Помогите расшифровать файлы после вирусной атаки
- sanders
- Advanced Member
- Сообщения: 9361
- Зарегистрирован: 26.03.2008,14:47
- Откуда: Санкт-Петербург
-
Вклад в сообщество
Помогите расшифровать файлы после вирусной атаки
Начальник снабжения открыла письмо "Счет на оплату...", сработал вирус, зашифровал все файлы, придав им расширение .vault, и выдал текстовый файл, что надо зарегистрироваться на каком-то там сайте, скачать безопасный браузер Tor, найти на компе файл-ключ, и следовать инструкциям.
На компе стояла Avira - то еще д...мо! Сколько раз убеждали шефа поставить Касперского. Уже у всех дома стоят свои Касперские, а на работе - такая вот фигня.
Сисадмин, он же проектировщик, он же пуско-наладчик-слаботочник, ему некогда, занялся я.
Естественно скачивать браузер Tor и следовать инструкциям я не стал. Я зашел на сайт Касперского, скачал бесплатную проверялку. При этом вирус выдал уже на рабочем столе заставку с инструкцией, эта заставка-баннер перекрывала пол рабочего стола.
Проверялка Касперского нашла вирус, убила его, затем я с сайта скачивал две разных утилиты для расшифровки файлов. Те утилиты просят указать любой зараженный файл, затем ищут сами уже остальные.
Но расшифровано 0 файлов.
Что еще можно попробовать?
На компе стояла Avira - то еще д...мо! Сколько раз убеждали шефа поставить Касперского. Уже у всех дома стоят свои Касперские, а на работе - такая вот фигня.
Сисадмин, он же проектировщик, он же пуско-наладчик-слаботочник, ему некогда, занялся я.
Естественно скачивать браузер Tor и следовать инструкциям я не стал. Я зашел на сайт Касперского, скачал бесплатную проверялку. При этом вирус выдал уже на рабочем столе заставку с инструкцией, эта заставка-баннер перекрывала пол рабочего стола.
Проверялка Касперского нашла вирус, убила его, затем я с сайта скачивал две разных утилиты для расшифровки файлов. Те утилиты просят указать любой зараженный файл, затем ищут сами уже остальные.
Но расшифровано 0 файлов.
Что еще можно попробовать?
- alecv
- Advanced Member
- Сообщения: 6993
- Зарегистрирован: 05.10.2004,11:13
- Откуда: Санкт-Петербург
- Контактная информация:
-
Вклад в сообщество
DRWeb посылает аналогично
[hr]К сожалению, в данном случае расшифровка не в наших силах.
Собственно шифрование файлов выполнено общедоступным легитимным криптографическим ПО GPG (GnuPG)
Криптосхема на базе RSA-1024.
Подбор ключа расшифровки, к сожалению, невозможен.
Восстановление данных - из резервных копий, если велось резервное копирование.
Основная рекомендация:
обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Поскольку это RSA-1024, без содействия со стороны автора/хозяина троянца - вольного или невольного (арест соотв. людей правоохранительными органами) -
расшифровка не представляется практически возможной.
С уважением,
служба технической поддержки компании "Доктор Веб".
[hr]
Ничего нельзя сделать, используйте бэкапы.
[hr]К сожалению, в данном случае расшифровка не в наших силах.
Собственно шифрование файлов выполнено общедоступным легитимным криптографическим ПО GPG (GnuPG)
Криптосхема на базе RSA-1024.
Подбор ключа расшифровки, к сожалению, невозможен.
Восстановление данных - из резервных копий, если велось резервное копирование.
Основная рекомендация:
обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Поскольку это RSA-1024, без содействия со стороны автора/хозяина троянца - вольного или невольного (арест соотв. людей правоохранительными органами) -
расшифровка не представляется практически возможной.
С уважением,
служба технической поддержки компании "Доктор Веб".
[hr]
Ничего нельзя сделать, используйте бэкапы.
- Tronix
- Advanced Member
- Сообщения: 3625
- Зарегистрирован: 15.01.2008,11:00
- Откуда: Москва
-
Вклад в сообщество
Бекапы, да. У меня еще так сделано на всякий: в корне диска C:\ лежат 256 файлов с расширением .doc , каждый файл по 65356 байт длинной. Содержимое каждого файла - символы от 0 до 255, соотвественно. То есть в файле 0.doc 64Kb нулей (ascii 0x00), в файле 1.doc - 64Kb ascii (0x01) и тд.
Криптор пошифрует их. Я в криптографии не очень, и не знаю, можно ли будет по этим данным подобрать ключ для расшифровки, но уж алгоритм шифрования подсмотреть точно.
Криптор пошифрует их. Я в криптографии не очень, и не знаю, можно ли будет по этим данным подобрать ключ для расшифровки, но уж алгоритм шифрования подсмотреть точно.
- sanders
- Advanced Member
- Сообщения: 9361
- Зарегистрирован: 26.03.2008,14:47
- Откуда: Санкт-Петербург
-
Вклад в сообщество
Я в шифровании чуть больше, чем не очень: в детстве игрались в разные шифры, и я легко их подбирал.
Но! Я понимаю, что если и DrWeb, и Касперский не могут расшифровать, значит, они не смогли никак взломать шифр. А наверняка они бы на своих компах запускали вирусы, смотрели, как они себя видут.
Ключ шифрования почти наверняка переменный. И почти наверняка привязан к компьютеру, раз на компе появился файл .KEY. На такие простые приманки, как у Tronix-а вирус клюнет и схавает, и не подавится. И везде ключ шифрования будет разным.
----------
На предложение написать заявление в подразделение "К" и т.д., шеф сказал примерно следующие: "Они изымут комп и накопают там столько, что потом ты сам будешь сидеть в подразделении К или еще где подальше. :-)
Но! Я понимаю, что если и DrWeb, и Касперский не могут расшифровать, значит, они не смогли никак взломать шифр. А наверняка они бы на своих компах запускали вирусы, смотрели, как они себя видут.
Ключ шифрования почти наверняка переменный. И почти наверняка привязан к компьютеру, раз на компе появился файл .KEY. На такие простые приманки, как у Tronix-а вирус клюнет и схавает, и не подавится. И везде ключ шифрования будет разным.
----------
На предложение написать заявление в подразделение "К" и т.д., шеф сказал примерно следующие: "Они изымут комп и накопают там столько, что потом ты сам будешь сидеть в подразделении К или еще где подальше. :-)
-
- Advanced Member
- Сообщения: 3696
- Зарегистрирован: 17.04.2005,13:44
- Откуда: Донецк
-
Вклад в сообщество
Ну в общем, современное шифрование продвинулось достаточно далеко, и современные общеизвестные алгоритмы вроде RSA устроены так, что если ключ имеет длину 128 бит, то на его подбор уйдут годы на лучших компьютерах, если 256 бит, то в два раза больше... ну а тут 1024 бита.sanders писал(а):Я в шифровании чуть больше, чем не очень: в детстве игрались в разные шифры, и я легко их подбирал.
Есть второй вариант - скачать броузер Tor и следовать инструкциям. Чесслово, вполне возможно, что цена вопроса 500 рублей.sanders писал(а):На предложение написать заявление в подразделение "К"
Let the Force be with you
-
- Advanced Member
- Сообщения: 3696
- Зарегистрирован: 17.04.2005,13:44
- Откуда: Донецк
-
Вклад в сообщество
Откат системы никогда не затрагивает пользовательские файлы. Система туда вообще не лезет, т.к. вряд ли кто обрадовался бы, если во время восстановления системы его любимый диплом или там домашняя бухгалтерия откатились к версиям месячной давности.MM писал(а):А откат ( системы ) не помогает ?
Антивирус "мозги пользователя". Атаки-то никакой не было, она просто сама запустила неизвестную хрень. А вообще, я рекомендую следующее, Каспер или SEP в качестве антивиря, и Outlook в качестве почтового клиента. Его замечательная фича - он автоматически грохает все без исключения вложения, которые содержат исполняемый код, даже не интересуясь, вирус там или нет. Это хорошо и правильно. Если кому-то сильно надо передать доку с макросами или экзешник, пусть хотя бы архивируют.MM писал(а):Какой антивирус для детектирования такой атаки порекомендуете ?
Let the Force be with you
-
- Advanced Member
- Сообщения: 1322
- Зарегистрирован: 26.08.2012,13:09
- Откуда: Москва
-
- Newbie
- Сообщения: 5
- Зарегистрирован: 06.02.2015,09:01
- Откуда: Кировград (Свердловская обл.)
А какие форматы файлов были зашифрованы? Т.е. что именно вы хотите спасти - документы? чертежи? фотки?
Сколько разделов на жестком диске у компьютера?
На днях ко мне обращались с подобной проблемой, вирус зашифровал файлы в формат .xtbl . Нужно было переустановить Win7 и расшифровать документы (*.doc, *.docx, *.xls? *.xlsx, *.pdf ) и фотки в формате *.jpg. Жесткий с данными я зацепил к другому компьютеру, и просканировал его программой Power Data Recovery. Жесткий на 1Тб сканировался шесть с половиной часов. PDR благополучно нашла и восстановила все нужные файлы.
Сколько разделов на жестком диске у компьютера?
На днях ко мне обращались с подобной проблемой, вирус зашифровал файлы в формат .xtbl . Нужно было переустановить Win7 и расшифровать документы (*.doc, *.docx, *.xls? *.xlsx, *.pdf ) и фотки в формате *.jpg. Жесткий с данными я зацепил к другому компьютеру, и просканировал его программой Power Data Recovery. Жесткий на 1Тб сканировался шесть с половиной часов. PDR благополучно нашла и восстановила все нужные файлы.