бухгалтерии 7.7 были зашифрованы и имели расширение "BLOCKED", зашифрованными оказались и файлы с расширениями doc, docx, xls, xlsx, zip, rar, 1cd и другие. Также обнаруживался текстовый файл на рабочем столе пользователя, в котором сообщалось, что файлы зашифрованы с использованием алгоритма RSA 2048, и что для получения дешифратора необходимо оплатить услуги вымогателя. Резервное копировании 1С баз осуществлялось ежедневно на другой жесткий диск установленный в этом же ПК в виде создания zip архива с папкой 1С баз, и копия архива помещалась на сетевой диск (NAS). Так как ограничения доступа к резервным копиям не было, то вредоносное программное обеспечение имело доступ и к ним.

Оценив масштаб проблемы, специалисты обслуживающей организации выполнили копирование только шифрованных файлов на отдельный накопитель и произвели переустановку операционной системы. Также из почтового ящика бухгалтера были удалены письма, содержащие вредоносное ПО. Попытки расшифровки с использованием популярных дешифраторов антивирусных компаний на тот момент результата не дали. На этом обслуживающая организацию компания закончила свои работы.

Перспективы начать с ввода первичной документации в новую 1С базу, не сильно радовали бухгалтеров. Посему были рассмотрены дальнейшие возможности восстановления шифрованных файлов.

К сожалению, не были сохранены оригинальное тело вредоносного ПО и сообщение вымогателя, что не позволило дизассемблировать тело и установить алгоритм его работы посредством анализа в отладчике. Так же не было возможности проверить, встречался ли он различным антивирусным компаниям.

Поэтому сразу приступаем к анализу файлов, структуры которых хорошо известны. В данном случае удобно использовать для анализа DBF файлы из базы 1С, так как структура их весьма предсказуема. Возьмем файл 1SENTRY.DBF.BLOCKED (журнал бухгалтерских проводок), размер данного файла 53 044 658 байт


рис. 2

Рассматривая шифрованный DBF файл, обращаем внимание на то, что первые 0x35 байт не зашифрованы, так как присутствует заголовок, характерный для данного типа файлов, и наблюдаем часть описания первого поля записи. Произведем расчет размера файла. Для этого возьмем: WORD по смещению 0x08, содержимое которого равно 0x04C1 (в нем указан размер заголовка DBF файла), WORD по смещению 0x0A, содержимое которого равно 0x0130 (в нем указан размер одной записи в базе), DWORD по смещению 0x04, содержимое которого равно 0x0002A995 (количество записей), и 0x01 – размер конечного маркера. Решим пример: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) байт. Размер файла, согласно записи файловой системы, соответствует расчетному на основании информации в заголовке DBF файла. Выполним аналогичные проверки для нескольких DBF файлов и удостоверимся, что размер файла не был изменен вредоносным ПО.

Анализ содержимого DBF показывает, что небольшие файлы начиная со смещения 0x35 зашифрованы целиком, а крупные нет.


рис. 3

Номера счетов, даты и суммы изменены, чтобы не нарушать соглашения о конфиденциальности в том числе и в зашифрованном участке.

Начиная со смещения 0x00132CB5 обнаруживаем отсутствие признаков шифрования до конца файла, выполнив проверки в иных крупных файлах подтверждаем предположение, что целиком шифруются только файлы менее 0x00132CB5 (1 256 629) байт. Многие авторы вредоносного ПО выполняют частичное шифрование файлов с целью сокращения времени искажения пользовательских данных. Руководствуются вероятно тем, чтобы их вредоносный код за минимальное время нанес максимально возможный ущерб пользователю.

Приступим к анализу алгоритма шифрования


рис. 4

На рис. 4 на месте заголовков полей DBF файла присутствуют почти одинаковые последовательности из 16 байт (смещения 0x50, 0x70, 0x90), также видим частичное повторение последовательностей из 16 байт (смещения 0x40,0x60,0x80), в которых есть отличия только в байтах, где должно прописываться имя поля и тип поля.

На основании этого наблюдения, имея небольшое представление об алгоритмах работы криптографических алгоритмов вроде AES, RSA, можно сделать однозначный вывод, что данные не шифрованы с использованием этих алгоритмов. То есть, информация об алгоритме шифрования, поданная заказчиком, недостоверна. Недостоверной она может быть как из-за неких ошибочных выводов заказчика, так и являться следствием обмана автором вредоносной программы. Проверить это мы не можем, так как нам доступны только зашифрованные файлы.

Исходя из особенностей строения заголовков DBF файлов и изменений байт в последовательностях, можно сделать предположение, что шифрование выполнено посредством XOR операции над данными с неким паттерном. Также можно сделать предположение, исходя из длины повторяющихся последовательностей, что длина паттерна 16 байт (128 бит). Заголовок базы равен 0x04C1 байт, размер описания одного поля в заголовке 0х20 (32) байт. Из этого следует, что заголовок данного DBF файла содержит (0x4C1-0x21)/0x20=0x25 (37) описаний полей. На рис. 4 подчеркнуты красным фрагменты записей двух полей начиная со смещения 0x10, которые в случае 1С как правило имеют нулевые значения, кроме самого 0x10 (так как по этому смещению указывается размер поля), на основании этого можно полагать, что уже имеем 15 из 16 байт ключа шифрования 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.

Для нахождения последнего байта в ключе возьмем другой фрагмент этого же DBF файла.


рис. 5

На рисунке 5 обратим внимание на нулевой столбец, точнее на его нешифрованную часть, и видим, что там преобладает значение 0x20 (код пробела согласно ASCII таблицы). Соответственно, и в шифрованной части столбца будет преобладать некое одинаковое значение. Легко заметить, что это 0xFA. Для получения оригинального значения недостающего байта ключа необходимо выполнить 0xFA xor 0x20=0xDA.

Подставив полученное значение на недостающую позицию, получим полный ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.

После выполнения процедуры xor операции с полученным ключом над шифрованными участками получили оригинальное содержимое файла


рис. 6

Для окончательного контроля проведем операцию расшифровки zip архива, затем распакуем архив. Если все файлы извлеклись и не возникало ошибки CRC для какого-либо файла, то можно окончательно подтвердить корректность ключа. И финальным этапом будет распаковка остальных файлов согласно технического задания.

Данный пример говорит о том, что вероятно не все высказывания авторов вредоносного программного обеспечения правдивы. И нередко можно решить задачу восстановления пользовательских данных посредством анализа измененных данных.

Наряду с подобными простыми случаями встречаются трояны-шифровальщики, которые действительно будут использовать современные криптографические алгоритмы и в случае их атаки подобное простое решение в принципе невозможно. Посему будьте предельно осторожны при открытии любых файлов, полученных по электронной почте даже от доверенных источников. Регулярно обновляйте антивирусное ПО и делайте резервное копирование таким образом, чтобы ваши данные во всех копиях не были доступны кому-либо единовременно.




Если вы хотите купить восстановим информацию зашифрованную вирусом шифровальщиком , вы можете:
Принимаем к оплате:
Вступай в наши группы в соцсетях и получи скидку 3% на товар и от 7% на услуги:
© ПК.by 2004-2021. Все права защищены.
Оказание услуг ИП Царик УНП 590361719
Беларусь, г. Минск, ул. Чичерина, 21, офис 21
+375 17 324-94-99
+375 29 334-94-99
shop.pk.by@gmail.com
53.915449, 27.566109