23 ответов в этой теме

[News Robot]

25 ноября 2014 года

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев. На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, способной расшифровать такие файлы.

Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Запустившись на атакуемом компьютере, троянец копирует себя в одну из системных папок с именем ID.exe, где ID — серийный номер жесткого диска. Затем Trojan.Encoder.398 демонстрирует на экране сообщение о повреждении архива и запускает собственную копию, которая определяет и отправляет на принадлежащий злоумышленникам сервер серийный номер жесткого диска зараженной машины. В ответ троянец получает от удаленного узла конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, после чего начинается сама процедура шифрования.

В настоящий момент специалистам «Доктор Веб» известно несколько модификаций Trojan.Encoder.398, способных использовать до 18 различных алгоритмов шифрования. Троянец может зашифровывать файлы со следующими расширениями: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Для связи злоумышленники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com и некоторые другие.

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованныезлоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением*.filescrypt2014@foxmail.com_*.

Следует отметить, что в последнее время в Интернете появилось множество предложений о платной расшифровке пострадавших от действия шифровальщиков файлов, однако достоверно установлено, что большинство лиц, предлагающих подобного рода услуги, все равно обращается за помощью в службу технической поддержки компании «Доктор Веб». Обращаем ваше внимание на то, что компания «Доктор Веб» осуществляет расшифровку файлов бесплатно для пользователей своих лицензионных продуктов. Таким образом, сетевые мошенники фактически предлагают жертвам троянца приобрести услугу, которую можно получить на безвозмездной основе. По крайней мере, требуемая ими сумма вознаграждения значительно превышает стоимость лицензии на антивирусные продукты Dr.Web, приобретая которую, пользователь получает надежную защиту своих персональных компьютеров и мобильных устройств.

Если вы стали жертвой этой вредоносной программы, воспользуйтесь следующими рекомендациями:

• обратитесь с соответствующим заявлением в полицию;
• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никакие файлы на вашем компьютере;
• не пытайтесь восстановить зашифрованные файлы самостоятельно;
• обратитесь в службу технической поддержки поддержки компании «Доктор Веб» (эта услуга бесплатна);
• к тикету приложите зашифрованный троянцем .DOC-файл;
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Проделанная специалистами компании «Доктор Веб» работа открывает новые перспективы в борьбе с троянцами-шифровальщиками и позволяет надеяться, что в будущем все больше жертв подобных вредоносных программ получат возможность вернуть свои файлы, пострадавшие от действия энкодеров.

Читать оригинал

[v.martyanov]

О, странное время публикации :-)

 

В общем, мы смогли. Первыми и единственными в мире мы научились расшифровывать файлы с filescrypt2014@foxmail.com!!!

 

5 месяцев исследований, миллиарды итераций, несколько новых технологий - и вот результат! Спасибо тем, кто присылал ключи, они пригодились. Спасибо тем, кто помогал мощностями и идеями, тем, кто верил в успех этого безнадежного предприятия! Отдельное спасибо московским коллегам: без вас работа затянулась бы еще на несколько месяцев. И особенно хочу поблагодарить тех, кто нашел в самом "сердце" всех технологий, накрученных вокруг этой расшифровки, серьезный баг.

[usverg]

Молодцы!!! Теперь на очереди PGP от keybtc (шутю, конечно )) )!

[v.martyanov]

Молодцы!!! Теперь на очереди PGP от keybtc (шутю, конечно )) )!

Зря шутите ;-)

На самом деле работы по другим вариантам 398 будут вестись, ну и еще по некоторым "нерасшифровываемым" энкодерам, как говорят т.н. "эксперты" :-)

[usverg]

Я ничуть не стараюсь уменьшить значимость проделанной работы, но далее действительно PGP (GPG) и большие числа.

[v.martyanov]

Еще с симметричной не все закончено! Для GPG нужна пара очень хороших программистов, а я - один и не очень хороший :-)

[Black Angel]

Поздравляю!

[usverg]

v.martyanov, скорее программистов-математиков... работал я с одним таким товарищем, за 10 дней работы брал 8т.е. ... и что характерно - заслуженно.

[IlyaS]

Круто! А насчет Encoder.567 есть подвижки?

[v.martyanov]

Круто! А насчет Encoder.567 есть подвижки?

 

А вот это пока секрет ;-)

v.martyanov, скорее программистов-математиков... работал я с одним таким товарищем, за 10 дней работы брал 8т.е. ... и что характерно - заслуженно.

Для начала - программистов :-)

[usverg]

Для начала - программистов :-)

Это смотря с какого бока решать задачу:

1) попытаться восстановить удалённый ключ - 2*программист

2) воспроизвести процесс генерации ключа - 2*программист+математик

3) подбор ключа (проблема факторизации больших целых чисел) - математик^3+2*программист

4) нахождение уязвимости алгоритма -  математик^2+2*программист

(за решение пп 3 и 4 сразу дадут по рукам и засекретят)

[mike 1]

Поздравляю! Вы просто молодцы. 

[Konstantin Yudin]

а я - один и не очень хороший :-)

да ладно скромничать... ты молодец. посмотри сколько пользы людям приносишь.

[v.martyanov]

 

а я - один и не очень хороший :-)

да ладно скромничать... ты молодец. посмотри сколько пользы людям приносишь.

 

Но меня не хватает на GPG, на кучу других проектов...

[АВаТар]

v.martyanov, От этого вы хуже не становитесь. А с накоплением опыта - только лучше!! 

[nahaba]

 Здравствуйте!!!
Скажите - для Encoder.567 есть дешифратор, или это мертвое дело пока?

[v.martyanov]

 Здравствуйте!!!
Скажите - для Encoder.567 есть дешифратор, или это мертвое дело пока?

Есть.

[nahaba]

то есть можно расшифровать зашифрованные  данные?

[nahaba]

если прислать вам файл - можно ли рассчитывать на дешифровку? файл бекапа был в расширении RAR

[maxic]

nahaba, не попробовав - не узнаете.