Как подобрать дешифратор вируса

Обновлено: 24.04.2024

Стали жертвой программы-вымогателя? Не платите выкуп! Теперь Avast предоставляет 15 бесплатных дешифраторов, которые вернут доступ к зашифрованным файлам.

В 2016 году программы-вымогатели вновь показали, что являются одной из крупнейших киберугроз. За этот период было обнаружено более 200 новых видов данного типа вредоносного ПО, количество образцов увеличилось вдвое. Но есть и хорошая новость: сотни миллионов пользователей Avast и AVG защищены от данных угроз.

Мы выпустили еще три утилиты для дешифровки файлов и удаления следующих программ-вымогателей: HiddenTear, Jigsaw и Stampado/Philadelphia. Следует отметить, что часть данных дешифраторов уже была доступна для скачивания. Однако, вирусы развиваются, менятся их алгоритмы, поэтому улучшаются и наши инструменты.

Также было значительно сокращено время расшифровки, благодаря улучшенному процесс перебора пароля. В результате чего некоторые варианты вируса HiddenTear будут удалены всего за несколько минут.

Все инструменты для дешифровки вместе с подробным описанием программ-вымогателей в доступны на нашей странице абсолютно бесплатно.

HiddenTear

Это один из первых вымогателей с открытым кодом, размещенный на портале GitHub. Вирус обнаружен в августе 2015 года. С этого времени злоумышленниками, благодаря открытому исходному коду, были созданы сотни вариантов программы HiddenTear. Данный вымогатель использует шифрование AES.

Зашифрованные элементы получают одно из следующих расширений (но могут иметь и другие): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Jigsaw

Jigsaw — разновидность программ-вымогателей, существующая примерно с марта 2016 года. Она названа в честь кинозлодея Джона Крамера по прозвищу Пила из серии одноименных фильмов. Некоторые варианты данного вируса используют его образ для требования выкупа.

Зашифрованные файлы получают одно из следующих расширений: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush.

При заражении, отображается одно из представленных ниже изображений.

Stampado

Stampado — это тип программы-вымогателя, который был написан с использованием инструмента шифрования AutoIt. Вирус существует примерно с августа 2016 года. Она продается на дарквебе, и новые варианты этой программы появляются до сих пор. Одна из ее версий также известна под именем Philadelphia.

Как не стать жертвой программы-вымогателя

Прежде всего убедитесь, что на всех ваших устройствах установлен антивирус, например Avast (даже смартфоны могут быть заражены программой-вымогателем). Антивирус сможет заблокировать программы-вымогатели еще до того, как они причинят ущерб.

Необходимо также выполнять регулярное и правильное резервное копирование своих данных. Храните резервные копии данных удаленно, иначе они могут также быть заблокированы вредоносным ПО.

Если вам не повезло и вы стали жертвой программ-вымогателей, попробуйте удалить шифровальщика, скачав наш дешифратор бесплатно.

Выражаю благодарность своим коллегам, Ладиславу Зезуле (Ladislav Zezula) и Петру Щепански (Piotr Szczepanski), за подготовку дешифраторов, а также специалисты в области кибербезопасности, Майклу Гиллеспи (Michael Gillespie) и Фабиан Восар (Fabian Wosar), за предоставление собственных наработок решений для дешифровки.

2022-04-22

Бесплатный антивирусный сканер для поиска и удаления из системы вируса WannaCry, а также других шпионов и программ-вымогателей

2022-04-21

AppCheck - защита в реальном времени от шифраторов, программ-вымогателей и других вредоносных программ, а также защита системы от эксплоитов и неизвестных угроз

2022-04-15

Malwarebytes Anti-Ransomware – инструмент для защиты от программ-вымогателей (CryptoLocker, CryptoWall или CTBLocker), который отслеживает активность угроз в системе, используя проактивные технологии. Решение совместимо с любым антивирусом

2022-04-11

Kaspersky RannohDecryptor - бесплатная утилита для расшифровки файлов после заражения троянами вымогателями и шифровальщиками (Trojan-Ransom) семейства Polyglot, Rannoh, AutoIt, Fury, Crybola, Cryakl или CryptXXX

2022-02-17

Kaspersky RakhniDecryptor - специальная утилита от "Лаборатории Касперского" для расшифровки файлов с расширениями .locked, .kraken, .oshit и другими, зашифрованных вредоносной программой Trojan-Ransom.Win32.Rakhni

2022-02-14

Kaspersky Anti-Ransomware Tool – бесплатный инструмент для защиты от шифровальщиков и программ-вымогателей, которые блокируют доступ к устройству или выполняют шифрование данных на диске

2021-11-30

Abelssoft AntiRansomware – программа для безопасности важных файлов, обеспечивающая защиту в режиме реального времени от шифраторов и программ-вымогателей

2021-07-10

ZoneAlarm Anti-Ransomware предоставляет проактивную 0-day защиту от шифровальщиков и восстанавливает данные после атаки. Разработчики обещают защиту от известного трояна-вымогателя WannaCry

2021-07-03

CryptoPrevent Malware Prevention защищает систему Windows от шифровальщиков, троянов-вымогателей и других угроз, которые шифруют личные файлы на ПК пользователя с последующим предложением восстановить их за деньги

2020-02-10

360 Document Protector - бесплатная утилита для защиты от шифровальщиков путем отслеживания и автоматического резервного копирования изменяемых файлов и документов

Acronis Ransomware Protection - бесплатный инструмент для защиты от шифровальщиков в режиме реального времени. Использует технологию Acronis Active Protection и предоставляет бесплатно 5 ГБ в облачном хранилище для защиты важных документов

Бесплатная утилита Kaspersky ScatterDecryptor от "Лаборатории Касперского" предназначена для расшифровки файлов, зашифрованных вредоносной программой Trojan-Ransom.BAT.Scatter. Cодержит ключи для файлов с расширениями: .pzdc, .crypt, .good

XoristDecryptor борется с вредоносными программами семейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev

Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.

Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:

1. Запустите антивирус или антивирусный сканер для удаления трояна

Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.

Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.

Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.

Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.

2. Попробуйте расшифровать файлы с помощью бесплатных утилит

Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.

“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.

Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:

Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.

Инструменты дешифрования

Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:

Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!

Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.

Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:

Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.

После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.

Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.

Если есть резервная копия: очистите систему и восстановите бэкап

Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.

Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.

Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.

Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.

Что скрывают:

Интернет-ссылки

Экземпляры Trojan-Downloader в первую очередь скачивают/обновляют другое вредоносное ПО по одной или нескольким ссылкам. Очевидно, что если ссылки хранить в явном виде, то система автообработки любой антивирусной компании с легкостью извлечет их, добавит в список на периодическое скачивание и забанит доступ к этим ресурсам. Смысл Trojan-Downloader'а пропадает напрочь. Зловредам других классов также свойственно скачивать новые версии своих модулей.

Компоненты

Пароли

Тривиальное шифрование:

Отсюда вывод: вирусописателям есть что скрывать внутри своих творений, и они пытаются это делать. Если вы отлично знаете, что такое битовые операции XOR, ROL и понимаете, как при помощи них можно преобразовать данные, вы можете пропустить весь этот раздел.

Предположим, у вас есть строка httр://secret.url, и вы хотите спрятать ее в коде от просмотра глазами. При этом алгоритм расшифровки и ключ тоже будут находиться в этом же коде, ведь вам самим эта строка понадобится. Пожалуй, самым-самым простым способом будет следующий.

Представим строку в виде цепочки битов 110100001110100… Заменим каждый бит на противоположный 001011110001011… Получим строку "ЧЛЛП┼╨╨МЪЬНЪЛ╤КНУ". Теперь невооруженным глазом такую строку уже не узнать. Зато программно можно. Применим ко всему файлу операцию NОТ: то, что было зашифровано, расшифруется обратно. А что нет — зашифруется. В получившемся файле URL виден автоматике и глазам.

Слегка усложним. При шифровании инвертировать можно не каждый бит, а, например, каждый четвертый (чтобы никто не догадался). Такое вот инвертирование некоторых битов называется так же операцией XOR. Записывается a := a XOR key, где a — это преобразуемый байт, а key — ключ, в котором записано, какие биты меняем.

При этом, операция NOT эквивалентна a := a XOR FF. Шестнадцатеричное FF равно двоичному 11111111 — инвертируем каждый бит.

Другие методы

Расшифровка:

Небольшое отступление. В ЛК сейчас используются такие методы автоанализа, которым все равно, что зашифровано, и как. Хотя бы даже очень стойким алгоритмом (в отличие от описанных). Если данные используются самой программой, они все равно будут нами извлечены. Ниже я лишь продемонстрирую, что описанные методы шифрования не защитят вирусописателя и не составят трудности даже для аналитика-любителя. Никаких откровений. Следите за руками.

Аналогично, если 'Й' = 'h' + key, то key = 'Й' — 'h'. И проверяем, что оставшаяся часть урла действительно является урлом.

Но вот что делать, если злоумышленник линейно менял ключ от байта к байту?
'Й' = 'h' + key
'Ц' = 't' + (key + d)
'У' = 't' + (key + 2d)
'К' = 'p' + (key + 3d).

Все то же самое:
key = 'Й' — 'h'
key + d = 'Ц' — 't'

То мы все равно сможем вычислить ключ и даже провалидировать его на оставшихся трех известных байтах. Но если ключ длиной в саму искомую строку, то описанный подход не работает. Почему-то малварщики делают что угодно, но только не то, что на самом деле помогло бы им.

Комбинирование

Например, они комбинируют методы. Запишут урл задом наперед, да еще через байт, а потом еще поксорят с переменным ключом. Да, некоторую автоматику это может сбить с толку. По факту же это не мешает успешно детектировать такие файлы. А как только зловреда разберет вирусный аналитик, он добавит в дешифровщик метод Reverse(Unicode(LinearXor(stream))), после этого все старые и новые версии расшифровываются автоматически.

Водяные знаки

После компиляции зашифрованная строчка будет в исполняемом файле, но обнаружить ее непросто. Ведь неизвестно, что искать и где.

Однако, как мы только что выяснили, если копия Эдуарда все-таки попадет в публичный доступ, то у Григория окажутся два варианта программы, и он без труда найдет разницу в них и разгадает шифр. Получится только хуже для вас, Григорий сможет подделывать чужие копии.

Заключение:

Вот в целом и все. Мы познакомились с некоторыми тривиальными методами шифрации и выяснили, почему же они бесполезны. Если у вас есть вопросы и комментарии — отлично, очень жду. Если же материал показался вам слишком простым, то вот вам жизненный пример из области анализа вирусов на эту же тему.

Вирус (инфектор) встраивает свое тело в заражаемый файл. Тело у него постоянно, но он его ксорит по DWORD'ам с псевдослучайными числами так:
srand(key);
crypted[0] = body[0] XOR rand();
crypted[1] = body[1] XOR rand();
…

Известно, что в качестве генератора псевдо-случайных чисел используется самый популярный в компиляторах алгоритм:

Подробнее о том, как расшифровать файлы бесплатно и не платить выкуп программам-вымогателям, используя утилиты Avast по удалению вирусов-шифровальщиков.

Как расшифровать файлы бесплатно? Мы рады объявить о выпуске четырех инструментов для удаления программ-вымогателей и дешифровки файлов: Alcatraz Locker, CrySiS, Globe и NoobCrypt. Все дешифраторы для файлов доступны на нашей странице и являются бесплатными.

Там же представлено подробное описание каждого вида программ-вымогателей. Наши инструменты смогут помочь вам удалить вирус-шифровальщик и разблокировать файлы. Утилиты постоянно обновляются по мере развития перечисленных видов угроз.

С момента выпуска первого пакета из семи инструментов Avast для дешифровки нам было приятно получить множество отзывов с благодарностями и рассказами о том, как наши утилиты спасли чьи-то ценные данные или даже бизнес. Надеемся, новые программы для дешифровки помогут еще большему количеству пользователей.

Ниже приведено краткое описание четырех новых видов программ-вымогателей, для удаления которых были разработаны новые бесплатные утилиты.

Alcatraz

В отличие от большинства видов шифрователей, программа Alcatraz не имеет заданного списка расширений файлов, на которые она нацелена. Иными словами, программа шифрует все, что может. Чтобы предотвратить нанесение ущерба операционной системе, Alcatraz Locker шифрует только файлы в каталоге %PROFILES% (обычно C:\Users).

Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования):

Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x36.
К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash1).
Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x5C.
К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash2).
160 битов Hash1 и 96 битов Hash2 объединяются.

Получившийся объединенный хэш используется в качестве исходного ключа для AES256.

После выполнения шифрования AES-256 программа-вымогатель также кодирует уже зашифрованный файл с помощью позиционной системы счисления с основанием 64 (BASE64), в результате чего зашифрованный файл приводится к типичной модели:

CrySiS

Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокировке.

Хотя идентификационный номер и адрес электронной почты меняются довольно часто, есть только три различных имени расширений, которые, используются до сих пор:

.xtbl, .lock и .CrySiS.

В результате имена зашифрованных файлов могут выглядеть так:

Каждый подобный элемент содержит все данные, которые необходимы для его расшифровки. Файлы размером менее 262 144 байта зашифровываются полностью, а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку. Стоит отметить, что файлы, размер которых превышает 262 144 байта, шифруются лишь частично, однако и в этом случае использовать их не удастся. Такой способ работы вымогателя приводит к тому, что крупные файлы после шифрования еще больше увеличиваются в размере.

Globe

Данная программа, существующая примерно с августа 2016 года, написана на языке Delphi и обычно упакована UPX. Некоторые варианты также упакованы при помощи установщика Nullsoft:

bc4c0b2f6118d36f4d476db16dbd6bcc0e393f2ad08429d16efe51f3d2870d58
fdc8de22653ebcf4cb8f5495b103e04079b0270efa86f713715f0a81f1b2e9b0

Так как злоумышленники могут изменять программу, мы столкнулись со множеством различных вариантов создания зашифрованных файлов с разнообразными расширениями.

Примечательно, что программа-вымогатель имеет режим отладки, который может быть включен при помощи следующей настройки реестра:

Вирус блокирует файлы при помощи алгоритмов RC4 или BlowFish. Когда программа-вымогатель настроена на шифрование имен файлов, она выполняет его при помощи того же алгоритма, который использовался в отношении самого файла. Затем название шифруется при помощи собственной реализации кодирования Base64.

Вот несколько примеров созданных расширений, которые могут быть расшифрованы при помощи утилиты Avast:

Не платите вымогателям! Используйте дешифратор для файлов Globe.

NoobCrypt

Вскоре после публикации кодов, исследователь программ-вымогателей с сетевым именем xXToffeeXx сообщил нам о создании новой версии NoobCrypt, которая рекламировалась во множестве магазинов в сетях Darknet. Стоимость этой версии, находящейся в продаже, составляет $300.

Как видно на снимке внизу, автор даже упоминает мое имя на экране с инструкциями по выплате денег и за что-то меня благодарит. Возможно, за то, что я дал этому набору некачественного кода соответствующее название (теперь оно используется официально).

Сегодня мы представляем инструмент для дешифровки NoobCrypt, подходящий для всех его известных версий. Процесс разблокировки теперь выглядит намного проще, чем подбор нужного кода. Теперь вам не нужно платить деньги за предоставление ключа. И тем более полагаться на расшифровку своих файлов программе-вымогателю.

Ознакомьтесь с описанием программы NoobCrypt и инструментом для дешифровки на нашем сайте.

Как не стать жертвой программы-вымогателя

Если вам не повезло и вы стали жертвой программ-вымогателей, попробуйте наши инструменты для дешифровки и проверьте, сможем ли мы помочь вам вернуть свои файлы!

Выражаю благодарность своим коллегам, Ладиславу Зезуле (Ladislav Zezula ) и Петру Щепански (Piotr Szczepanski), за подготовку дешифраторов, а также Яромиру Горейши (aromír Hořejší) за его анализ программы Alcatraz Locker.

Читайте также: