lubezniy

20 сентября 2016 в "Всякие мысли о разном"

Полезные ссылки для столкнувшихся с вредоносами-шифровальщиками

Наткнулся на подборку ссылок на программы дешифровки для тех, кто получил проблемы с вирусами-шифровальщиками. Сохраню ссылки себе на память; может, ещё кому полезны будут. Только использовать эти инструменты нужно с осторожностью, лучше на "здоровом" компьютере, скопировав на него зашифрованные и другие необходимые файлы с диска проблемной машины (её при обнаружении шифровальщика лучше вообще выключить и не включать, чтобы не дать шифровальщику зашифровать что-то ещё и "замести следы", что может осложнить расшифровку).

https://www.nomoreransom.org/decryption-tools.html
https://decrypter.emsisoft.com/
https://success.trendmicro.com/solution/1114221
https://noransom.kaspersky.com/

Нравится 6

Это понравилось

еще3

1568

Гравиола

21 сентября 2016

Спасибо. Один компьютер как раз сегодня словил такого шифровальщика vault. Проблема в том, что человек, который открыл вредоносную рассылку, сразу ничего не сказал, побоялся. Когда я увидела, все выключила. А дальше что делать? Нужно остановить процесс шифрования оставшихся файлов. Зайти через безопасный режим и удалить шифровальщика, кроме файлов ключей? Вирус находится в папке Temp.

lubezniy

21 сентября 2016

Я в таких случаях вынимаю жёсткий диск из компьютера и ставлю в другой, "здоровый" компьютер в качестве дополнительного, строго контролируя, чтобы загрузка не началась с заражённого диска. Безопасный режим может и не помочь. А потом, когда Windows увидит диск, можно уже искать на нём нужные файлы - и удалённые оригиналы (с помощью программ восстановления удалённых файлов вроде Recuva, FreeUndelete или TestDisk), и ключи, если вредонос их ещё не потёр, и зашифрованные файлы. Восстановленное можно на этот же здоровый компьютер и скопировать (а заодно сделать туда резервную копию незашифрованного), а затем заняться чисткой "больной" машины хотя бы с помощью антивируса.
И, кстати, vault ещё и на сетевых дисках файлы шифрует. Так что при наличии таковых зашифрованные файлы там тоже нужно искать под восстановление.

lubezniy

21 сентября 2016

Гравиола, ну как, получается что-нибудь?

Гравиола

21 сентября 2016

Сделала все как Вы написали. Спасибо за совет. Теперь не могу найти вредоносные файлы. Похоже они удалились. Остались только два файла key. Некоторые файлы зашифровались, некоторые-нет. Пробую расшифровать. 1С открывается, данные вроде все на месте, но не могу выгрузить базу.

lubezniy

21 сентября 2016

В смысле - вредоносные файлы? То, что нужно вычистить?

Гравиола

21 сентября 2016

В смысле - вредоносные файлы? То, что нужно вычистить?

Да. Шифровальщик распаковался в папку temp, а сейчас там осталось только два файла. С расширением key.

lubezniy

21 сентября 2016

Ну, наверное, их тогда и чистить не нужно? Или без них не получится расшифровать?

Гравиола

21 сентября 2016

Ну, наверное, их тогда и чистить не нужно? Или без них не получится расшифровать?

Как я поняла их удалять нельзя. Vault.key - это наша пара ключей. Вторая пара - у мошенников. Confirmation.key - список зашифрованных файлов. Предлагается отправить мошенникам, чтобы они выставили счет за свои ключи. От количества зашифрованных файлов зависит цена. Ради интереса отправила, хочу узнать сколько запросят. Ради интереса. Знакомые столкнулись с этим же шифровальщиком, говорят у них просили биткоины.
Пришел ответ от техподдержки антивирусника. Помочь они ничем не могут, сожалеют и предлагают обратиться в соответствующие органы. Еще предлагают поискать ненулевого размера файл secring.gpg. Я не могу найти, завтра попробую поискать специалиста (Где бы еще его найти в Ханты-Мансийске?). Пока меня больше всего интересует продолжится ли шифрование дальше если включить зараженный компьютер.
Девочка, которая открыла злополучное письмо, говорит пришло на личную почту от знакомого контрагента с просьбой свериться.

lubezniy

21 сентября 2016

Насчёт механизма заражения - это давно знакомо. Нужно очень внимательно смотреть, что присылают, ещё до открытия. Написать в письме могут что угодно - и про акт сверки, и про исковое в суд. При этом наиболее популярны корпоративные темы: считается, что фирмы будут больше платить. Адрес отправителя тоже, как правило, подставляется известный: подделать его крайне легко.
Просить, конечно же, будут биткоины, как наиболее популярную в настоящее время криптовалюту, позволяющую скрыть отправителя и получателя платежа: преступники не любят светиться. Наши в своё время тоже на vault нарвались; посмотрели, что зашифровано, вычистили машинку и даже не стали возиться с расшифровкой, не стоило оно того, благо я успел вмешаться и тормознуть процесс, а на самые важные файлы были резервные копии. Платить преступникам мы принципиально бы не стали. И этот набор ссылок также в конечном счёте ставит перед собой задачу - сделать так, чтобы преступникам не платили и не стимулировали таким образом разработку новой гадости и распространение старой. Так на некоторых сайтах и написано.
Что касается расшифровки - на https://www.nomoreransom.org/decryption-tools.html (первая ссылка) можно попробовать CoinVault Decryptor . Насколько я понял из мануала по ней, можно сложить зашифрованные файлы (которые с расширением .vault) в одну папку, запустить эту программу, выбрать соответствующий параметр, указать эту папку и попытаться расшифровать. Уж не знаю, что из этого получится (опыта не имел), но вдруг. Ради предосторожности перед скачиванием программы рекомендую скопировать оставшиеся незашифрованными и на всякий случай зашифрованные файлы с этими ключами на здоровый компьютер, переставив туда диск (как я описывал).
А secring.gpg (скорее всего, он стёрт) можно поискать программами для восстановления удалённых файлов вроде Recuva. Искать также желательно на "здоровом" компьютере: так будет больше шансов восстановить этот файл и при этом не добить его окончательно, ибо Windows при загрузке и работе достаточно активно пишет на диск, где может находиться этот файл. Не знаю, насколько он может потребоваться расшифровщику, но вдруг. key-файлы лучше в любом случае не удалять, пока не прояснится ситуация с расшифровкой.

Гравиола

26 сентября 2016

У нас ничего не вышло. Дешифровать не удалось. В итоге зашифрованные файлы и наши ключи vault отдали одному айтишнику, но он сказал, что надежды мало.
Винду переустановили, с зашифрованными файлами попрощались, хотя копии и сделали. Зашифровал pdf, .doc, .xls .jpeg, .zip (бекапы в т.ч.), не тронул .xlsx, docx. Стояли 2 информационные базы 1С, одну зашифровал, вторую нет. Может не успел? У нас была настроена защита через теневые копии-шифровальщик их отключил. В целом отделались малой кровью т.к. все очень важное было сохранено в облаках.
Получается антивирусник против этого шифровальщика бесполезен (у нас nod32) т.к. криптографическое по и алгоритм шифрования- легитимны, он их спокойно пропускает. Линукс говорят защищает, но не поставишь же его сотрудникам.

Ночка

26 сентября 2016

Линукс говорят защищает, но не поставишь же его сотрудникам.

почему нет? При нормальной поддержке рядовой сотрудник не различит где винда, а где линукс.

lubezniy

26 сентября 2016

У нас ничего не вышло. Дешифровать не удалось. В итоге зашифрованные файлы и наши ключи vault отдали одному айтишнику, но он сказал, что надежды мало.

В общем, так и есть. А пробовали Decryptor? Он что-то написал?

Стояли 2 информационные базы 1С, одну зашифровал, вторую нет. Может не успел?

Вполне возможно. Шифрование - процесс не быстрый, особенно на больших файлах. Если информации много, весь процесс может длиться часами.

В целом отделались малой кровью т.к. все очень важное было сохранено в облаках.

Мы стараемся делать копии на отдельную машинку, к которой пользователей не подпускают. И ни в коем случае не подключаем её как сетевой диск: vault и на них тоже файлы шифрует. По хорошему счёту, это единственный более или менее надёжный способ сохранения.

Получается антивирусник против этого шифровальщика бесполезен (у нас nod32) т.к. криптографическое по и алгоритм шифрования- легитимны, он их спокойно пропускает.

Скорее, не поэтому, а потому, что модификации этой гадости появляются постоянно, и вам попалась новая, которая ещё не значилась в базах антивируса. Они попадают в базу не сразу, а после получения вредоносных файлов и их анализа специалистами антивирусной лаборатории; этот процесс занимает время, в течение которого антивирус ничего не покажет. Если что-то такое попадается мне, я стараюсь сразу переправить вложение из письма на доступные контакты антивирусных лабораторий (на сайтах многих антивирусных разработчиков есть ссылки по типу "прислать вирус"; ответ обычно приходит в течение дня-двух).

Линукс говорят защищает, но не поставишь же его сотрудникам.

Не защищает, хоть поставить и можно. Писать по сложности примерно одинаково, а встроенных средств для шифрования в Linux имхо даже больше, чем в Windows. Просто на данный момент он не настолько распространён в офисах, чтобы быть очень интересным разработчикам всякой гадости. Из-за этого разработка подобного вредоноса под Linux пока что вряд ли окупится.

Гравиола

26 сентября 2016

Линукс говорят защищает, но не поставишь же его сотрудникам.

почему нет? При нормальной поддержке рядовой сотрудник не различит где винда, а где линукс.

Не знаю даже. У нас на замену одной винды на другую ругаются. ) К тому же Автокад, Архикад и ГрандСмету на Линукс не поставить.

Гравиола

26 сентября 2016

У нас ничего не вышло. Дешифровать не удалось. В итоге зашифрованные файлы и наши ключи vault отдали одному айтишнику, но он сказал, что надежды мало.
В общем, так и есть. А пробовали Decryptor? Он что-то написал?

Написал что-то вроде нет таких ключей в базе.

Скорее, не поэтому, а потому, что модификации этой гадости появляются постоянно, и вам попалась новая, которая ещё не значилась в базах антивируса. Они попадают в базу не сразу, а после получения вредоносных файлов и их анализа специалистами антивирусной лаборатории; этот процесс занимает время, в течение которого антивирус ничего не покажет. Если что-то такое попадается мне, я стараюсь сразу переправить вложение из письма на доступные контакты антивирусных лабораторий (на сайтах многих антивирусных разработчиков есть ссылки по типу "прислать вирус"; ответ обычно приходит в течение дня-двух).

Есть ли смысл писать заявление в полицию, в отдел "К" или как он там правильно называется?
Еще интересно, что письмо пришло от "контрагента", правда электронный адрес не похож даже близко, только наименование. Совпадение или они как-то к адресам доступ получают?

lubezniy

26 сентября 2016

Написал что-то вроде нет таких ключей в базе.

Значит, программа дешифровки всё же хотела работать на заражённой машине. Если же пробовали на ней, то зверь зашифровал всё, что хотел, и вычистил следы.

Есть ли смысл писать заявление в полицию, в отдел "К" или как он там правильно называется?

Сложный вопрос. Не знаю, существуют ли методики расследования подобных обращений, так что ответить не готов. Учитывая массу известных способов скрытия себя в сети и (главное) анонимный платёж, легко вряд ли будет. В любом случае решайте сами.

Еще интересно, что письмо пришло от "контрагента", правда электронный адрес не похож даже близко, только наименование. Совпадение или они как-то к адресам доступ получают?

Всё может быть. Электронный адрес отправителя вполне может быть и контрагентовским: в сообщение в качестве адреса отправителя можно поставить любой адрес электронной почты. Правда, при использовании владельцем адреса некоторых методик и соответствующей настройке сервера входящей почты у получателя антиспам-система легко отсеет поддельный адрес. Но эти условия соблюдаются не везде. Что касается адресов получателей - это может быть и совпадение, и взлом базы, и даже сбор адресов в публичных местах (например, на профильных форумах или в блогах).

Гравиола

26 сентября 2016

lubezniy, большое спасибо! Вы мне очень помогли.

lubezniy

26 сентября 2016

Ну а для предотвращения подобных случаев единственный серьёзный метод - это повышение уровня компьютерной грамотности и разумной подозрительности пользователей. В принципе по тому же vault критерии определения гадости в сообщениях в общем известны; у себя в сравнительно недавних записях я их описывал, но там сейчас уже есть чем дополнить. Может, обновлю, если будет время подумать и написать.