Дешифровка rsa 3072 без ключа. Дети лейтенанта CryptoLocker’a. Вскрываем DirCrypt, TorLocker, TeslaCrypt, TorrentLocker, Critroni и CryptoWall. Теневые копии томов
Словил я на прошлой неделе такую вот противную вещь. Троян, который зашифровал все файлы расширений psd,xlsx,docx,png,jpg, rar,zip и многие другие. Расскажу поподробнее что и как было и что делать, чтобы снизить вероятность заражения таким вирусом.
Для удобства — сразу оглавление по статье.
Троян шифровщик. Как это было.
Как бывает обычно
Обычно трояны, которые шифруют ваши файлы работают по следующему принципу. Вы получаете от кого-либо или скачиваете файл. С виду обычный файл, возможно даже прописан нормальный производитель и имеется цифровая подпись. Запустив его, на первый взгляд ничего не происходит. Не открывается окна установщика, ничего…но в фоне этот троян downloader открывает так называемую backdoor. И начинается скачка трояна шифровальщика, через образованную дыру в защите вашего ПК.
Затем в ход вступает шифровальщик. Он специальным алгоритмом шифрует определённые типа данных. Чаще всего это документы Word, Excel, Базы 1С и так далее. Чаше всего на рабочем столе остаётся текстовый документ с описанием что наделал этот вирус и как восстановить файлы. Скорее всего вам предложат написать на электронную почту злоумышленнику и отправить энную сумму за восстановление данных. Восстановить данные самостоятельно наврятли получится. Для это нужен дешифратор. Но и тут не всё так просто. В интернете не так уж много инфы о восстановлении данных, да и трояны такого типа развиваются гораздо быстрее, чем создаётся лекарство к ним.
Как было у меня
У меня же всё произошло куда интереснее. Я сидел и работал за ноутом. Интернет был подключен, но я им не пользовался. Работал в сторонней программе. Писем мне никаких не приходило, да и файлов я никаких не устанавливал, не запускал. Ушёл я буквально минут на 20. Возвращаюсь и вижу там такую картину:
Ну конечно антивирусное сканирование не было запущено) Но в целом такое дело. У меня сменена заставка рабочего стола и открыт текстовый документ. Документ следующего содержания:
Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, архивы, бекапы и пр. файлы) были слиты с жестких дисков и зашифрованы с помощью самого криптостойкого алгоритма в мире RSA-4096.
Восстановить файлы возможно только при помощи….
(прочитаете полный текст, если интересно на скрине.)
Предлогалось написать на почту [email protected] для того чтобы получить дешифратор. Конечно же предполагалось что за определённую сумму.
Я честно говоря был просто повержен. Такой шок. Там была вся работа, все важные мне проекты и файлы. Макеты сайтов. На панике запустил сканирование антивирусом. Честно, не знаю зачем. Чисто на панике.
Пару слов о моей системе и её состоянии. Это Windows 8.1 со всеми последними апдейтами. Антивирус Eset Antivirus 8. Все клиенты удалённого доступа на момент проникновения трояна были отключены. Но тем не менее установлены AmmyAdmin и TeamViewer. RDP (удалённый рабочий стол) отключен. Фаервол — стандартный Брандмауэр Windows. Вот только Брандмауэр был отключен 🙁 (epic fail)
Полез в инет изучать проблему. И тут самое интересное.
Как восстановить зашифрованные файлы
Этот вопрос очень сильно волновал меня. Я начал перерывать инэт. Куча форумов. Везде описан троян, действующий по другому, более старому алгоритму. И то не всегда получается истребить последствия его действия. Расшифровать файлы не всегда удаётся. Есть вариант написать в поддержку DrWeb. Но если у вас нет лицензии их антивируса, то помогать они вам не станут.
Так же у Касперского есть утилиты для расшифровки зашифрованных файлов. Вот ссылочка на страницу скачки этих утилит support.kaspersky.ru/viruses/sms
После безнадёжной проверки данными утилитами написал в центр вирусной аналитики Касперского. Ответили, файлы на анализ взяли. Но одно стало точно ясно.
Как не поймать Троян шифровальщик.
Если вы уже схлопотали вирус от хакера с почтой [email protected] , то смело можете закатывать прощальную вечеринку по своим файлам. Оживить их не удастся. Так что делайте резервную копию убитых файлов (может в будущем сделают лекарство и можно будет восстановить утраченные данные), переустанавливайте Windows и мотайте на ус как свести к минимуму вероятность проникновения к вам такого троянца. Порывшись по интернету, прочитав кучу умных советов и на собственном опыте выдаю вот такие пункты по обеспечению безопасности:
- Обновляйте систему. Прежде чем ставить самые свежие обновления Windows, почитайте о чём они и для чего. Как эти обновления повлияли на систему. Не всегда обновления от Майкрософт бывают сверхполезными. Но не запускайте. Держите систему обновлённой.
- Фаерволл. Не отключайте брандмауэр или лучше ставьте нормальный фаерволл. Хоть стандартный FW от MicroSoft и не фонтан, но он лучше чем ничего. А ещё лучше, если вы поставите нормальный фаерволл. Я уже поставил ESET Smart Security.
- Удалённый доступ. Не держите открытыми программы удалённого доступа, такие как Team Viewer, Ammy Admin, Radmin и прочие. Кто знает, может быть и в них уже нашли брешь! Тем более никогда не советую разрешать доступ к удалённому рабочему столу всем. Как отключить Remote Decktop найти в интернете не составит труда.
- Пароль. Поставьте пароль на вашего пользователя. Пускай не сложный, но пароль. И заставьте винду всегда спрашивать вашего разрешения при запуске программ. Это несколько не так удобнее, но гораздо безопаснее. Настройка эта делается в центре безопасности Windows.
- Резервные копии. Это то, что не спасёт вас от проникновения трояна, но очень выручит при утере файлов. Сливайте копии важных файлов в облако, на флешки, съёмные жёсткие диски, DVD…куда угодно. Обеспечьте хранение важной информации не только локально на вашем компьютере.
Соблюдая эти простые правила Вы сможете уменьшить вероятность проникновения на ваш компьютер вредоносного вируса и гораздо облегчите себе жизнь при утрате ценных файлов.
В конце 2016 года был замечен новый вирус-шифровальщик – NO_MORE_RANSOM. Такое длинное название он получил из-за расширения, которое присваивает файлам пользователя.
Очень многое перенял у других вирусов, например у da_vinci_cod. Так как появился в Сети недавно, антивирусные лаборатории еще не смогли расшифровать его код. Да и сделать в ближайшее время это вряд ли смогут – используется улучшенный алгоритм шифровки. Итак, разберемся, что делать, если ваши файлы зашифрованы с расширением «no_more_ransom».
Описание и принцип работы
В начале 2017 года многие форумы заполонили сообщения «вирус no_more_ransom зашифровал файлы», в которых пользователи просили помощи для удаления угрозы. Атаке подверглись не только частные компьютеры, но и целые организации (особенно те, в которых используются базы 1С). Ситуация у всех пострадавших примерно одинаковая: открыли вложение из электронного письма, через некоторое время файлы получили расширение No_more_ransom. Вирус-шифровальщик при этом без проблем обходил все популярные антивирусные программы.
Вообще, по принципу заражения No_more_ransom ничем не отличим от своих предшественников:
Как вылечить или удалить вирус No_more_ransom
Важно понимать, что после того, как вы начнете самостоятельно No_more_ransom, потеряете возможность восстановить доступ к файлам при помощи пароля злоумышленников. Можно ли восстановить файл после No_more_ransom? На сегодняшний день нет на 100% рабочего алгоритма расшифровки данных. Исключением становятся только утилиты от известных лабораторий, но подбор пароля занимает очень много времени (месяцы, годы). Но о восстановлении чуть ниже. Для начала разберемся, как определить троян no more ransom (перевод – «нет больше выкупа») и побороть его.
Как правило, установленное антивирусное ПО пропускает шифровальщики на компьютер – часто выходят новые версии, для которых попросту не успевают выпускать базы. Вирусы этого типа довольно просто удаляются с компьютера, ведь мошенникам и не нужно, чтобы они оставались в системе, выполнив свою задачу (шифрование). Для удаления можно воспользоваться уже готовыми утилитами, которые распространяются бесплатно:
Пользоваться ими очень просто: запускаем, выбираем диски, жмем «Начать проверку». Остается лишь ждать. После появится окошко, в котором будут отображены все угрозы. Жмем «Удалить».
Скорее всего, одна из этих утилит удалит вирус-шифровальщик. Если этого не произошло, то необходимо удаление вручную:
Если быстро заметите вирус, успев его удалить, то есть шанс, что часть данных не будет зашифрована. Лучше сохранить файлы, которые не подверглись атаке, на отдельный накопитель.
Утилиты-дешифровщики для расшифровки файлов «No_more_ransom»
Подобрать код самостоятельно просто невозможно, если только вы не продвинутый хакер. Для расшифровки потребуются специальные утилиты. Сразу скажу, что далеко не всем удастся расшифровка зашифрованного файла типа «No_more_ransom». Вирус новый, поэтому подбор пароля - очень сложная задача.
Итак, первым делом пробуем восстановить данные из теневых копий. По умолчанию операционная система, начиная с Windows 7, регулярно сохраняет копии ваших документов. В некоторых случаях вирусу не под силу удалить копии. Поэтому скачиваем бесплатную программу ShadowExplorer. Устанавливать ничего не придется – нужно просто распаковать.
Если вирус не удалил копии, то есть вероятность восстановить порядка 80-90% зашифрованной информации.
Программы-дешифраторы для восстановления файлов после вируса No_more_ransom предлагают и известные антивирусные лаборатории. Правда, не стоит рассчитывать, что эти утилиты сумеют восстановить ваши данные. Шифровальщики постоянно совершенствуются, а специалисты попросту не успевают выпускать обновления для каждой версии. Отправляйте образцы в техническую поддержку антивирусных лабораторий, чтобы помочь разработчикам.
Для борьбы с No_more_ransom есть Kaspersky Decryptor. Утилита представлена в двух версиях с приставками и Rakhni (о них на нашем сайте есть отдельные статьи). Для борьбы с вирусом и расшифровки файлов необходимо просто запустить программу, выбрав места проверки.
Помимо этого, требуется указать один из заблокированных документов, чтобы утилита занялась подбором пароля.
Можно бесплатно скачать и лучший дешифратор No_more_ransom от Dr. Web. Утилита называется matsnu1decrypt. Работает по схожему сценарию с программами от Kaspersky. Достаточно запустить проверку и дождаться окончания.
В конце 2016 года мир был атакован весьма нетривиальным вирусом-трояном, шифрующим пользовательские документы и мультимедиа-контент, получившим название NO_MORE_RANSOM. Как расшифровать файлы после воздействия этой угрозы, далее и будет рассмотрено. Однако сразу стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано и с использованием одного из самых продвинутых и со степенью проникновения вируса в компьютерную систему или даже в локальную сеть (хотя изначально на сетевое воздействие он и не рассчитан).
Что за вирус NO_MORE_RANSOM и как он работает?
Вообще, сам вирус принято относить к классу троянов типа I Love You, которые проникают в компьютерную систему и шифруют файлы пользователя (обычно это мультимедиа). Правда, если прародитель отличался только шифрованием, то этот вирус очень многое позаимствовал у некогда нашумевшей угрозы под названием DA_VINCI_COD, совместив в себе еще и функции вымогателя.
После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длиннющее имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.
При попытке их открытия на экране появляется сообщение о том, что файлы зашифрованы, а для произведения дешифрования нужно заплатить некоторую сумму.
Как угроза проникает в систему?
Оставим пока в покое вопрос о том, как после воздействия NO_MORE_RANSOM расшифровать файлы любого из вышеуказанных типов, а обратимся к технологии проникновения вируса в компьютерную систему. К сожалению, как бы ни звучало, для этого используется старый проверенный способ: на адрес электронной почты приходит письмо с вложением, открывая которое, пользователь и получает срабатывание вредоносного кода.
Оригинальностью, как видим, эта методика не отличается. Однако сообщение может быть замаскировано под ничего не значащий текст. Или, наоборот, например, если речь идет о крупных компаниях, - под изменение условий какого-то контракта. Понятно, что рядовой клерк открывает вложение, а далее и получает плачевный результат. Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это уже дело серьезное.
NO_MORE_RANSOM: как расшифровать документы?
Но все же стоит обратиться к главному вопросу. Наверняка всех интересует, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь пытается произвести дешифрование сразу же после заражения, сделать это еще кое-как можно. Если же угроза обосновалась в системе прочно, увы, без помощи специалистов здесь не обойтись. Но и они зачастую оказываются бессильны.
Если угроза была обнаружена своевременно, путь только один - обратиться в службы поддержки антивирусных компаний (пока еще не все документы были зашифрованы), отправить пару недоступных для открытия файлов и на основе анализа оригиналов, сохраненных на съемных носителях, попытаться восстановить уже зараженные документы, предварительно скопировав на ту же флешку все, что еще доступно для открытия (хотя полной гарантии того, что вирус не проник в такие документы, тоже нет). После этого для верности носитель нужно обязательно проверить хотя бы антивирусным сканером (мало ли что).
Алгоритм
Отдельно стоит сказать и о том, что вирус для шифрования использует алгоритм RSA-3072, который, в отличие от ранее применявшейся технологии RSA-2048, является настолько сложным, что подбор нужного пароля, даже при условии, что этим будет заниматься весь контингент антивирусных лабораторий, может занять месяцы и годы. Таким образом, вопрос того, как расшифровать NO_MORE_RANSOM, потребует достаточно больших временных затрат. Но что делать, если восстановить информацию нужно немедленно? Прежде всего - удалить сам вирус.
Можно ли удалить вирус и как это сделать?
Собственно, сделать это нетрудно. Судя по наглости создателей вируса, угроза в компьютерной системе не маскируется. Наоборот - ей даже выгодно «самоудалиться» после окончания произведенных действий.
Тем не менее поначалу, идя на поводу у вируса, его все-таки следует нейтрализовать. Первым делом необходимо использовать портативные защитные утилиты вроде KVRT, Malwarebytes, Dr. Web CureIt! и им подобные. Обратите внимание: применяемые для проверки программы должны быть портативного типа в обязательном порядке (без установки на жесткий диск с запуском в оптимальном варианте со съемного носителя). Если угроза будет обнаружена, ее следует немедленно удалить.
Если таковые действия не предусмотрены, необходимо сначала зайти в «Диспетчер задач» и завершить в нем все процессы, связанные с вирусом, отсортировав службы по названию (как правило, это процесс Runtime Broker).
После снятия задачи нужно вызвать редактор системного реестра (regedit в меню «Выполнить») и задать поиск по названию «Client Server Runtime System» (без кавычек), после чего используя меню перемещения по результатам «Найти далее…», удалить все найденные элементы. Далее нужно произвести перезагрузку компьютера и поверить в «Диспетчере задач», нет ли там искомого процесса.
В принципе, вопрос того, как расшифровать вирус NO_MORE_RANSOM еще на стадии заражения, может быть решен и таким методом. Вероятность его нейтрализации, конечно, невелика, но шанс есть.
Как расшифровать файлы, зашифрованные NO_MORE_RANSOM: резервные копии
Но есть еще одна методика, о которой мало кто знает или даже догадывается. Дело в том, что сама операционная система постоянно создает собственные теневые резервные копии (например, на случай восстановления), или пользователь намеренно создает такие образы. Как показывает практика, именно на такие копии вирус не воздействует (в его структуре это просто не предусмотрено, хотя и не исключено).
Таким образом, проблема того, как расшифровать NO_MORE_RANSOM, сводится к тому, чтобы использовать именно их. Однако применять для этого штатные средства Windows не рекомендуется (а многие пользователи к скрытым копиям не получат доступа вообще). Поэтому применять нужно утилиту ShadowExplorer (она является портативной).
Для восстановления нужно просто запустить исполняемый отсортировать информацию по датам или разделам, выбрать нужную копию (файла, папки или всей системы) и через меню ПКМ использовать строку экспорта. Далее просто выбирается директория, в которой будет сохранена текущая копия, а затем используется стандартный процесс восстановления.
Сторонние утилиты
Конечно, к проблеме того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Так, например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух модификациях - Rakhini и Rector.
Не менее интересно выглядят и аналогичные разработки вроде дешифратора NO_MORE_RANSOM от Dr. Web. Но тут стоит сразу же учесть, что применение таких программ оправдано только в случае быстрого обнаружения угрозы, пока еще не были заражены все файлы. Если же вирус обосновался в системе прочно (когда зашифрованные файлы просто невозможно сравнить с их незашифрованными оригиналами), и такие приложения могут оказаться бесполезными.
Как итог
Собственно, вывод напрашивается только один: бороться с этим вирусом необходимо исключительно на стадии заражения, когда происходит шифрование только первых файлов. А вообще, лучше всего не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников (это касается исключительно клиентов, установленных непосредственно на компьютере - Outlook, Oulook Express и др.). К тому же если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открытие «левых» сообщений становится совершенно нецелесообразным, поскольку большинство при приеме на работу подписывает соглашения о неразглашении коммерческой тайны и кибербезопасности.