Донецкий техникум промышленной автоматики

Bomber - новий вірус trojan-шифрувальник, розшифровка і видалення

  1. Опис вірусу шифрувальника bomber
  2. Як вірус вимагач bomber шифрує файли
  3. Як лікувати комп'ютер і видалити вимагач bomber
  4. Де скачати дешифратор bomber
  5. Як розшифрувати і відновити файли після вірусу bomber
  6. Касперський, eset nod32 і інші в боротьбі з шифрувальником bomber
  7. Куди звернутися за гарантованої розшифровкою
  8. Методи захисту від вірусу bomber
  9. Відео c розшифровкою і відновленням файлів

Після відносного затішься, кілька днів тому в мережі знову з'явилася зараза, яка шифрує всі файли користувача. В черговий раз розгляну питання як вилікувати комп'ютер після вірусу шифрувальника bomber і відновити зашифровані файли. Поширення епідемії тільки почалося 3-4 дня назад, так що треба бути насторожі.

Гарантована розшифровка файлів після вірусу шифрувальника - dr-shifro.ru . Подробиці роботи і схема взаємодії з замовником нижче у мене в статті або на сайті в розділі «Порядок роботи».

Опис вірусу шифрувальника bomber

Новий шифрувальник bomber принципово нічим не відрізняється від всього того, що я бачив раніше. Поширюється в основному по пошті, використовуючи соцінжінерію, щоб спровокувати користувача запустити вкладення.

Як заманухи використовуються підроблені листи з податкової, ощадбанку. Для юросіб може мімікрувати під лист контрагента з проханням зробити бухгалтерську звірку або щось подібне.

Звідси відразу ж логічне попередження - ніколи не відкривайте невідомі вкладення в листах. Всі про це знають, і тим не менш поштові вкладення - основне джерело поширення вірусів шифрувальників.

Крім пошти вірус можна підчепити на всяких програмах для швидкого збагачення, на кряк, на скачуванні популярного софта з невідомих сайтів. Наприклад, adobe reader або 7zip варто качати тільки з сайтів виробників, і нізвідки більше. Популярний прийом для поширення вірусів - розмістити заражений інсталятор на сторонньому сайті і просунути цей сайт в топ пошукової видачі. Навіть 3-4 місце у видачі забезпечує стабільний потік заражених комп'ютерів.

Окремо звертаю увагу на портований версії програм. Сам нерідко ними користуюся і раніше проблем з ними не було. Але останнім часом отримую інформацію, що в портований версії популярних програм частенько впроваджують віруси. Причому, не обов'язково шифрувальники. Ви можете навіть не знати, що разом з нормальною програмою у вас працює вірус. Я б не рекомендував без особливої ​​необхідності користуватися ріпаку популярних програм, особливо платних, в портірованних версіях.

Після того, як почалася епідемія шифрувальника bomber, я почитав теми на форумах антивірусів на цю тему. Помітив, що іноді вірус поширюється через teamviewer, який зловмисники якимось чином ставлять на комп'ютер жертви. Яким чином він туди потрапляє, я не зрозумів. І так само популярний кейс, коли зараження йде через Портировать версію 7zip - 7-ZipPortable.exe, яка з'являється в профілі користувача. Як він туди потрапляє, теж не зрозуміло.

Після роботи вірусу шифрувальника bomber ви побачите текстовий файл ЯК ВІДНОВИТИ зашифрованому ФАЙЛИ.TXT приблизно такого змісту:

Поштові скриньки [email protected] ([email protected], [email protected]) можуть бути іншими, але поки використовуються саме ці.

Файл найчастіше розкиданий по всьому комп'ютеру:

  • На робочому столі;
  • Документах користувача;
  • В папці з завантаженнями;
  • У профілі і т.д.

Причому не тільки в директоріях поточного користувача, який запустив шифрувальника, а й у інших користувачів.

Як вірус вимагач bomber шифрує файли

Вірус спочатку буде працювати непомітно для вас. Поки він не зашифрує всі файли, його діяльність ви не помітите, якщо тільки не виявите невідомі файли з розширенням .bomber. Тільки після того, як вірус закінчить всі шифрувати, ви побачите сповіщення з вимогою викупу.

Отже, вірус шифрує зміст всіх корисних файлів і ставить розширення .bomber. Крім самого вмісту, він шифрує і імена файлів. У підсумку ви побачите щось подібне в директоріях з файлами.

У підсумку ви побачите щось подібне в директоріях з файлами

При запуску шифрувальника генерується пара сесійних ключів RSA, приватний сесійний ключ шифрується містяться в тілі зловреда публічним ключем RSA зловмисників. Дана інформація буде потім записана в файл з вимогами зловмисників.

Файли шифруються по алгоритму AES-256-CBC, ключ і вектор для кожного файлу генеруються безпосередньо перед шифруванням. Ключ і вектор AES зашифровуються сесійним публічним ключем RSA і записуються в кінець зашифрованого файлу.

Імена файлів шифруються алгоритмом RC4, використовуючи в якості ключа рядок, що містить зашифровані ключ і вектор AES. Отриманий буфер буде закодований алгоритмом Base64 з нестандартним алфавітом.

Як лікувати комп'ютер і видалити вимагач bomber

Вірус bomber вже у вас на комп'ютері. Перший і найголовніший питання - як вилікувати комп'ютер і як видалити з нього вірус, щоб запобігти подальшому шифрування, якщо воно ще не було закінчено. Відразу звертаю вашу увагу на те, що після того, як ви самі почнете робити якісь дії зі своїм комп'ютером, шанси на розшифровку даних зменшуються. Якщо вам будь-що-будь потрібно відновити файли, комп'ютер не чіпайте, а відразу звертайтеся до професіоналів. Нижче я розповім про них і приведу посилання на сайт і опишу схему їх роботи.

А поки продовжимо самостійно лікувати комп'ютер і видаляти вірус. Традиційно шифрувальники легко видаляються з комп'ютера, так як у вірусу немає завдання будь-що-будь залишитися на комп'ютері. Після повного шифрування файлів йому навіть вигідніше самоудаліться і зникнути, щоб було важче розслідувати інцидент і розшифрувати файли.

Описати ручне видалення вірусу важко, хоча я намагався раніше це робити, але бачу, що найчастіше це безглуздо. Назви файлів і шляхи розміщення вірусу постійно змінюються. Те, що бачив я вже не актуально через тиждень-два. Зазвичай поширення вірусів йде хвилями і кожен раз там нова модифікація, яка ще не детектив антивірусами. Допомагають універсальні засоби, які перевіряють автозапуск і детектив підозрілу активність в системних папках.

Для видалення вірусу bomber можна скористатися такими програмами:

  1. Kaspersky Virus Removal Tool - утилітою від Касперського http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - схожий продукт від Др.ВЕБ http://free.drweb.ru/cureit .
  3. Якщо не допоможуть перші дві утиліти, спробуйте MALWAREBYTES - https://ru.malwarebytes.com .

Швидше за все, щось з цих продуктів очистить комп'ютер від шифрувальника bomber. Якщо раптом так трапиться, що вони не допоможуть, спробуйте видалити вірус вручну. Методику по видаленню я приводив на прикладі вірусу так Вінчі і spora , Можете подивитися там. Якщо коротко по кроках, то діяти треба так:

  1. Дивимося список процесів, попередньо додавши кілька додаткових стовпців в диспетчер задач.
  2. Знаходимо процес вірусу, відкриваємо папку, в якій він сидить і видаляємо його.
  3. Чистимо згадка про процес вірусу на ім'я файлу в реєстрі.
  4. Перезавантажуємося і переконуємося, що вірусу bomber немає в списку запущених процесів.

Якщо самостійно не виходить видалити вірус шифрувальник bomber, можна звернутися на сайт Касперського, залишивши там заявку на допомогу з видаленням. Детальніше, як це зробити, описано на самому форумі підтримки - https://forum.kasperskyclub.ru/index.php?showforum=110 .

Де скачати дешифратор bomber

Питання простого і надійного дешифратора встає в першу чергу, коли справа стосується вірусу-шифрувальника. Перше, що я пораджу, це скористатися сервісом https://www.nomoreransom.org . А раптом вам пощастить у них буде дешифратор під вашу версію шифрувальника bomber. Скажу відразу, що шансів у вас не багато, але спроба не тортури. На головній сторінці натискаєте Так:

Потім завантажуєте пару зашифрованих файлів і натискаєте Перевірити:

На момент написання статті дешифратора на сайті не було.

Можливо вам пощастить більше. Можна ще ознайомитися зі списком дешифраторів для скачування на окремій сторінці - https://www.nomoreransom.org/ru/decryption-tools.html . Може бути там знайдеться щось корисне. Коли вірус зовсім свіжий шансів на це мало, але з часом можливо щось з'явиться. Є приклади, коли в мережі з'являлися дешифратори до деяких модифікацій шифрувальників. І ці приклади є на зазначеній сторінці.

Де ще можна знайти дешифратор я не знаю. Навряд чи він реально буде існувати, з урахуванням особливостей роботи сучасних шифрувальників. Повноцінний дешифратор може бути тільки у авторів вірусу.

Як розшифрувати і відновити файли після вірусу bomber

Що робити, коли вірус bomber зашифрував ваші файли? Технічна реалізація шифрування не дозволяє виконати розшифровку файлів без ключа або дешифратора, який є тільки у автора шифрувальника. Може бути є якийсь ще спосіб його отримати, але у мене немає такої інформації. Нам залишається тільки спробувати відновити файли підручними способами. До таких належить:

  • Інструмент тіньових копій windows.
  • Програми по відновленню видалених даних

Для початку перевіримо, чи включені у нас тіньові копії. Цей інструмент за замовчуванням працює в windows 7 і вище, якщо ви його не відключили вручну. Для перевірки відкриваємо властивості комп'ютера і переходимо в розділ захист системи.

Ця установка актуальна і для Windows 8.1 і 10, перевіряється таким же чином. Якщо ви під час зараження не підтвердили запит UAC на видалення файлів в тіньових копіях, то якісь дані у вас там повинні залишитися.

Для зручного відновлення файлів з тіньових копій пропоную скористатися безкоштовною програмою для цього - ShadowExplorer . Завантажуйте архів, виймайте програму і запускайте.

Відкриється остання копія файлів і корінь диска C. У лівому верхньому кутку можна вибрати резервну копію, якщо у вас їх декілька. Перевірте різні копії на наявність потрібних файлів. Порівняйте по датах, де більш свіжа версія. У моєму прикладі нижче я знайшов 2 файли на робочому столі тримісячної давності, коли вони останній раз редагувалися.

Мені вдалося відновити ці файли. Для цього я їх вибрав, натиснув правою кнопкою миші, вибрав Export і вказав папку, куди їх відновити.

Ви можете відновлювати відразу папки за таким же принципом. Якщо у вас працювали тіньові копії і ви їх не видаляли, у вас досить багато шансів відновити все, або майже все файли, зашифровані вірусом. Можливо, якісь з них будуть більш старої версії, ніж хотілося б, але тим не менш, це краще, ніж нічого.

Якщо з якоїсь причини у вас немає тіньових копій файлів, залишається єдиний шанс отримати хоч щось із зашифрованих файлів - відновити їх за допомогою засобів відновлення видалених файлів. Для цього пропоную скористатися безкоштовною програмою Photorec .

Запускайте програму і вибирайте диск, на якому будете відновлювати файли. Запуск графічної версії програми виконує файл qphotorec_win.exe. Необхідно вибрати папку, куди будуть поміщатися знайдені файли. Краще, якщо ця папка буде розташовуватися не на тому ж диску, де ми здійснюємо пошук. Підключіть флешку або зовнішній жорсткий диск для цього.

Процес пошуку триватиме довго. В кінці ви побачите статистику. Тепер можна йти в зазначену раніше папку і дивитися, що там знайдено. Файлів буде швидше за все багато і велика частина з них будуть або пошкоджені, або це будуть якісь системні й марні файли. Але тим не менше, в цьому списку можна буде знайти і частина корисних файлів. Тут вже ніяких гарантій немає, що знайдете, то і знайдете. Найкраще, звичайно, відновлюються зображення.

Якщо результат вас не задовольнить, то є ще програми для відновлення видалених файлів. Нижче список програм, які я зазвичай використовую, коли потрібно відновити максимальну кількість файлів:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Програми ці не безкоштовно, тому я не буду приводити посилань. При великому бажанні, ви зможете їх самі знайти в інтернеті.

Весь процес відновлення файлів докладно показаний в відео в самому кінці статті.

Касперський, eset nod32 і інші в боротьбі з шифрувальником bomber

Популярні антивіруси визначаю шифрувальник bomber по-різному:

  • PDM: Trojan.Win32.Generic
  • Trojan.Win32.Dimnie
  • Backdoor.Win32.TeamBot
  • Trojan-Ransom.Win32.Purga

Я пробігся по форумам основних антивірусів і не побачив там нічого корисного. На жаль, як завжди, антивіруси виявилися не готові до навали нової хвилі шифрувальників. Ось повідомлення з форуму Kaspersky. Можна прикинути масштаб епідемії:

За розшифровці, на жаль, касперский варіантів не пропонує.

Якщо у вас є ліцензія на антивірус, то має сенс написати запит в тех. підтримку. Можливо, з'являться якісь шанси.

Чомусь я не знайшов взагалі обговорення шифрувальника bomber на форумах антивіруса Eset nod32 і Dr.Web. Форум касперского заповнений запитами, а у решти на форумі тиша. Або ними ніхто не користується, або вони захистили від цього шифрувальника і запитів у клієнтів не було. Не знаю в чому справа. Зазвичай я там знаходжу деяку інформацію по вірусам шифрувальника.

Антивіруси традиційно пропускають нові модифікації троянів-шифрувальників. І тим не менше, я рекомендую ними користуватися. Якщо вам пощастить, і ви отримаєте на пошту шифрувальника не в першу хвилю заражень, а трохи пізніше, є шанс, що антивірус вам допоможе. Вони все працює на крок позаду зловмисників. Виходить нова версія вимагача, антивіруси на неї не реагують. Як тільки накопичується певна маса матеріалу для дослідження по новому вірусу, антивіруси випускають оновлення і починають на нього реагувати.

Що заважає антивірусів реагувати відразу ж на будь-який процес шифрування в системі, мені не зрозуміло. Можливо, є якийсь технічний нюанс на цю тему, який не дозволяє адекватно зреагувати і запобігти шифрування файлів користувача. Мені здається, можна було б хоча б попередження виводити на тему того, що хтось шифрує ваші файли, і запропонувати зупинити процес.

Куди звернутися за гарантованої розшифровкою

Мені довелося познайомитися з однією компанією, яка реально розшифровує дані після роботи різних вірусів-шифрувальників, в тому числі bomber. Їх адреса - http://dr-shifro.ru/bomber.html . Оплата тільки після повної розшифровки і вашої перевірки. Ось приблизна схема роботи:

  1. Фахівець компанії під'їжджає до вас в офіс або на будинок, і підписує з вами договір, в якому фіксує вартість робіт.
  2. Запускає дешифратор і розшифровує всі файли.
  3. Ви переконуєтеся в тому, що всі файли відкриваються, і підписуєте акт здачі / приймання виконаних робіт.
  4. Оплата виключно за фактом успішного результату дешифрування.

Детальніше про схему роботи- http://www.dr-shifro.ru/11_blog-details.html

Скажу чесно, я не знаю, як вони це роблять, але ви нічим не ризикуєте. Оплата тільки після демонстрації роботи дешифратора. Прохання написати відгук про досвід взаємодії з цією компанією.

Методи захисту від вірусу bomber

Як захиститися від роботи шифрувальника і обійтися без матеріальної та моральної шкоди? Є кілька простих і ефективних рад:

  1. Бекап! Резервна копія всю важливу інформацію. І не просто бекап, а бекап, до якого немає постійного доступу. Інакше вірус може заразити як ваші документи, так і резервні копії.
  2. Ліцензійний антивірус. Хоча вони не дають 100% гарантії, але шанси уникнути шифрування збільшують. До нових версій шифрувальника вони найчастіше не готові, але вже через 3-4 дні починають реагувати. Це підвищує ваші шанси уникнути зараження, якщо ви не потрапили в першу хвилю розсилки нової модифікації шифрувальника.
  3. Не відкривайте підозрілі вкладення в пошті. Тут коментувати нічого. Всі відомі мені шифрувальники потрапили до користувачів через пошту. Причому кожного разу придумуються нові хитрощі, щоб обдурити жертву.
  4. Не відкривайте бездумно посилання, надіслані вам від ваших знайомих через соціальні мережі або месенджери. Так теж іноді поширюються віруси.
  5. Включіть в windows відображення розширень файлів. Як це зробити легко знайти в інтернеті. Це дозволить вам побачити розширення файлу на вірус. Найчастіше воно буде .exe, .vbs, .src. У повсякденній роботі з документами вам навряд чи трапляються подібні розширення файлів.
  6. Не завантажуйте і не використовуйте дистрибутиви і портований версії програм з неперевірених джерел. Перевіреними джерелами є в першу чергу сайти авторів програм, або перевірені портали. Те, що ви знайдете в топі видачі пошукових систем може виявитися зараженим.

Постарався доповнити те, що вже писав раніше в кожній статті про вірус шифрувальник. А поки прощаюся. Буду радий корисним зауважень по статті і вірусу-шифрувальники bomber в цілому.

Відео c розшифровкою і відновленням файлів

Тут приклад попередньої модифікації вірусу, але відео повністю актуально і для bomber.

Допомогла стаття? Є можливість віддячити автора

Php?
Допомогла стаття?