Шифровальщики. Победа добра над злом!

На сегодняшний день тема шифрования файлов достаточно актуальна. Очень многие пользователи часто интересуются, а что же делать в случае заражения персонального компьютера, и что можно предпринять, чтобы удалить вредоносную программу раз и навсегда.

IMG_0769

Что же конкретно делает с файлами вирус-шифровальщик? На первый взгляд кажется, что он просто меняет расширение со стандартного на .vault, Da_vinci_code и другие аналогичные расширения.

Vault – это некий шифровальщик данных. Он проникает в систему и меняет расширения данных, которые находятся на компьютере. Намного серьезнее проблема становится в тот момент, когда вирус поражает системные файлы. При этом жертва должна заплатить за расшифровку Vault файлов значительную сумму.

Da_vinci_code — сочетает в себе черты разных обнаруженных ранее шифровальщиков. Как заявляют авторы вируса, в отличии от более ранних версий, которые использовали режим шифрования RSA-2048 с длиной ключа 2048 бит, da_vinci_code вирус использует ещё более стойкий режим шифрования, с большей длинной ключа. При заражении компьютера вирусом-шифровальщиком da_vinci_code, эта вредоносная программа копирует своё тело в системную папку и добавляет запись в реестр Windows, обеспечивая себе автоматический запуск при каждом старте компьютера. После чего вирус приступает к зашифровке файлов. Каждому заражённому компьютеру .da_vinci_code шифровальщик присваивает уникальный ID, который жертва должна выслать авторам вируса для того чтобы получить свой собственный ключ расшифровки. При этом жертва должна заплатить за расшифровку .da_vinci_code файлов значительную сумму.

Trojan.Encoder.225 — используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99%.

Trojan.Encoder.94, Trojan.Encoder.263 и другие троянцы-шифровальщики, список можно продолжать бесконечно. При любом заражении жертва должна заплатить крупную сумму денег (начиная от 10 тысяч рублей).

Когда я первый раз увидел работу шифровальщика, я так и подумал, что это детская разводка. Переименовал обратно файл и очень удивился, когда он не открылся как полагается, а вместо положенного содержания открылась каша из непонятных символов.

Вирусы проходит по всем популярным типам файлов — odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Чаще всего троянцы-шифровальщики распространяются с использованием вредоносных спам-рассылок. Например, шифровальщик может попасть в операционную систему с помощью письма, содержащего вложения в виде документа RTF (но с расширением .doc), эксплуатирующего уязвимость Microsoft Office. С использованием этого эксплойта на компьютер жертвы устанавливается троянец-загрузчик, который в свою очередь скачивает с управляющего сервера Trojan.Encoder. Троянец (Da_vinci_code, vault,Trojan.Encoder.94) нередко скачивается на компьютер жертвы с использованием бэкдора BackDoor.Poison, который, в свою очередь, массово рассылается в письмах с вложенными файлами Порядок работы с просроченной задолженностью.doc и ПОСТАНОВЛЕНИЕ АРБИТРАЖНОГО СУДА.exe.

Encoder_email.1

Вирусы-шифровальщики чаще всего распознаются и удаляется (уже) почти любым антивирусом со свежими базами. Файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283), (Da_vinci_code),  (Vault) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», «Антивирус Касперского» и другими компаниями, которые занимаются безопасностью.

В июне 2013 года был отмечен значительный всплеск количества случаев заражения вредоносными программами семейства Trojan.Encoder, при этом от последней модификации Trojan.Encoder.225 пострадало более 160 пользователей из России и Украины, обратившихся за помощью в компанию «Доктор Веб». Этот троянец написан на языке Delphi и имеет три версии. В предыдущей модификации троянца для связи злоумышленники используют адрес электронной почты milenium56m1@yahoo.com, в последней из известных — marikol8965@yahoo.com. Файлы, зашифрованные ранними версиями Trojan.Encoder.225, поддаются расшифровке. Над средством восстановления файлов, пострадавших от более поздней модификации троянца, в настоящий момент ведется работа.

Что касается наиболее распространенного троянца-шифровальщика, Trojan.Encoder.94, то он насчитывает рекордное число модификаций — более 350. Файлы, зашифрованные большей частью версий Trojan.Encoder.94, поддаются расшифровке. Жертвами Trojan.Encoder.94 за истекший месяц стали более 680 пользователей.

Всего за последние три месяца в антивирусную лабораторию «Доктор Веб» поступило порядка 2 800 обращений от пользователей, пострадавших в результате заражения троянцами-шифровальщиками. Благодаря тому, что злоумышленники непрерывно усложняют механизмы шифрования, вирусным аналитикам приходится решать все более сложные математические задачи в условиях возрастающего потока заявок от жертв энкодеров. В связи с большим числом запросов на лечение и заметно возросшей нагрузкой на антивирусную лабораторию с 19 июня 2013 года помощь в расшифровке файлов оказывается только зарегистрированным пользователям продуктов компании «Доктор Веб».

Если вы стали жертвой одной из таких вредоносных программ, ни в коем случае не переводите деньги киберпреступникам и не пытайтесь самостоятельно устранить последствия заражения (не переустанавливайте операционную систему и не удаляйте никаких файлов на вашем компьютере), т. к. при этом существует высокая вероятность безвозвратной потери данных. Не забывайте о необходимости своевременного резервного копирования хранящейся на жестких дисках вашего компьютера информации.

Какого-то надежного и 100%-го способа защиты от подобных вирусов не существует. Можно лишь повторить стандартные рекомендации, которые актуальны для любых вирусов в интернете:

  1. Не запускайте незнакомые приложения, ни в почте, ни скачанные из интернета. Старайтесь вообще из интернета ничего не качать и не запускать. Там сейчас столько всякой гадости валяется на файлопомойках, что защититься от них без должного понимания практически невозможно. Попросите лучше компетентного знакомого вам что-то найти в интернете и отблагодарите его за это.
  2. Всегда имейте резервную копию важных данных. Причем хранить ее нужно отключенной от компьютера или сети. Храните отдельную флешку или внешний жесткий диск для архивных копий. Подключайте их раз в неделю к компьютеру, копируйте файлы, отключайте и больше не пользуйтесь. Для повседневных нужд приобретайте отдельные устройства, сейчас они очень доступны, не экономьте. В современный век информационных технологий информация — самый ценный ресурс, важнее носителей. Лучше купить лишнюю флешку, чем потерять важные данные.
  3. Повысьте меру своего понимания происходящих в компьютере процессах. Сейчас компьютеры, планшеты, ноутбуки, смартфоны настолько плотно вошли в нашу жизнь, что не уметь в них разбираться значит отставать от современного ритма жизни. Никакой антивирус и специалист не сможет защитить ваши данные, если вы сами не научитесь это делать. Уделите время, почитайте тематические статьи на тему информационной безопасности, сходите на соответствующие курсы, повысьте свою компьютерную грамотность. Это в современной жизни обязательно пригодится.
  4. Большинство современных антивирусных программ уже имеют встроенную систему защиты от проникновения и активизации вирусов-шифровальщиков. Более того, существуют и специализированные защитные программы. Например это CryptoPrevent.

Действие после заражения:

  1. Изолируем зараженный персональный компьютер из локальной сети
  2. Проверяем файлы с помощью антивирусной защиты (есть вероятность, что вирус ее отключил), проверяем компьютер с помощью антивируса cure it, dr web. Чистим с помощью ccleaner
  3. Чистим реестр. Например, при заражении Da_vinci_code существует Client Server Runtime Subsystem и он имеет значение dcbege.ru. Через реестр удаляем параметр и его значение!redaktor_reestra_poisk
  4. Либо выплачиваем хакерам огромные суммы денег (от 10 тысяч рублей), либо пытаемся восстановить с помощью программ, которые предложены ниже или обращаемся в службу поддержки своего антивируса.

Некоторые файлы, зараженные вирусами-шифровальщиками восстановить возможно самостоятельно с помощью специализированных программ, которые доступы в интернете. 

Например используя программу ShadowExplorer можно восстановить файлы, которые имеют расширение da_vinci_code

ShadowExplorer — небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

shadowexplorer_dc

QPhotoRec— небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

QPhotoRec

Теневые снимки автоматически создаются в фоновом режиме, без каких либо действий со стороны пользователя и незаметно для него, при существенных изменениях операционной системы и периодически, заданиями планировщика. Имеется возможность создания теневой копии в ручном режиме, с использованием средства создания точек восстановления для дисков с включенной защитой. (Например, в Windows 10 — ПараметрыСистемаО системеСведения о системеЗащита системы. Или запустить от имени администратора приложение systempropertiesprotection.exe).

Технология теневого копирования (Volume Shadow Copy) в операционных системах Microsoft начала использоваться еще в Windows XP / Server2003 и продолжает использоваться с некоторыми усовершенствованиями во всех последующих версиях Windows. Применяется для создания системных точек восстановления, резервных копий системы и архивирования пользовательских данных. Теневое копирование реализовано с использованием специальной службы Volume Shadow Copy Service (VSS) (Теневое копирование ) и драйверов, позволяющих выполнять копирование системных и заблокированных файлов, с которыми в данный момент времени ведется работа. VSS работает на уровне блоков файловой системы. При создании снимка, программное обеспечение теневого копирования взаимодействует с прочими компонентами операционной системы и прикладными программами, добиваясь того, чтобы во время снятия снимка блока, последний не изменился. Процесс копирования данных может быть произведен как с отдельной файловой системой, так и со специальным оборудованием. В последних версиях служба VSS поддерживает абстракцию функционирования операционной системы. Технология копирования не требует обязательного наличия файловой системы NTFS, но, тем не менее, ей нужна хотя бы одна файловая система NTFS, в которую сохраняется образ. Фактически, служба теневого копирования VSS, является посредником между приложением и оборудованием. К примеру, в продукте виртуализации Hyper-V в Windows Server 2008 полный образ среды, включая виртуальные машины, может быть создан за одну операцию и образы, созданные разными VSS, совместимы между собой и с гостевыми операционными системами. Технология теневого копирования обеспечивает “заморозку” файловой системы (flush and hold) при создании снимка, и обеспечивает уведомление приложений (writers) о создании снимков, для того, чтобы они внесли необходимые изменения в свои данные перед созданием снимка, что обеспечивает логическую целостность информации.

Восстановить информацию всегда возможно!

Читайте также: