Decriptarea fișierelor după virusul wanna. Cum să recuperați fișierele după ce au fost criptate de virusul ransomware WannaCry. Folosind utilități speciale

Recent, a fost descoperit Internet Security Center 360 noul fel Un virus ransomware care vizează atât companiile, cât și persoanele fizice din multe țări și regiuni. 360 a emis un avertisment de urgență în timp util pe 12 mai în urma descoperirii pentru a reaminti utilizatorilor riscurile viitoare. Acest ransomware vyrus este distribuit de la de mare viteză La nivel mondial. Potrivit unor statistici incomplete, zeci de mii de dispozitive din 99 de țări au fost infectate în doar câteva ore după explozie, iar acest vierme de rețea încă încearcă să-și extindă influența.

De obicei, un virus ransomware este malware cu intenția clară de extorcare. Criptează fișierele victimei folosind un algoritm criptografic asimetric, le face inaccesibile și solicită o răscumpărare pentru a le decripta. Dacă răscumpărarea nu este plătită, fișierele nu pot fi recuperate. Această nouă specie poartă numele de cod WanaCrypt0r. Ceea ce îl face atât de mortal este că a folosit instrumentul de hacking „EternalBLue”, care a fost furat de la NSA. Acest lucru explică și de ce WanaCrypt0r a putut să se răspândească rapid în întreaga lume și a provocat pierderi mari într-un timp foarte scurt. După încălcarea viermilor de rețea din 12 mai, departamentul Core Security de la Centrul de securitate Internet 360 a efectuat o monitorizare amănunțită și scanare amanuntita. Acum putem lansa o suită de soluții de detectare, protecție și recuperare a datelor împotriva WanaCrypt0r.

360 Helios Team este o echipă de cercetare și analiză APT (Advanced Persistent Attack) din cadrul departamentului Core Security, dedicată în primul rând investigației atacurilor APT și răspunsului la incidente de amenințare. Cercetătorii de securitate au analizat cu atenție mecanismul virușilor pentru a găsi cea mai eficientă și precisă metodă de recuperare a fișierelor criptate. Folosind această metodă, 360 poate deveni primul furnizor de securitate care lansează un instrument de recuperare a datelor - „360 Ransomware Infected Recuperarea fisierului„pentru a-și ajuta clienții să recupereze rapid și complet fișierele infectate. Sperăm că acest articol vă va ajuta să înțelegeți trucurile acestui vierme, precum și altele discuție largăîntrebare despre restaurarea fișierelor criptate.

Capitolul 2 Analiza proceselor de criptare de bază

Acest vierme expune modulul de criptare în memorie și încarcă direct DLL-ul în memorie. DLL-ul exportă apoi o funcție TaskStart care ar trebui utilizată pentru a activa întregul proces de criptare. DLL accesează dinamic Sistemul de fișiereȘi Funcții API legate de criptare pentru a evita detectarea statică.

1. Etapa inițială

Mai întâi folosește „SHGetFolderPathW” pentru a obține căile pentru desktop și foldere de fișiere. Apoi va apela funcția „10004A40” pentru a obține calea către desktopurile și folderele de fișiere ale altor utilizatori și va apela funcția EncrytFolder pentru a cripta folderele individual.

Trece prin toate unitățile de două ori de la driverul Z la C. Prima scanare este să ruleze toate discuri locale(cu excepția driver-CD). A doua scanare verifică toate dispozitivele de stocare mobile și apelează funcția EncrytFolder pentru a cripta fișierele.

2.File travers

Funcția „EncryptFolder” este o funcție recursivă care poate colecta informații despre fișiere urmând procedura de mai jos:

Eliminați căile de fișiere sau folderele în timpul procesului încrucișat:

Mânca dosar interesant cu titlul „Acest folder protejează împotriva virusului ransomware. Schimbarea acestuia va reduce protecția.” Când faceți acest lucru, veți descoperi că acesta corespunde folderului de protecție al software-ului de protecție împotriva ransomware.

În timpul accesării cu crawlere a fișierelor, ransomware-ul colectează informații despre fișiere, cum ar fi dimensiunea fișierelor și apoi clasifică fișierele în tipuri diferiteîn conformitate cu extinderea acestora, urmând anumite reguli:

Lista tipurilor de extensii 1:

Lista tipurilor de extensii 2:

3.Prioritate de criptare

Pentru a cripta fișiere importante cât mai repede posibil, WanaCrypt0r a dezvoltat o coadă de priorități complexă:

Coada de prioritate:

I.Criptați fișierele de tip 2 care se potrivesc și cu lista de extensii 1. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
II. Criptați fișierele de tip 3 care se potrivesc și cu lista de extensii 2. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
III. Criptați fișierele rămase (mai puțin de 0x400) și alte fișiere.

4.Logica de criptare

Întregul proces de criptare este finalizat folosind atât RSA, cât și AES. Deși în proces Criptare RSA Este utilizat Microsoft CryptAPI, codul AES este compilat static în DLL-uri. Procesul de criptare este prezentat în figura de mai jos:

Lista cheilor folosite:

Format de fișier după criptare:

Vă rugăm să rețineți că în timpul procesului de criptare, ransomware-ul va selecta aleatoriu unele fișiere pentru a le cripta folosind programul încorporat. cheie publică RSA va oferi mai multe fișiere pe care victimele le pot decripta gratuit.

Mod de a fișiere gratuite poate fi găsit în fișierul „f.wnry”.

5. Completarea numerelor aleatorii

După criptare, WanaCrypt0r va completa fișierele pe care le consideră importante numere aleatorii până când distruge complet fișierul și apoi mutați fișierele într-un director de fișiere temporar pentru ștergere. Făcând acest lucru, este destul de dificil pentru instrumentele de recuperare a fișierelor să recupereze fișierele. În același timp, poate accelera procesul de criptare.

Fișierele completate trebuie să îndeplinească următoarele cerințe:

- ÎN directorul specificat(desktop, documentul meu, folderul utilizator)

— Fișierul are mai puțin de 200 MB

— Extensia de fișier se află în lista de tipuri de extensii 1

Logica de completare a fișierelor:

- Dacă fișierul este mai mic de 0x400, acesta va fi acoperit cu numere aleatorii de aceeași lungime

- Dacă fișierul este mai mare de 0x400, ultimul 0x400 va fi acoperit cu numere aleatorii

- Mutați indicatorul fișierului la antetul fișierului și setați 0x40000 ca bloc de date pentru a acoperi fișierul cu numere aleatorii până la sfârșit.

6.Ștergerea fișierelor

WanaCrypt0r va muta mai întâi fișierele într-un folder temporar pentru a crea un fișier temporar, apoi îl va șterge în diferite moduri.

Când parcurge unitățile pentru a cripta fișierele, va crea un fișier temporar numit în formatul „$RECYCLE + auto increment + .WNCYRT” (de exemplu: „D:\$RECYCLE\1.WNCRYT”) pe unitatea curentă. . Mai ales dacă unitatea curentă este o unitate de sistem (cum ar fi Driver-C), va folosi directorul temporar al sistemului.

Ulterior, procesul rulează taskdl.exe și șterge fișierele temporare la un interval de timp fix.

Capitolul 3 Posibilitatea de recuperare a datelor

În analiza logicii sale de execuție, am observat că acest vierme va suprascrie fișierele care îndeplinesc cerințele specificate cu numere aleatorii sau 0x55 pentru a distruge structuri de fișiereși împiedică recuperarea acestora. Dar această operațiune este acceptată doar pentru anumite fișiere sau fișiere cu o anumită extensie. Aceasta înseamnă că există încă multe fișiere care nu au fost suprascrise, lăsând loc pentru recuperarea fișierelor.

În timpul procesului de îndepărtare, viermele s-a mișcat fișiere sursăîntr-un folder cu fișiere temporare apelând funcția MoveFileEx. În cele din urmă, fișierele temporare sunt șterse în masă. În timpul procesului de mai sus, fișierele sursă pot fi modificate, dar cele curente software Recuperarea datelor de pe piață nu este conștientă de acest lucru, așa că o mulțime de fișiere nu pot fi recuperate cu succes. Este aproape imposibil de realizat nevoia de fișiere de recuperare pentru victime.

Pentru alte fișiere, viermele a executat pur și simplu comanda „mutare și ștergere”. Deoarece procesele de ștergere a fișierelor și de mutare a fișierelor sunt separate, aceste două fire vor concura unele cu altele, ceea ce poate duce la eșecul mișcării fișierelor din cauza diferențelor de mediu de sistem utilizator. Acest lucru va șterge fișierul direct în locația sa curentă. În acest caz, există o mare probabilitate ca fișierul să poată fi recuperat.

https://360totalsecurity.com/s/ransomrecovery/

Folosind metodele noastre de recuperare, un procent mare de fișiere criptate pot fi recuperate perfect. Acum versiune actualizata Instrumentul de recuperare a fișierelor 360 a fost dezvoltat ca răspuns la această nevoie pentru a ajuta zeci de mii de victime să atenueze pierderile și consecințele.

14 mai 360 este primul furnizor de securitate care a lansat un instrument de recuperare a fișierelor care a salvat multe fișiere de la ransomware. Acest o nouă versiune a făcut un alt pas în exploatarea vulnerabilităților logice ale WanaCrypt0r. Poate elimina virusul pentru a preveni infecția ulterioară. Folosind mai mulți algoritmi, poate găsi conexiuni ascunse între fișierele recuperabile gratuite și fișierele decriptate pentru clienți. Acest serviciu de recuperare all-in-one poate reduce daunele cauzate de un atac ransomware și poate proteja securitatea datelor utilizatorilor.

Capitolul 4 Concluzie

Focare în masă și răspândire a viermilor WannaCry prin utilizarea MS17-010, ceea ce îl face capabil de auto-replicare și propagare activă, în plus față de funcțiile unui ransomware general. În afară de sarcina utilă de atac, structura tehnică a ransomware-ului joacă cel mai important rol în atacuri. Ransomware-ul criptează cheia AES folosind algoritmul criptografic asimetric RSA-2048. Fiecare fișier este apoi criptat folosind un algoritm aleatoriu AES-128 criptare simetrică. Aceasta înseamnă că, bazându-se pe calculele și metodele existente, este aproape imposibil să decriptați RSA-2048 și AES-128 fără chei publice sau private. Cu toate acestea, autorii lasă unele erori în procesul de criptare, ceea ce asigură și mărește posibilitatea de recuperare. Dacă acțiunile sunt efectuate suficient de rapid, majoritatea datelor pot fi salvate înapoi.

În plus, deoarece banii de răscumpărare sunt plătiți în Bitcoins anonimi, pentru care oricine poate obține adresa fără o certificare adevărată, este imposibil să se identifice atacatorul pe adrese, cu atât mai puțin între diferite conturi ale aceluiași proprietar de adresă. Prin urmare, datorită adoptării unui algoritm de criptare care nu poate fi spart și a Bitcoin-urilor anonime, este foarte probabil ca acest tip de erupție profitabilă de ransomware să continue mult timp. Toată lumea trebuie să fie atentă.

Echipa 360 Helios

360 Helios Team este o echipă de cercetare APT (Advanced Persistent Attack) în Qihoo 360.

Echipa este dedicată investigării atacurilor APT, răspunsului la incidente de amenințări și cercetării lanțurilor industriale ale economiei subterane.

De la înființarea sa în decembrie 2014, echipa s-a integrat cu succes baza de date imensa date 360 ​​și a creat o procedură rapidă de inversare și corelare. Până în prezent, au fost identificate și identificate mai mult de 30 de APT și grupuri economice subterane.

360 Helios oferă, de asemenea, soluții de evaluare și răspuns a amenințărilor pentru întreprinderi.

Rapoarte publice

a lua legatura
E-mail Poștă: [email protected]
Grupul WeChat: Echipa 360 Helios
Vă rugăm să descărcați codul QR de mai jos pentru a ne urmări pe WeChat!

Un val de un nou virus a cuprins lumea - ransomware Vrei Cry (alte nume Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), care criptează documentele de pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, computerul va trebui repornit.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitar antivirus, detectează un virus, fie îl va elimina imediat, fie vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nimic reconfortant acest moment Nu putem spune. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, un expert în domeniul Securitatea calculatorului, momentan infractorii au primit doar 26.000 USD, adică doar vreo 58 de persoane au fost de acord să plătească răscumpărarea estorcatorilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

În cazul WannaCry, soluția problemei poate fi blocarea portului 445 de pe firewall ( firewall), prin care apare infecția.

Cel mai puternic atac al virusului Wana Decryptor a început ieri, 12 mai 2017, mii de computere au fost afectate în întreaga lume. În câteva ore, au fost 45.000 de computere infectate în lume, o cifră care creștea în fiecare minut.

Cea mai afectată țară a fost Rusia, până în prezent atac de virus continuă și acum hackerii încearcă să preia sectorul bancar. Ieri, principalul atac a lovit computerele utilizatorilor obișnuiți și rețeaua Ministerului rus al Afacerilor Interne.

Programul criptează accesul la diverse fișiere pe computerul dvs. și oferă acces la acestea numai după ce ați plătit cu bitcoins. În acest fel, hackerii pot câștiga milioane de dolari. Nu este încă posibil să decriptați fișierele WNCRY, dar puteți restaura fișierele criptate folosind programele ShadowExplorer și PhotoRec, dar nimeni nu poate oferi garanții.

Acest virus ransomware este adesea numit Wana Decryptor, cu toate acestea, are și alte nume: WanaCrypt0r, Vreau să plâng sau Wana Decrypt0r. Înainte de aceasta, virusul principal avea un frate mai mic ransomware Wanna Cry și WanaCrypt0r. Mai târziu, numărul „0” a fost înlocuit cu litera „o”, iar virusul principal a devenit cunoscut sub numele de Wana Decrypt0r.

La sfârșit, virusul adaugă extensia WNCRY la fișierul criptat, care este uneori numit prin această abreviere.

Cum infectează Wana Decryptor un computer?

Calculatoarele care rulează sistemul de operare Windows au o vulnerabilitate în serviciul SMB. Această gaură există în toate sistemele de operare versiuni Windows 7 la Windows 10. În martie, corporația a lansat actualizarea de corecție „MS17-010: Actualizare de securitate pentru Windows SMB Server”, totuși, judecând după numărul de computere infectate, este clar că mulți au ignorat această actualizare.

La sfârșitul activității sale, virusul Wana Decryptor va încerca să ștergă toate copiile fișierelor și alte copii de siguranță ale sistemului, astfel încât, dacă se întâmplă ceva, nu poate fi restaurat. Pentru a face acest lucru, acesta va cere utilizatorului drepturi de administrator, de operare sistem Windows va afișa un avertisment de la serviciul UAC. Dacă utilizatorul refuză să ofere drepturi depline, apoi copii ale fișierelor vor rămâne pe computer și utilizatorul le va putea restaura absolut gratuit.

Cum să recuperați Wana criptat Fișiere de decriptareși să vă protejați computerul?

Singura modalitate de a recupera fișierele care au fost criptate de un virus este utilizarea programelor ShadowExplorer și PhotoRec. Citiți manualul acestor programe pentru a afla cum sunt restaurate fișierele criptate.

Pentru a preveni virusul ransomware WNCRY să vă infecteze computerul, trebuie să închideți toate vulnerabilitățile din sistem. Pentru a face acest lucru, descărcați actualizarea MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.

În plus, nu uitați să instalați Zemana Anti-malware sau antivirus Malwarebytes pe computer, într-o versiune plătită versiunea completa se vor asigura că virușii ransomware sunt blocați să ruleze.



Vă recomandăm alte articole
Stoloto, loto rusesc – o înșelătorie?
Stoloto, loto rusesc – o înșelătorie?
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”