Донецкий техникум промышленной автоматики

Вірус CRYPTED000007 - як розшифрувати файли і видалити вимагача

  1. Опис вірусу шифрувальника CRYPTED000007
  2. Як вірус вимагач CRYPTED000007 шифрує файли
  3. Як лікувати комп'ютер і видалити вимагач CRYPTED000007
  4. Де скачати дешифратор CRYPTED000007
  5. Як розшифрувати і відновити файли після вірусу CRYPTED000007
  6. Касперський, eset nod32 і інші в боротьбі з шифрувальником Filecoder.ED
  7. Методи захисту від вірусу CRYPTED000007

Близько тижня-двох назад в мережі з'явилася чергова саморобка сучасних вірусоделов, яка шифрує всі файли користувача. В черговий раз розгляну питання як вилікувати комп'ютер після вірусу шифрувальника crypted000007 і відновити зашифровані файли. В даному випадку нічого нового і унікального не з'явилося, просто модифікація попередньої версії

Опис вірусу шифрувальника CRYPTED000007

Шифрувальник CRYPTED000007 нічим принципово не відрізняється від своїх попередників. Діє він практично один в один як no_more_ransom. Але все ж є кілька нюансів, які його відрізняють. Розповім про все по порядку.

Приходить він, як і його аналоги, поштою. Використовуються прийоми соціальної інженерії, щоб користувач неодмінно зацікавився листом і відкрив його. У моєму випадку в листі йшлося про якийсь суді і про важливої ​​інформації у справі у вкладенні. Після запуску вкладення у користувача відкривається вордовскій документ з випискою з арбітражного суду Москви.

Паралельно з відкриттям документа запускається шифрування файлів. Починає постійно вискакувати інформаційне повідомлення від системи керування обліковими записами Windows.

Якщо погодитися з пропозицією, то резервні копії файлів в тіньових копіях Windows буду видалені і відновлення інформації буде дуже сильно утруднено. Очевидно, що погоджуватися з пропозицією ні в якому разі не можна. В даному шифрувальником ці запити вискакують постійно, один за одним і не припиняються, змушуючи користувача таки погодитися і видалити резервні копії. Це головна відмінність від попередніх модифікацій шифрувальників. Я ще жодного разу не стикався з тим, щоб запити на видалення тіньових копій йшли без зупинки.

Зазвичай, після 5-10-ти пропозицій вони припинялися.
Дам відразу рекомендацію на майбутнє. Дуже часто люди відключають попередження від системи контролю облікових записів. Цього робити не треба. Даний механізм реально може допомогти в протистоянні вірусам. Другий очевидний рада - заняття не будете робити постійно під обліковим записом адміністратора комп'ютера, якщо в цьому немає об'єктивної необхідності. В такому випадку у вірусу не буде можливості сильно нашкодити. У вас буде більше шансів йому протистояти.

Але навіть якщо ви весь час відповідали негативно на запити шифрувальника, всі ваші дані вже шифруються. Після того, як процес шифрування буде закінчено, ви побачите на робочому столі картинку.

Після того, як процес шифрування буде закінчено, ви побачите на робочому столі картинку

Одночасно з цим на робочому столі буде безліч текстових файлів з одним і тим же змістом.

Baші файли билu зашіфровaни. Чmоби pacшuфровaть ux, Baм необхoдімo оmnрaвuть код: 329D54752553ED978F94 | 0 на елекmрoнний адpeс [email protected]. Далеe ви пoлyчіme все неoбходuмиe uнcmрyкціu. Поnитkі раcшuфpoваmь cамoсmоятeльнo нe пpuведym Нu до чeмy, kpомe безвозврaтной nоmерu інфoрмaцuі. Ecлu ви все жe xоmumе nопитатьcя, то nрeдвaрumeльно сдeлaйmе pезeрвние koпuі файлoв, інaче в случae ux uзмененuя pаcшіфровка cmaнет невозмoжной ні пpи яких условияx. Eслu ви не noлyчuлu omвеmа пo вишеуkазaнномy aдрес в тeчeніе 48 годин (u moльkо в еmом слyчaе!), Воспользуйтeсь формою обpamнoй cвязu. Це можна сдeлаmь двома спoсoбaмі: 1) Cкaчaйте u ycmaновuте Tor Browser пo ссилkе: https://www.torproject.org/download/download-easy.html.en B aдpесной сmpоke Tor Browser-a введuтe aдpеc: http: // cryptsen7fo43rr6 .onion / і нaжмітe Enter. 3агpyзіmся cmраніца з формoй обpamной cвязu. 2) B любoм браyзеpe neрeйдіmе по oдномy Uз aдpесов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ All the important files on your computer were encrypted. To decrypt the files you should send the following code: 329D54752553ED978F94 | 0 to e-mail address [email protected]. Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), Use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http: / /cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Поштова адреса може змінюватися. Я зустрічав ще такі адреси:

Адреси постійно оновлюються, так що можуть бути абсолютно різними.

Як тільки ви виявили, що файли зашифровані, відразу ж виключайте комп'ютер. Це потрібно зробити, щоб перервати процес шифрування як на локальному комп'ютері, так і на мережевих дисках. Вірус-шифрувальник може зашифрувати всю інформацію, до якої зможе дотягнутися, в тому числі і на мережевих дисках. Але якщо там великий обсяг інформації, то йому для цього буде потрібно чимало часу. Іноді і за пару годин шифрувальник не встигав все зашифрувати на мережевому диску об'ємом приблизно в 100 гігабайт.

Далі потрібно гарненько подумати, як діяти. Якщо вам будь-що-будь потрібна інформація на комп'ютері і у вас немає резервних копій, то краще в цей момент звернутися до фахівців. Не обов'язково за гроші в якісь фірми. Просто потрібна людина, яка добре розбирається в інформаційних системах. Необхідно оцінити масштаб лиха, видалити вірус, зібрати всю наявну інформацію по ситуації, щоб зрозуміти, як діяти далі.

Неправильні дії на даному етапі можуть істотно ускладнити процес розшифровки або відновлення файлів. У гіршому випадку можуть зробити його неможливим. Так що не поспішайте, будьте обережні і послідовні.

Як вірус вимагач CRYPTED000007 шифрує файли

Після того, як вірус у вас був запущений і закінчив свою діяльність, всі корисні файли будуть зашифровані, перейменовані з розширенням .crypted000007. Причому не тільки розширення файлу буде замінено, а й ім'я файлу, так що ви не дізнаєтеся точно, що за файли у вас були, якщо самі не пам'ятаєте. Буде приблизно така картина.

У такій ситуації буде важко оцінити масштаб трагедії, так як ви до кінця не зможете згадати, що ж у вас було в різних папках. Зроблено це спеціально, щоб збити людину з пантелику і спонукати до оплати розшифровки файлів.

А якщо у вас були зашифровані і мережеві папки і немає повних резервних копій, то це може взагалі зупинити роботу всієї організації. Не відразу розберешся, що в результаті втрачено, щоб почати відновлення.

Як лікувати комп'ютер і видалити вимагач CRYPTED000007

Вірус CRYPTED000007 вже у вас на комп'ютері. Перший і найголовніший питання - як вилікувати комп'ютер і як видалити з нього вірус, щоб запобігти подальшому шифрування, якщо воно ще не було закінчено. Відразу звертаю вашу увагу на те, що після того, як ви самі почнете робити якісь дії зі своїм комп'ютером, шанси на розшифровку даних зменшуються. Якщо вам будь-що-будь потрібно відновити файли, комп'ютер не чіпайте, а відразу звертайтеся до професіоналів. Нижче я розповім про них і приведу посилання на сайт і опишу схему їх роботи.

А поки продовжимо самостійно лікувати комп'ютер і видаляти вірус. Традиційно шифрувальники легко видаляються з комп'ютера, так як у вірусу немає завдання будь-що-будь залишитися на комп'ютері. Після повного шифрування файлів йому навіть вигідніше самоудаліться і зникнути, щоб було важче розслідувати ініцідент і розшифрувати файли.

Описати ручне видалення вірусу важко, хоча я намагався раніше це робити, але бачу, що найчастіше це безглуздо. Назви файлів і шляхи розміщення вірусу постійно змінюються. Те, що бачив я вже не актуально через тиждень-два. Зазвичай розсилка вірусів поштою йде хвилями і кожен раз там нова модифікація, яка ще не детектив антивірусами. Допомагають універсальні засоби, які перевіряють автозапуск і детектив підозрілу активність в системних папках.

Для видалення вірусу CRYPTED000007 можна скористатися такими програмами:

  1. Kaspersky Virus Removal Tool - утилітою від Касперського http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - схожий продукт від Др.ВЕБ http://free.drweb.ru/cureit .
  3. Якщо не допоможуть перші дві утиліти, спробуйте MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

Швидше за все, щось з цих продуктів очистить комп'ютер від шифрувальника CRYPTED000007. Якщо раптом так трапиться, що вони не допоможуть, спробуйте видалити вірус вручну. Методику по видаленню я приводив на прикладі вірусу так Вінчі і spora, можете подивитися там. Якщо коротко по кроках, то діяти треба так:

  1. Дивимося список процесів, попередньо додавши кілька додаткових стовпців в диспетчер задач.
  2. Знаходимо процес вірусу, відкриваємо папку, в якій він сидить і видаляємо його.
  3. Чистимо згадка про процес вірусу на ім'я файлу в реєстрі.
  4. Перезавантажуємося і переконуємося, що вірусу CRYPTED000007 немає в списку запущених процесів.

Де скачати дешифратор CRYPTED000007

Питання простого і надійного дешифратора встає в першу чергу, коли справа стосується вірусу-шифрувальника. Перше, що я пораджу, це скористатися сервісом https://www.nomoreransom.org . А раптом вам пощастить у них буде дешифратор під вашу версію шифрувальника CRYPTED000007. Скажу відразу, що шансів у вас не багато, але спроба не тортури. На головній сторінці натискаєте Yes:

Потім завантажуєте пару зашифрованих файлів і натискаєте Go! Find out:

На момент написання статті дешифратора на сайті не було.

Можливо вам пощастить більше. Можна ще ознайомитися зі списком дешифраторів для скачування на окремій сторінці - https://www.nomoreransom.org/decryption-tools.html . Може бути там знайдеться щось корисне. Коли вірус зовсім свіжий шансів на це мало, але з часом можливо щось з'явиться. Є приклади, коли в мережі з'являлися дешифратори до деяких модифікацій шифрувальників. І ці приклади є на зазначеній сторінці.

Де ще можна знайти дешифратор я не знаю. Навряд чи він реально буде існувати, з урахуванням особливостей роботи сучасних шифрувальників. Повноцінний дешифратор може бути тільки у авторів вірусу.

Як розшифрувати і відновити файли після вірусу CRYPTED000007

Що робити, коли вірус CRYPTED000007 зашифрував ваші файли? Технічна реалізація шифрування не дозволяє виконати розшифровку файлів без ключа або дешифратора, який є тільки у автора шифрувальника. Може бути є якийсь ще спосіб його отримати, але у мене немає такої інформації. Нам залишається тільки спробувати відновити файли підручними способами. До таких належить:

  • Інструмент тіньових копій windows.
  • Програми по відновленню видалених даних

Для початку перевіримо, чи включені у нас тіньові копії. Цей інструмент за замовчуванням працює в windows 7 і вище, якщо ви його не відключили вручну. Для перевірки відкриваємо властивості комп'ютера і переходимо в розділ захист системи.

Якщо ви під час зараження не підтвердили запит UAC на видалення файлів в тіньових копіях, то якісь дані у вас там повинні залишитися. Детальніше про цей запит я розповів на початку розповіді, коли розповідав про роботу вірусу.

Для зручного відновлення файлів з тіньових копій пропоную скористатися безкоштовною програмою для цього - ShadowExplorer . Завантажуйте архів, виймайте програму і запускайте.

Відкриється остання копія файлів і корінь диска C. У лівому верхньому кутку можна вибрати резервну копію, якщо у вас їх декілька. Перевірте різні копії на наявність потрібних файлів. Порівняйте по датах, де більш свіжа версія. У моєму прикладі нижче я знайшов 2 файли на робочому столі тримісячної давності, коли вони останній раз редагувалися.

Мені вдалося відновити ці файли. Для цього я їх вибрав, натиснув правою кнопкою миші, вибрав Export і вказав папку, куди їх відновити.

Ви можете відновлювати відразу папки за таким же принципом. Якщо у вас працювали тіньові копії і ви їх не видаляли, у вас досить багато шансів відновити все, або майже все файли, зашифровані вірусом. Можливо, якісь з них будуть більш старої версії, ніж хотілося б, але тим не менш, це краще, ніж нічого.

Якщо з якоїсь причини у вас немає тіньових копій файлів, залишається єдиний шанс отримати хоч щось із зашифрованих файлів - відновити їх за допомогою засобів відновлення видалених файлів. Для цього пропоную скористатися безкоштовною програмою Photorec .

Для цього пропоную скористатися безкоштовною програмою Photorec

Запускайте програму і вибирайте диск, на якому будете відновлювати файли. Запуск графічної версії програми виконує файл qphotorec_win.exe. Необхідно вибрати папку, куди будуть поміщатися знайдені файли. Краще, якщо ця папка буде розташовуватися не на тому ж диску, де ми здійснюємо пошук. Підключіть флешку або зовнішній жорсткий диск для цього.

Процес пошуку триватиме довго. В кінці ви побачите статистику. Тепер можна йти в зазначену раніше папку і дивитися, що там знайдено. Файлів буде швидше за все багато і велика частина з них будуть або пошкоджені, або це будуть якісь системні й марні файли. Але тим не менше, в цьому списку можна буде знайти і частина корисних файлів. Тут вже ніяких гарантій немає, що знайдете, то і знайдете. Найкраще, звичайно, відновлюються зображення.

Якщо результат вас не задовольнить, то є ще програми для відновлення видалених файлів. Нижче список програм, які я зазвичай використовую, коли потрібно відновити максимальну кількість файлів:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Програми ці не безкоштовно, тому я не буду приводити посилань. При великому бажанні, ви зможете їх самі знайти в інтернеті.

Весь процес відновлення файлів докладно показаний в відео в самому кінці статті.

Касперський, eset nod32 і інші в боротьбі з шифрувальником Filecoder.ED

Популярні антивіруси визначаю шифрувальник CRYPTED000007 як Filecoder.ED і далі може бути ще якесь позначення. Я пробігся по форумам основних антивірусів і не побачив там нічого корисного. На жаль, як завжди, антивіруси виявилися не готові до навали нової хвилі шифрувальників. Ось повідомлення з форуму Kaspersky.

Ось результат докладного обговорення шифрувальника CRYPTED000007 на форумі антивіруса Eset nod32. Звернень вже дуже багато, а антивірус нічого не може вдіяти.

Антивіруси традиційно пропускають нові модифікації троянів-шифрувальників. І тим не менше, я рекомендую ними користуватися. Якщо вам пощастить, і ви отримаєте на пошту шифрувальника не в першу хвилю заражень, а трохи пізніше, є шанс, що антивірус вам допоможе. Вони все працює на крок позаду зловмисників. Виходить нова версія вимагача, антивіруси на неї не реагують. Як тільки накопичується певна маса матеріалу для дослідження по новому вірусу, антивіруси випускають оновлення і починають на нього реагувати.

Що заважає антивірусів реагувати відразу ж на будь-який процес шифрування в системі, мені не зрозуміло. Можливо, є якийсь технічний нюанс на цю тему, який не дозволяє адекватно зреагувати і запобігти шифрування файлів користувача. Мені здається, можна було б хоча б попередження виводити на тему того, що хтось шифрує ваші файли, і запропонувати зупинити процес.

Методи захисту від вірусу CRYPTED000007

Як захиститися від роботи шифрувальника і обійтися без матеріальної та моральної шкоди? Є кілька простих і ефективних рад:

  1. Бекап! Резервна копія всю важливу інформацію. І не просто бекап, а бекап, до якого немає постійного доступу. Інакше вірус може заразити як ваші документи, так і резервні копії.
  2. Ліцензійний антивірус. Хоча вони не дають 100% гарантії, але шанси уникнути шифрування збільшують. До нових версій шифрувальника вони найчастіше не готові, але вже через 3-4 дні починають реагувати. Це підвищує ваші шанси уникнути зараження, якщо ви не потрапили в першу хвилю розсилки нової модифікації шифрувальника.
  3. Не відкривайте підозрілі вкладення в пошті. Тут коментувати нічого. Всі відомі мені шифрувальники потрапили до користувачів через пошту. Причому кожного разу придумуються нові хитрощі, щоб обдурити жертву.
  4. Не відкривайте бездумно посилання, надіслані вам від ваших знайомих через соціальні мережі або месенджери. Так теж іноді поширюються віруси.
  5. Включіть в windows відображення розширень файлів. Як це зробити легко знайти в інтернеті. Це дозволить вам побачити розширення файлу на вірус. Найчастіше воно буде .exe, .vbs, .src. У повседеневной роботі з документами вам навряд чи трапляються подібні розширення файлів.

Постарався доповнити те, що вже писав раніше в кожній статті про вірус шифрувальник. А поки прощаюся. Буду радий корисним зауважень по статті і вірусу-шифрувальники CRYPTED000007 в цілому.