Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.
"Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов...". Текст сообщения - дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.
Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.
Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.
Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:
https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1
Один мой знакомый попросил помочь ему в расшифровке файлов, зашифрованных накануне. Вот и решил проверить работу службу DrWeb, надо сказать что ответ пришел довольно быстро (буквально через пару часов) правда и не утешительный:
Добрый день!
Благодарим за обращение в техническую поддержку "Доктор Веб".
Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293
На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.
Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.
Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.
Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению. При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 - такое запросто может случиться.
Наша утилита, которая кое-что умеет делать в этом плане:
http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe
Способ её применения в вашем случае следующий:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177
или:
te102decrypt.exe -k h49 -e .SOS@AUSI.COM_FG177 -path D:\Path
- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path
Результаты сохраняются в новые файлы по принципу:
"документ.doc.SOS@AUSI.COM_FG177" (зашифрованный) => "документ.doc" (реконструированный)
С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.
Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.
С уважением, служба технической поддержки компании "Доктор Веб".
В письме встречается .SOS@AUSI.COM_FG177 - это расширение, которое получили зашифрованные файлы. С помощью утилиты te102decrypt.exe всё-таки удалось восстановить пару файлов из тех, которые мне прислали. Так что попробовать стоит, хуже не будет. Такие дела...
Комментариев: 4
Здравствуйте!
Честно говоря, не знаком с системами шифрования, но мне кажется что зловредная программа-шифровщик должна содержать в себе метод шифрования.
В том и проблема, что без ключа вы вряд-ли дешифруете файлы. Как такового вирусного кода там нет, пользователь практически всегда самостоятельно запускает шифровальщика. Кроме того, после выполнения, сама программа в большинстве случаев удаляется с компьютера.
Лицензионный Dr.Web Security Space 11 (самый мощный из предлагаемых)
2015 год - НЕ ПРЕДОТВРАТИЛ заражение более 70 000 файлов рабочего ПК.
От помощи вежли отказали, сказали цитата - "Обратитесь в полицию"(!!!)
За кой хрен этим мега-компаниям платить бешеные деньги за софт?????
В Dr.Web SS 11 Есть инструмент "Защита от потери данных", которая как раз создана для этих случаев, и прекрасно справляется со своей задачей. По сути шифрование (как и писали выше) - это не всегда зловредная операция, и однозначно определить что данные шифрует вирус, а не вы сами - не совсем просто. А примерно 100р в месяц (1200р лицензия на год) ИМХО не тянет на определение "бешеные деньги". ;) Только софтом еще пользоваться нужно уметь