Відповідь компанії DrWeb про троянця-шифрувальники сімейства Encoder. Чи можливо відновити файли.

“Салют буржуа! Наші швидкохідні катери, атакували ваш файловоз. Ваш комп’ютер узятий на абордаж командою Африканських піратів …”. Текст повідомлення – дурь рідкісна, однак від цього не легше. Тема троянців-шифрувальників продовжує набирати обороти в мережі.

Зараз, коли даний вид вимагання став сильно популярний, любителям кликати по всіх посиланнях без розбору залишається тільки побажати удачі. Втім, тільки безповоротно втративши важливі файли і можна навчити людей робити резервні копії і думати, перш ніж відкрити черговий мега-прискорювач-інтернету, дізнатися секретний спосіб казкового збагачення не відриваючи дупи від стільця або скачати супер-спалювач жиру з безпрограшного інтернет-казино.

Буквально місяць тому писав про один із способів поширення даної зарази за допомогою підроблених листів з арбітражного суду. Минуло трохи більше року з того моменту коли я вперше зіткнувся з вірусами шифрувальником і на той момент не було взагалі ніяких інструментів, що дають хоч якийсь шанс на відновлення даних.

Зараз вже є деякі позитивні зрушення в боротьбі з вимагачами, проте це все-одно велика лотерея. Компанія DrWeb продовжує надавати безкоштовні послуги з розшифрування (якщо є можливість), проте з 19 червня 2013 року до розгляду приймаються тільки заявки від власників комерційних ліцензій на продукти Dr.Web. Наводжу посилання, по якій можна подати заявку:

https://support.drweb.com/new/free_unlocker/?keyno=for_decode=1

Один мій знайомий попросив допомогти йому в розшифровці файлів, зашифрованих напередодні. Ось і вирішив перевірити роботу службу DrWeb, треба сказати що відповідь прийшла досить швидко (буквально через пару годин) правда і не втішний:

Добрий день! Дякуємо за звернення в технічну підтримку “Доктор Веб”.

Файли зашифровані одним з нових варіантів троянської програми Trojan.Encoder.293

На даний момент у нас немає способу їх розшифрувати. Також, на жаль, немає ніякої надії, що хто-небудь зможе підібрати / обчислити ключ для розшифровки – ефективних алгоритмів факторизації для шифру RSA сучасній науці не відомо.

Ключ для розшифровки даних, зашифрованих Encoder.102, можна отримати / вилучити тільки у автора троянця.

Таким чином, основна рекомендація: зверніться із заявою до територіального управління “К” МВС РФ за фактом несанкціонованого доступу до комп’ютера, поширення шкідливих програм і вимагання.

Зразки заяв, а також посилання на держпортал ( “Порядок прийому повідомлень про подію в органах внутрішніх справ РФ”) є на нашому сайті: http://legal.drweb.com/templates

Можливо, в результаті поліцейської акції зловлять автора / “господаря” троянця і з’ясують у нього шіфроключ.

Існує можливість часткового відновлення (реконструкції) деяких файлів, зашифрованих encoder.293, без їх розшифровки (розшифровка без приватної половини ключової пари неможлива). Тільки деяких, і тільки частково.

Фактично такий підхід ґрунтується на тому, що шіфровщікі типу Encoder.102 / 293 вносить в файл відносно небагато змін. І тому в дані внесено відносно небагато змін, локалізованих в відомих місцях файлу, то на це можна подивитися просто як на пошкодження файлу, яке, можливо, можна виправити. При цьому слід мати на увазі, що реконструйований файл ніколи не повертається у вихідне, як було до зашифровуваної, стан.

Особливо актуально для офісних doc / xls, в яких після реконструкції можуть змінитися дані на перших сторінках. Було написано 100, а стане 500 – таке запросто може трапитися.

Наша утиліта, яка дещо вміє робити в цьому плані:

http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

Спосіб її застосування в вашому випадку наступний:te102decrypt.exe -k h49 -e .SOS @ AUSI.COM_FG177

або:te102decrypt.exe -k h49 -e .SOS @ AUSI.COM_FG177 -path D: \ Path

– так діяльність реконструктора обмежиться тільки тим, що знайдеться в зазначеному каталозі D: \ Path

Результати зберігаються в нові файли за принципом:

“Документ.doc.SOS@AUSI.COM_FG177” (зашифрований) => “документ.doc” (реконструйований)

З урахуванням цього потрібне додаткове вільне місце на диску. У кращому випадку te102decrypt зможе відновити дещо з файлів формату jpg / doc / xls / dbf (частина даних може бути втрачена, але кількість втрат зведено до мінімуму). Не більше того.

Що стосується зашифрованих zip-архівів. Те, що можна з них витягти без розшифровки, здатний витягти архіватор 7zip. Безпосередньо розпакувати прямо з зашифрованих. В даному випадку має бути можливо витягти з зашифрованого zip-архіву всі файли, крім першого, і, можливо, ще кількох з початку архіву. Поки це все, чим ми можемо вам допомогти.

З повагою, служба технічної підтримки компанії “Доктор Веб”.

У листі зустрічається .SOS@AUSI.COM_FG177 – це розширення, яке отримали зашифровані файли. За допомогою утиліти te102decrypt.exe все-таки вдалося відновити пару файлів з тих, які мені прислали. Так що спробувати варто, гірше не буде. Такі справи…

Якщо вважаєте статтю корисною, не лінуйтеся ставити лайки і ділитися з друзями.

Ссылка на основную публикацию