Удалить locked вирус и восстановить зашифрованные файлы

Как вылечить вирус-шифровальщик

Исходя из вышенаписанного можно сделать вывод, что если страшная надпись на рабочем столе еще не появилась, а вы уже увидели первые файлы с непонятными длинными названиями из хаотичного набора различных символов, немедленно достаньте компьютер из розетки.

Именно так, грубо и бескомпромиссно. Тем самым вы остановите алгоритм работы зловреда и сможете хоть что-то спасти. К сожалению, в моем случае сотрудник этого не знал и потерял все. Твою мать…

Вишенкой на торте для меня был тот факт, что, оказывается, данный вирус без проблем шифрует все подключенные к ПК съемные носители и сетевые диски с правами доступа на запись. Именно там и были резервные копии.

Теперь о лечении. Первое, что нужно понимать: вирус лечится, но файлы так и останутся зашифрованными. Возможно, навсегда. Сам процесс лечения ничего сложного из себя не представляет.

Для этого необходимо подключить винчестер к другому компьютеру и просканировать утилитами вроде Dr.Web CureIt или Kaspersky Virus Removal Tool. Можно для надежности двумя поочередно. Если нести зараженный винт на другой комп сцыкотно, загрузитесь с Live CD.

Как правило, подобные антивирусные решения без проблем находят и удаляют шифровальщик. Но иногда они ничего не обнаруживают, поскольку вирус, сделав свою работу, может сам удалиться из системы. Такой вот сучий потрох, которые заметает все следы и затрудняет его изучение.

Предвижу вопрос, почему антивирус сразу не предотвратил проникновения нежелательно ПО на компьютер? Тогда бы и проблем не было. На мой взгляд, на данный момент антивирусы проигрывают битву с шифровальщиками и это очень печально.

К тому же, как я уже говорил, подобные вредоносные программы работают на основе легальных криптографических методов. То есть получается, что их работа как бы и не является противоправной с технической точки зрения. В этом и заключается трудность их выявления.

Постоянно выходят новые модификации, которые попадают в антивирусные базы только после заражения. Так что, увы, в этом случае 100% защиты быть не может. Только бдительное поведение при работе на ПК, но об этом чуть позже.

Как угроза проникает в систему?

Как правило, угрозы этого типа большей частью ориентированы на крупные коммерческие структуры и могут проникать на компьютеры через почтовые программы, когда какой-то сотрудник открывает якобы вложенный документ в электронной почте, представляющий собой, скажем, дополнение к какому-то договору о сотрудничестве или к плану поставок товара (коммерческие предложения с вложениями из сомнительных источников — первая стезя для вируса).


Беда в том, что вирус-шифровальщик на машине, имеющей доступ к локальной сети, способен адаптироваться и в ней, создавая собственные копии не только в сетевом окружении, но и на администраторском терминале, если на нем отсутствуют необходимые средства защиты в виде антивирусного ПО, файрвола или брэндмауэра.

Иногда такие угрозы могут проникать и в компьютерные системы рядовых пользователей, которые по большому счету интереса для злоумышленников не представляют. Происходит это в момент установки каких-то программ, загруженных с сомнительных интернет-ресурсов. Многие юзеры при старте загрузки игнорируют предупреждения антивирусной системы защиты, а в процессе инсталляции не обращают внимания на предложения установки дополнительного ПО, панелей или плагинов для браузеров, а потом, что называется, кусают локти.

Пленных не брать, незашифрованных не оставлять

В выборе файлов-«заложников» KeyPass тоже непритязателен. Если многие шифровальщики предпочитают портить документы с определенными расширениями, то этот обходит стороной только несколько папок, обозначенных в его «черном списке». Все остальное содержимое компьютера он превращает в абракадабру с расширением .KEYPASS. На самом деле он шифрует файлы не целиком, а только первые пять мегабайт в самом начале каждого из них, но легче от этого не становится.

В «обработанных» директориях зловред оставляет записку в формате .TXT, в которой его авторы на не очень грамотном английском требуют приобрести специальную программу и индивидуальный ключ для восстановления файлов. Чтобы жертва могла убедиться, что не потратит деньги впустую, ей предлагают отправить злоумышленникам от одного до трех небольших файлов, которые те обещаются расшифровать бесплатно.

Интересная особенность: если на момент начала работы зловреда компьютер по каким-то причинам не был подключен к Интернету, то KeyPass не сможет получить от командного сервера персональный ключ шифрования. Тогда он использует записанный прямо в коде программы ключ, то есть расшифровать файлы в этом случае можно без каких-либо проблем – за ключом далеко ходить не надо. В остальных случаях так легко не отделаться – несмотря на довольно простую реализацию шифрования, ошибок мошенники не допустили.

В известных нам случаях зловред действовал автоматически, однако его авторы предусмотрели возможность ручного управления. Они явно рассчитывают на то, что KeyPass можно распространять и вручную, то есть планируют использовать его для таргетированных атак. Если злоумышленник получает возможность подключиться к компьютеру жертвы удаленно и загрузить туда шифровальщик, то по нажатии специальной клавиши он может вызвать специальную форму. В ней он может поменять параметры шифрования, в том числе список папок, которые KeyPass не трогает, а также текст записки и индивидуальный ключ.

Как не бояться шифровальщиков

Поскольку программу для расшифровки файлов, попорченных вымогателем KeyPass, пока не разработали, то единственный способ от него защититься – не допустить заражения. Да и в любом случае проще сразу подстраховаться, чем потом долго и мучительно разгребать последствия – так тратится куда меньше сил и нервов. Поэтому мы рекомендуем несколько простых мер по защите от шифровальщиков, которые подходят в том числе и против KeyPass:

  • Не скачивайте неизвестные программы с сомнительных сайтов и не переходите по ссылкам, если они вызывают у вас хотя бы малейшие подозрения. Это поможет вам избежать большей части зловредов, гуляющих по Сети.
  • Обязательно делайте резервные копии важных файлов. О том, как, куда и как часто надо делать бекапы, вы можете узнать из вот этого поста.

Пользуйтесь надежным защитным решением, которое распознает и заблокирует подозрительную программу прежде, чем она сможет нанести вред вашему компьютеру. Kaspersky Internet Security, например, содержат специальный модуль для борьбы с шифровальщиками.

Касперский, eset nod32 и другие в борьбе с шифровальщиком Crusis (Dharma)

Как обычно, прошелся по форумам популярных антивирусов в поисках информации о шифровальщике, который ставит расширение .combo. Явно заметна тенденция на распространение вируса. Очень много запросов начинаются с середины августа. Сейчас вроде не видно их, но, возможно временно, либо просто изменилось расширение зашифрованных файлов.

Вот пример типичного обращения с форума Касперского.

Там же ниже комментарий модератора.

На форуме EsetNod32 давно знакомы с вирусом, который ставит расширение .combo. Как я понял, вирус не уникальный и не новый, а разновидность давно известной серии вирусов Crusis (Dharma). Вот типичное обращение с просьбой расшифровать данные:


А вот опыт одного из пользователей, который заплатил злоумышленникам и восстановил свои файлы.

Обратил внимание, что на форуме Eset много отзывов о том, что вирус проник на сервер через rdp. Похоже, это реально сильная угроза и оставлять rdp без прикрытия нельзя

Возникает только вопрос — как же все таки вирус заходит по rdp. Подбирает пароль, подключается уже с известным пользователем и паролем, либо как-то еще.

Вирус шифровальщик — что это такое

Это вредоносное (ransomware) программное обеспечение, которое шифрует данные на компьютере по очень стойкому алгоритму. Дальше приведу грубую аналогию. Представьте, что вы на вход в Windows установили пароль длиной несколько тысяч символов и забыли его. Согласитесь, вспомнить невозможно. А сколько жизней займет у вас ручной перебор?

Так и в случае с шифровальщиком, который использует легальные криптографические методы в противоправных целях. Подобные вирусы, как правило, используют асинхронное шифрование. Это значит, что используется пара ключей.

Шифруются файлы с помощью открытого ключа, а расшифровать их можно имея закрытый ключ, который есть только у мошенника. Все ключи уникальны, поскольку генерируются для каждого компьютера отдельно.

Электронный адрес вымогателя в моем случае pilotpilot088@gmail.com. Если вбить его в поиск, то становится понятен истинный масштаб трагедии. Пострадало очень много людей.

Поэтому еще раз говорю: ни в коем случае никак не изменяйте поврежденные файлы. Иначе вы потеряйте даже малейший шанс на их восстановление в дальнейшем.

Также не рекомендуется переустанавливать операционную систему и чистить временные и системные каталоги. Короче, до выяснения всех обстоятельств ничего не трогаем, дабы не усложнить себе жизнь. Хотя, казалось бы, куда уже хуже.

Попадает данная зараза на компьютер чаще всего по электронной почте с горящей темой наподобие «Срочно, руководителю. Письмо из банка» и тому подобное. Во вложении, которое может выглядеть безобидным pdf или jpg файлом и кроется враг.

Запустив его, ничего страшного, на первый взгляд, не происходит. На слабом офисном ПК пользователь может заметить некую «тормознутость». Это вирус, маскируясь под системный процесс, уже делает свое грязное дело.

На Windows 7 и выше при запуске вредителя будет постоянно появляться окно Контроля учетных записей с запросом разрешения изменений. Конечно же, неопытный пользователь со всем согласиться, тем самым подписав себе приговор.

Да, по факту вирус уже блокирует доступ к файлам и когда закончит, на рабочем столе появится надпись с предупреждением «Ваши файлы зашифрованы». В общем, это попа. Дальше начинается жесть.

Что такое вирус-шифровальщик Nlah

Nlah вирус — это это вредоносная программа, которая относится к группе вирусов-шифровальщиков. Этот вирус может поражать практически все современные версии операционных систем семейства Windows, включая Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Этот вирус использует гибридный режим шифрования и длинный RSA ключ, что практически исключает возможность подбора ключа для самостоятельной расшифровки файлов.

Вирус-шифровальщик Nlah обычно распространяется посредством взломанных программ, генераторов ключей, активаторов и рекламного ПО. Когда пользователь запускает такую программу, то происходит заражение компьютера вирусом-шифровальщиком.

Nlah использует системные каталоги для хранения собственных файлов. Чтобы запускаться автоматически при каждом запуске ОС, шифровальщик создает запись в разделе реестра Windows, который определяет список программ стартующих при включении или перезагрузке компьютера.

Чтобы определить какой ключ использовать для шифрования, Nlah вирус пытается установить сетевое соединение со своим командным сервером. На сервер вирус передает информацию о зараженном компьютере, а с него получает ключ шифрования. Кроме того командный сервер может передать вирусу дополнительные команды и модули, которые будут выполнены на компьютере жертвы.

Если обмен данными с командным сервером прошел успешно, то вирус использует полученный ключ шифрования (online key). Этот ключ уникален для каждого зараженного компьютера. Если Nlah не смог установить соединение со своим сервером, то для шифрования файлов будет использоваться фиксированный ключ (offline key). Это ключ одинаков для всех зараженных компьютеров. Более того, этот ключ может быть определен, что дает надежду жертвам вируса, в некоторых случаях, расшифровать пораженные вирусом файлы.

Nlah вирус может зашифровать все файлы на компьютере жертве, в независимости от того где они находятся. Файлы находящиеся на внутренних дисках компьютера, подключенных внешних устройствах и облачных хранилищах могут быть зашифрованы. Для вируса не важен тип файла и его содержимое, любой файл может быть зашифрован. Единственное, вирус не зашифровывает файлы находящиеся в системных каталогах Windows, а так же файлы с именем _readme.txt.

После того как файл зашифрован, он будет переименован. Вирус добавляет в конце его имени расширение .nlah. В каждом каталоге, где был зашифрован хоть один файл, вирус создаёт файл с именем «_readme.txt». Пример содержимого этого файла:

Авторы вируса сообщают что файлы жертвы зашифрованы и единственный способ их расшифровать это купить ключ и расшифровщик, то есть заплатить выкуп. Злоумышленники требуют 980 долларов, если жертва согласна оплатить выкуп в течении 72 часов, то размер выкупа снижается до 490 долларов. Преступники предлагают расшифровать один файл бесплатно и таким образом подтвердить возможно того, что жертва может вернуть все свои файлы. Конечно успешная расшифровка одного файла не дает гарантии того, что после полной оплаты выкупа, жертва получит ключ и дешифратор.

Кто такой Cryakl

Троян-шифровальщик Cryakl (Trojan-Ransom.Win32.Cryakl) известен с 2014 года — поначалу он распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями. В таких сообщениях есть что-то магическое: они волей-неволей заставляют нервничать, и по вложению может щелкнуть даже человек, который точно знает, что так лучше не делать. Позже письма стали приходить и от других инстанций — например, от ТСЖ.

Шифруя файлы на компьютере, Cryakl создает длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. Ну а потом он меняет обои на рабочем столе, помещая туда информацию для связи с создателями вымогателя и требование выкупа. К этому всему Cryakl добавляет маску киношного злодея Фантомаса, за что и получил свое второе имя — «Фантомас». Подробнее об этом зловреде вы можете прочитать здесь.

История успеха


Как мы уже говорили, добыть ключи удалось благодаря сотрудничеству наших экспертов и бельгийской полиции. Расследование началось с того, что отдел по борьбе с компьютерными преступлениями узнал о жертвах вымогателя среди граждан своей страны, а потом обнаружил командный сервер в одном из соседних государств. Операция под руководством федерального прокурора позволила обезвредить этот и несколько других командных серверов, на которые зараженные машины отправляли ключи.

Тогда в дело вступили специалисты «Лаборатории Касперского», которые уже не первый раз помогают правоохранительным органам. Вот и сейчас сотрудничество дало хорошие результаты: наши эксперты помогли проанализировать найденные данные и извлечь ключи для дешифровки.

Ключи уже добавлены в дешифратор RakhniDecryptor, доступный на сайте No More Ransom, а федеральная полиция Бельгии отныне является официальным партнером проекта. Этот проект, действующий с июля 2016 года, помог бесплатно расшифровать файлы, приведенные в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли.

Как расшифровать файлы, зашифрованные Cryakl

На сайте No More Ransom есть две утилиты для расшифровки файлов, поврежденных Cryakl. Одна предназначена для старых версий Cryakl и существует аж с 2016 года — ее зовут RannohDecryptor. Скачать ее можно на , а прочитать, что нужно делать для расшифровки, — .

Вторую утилиту, RakhniDecryptor, мы обновили только что, добавив в нее ключи с сервера, полученного бельгийской полицией. Скачать ее можно там же, а принцип ее работы изложен . RakhniDecryptor нужен для расшифровки файлов, поврежденных новыми версиями Cryakl. Если не одна, то другая утилита точно позволят вам восстановить файлы, по которым прошелся Cryakl.

Как обезопасить себя в будущем?

Когда имеешь дело с шифровальщиками, профилактика значительно дешевле и проще лечения. То есть лучше сначала защищаться и в ус не дуть, чем пытаться потом разобраться, как восстановить файлы. У нас есть несколько советов, как защитить их превентивно:

  • Всегда сохраняйте копии важных файлов где-нибудь еще: в облаке, на другом диске, на флешке или на другом компьютере. Подробнее о разных возможностях резервного копирования можно почитать здесь.
  • Во-вторых, используйте надежный антивирус. Некоторые защитные решения, например Kaspersky Total Security, могут помочь и с резервным копированием файлов.
  • В-третьих, не скачивайте программы из подозрительных источников. Их установщики могут содержать то, что вы совсем не планировали ставить на свой компьютер.
  • Наконец, не открывайте вложения из писем от незнакомых адресатов, даже если эти письма выглядят очень важными и убедительными. Если есть сомнения, лучше позвоните по телефону, указанному на официальном сайте организации.

Norton Security Premium

Помня о Norton Ghost, ставшем эталоном бэкапа еще в девяностых, легко было спрогнозировать появление подобной функциональности в антивирусе от Symantec. Удивительно, что прошло два десятка лет, прежде чем это очевидное решение стало востребованным. Не было бы счастья, да несчастье помогло.

При попытке скопировать каталог с образцами ransomware NSP определил и поместил в карантин 12 из 15 угроз.

Частичный детект в NSP

Все три оставшихся файла распознаются как вредоносные при анализе на VirusTotal, в том числе два из них — антивирусом от Symantec. Просто настройки по умолчанию сделаны так, что NSP не проверяет при копировании некоторые файлы. Выполняем принудительное сканирование… и NSP обнаруживает еще два трояна в том же каталоге.

Реванш NSP

Как и предыдущие антивирусы, NSP оставляет троян-даунлоадер в переименованном архиве ZIP. При попытке запустить файл .scr из архива NSP блокирует запуск распакованной копии трояна из временного каталога текущего пользователя. При этом сам архив никак не обрабатывается.

NSP блокирует запуск трояна, но игнорирует зараженный архив

Архив считается чистым даже при его повторном сканировании сразу после того, как был обнаружен распакованный из него троян. Особенно забавно выглядит надпись: «Если, по вашему мнению, еще остались угрозы, нажмите здесь». При клике по ней происходит обновление баз (или не происходит, если они и так свежие).

Epic fail

Удивительно, что некоторые из старых образцов ransomware до сих пор детектируются NSP только эвристическим анализатором и средствами облачной проверки. Похоже, вирусологам Symantec лень поддерживать базы в актуальном состоянии. Их антивирус просто блокирует все подозрительное и ждет реакции пользователя.


Второй этап тестирования проходил традиционно. Мы создали резервные копии файлов из каталога «Мои документы», а затем попытались их зашифровать.

Менеджер резервных копий в NSP сначала порадовал своей логичностью. Он использует классический принцип «Что? Где? Когда?», знакомый еще с досовских времен. Однако в современной версии его омрачает излишняя абстрактность. Вместо прямого перечисления объектов с полными путями и файлов по расширениям используется их виртуальное расположение и условная группировка по типам. Остается догадываться, какие файлы NSP сочтет относящимися к финансовой информации, а какие просто поместит в раздел «Другие».

NSP сам решит, что забэкапитьБолванки н-н-нада?

С другой стороны, пользователям NSP предоставляется под бэкапы 25 Гбайт в облаке. Чтобы загружать резервные копии туда, достаточно выбрать в качестве целевого расположения «Безопасное сетевое хранилище».

Бэкап в облако на 25 Гбайт

Создав локальный бэкап, мы запустили программу, имитирующую действия трояна-шифровальщика. NSP никак не воспрепятствовал ей и позволил зашифровать файлы.

Удобное восстановление в NSP

Их восстановление из резервной копии прошло быстрее и удобнее, чем в Dr.Web SS. Достаточно было подтвердить перезапись, и файлы в исходном виде сразу оказались на прежних местах.

NSP восстановил файлы 

Резюме файла XTBL

Эти файлы XTBL можно просматривать с помощью семь существующего (-их) прикладных (-ого) программных (-ого) средств (-а), как правило, AVG Antivirus, разработанного AVG Technologies. Оно связано с два основным (-и) типом (-ами) файла (-ов), но часто встречается в формате XTBL Ransomware Encrypted File. Расширение файла XTBL указано преимущественно в категории Encrypted Files. В менее распространенных приложениях они также могут откноситься к Game Files.

Файлы XTBL были обнаружены на платформах Windows, Mac и Android. Они подходят для настольных ПК (и мобильных устройств). Рейтинг популярности файлов XTBL составляет «Низкий», что означает, что данные файлы встречаются редко.

Описание вируса шифровальщика Crusis (Dharma)

Дальше началось расследование. Зашифрованные файлы получили расширение .combo. Их было очень много. Шифровальщик начал работать поздно вечером, примерно в 23 часа. Повезло — бэкап пострадавших дисков как раз был завершен к этому времени. Данные потеряны не были вообще, так как успели забэкапиться в конце рабочего дня. Я сразу же начал восстановление из бэкапа, который лежит на отдельном сервере без доступа по smb.

За ночь вирус успел зашифровать примерно 400 Гб данных на сетевых дисках. Банальное удаление всех зашифрованных файлов с расширением combo заняло продолжительное время. Я сначала хотел удалить их все разом, но когда только подсчет этих файлов длился уже 15 минут, я понял, что дело бесполезное в данный момент времени. Вместо этого стал накатывать актуальные данные, а почистил диски от зашифрованных файлов уже после.

После того, как запустил восстановление зашифрованных файлов, появилось время спокойно разобраться в ситуации и повнимательнее посмотреть на вирус-шифровальщик Crusis (Dharma). Тут меня ждали сюрпризы и удивления. Источником заражения стала виртуальная машина с Windows 7 с проброшенным rdp портом через резервный канал. Порт был не стандартный — 33333. Думаю, это была основная ошибка, использовать такой порт. Он хоть и не стандартный, но очень популярный. Конечно, лучше вообще не пробрасывать rdp, но в данном случае это было действительно необходимо. К слову, сейчас, вместо этой виртуалки, используется тоже виртуальная машина с CentOS 7, у нее в докере запущен контейнер с xfce и браузером. Ну и доступов у этой виртуалки никуда нет, только куда нужно.

Что пугает во всей этой истории. Виртуальная машина была с обновлениями. Шифровальщик начал работу в конце августа. Когда было сделано заражение машины, точно уже не установить. Вирус много чего подтер в самой виртуалке. Обновления на эту систему ставились в мае. То есть каких-то старых открытых дырок на ней быть не должно. Я теперь вообще не знаю, как оставлять rdp порт доступным из интернета. Слишком много кейсов, где это действительно нужно. Например, терминальный сервер на арендованном железе. Не будешь же к каждому серверу арендовать еще и шлюз для vpn.

Теперь ближе к делу и самому шифровальщику. У виртуальной машины был отключен сетевой интерфейс, после этого запустил ее. Меня встретила стандартная табличка, какую я уже много раз видел у других шифровальщиков.

На рабочем столе были 2 текстовых файла с именами FILES ENCRYPTED.TXT следующего содержания:

Любопытно, что изменились права на директорию Рабочий стол. У пользователя не было прав на запись. Видимо, вирус сделал это, чтобы пользователь случайно не удалил информацию в текстовых файлах с рабочего стола. Там же на рабочем столе была директория troy, в которой был сам вирус — файл l20VHC_playload.exe.


С этим читают