Криптирани файлове: какво да правим?

Криптирани файлове: какво да правим?

Ако забележите, че файловете ви започват да се кодират или наскоро са започнали да се кодират - дърпайте захранващия кабел (дръжте натиснато продължително копчето за изключване) от заразения компютър!
Дочетете от друго устройство.
А сега, когато захранването е изключено, може спокойно да се прегледа предлагания от мен подход. Пред всеки, който се сблъска с работата на кодиращ вирус трябва да има две задачи: съхраняване на още незасегнатите данни и съхраняване на «мястото на произшествието» в първоначален вид.

Първа задача — съхраняване на данните.
Нито един кодиращ вирус не е способен да шифрова всички данни моментално, затова до приключване на кодирането някаква част от тях ще остане незасегната. И колкото повече време е минало от началото на криптирането, толкова по-малко незасегнати данни ще останат. Щом нашата задача ­ е да съхраним колкото се може повече файлове, то трябва да се прекрати работата на криптиращия вирус. Може, по принцип, да се започне анализиране на списъка с процеси, да се търси в тях кодиращия троянец, да се опитвате да го спрете… Но, повярвайте ми, дърпането на кабела е значително по-бързо! Стандартното завършване на работата на Windows ­ не е лоша алтернатива, но това може да отнеме някакво време или троянския кон със своите действия може да попречи. Затова моя избор ­ - издърпайте шнура. Несъмнено, тази стъпка си има своите минуси: вероятност от повреждане на файловата система и невъзможност за бъдещо сваляне на дъмп на RAM-а. Повредената файлова система за неподготвен потребител е по-сериозен проблем от криптиращия вирус. След енкодера ще останат поне файловете, повредените таблици на дяловете ще доведе до невъзможност да се зарежда ОС. От друга страна, грамотния специалист по възстановяване на данни ще възстанови тази таблица без особени проблеми, а криптиращия вирус няма да засегне доста файлове.
Дъмпа на оперативната памет, свален в момент на действие на троянския криптиращ вирус, може много силно да помогне в бъдеще, но обикновения потребител едва ли ще знае какво да го направи. За търсене на решение ще трябва доста време, а полза от дъмпа не винаги може да се извлече.

Втора задача — съхраняване на «местото на произшествието» за бъдещо изучаване.
Защо това е така важно? Всяка работа по декриптиране на файлове започва с това, че ние се опитваме да разберем, какво именно е станало, да се получи пълна картина на станалото. В идеалния случай ние получаваме всички файлове, които са работили в процеса на криптиране. Техния анализ дава възможност да се разбере, как е станало криптирането, оставил ли е троянеца артефакти, които ще позволят да се облекчи разшифроването.
Идеалния начин е да се консервира практически всичко, което означава все пак да се включи захранването, но без да се зарежда операционната система, в която е бил стартиран криптиращия вирус. За достъп до данните от диска (а такъв достъп със сигурност е нужен) може да се ползва LiveCD с някаква версия на Linux. Може също така да се включи диска към незаразен компютър, но така има риск от стартиране на вируса в новата система или пък да се променят файлове на поразените дискове. Затова най-добре е LiveCD.
На този етап ние имаме, в идеалния случай, компютър, който е бил изключен веднага след откриване на криптирането и нито веднъж не е включван. Практически такъв случай почти не съществува: аз не мога да се спомня нито един такъв случай от почти три хиляди. По-скоро, във вашия случай криптирането вече е приключило, а изключване на компютъра за продължително време не става по една или друга причина. И тук е важно да се разбере, как трябва (а по-точно, как не трябва) да се работи с такава «недоконсервирана» система, обръщайки внимание на задачата - «максимално съхраняване».

Първо правило: не се паникьосвайте.
Още веднъж се убедете, че няма криптиране на нови файлове, в противен случай ­ изключете компютъра. Необмислени и прибързани действия след приключване на кодирането могат (и не веднъж са довеждали!) до големи проблеми, повече от самото криптиране. В този момент всичко най-лошо вече се е случило и трябва да се решава спокойно проблема.

Второ правило: нищо да не се чисти, да не се изтрива, системата да не се преинсталира.
За декриптирането най-голямо значение може да има незабележимото файлче от 40 байта в директория за временните (temp) файлове или непонятен шорткът на десктопа. Вие със сигурност не знаете, ще бъдат ли важни те за декриптирането или не, затова най-добре не пипайте нищо. Чистене на регистъра ­ въобще е съмнителна процедура, а някои криптиращи вируси оставят там важни за разшифроване на следите от работа. Антивирусите, разбира се, могат да открият тялото на троянеца кодировчик. И дори могат да го премахнат веднъж завинаги, но какво ще остане за анализ? Как ще разберем как и с какво са шифровани файловете? Затова най-добре оставете звяра на диска. Още един важен момент: аз не познавам нито едно средства за чистене на системи, което би предвидило вероятното действие на криптиращ вирус и бе съхранило всички нужни следи от вредното му действие. И, по-скоро, такива средства никога няма да се появят. Преинсталирането на системата точно ще унищожи всички следи на троянеца без криптираните файлове.

Трето правило: оставете декриптирането на професионалистите.
Ако зад гърба си имате няколко години в писане на програми, вие действително разбирате какво е това RC4, AES, RSA и в какво се различават, вие знаете, какво е това Hiew и какво означава 0xDEADC0DE ­ можете да пробвате. Останалите не ви съветвам да започвате. Да допуснем, вие сте намерили някаква чудна методика за разкодиране на файлове и дори сте успели да декодирате даден файл. Това не е гаранция, че метода ще работи с всичките ваши файлове. Нещо повече, това не е гаранция че по тази методика няма да повредите файловете си още повече. Дори в нашата работа се случват неприятни моменти, когато в кода при декодирането се откриват сериозни грешки, но в хиляди случаи до този момент кода е работил както трябва.
Сега, когато е ясно какво да правите и какво да не правите, можем да пристъпим към декриптирането. По теория, декриптирането е възможно почти винаги. Това ако знаете всички нужни за него данни или пък имате неограничено количество пари, време и процесорни ядра. На практика нещо може да бъде разкодирано почти веднага. Нещо ще чака своя ред няколко месеца или даже години. За някои случаи може дори и да не се започва: суперкомпютър даром за 5 години под наем никой няма да ни даде. Лошо е още и това, че на пръв поглед простия случай при подробно разглеждане се оказва изключително сложен. Към кого да се обърнете решавате вие. Можете да се обърнете към нас, можете да се обърнете към престъпниците, изискващи откуп, а можете към неизвестния съсед, който казва че всичко ще оправи за 5 минути. Ние имаме многогодишен опит в декриптирането на данни, нашата компания има софтуер за декриптиране на файлове за над хиляди различни варианти енкодери и ние го доработваме за нови варианти.
Във всеки случай, желая успехи във възстановяването на данни и колкото се може по-рядко да се сблъсквате с криптиращи вируси!

ВНИМАНИЕ! Лабораторията по декриптиране на dr.Web извършва платена услуга за възстановяване на криптирани файлове за клиенти ползващи други антивирусни продукти към датата на заразяване.
В пакета Dr.Web Rescue Pack е включен двугодишен лиценз за Dr.Web Security Space и инструмент за декриптиране.


Автор: Владимир Мартянов - специалист по енкодери, поддържа база знания по криптиращи вируси на форума на Dr.Web
Сайт: http://vmartyanov.ru/encrypted-files-what-to-do/
Вижте и другата преведена от автора статия - Криптовируси - често задавани въпроси

Превод: Борислав Кирилов


.

За собствениците на сайтове: услуга за защита на сайт

GanMax.com е сайт, който предлага услугата "Хакер под наем". Проверете дали вашият сайт може да бъде компрометиран.
Ако имате съмнения или знаете, че сайтът Ви е бил хакнат, се свържете с GanMax за възстановяване и почистване на сайта.
Не е достатъчно да възстановите сайта си от архив, защото ще бъде хакнат отново сравнително бързо.
Препоръчваме Ви услугите на GanMax за поддръжка и защита на сайт.
  • Архив

    «   Август 2018   »
    Пн Вт Ср Чт Пт Сб Нд
        1 2 3 4 5
    6 7 8 9 10 11 12
    13 14 15 16 17 18 19
    20 21 22 23 24 25 26
    27 28 29 30 31    

Заради GDPR всички данни на абонати са премахнати, а абонирането на нови е спряно!

Не е намерено рубрики за абонамент.