4 безкоштовні дешифратори для файлів, заражених програмою-вимагачем

Програми-здирники стають «флагманом» шкідливого ПЗ. За останній рік ми зафіксували зростання кількості атак шифрувачів більш ніж удвічі (на 105%). Подібні віруси блокують доступ до файлів на комп'ютері, кодуючи їх та вимагаючи викуп за надання коду для розшифровки.

Як розшифрувати файли безкоштовно? Ми раді оголосити про випуск чотирьох інструментів для видалення програм-вимагачів та дешифрування файлів: Alcatraz Locker, CrySiS, Globe та NoobCrypt. Всі дешифратори для файлів доступні на нашій сторінці та є безкоштовними.

Там же представлений докладний опис кожного виду програм-вимагачів. Наші інструменти зможуть допомогти вам видалити вірус-шифрувальник та розблокувати файли. Утиліти постійно оновлюються з розвитком перелічених видів загроз.

З моменту випуску першого пакету із семи інструментів Avast для дешифрування нам було приємно отримати безліч відгуків з подяками та розповідями про те, як наші утиліти врятували чиїсь цінні дані чи навіть бізнес. Сподіваємось, нові програми для дешифрування допоможуть ще більшій кількості користувачів.

файлів

Нижче наведено короткий опис чотирьох нових видів програм-вимагачів, для видалення яких були розроблені нові безкоштовні утиліти.

дешифратори

На відміну від більшості видів шифрувачів, програма Alcatraz немає заданого списку розширень файлів, куди вона націлена. Іншими словами, програма шифрує все, що може. Щоб запобігти завданню шкоди операційній системі, Alcatraz Locker шифрує лише файли в каталозі %PROFILES% (зазвичай C:\Users).

Вимагач шифрує файли, використовуючи вбудовані функції Windows (інтерфейс шифрування API):

безкоштовні

У тексті повідомлення з вимогою викупу стверджується, що програмавикористовує шифрування AES-256 зі 128-бітовим паролем. Аналіз даного шкідливого програмного забезпечення показав, що це не так (застосовується 128-байтовий, а не 128-бітовий пароль). Однак вірус використовує 160-бітовий хеш (SHA1) як вихідний ключ для 256-бітового шифрування AES. В API-інтерфейсі шифрування, який використовується програмою, це реалізується досить цікавим чином:

  1. Створюється 256-бітовий масив, що заповнюється шістнадцятковим значенням 0x36.
  2. До перших 160 біт цього масиву з початковим 160-бітовим хеш SHA1 застосовується функція XOR.
  3. Розраховується маса SHA1, до якого була застосована функція XOR (назвемо це Hash1).
  4. Створюється 256-бітовий масив, що заповнюється шістнадцятковим значенням 0x5C.
  5. До перших 160 біт цього масиву з початковим 160-бітовим хеш SHA1 застосовується функція XOR.
  6. Розраховується маса SHA1, до якого була застосована функція XOR (назвемо це Hash2).
  7. 160 бітів Hash1 та 96 бітів Hash2 об'єднуються.

Об'єднаний хеш, що вийшов, використовується як вихідний ключ для AES256.

Після виконання шифрування AES-256 програма-вимагач також кодує вже зашифрований файл за допомогою позиційної системи числення з основою 64 (BASE64), внаслідок чого зашифрований файл наводиться до типової моделі:

заражених

Згідно з повідомленням шифрувача, єдиним способом повернути свої дані є виплата 0,3283 біткойна (близько $370 на момент написання статті). Але тепер повернути доступ до файлів можна безкоштовно, скориставшись інструментом Avast для дешифрування Alcatraz. Існування 30-денного обмеження, про яке йдеться у повідомленні з вимогою грошей, — ще один обман: розшифрувати свої документи можна у будь-який час, навіть через 30 днів.

Заблоковані файли виглядають так: .id- . . .

.xtbl, .lock та .CrySiS.

В результаті імена зашифрованих файлів можуть виглядати так:

Кожен подібний елемент містить усі дані, які необхідні для його розшифрування. Файли розміром менше 262 144 байти зашифровуються повністю, а в кінці знаходиться код, що містить зашифрований ключ AES разом з іншими даними, такими як вихідне ім'я файлу, що дозволяє виконати повне розшифрування. Варто зазначити, що файли, розмір яких перевищує 262 144 байти, шифруються лише частково, однак і в цьому випадку використовувати їх не вдасться. Такий спосіб роботи здирника призводить до того, що великі файли після шифрування ще більше збільшуються у розмірі.

Після блокування цих файлів програма-вимагач відображає нижченаведене повідомлення, яке описує спосіб повернення доступу до зашифрованих даних. Це повідомлення також міститься у файлі під назвою "Decryption instructions.txt", "Decryptions instructions.txt" або "README.txt" на робочому столі зараженого ПК.

Ось кілька прикладів повідомлень програми CrySiS з вимогою викупу:

файлів

заражених

безкоштовні

  • змінювати кінцеве ім'я файлу в папці %APPDATA%;
  • змінювати розширення зашифрованих файлів;
  • змінювати список типів файлів (розширень), які будуть зашифровані;
  • змінювати повідомлення із вимогою грошей, що має формат HTML;
  • включати та вимикати шифрування імен файлів;
  • включати перевірку пісочниць (VirtualBox, VirtualPC, Vmware, Anubis);
  • включати автозапуск шкідливої ​​програми;
  • включати видалення вірусом точок відновлення та інше.

Оскільки зловмисники можуть змінювати програму, ми зіткнулися зібезліччю різних варіантів створення зашифрованих файлів із різноманітними розширеннями.

Примітно, що програма-вимагач має режим налагодження, який може бути включений за допомогою наступного налаштування реєстру:

заражених

Вірус блокує файли за допомогою алгоритмів RC4 чи BlowFish. Коли програма-вимагач налаштована на шифрування імен файлів, вона виконує його за допомогою того ж алгоритму, який використовувався щодо самого файлу. Потім назва шифрується за допомогою реалізації кодування Base64.

Ось кілька прикладів створених розширень, які можуть бути розшифровані за допомогою утиліти Avast:

Як правило, ця програма-вимагач створює файли з ім'ям Read Me Please.hta або How to restore files.hta, яке відображається після входу користувача в систему.

файлів

Не платіть здирникам! Використовуйте дешифратор для файлів Globe.

NoobCrypt, який я відкрив улітку 2016 року, написаний мовою C# та використовує алгоритм шифрування AES256. Програма має графічний інтерфейс, що запам'ятовується, який відображається після блокування доступу до файлів.

дешифратори

Назва «NoobCrypt» була обрана мною на основі повідомлень, що були виявлені в коді, і ключа для розшифровки:

безкоштовні

дешифратори

безкоштовні

файлів

Сьогодні ми представляємо інструмент для дешифрування NoobCrypt, який підходить для всіх його відомих версій. Процес розблокування тепер виглядає набагато простіше, ніж вибір потрібного коду. Тепер вам не потрібно платити гроші за надання ключа. І тим більше покладатися на розшифровку своїх файлів програмі-вимагателю.

Ознайомтеся з описом програми NoobCrypt та інструментом для дешифрування на нашому сайті.

Як не стати жертвою програми-вимагача

Якщо вам не пощастило і ви стали жертвою програм-вимагачів, спробуйте наші інструменти для дешифрування та перевірте, чи зможемо ми допомогти вам повернути свої файли!

файлів

Висловлюю подяку своїм колегам, Ладиславу Зезулі (Ladislav Zezula) та Петру Щепанськи (Piotr Szczepanski), за підготовку дешифраторів, а також Яромиру Горейші (aromír Hořejší) за його аналіз програми Alcatraz Locker.