Восстановление повреждённых вирусом файлов

В последнее время лавинообразно участились обращения клиентов, пострадавших в результате действия вирусов. После заражения определенным типом вируса у пользователя теряется возможность получения доступа к данным, не смотря на то, что все файлы на месте. После заражения файлов пользователю выдается системное сообщения подобного содержания:

Внимание! На вашем компьютере, обнаружено нелицензионное программное обеспечение. Доступ к вашим файлам запрещен!c

Чтобы восстановить свои файлы и получить к ним доступ, свяжитесь с нашим отделом безопасности имя@почта. Идентификатор ххххххх Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте внимательны при вводе кода!

Заранее благодарим за оплату! Мы ценим ваш вклад в развитие инновационно-технического прогресса.

Разумеется дело не в использовании так называемого «нелицензионного программного обеспечения» а в том, что некие граждане возжелав деньжат написали вредоносную программу, которая модифицирует файлы пользователя, а потом начала вымогать деньги.

Большинство граждан, которые обратились в наш сервис по восстановлению данных за помощью, пытались связаться с мошенниками и переводили деньги. Никому из них «код разблокировки», как нетрудно догадаться, не пришел. Это не удивительно, так как у мошенников цель одна – выудить денег. Имея доступ к исходному коду вируса достаточно просто ввести в сообщение свой электронный адрес и не заморачиваться с восстановлением пользовательских данных.

В этой заметке я разберу основные модификации, которые происходят с зараженными вирусом-вымогателем файлами.

Самое простое, к зараженному файлу вирус добавляет свой заголовок. Чуть посложнее – несколько килобайт файла или весь файл подвергаются XOR модификации. В этих случаях восстановление данных не представляет сложности, ключ XOR преобразования легко вычислить по известным сигнатурам, поскольку расширения файлов доступны.

В более тяжелых для специалиста, осуществляющего восстановление данных зашифрованных вирусом, файлы подвергаются шифрованию.

Еще один пример сообщения:

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.

Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.

Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес имя@почта. К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".

Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

Типично шифрование происходит блоками по 16 байт, ключом RSA, но встречаются модификации вируса, которые шифруют информацию ключом RC4. Спасает то, что в подавляющем большинстве случаев у клонов вируса-вымогателя реализован слабый генератор ключа, опирающийся на стандартную Microsoft библиотеку Crypto API, а в некоторых модификациях вируса генератор ключа даже не инициализирован.

Все это позволяет с относительно небольшими временными затратами подобрать ключ, которым были зашифрованы файлы на отдельно взятой системе (компьютере) и полностью восстановить утраченные в результате вирусной атаки данные.

Оставить комментарий

Читать комментарии к статье

Оставить комментарий:

Текст на изображении: Дайте понять, что вы не спамер Если вам не понятен текст на изображении обновите страницу, нажав F5

AK
О и до РФ докатилось, у нас веселуха была исключительно популярна в 10-11 годах. Только речь шла якобы о органах внутренних дел в частности о криминальной полиции, и якобы на машине было найдено детское порно, либо террористические данные. Грех прощался за смску стоимостью около 9,99 евро. Граждане фигели, но платили, думаю о модернизации и либерализации судебно-правовой системы.)))) В реальности при таком правонарушении светит не штраф, а спецназ под дверью с загранщитами и гранотометом в течении 10 минут. Но сейчас поток халявы поутих(((
Alex
Да, интересно в более сложных случаях шифрования реально ли восстановить файлы какой либо автоматической программой для восстановления данных? Если мне попадется такой случай, то обязательно протестирую все программы (которые у меня есть) на способность восстанавливать зашифрованные файлы. Недавно восстановил фотографии из chk файлов (после того как пользователь запустил check disk).А такого случая ещё не было...
M
Небольшие добавления к статье (сначала покажется бредом, но поверьте! это делали вполне себе взрослые люди, работающие с банками и финансами).

1. Никогда не отправляйте SMS в случаях с порнобаннерами. Этим Вы спонсируете преступников.

2. Не верьте, когда Вам предлагают ввести "разблокировочный" код с чека из терминала. Код транзакции известен только Вам и банку, и больше НИКОМУ.

3. Всегда сообщайте оператору мошенника о требовании "выкупа". Хоть это и одноразовая симка, но Ваши действия, возможно, помогут другим людям.

4. (и последнее) всегда знайте, что Вас хотят обмануть.
Андрей
тут есть решение для одного из таких вирусов
http://virusinfo.info/showthread.php?t=132630

Заметки схожей тематики:

Не могу установить виндовс

Странное поведение жесткого диска

Повреждение файлов после атаки вирусов