Если ваши файлы зашифрованы троянцем семейства encoder
Итак, у тебя зашифровались файлы. Не беда! Во многих случаях все можно вернуть как было, а ты получишь ценный урок!
Что надо делать:
— Отключить машину от интернета. Физически, путем выдергивания соответствующего шнура. Многие трояны неспособны шифровать данные без сети или при ее отсутствии сохраняют пароль локально.
— Определить, шифруются ли файлы в данный момент. Например, изначально вы заметили, что зашифрованы документы, но музыка в порядке. Потом и музыка стала зашифрована. Такое поведение – признак того, что файлы шифруются в данный момент. Если вы не уверены – лучше считайте, что они шифруются в данный момент.
— Если файлы шифруются в данный момент – машину надо немедленно выключить по питанию путем выдергивания сетевого шнура. Это спасет хоть какую-то часть данных, а перспективы работы с "живой" машиной туманны.
— Прочитать этот пост ЦЕЛИКОМ и ВНИМАТЕЛЬНО (. ). На данный момент порча новых данных уже не происходит и можно начинать их восстановление, для чего вам нужно понимать, что делать и чего не делать
Что делать не надо:
Каждое действие из приведенного ниже списка может окончательно избавить вас от ваших очень ценных файлов. Даже если эти действия кажутся вам правильными, необходимыми, вам их посоветовали знающие люди. Тем более, что без большинства из них можно прекрасно обойтись!
— Включать выключенную из-за продолжающегося шифрования машину. Шифрование наверняка снова продолжится Если вам нужны с нее данные – есть LiveCD, например. Или можно подключить накопитель к другой машине. Не уверены в своих силах? Отдайте специалисту, предварительно дав ему прочитать этот пост.
— Переставлять систему. Данные от этого не вернутся, а потерять их, как раз, легко. Более того, переустановка затирает следы трояна и во многих случаях это верный путь попрощаться с данными навсегда.
— Что-либо удалять, чистить, оптимизировать в системе. См. предыдущий пункт.
— Сканировать машину антивирусами. Ну, найдете вы трояна, и что? Данные от этого не вернутся. И от удаления трояна – не вернутся. См. предыдущий пункт.
— Пытаться самостоятельно что-то сделать с файлами, например, переименовать их. Поверьте, у нас работают специалисты, а вы, ваш знакомый Вася или безвестная Маша Козявкина с какого-то форума вряд ли 4 с лишним года занимаются расшифровкой данных после троянов.
Что важно знать:
— Услуги помощи не гарантируют результат. Мы не всесильны. Есть настолько стойкие криптосистемы, что мы не сможем их вскрыть за три, к примеру, месяца. Или за 300 лет. Или даже не знаем, как подойти к проблеме. Всякое бывает. Но, если вы к нам обращаетесь, – мы посмотрим, что можно сделать. Шансы на успех мы не скрываем, дальше решать вам.
— Я могу ошибаться. Увы, все могут. То, что я сегодня считаю невскрываемым, через месяц может оказаться проще пареной репы. И наоборот.
— Вероятно, придется ждать. От пары часов до бесконечности. Ждать ответа, ждать создания программы для расшифровки, ждать подбора пароля. Много чего. У нас имеется система назначения меток заявкам, и обычно они не теряются. Если решение появляется – я извещаю об этом в вирлабовских тикетах.
Тронец-шифровальщик для операционной системы Microsoft Windows. Известны как минимум 4 его модификации, отличающиеся способом шифрования файлов, и 4 версии, различающиеся способом их именования. Имеются основания полагать, что авторами этого энкодера являются вирусописатели, ранее создавшие Trojan.Encoder.741 и Trojan.Encoder.2667.
Зашифрованные файлы получают суффикс с контактным адресом электронной почты и расширением. Известно два расширения, которые троянец присваивает зашифрованным файлам:
Злоумышленники оставляют следующие электронные адреса:
Всего известны 4 схемы, которые троянец использует для именования зашифрованных файлов:
Версия 1
После запуска троянец создает свою копию в папке %windir%\system32 с тем же именем. Если это не удается – копирует себя в папку %localappdata%. Затем для обеспечения автоматического запуска модифицирует ветвь системного реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run (если не удается изменить эту ветвь, модифицирует HKCU\Software\Microsoft\Windows\CurrentVersion\Run) и регистрирует там свою копию с именем параметра System Service. Для контроля повторного запуска использует мьютекс с именем Global\snc_%virname%.
Внутреннее состояние генератора случайных чисел хранится в 32-байтном буфере. От этого буфера вычисляется MD5, результат используется как ключ для RC4-шифрования, которым и шифруется сам буфер. Полученные 0x20 байт - ключ для шифрования файлов.
Шифрование выполняется в отдельном потоке, имена зашифрованных файлов получают дополнение вида *..ext. Данные шифруются с использованием алгоритмов AES-CBC-256. В конец файла записывается 6-байтный маркер, 16 байт вектора инициализации, затем 1 байт, указывающий длину выравнивания. В конце следуют 0x80 байт, в которых хранится зашифрованный ключ для расшифровки файлов. Ключ шифрования для всех файлов одинаков, вектор инициализации для каждого файла уникален.
Файлы, поврежденные в результате действия этой версии троянца, поддаются расшифровке.
Версия 1
После запуска троянец создает свою копию в папке %windir%\system32 с тем же именем. Если это не удается – копирует себя в папку %localappdata%. Затем для обеспечения автоматического запуска модифицирует ветвь системного реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run (если не удается изменить эту ветвь, модифицирует HKCU\Software\Microsoft\Windows\CurrentVersion\Run) и регистрирует там свою копию с именем параметра System Service. Для контроля повторного запуска использует мьютекс с именем Global\snc_%virname%.
Внутреннее состояние генератора случайных чисел хранится в 32-байтном буфере. От этого буфера вычисляется MD5, результат используется как ключ для RC4-шифрования, которым и шифруется сам буфер. Полученные 0x20 байт - ключ для шифрования файлов.
Шифрование выполняется в отдельном потоке, имена зашифрованных файлов получают дополнение вида *..ext. Данные шифруются с использованием алгоритмов AES-CBC-256. В конец файла записывается 6-байтный маркер, 16 байт вектора инициализации, затем 1 байт, указывающий длину выравнивания. В конце следуют 0x80 байт, в которых хранится зашифрованный ключ для расшифровки файлов. Ключ шифрования для всех файлов одинаков, вектор инициализации для каждого файла уникален.
Файлы, поврежденные в результате действия этой версии троянца, поддаются расшифровке.
Благодарим за то, что вы нашли время ознакомиться с этими материалами.
Вы также можете оставить свой комментарий
Для этого нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта ещё нет, его можно создать.
Комментариев: 4
Честно говоря, не знаком с системами шифрования, но мне кажется что зловредная программа-шифровщик должна содержать в себе метод шифрования.
В том и проблема, что без ключа вы вряд-ли дешифруете файлы. Как такового вирусного кода там нет, пользователь практически всегда самостоятельно запускает шифровальщика. Кроме того, после выполнения, сама программа в большинстве случаев удаляется с компьютера.
| Лев Леопардович Тигренко
Лицензионный Dr.Web Security Space 11 (самый мощный из предлагаемых)
2015 год - НЕ ПРЕДОТВРАТИЛ заражение более 70 000 файлов рабочего ПК.
От помощи вежли отказали, сказали цитата - "Обратитесь в полицию"(. )
За кой хрен этим мега-компаниям платить бешеные деньги за софт.
В Dr.Web SS 11 Есть инструмент "Защита от потери данных", которая как раз создана для этих случаев, и прекрасно справляется со своей задачей. По сути шифрование (как и писали выше) - это не всегда зловредная операция, и однозначно определить что данные шифрует вирус, а не вы сами - не совсем просто. А примерно 100р в месяц (1200р лицензия на год) ИМХО не тянет на определение "бешеные деньги". ;) Только софтом еще пользоваться нужно уметь
В настоящее время Trojan.Encoder — одна из самых опасных угроз для пользователей, имеющая несколько тысяч модификаций .
С апреля 2013 года в вирусную лабораторию компании «Доктор Веб» поступило более 40 000 заявок на расшифровку файлов, повреждённых из-за действий троянцев-энкодеров, и на данный момент в месяц таких заявок поступает более 4 000.
В ноябре 2015 года количество запросов на расшифровку от троянцев семейства Trojan.Encoder в службу технической поддержки «Доктор Веб» превысило 60% от общего количества запросов. Подавляющее количество обратившихся — пользователи других антивирусов.
Троянцы семейства Trojan.Encoder используют несколько десятков различных алгоритмов шифрования пользовательских файлов.
Например, чтобы подобрать ключи для расшифровки файлов, зашифрованных троянцем Trojan.Encoder.741, методом простого перебора, потребуется
По статистике компании «Доктор Веб» расшифровка поврежденных троянцем файлов возможна менее чем в 1% случаев.
А это значит, что большинство данных пользователей потеряны безвозвратно.
* - при наличии файла троянской программы
Некоторые модификации троянцев могут расшифровать только специалисты компании «Доктор Веб» — об этом свидетельствуют пользователи на форумах.
Начиная с мая 2014 года, специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию алгоритмов расшифровки Trojan.Encoder.398.
На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, специалисты которой с вероятностью в 90% могут полностью восстановить зашифрованные данные.
Новость об этом событии была опубликована в ноябре 2014 г.
Сегодня вымогатели требуют за расшифровку файлов до 20 биткойнов.
1 биткоин = 6459,54 евро или 7167 долларов.
Сумма выкупа может достигать 143 340 долларов.
Даже если вы заплатите выкуп злоумышленнику, никакой гарантии восстановления информации он вам не даст .
Доходит до курьезов – зафиксирован случай, когда, несмотря на заплаченный выкуп, преступники не смогли расшифровать файлы, зашифрованные созданным ими Trojan.Encoder, и отправили пострадавшего пользователя за помощью. в службу технической поддержки компании «Доктор Веб»!
Для коммерческих пользователей продуктов Dr.Web расшифровка — бесплатна.
Более чем в 90%
случаев пользователи запускают (активируют) на компьютере шифровальщиков собственными руками.
Если все-таки вам не повезло и троянец зашифровал файлы, а на вашем компьютере в момент заражения стоял Dr.Web, обратитесь за помощью в расшифровке в техническую поддержку «Доктор Веб»
- Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!
- Не пытайтесь переустановить систему!
- Не пытайтесь удалить с диска какие-либо файлы или программы!
- Если вы запустили антивирусное сканирование, нельзя предпринимать никаких необратимых действий по лечению/удалению вредоносных объектов. Прежде чем что-то делать с найденными вирусами/троянцами, следует проконсультироваться со специалистом «Доктор Веб» или в крайнем случае сохранить копии всех найденных вредоносных программ — это может потребоваться для определения ключа для расшифровки данных.
О том, как составить запрос в техническую поддержку «Доктор Веб», узнайте в «Правовом уголке».
В случае заражения настоятельно рекомендуем обратиться с заявлением в полицию.
Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных ст. ст. 159.6, 163, 165, 272, 273 УК РФ.
Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении.
Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.
Если у вас откажутся принять заявление — получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).
Нам важно Ваше мнение
Hassel4lucky
16:17:24 2019-02-06
Stan
11:49:33 2019-02-05
pmiandrew
15:14:09 2019-02-03
lexxhat11
15:55:31 2019-01-30
Alex
11:54:32 2019-01-14
jonblaik
01:44:26 2019-01-08
Bakhyt
15:03:48 2019-01-07
Хорошее приложение, хороший функционал. Пользуюсь продукцией Dr.Web со времён MS-DOS )))) весёлые были времена. Dr. Web, ADinf, AIDStest.
В дополнении к "Защите от потери данных" рекомендую хранить резервные копии, причём создаваемые на внешний диск или облако в ручном режиме - в автомате заражённые файлы переметнутся сразу в резервное хранилище и заменят там нормальные копии файлов. Плюс никто не застрахован от выхода из строя самого жесткого диска в компьютере. Всем добра!
Админы делятся на 2 категории - те, кто ЕЩЁ НЕ ДЕЛАЕТ резервные копии и тех, кто УЖЕ ИХ ДЕЛАЕТ. Тоже самое относится и к обычным пользователям.
© «Доктор Веб»
2003 — 2022
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года. Компания — ключевой игрок на российском рынке программных средств обеспечения базовой потребности бизнеса — безопасности информации. «Доктор Веб» — один из немногих антивирусных вендоров в мире, владеющих собственными уникальными технологиями детектирования и лечения вредоносных программ. Антивирусная защита Dr.Web позволяет информационным системам клиентов эффективно противостоять любым, даже неизвестным угрозам.
Как составить запрос в поддержку «Доктор Веб»
- Служба поддержки «Доктор Веб» оказывает бесплатные услуги по расшифровке только владельцам действующих коммерческих лицензий Dr.Web Security Space и Антивируса Dr.Web версий 9-11, Dr.Web KATANA (от 12 мес.), Антивируса Dr.Web по подписке версии 10 (тарифные пакеты Dr.Web Премиум и Dr.Web Классик) и Dr.Web Enterprise Security Suite (от 6 мес.), у которых на момент заражения был установлен Dr.Web.
- Заполните форму запроса на странице.
- Сообщите как можно больше информации о том, как произошло заражение, в том числе требования злоумышленников. Если есть хоть какие-то подозрения о том, запуск чего послужил причиной срабатывания троянца, приложите к запросу соответствующие файлы или ссылки.
- Прикрепите к комментарию в запросе несколько зашифрованных файлов (по возможности, разных типов и размеров: jpg, zip, doc, pdf и т. п.) и требования злоумышленников о перечислении денежных средств.
- Если троянец был получен по электронной почте (часто письма с такими троянцами имитируют письмо из банка с уведомлением о каких-то проблемах) и вы не удалили это письмо — сохраните письмо в eml-файл и прикрепите этот файл к комментарию в запросе.
Настоятельно рекомендуем обратиться с заявлением в полицию.
Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных ст. 159.6, 163, 165, 272, 273 УК РФ.
Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении.
Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.
Если у вас откажутся принять заявление — получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).
Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.
Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.
Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:
Один мой знакомый попросил помочь ему в расшифровке файлов, зашифрованных накануне. Вот и решил проверить работу службу DrWeb, надо сказать что ответ пришел довольно быстро (буквально через пару часов) правда и не утешительный:
Добрый день!
Благодарим за обращение в техническую поддержку "Доктор Веб".
Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293
На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.
Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.
Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.
Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению. При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 - такое запросто может случиться.
Наша утилита, которая кое-что умеет делать в этом плане:
- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path
Результаты сохраняются в новые файлы по принципу:
"документ.doc.SOS@AUSI.COM_FG177" (зашифрованный) => "документ.doc" (реконструированный)
С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.
Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.
С уважением, служба технической поддержки компании "Доктор Веб".
Список известных шифровальщиков можно посмотреть на форуме DrWeb (постоянно дополняется). Так что есть шанс, что ваш шифровальщик уже известен и к нему имеется дешифратор:
Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
Фальшивые штрафы за нарушение карантина Controlled Folder Access - новая фунция Windows 10 для борьбы с шифровальщиками Как удалить китайский вирус (антивирус?) baidu ping не является внутренней или внешней командой. Как разводят на деньги в соцсетях или поговорим немного о троянах Как сохранить имя пользователя и пароль при подключении к OpenVPN
Версия 2
Троянец упакован, распакованный образец имеет SHA1 8d2b415f8da004f5da7ac706d418f25072782abe.
В процессе генерации ключа данные в буфере преобразуются при помощи функции XOR с использованием промежуточных данных предыдущих вызовов генерации случайных значений. Для сетевых ресурсов генерируется отдельный ключ.
Схема именования зашифрованных файлов: *.ID*.email.xtbl или *.ID*..xtbl
Данные шифруются с использованием алгоритмов AES-CBC-256.
При модификации системного реестра с целью автоматического запуска троянец регистрируется с фиксированным именем.
По сравнению с предыдущей версией изменен порядок записи информации в конец файла: сначала сохраняется имя файла (в Unicode), потом - маркер (длиной 6 байт), затем - 20 байт неизвестного назначения, после них 16 байт вектора инициализации. Затем сохраняются 4 байта с длиной выравнивания. Далее снова следуют 0x80 байт, в которых хранится зашифрованный ключ для расшифровки файлов. Последним параметром DWORD записывается длина оригинального имени файла в байтах. Итого фиксированный «хвост» имеет 178 байт длины.
Файлы, поврежденные в результате действия этой версии троянца, поддаются расшифровке.
Версия 3
Схема именования зашифрованных файлов: *.id-*..ext
Данные шифруются с использованием алгоритмов AES-CBC-256, вектор инициализации уникален для каждого файла.
Генерация ключа в этой версии вредоносной программы стала более стойкой.
Ключ для расшифровки файлов вместе со случайными байтами шифруется алгоритмом RSA-1024 и сохраняется в конце файла.
Троянцы семейства Encoder «прославились» тем, что шифруют данные на компьютере жертвы. Эти данные можно попытаться восстановить. Если вы являетесь пользователем продуктов Dr.Web, как можно скорее обратитесь в службу технической поддержки «Доктор Веб».
- Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!
- Не пытайтесь переустановить систему!
- Не пытайтесь удалить с диска какие-либо файлы или программы!
- Если вы запустили антивирусное сканирование, нельзя предпринимать никаких необратимых действий по лечению/удалению вредоносных объектов. Прежде чем что-то делать с найденными вирусами/троянцами, следует проконсультироваться со специалистом «Доктор Веб» или в крайнем случае сохранить копии всех найденных вредоносных программ — это может потребоваться для определения ключа для расшифровки данных.
Версия 2.5
Троянец упакован, распакованный образец имеет SHA1 ad68d95b42ef99dab3a87d49aed403a86cd99673.
В этой версии изменена работа генератора случайных чисел.
Троянец регистрируется в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run или HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run со случайным именем.
Схема именования файлов: *.ID*..xtbl
Формат записи данных в конец файла идентичен предыдущей версии.
Файлы, поврежденные в результате действия этой версии троянца, в некоторых случаях поддаются расшифровке.
Читайте также: