Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Що робити для розшифровки даних при атаці вірусом-шифрувальником?

  1. Вступ
  2. Як працюють кріптолокери?
  3. Як власник файлів може розшифрувати їх?
  4. Чи існують гарантії розшифровки файлів?
  5. Створення копії ОЗУ: навіщо це треба?
  6. Відновлення криптографічного ключа
  7. висновки

Чи є у вас план дій на випадок, коли ви побачите на екрані свого комп'ютера вимога заплатити кіберзлочинцям гроші за розшифровку ваших файлів? Що робити в першу чергу? Які програми можна використовувати для порятунку своїх даних? Чи є гарантії розшифровки ваших даних, якщо заплатити зловмисникам викуп? На ці та інші подібні питання ви знайдете відповіді в статті.

1. Введення

2. Як працюють кріптолокери?

3. Як власник файлів може розшифрувати їх?

4. Чи існують гарантії розшифровки файлів?

5. Створення копії ОЗУ: навіщо це треба?

6. Відновлення криптографічного ключа

7. Висновки

Вступ

Віруси-шифрувальники (кріптолокери, віруси-вимагачі) - бич нашого часу. Ніхто не застрахований від того, що не отримає від зловмисників вимога заплатити гроші за власні ж дані. Як правило, для того щоб людина заплатила, кіберзлочинці шифрують файли користувача, які можуть бути важливі для нього.

C жалем доводиться визнати, що ми знаходимося на початку великого шляху, на якому людство чекають масштабні пандемії вірусів-вимагачів і подібних до них шкідливих програм. На сьогодні світ пережив дві пандемії: WannaCry і NonPetya . Проаналізіровов підсумки цих атак, в статті ми запропонуємо метод, який допоможе врятувати дані користувача після їх шифрування шкідливою програмою.

Як працюють кріптолокери?

Найбільш часто віруси-шифрувальники використовують такі прийоми для обмеження доступу користувача до його даними:

  1. Міняють розширення призначених для користувача файлів на інше. Це не дозволяє Windows відкривати файли у відповідній програмі - переглядачі або редакторі. Як правило, така поведінка характерна для тестових версій шкідливих програм або попередньої їх «обкатки».
  2. Міняють кілька перших байт в файлі. При цьому змінений файл сприймається Windows як пошкоджений і також не дозволяє користувачеві переглянути його вміст. Така поведінка характерна для тестових версій шкідливих програм. Ще відомі випадки цільових атак, коли зловмисники не мали на меті завдати максимальної шкоди атакується мережі, а прагнули отримати іншу вигоду від атаки, обмеживши на короткий термін доступ користувачів до їх файлів.
  3. Шифрують файли. У наші дні цей спосіб є найпоширенішим. Кожен комп'ютер шифрується унікальним кріптоключа - він після закінчення шифрування передається на керуючий сервер, який належить кіберзлочинцям.

На цьому сервері кріптоключа зберігається протягом деякого часу. Для того щоб знати, хто заплатив гроші, для кожного зашифрованого комп'ютера створюється окремий bitcoin-гаманець.

Як власник файлів може розшифрувати їх?

Власник зашифрованих файлів може викупити криптографічний ключ і отримати від зловмисників програму, яка, використовуючи цей ключ, розшифрує його файли.

Але навіть якщо зашифровані файли важливі для користувача, він може не заплатити з наступних причин:

  1. У власника комп'ютера може просто не бути потрібної суми грошей.
  2. Власник комп'ютера не зможе зібрати потрібну суму протягом встановленого вимагачами періоду, після закінчення якого кріптоключа буде видалений з командного сервера.
  3. Власник комп'ютера не зможе зрозуміти, як здійснити платіж зловмисникам. Більшість постраждалих є людьми, що мають опосередковане відношення до комп'ютерних технологій, і тому їм важко розібратися в тому, як створити bitcoin-гаманець, як покласти на нього гроші і як здійснити платіж.

Можна звернутися за спеціалізованою допомогою, наприклад, в сервіс « Допоможіть + VirusInfo.info »У цьому випадку є шанс з професійною допомогою розшифрувати файли або отримати консультації про принципову можливість зробити це (можна чи ні).

Чи існують гарантії розшифровки файлів?

Немає ніяких гарантій того, що якщо власник зашифрованих файлів заплатить кібепреступнікам гроші, то йому надішлють програму для розшифровки файлів. Це може статися з таких причин:

  1. Помилки програмування. Зловмисники можуть створити кріптолокер, який не відправлятиме ключі шифрування на керуючий сервер.
  2. Ще помилки програмування. Кіберзлочинці можуть створити програму-вимагач, яка не буде генерувати bitcoin-гаманець для кожного комп'ютера, і тоді вони просто не знатимуть, хто їм заплатив гроші. (Саме так і трапилося з комп'ютерами, файли на яких були зашифровані WannaCry).
  3. І знову помилки програмування. Ключ надішлють, але розшифровка буде проведена некоректно, файли не відновляться. Звинувачувати не буде кого - вибачте, так вийшло.
  4. Якщо власник зашифрованих файлів не заплатив зловмисникам протягом певного терміну, його кріптоключа може бути видалений, і відновити його вони вже не зможуть.
  5. Кіберзлочинці можуть просто зачаїтися і перестати висилати оплачені ключі для розшифровки файлів.
  6. Поліція може вилучити керуючий сервер, і тоді кріптоключа, що зберігаються на ньому, будуть недоступні для власників зашифрованих комп'ютерів.
  7. Поліція (або приватна компанія) можуть заблокувати поштову скриньку (поштовий сервер), на який приходять повідомлення користувачів про заплачені викуп, і тоді зловмисники не будуть знати, хто саме заплатив їм гроші.

Створення копії ОЗУ: навіщо це треба?

Класика вчить нас, що порятунок потопаючих - справа рук самих потопаючих. У цьому розділі буде розказано про те, які дії може зробити користувач інфікованого комп'ютера, щоб врятувати свої дані. Цей спосіб не є універсальним і не гарантує стовідсоткового порятунку даних. Однак це краще, ніж нічого.

Єдине, в чому можна бути впевненим в момент здійснення атаки кріптолокера - це те, що, коли власник комп'ютера вперше бачить на екрані монітора вимога заплатити гроші, криптографічний ключ, використаний для шифрування файлів, швидше за все ще знаходиться в пам'яті комп'ютера. У цей момент слід зробити криміналістичну копію оперативної пам'яті комп'ютера (ОЗУ). Надалі фахівці можуть взяти з цієї копії криптографічний ключ і розшифрувати файли власника комп'ютера.

Одним з інструментів, яким можна зробити копію оперативної пам'яті, є Belkasoft Live RAM Capturer.

Пройдіть на сайт Belkasoft ( https://belkasoft.com/get ) І заповніть форму запиту цієї програми.

Малюнок 1. Форма запиту Belkasoft

Форма запиту Belkasoft

Після цього ви отримаєте електронного листа, в якому буде посилання на скачування Belkasoft Live RAM Capturer. Завантажте цю програму і помістіть її на флешку. Підключіть флешку до комп'ютера, подвергнувшемуся атаці вірусу-здирника.

Існує 32-бітна (файл RamCapture.exe) і 64-бітна (файл RamCapture64.exe) версії Belkasoft Live RAM Capturer.

Малюнок 2. Файли Belkasoft Live RAM Capturer

Файли Belkasoft Live RAM Capturer

Натисніть на файл, розрядність якого відповідає розрядності вашої операційної системи.

Нічого страшного не станеться, якщо ви випадково помилитеся. В цьому випадку ви просто побачите повідомлення про помилку.

Малюнок 3. Повідомлення про помилку

Повідомлення про помилку

Після запуску Belkasoft Live RAM Capturer ви побачите основне вікно програми.

Малюнок 4. Головне вікно Belkasoft Live RAM Capturer

Belkasoft Live RAM Capturer запропонує зберегти створювану копію оперативної пам'яті комп'ютера на підключену флешку. Натисніть кнопку Capture!

Якщо ваша флешка має файлову систему FAT (FAT32), а обсяг оперативної пам'яті комп'ютера перевищує 4 Гб, то ви побачите повідомлення Insufficient disk space for the dump file.

Малюнок 5. Повідомлення Insufficient disk space for the dump file

Це пов'язано з тим, що Windows не може записати файл розміром більше 4 Гб в файлову систему FAT (FAT32). Для того щоб зберегти створювану копію пам'яті на флешку, попередньо відформатуйте її в exFAT або NTFS. Якщо не зробити цього, можна вказати інше місце на жорсткому диску комп'ютера, де буде збережена ця копія. Як приклад був використаний шлях C: \ Users \ Igor \ Document. Як показано на малюнку 6, така копія була успішно створена.

Малюнок 6. Повідомлення про те, що створення копії оперативної пам'яті закінчено

Повідомлення про те, що створення копії оперативної пам'яті закінчено

Файл, який містить копію RAM, відповідає даті його створення.

Малюнок 7. Файл, що містить дані з ОЗУ комп'ютера

Відновлення криптографічного ключа

Як приклад розглянемо відновлення криптографічного ключа, за допомогою якого здійснюється шифрування файлів вірусом-здирником WannaCry. Як відомо, цей вимагач здійснює шифрування файлів користувача з використанням RSA-ключа. Існує кілька плагінів (наприклад, плагін MoVP II ) До Volatility - безкоштовної утиліти, використовуваної для аналізу дампов оперативної пам'яті комп'ютерів, за допомогою яких можна відновити RSA-ключ і його сертифікати.

Однак в статті буде показаний приклад відновлення RSA-ключа за допомогою GREP-аналізу. Для цього завантажте отриману раніше копію ОЗУ зараженого комп'ютера в WinHex і зробіть пошук за назвою RSA-ключа - 308202 (у шістнадцятковому вигляді). У нашому випадку було виявлено 2486 збігів.

Малюнок 8. Результати пошуку RSA-ключ в копії ОЗУ комп'ютера, підданого атаці вірусу-здирника WannaCry

Результати пошуку RSA-ключ в копії ОЗУ комп'ютера, підданого атаці вірусу-здирника WannaCry

Звичайно ж, не всі ці збіги є криптографічним ключем. Однак кількість варіантів ключів, які можуть бути використані для розшифровки даних користувача, істотно скорочується, що підвищує ймовірність успіху порятунку зашифрованих даних користувача.

висновки

У статті були розглянуті прийоми, які використовують кріптолокери для вимагання грошей у користувачів комп'ютерів; дана відповідь на питання: як власник може розшифрувати зашифровані файли? чи існують гарантії розшифровки файлів? Розглянуто спосіб створення криміналістичної копії оперативної пам'яті комп'ютера, що піддався атаці вірусу-здирника, і наведено приклад відновлення криптографічного ключа з неї.

Створення копії ОЗУ комп'ютера, що піддався атаці вірусу-здирника, в сукупності з методами запобігання подальшого зараження, викладеними в статті « Захист від вимагача WannaCry - методи запобігання зараженню », Не тільки допоможе в запобіганні подальшого поширення шкідливої ​​програми, в розслідуванні інциденту і встановленні можливих шляхів проникнення вірусу в комп'ютерну систему, а й в окремих випадках може допомогти витягти криптографічні ключі, які вийде використовувати для розшифровки даних користувача.

В майбутньому атаки кріптолокеров будуть тільки зростати. Відомі світові кріптолокери портируют під нові операційні системи, і тому світ може знову почути про їх атаках, а кількість пристроїв, які вони здатні заразити, зросте в рази. WikiLeaks продовжує викладати нові зразки кіберзброї, викраденого кіберзлочинцями у урядових організацій ( Wikileaks розсекретив ще один шпигунський вірус ЦРУ ). Тому кожен повинен мати такий набір програм, який дозволить йому врятувати свої дані.

Як власник файлів може розшифрувати їх?
Чи існують гарантії розшифровки файлів?
Створення копії ОЗУ: навіщо це треба?
Що робити в першу чергу?
Які програми можна використовувати для порятунку своїх даних?
Чи є гарантії розшифровки ваших даних, якщо заплатити зловмисникам викуп?
2. Як працюють кріптолокери?
Як працюють кріптолокери?
Як власник файлів може розшифрувати їх?
Чи існують гарантії розшифровки файлів?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    Подготовка к ЕГЭ по математике
    Статьи Опубликовано: 05.10.2017 Подготовка к ЕГЭ по МАТЕМАТИКЕ. 1 часть. Эффективный курс подготовки. Вы находитесь на сайте www.ege-ok.ru - Подготовка к ЕГЭ по математике. Меня зовут Инна Владимировна

    Куда поступить с обществознанием, русским и математикой
    Статьи Опубликовано: 06.10.2017 Сдача ЕГЭ. Куда поступать? Обществознание считается одним из самых популярных предметов, которые выпускники сдают на ЕГЭ. Ввиду высокого рейтинга дисциплины Рособрнадзор

    Сайт Майер Елены - ЕГЭ по математике
    Планируется проведение двух отдельных экзаменов – базового и профильного. Кому сдавать базовый ЕГЭ по математике? Базовый ЕГЭ организуется для выпускников, изучающих математику для общего развития

    ГДЗ решебник по математике 4 класс
    Извините, тут пока ничего нет ((( Решебник по математике 4 класс (Истомина Н.Б.) – не просто возможность быстро выполнить домашнее задание для учащегося, но и способ разобраться в труднорешаемых задачах.

    ГДЗ по математике 1 класс Самсонова самостоятельные работы
    Решебник по математике за 1 класс автора Самсоновой Л.Ю. 2012 года издания. Данное пособие предлагает готовые решения на разнообразные упражнения, направленные на активизацию всего учебного процесса. Здесь

    Для этой работы нужна математика
    Слотов: 956 Рулеток: 7 Лицензия: Pragmatic Play, Microgaming, ELK, Yggdrasil, Habanero, Amatic, Isoftbet, Netent, Rival, Igrosoft, Quickspin. Игры: Автоматы, Покер, Рулетки. Всего 963 Отдача: 98% Бонус

    Веселые задачи по математике 2 класс
    Во время занятий для того, чтобы немного переключить внимание школьников, но при этом не уйти от предмета, можно давать шутливые задачи на сообразительность. Буду пополнять коллекцию таких задач. Дополнительная

    Функция экспонента в Excel
    Одной из самых известных показательных функций в математике является экспонента. Она представляет собой число Эйлера, возведенное в указанную степень. В Экселе существует отдельный оператор, позволяющий

    ЕГЭ по математике 2018
    ЕГЭ по математике, наравне с русским языком , – обязательный экзамен для сдачи выпускниками 11-х классов. По статистике он самый сложный. Мы предлагаем ознакомиться с общей информацией об экзамене и

    Секреты эффективной и быстрой подготовки ко второй части ОГЭ по математике.
    Уважаемые девятиклассники, настоящие или будущие! Часто от вас приходится слышать следующие вопросы. Легко ли подготовиться к заданиям второй части ОГЭ по математике? Сколько для этого понадобится


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: