Dr web дешифратор

Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы

Dr web дешифратор

“Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов…”. Текст сообщения – дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи.

Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1

Один мой знакомый попросил помочь ему в расшифровке файлов, зашифрованных накануне. Вот и решил проверить работу службу DrWeb, надо сказать что ответ пришел довольно быстро (буквально через пару часов) правда и не утешительный:

Добрый день!
Благодарим за обращение в техническую поддержку “Доктор Веб”.

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293

На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки – эффективных алгоритмов факторизации для шифра RSA современной науке не известно.

Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление “К” МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений, а также ссылка на госпортал (“Порядок приема сообщений о происшествии в органах внутренних дел РФ”) есть на нашем сайте: http://legal.drweb.com/templates

Возможно, в результате полицейской акции поймают автора/”хозяина” троянца и выяснят у него шифроключ.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.

Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к.

в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.

При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.

Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 – такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:

http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

Способ её применения в вашем случае следующий:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177

или:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177 -path D:\Path

– так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Результаты сохраняются в новые файлы по принципу:

“документ.doc.SOS@AUSI.COM_FG177” (зашифрованный) => “документ.doc” (реконструированный)

С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.

Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.

С уважением, служба технической поддержки компании “Доктор Веб”.

В письме встречается .SOS@AUSI.COM_FG177 – это расширение, которое получили зашифрованные файлы. С помощью утилиты te102decrypt.exe всё-таки удалось восстановить пару файлов из тех, которые мне прислали. Так что попробовать стоит, хуже не будет. Такие дела…

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Фальшивые штрафы за нарушение карантинаШифрование файлов с помощью OpenSSLГлушим соседский Wi-FiВаш компьютер заблокирован за рассылку спамаВосстановление данных с RAID массива на контроллере Adaptec 6405Детям тут не место. Зачем нужна песочница в Windows 10?

Источник: https://mdex-nn.ru/page/fajly-zashifrovany-trojan-encoder.html

Обзор антивируса Dr.Web – традиционное решение сложных проблем

Dr web дешифратор

От антивируса пользователю требуется “немного” – чтобы не мешал в работе, не пугал надоедливой рекламой и не тратя ресурсов компьютера ловил все вирусы до одного. И антивирус Dr.Web отвечает этим требованиям на все 100.

Установка антивируса проста как свои пять пальцев. Ее можно провести лишь нажимая на кнопку “Далее”, но мы можем подсказать, как получить от антивируса больше.

Во первых отметьте в начале установки галочкой пункт Установить Брандмауэр Dr.Web. Сейчас вирусы (да и хакеры тоже) не мыслят себя без связи со всемирной сетью – и вот тут на их пути встает Брандмауэр Dr.Web – не давая ни войти хакерам, не выйти установленным ими когда-то утилитам для получения команд из вражеского “центра”.

Здесь же отметим, что антивирус Dr.Web отличается редкой по нынешним  временам особенностью – он не загружает файлы пользователей на свои сервера для дополнительных анализов. Это четко прописано в его политике.

И еще одна “кстати”. В дополнительных настройках есть неприметная опция – Запрещать эмуляцию действий пользователя.

Нужна она для того, чтобы удаленный пользователь, например, хакер, получивший доступ на ваш компьютер, не удалил ваш антивирус, чтобы тот не препятствовал его работе. Бухгалтеры, которых именно так обычно и атакуют, данную защиту думаю оценят.

А теперь самое важное место – регистрация серийного номера.

Дело в том, что, если вы купили 2 лицензии Dr.Web (или купили коробку с антивирусом в магазине на двух пользователей), то вы можете зарегистрировать обе лицензии на себя. И получите дополнительные 150 дней действия антивируса. Почти полгода!

Активировать обе лицензии можно как во время установки, так и после нее. Бонус все равно будет.

Завершаем установку и перезагружаемся. Зачем? Да очень просто. Хакеры не любят антивирусы и любят их сносить. Чтобы этого не допустить у Dr.Web есть самозащита – она не дает изменить настройки антивируса никому, даже вашему ребенку, которому вы запретили играть по ночам. Вот этот модуль самозащиты и устанавливается при перезагрузке.

Собственно и все. Теперь Dr.Web будет молча ловить всю заразу, которой переполнен Интернет (а также флешки, которые ваши дети приносят от друзей).

Что мы получаем сразу после установки?

Dr.Web Security Space (а это лучший выбор, если мы хотим защититься от всего спектра современных угроз, так как “просто антивирусы” не позволяют надежно защититься от угроз нулевого дня – скажем тех, для которых уже есть заплатки, но эти заплатки еще не доставлены на компьютер пользователя) по умолчанию устанавливает следующие свои модули (их спимок можно скажем задать при установке ):

  • главный компонент – SpIDer Guard. Он следит за всеми запускаемыми файлами и проверяет их до запуска. Кстати особенность 12й версии — данный модуль использует для анализа не только традиционные антивирусные базы, но и правила, сформированные с помощью машинного обучения (то самое, которое журналисты часто называют искусственным интеллектом).
  • не менее важный компонент – SpIDer Gate. Модуль проверки трафика. Крайне важен, так как зачастую файлы, скачанные браузером, не записываются на диск и не попадают поэтому в зону ответственности предыдущего компонента. При том числе майнеров и прочих следящих за нами модулей – жить без этого модуля не рекомендуется.
  • Проверка почты. SpIDer Mail. В связи с разнообразием современной почты и тем, что компания Microsoft не любит открытые стандарты, дополняется модулем Dr.Web для Outlook (это специальный модуль, который проверяет почтовые ящики Microsoft Outlook) Современная почта доставляется по защищенному каналу, а, значит, чтобы ее проверить до открытия пользователем тоже нужен специальный модуль. SpIDer Mail обнаруживает и обезвреживает угрозы до получения писем почтовым клиентом с сервера или до отправки письма на почтовый сервер.
  • Антиспам. Назначение понятно, работает вместе с предыдущим модулем и защищает от спамеров и фишеров.
  • Антивирусный сканер Сканер Dr.Web. Запускается по запросу пользователя или по расписанию и производит глубочайшую антивирусную проверку компьютера.
  • Брандмауэр Dr.Web. О нем мы уже говорили, это персональный межсетевой экран, предназначенный для защиты вашего компьютера от несанкционированного доступа извне и предотвращения утечки важных данных по сети.
  • Родительский контроль — компонент, который ограничивает доступ к сайтам, файлам и папкам, а также позволяет ограничить время работы в сети Интернет и за компьютером для каждого пользователя компьютера.
  • Поведенческий анализ и Защита от эксплойтов — компоненты, контролирующие доступ приложений к критически важным объектам системы и обеспечивающий целостность запущенных приложений.
  • Защита от вымогателей — компонент, обеспечивающий защиту от вирусов-шифровальщиков.
  • Облако Dr.Web – модуль, позволяющий обнаруживать вредоносные программы на основе знаний об их поведении. Как уже было отмечено – файлов пользователя в сеть не загружает.
  • Антивирусная сеть – компонент, позволяющий вам управлять защитой нескольких компьютеров, если конечно на них установлен Dr.Web.
  • Защита от потери данных – уникальный модуль, позволяющий назначить папки, доступ к которым будет только у доверенных программ, но никак не у вирусов.
  • Защита от слежки через микрофон и вебкамеры. Отличная альтернатива заклеиванию т того и другого, о их настройке поговорим ниже.
  • Защита сменных устройств. Позволяет ограничить список устройств, имеющих доступ к компьютеру. Жизненно важная штука.

Dr.Web Security Space обеспечивает многоуровневую защиту всех компонентов защищаемых компьютеров: системной памяти, жестких дисков и сменных носителей от проникновений вирусов, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и различных вредоносных объектов из любых внешних источников

И сразу о детях (или о ваших пожилых родителях, которым вы настроили Интернет). Поживиться на них хотят многие мошенники, и им этого позволять не стоит

Кликаем на зеленый щиток в трее, далее пункт “Центр безопасности” и далее “Родительский контроль”.

На экране перечислены все пользователи вашего компьютера (напомним, что если вы хотите задать разные ограничения для разных пользователей, то каждый из них должен заходить на компьютер под своей учетной записью. Увы, но антивирус не видит, кто сидит перед компьютером).

Нажимаем на замочек в нижнем углу и выбираем пользователя.

Как видим по умолчанию Интернет без ограничений. Непорядок

Выбираем Ограничивать доступ по категориям (если мы выберем Разрешать доступ только к сайтам из белого списка , то нам самим придется задать список разрешенных сайтов).

Теперь получить доступ к вредоносным сайтам станет сложнее.

На закладке “Время” вы можете ограничить время работ за компьютером.

Полезная возможность. А закладка Файлы и папки еще полезнее

Вы можете задать список папок, к которым пользователь или вообще не будет иметь доступ (не все фотографии нужно видеть всем!), или не сможет изменить их содержимое

Всем думаем известно, что хакеры – вуайеристы – любят подглядывать и подслушивать. Можно конечно заклеить пленкой камеру и микрофон, но есть способ лучше. В том же окне Центр безопасности есть раздел Устройства и личные данные. Там есть два похожих раздела – Веб-камеры и Микрофоны. Настройка их аналогична, зайдем в один такой.

Вы можете полностью разрешить доступ к камере, блокировать ее или при попытке доступа к ней выводить запрос. И конечно можете выбрать и указать программу, которая должна иметь возможность работать с камерой (или микрофоном).

Еще одна часть раздела Устройства и личные данные – Устройсва. Второй по популярности метод проникновения вредоносных программ на ваши компьютеры – сменные устройства. Если вы хотите прекратить вседозволенный доступ любых флешек к вашему компьютеру – заходим в этот раздел и настраиваем ограничения. От полного запрета и до списка разрешенных флешек и сменных устройств.

Вставляем флешку и отмечаем ее.

Доступ к устройству кстати также может быть разным у разных пользователей.

Что в итоге?

За время работы антивируса проблем выявлено не было. Управления антивирусом простое, а если вы не хотите настраивать ограничения, то и вовсе можете забыть о настройках.

Хотя, если посмотреть правде в глаза в наше время, то по словам аналитиков “Доктор Веб”,  к ним приходит на анализ до миллиона образцов вредоносных программ в день.

Это ли не повод сделать защиту информации на ваших устройстваях и компьютерах строже? Как на мой взгляд, то сред представленных на рынке антивирусов свою цену антивирус Dr.Web оправдывает с лихвой.

Источник: https://club.dns-shop.ru/review/t-57-tehnologii/21721-obzor-antivirusa-dr-web-traditsionnoe-reshenie-slojnyih-problem/

Wulfric Ransomware – шифровальщик, которого нет

Dr web дешифратор
Порой так хочется заглянуть какому-нибудь вирусописателю в глаза и спросить: зачем и почему? С ответом на вопрос «как» мы справимся сами, а вот узнать, чем думал руководствовался тот или иной создатель вредоносного ПО, было бы очень интересно. Тем более, когда нам попадаются такие «жемчужины».

Герой сегодняшней статьи – интересный экземпляр шифровальщика. Задумывался он, по всей видимости, как очередной «вымогатель», но его техническая реализация больше похожа на чью-то злую шутку. Об этой реализации сегодня и поговорим.

К сожалению, проследить жизненный цикл этого энкодера практически невозможно – слишком уже мало статистики по нему, так как распространения он, к счастью, не получил. Поэтому оставим за скобками происхождение, методы заражения и прочие упоминания.

Расскажем лишь о нашем случае знакомства с Wulfric Ransomware и о том, как мы помогли пользователю спасти его файлы.

В нашу антивирусную лабораторию часто обращаются люди, пострадавшие от шифровальщиков. Мы оказываем помощь вне зависимости от того, какие антивирусные продукты у них установлены. В этот раз к нам обратился человек, чьи файлы оказались поражены неизвестным энкодером.Добрый день! Были зашифрованы файлы на файловом хранилище (samba4) с беспарольным входом. Подозреваю, что зараза пошла с компьютера дочери (Windows 10 со штатной защитой Windows Defender). Компьютер дочери не включали после этого. Файлы зашифрованы в основном .jpg и .cr2. Расширение файлов после шифрования: .aef. Мы получили от пользователя образцы зашифрованных файлов, записку о выкупе и файл, который, вероятно, является ключом, необходимым автору шифровальщика для расшифровки файлов. Вот и все наши зацепки:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

Давайте взглянем на записку. Сколько биткоинов на этот раз?

Перевод:

Внимание, ваши файлы зашифрованы! пароль уникален для вашего ПК. Заплатите сумму 0.05 BTC на биткоин-адрес: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF После оплаты отправьте мне письмо, прикрепив файл pass.key на Wulfric@gmx.com с уведомлением об оплате. После подтверждения я вышлю вам расшифровщик для файлов. Вы можете оплатить биткоины онлайн разными способами:

buy.blockexplorer.com — оплата банковской картой

www.buybitcoinworldwide.com
localbitcoins.net О биткоинах:

en.wikipedia.org/wiki/Bitcoin

Если у вас есть какие-то вопросы, пишите мне на Wulfric@gmx.com

В качестве бонуса я расскажу, как взломан ваш компьютер и как его защитить в будущем.

Пафосный волк, призванный показать жертве серьезность ситуации. Впрочем, могло быть и хуже.
Рис. 1. -As a bonus, I will tell you how to protect your computer in the future. –Seems legit. Первым делом мы взглянули на структуру присланного образца. Как ни странно, он не был похож на файл, пострадавший от шифровальщика. Открываем шестнадцатеричный редактор и смотрим. В первых 4 байтах содержится оригинальный размер файла, следующие 60 байт заполнены нулями. Но самое интересное находится в конце:
Рис. 2 Анализируем поврежденный файл. Что сразу бросается в глаза? Все оказалось до обидного просто: 0х40 байт из заголовка были перенесены в конец файла. Для восстановления данных достаточно просто вернуть их в начало. Доступ к файлу восстановлен, но зашифрованным осталось название, и с ним все сложнее.
Рис. 3. Зашифрованное название в Base64 выглядит как бессвязный набор символов.

Попробуем разобрать pass.key, отправленный пользователем. В нем мы видим 162-байтную последовательность символов в ASCII.

Рис. 4. 162 символа, оставленные на ПК жертвы. Если приглядеться, то можно заметить, что символы повторяются с определенной периодичностью. Это может свидетельствовать об использовании XOR, где свойственны повторения, частота которых зависит от длины ключа. Разбив строку по 6 символов и проXORив некоторыми вариантами XOR-последовательностей, какого-либо осмысленного результата мы не добились.
Рис. 5. Видите повторяющиеся константы в середине? Решили погуглить константы, потому что да, так тоже можно! И все они в итоге привели к одному алгоритму − Batch Encryption. После изучения скрипта стало понятно, что наша строка – это не что иное, как результат его работы. Следует упомянуть, что это вовсе не шифровальщик, а всего-навсего кодировщик, заменяющий символы на 6-байтные последовательности. Никаких тебе ключей или других секретов 🙁
Рис. 6. Кусок оригинального алгоритма неизвестного авторства. Алгоритм не работал бы как надо, если бы не одна деталь:
Рис. 7. Morpheus approved.

С помощью обратной подстановки превращаем строку из pass.key в текст из 27 символов. Особого внимания заслуживает человеческий (скорее всего) текст ‘asmodat’.

Рис.8. USGFDG=7. Нам снова поможет Google. После небольшого поиска находим интересный проект на GitHub – Folder Locker, написанный на .Net и использующий библиотеку ‘asmodat’ с другого аккаунта на «Гите».
Рис. 9. Интерфейс Folder Locker. Обязательно проверили на вредоносность. Утилита представляет собой шифратор для Windows 7 и выше, который распространяется с открытым исходным кодом. При шифровке используется пароль, необходимый для последующей дешифровки. Позволяет работать как с отдельными файлами, так и с целыми директориями. Ее библиотека использует симметричный алгоритм шифрования Rijndael в режиме CBC. Примечательно, что размер блока был выбран равным 256 бит – в отличие от принятого в стандарте AES. В последнем размер ограничивается 128 битами. Наш ключ формируется по стандарту PBKDF2. При этом паролем выступает SHA-256 от введенной в утилите строки. Остается лишь найти эту строку, чтобы сформировать ключ дешифровки.

Что ж, вернемся к нашему уже раскодированному pass.key. Помните ту строчку с набором цифр и текстом ‘asmodat’? Пробуем использовать первые 20 байт строки в качестве пароля для Folder Locker.

Гляди-ка, работает! Кодовое слово подошло, и все прекрасно расшифровалось. Судя по символам пароля – это HEX-представление определенного слова в ASCII. Попробуем отобразить кодовое слово в текстовом виде. Получаем ‘shadowwolf’. Уже чувствуете симптомы ликантропии?

Давайте еще раз взглянем на структуру пораженного файла, теперь уже зная механизм работы локера:

  • 02 00 00 00 – режим шифрования имен;
  • 58 00 00 00 – длина зашифрованного и закодированного в base64 имени файла;
  • 40 00 00 00 – размер перенесенного заголовка.

Красным и желтым выделены само зашифрованное имя и перенесенный заголовок соответственно.
Рис. 10. Красным выделено зашифрованное имя, желтым – перенесенный заголовок. А теперь сравним зашифрованное и расшифрованное имена в шестнадцатеричном представлении. Структура расшифрованных данных:

  • 78 B9 B8 2E – мусор, созданный утилитой (4 байта);
  • 0С 00 00 00 – длина расшифрованного имени (12 байт);
  • далее идет, собственно, имя файла и дополнение нулями до нужной длины блока (паддинг).

Рис. 11. IMG_4114 выглядит куда лучше. Возвращаясь к началу. Мы не знаем, чем руководствовался автор Wulfric.Ransomware и какую цель он преследовал. Безусловно, для рядового пользователя результат работы даже такого шифровальщика покажется большой бедой. Файлы не открываются. Все названия пропали. Вместо привычной картинки – волк на экране. Заставляют читать про биткоины. Правда, в этот раз под личиной «страшного энкодера» скрывалась такая вот нелепая и бестолковая попытка вымогательства, где злоумышленник использует готовые программы и оставляет ключи прямо на месте преступления.

Кстати, о ключах. У нас не было вредоносного скрипта или трояна, по которому можно было бы понять, как возник этот pass.key – механизм появления файла на зараженном ПК остается неизвестным. Но, помнится, в своей записке автор упоминал об уникальности пароля. Так вот, кодовое слово для расшифровки настолько же уникально, насколько уникальным является юзернейм shadow wolf 🙂

И все же, теневой волк, зачем и почему?

Источник: https://habr.com/ru/company/drweb/blog/486908/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.