Меню
Восстановление данных24 часа в сутки 7 дней в неделю
+38 044 362-05-12
501-60-67
Обратный звонок
сделать заявку

Восстановление данных после вируса-вымогателя шифрующего файлы

В последнее время количество обращений с проблемой восстановления данных после вируса зашифровавшего файлы значительно возросло. Однако помощь в подобной ситуации является задачей нетривиальной.

Рассмотрим некоторые аспекты подобной проблематики. На сегодняшний день, как правило, вирусы шифруют все наиболее используемые типы данных: фото, видео, офисные документы, базы данных и т.д. И хотя шифрованным данным вирусы присваивают разные расширения, их можно рассматривать как однотипный механизм, использующий схожие алгоритмы.

Файлы шифруются криптостойкими алгоритмами. Ключ состоит из открытой части (public key), которая генерируется на компьютере жертвы и закрытой части (private key), которая держится в секрете и известна только злоумышленнику. Комбинация открытый плюс закрытый ключ для каждого случая индивидуальна. Без закрытой части ключа расшифровать данные невозможно. Расчет злоумышленника и заключается в том, что жертва после оплаты определенной суммы получает программу дешифратор, где уже и встроена закрытая часть ключа. Решения, которые предлагают известные антивирусные разработчики, скорее всего и состоят в подборе закрытой части ключа, методом прямого подбора или специального, используя эвристический анализ.

Из собственной практики не встречали практического примера оплаты и получения программы дешифратора, однако Заказчиков утверждающих, что подобный опыт был, видели.  Моральную сторону платить или не платить опустим. Естественно понятно, что поощрять злоумышленников нельзя, но степень важности данных у всех разная.

Однако примеры частичного дешифрования файлов были. Каждый случай индивидуален. Успех возможен в том случае, если вирус шифрует не весь файл, а только его часть. Подобный подход злоумышленника имеет логическое объяснение. Объемы данных все время растут, время необходимое потратить на шифрование файлов соответственно тоже растет, а значит и растет риск быть замеченным. Поэтому, по нашему мнению, шифруются отдельные важные части файла, например заголовок.

Практический случай. Вирус зашифровал начало файлов, несколько фрагментов небольшого размера в теле файлов и дописал свою техническую информацию в концовке. Здесь мы столкнулись с несколькими задачами:

  • определить правильное окончание файла, отрезать вирусное дополнение
  • определить размер испорченного заголовка
  • определить местоположение и размеры шифрованных фрагментов в теле файла

С окончанием файлов решение было простое. С заголовком сложнее, так как он зачастую индивидуален, но можно с небольшими изменениями его заменить из схожего исправного файла.

С шифрованными участками внутри найти решение не удалось, неизвестна закрытая часть ключа, подобрать невозможно, так как данные там уникальны. Создав программное обеспечение автоматизирующее процесс исправление начала и конца файла получили на выходе: рабочее видео с небольшими артефактами, рабочие или частично рабочие офисные файлы. Основная неудача была с JPEG файлами. Из-за того что информация сжата, даже повреждение небольшого участка приводит к битому файлу.

Придуман был следующий алгоритм. Учитывая, что местоположения шифрованных участков известно, следовательно можно определить строку в фотографии, где битый фрагмент, и заменить эту строку на предыдущую или следующую за ней.  Зачастую для глаза подмена была незаметна, хотя получились и курьезные фотографии. Данный подход позволил часть фотографий восстановить до приемлемого уровня.

Необходимо отметить, еще один поход для восстановления данных. Поиск среди удаленных файлов, а также анализ неадресуемого пространства тома.

Подведем итог данного материала. Если вирус зашифровал ваши файлы это не всегда “приговор”.

Не отступать и не сдаваться))