Восстановление файлов после вируса шифровальщика

Обратился в нашу лабораторию заказчик из г. Кирова, чей диск был заражён вирусом-шифровальщиком, в результате все файлы в нескольких несистемных каталогах, типа «Фото» и «Учёба» стали выглядеть таким образом:

С расширением «tae8iush». К слову, расширение может быть произвольно другим. Файл «RECOVERY.hta», с требованием выкупа злоумышленникам, является исполняемым, автоматически запускается через приложение mshta.exe (Microsoft HTML Application Host) и содержит HTML код, включающий стили, base64 гифку и текст:

Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
Если вы хотите их восстановить, напишите нам по электронной почте antal33house@tfwno.gf
Также пишите нам на резервную электронную почту: antal33house@dnmx.org

Беглое изучение вопроса выявило, что при выгрузке файла на сторонний носитель, полученный файл имеет ожидаемый размер, но содержимое 00h:

Проведя анализ MFT записей, удалось выявить причину такого содержимого файла:

Как видно, все MFT записи «заражённых» файлов ссылаются на один и тот же произвольный адрес LBA, с разницей только в размере адресуемой области. И, кстати, если бы по этому самому 409 599 997 LBA адресу были бы какие либо данные, например видео, то вместо нулей был бы «белый шум», выглядящий вполне как шифрование. Просмотр самих записей локализовал проблему и дал понимание алгоритма работы вируса:

Восстановление файлов после вируса шифровальщика

«Вирус-шифровальщик», или правильнее в данном конкретном случае назвать его «вирус-вымогатель», не произвёл фактического шифрования файлов, а внёс изменения в MFT записи в области DATA RUNS — Run Header и Clusters length. Ну и модифицировал имя и расширение файла, дополнительно. Для того, чтобы вернуть нужные пользователю файлы обратно, нами было предложено два пути решения: подешевле и побыстрее, и подороже и подольше.

Первый вариант заключается в создании логической абстракции по алгоритму «Все занятые на основе анализа bitmap сектора. минус сектора, занятые немодифицированными файлами», с дальнейшим анализом полученной абстракции путём нахождения известных сигнатур файлов. Так называемое RAW, или «черновое восстановление». Но не обычное, а с контролем целостности поддерживаемых типов файлов. По итогу выполнения этого типа работ, восстановление файлов заражённых вирусом шифровальщиком получается без структуры каталогов и оригинальных имён файлов.

Второй вариант заключается в создании посекторной копии диска, написании и отладке на этой копии исполняемого скрипта к 010Editor, который проведёт обратную модификацию MFT записей, по итогу чего восстановление файлов заражённых вирусом вымогателем получится полным, с оригинальными именами и структурой папок и подпапок.