Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.

Январь, 16th 2014
Рубрика: Безопасность. Вирусы
Подписаться на комментарии по RSS

Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз.

"Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов...". Текст сообщения - дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1

Один мой знакомый попросил помочь ему в расшифровке файлов, зашифрованных накануне. Вот и решил проверить работу службу DrWeb, надо сказать что ответ пришел довольно быстро (буквально через пару часов) правда и не утешительный:

Добрый день!
Благодарим за обращение в техническую поддержку "Доктор Веб".

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293

На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.

Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates

Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.

Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению. При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.

Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 - такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:

http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

Способ её применения в вашем случае следующий:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177

или:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177 -path D:\Path

- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Результаты сохраняются в новые файлы по принципу:

"документ.doc.SOS@AUSI.COM_FG177" (зашифрованный) => "документ.doc" (реконструированный)

С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.

Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.

С уважением, служба технической поддержки компании "Доктор Веб".

В письме встречается .SOS@AUSI.COM_FG177 - это расширение, которое получили зашифрованные файлы. С помощью утилиты te102decrypt.exe всё-таки удалось восстановить пару файлов из тех, которые мне прислали. Так что попробовать стоит, хуже не будет. Такие дела...

Список известных шифровальщиков можно посмотреть на форуме DrWeb (постоянно дополняется). Так что есть шанс, что ваш шифровальщик уже известен и к нему имеется дешифратор:

http://forum.drweb.com/index.php?showtopic=314687

Если вы считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 2

  1. 2014-10-20 в 05:04:41 | Борис Бобоедов

    Здравствуйте!

    Честно говоря, не знаком с системами шифрования, но мне кажется что зловредная программа-шифровщик должна содержать в себе метод шифрования.

  2. 2014-10-20 в 12:02:29 | dre@mer]]>avatar]]>

    В том и проблема, что без ключа вы вряд-ли дешифруете файлы. Как такового вирусного кода там нет, пользователь практически всегда самостоятельно запускает шифровальщика. Кроме того, после выполнения, сама программа в большинстве случаев удаляется с компьютера.

comments powered by HyperComments
Без регистрации
ваш комментарий будет опубликован после проверки
Регистрация на сайте

На указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.