Найпопулярніші віруси-вимагачі: як безкоштовно повернути доступ до файлів

0
393

Програми-вимагачі стають дедалі популярнішими серед зловмисників. Такі віруси блокують доступ до файлів на комп’ютері та вимагають викуп за код розшифровки. Проте є 4 безкоштовні програми, які дадуть вам змогу повернути свої файли і не потрапити на гачок до хакерів.

Існує чотири безкоштовних інструменти для видалення програм-вимагачів і дешифрування файлів: Alcatraz Locker, CrySiS, Globe і NoobCrypt. Ці інструменти зможуть допомогти вам видалити вірус-шифрувальник і розблокувати файли. Утиліти постійно оновлюються в міру розвитку перерахованих видів загроз.

Alcatraz

Alcatraz Locker – програма-вимагач, вперше виявлена ​​в середині листопада 2016 року. Файли, заблоковані нею, мають розширення .Alcatraz. Коли вони зашифровані, з’являється подібне повідомлення, яке розташоване в файлі ransomed.html на робочому столі зараженого комп’ютера.

На відміну від більшості видів шифрувальникыв, програма Alcatraz не має заданого списку розширень файлів, на які вона спрямована. Іншими словами, програма шифрує все, що може. Щоб запобігти нанесенню шкоди операційній системі, Alcatraz Locker шифрує тільки файли в каталозі %PROFILES% (зазвичай C: \ Users).

Вимагач шифрує файли, використовуючи вбудовані функції Windows (API-інтерфейс шифрування).

Згідно з повідомленням шифрувальника, єдиним способом повернути свої дані є виплата 0,3283 біткоїнів (близько $ 1 100 на момент написання статті). До слова, існування 30-денного обмеження, про який йде мова в повідомленні з вимогою грошей — ще один обман: розшифрувати свої документи можна в будь-який час, навіть через 30 днів.

CrySiS

Програма CrySiS (відома також як JohnyCryptor і Virus-Encode) відома з вересня 2015 року. Використовує сильні алгоритми шифрування AES і RSA. Також особливість полягає в тому, що вона містить список файлових розширень, зміст яких не повинен блокуватися.

Заблоковані файли виглядають наступним чином: <оригінальна-назва_пакунка> .id- <номер>. . <Розширення>.Хоча ідентифікаційний номер і адреса електронної пошти змінюються досить часто, є тільки три різних імені розширень, які, використовуються досі: .xtbl, .lock та .CrySiS.

В результаті імена зашифрованих файлів можуть виглядати так:

  • .johnycryptor@hackermail.com.xtbl

  • .systemdown@india.com.xtbl,

  • .Vegclass@aol.com.xtbl,

  • .{funa@india.com}.lock

  • {milarepa.lotos@aol.com}.CrySiS

Після блокування цих файлів програма-вимагач відображає повідомлення, розташоване нижче, яке описує спосіб повернення доступу до зашифрованих даних.

CrySiS

Globe

Дана програма, яка існує приблизно з серпня 2016 року, написана на мові Delphi і зазвичай упакована UPX. Деякі варіанти також упаковані за допомогою інсталятора Nullsoft.

В розпакованому бінарному вигляді програма являє собою глобальний інтерфейс «налаштування», в якій автор вимагача може вносити деякі зміни в її характеристики.

Так як зловмисники можуть змінювати програму, ми зіткнулися з безліччю різних варіантів створення зашифрованих файлів з різноманітними розширеннями.

Вірус блокує файли за допомогою алгоритмів RC4 або BlowFish. Коли програма-вимагач налаштована на шифрування імен файлів, вона виконує його за допомогою того ж алгоритму, який використовувався у відношенні самого файлу. Потім назва шифрується за допомогою власної реалізації кодування Base64.

Як правило, дана програма-вимагач створює файли з ім’ям «Read Me Please.hta» або «How to restore files.hta», яке відображається після входу користувача в систему.

NoobCrypt

NoobCrypt, який я відкрив влітку 2016 року, написаний на мові C# і використовує алгоритм шифрування AES256. Програма має запам графічний інтерфейс, який запам’ятовується та відображається після блокування доступу до файлів.

Даний екран з вимогою викупу – дивна суміш повідомлень. Наприклад, він вимагає виплатити певну суму в доларах Нової Зеландії (NZD), але кошти пропонує перевести на адресу в системі Bitcoin. У той же час текст з гордістю заявляє, що програма «створена в Румунії». Дивне поєднання.

Щоб розшифрувати файли, програма NoobCrypt пропонує «код розблокування», який необхідно купити. У Twitter мною були опубліковані безкоштовні ключі для видалення всіх відомих версій програми NoobCrypt. Однак визначати, який з них слід використовувати, доводилося вручну. Завдяки інструменту для дешифрування вам вже не доведеться гадати, який код потрібно застосувати.

Джерело