Мы работаем на результат!

 Услуги IT аутсорсинга
Наши контакты

тел: (343) 382-3-911

e-mail: admin@ekb911.ru

г.Екатеринбург,
ул.Качканарская, д.17, оф.231
Новости
26 сентября 2016

Владельцы iPhone 7 сверлили свои смартфоны, чтобы найти спрятанный разъем для наушников...

Подробнее
22 сентября 2016

Себестоимость компонентов iPhone 7 оценили в 219 долларов. Как это бывает раз в несколько лет, мир захлестнула волна под названием «смотрите, что я делаю с новым iPhone».

Подробнее
21 сентября 2016

За разворачивание открытой сети Wi-Fi скоро начнут штрафовать. Новый законопроект предусматривает следующие виды штрафов:

Подробнее
Наши клиенты Смотреть всех клиентов (10) Уральская палата недвижимости Install Group Mining & Construction supplier
Главная » Статьи » Вирус-шифровальщик. БОЛЬШАЯ статья.

Вирус-шифровальщик. БОЛЬШАЯ статья.

        

  В нашей новости "ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225" я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.

Теперь же (спустя 3 с лишним недели) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.

С остальным семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи: 

  1. жертва заражается через спам-письмо с вложением (реже инфекционным путем), 
  2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами, 
  3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.

Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании "Доктор Вэб", которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки. 

После продолжительных поисков на просторах интернета выясняется, что (практически) единственная организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания "Доктор Веб".

А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственный дешифровщик и т.д. Кстати, проблемы расшифровки активно обсуждаются в ветке их форума "Зашифрованы файлы".

И всё бы хорошо, да только чтобы получить помощь, надо иметь лицензию на какой либо программный продукт "Доктор Вэб". При обращении в их тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке "Категория запроса:" выбрать "запрос на лечение" или просто предоставить им зашифрованный файл в лабораторию.

Сразу оговорюсь, что так называемые "журнальные ключи" Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два.

Попытка №1

Итак, купив "лицензию на 2 ПК на год" за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0.

В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore , 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.

Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).

Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. 

Все файлы расшифровались "криво". То есть, например, документы microsoft office открываются, но с разными ошибками:

"Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать" или "Не удается открыть файл *.docx из-за ошибок его содержимого".

Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У  файлов *.rar - "Неожиданный конец архива". В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно нет. 

Проходит около 6 суток и утилита завершает свою работу ошибкой "Невозможно подобрать параметры шифрования". Итого 13 суток "коту под хвост". Но мы не сдаемся, на счету важные документы нашего клиента.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0.

Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. 

И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel расшифровка заняла всего 21 час 10 минут). 

Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно. 

Все счастливы, THE END.

"А где же история про вирус Trojan.Encoder.263 ?", спросите вы. А на соседнем ПК, под столом. Там всё было проще: Пишем в ТП "Доктора Вэба", получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.

Подведя итог, могу привести несколько советов с форума "Доктор Вэб" в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:

  • - обратиться с заявлением о совершенном преступлении в правоохранительные органы.
  • - прислать в вирусную лабораторию Dr. Web или в форму "Отправить подозрительный файл" зашифрованный doc-файл.
  • - Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:

  • - менять расширение у зашифрованных файлов;
  • - использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.
  • - Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.

Что ж... пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов  группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов v.martyanov`у.

Вступайте в нашу группу вконтакте, и следите за всеми актуальными новостями.

Статья предоставлена в ознакомительных целях и не предполагает каких либо предпосылок к практическим действиям.

Максим Молотов
Заявка Online


Cтатьи
Как избежать установки Windows 10

Как избежать установки Windows 10? Как избавиться раз и навсегда от Windows 10? Разберем всё по полочкам...

Подробнее
Как сделать из смартфона подслушивающее устройство?

Wired сообщает, что учёные из Стэнфордского университета и их израильские коллеги нашли способ превратить практически любой смартфон в устройство для прослушивания.

Подробнее
Как чистить реестр на компьютере

Очистка реестра вашего компьютера - это очень важное задание. Это не только позволит высвободить драгоценное количество памяти, но и..

Подробнее
2012 — 2019 Копирайт (c) Екб 911. Все права защищены.