Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Що робити для розшифровки даних при атаці вірусом-шифрувальником?

  1. Вступ
  2. Як працюють кріптолокери?
  3. Як власник файлів може розшифрувати їх?
  4. Чи існують гарантії розшифровки файлів?
  5. Створення копії ОЗУ: навіщо це треба?
  6. Відновлення криптографічного ключа
  7. висновки

Наша взаимовыгодная связь https://banwar.org/

Чи є у вас план дій на випадок, коли ви побачите на екрані свого комп'ютера вимога заплатити кіберзлочинцям гроші за розшифровку ваших файлів? Що робити в першу чергу? Які програми можна використовувати для порятунку своїх даних? Чи є гарантії розшифровки ваших даних, якщо заплатити зловмисникам викуп? На ці та інші подібні питання ви знайдете відповіді в статті.

1. Введення

2. Як працюють кріптолокери?

3. Як власник файлів може розшифрувати їх?

4. Чи існують гарантії розшифровки файлів?

5. Створення копії ОЗУ: навіщо це треба?

6. Відновлення криптографічного ключа

7. Висновки

Вступ

Віруси-шифрувальники (кріптолокери, віруси-вимагачі) - бич нашого часу. Ніхто не застрахований від того, що не отримає від зловмисників вимога заплатити гроші за власні ж дані. Як правило, для того щоб людина заплатила, кіберзлочинці шифрують файли користувача, які можуть бути важливі для нього.

C жалем доводиться визнати, що ми знаходимося на початку великого шляху, на якому людство чекають масштабні пандемії вірусів-вимагачів і подібних до них шкідливих програм. На сьогодні світ пережив дві пандемії: WannaCry і NonPetya . Проаналізіровов підсумки цих атак, в статті ми запропонуємо метод, який допоможе врятувати дані користувача після їх шифрування шкідливою програмою.

Як працюють кріптолокери?

Найбільш часто віруси-шифрувальники використовують такі прийоми для обмеження доступу користувача до його даними:

  1. Міняють розширення призначених для користувача файлів на інше. Це не дозволяє Windows відкривати файли у відповідній програмі - переглядачі або редакторі. Як правило, така поведінка характерна для тестових версій шкідливих програм або попередньої їх «обкатки».
  2. Міняють кілька перших байт в файлі. При цьому змінений файл сприймається Windows як пошкоджений і також не дозволяє користувачеві переглянути його вміст. Така поведінка характерна для тестових версій шкідливих програм. Ще відомі випадки цільових атак, коли зловмисники не мали на меті завдати максимальної шкоди атакується мережі, а прагнули отримати іншу вигоду від атаки, обмеживши на короткий термін доступ користувачів до їх файлів.
  3. Шифрують файли. У наші дні цей спосіб є найпоширенішим. Кожен комп'ютер шифрується унікальним кріптоключа - він після закінчення шифрування передається на керуючий сервер, який належить кіберзлочинцям.

На цьому сервері кріптоключа зберігається протягом деякого часу. Для того щоб знати, хто заплатив гроші, для кожного зашифрованого комп'ютера створюється окремий bitcoin-гаманець.

Як власник файлів може розшифрувати їх?

Власник зашифрованих файлів може викупити криптографічний ключ і отримати від зловмисників програму, яка, використовуючи цей ключ, розшифрує його файли.

Але навіть якщо зашифровані файли важливі для користувача, він може не заплатити з наступних причин:

  1. У власника комп'ютера може просто не бути потрібної суми грошей.
  2. Власник комп'ютера не зможе зібрати потрібну суму протягом встановленого вимагачами періоду, після закінчення якого кріптоключа буде видалений з командного сервера.
  3. Власник комп'ютера не зможе зрозуміти, як здійснити платіж зловмисникам. Більшість постраждалих є людьми, що мають опосередковане відношення до комп'ютерних технологій, і тому їм важко розібратися в тому, як створити bitcoin-гаманець, як покласти на нього гроші і як здійснити платіж.

Можна звернутися за спеціалізованою допомогою, наприклад, в сервіс « Допоможіть + VirusInfo.info »У цьому випадку є шанс з професійною допомогою розшифрувати файли або отримати консультації про принципову можливість зробити це (можна чи ні).

Чи існують гарантії розшифровки файлів?

Немає ніяких гарантій того, що якщо власник зашифрованих файлів заплатить кібепреступнікам гроші, то йому надішлють програму для розшифровки файлів. Це може статися з таких причин:

  1. Помилки програмування. Зловмисники можуть створити кріптолокер, який не відправлятиме ключі шифрування на керуючий сервер.
  2. Ще помилки програмування. Кіберзлочинці можуть створити програму-вимагач, яка не буде генерувати bitcoin-гаманець для кожного комп'ютера, і тоді вони просто не знатимуть, хто їм заплатив гроші. (Саме так і трапилося з комп'ютерами, файли на яких були зашифровані WannaCry).
  3. І знову помилки програмування. Ключ надішлють, але розшифровка буде проведена некоректно, файли не відновляться. Звинувачувати не буде кого - вибачте, так вийшло.
  4. Якщо власник зашифрованих файлів не заплатив зловмисникам протягом певного терміну, його кріптоключа може бути видалений, і відновити його вони вже не зможуть.
  5. Кіберзлочинці можуть просто зачаїтися і перестати висилати оплачені ключі для розшифровки файлів.
  6. Поліція може вилучити керуючий сервер, і тоді кріптоключа, що зберігаються на ньому, будуть недоступні для власників зашифрованих комп'ютерів.
  7. Поліція (або приватна компанія) можуть заблокувати поштову скриньку (поштовий сервер), на який приходять повідомлення користувачів про заплачені викуп, і тоді зловмисники не будуть знати, хто саме заплатив їм гроші.

Створення копії ОЗУ: навіщо це треба?

Класика вчить нас, що порятунок потопаючих - справа рук самих потопаючих. У цьому розділі буде розказано про те, які дії може зробити користувач інфікованого комп'ютера, щоб врятувати свої дані. Цей спосіб не є універсальним і не гарантує стовідсоткового порятунку даних. Однак це краще, ніж нічого.

Єдине, в чому можна бути впевненим в момент здійснення атаки кріптолокера - це те, що, коли власник комп'ютера вперше бачить на екрані монітора вимога заплатити гроші, криптографічний ключ, використаний для шифрування файлів, швидше за все ще знаходиться в пам'яті комп'ютера. У цей момент слід зробити криміналістичну копію оперативної пам'яті комп'ютера (ОЗУ). Надалі фахівці можуть взяти з цієї копії криптографічний ключ і розшифрувати файли власника комп'ютера.

Одним з інструментів, яким можна зробити копію оперативної пам'яті, є Belkasoft Live RAM Capturer.

Пройдіть на сайт Belkasoft ( https://belkasoft.com/get ) І заповніть форму запиту цієї програми.

Малюнок 1. Форма запиту Belkasoft

Форма запиту Belkasoft

Після цього ви отримаєте електронного листа, в якому буде посилання на скачування Belkasoft Live RAM Capturer. Завантажте цю програму і помістіть її на флешку. Підключіть флешку до комп'ютера, подвергнувшемуся атаці вірусу-здирника.

Існує 32-бітна (файл RamCapture.exe) і 64-бітна (файл RamCapture64.exe) версії Belkasoft Live RAM Capturer.

Малюнок 2. Файли Belkasoft Live RAM Capturer

Файли Belkasoft Live RAM Capturer

Натисніть на файл, розрядність якого відповідає розрядності вашої операційної системи.

Нічого страшного не станеться, якщо ви випадково помилитеся. В цьому випадку ви просто побачите повідомлення про помилку.

Малюнок 3. Повідомлення про помилку

Повідомлення про помилку

Після запуску Belkasoft Live RAM Capturer ви побачите основне вікно програми.

Малюнок 4. Головне вікно Belkasoft Live RAM Capturer

Belkasoft Live RAM Capturer запропонує зберегти створювану копію оперативної пам'яті комп'ютера на підключену флешку. Натисніть кнопку Capture!

Якщо ваша флешка має файлову систему FAT (FAT32), а обсяг оперативної пам'яті комп'ютера перевищує 4 Гб, то ви побачите повідомлення Insufficient disk space for the dump file.

Малюнок 5. Повідомлення Insufficient disk space for the dump file

Це пов'язано з тим, що Windows не може записати файл розміром більше 4 Гб в файлову систему FAT (FAT32). Для того щоб зберегти створювану копію пам'яті на флешку, попередньо відформатуйте її в exFAT або NTFS. Якщо не зробити цього, можна вказати інше місце на жорсткому диску комп'ютера, де буде збережена ця копія. Як приклад був використаний шлях C: \ Users \ Igor \ Document. Як показано на малюнку 6, така копія була успішно створена.

Малюнок 6. Повідомлення про те, що створення копії оперативної пам'яті закінчено

Повідомлення про те, що створення копії оперативної пам'яті закінчено

Файл, який містить копію RAM, відповідає даті його створення.

Малюнок 7. Файл, що містить дані з ОЗУ комп'ютера

Відновлення криптографічного ключа

Як приклад розглянемо відновлення криптографічного ключа, за допомогою якого здійснюється шифрування файлів вірусом-здирником WannaCry. Як відомо, цей вимагач здійснює шифрування файлів користувача з використанням RSA-ключа. Існує кілька плагінів (наприклад, плагін MoVP II ) До Volatility - безкоштовної утиліти, використовуваної для аналізу дампов оперативної пам'яті комп'ютерів, за допомогою яких можна відновити RSA-ключ і його сертифікати.

Однак в статті буде показаний приклад відновлення RSA-ключа за допомогою GREP-аналізу. Для цього завантажте отриману раніше копію ОЗУ зараженого комп'ютера в WinHex і зробіть пошук за назвою RSA-ключа - 308202 (у шістнадцятковому вигляді). У нашому випадку було виявлено 2486 збігів.

Малюнок 8. Результати пошуку RSA-ключ в копії ОЗУ комп'ютера, підданого атаці вірусу-здирника WannaCry

Результати пошуку RSA-ключ в копії ОЗУ комп'ютера, підданого атаці вірусу-здирника WannaCry

Звичайно ж, не всі ці збіги є криптографічним ключем. Однак кількість варіантів ключів, які можуть бути використані для розшифровки даних користувача, істотно скорочується, що підвищує ймовірність успіху порятунку зашифрованих даних користувача.

висновки

У статті були розглянуті прийоми, які використовують кріптолокери для вимагання грошей у користувачів комп'ютерів; дана відповідь на питання: як власник може розшифрувати зашифровані файли? чи існують гарантії розшифровки файлів? Розглянуто спосіб створення криміналістичної копії оперативної пам'яті комп'ютера, що піддався атаці вірусу-здирника, і наведено приклад відновлення криптографічного ключа з неї.

Створення копії ОЗУ комп'ютера, що піддався атаці вірусу-здирника, в сукупності з методами запобігання подальшого зараження, викладеними в статті « Захист від вимагача WannaCry - методи запобігання зараженню », Не тільки допоможе в запобіганні подальшого поширення шкідливої ​​програми, в розслідуванні інциденту і встановленні можливих шляхів проникнення вірусу в комп'ютерну систему, а й в окремих випадках може допомогти витягти криптографічні ключі, які вийде використовувати для розшифровки даних користувача.

В майбутньому атаки кріптолокеров будуть тільки зростати. Відомі світові кріптолокери портируют під нові операційні системи, і тому світ може знову почути про їх атаках, а кількість пристроїв, які вони здатні заразити, зросте в рази. WikiLeaks продовжує викладати нові зразки кіберзброї, викраденого кіберзлочинцями у урядових організацій ( Wikileaks розсекретив ще один шпигунський вірус ЦРУ ). Тому кожен повинен мати такий набір програм, який дозволить йому врятувати свої дані.

Як власник файлів може розшифрувати їх?
Чи існують гарантії розшифровки файлів?
Створення копії ОЗУ: навіщо це треба?
Що робити в першу чергу?
Які програми можна використовувати для порятунку своїх даних?
Чи є гарантії розшифровки ваших даних, якщо заплатити зловмисникам викуп?
2. Як працюють кріптолокери?
Як працюють кріптолокери?
Як власник файлів може розшифрувати їх?
Чи існують гарантії розшифровки файлів?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: