Дешифровщик файлов

Европол предоставил более ста бесплатных утилит для расшифровки файлов

Дешифровщик файлов

Добрый день! В связи с появлением большого числа новых шифровальщиков и возросшей угрозой утери данных хочу немного просветить народ и рассказать о проблеме и способе борьбы с данным видом угроз.

Сперва собственно об угрозе.

Вирусы-шифровальщики делятся на 3 категории:

1. Классические с хранением ключа на компьютере пользователя. Вирус шифрует данные, при этом ключ дешифровки хранится на компьютере пользователя. При вводе правильного пароля дешифрует данные и удаляется.

2. Классические с хранением ключа на удаленном компьютере. Вирус шифрует данные, при этом ключ дешифровки хранится на сервере в интернете. При оплате предоставляется ключ, вирус с помощью этого ключа дешифрует данные и удаляется.

3. Симулянты. Данные не шифруются, а необратимо повреждаются. После оплаты ничего не происходит.

По принципу работы делятся на 2 категории:

1. На уничтожение данных. В случае не оплаты вирус уничтожает все данные.

2. На публикацию данных. Помимо шифрования вирус отправляет содержимое жесткого диска на удаленный сервер. В случае не оплаты авторы вируса публикуют данные пользователя в открытый доступ.

Особым подвидом являются вирусы, которые дают на оплату очень ограниченное время и затем начинают удалять/публиковать файлы.

Самое главное здесь то, что оплата не гарантирует восстановление или не опубликование файлов… По прогнозам специалистов, данный вид вирусов станет основным трендом в вирусописании на ближайшие годы. Ожидается, что следующим ходом в вирусописании станет возможность атаки на облачные хранилища данных для исключения возможности восстановления файлов.

Теперь о защите:

Тезис о том, что “лучшая защита – это нападение” в данном случае принципиально не применим. Для отражения угрозы нужно подготовить плацдарм для отступления и последующей успешной контратаки. Давайте рассмотрим работу вируса и выделим ключевые моменты.

Этап 1::Заражение. Вирус тем или иным способом проникает на компьютер.

Анализ угрозы: Основная угроза безопасности – пользователь. Подавляющее большинство заражений – открытое письмо с вирусом, переход на взломанный сайт и т.д.

Методы защиты:

1. “Белый список” сайтов куда разрешен доступ. Желательно прописать сайты в локальный DNS-сервер.

2. “Белый список” разрешенных для запуска приложений.

Можно в редакторе реестра (запускается Win+R и ввести regedit и ОК) в ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer создать DWORD параметр RestrictRun со значением 1, затем в этой же ветке создаем раздел RestrictRun, а имена исполняемых файлов прописываем в этом же разделе в строковых параметрах в формате: имя параметра = номере по порядку (1,2,3); значение = имя исполняемого файла. В ОС Linux на отдельные диски выносятся точки монтирования /bin /usr/bin (если нестандартный софт, то добавить в этот список), а для остальных разделов ставиться флаг монтирования noexec.

3. Работа в сети через “интернет-дистрибутивы” Linux, это специально подготовленный дистрибутив, запущенный из виртуальной системы с правами “только чтение”, для обмена данными выделяется каталог реальной системы куда скачиваются файлы.

Следует отметить, что интернет-дистрибутив является DMZ-решением т.е. он не даст “закрепиться” вирусу в системе (все изменения удаляются при перезагрузке), однако если пользователь скачает файл и запустит его, то данное решение уже не спасет.

4. “Специально обученный” хомячок на шлюзе со “специально настроенной” ОС. Весь потенциально опасный траффик (прежде всего электронная почта) должны быть обработаны в DMZ.

То есть на машине запуск вирусов на которой практически невозможен, крайне желательно перекодировать потенциально опасные файлы, полученные из не доверенных или условно-не доверенных источников.

Например(!), документы WORD и PDF конвертировать в PNG, а затем из PNG собирать PDF и именно в PDF запускать в сеть. В этом случае информация останется читаемой человеком, а активное содержимое будет утеряно.

!!!Из практики видел организацию, где секретарь весь поступающий траффик печатала на принтере, потом сканировала на другой машине и уже в виде сканов отправляла в сеть. Сотрудники работали исключительно со списком из 3-4 разрешенных сайтов, флешки запрещены. О заражении чем-либо в этой организации я не слышал!!!.

5. Работа из “неизменяемой” операционной системы. Данный пункт ОЧЕНЬ объемный, поэтому за справкой отправлю в Яндекс.

НЕ НАДЕЙТЕСЬ НА АНТИВИРУС!!! Во-первых, тестирование вируса на невидимость антивирусами перед “продакшеном” является даже не классикой, а само собой разумеющейся процедурой, следовательно, в самом лучшем случае антивирус будет способен к сопротивлению через сутки-двое после “релиза” и то при поимке сигнатур вирусов. Во-вторых, “антивирус” может быть подменен. Средства объективного контроля за работой ОС и ПО не существуют и понять, что работает “заглушка” демонстрирующая интерфейс и “работу” антивируса в принципе невозможно.

НЕ ИСПОЛЬЗУЙТЕ ДЛЯ БЭКАПОВ ЖЕСТКИЙ ДИСК С КОПИРОВАНИЕМ ФАЙЛОВ ИЗ ОСНОВНОЙ ОС!!!!

Во-первых, шифровальщик может зашифровать файлы не только на компьютере, но и на съемном диске. Особенно печально если на 1 диск копируются данные с нескольких машин. Во-вторых, вирус может заразить съемный диск и вместо 1-й зараженной машины будут атакованы все где проводятся операции с этим диском.

Этап 2.1::Шифрование. Вирус шифрует или повреждает файлы.

Анализ угрозы: После успешного заражения вирус начинает шифровать или повреждать файлы. При этом отдельные шифровальщики до окончания шифрования могут выдавать незашифрованные копии файлов при обращении. Следовательно, на атакуемой системе или массово изменяются файлы или копируются. При этом вирус может скрывать свое присутствие в системе, а, следовательно, средствами ОС

Методы защиты:

1. Тест-сервер. На рабочих станциях создаются пользователи с правами “только на чтение”, рабочие каталоги открываются на доступ по паролю из сети. RO-Сервер (неизменяемый) с ОС Linux сканирует сеть (например, каждый час) и ищет изменения файлов.

Как только на рабочей станции за период сканирования изменяются больше файлов чем обычно подается тревога. Данный метод работает только на “слабые” шифровальщики т.к. зашифрованные данные могут храниться в другом месте.

Тест-сервер можно заменить на бэкап-сервер, который будет не только сканировать, но и сохранять файлы.

2. Мониторинг загруженности дисков. Совместно с первым способом 2-3 раза в день смотреть в свойствах системы сколько места занято на дисках, если загруженность дисков поползла вверх, то это признак заражения.

3. Бэкап данных. Самый эффективный способ бэкапа данных требует “в идеале” 2 флешки и 1 съемный диск, но можно обойтись и Linux-сервером в сети. “Идеальная схема” – на 1 флешку мы записываем ОС Linux, на вторую – установочник ОС Windows.

Устанавливаем ОС и делаем или классическую 2-х дисковую разметку (ОС + данные) или более продвинутую 3-х дисковую (ОС + данные + раздел под резервную ОС). После “чистой” установки устанавливаем весь нужный софт и проводим все мероприятия по защите ОС.

Получаем “эталонную систему” (которую, кстати, можно клонировать на все однотипное железо). Затем загрузившись через флешку с Linux копируем системный раздел в резервную область (если создавали) и на съемный диск.

Оставшуюся часть съемного диска или сетевой диск мы будем использовать в качестве хранения архивных копий. С установленной периодичностью запускаем тестовую синхронизацию (сравнивает файлы) через rsync и если изменились только те данные, которые должны были измениться, то запускаем основную синхронизацию.

Более продвинутые могут написать скрипты зеркалирования, сохраняющие версии файлов. Желательно хранить 2-3 еженедельные/ежемесячные копии файлов т.к. помимо вируса могут быть случайно стерты и просто важные данные.

“Ограниченный” вариант подразумевает установку Linux в дуалбут, а вместо съемника работать с сервером по протоколу синхронизации.

Этап 2.1::Загрузка файлов внешний сервер. Вирус отправляет значимые для шантажа файлы на внешний сервер.

Анализ угрозы: Для шантажа вирус может направлять файлы из локальных компьютеров. Указанные файлы (базы данных, фото и видео) могут использоваться для шантажа пользователей.

Методы защиты:

1. Шифрование файлов. Все важные данные опубликование которых может нанести Вам вред должны быть зашифрованы. В этом случае даже если эти данные и будут скопированы, то они не смогут быть использованы против Вас.

Так что для хранения таких файлов нужно использовать хотя бы зашифрованные архивы, а желательно более серьезные системы шифрования.

Однако не забывайте, что вирус может быть настроен на повреждение шифрованных данных, следовательно, бэкап никто не отменял.

2. Мониторинг исходящего трафика. Для передачи данных вирус будет использовать сеть. Следовательно, нужно мониторить объем исходящего трафика и, если он вдруг вырос, но при этом никто не заливает данные на удаленный сервер… Крайне желательно поставить шлюз перед модемом/роутером с логированием соединений. Это позволит мониторить соединения и вычислять зараженный компьютер.

Этап 3::Вымогательство. Вы получили сообщение с требованием денег.

Анализ угрозы: Если появилось сообщение, то значит Вас уже взломали и все превентивные меры успеха не принесли. Скорее всего Ваши данные необратимо испорчены и даже оплата не поможет их спасти.

Метод (единственный!!!) защиты:

1. Выключаем жёстко компьютер (выдергиванием вилки из сети или 10 секундным нажатием на кнопку питания).

2. Создаем или используем загрузочную флешку с антивирусом или просто Linux.

3. Проверяем действительно ли файлы повреждены (есть 0,01% вероятность шутки).

4. Если действительно повреждены – удаляем разделы дисков.

5. Переустанавливаем/восстанавливаем ОС и скачиваем последний бэкап.

НИ В КОЕМ СЛУЧАЕ ПЛАТИТЬ НЕЛЬЗЯ!!!

Данные вирусы пишут те, кто собирается заработать на выкупах. Не будет выкупов – не будет и вирусов.

Всем удачи.

Источник: https://pikabu.ru/story/evropol_predostavil_bolee_sta_besplatnyikh_utilit_dlya_rasshifrovki_faylov_7729810

4 бесплатных дешифратора для файлов, зараженных программой-вымогателем

Дешифровщик файлов

Подробнее о том, как расшифровать файлы бесплатно и не платить выкуп программам-вымогателям, используя утилиты Avast по удалению вирусов-шифровальщиков.

Программы-вымогатели становятся «флагманом» вредоносного ПО. За последний год мы зафиксировали рост числа атак шифрователей более чем в два раза (на 105%). Подобные вирусы блокируют доступ к файлам на компьютере, кодируя их и вымогая выкуп за предоставление кода для расшифровки.

Как расшифровать файлы бесплатно? Мы рады объявить о выпуске четырех инструментов для удаления программ-вымогателей и дешифровки файлов: Alcatraz Locker, CrySiS, Globe и NoobCrypt. Все дешифраторы для файлов доступны на нашей странице и являются бесплатными.

Там же представлено подробное описание каждого вида программ-вымогателей. Наши инструменты смогут помочь вам удалить вирус-шифровальщик и разблокировать файлы. Утилиты постоянно обновляются по мере развития перечисленных видов угроз.

С момента выпуска первого пакета из семи инструментов Avast для дешифровки нам было приятно получить множество отзывов с благодарностями и рассказами о том, как наши утилиты спасли чьи-то ценные данные или даже бизнес. Надеемся, новые программы для дешифровки помогут еще большему количеству пользователей.

Ниже приведено краткое описание четырех новых видов программ-вымогателей, для удаления которых были разработаны новые бесплатные утилиты.

Alcatraz 

Alcatraz Locker — программа-вымогатель, впервые обнаруженная в средине ноября 2018 года. Файлы, заблокированные ею, имеют расширение .Alcatraz. Когда они зашифрованы, появляется подобное сообщение, которое расположено в файле ransomed.html на рабочем столе зараженного компьютера:

В отличие от большинства видов шифрователей, программа Alcatraz не имеет заданного списка расширений файлов, на которые она нацелена. Иными словами, программа шифрует все, что может. Чтобы предотвратить нанесение ущерба операционной системе, Alcatraz Locker шифрует только файлы в каталоге %PROFILES% (обычно C:\Users).

Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования):

В тексте сообщения с требованием выкупа утверждается, что программа использует шифрование AES-256 с 128-битовым паролем.

Анализ данного вредоносного ПО показал, что это не так (применяется 128-байтовый, а не 128-битовый пароль). Однако вирус использует 160-битовый хэш (SHA1) в качестве исходного ключа для 256-битового шифрования AES.

В API-интерфейсе шифрования, который используется программой, это реализуется довольно интересным образом:

  1. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x36.
  2. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
  3. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash1).
  4. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x5C.
  5. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
  6. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash2).
  7. 160 битов Hash1 и 96 битов Hash2 объединяются.

Получившийся объединенный хэш используется в качестве исходного ключа для AES256.

После выполнения шифрования AES-256 программа-вымогатель также кодирует уже зашифрованный файл с помощью позиционной системы счисления с основанием 64 (BASE64), в результате чего зашифрованный файл приводится к типичной модели:

Согласно сообщению шифрователя, единственным способом вернуть свои данные является выплата 0,3283 биткойна (около $370 на момент написания статьи).

Но теперь вернуть доступ к файлам можно бесплатно, воспользовавшись инструментом Avast для дешифровки Alcatraz.

Существование 30-дневного ограничения, о котором идет речь в сообщении с требованием денег — еще один обман: расшифровать свои документы можно в любое время, даже спустя 30 дней.

CrySiS

Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2017 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокировке.

Заблокированные файлы выглядят следующим образом: .id-…

Хотя идентификационный номер и адрес электронной почты меняются довольно часто, есть только три различных имени расширений, которые, используются до сих пор:

.xtbl, .lock и .CrySiS.

В результате имена зашифрованных файлов могут выглядеть так:

  • .johnycryptor@hackermail.com.xtbl
  • .systemdown@india.com.xtbl,  
  • .Vegclass@aol.com.xtbl,
  • .{funa@india.com}.lock
  • {milarepa.lotos@aol.com}.CrySiS

Каждый подобный элемент содержит все данные, которые необходимы для его расшифровки.

Файлы размером менее 262 144 байта зашифровываются полностью, а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку.

Стоит отметить, что файлы, размер которых превышает 262 144 байта, шифруются лишь частично, однако и в этом случае использовать их не удастся. Такой способ работы вымогателя приводит к тому, что крупные файлы после шифрования еще больше увеличиваются в размере.

После блокировки этих файлов программа-вымогатель отображает сообщение, расположенное ниже, которое описывает способ возвращения доступа к зашифрованным данным. Это сообщение также содержится в файле под названием «Decryption instructions.txt», «Decryptions instructions.txt» или «README.txt» на рабочем столе зараженного ПК. 

Вот пара примеров сообщений программы CrySiS с требованием выкупа:

Globe

Данная программа, существующая примерно с августа 2018 года, написана на языке Delphi и обычно упакована UPX. Некоторые варианты также упакованы при помощи установщика Nullsoft:

  • bc4c0b2f6118d36f4d476db16dbd6bcc0e393f2ad08429d16efe51f3d2870d58
  • fdc8de22653ebcf4cb8f5495b103e04079b0270efa86f713715f0a81f1b2e9b0

В распакованном бинарном виде программа представляет собой глобальный интерфейс «настройки», в которой автор вымогателя может вносить некоторые изменения в ее характеристики:

  • изменять конечное имя исполняемого файла в папке %APPDATA%;
  • изменять расширение зашифрованных файлов;
  • изменять список типов файлов (расширений), которые будут зашифрованы;
  • изменять сообщение с требованием денег, имеющее формат HTML;
  • включать и выключать шифрование имен файлов;
  • включать проверку песочниц (VirtualBox, VirtualPC, Vmware, Anubis);
  • включать автозапуск вредоносной программы;
  • включать удаление вирусом точек восстановления и прочее.

Так как злоумышленники могут изменять программу, мы столкнулись со множеством различных вариантов создания зашифрованных файлов с разнообразными расширениями.

Примечательно, что программа-вымогатель имеет режим отладки, который может быть включен при помощи следующей настройки реестра:

Вирус блокирует файлы при помощи алгоритмов RC4 или BlowFish. Когда программа-вымогатель настроена на шифрование имен файлов, она выполняет его при помощи того же алгоритма, который использовался в отношении самого файла. Затем название шифруется при помощи собственной реализации кодирования Base64.

Вот несколько примеров созданных расширений, которые могут быть расшифрованы при помощи утилиты Avast:

  • .globe
  • .GSupport3
  • .siri-down@india.com
  • .zendrz
  • .decryptallfiles@india.com
  • .MK

Как правило, данная программа-вымогатель создает файлы с именем «Read Me Please.hta» или «How to restore files.hta», которое отображается после входа пользователя в систему.

Не платите вымогателям! Используйте дешифратор для файлов Globe.

NoobCrypt

NoobCrypt, который я открыл летом 2018 года, написан на языке C# и использует алгоритм шифрования AES256. Программа имеет запоминающийся графический интерфейс, который отображается после блокировки доступа к файлам.

Данный экран с требованием выкупа — странная смесь сообщений. К примеру, он требует выплатить определенную сумму в долларах Новой Зеландии (NZD), но средства предлагает перевести на адрес в системе Bitcoin. В то же время текст с гордостью заявляет, что программа «создана в Румынии». Странное сочетание.

Название «NoobCrypt» было выбрано мной на основе обнаруженных в коде сообщений и ключа для расшифровки:

Чтобы расшифровать файлы, программа NoobCrypt предлагает «код разблокировки», который необходимо купить.

В мной были опубликованы бесплатные ключи для удаления всех известных версий программы NoobCrypt (примеры: 1, 2, 3). Однако определять, какой из них следует использовать, приходилось вручную.

Благодаря нашему инструменту для дешифровки вам уже не придется гадать, какой код нужно применить.

Вскоре после публикации кодов, исследователь программ-вымогателей с сетевым именем xXToffeeXx сообщил нам о создании новой версии NoobCrypt, которая рекламировалась во множестве магазинов в сетях Darknet. Стоимость этой версии, находящейся в продаже, составляет $300.

Автор даже подготовил демонстрационное видео, демонстрирующее функции, которые представлены как новые, в том числе использование «шифрования военного уровня» и «невозможность обнаружения антивирусами (кроме AVG)», что является обманом: многие антивирусы способны обнаружить эту программу.

Как видно на снимке внизу, автор даже упоминает мое имя на экране с инструкциями по выплате денег и за что-то меня благодарит. Возможно, за то, что я дал этому набору некачественного кода соответствующее название (теперь оно используется официально).

Сегодня мы представляем инструмент для дешифровки NoobCrypt, подходящий для всех его известных версий. Процесс разблокировки теперь выглядит намного проще, чем подбор нужного кода. Теперь вам не нужно платить деньги за предоставление ключа. И тем более полагаться на расшифровку своих файлов программе-вымогателю.

Ознакомьтесь с описанием программы NoobCrypt и инструментом для дешифровки на нашем сайте.

Как не стать жертвой программы-вымогателя

Прежде всего убедитесь, что на всех ваших устройствах установлен антивирус, например Avast (даже смартфоны могут быть заражены программой-вымогателем). Антивирус сможет заблокировать программы-вымогатели еще до того, как они причинят ущерб.

Следующая составляющая собственной безопасности — рациональность и предусмотрительность. Распространители программ-вымогателей часто используют методы социальной инженерии, чтобы обманом заставлять людей скачивать вредоносное ПО.

Будьте осторожны при открытии ссылок и подозрительных вложений в почте, а также при скачивании материалов из Интернета. Убедитесь в надежности отправителя сообщения, скачивайте программное обеспечение только с доверенных сайтов.

Необходимо также выполнять регулярное и правильное резервное копирование своих данных. Храните резервные копии данных удаленно, иначе они могут также быть заблокированы вредоносным ПО.

Если вам не повезло и вы стали жертвой программ-вымогателей, попробуйте наши инструменты для дешифровки и проверьте, сможем ли мы помочь вам вернуть свои файлы!

Выражаю благодарность своим коллегам, Ладиславу Зезуле (Ladislav Zezula) и Петру Щепански (Piotr Szczepanski), за подготовку дешифраторов, а также Яромиру Горейши (aromír Hořejší)  за его анализ программы Alcatraz Locker.

Следите за нашими новостями в социальных сетях:
ВКонтакте 
 

IOCs

Alcatraz Locker

918504ede26bb9a3aa315319da4d3549d64531aa593bfad71a653292899fec

b01cfc16f9465fd67a6da91d5f346ed3f07eb76b86967758ab1089d4e6399971

b8949ae0d1a481af1cae9df5e01d508d1319b6d47329e9b42627e4e2a72a3d

be3afa19c76c2270ccac7eacf68f89603032c0588f721215e15a9d1421567969

CrySiS

04c2ca82353deeb7e007ba40de82cd4fac516bfe760c8dae1e78d568ff4f

0629ea3504e6cb577c961c6f0d37392b70b15d84b4df51a05a16d69304d8aa4d

2437e179229b7240ca2db1a7a520bc194c1ce0992c015e79cc8af611e97667f7

44c8ebd4d36950d836449df3408f6511b7256dc63c379b9835517d80a33eb8f5

47035f9e75be0a29c07c05fe54e6cacf05e18bdc5ab770efabd7f594a6b05a22

4c3f02aec4e1797f2853bb2255766cddc4edc716e8f7310909ba68676d651637

bdadaec64745f609aed3eac457046849aa6d96c1c6a2863f3c8007da6b56d1f2

e9744e8eb6c7108c74918d02810a5608082663cccd8f2708c59399089693b31e

Globe

5e714797afc35196be1f7d0bb536c2dcd4f5a18df15975ab283e353ef1f37176

6a7d674f5a587655ee22093d17a958e01131675dda73502efc0a082be6970fc5

82cdae2b1866f2c536a21ee60e1c74a6b94c12bc3b13c38be2d0c3689ce5f0c8

9727aca489a72eecacbfd00b451aaf91a56e061856a7f1989792cf9557156749

eda8b8af7b8d7d00da49f5f0a2dfa21b35ab510e4d9a625985eaef0e1d5ecbbf

f365425e42fc2fa4c0eac4a484ca9f8ef15d810de6a097ac8b071a13e803e117

NoobCrypt

571434bcc4cf4fadba142967a5ee967d907bd86adf1a380fccbb8c4c9995dd0f

8c341a114a229e75d4b4342c4288f18dc059b0c7740fc59789414c811c3a9e

974d2a36971b0f05c8a2d5b0daaee93732b78f0edeb4555aadbc1b7736ce995f

b34aac65a853b975810ef026d7ce8ed953d6b5d4c6279bda38f58eaff2fa461c

bb00898bc70469b39dfd511163b2b8a75e36d7ec4a455f0db6c6c9a26600ed

d2d2b0a4e51c185ac032cd32576ae580d885f89a23e3886a04f38424e6a17a

f5329b87967aa978cd47ec7c6332fd013062593d05d65f28a46f3106a9ad894a

Источник: https://blog.avast.com/ru/4-besplatnyh-deshifratora-dlya-fajlov-zarazhennyh-programmoj-vymogatelem

5 бесплатных программ для шифрования файлов

Дешифровщик файлов

Если раньше криптография была уделом спецслужб и научно-исследовательских институтов, то сегодня воспользоваться преимуществами продвинутых алгоритмов шифрования для защиты конфиденциальных данных может любой желающий. В этом материале мы рассмотрим 5 лучших бесплатных приложений, с помощью которых вы сможете без особого труда зашифровать необходимые файлы и папки на жестком диске вашего компьютера.

7zip

И начнем мы с популярного архиватора для Windows, имеющего ряд неофициальных реализаций для Mac OS и Linux.

Удивляться не стоит, ведь 7zip поддерживает шифрование файлов и папок с помощью одного из самых стойких криптографических алгоритмов AES с 256-битным ключом, который, в частности, рекомендован Агентством национальной безопасности США для защиты документов, составляющих государственную тайну.

Чтобы выполнить шифрование, достаточно указать пароль в соответствующем поле, после чего программа создаст архив, получить доступ к которому сможет лишь тот, кому известна кодовая фраза.

Также рекомендуем проставить галочки в чекбоксы «Удалять файлы после сжатия» и «Шифровать имена файлов» (без этой опции просмотреть содержимое архива сможет любой желающий).

К несомненным преимуществам 7zip можно отнести высокую производительность, возможность задать индивидуальный пароль для каждого зашифрованного архива и простоту использования.

Главным же его недостатком является отсутствие какой-либо автоматизации: вам придется вводить пароль каждый раз, когда вы захотите получить доступ к защищенному контейнеру, изменить один из файлов или добавить новый.

Таким образом, 7zip можно назвать «казуальным» приложением для шифрования, которое подойдет тем, кому подобный функционал необходим лишь время от времени.

Encrypto

Если вы не пользуетесь 7zip, но нуждаетесь в таком же простом и легковесном инструменте, рекомендуем обратить внимание на приложение Encrypto, разработанное компанией MacPaw для операционных систем Windows и MacOS.

После его установки в контекстном меню операционной системы появится опция Encrypt with Encrypto, с помощью которой вы сможете шифровать отдельные файлы и папки.

Подобно архиватору, утилита использует высоконадежный алгоритм AES-256, а сами ключи генерируются на основе заданного пароля.

Интересной особенностью Encrypto является возможность добавления к защищенному контейнеру подсказки, которая поможет вспомнить пароль или сообщить кодовую фразу другу с помощью понятных только вам двоим ассоциаций.

Благодаря этому вы можете использовать Encrypto для передачи зашифрованных файлов по открытым каналам (e-mail, мессенджеры, cloud-сервисы), не опасаясь, что ценная информация будет перехвачена.

GnuPG

Впрочем, существует и куда более надежное решение для обмена зашифрованными данными в Интернете, и это — GnuPG, использующая асимметричные пары ключей. Приложение доступно практически на всех операционных системах, включая Windows, Mac OS, Linux и FreeBSD.

Реализация программы для Windows получила название GPG4Win и включает в себя, помимо собственно GnuPG, удобную визуальную оболочку Kleopatra для управления ключами шифрования, менеджер сертификатов, плагин для почтового клиента Outlook и плагин для проводника операционной системы.

GnuPG создает пару ключей: открытый, который используется для шифрования данных, и закрытый, необходимый для дешифровки информации и создания электронных подписей (последние нужны для аутентификации и проверки целостности зашифрованных файлов).

Благодаря такому «разделению обязанностей» вы можете шифровать файлы на общедоступных ПК или передавать ключи любым доступным способом, не опасаясь того, что их перехватят.

Например, открытый ключ можно загрузить в облако, скопировать на рабочий компьютер, к которому имеют доступ ваши коллеги, или отправить другу по электронной почте, чтобы обмениваться с ним зашифрованными данными.

Даже если открытый ключ попадет в руки злоумышленников, для них он будет абсолютно бесполезен, ведь все, что они смогут сделать, — это зашифровать новые файлы, тогда как расшифровать существующие у них не получится. По этой причине GnuPG де-факто является золотым стандартом защиты электронной переписки, благо приложение можно с легкостью интегрировать в любой популярный почтовый клиент с помощью соответствующего плагина.

Cryptomator

В отличие от всех перечисленных выше приложений, Cryptomator использует так называемое прозрачное шифрование.

После первого запуска программа предложит вам создать защищенное хранилище, которое с точки зрения операционной системы является одновременно и директорией, и динамически расширяемым (его объем изменяется автоматически и зависит от количества свободного места, доступного в текущем логическом разделе) виртуальным диском. Данный факт обеспечивает два чрезвычайно важных преимущества:

  1. зашифрованный контейнер можно разместить внутри сетевой папки OneDrive, «Яндекс.Диск», Google Drive, DropBox или любого другого облачного сервиса и синхронизировать данные между разными устройствами;
  2. вы можете работать с защищенным разделом точно так же, как с обычным диском, создавая, редактируя и удаляя файлы и папки без необходимости каждый раз повторно вводить пароль — это потребуется сделать лишь один раз, при его разблокировке.

Cryptomator существует в нескольких версиях, в том числе и для мобильных устройств, работающих под управлением iOS и Android. Еще одной интересной особенностью приложения является ведение подробной статистики обращений к каждому защищенному хранилищу, позволяющей оценить расход трафика.

С учетом возможностей, простоты настройки и использования, Cryptomator способен стать отличным подспорьем для организации удаленного взаимодействия между сотрудниками небольшой компании, обеспечив необходимый уровень безопасности корпоративных данных.

VeraCrypt

На фоне собратьев VeraCrypt выглядит настоящей «тяжелой артиллерией». Программа предлагает своим пользователям огромное количество продвинутых функций для шифрования файлов, папок и даже целых разделов жесткого диска. Перечислим основные возможности приложения:

  • Создание зашифрованного контейнера внутри файла

VeraCrypt позволяет создать виртуальный зашифрованный раздел внутри файла любого типа, причем со стороны такой контейнер будет выглядеть как обычный текстовый документ, видеоролик или музыкальный трек.

  • Шифрование несистемных разделов

С помощью VeraCrypt можно зашифровать любой несистемный том на жестком диске, внешнем винчестере или флеш-накопителе. Также приложение позволяет создать внутри защищенного хранилища скрытый раздел, использующий собственные ключи шифрования, и, таким образом, обеспечить дополнительную защиту критически важных данных.

  • Шифрование системных разделов

VeraCrypt предлагает уникальную в своем роде функцию — возможность шифрования раздела с установленной операционной системой. Также приложение позволяет создать скрытый системный раздел с независимой копией ОС, что поможет дополнительно защитить компьютер.

Программа поддерживает сразу несколько алгоритмов шифрования: AES, Serpent, Twofish, Camelia и Kuznyechik, позволяя комбинировать перечисленные методы между собой (доступно 10 возможных комбинаций на выбор).

Помимо паролей, для ограничения доступа к защищенным контейнерам можно использовать один или несколько ключей, в роли которых могут выступать файлы любого типа (картинки, аудио- или видеозаписи, текстовые документы, архивы и т. д.), директории с их содержимым, а также токены безопасности.

Как видите, VeraCrypt предлагает исчерпывающий набор инструментов для защиты конфиденциальных данных. И, проявив достаточную смекалку, с помощью этой программы можно создать действительно надежное зашифрованное хранилище, скрытое от посторонних глаз.

Аппаратное шифрование для защиты персональных данных

При всех многочисленных достоинствах перечисленные приложения имеют и один, но весьма серьезный недостаток: каждое из них использует в своей работе сугубо программное шифрование. И вот почему это плохо:

  • криптографические ключи создаются на основе неких входных данных (кодовой фразы, координат курсора мыши и т. д.), имеющих сравнительно низкий уровень энтропии (хаотичности), что упрощает процесс взлома;
  • данные, необходимые для дешифровки, хранятся в скрытых папках операционной системы, реестре или даже в самом зашифрованном контейнере (как в случае с 7zip или Encrypto) и могут быть сравнительно легко обнаружены и скопированы удаленно или с помощью троянских программ;
  • во время шифрования все необходимые алгоритмы и ключи выгружаются в оперативную память компьютера, откуда могут быть извлечены посредством вредоносного ПО, с помощью метода «холодной перезагрузки» и других аналогичных манипуляций;
  • поскольку шифрование и дешифровка осуществляются центральным процессором ПК или ноутбука, на котором установлено криптографическое приложение, это упрощает проведение атак по сторонним каналам, основанных на анализе времени выполнения вычислений, колебаниях уровня потребления энергии и т. д.

Подобных недостатков лишены внешние накопители со встроенными криптографическими модулями — например, настольные жесткие диски My Book емкостью от 4 до 18 терабайт и ультракомпактные портативные My Passport объемом от 1 до 5 ТБ от Western Digital.

Внешний жесткий диск Western Digital My Book

Стильный дизайн, совместимость с компьютерами под управлением Microsoft Windows 8.1 и 10 или Apple macOS версии 10.13 и выше, наличие высокоскоростного порта USB 3.

2 Gen 1 с пропускной способностью 640 МБ/с — преимущества этих устройств можно перечислять бесконечно.

Однако главной их фишкой является поддержка полноценного аппаратного шифрования на базе упомянутого нами ранее алгоритма AES-256.

В комплекте с каждым экземпляром My Book и My Passport поставляется бесплатный программный пакет WD Discovery, включающий в себя ряд сервисных утилит:

Позволяет получить исчерпывающие сведения о текущем состоянии накопителя на основе показателей S.M.A.R.T., проверить жесткий диск на наличие битых секторов или, при необходимости, уничтожить сохраненные на HDD данные (при этом файлы будут несколько раз перезаписаны, чтобы их нельзя было восстановить).

С помощью этой программы вы можете настроить резервное копирование по расписанию, выгрузку бэкапов в облако (поддерживаются Google Drive и Dropbox) или, напротив, загрузку файлов из cloud-сервиса на диск или локальный компьютер. Кроме того, приложение позволяет подключиться к вашему профилю на и скачать сохраненные фото и видео прямо на внешний жесткий диск.

Эта утилита позволяет управлять шифрованием данных на внешнем жестком диске. Разберемся, как это работает.

Портативный накопитель WD My Passport и работа с WD Discovery

На первый взгляд, использование WD Security мало отличается от того же Encrypto: все, что требуется от владельца внешнего жесткого диска, — указать надежный пароль и активировать защиту, после чего вся информация на HDD будет зашифрована. В дальнейшем, чтобы использовать накопитель, его сперва нужно будет разблокировать с помощью кодовой фразы. Также можно создать список доверенных устройств, при подключении к которым внешний жесткий диск будет разблокироваться автоматически.

Однако надо понимать, что сама по себе WD Security не занимается шифрованием, а лишь предоставляет удобный визуальный интерфейс для управления встроенным в винчестер криптографическим модулем. Наличие аппаратного блока шифрования обеспечивает ряд важных преимуществ:

  • за создание ключей шифрования отвечает аппаратный генератор случайных чисел, что помогает добиться высокой степени энтропии и повысить их устойчивость к взлому;
  • криптографические ключи хранятся в энергонезависимой памяти шифратора и не выгружаются в оперативную память компьютера даже во время работы с файлами, что помогает свести к минимуму вероятность их перехвата;
  • поскольку весь процесс шифрования осуществляется собственным криптографическим модулем жесткого диска, это существенно осложняет проведение атак по сторонним каналам;
  • благодаря наличию независимого чипа, отвечающего за шифрование данных, скорость обработки файлов никак не зависит от производительности клиентского устройства.

Все вышеперечисленное позволяет практически полностью исключить вероятность хищения конфиденциальной информации и гарантировать безопасность сохраненных данных.

Источник: https://zen.yandex.ru/media/diskw/5-besplatnyh-programm-dlia-shifrovaniia-failov-5fbe32834b9b1b331ddf0271

Бесплатные средства расшифровки результатов работы программ-вымогателей | Разблокирование файлов | AVG

Дешифровщик файлов

Мы поддерживаем браузеры, а не динозавров. Обновите свой браузер, чтобы содержимое этой веб-страницы отображалось правильно.

Hit by ransomware? Don’t pay the ransom!

AES_NI is a ransomware strain that first appeared in December 2018. Since then, we’ve observed multiple variants, with different file extensions. For encrypting files, the ransomware uses AES-256 combined with RSA-2048.

Filename changes:

The ransomware adds one of the following extensions to encrypted files:
.aes_ni
.aes256
.aes_ni_0day

In each folder with at least one encrypted file, the file “!!! READ THIS – IMPORTANT !!!.txt” can be found. Additionally, the ransomware creates a key file with name similar to:[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20215267812-78.key.aes_ni_0dayin C:\ProgramData folder.

Ransom message:

The file “!!! READ THIS – IMPORTANT !!!.txt” contains the following ransom note:

+

Download AES_NI fix

Alcatraz Locker is a ransomware strain that was first observed in the middle of November 2018. For encrypting user's files, this ransomware uses AES 256 encryption combined with Base64 encoding.

Filename changes:

Encrypted files have the “.Alcatraz” extension.

Ransom message:

After encrypting your files, a similar message appears (it is located in a file “ransomed.html” in the user's desktop):

+

If Alcatraz Locker has encrypted your files, click here to download our free fix:

Download Alcatraz Locker fix

Apocalypse is a form of ransomware first spotted in June 2018. Here are the signs of infection:
Filename changes:

Apocalypse adds .encrypted, .FuckYourData, .locked, .Encryptedfile, or .SecureCrypted to the end of filenames. (e.g., Thesis.doc = Thesis.doc.locked)

Ransom message:

Opening a file with the extension .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt, or .Where_my_files.txt (e.g., Thesis.doc.How_To_Decrypt.txt) will display a variant of this message:

+

Download Apocalypse Fix Download ApocalypseVM Fix

BadBlock is a form of ransomware first spotted in May 2018. Here are the signs of infection:

Filename changes:

BadBlock does not rename your files.

Ransom message:

After encrypting your files, BadBlock displays one of these messages (from a file named Help Decrypt.html):

+ +

If BadBlock has encrypted your files, click here to download our free fix:

Download BadBlock Fix for 32-bit Windows Download BadBlock Fix for 64-bit Windows

CryptoMix (also known as CryptFile2 or Zeta) is a ransomware strain that was first spotted in March 2018. In early 2021, a new variant of CryptoMix, called CryptoShield emerged. Both variants encrypt files by using AES256 encryption with a unique encryption key downloaded from a remote server.

However, if the server is not available or if the user is not connected to the internet, the ransomware will encrypt files with a fixed key (“offline key”).

Important: The provided decryption tool only supports files encrypted using an “offline key”.

In cases where the offline key was not used to encrypt files, our tool will be unable to restore the files and no file modification will be done.
Update 2021-07-21: The decryptor was updated to also work with Mole variant.

Filename changes:

Encrypted files will have one of the following extensions: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl or .MOLE.

Ransom message:

The following files may be found on the PC after encrypting files:

+ + + + +

If CryptoMix has encrypted your files, click here to download our free fix:

Download CryptoMix Fix

CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) is a ransomware strain that has been observed since September 2017. It uses AES-256 combined with RSA-1024 asymmetric encryption.

Filename changes:

Encrypted files have many various extensions, including:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.

lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.

wallet

Ransom message:

After encrypting your files, one of the following messages appears (see below). The message is located in “Decryption instructions.txt“, “Decryptions instructions.txt“, “README.txt“, “Readme to restore your files.txt” or “HOW TO DECRYPT YOUR DATA.txt” on the user's desktop. Also, the desktop background is changed to one of the pictures below.

+ + + + + + + + + + +

If CrySiS has encrypted your files, click here to download our free fix:

Download CrySiS fix

EncrypTile is a ransomware that we first observed in November of 2018. After a half-year development, we caught a new, final version of this ransomware. It uses AES-128 encryption, using a key that is constant for a given PC and user.

Filename changes:

The ransomware adds the word “encrypTile” into a file name:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

The ransomware also creates four new files on user’s desktop. Names of these files are localized, here are their English versions:

+

Ransom message:

+ + While running, the ransomware actively prevents the user from running any tools that might potentially remove it. Refer to the blog post for more detailed instructions how to run the decryptor in case the ransomware is running on your PC.

Download EncrypTile fix

FindZip is a ransomware strain that was observed at the end of February 2021. This ransomware spreads on Mac OS X (version 10.11 or newer). The encryption is creating ZIP files – each encrypted file is a ZIP archive, containing the original document.

Filename changes:

Encrypted files will have the .crypt extension.

Ransom message:

After encrypting your files, several files are created on the user’s desktop, with name variants of: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. They are all identical, containing the following text message:

+

Special: Because AVAST decryptors are Windows applications, it is necessary to install an emulation layer on Mac (WINE, CrossOver). For more information, please, read our blog post.

If Globe has encrypted your files, click here to download our free fix:

Download FindZip fix

Gandcrab is one of the most prevalent ransomware in 2021. On 17. October 2021, Gandcrab developers released 997 keys for victims that are located in Syria. Also, in July 2021, I released master decryption keys for versions 4-5.2. This version of decryptor utilises all these keys and can decrypt files for free.

Filename changes:

The ransomware adds multiple possible extensions:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (letters are random)

Ransom message:

The ransomware also creates a text file named “GDCB-DECRYPT.txt”, “CRAB-DECRYPT.txt”, “KRAB_DECRYPT.txt”, “%RandomLetters%-DECRYPT.txt” or “%RandomLetters%-MANUAL.txt” in each folder. The content of the file is below.

+ +

Later versions of the ransomware can also set the following image to the user's desktop:

+

Download GandCrab fix

Legion is a form of ransomware first spotted in June 2018. Here are the signs of infection:

Filename changes: Legion adds a variant of ._23-06-2018-20-27-23_$f_tactics@aol.com$.legion or .$centurion_legion@aol.com$.cbf to the end of filenames. (e.g., Thesis.doc = Thesis.doc._23-06-2018-20-27-23_$f_tactics@aol.com$.legion)
Ransom message:

After encrypting your files, Legion changes your desktop wallpaper and displays a popup, this:

+

If Legion has encrypted your files, click here to download our free fix:

Download Legion Fix

SZFLocker is a form of ransomware first spotted in May 2018. Here are the signs of infection:

Filename changes:

SZFLocker adds .szf to the end of filenames. (e.g., Thesis.doc = Thesis.doc.szf)

Ransom message:

When you try to open an encrypted file, SZFLocker displays the following message (in Polish):

+

If SZFLocker has encrypted your files, click here to download our free fix:

Download SZFLocker Fix

TeslaCrypt is a form of ransomware first spotted in February 2017. Here are the signs of infection:

Filename changes:

The latest version of TeslaCrypt does not rename your files.

Ransom message:

After encrypting your files, TeslaCrypt displays a variant of the following message:

+

If TeslaCrypt has encrypted your files, click here to download our free fix:

Download TeslaCrypt Fix

Troldesh, also known as Shade or Encoder.858 is a ransomware strain that was observed since 2018. At the end of April 2021, the ransomware authors shut their business down and published decryption keys that can be used for decrypting files for free.
More information:https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Filename changes: Encrypted files will have one of these extensions: • xtbl• ytbl• breaking_bad• heisenberg• better_call_saul• los_pollos• da_vinci_code• magic_software_syndicate• windows10• windows8• no_more_ransom• tyson• crypted000007• crypted000078• rsa3072• decrypt_it• dexter
• miami_california

Ransom message:

After encrypting your files, several files are created on the user’s desktop, with name of README1.txt to README10.txt. They are in different languages, containing this text:

+

The users's desktop background is also changed and looks picture below:

+

If Troldesh has encrypted your files, click here to download our free fix:

Download Troldesh Fix

Avast рекомендует использовать
БЕСПЛАТНЫЙ браузер Chrome™.

Источник: https://www.avast.ru/ransomware-decryption-tools

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.