Выберите Ваш город

Введите название вашего города

  • Абакан
  • Анадырь
  • Арзамас
  • Архангельск
  • Астрахань
  • Барнаул
  • Белгород
  • Биробиджан
  • Благовещенск
  • Братск

Восстановление файлов после вируса шифровальщика

Artem Makarov aka Robin
04.10.2022
5598 просмотров

Вирусов-шифровальщиков в природе существует великое множество. Каждый реализует свой подход по повреждению пользовательских данных, действует по своему сценарию. И ввиду того, что объёмы пользовательских данных зачастую немаленькие а вирусу надо действовать быстро, чтобы успеть повредить побольше, не нагружая систему и не занимая ресурсов, появляются возможности для восстановления информации «малой кровью». То есть далеко не всегда надо стремиться заплатить вымогателям, и нередко в нашей лаборатории удаётся решить задачу и вернуть пользователям неповреждённые файлы без многотысячного долларового выкупа мошенникам.

Обратился в нашу лабораторию заказчик из г. Кирова, чей диск был заражён вирусом-шифровальщиком, в результате все файлы в нескольких несистемных каталогах, типа «Фото» и «Учёба» стали выглядеть таким образом:

Заражённые вирусом шифровальщиком вымогателем данные

С расширением «tae8iush». К слову, расширение может быть произвольно другим. Файл «RECOVERY.hta», с требованием выкупа злоумышленникам, является исполняемым, автоматически запускается через приложение mshta.exe (Microsoft HTML Application Host) и содержит HTML код, включающий стили, base64 гифку и текст:

Требование о выкупе вируса шифровальщика вымогателя

Все ваши файлы были зашифрованы из-за проблемы безопасности с вашим ПК.
Если вы хотите их восстановить, напишите нам по электронной почте antal33house@tfwno.gf
Также пишите нам на резервную электронную почту: antal33house@dnmx.org

Беглое изучение вопроса выявило, что при выгрузке файла на сторонний носитель, полученный файл имеет ожидаемый размер, но содержимое 00h:

Заражённый вирусом шифровальщиком вымогателем файл

Проведя анализ MFT записей, удалось выявить причину такого содержимого файла:

Восстановление файлов после вируса шифровальщика вымогателя

Как видно, все MFT записи «заражённых» файлов ссылаются на один и тот же произвольный адрес LBA, с разницей только в размере адресуемой области. И, кстати, если бы по этому самому 409 599 997 LBA адресу были бы какие либо данные, например видео, то вместо нулей был бы «белый шум», выглядящий вполне как шифрование. Просмотр самих записей локализовал проблему и дал понимание алгоритма работы вируса:

Восстановление данных после вируса шифровальщика вымогателя

«Вирус-шифровальщик», или правильнее в данном конкретном случае назвать его «вирус-вымогатель», не произвёл фактического шифрования файлов, а внёс изменения в MFT записи в области DATA RUNS — Run Header и Clusters length. Ну и модифицировал имя и расширение файла, дополнительно. Для того, чтобы вернуть нужные пользователю файлы обратно, нами было предложено два пути решения: подешевле и побыстрее, и подороже и подольше.

Первый вариант заключается в создании логической абстракции по алгоритму «Все занятые на основе анализа bitmap сектора, минус сектора, занятые немодифицированными файлами», с дальнейшим анализом полученной абстракции путём нахождения известных сигнатур файлов. Так называемое RAW, или «черновое восстановление». Но не обычное, а с контролем целостности поддерживаемых типов файлов. По итогу выполнения этого типа работ, восстановление файлов заражённых вирусом шифровальщиком получается без структуры каталогов и оригинальных имён файлов.

Второй вариант заключается в создании посекторной копии диска, написании и отладке на этой копии исполняемого скрипта к 010Editor, который проведёт обратную модификацию MFT записей, по итогу чего восстановление файлов заражённых вирусом вымогателем получится полным, с оригинальными именами и структурой папок и подпапок.

Восстановление файлов после вируса шифровальщика BlackBit

Из Севастополя прислали SSD диск, заражённый вирусом «Black Bit». Всё по-классике, изменение имён файлов и их расширений на подобное «[WoundedOwl@onionmail.org][SystemID]FileName.BlackBit», зловещие сообщения вида:

Сообщение о выкупе Black Bit

Замена метки тома на «Locked by BlackBit»:

Заражённый вирусом Блэк Бит диск

И в каждой папке файл с именем «Restore-My-Files.txt» и содержимым:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: WoundedOwl@onionmail.org
You can also contact us in Telegram: @WoundedOwl
In case of no answer in 24h, send e-mail to this address: WoundedOwl@cyberfear.com
All your files will be lost on DATE.
Do not go to recovery companies or contact third parties, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
Your SYSTEM ID : ХХХХХХХ

Что в переводе звучит как:

!!!Все ваши файлы зашифрованы!!!
Не обращайтесь в компании по восстановлению и не связывайтесь с третьими лицами, они всего лишь посредники, которые заработают на вас деньги и обманут вас.
Они тайком договариваются с нами, покупают софт для расшифровки и продают вам в разы дороже или просто вас разводят.

Прочитав такие возмутительные инсинуации, моя реакция могла быть только одна:

Вызов принят!

Получив от заказчика оплату работ по предварительному анализу, начал изучать вопрос. В данном случае таблица размещения файлов изменениям не подвергалась, если не считать переименования файлов и их расширений. Первые сектора файлов представляют собой типичный для шифрования или иных модификаций, типа наложения XOR маски, «белый шум».

Шестнадцатеричное преставление сектора поражённого вирусом BlackBit файла

Однако, дальше выяснилось интересное. Все более-менее большие файлы были модифицированы не полностью, а только по 0x00040000h смещение, что равняется 512-ти секторам по 512 байт каждый. На примере файла-лога XML граница прекрасно различима визуально.

Алгоритм работы вируса Black Bit

Дальнейшее изучение структуры данных в области метафайлов показало наличие любопытного файлика «Cpriv.BlackBit»:

Алгоритм работы вируса Black Bit

С уникальным для тома диска содержимым, похожим на публичный ключ шифрования (public key), но в действительности являющийся маской XOR, которая накладывается на сектор для эмуляции его шифрования:

Алгоритм работы вируса Black Bit

Собственно, уже на этом этапе стал понятен алгоритм работы вируса и нарисовались пути решения проблемы. При заражении вирус помещает в корень диска файл с ксор-маской, которая для быстроты работы вируса накладывается на первые 512 секторов файлов, попутно их переименовывая и помещая в каждый каталог файл с требованием выкупа.

Поскольку заказчику необходимо было срочно восстановить повреждённый вирусом шифровальщиком файл базы данных 1С, вся работа по восстановлению бухгалтерии заняла несколько минут и заключалась в обратном переименовании файла «1Cv8.1CD» и замене его повреждённого заголовка на неповреждённый, взятый из старого бэкапа.

Для восстановления остальных файлов потребовалось гораздо больше времени. Первым делом был сделан полный клон диска и все дальнейшие работы проводились уже на этой копии. Дальше был написан скрипт, который расксоривает начальные сектора и переименовывает файлы обратно.

Восстановление информации после вируса вымогателя Faust (Phobos)

Очередная заявка на восстановления в виде пары SSD дисков из Пятигорска. Из-за криворуких системных администраторов злоумышленники воспользовавшись RDP доступом к ПК заразили все файлы шифровальщиком, который изменил расширение заражённых файлов на *.faust

Результат работы вируса фауст (фобос)

Тут вирус «фауст» поработал изобретательнее. Мелкие файлы зашифрованы полностью, а вот с большими дело хуже. По привычному 0х40000h смещению нули,

Заголовок файла заражённого вирусом faust(phobos)

и к каждому файлу дописано примерно одинаковое количество секторов в конец файла в виде отдельного фрагмента заполненного «белым шумом» с адресацией на кластеры в общем массиве в начале LBA пространства диска:

Дописанный фрагмент

Вариант дописанного фрагмента

Размер дописанного «хвоста» превышает занулённый заголовок в 4 раза. При наличии типовых неуникальных заголовков восстановление пользовательских данных после заражения вирусом «faust» большого труда не представляет и все 1С базы данных пользователя были нами успешно восстановлены.

Читать так же:

Восстановление данных VeraCrypt, TrueCrypt и Bitlocker

Как устроено шифрование VeraCrypt, TrueCrypt и Bitlocker, методы расшифровки и восстановления

Восстановление данных с Seagate Secure SED

Как получить доступ к пользовательским файлам на Seagate Secure (SED) дисках

Оставьте комментарий
Дмитрий
15 августа 2023, 07:11

Здравствуйте!
Поделитесь скриптом для разблокировки этого шифровальщика или помогите с разблокировкой файлов. Спасибо!

Artem Makarov aka Robin
15 августа 2023, 09:25

Заполняйте форму заявки на сайте, описывайте подробно проблему, посмотрим чем сможем помочь.

Константин Игоревич Васильев
16 октября 2023, 16:19

Словил Blakbit, хочу сам восстановить фалы, можете направить на путь истинный?

Евгений
16 октября 2023, 16:20

У меня аналогичная проблема. Можете помочь?

Кристина
25 октября 2023, 13:08

Необходимо восстановить файлы после вируса-шифратора, в результате шифрования файлы приобрели расширение *.itrz. Если это могло бы помочь процессу имеются в наличии образцы пар файлов оригинал-зашифрованный.

Alex Minakov
17 апреля 2024, 08:45

Добрый день. Информация на 4-х физических серверах компании зашифрована. Доступны диски С, остальные диски на серверах не доступны, переделаны в формат RAW. Файлы с них достать и посмотреть расширение не можем. На рабочем столе файлы readme.txt с вымогательством. В корне диска С папки сrypt и decrypt На виртуальные серверы, развернутые на физических серверах, доступа нет, что там — непонятно. Предполагаем — то же самое. Нет доступа к почтовому серверу, нет доступа к 1С программам и т.д. Как-то сможете помочь в таком случае?

Нужна консультация?

Мы одна из немногих лабораторий в России, которая восстанавливает данные самостоятельно.

Для этого у нас есть все необходимое:
Важно – кто будет первым!
восстанавливать
информацию