S'il apparaît sur votre ordinateur message texte, qui indique que vos fichiers sont cryptés, alors ne paniquez pas. Quels sont les symptômes du cryptage de fichiers ? L'extension habituelle devient *.vault, *.xtbl, * [email protégé] _XO101, etc. Les fichiers ne peuvent pas être ouverts - une clé est requise, qui peut être achetée en envoyant une lettre à l'adresse indiquée dans le message.
D'où avez-vous obtenu les fichiers cryptés ?
L'ordinateur a attrapé un virus qui a bloqué l'accès aux informations. Les programmes antivirus les oublient souvent, car ce programme est généralement basé sur des logiciels inoffensifs. utilitaire gratuit chiffrement. Vous supprimerez le virus lui-même assez rapidement, mais de graves problèmes peuvent survenir lors du décryptage des informations.
Le support technique de Kaspersky Lab, Dr.Web et d'autres sociétés bien connues développant des logiciels antivirus, en réponse aux demandes des utilisateurs pour décrypter les données, rapporte qu'il est impossible de le faire dans un délai acceptable. Il existe plusieurs programmes capables de récupérer le code, mais ils ne peuvent fonctionner qu'avec des virus préalablement étudiés. Si vous êtes confronté à nouvelle modification, alors les chances de rétablir l'accès à l'information sont extrêmement faibles.
Comment un virus ransomware pénètre-t-il dans un ordinateur ?
Dans 90% des cas, les utilisateurs activent eux-mêmes le virus sur leur ordinateur, ouvrant des lettres inconnues. Ensuite, un message est envoyé par e-mail avec un sujet provocateur - "Citation à comparaître", "Dette de prêt", "Notification de bureau des impôts" etc. À l'intérieur de la fausse lettre se trouve une pièce jointe, après téléchargement, le ransomware pénètre dans l'ordinateur et commence à bloquer progressivement l'accès aux fichiers.
Le cryptage ne se produit pas instantanément, les utilisateurs ont donc le temps de supprimer le virus avant que toutes les informations ne soient cryptées. Détruire script malveillant vous pouvez utiliser les utilitaires de nettoyage Dr.Web CureIt, Kaspersky Internet Sécurité et Malwarebytes Antimalware.
Méthodes de récupération de fichiers
Si la protection du système a été activée sur votre ordinateur, même après l'action d'un virus ransomware, il est possible de rétablir l'état normal des fichiers en utilisant clichés instantanés des dossiers. Les ransomwares tentent généralement de les supprimer, mais parfois ils n’y parviennent pas en raison du manque de droits d’administrateur.
Restaurer une version précédente :
Pour que les versions précédentes soient enregistrées, vous devez activer la protection du système.
Important : la protection du système doit être activée avant l'apparition du ransomware, après quoi elle ne sera plus utile.
- Ouvrez les propriétés de l'ordinateur.
- Dans le menu de gauche, sélectionnez Protection du système.
- Sélectionnez le lecteur C et cliquez sur "Configurer".
- Sélectionnez les paramètres de restauration et Versions précédentes des dossiers. Appliquez les modifications en cliquant sur "Ok".
Si vous avez suivi ces étapes avant l'apparition d'un virus de cryptage de fichiers, après avoir nettoyé votre ordinateur code malicieux vous aurez de bonnes chances de récupérer vos informations.
Utiliser des utilitaires spéciaux
Kaspersky Lab a préparé plusieurs utilitaires pour vous aider à ouvrir les fichiers cryptés après avoir supprimé le virus. Le premier décrypteur que vous devriez essayer est Kaspersky RectorDecryptor.
- Téléchargez le programme sur le site officiel de Kaspersky Lab.
- Ensuite, exécutez l'utilitaire et cliquez sur « Démarrer l'analyse ». Spécifiez le chemin d'accès à n'importe quel fichier crypté.
Si malware n'a pas modifié l'extension du fichier, alors pour le décrypter, vous devez les collecter dans dossier séparé. Si l'utilitaire est RectorDecryptor, téléchargez deux autres programmes sur le site officiel de Kaspersky : XoristDecryptor et RakhniDecryptor. 
Le dernier utilitaire de Kaspersky Lab s'appelle Ransomware Decryptor. Il permet de décrypter les fichiers après le virus CoinVault, qui n'est pas encore très répandu sur RuNet, mais qui pourrait bientôt remplacer d'autres chevaux de Troie.
Une vague d'un nouveau virus de cryptage, WannaCry (autres noms Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a déferlé sur le monde, qui crypte les documents sur un ordinateur et extorque 300 à 600 USD pour les décoder. Comment savoir si votre ordinateur est infecté ? Que faire pour éviter de devenir une victime ? Et que faire pour récupérer ?
Après avoir installé les mises à jour, vous devrez redémarrer votre ordinateur.
Comment se remettre du virus ransomware Wana Decrypt0r ?
Quand utilitaire antivirus, détecte un virus, soit elle le supprimera immédiatement, soit vous demandera si vous devez le traiter ou non ? La réponse est de traiter.
Comment récupérer des fichiers cryptés par Wana Decryptor ?
Rien de réconfortant ce moment Nous ne pouvons pas le dire. Aucun outil de décryptage de fichiers n'a encore été créé. Pour l’instant, il ne reste plus qu’à attendre que le décrypteur soit développé.
Selon Brian Krebs, un expert en sécurité informatique, à l'heure actuelle, les criminels n'ont reçu que 26 000 dollars, c'est-à-dire que seulement 58 personnes environ ont accepté de payer la rançon aux extorqueurs. Personne ne sait s'ils ont restauré leurs documents.
Comment stopper la propagation d’un virus en ligne ?
En cas de Solution WannaCry Le problème peut être le blocage du port 445 sur le pare-feu ( pare-feu), par lequel se produit l’infection.
L'attaque la plus puissante du virus Wana Decryptor a commencé hier, le 12 mai 2017, et des milliers d'ordinateurs ont été touchés dans le monde. En quelques heures, il y avait 45 000 ordinateurs infectés dans le monde, un chiffre qui augmentait chaque minute.
Le pays le plus touché était à ce jour la Russie. attaque de virus continue et maintenant les pirates tentent de s'emparer du secteur bancaire. Hier, l'attaque principale a touché les ordinateurs des utilisateurs ordinaires et le réseau du ministère russe de l'Intérieur.
Le programme crypte l'accès à divers fichiers sur votre ordinateur et vous permet d'y accéder uniquement après avoir payé avec des bitcoins. De cette façon, les pirates peuvent gagner des millions de dollars. Il n'est pas encore possible de décrypter les fichiers WNCRY, mais vous pouvez restaurer les fichiers cryptés à l'aide des programmes ShadowExplorer et PhotoRec, mais personne ne peut donner de garanties.
Ce virus ransomware est souvent appelé Wana Decryptor, cependant, il porte également d'autres noms : WanaCrypt0r, Wanna Cry ou Wana Decrypt0r. Avant cela, le virus principal avait un ransomware jeune frère Je veux pleurer et WanaCrypt0r. Plus tard, le chiffre « 0 » a été remplacé par la lettre « o » et le virus principal est devenu connu sous le nom de Wana Decrypt0r.
À la fin, le virus ajoute l'extension WNCRY au fichier crypté, parfois appelé par cette abréviation.
Comment Wana Decryptor infecte-t-il un ordinateur ?
Les ordinateurs exécutant le système d'exploitation Windows présentent une vulnérabilité dans le service SMB. Ce trou existe dans tous les systèmes d'exploitation Versions Windows 7 à Windows 10. En mars, la société a publié le correctif « MS17-010 : mise à jour de sécurité pour Windows SMB Server », mais à en juger par le nombre d'ordinateurs infectés, il est clair que beaucoup ont ignoré cette mise à jour.
À la fin de son travail, le virus Wana Decryptor tentera de supprimer toutes les copies de fichiers et autres sauvegardes du système, de sorte que si quelque chose arrive, il ne pourra pas être restauré. Pour ce faire, il demandera à l'utilisateur les droits d'administrateur, système opérateur Windows affichera un avertissement du service UAC. Si l'utilisateur refuse de fournir pleins droits, alors des copies des fichiers resteront sur l'ordinateur et l'utilisateur pourra les restaurer tout à fait gratuitement.
Comment récupérer des fichiers cryptés par Wana Decryptor et protéger votre ordinateur ?
La seule façon de récupérer des fichiers cryptés par un virus est d'utiliser les programmes ShadowExplorer et PhotoRec. Lisez le manuel de ces programmes pour savoir comment les fichiers cryptés sont restaurés.
Pour empêcher le virus ransomware WNCRY d’infecter votre ordinateur, vous devez fermer toutes les vulnérabilités du système. Pour ce faire, téléchargez la mise à jour MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.
De plus, n'oubliez pas d'installer l'antivirus Zemana Anti-malware ou Malwarebytes sur votre ordinateur, de manière payante. version complète ils veilleront à ce que des virus ransomware ne soient pas lancés.
Récemment, Internet Security Center 360 a été découvert le nouveau genre Un virus ransomware ciblant à la fois les entreprises et les particuliers dans de nombreux pays et régions. 360 a émis un avertissement d'urgence en temps opportun le 12 mai suite à la découverte pour rappeler aux utilisateurs les risques à venir. Ce ransomware se propage à grande vitesse à travers le monde. Selon des statistiques incomplètes, des dizaines de milliers d'appareils dans 99 pays ont été infectés quelques heures seulement après l'explosion, et ce ver de réseau tente toujours d'étendre son influence.
En règle générale, un virus ransomware est un programme malveillant dont l’intention est claire d’extorsion. Il crypte les fichiers de la victime à l'aide d'un algorithme cryptographique asymétrique, les rend inaccessibles et exige une rançon pour les décrypter. Si la rançon n'est pas payée, les fichiers ne pourront pas être récupérés. Cette nouvelle espèce porte le nom de code WanaCrypt0r. Ce qui le rend si mortel, c'est qu'il a utilisé l'outil de piratage "EternalBLue" qui a été volé à la NSA. Cela explique également pourquoi WanaCrypt0r a pu se propager rapidement à travers le monde et causer d'importantes pertes en très peu de temps. Après la percée du ver réseau le 12 mai, le département Core Security du 360 Internet Security Center a effectué une surveillance approfondie et une analyse approfondie. Nous pouvons désormais proposer une suite de solutions de détection, de protection et de récupération de données contre WanaCrypt0r.
360 Helios Team est une équipe de recherche et d'analyse APT (Advanced Persistent Attack) au sein du département Core Security, principalement dédiée aux enquêtes sur les attaques APT et à la réponse aux incidents de menace. Les chercheurs en sécurité ont soigneusement analysé le mécanisme des virus pour trouver la méthode la plus efficace et la plus précise pour récupérer des fichiers cryptés. Grâce à cette méthode, 360 peut devenir le premier fournisseur de sécurité à proposer un outil de récupération de données : « 360 Ransomware Infected File Recovery » pour aider ses clients à récupérer rapidement et complètement les fichiers infectés. Nous espérons que cet article vous aidera à comprendre les astuces de ce ver, ainsi que la discussion plus large sur la récupération de fichiers cryptés.
Chapitre 2 Analyse des processus de chiffrement de base
Ce ver expose le module de chiffrement en mémoire et charge directement la DLL en mémoire. La DLL exporte ensuite une fonction TaskStart qui doit être utilisée pour activer l'ensemble du processus de cryptage. La DLL accède dynamiquement système de fichiers et des fonctions API liées au chiffrement pour éviter la détection statique.
1.Étape initiale
Il utilise d'abord "SHGetFolderPathW" pour obtenir les chemins du bureau et des dossiers de fichiers. Il appellera ensuite la fonction "10004A40" pour obtenir le chemin d'accès aux bureaux et dossiers de fichiers des autres utilisateurs et appellera la fonction EncrytFolder pour chiffrer les dossiers individuellement.
Il parcourt tous les lecteurs deux fois, du pilote Z au pilote C. La première analyse consiste à exécuter tous les lecteurs. disques locaux(sauf CD-pilote). La deuxième analyse vérifie tous les périphériques de stockage mobiles et appelle la fonction EncrytFolder pour crypter les fichiers.
2. Traversée de fichiers
La fonction « EncryptFolder » est une fonction récursive qui permet de collecter des informations sur les fichiers en suivant la procédure ci-dessous :
Supprimez les chemins de fichiers ou les dossiers pendant le processus croisé :
Manger dossier intéressant avec le titre « Ce dossier protège contre le virus ransomware. Le changer réduira la protection. Lorsque vous faites cela, vous constaterez que cela correspond au dossier de protection du logiciel anti-ransomware.
Lors de l'exploration des fichiers, le ransomware collecte des informations sur les fichiers telles que la taille des fichiers, puis classe les fichiers en différents types conformément à leur prolongation, en suivant certaines règles :
Liste des types d'extension 1 :
Liste des types d'extensions 2 :
3. Priorité de cryptage
Pour chiffrer fichiers importants le plus rapidement possible, WanaCrypt0r a développé une file d'attente prioritaire complexe :
File d'attente de priorité:
I.Crypter les fichiers de type 2 qui correspondent également à la liste d'extensions 1. Si le fichier est inférieur à 0X400, la priorité de cryptage sera réduite.
II. Cryptez les fichiers de type 3 qui correspondent également à la liste d'extensions 2. Si le fichier est inférieur à 0X400, la priorité de cryptage sera réduite.
III. Cryptez les fichiers restants (moins de 0x400) et les autres fichiers.
4.Logique de cryptage
L'ensemble du processus de cryptage est effectué à l'aide de RSA et d'AES. Bien que le processus de cryptage RSA utilise Microsoft CryptAPI, le code AES est compilé de manière statique dans une DLL. Le processus de cryptage est illustré dans la figure ci-dessous :
Liste des clés utilisées :
Format de fichier après cryptage :
Veuillez noter que pendant le processus de cryptage, le ransomware sélectionnera au hasard certains fichiers à crypter à l'aide du système intégré. Clé publique RSA va proposer plusieurs fichiers que les victimes peuvent décrypter gratuitement.
Le chemin d'accès aux fichiers gratuits se trouve dans le fichier "f.wnry".
5.Remplir des nombres aléatoires
Après le cryptage, WanaCrypt0r remplira les fichiers qu'il juge importants avec nombres aléatoires jusqu'à ce qu'il détruise complètement le fichier, puis déplacez les fichiers vers un répertoire de fichiers temporaire pour les supprimer. En procédant ainsi, il est très difficile pour les outils de récupération de fichiers de récupérer des fichiers, tout en accélérant le processus de cryptage.
Les dossiers complétés doivent répondre aux exigences suivantes :
— Dans le répertoire spécifié (bureau, mon document, dossier utilisateur)
— Le fichier fait moins de 200 Mo
— L'extension du fichier est dans la liste des types d'extension 1
Logique de remplissage des fichiers :
- Si le fichier est inférieur à 0x400, il sera recouvert de nombres aléatoires de même longueur
- Si le fichier est supérieur à 0x400, le dernier 0x400 sera couvert de nombres aléatoires
- Déplacez le pointeur du fichier vers l'en-tête du fichier et définissez 0x40000 comme bloc de données pour couvrir le fichier avec des nombres aléatoires jusqu'à la fin.
6.Suppression de fichiers
WanaCrypt0r déplacera d'abord les fichiers vers un dossier temporaire pour créer un fichier temporaire, puis le supprimera de différentes manières.
Lorsqu'il parcourt les lecteurs pour chiffrer les fichiers, il créera un fichier temporaire nommé au format "$RECYCLE + incrémentation automatique + .WNCYRT" (par exemple : "D:\$RECYCLE\1.WNCRYT") sur le lecteur actuel . Surtout si le lecteur actuel est un lecteur système (tel que Driver-C), il utilisera le répertoire temporaire du système.
Par la suite, le processus exécute taskdl.exe et supprime les fichiers temporaires à un intervalle de temps fixe.
Chapitre 3 Possibilité de récupération de données
En analysant sa logique d'exécution, nous avons remarqué que ce ver écrase les fichiers répondant aux exigences spécifiées avec des nombres aléatoires ou 0x55 afin de détruire structures de fichiers et empêcher leur rétablissement. Mais cette opération n'est acceptée que pour certains fichiers ou des fichiers avec une extension spécifique. Cela signifie qu'il existe encore de nombreux fichiers qui n'ont pas été écrasés, ce qui laisse de la place à la récupération de fichiers.
Pendant le processus de suppression, le ver s'est déplacé fichiers source dans un dossier de fichiers temporaires en appelant la fonction MoveFileEx. Finalement, les fichiers temporaires sont supprimés en masse. Au cours du processus ci-dessus, les fichiers sources peuvent être modifiés, mais le fichier actuel logiciel La récupération de données sur le marché n'en est pas consciente, c'est pourquoi un certain nombre de fichiers ne peuvent pas être récupérés avec succès. La nécessité de récupérer les fichiers des victimes est presque impossible à réaliser.
Pour les autres fichiers, le ver a simplement exécuté la commande « déplacer et supprimer ». Étant donné que les processus de suppression et de déplacement de fichiers sont distincts, les deux threads entreront en concurrence, ce qui peut entraîner l'échec du déplacement de fichiers en raison des différences dans l'environnement système de l'utilisateur. En conséquence, le fichier sera supprimé directement dans localisation actuelle. Dans ce cas il y a Grande chance que le fichier peut être récupéré.
https://360totalsecurity.com/s/ransomrecovery/
Grâce à nos méthodes de récupération, un grand pourcentage de fichiers cryptés peut être parfaitement récupéré. Maintenant Version mise à jour 360 File Recovery Tool a été développé en réponse à ce besoin d'aider des dizaines de milliers de victimes à atténuer les pertes et les conséquences.
Le 14 mai, 360 est le premier fournisseur de sécurité à publier un outil de récupération de fichiers qui a sauvegardé de nombreux fichiers contre un ransomware. Ce une nouvelle version a franchi une nouvelle étape dans l'exploitation des vulnérabilités logiques de WanaCrypt0r. Il peut supprimer le virus pour prévenir une nouvelle infection. À l’aide de plusieurs algorithmes, il peut trouver des connexions cachées entre les fichiers récupérables gratuitement et les fichiers décryptés pour les clients. Ce service de récupération tout-en-un peut réduire les dommages causés par une attaque de ransomware et protéger la sécurité des données des utilisateurs.
Chapitre 4 Conclusion
Épidémie massive et propagation des vers WannaCry grâce à l'utilisation du MS17-010, ce qui le rend capable d'auto-réplication et de propagation active, en plus des fonctions d'un ransomware général. Outre la charge utile de l'attaque, la structure technique du ransomware joue le rôle le plus important dans les attaques : le ransomware crypte la clé AES à l'aide de l'algorithme cryptographique asymétrique RSA-2048. Chaque fichier est ensuite crypté à l'aide d'un algorithme AES-128 aléatoire cryptage symétrique. Cela signifie que, sur la base des calculs et méthodes existants, il est presque impossible de déchiffrer RSA-2048 et AES-128 sans clé publique ou privée. Cependant, les auteurs laissent quelques erreurs dans le processus de cryptage, ce qui garantit et augmente les possibilités de récupération. Si les actions sont effectuées assez rapidement, la plupart des données peuvent être sauvegardées.
De plus, étant donné que l’argent de la rançon est payé en Bitcoins anonymes, dont n’importe qui peut obtenir l’adresse sans véritable certification, il est impossible d’identifier l’attaquant sur plusieurs adresses, et encore moins entre différents comptes du même propriétaire d’adresse. Par conséquent, en raison de l’adoption d’un algorithme de cryptage incassable et de Bitcoins anonymes, il est fort probable que ce type d’épidémie de ransomware rentable se poursuive pendant longtemps. Tout le monde doit être prudent.
Équipe 360 Hélios
360 Helios Team est une équipe de recherche APT (Advanced Persistent Attack) dans Qihoo 360.
L'équipe se consacre à enquêter sur les attaques APT, à répondre aux incidents de menace et à étudier les chaînes industrielles de l'économie souterraine.
Depuis sa création en décembre 2014, l'équipe a intégré avec succès énorme base de données 360 données et créé une procédure rapide d'inversion et de corrélation. À ce jour, plus de 30 APT et groupes de l’économie souterraine ont été identifiés et identifiés.
360 Helios fournit également des solutions d'évaluation et de réponse aux menaces pour les entreprises.
Rapports publics
Contact
E-mail Mail: [email protégé]
Groupe WeChat : Équipe 360 Helios
Veuillez télécharger le code QR ci-dessous pour nous suivre sur WeChat !
bac à sable
barbeau drôle 18 mai 2017 à 09:52Comment récupérer des fichiers après avoir crypté le virus ransomware WannaCry
Bonjour, Habrazhiteliki. Beaucoup de choses ont été écrites sur Habré sur la façon de se protéger de WannaCry. Mais pour une raison quelconque, il n'a été expliqué nulle part comment restituer les données cryptées. Je veux combler cette lacune. Et un peu de lumière sur la façon dont nous avons fait cela dans notre entreprise « bien connue » impliquée dans la logistique. Il s’agit plutôt d’une instruction destinée à nos administrateurs de la sécurité de l’information.
Récupération après cryptage des données
Il ne s’agit pas de décryptage, mais plutôt de récupération. Et cela ne fonctionne que si activé cliché instantané dans Windows, c'est-à-dire Les données peuvent être restaurées à partir des points de restauration Windows eux-mêmes.
Pour ce faire, vous pouvez utiliser l'utilitaire ShadowExplorer - il est gratuit et vous permet de restaurer des fichiers à partir de points de récupération. Des points de restauration sont créés à chaque fois que le système est mis à jour et les anciens sont écrasés par les nouveaux. Le nombre de points dépend de l'espace alloué aux points de récupération. En moyenne, 5 à 6 d'entre eux sont stockés sur Windows moyen.
Sélectionnez un point de récupération et vous pourrez exporter des fichiers et des répertoires vers l'emplacement dont vous avez besoin :
Sélectionnez les fichiers qui ne sont pas encore cryptés et exportez-les vers l'emplacement dont vous avez besoin.
(Dans certains cas, lorsque la mise à jour est déjà terminée, ces points de récupération peuvent être écrasés alors que les fichiers n'étaient pas encore chiffrés. Il est également possible que certaines données soient déjà chiffrées dans les points de récupération, mais d'autres ne le soient pas encore. Vous il faut restaurer uniquement ce qui peut être restauré.)
C'est en principe tout ce qui est nécessaire pour une restauration lorsque cela est possible.
Important! Après avoir restauré les fichiers, vous devez effacer les points de récupération où les données étaient déjà cryptées. Il a été remarqué que c'est là que le virus se régénère après le nettoyage.
Récupérez les données, neutralisez et supprimez le virus :
1. Déconnectez votre ordinateur du réseau2. Ensuite, vous devez utiliser l'utilitaire wann_kill_v_(numéro de version) - cet utilitaire tue le processus antivirus. Les signatures virales elles-mêmes restent stockées dans le système. Nous faisons cela parce que lorsque vous apportez une clé USB à l'ordinateur qui doit être désinfecté, le virus crypte la clé USB. Il est important d'exécuter cet utilitaire avant que le virus ne pénètre dans le lecteur flash.
3. Nettoyez votre ordinateur à l'aide de DrWeb CureIt (ici, le virus lui-même est supprimé de l'ordinateur)
4. Récupérez les données dont vous avez besoin comme décrit ci-dessus « Après le cryptage des données»
5. (Seulement après la récupération des données) Détruisez les points de récupération, car c'est là que le virus se restaure après le nettoyage.
Protection du système:
Régler:
Supprimer.
6. Déployez ensuite le correctif KB4012212, fermant ainsi la vulnérabilité réseau MS17-010
7. Allumez le réseau et installez (ou mettez à jour) un logiciel antivirus.
C'est essentiellement ainsi que j'ai combattu le virus Wanna Cry.
Mots clés : WannaCry, Décryptage