Вирусная атака: шифрование или уничтожение данных

УслугаЦена
Диагностикабесплатно
Расшифровка данных*от 2000 сом

Зашифровались файлы? Звоните 0555 543345 или 0700-543345!

В последние годы широкое распространение получил весьма неприятный способ зарабатывания денег в Сети: распространение вирусов-шифровальщиков (крипторов), надежно шифрующих данные пользователя, с последующим вымоганием средств за их расшифровку. Таких вирусов великое множество, способы их распространения варьируют (от распространения через email-рассылки до взлома сайтов и размещения на них загрузчиков вредоносного ПО), но результат их работы всегда один: по окончании их работы все ваши данные оказываются зашифрованы, ни один файл не открывается (или файлы вообще отсутствуют или имеют очень странный вид), а на вашем компьютере вы находите текстовой файл или картинку с текстом примерно такого содержания: «Все ваши данные зашифрованы стойким алгоритмом. Для того, чтобы их расшифровать, напишите на email, мы вышлем вам последующие инструкции».

Так выглядят зашифрованные вирусом файлы.

Примерно такого содержание картинка установится на ваш рабочий стол, в случае если если файлы будут зашифрованы.

Это означает лишь одно: от вас будут требовать денег, иначе ваши файлы вы никогда больше не увидите. Надо сказать, что платить злоумышленникам – это своего рода лотерея. Есть такие, которые реально пришлют вам программу, которая расшифрует ваши данные (но кто гарантирует, что  в ней нет закладки, которая через какое-то время их снова зашифрует?), а есть такие, которые после получения денег просто перестанут вам отвечать. Поэтому платить злоумышленникам  — это последняя возможность, когда уже точно понятно, что расшифровать ваши данные нельзя.

В настоящее время примерно для половины вирусов, шифрующих информацию, разработаны методы расшифровки. Правда, вирусописатели не стоят на месте и внедряют в свои «продукты» все больше нововведений, затрудняющих последующую расшифровку, однако и исследователи этого явления не зря едят свой хлеб. Расшифровке с каждым днем поддается все больше и больше зашифрованных такими вирусами данных. Если в текущее время ваши данные расшифровать нельзя, то вам следует сохранить их на будущее – возможно, через некоторое время будет разработано «лекарство», и данные расшифровать получится.

Мы предлагаем альтернативный (кроме, собственно, расшифровки) способ извлечения данных из зашифрованных файлов, основанный на принципах восстановления информации. Дело в том, что любой вирус, зашифровывая ваш файл, не делает этого в теле самого файла – это слишком рискованно (система может что-то «заподозрить», или пользователь увидит странную активность, или операционная система начнет сообщать о несанкционированных операциях). Файл шифруется в виде копии, а затем записывается на диск – после чего оригинал удаляется. Таким образом, на диске могут оставаться удаленные оригинальные файлы, которые мы и восстанавливаем. Кроме того, для части форматов файлов существуют так называемые «теневые копии», которые криптовщики обычно не распознают и не шифруют. Их также можно использовать для восстановления данных.

В нашей компании имеется хороший задел по расшифровке файлов, зашифрованных вирусами-криптовщиками. С подобного рода бедой к нам обращаются едва ли не каждый день, и по нашей статистике, мы можем справиться как минимум с половиной шифрующих данные вирусов. Для восстановления таких файлов существует немало инструментов, начиная от простого брут-форса ключей в тех случаях, когда применяется не слишком стойкий алгоритм шифрования, и заканчивая восстановлением данных из теневых копий. Однако наиболее часто применяемый нами метод заключается в исследовании вредоносного кода вируса, поиске алгоритма шифрования и необходимых для расшифровки ключей с пакетной расшифровкой данных. Такая процедура занимает в нашей компании от 2 до 3 дней; если нам не удается найти способ вернуть ваши данные, вы ничего не теряете – у вас все еще остается возможность связаться со злоумышленником (хотя мы этого и не рекомендуем). Но если мы находим ключи шифрования и определяем его алгоритм – мы расшифруем ваши данные со 100%-ными шансами, при этом заплатите вы за нашу работу намного меньше, чем злоумышленникам.
Если вы «поймали» вирус, который заразил ваш компьютер и зашифровал ваши данные – выключите машину, извлеките жесткий диск и принесите его к нам в офис. Существует большая вероятность того, что мы сможем вам помочь. И помните – чем меньше денег будут получать злоумышленники, шифрующие данные, тем скорее это зло исчезнет с просторов всемирной паутины.

Существует и другая категория вирусов – вредоносное ПО, которое удаляет ваши данные. Это могут быть и безобидные (для нас) принудительные форматировщики разделов – последствия работы таких вирусов мы легко решаем и восстанавливаем обычно полный набор данных. Другие вирусы более опасны, результат их работы – полная невозможность восстановления информации. Принцип их работы основан на АТА-команде «Security Erase» — команда быстрой (относительно, конечно) очистки диска. Ее суть в том, что на накопитель ставится пароль, и под паролем (обращение к диску в это время невозможно) накопитель записывает во все сектора определенный набор байт. Такой метод очистки – самый быстрый из существующих, так как головки записывают информацию на максимальной скорости. Обычно процедура security erase для накопителя емкостью 500 Гбайт длится не более 40 минут. Представьте себе: вы ушли на обед, а вернулись к пустому диску.

К сожалению, данные с дисков, на которых полностью отработал вирус-разрушитель, восстановить уже нельзя. Однако если вы внезапно заметили, что ваша система стала дико тормозить, и успели выключить компьютер, а после старта компьютера BIOS выдал сообщение «Disk boot failure», или «Disk password protected» — вам, скорее всего, повезло, и вирус не успел уничтожить все данные. В этом случае вам необходимо, не включая диск, обязательно обратиться к профессионалам: мы остановим процесс security erase и достанем с диска то, что еще не было стерто. Без знания пароля (а такие вирусы ставят рандомные пароли, подобрать который невозможно) разблокировать такой накопитель и остановить процесс разрушения данных можно только используя специализированное ПО (РС-3000 или его аналоги).

-5%