Come decodificare i file .locked da ransomware su Windows [chiuso]

26

Sto aiutando un amico che è un contabile e ha bloccato tutti i suoi libri a causa di questo. Ecco alcuni dettagli:

  • Indirizzo BTC dell'attaccante: %codice%
  • E-mail: %codice%
  • Esempio di nome file: %codice%
  • Nome file dell'avviso di riscatto: 1MBwkTssJkqRvXmAFcSEZ3xTD39A9rkyYA

[email protected][email protected]potrebberoaiutare("errore: file di riferimento mancanti" dopo aver trascinato e rilasciato contemporaneamente un file crittografato e non crittografato).

Anche questo thread di Bleeping Compuer non ha aiutato molto .

Il mio amico ha pagato 1 BTC ai truffatori, dopo di che non hanno inviato alcuna chiave e hanno chiesto più soldi (ovviamente). Sfortunatamente, non sono molto un crittografo, quindi cerco il tuo aiuto per decrittografare i file.

Modifica: Questo è ciò che dice Recuva ( How to restore files.hta )

UPDATE: non è stata trovata alcuna soluzione, la persona ha dovuto formattare il suo computer e perdere tutti i dati.

    
posta Oleg Belousov 05.12.2016 - 14:47
fonte

4 risposte

78

Non penso che vedrai di nuovo quei file, a meno che tu non abbia un backup.

Puoi visualizzare la cronologia delle transazioni dell'indirizzo Bitcoin che ti è stato chiesto di pagare a qui . Come puoi vedere, ci sono 303 transazioni in totale e molte di queste sono per 1 BTC.

Questo implica che lo stesso indirizzo Bitcoin sia stato dato a più vittime. Ciò a sua volta significa che è impossibile per i responsabili conoscere chi ha pagato e quale chiave di crittografia deve essere inviata. (Quindi la presunta richiesta di uno screenshot, presumo).

Quindi o sono incompetenti nella gestione del riscatto, o molto più probabilmente, non stanno ripristinando alcun file, ma semplicemente mungono le vittime con sempre più denaro. E se non stanno ripristinando alcun file, perché nemmeno preoccuparsi di crittografarli quando puoi semplicemente sovrascriverli con dati casuali?

Quindi quei file probabilmente sono andati, non importa se paghi o meno.

Modifica: ci sono alcuni punti positivi nei commenti. Potenzialmente gli screenshot potrebbero essere utilizzati come prova dei pagamenti, anche se difettosi. E anche se il pagamento non porta alla decrittografia, i file potrebbero ancora essere crittografati.

Ma anche tenendo conto di questo, a meno che non si presenti un rimedio per questa specifica versione di ransomware, è molto improbabile che tu possa ripristinare i tuoi file. La risposta di Nkals ha un ottimo collegamento con un repository di tali rimedi.

Modifica 2: questo blog di Troy Hunt segue una linea di ragionamento simile sull'estorsione e sui Bitcoin.

Modifica 3: Il recente attacco di WannaCry mi ha fatto riconsiderare questa risposta. Apparentemente WannaCry usa tre portafogli bitcoin hardcoded , ma la gente sembra ancora hanno ottenuto i file decrittati . Quindi penso che l'assunto di base di questa risposta sia sbagliato.

    
risposta data 05.12.2016 - 16:05
fonte
21

Prima linea di difesa: BACKUPS . Ripristina i file da lì. Se disponibile, ha una probabilità del 100% di successo.

Altrimenti: sperare che il ransomware non disabiliti / aggiri il servizio di copia shadow di Windows e che era attivo per cominciare. Scegli uno dei file, fai clic con il pulsante destro del mouse, Proprietà, "Versioni precedenti". Esiste una versione precedente di prima dell'attacco?

In caso contrario: sperare che i file originali siano stati semplicemente eliminati senza sovrascrivere e che non siano stati eliminati nel modo più semplice, uno alla volta; o che, se fosse accaduto, la strategia di allocazione dello spazio di Windows ha lasciato lo spazio originale inutilizzato il più a lungo possibile, piuttosto che allocare ogni nuovo file crittografato al file originale cancellato del round precedente; il che significa che è necessario che il disco sia libero per oltre il 50% dall'inizio. Esegui un file di utilità undelete (ad esempio Piriform's Recuva ).

A volte, i file che ti interessano potrebbero avere precedenti versioni eliminate prima dell'attacco ransomware. Queste versioni eliminate, sebbene non attuali, potrebbero essere preziose e non poterle vedere (sono state eliminate), il ransomware non avrebbe dovuto crittografarle.

Altrimenti: l'unica risorsa è la "buona fede" degli aggressori. Purtroppo, hai già verificato che non funziona, il che è di cattivo auspicio per le altre possibilità. È nell'interesse dei truffatori consegnare, rassicurare le loro altre vittime e talvolta anche essere in grado di farti scivolare un'infezione secondo e mungere di nuovo latte al mese. In caso contrario, è probabile che non possano (1).

Infine, le più remote speranze: mantenere il disco crittografato in un posto sicuro e reinstallarlo su un nuovo disco. Supponendo che gli aggressori fossero in buona fede e che i dati siano realmente crittografati e recuperabili, invece di essere sostituiti con un rumore casuale o irrecuperabile (2), potrebbe accadere che in una settimana, un mese o alcuni anni, sia il comando e sia il server di controllo verrà rimosso e le chiavi recuperate, oppure si verificherà un errore nella strategia di crittografia e qualcuno scriverà uno strumento di ripristino (è successo, per tre famiglie di ransomware da ... sfortunatamente, diverse). Alcuni dati potrebbero essere quindi recuperabili.

AGGIORNAMENTO 2016/12 : (Alcuni) Decrittografia di CryptoLocker 3 possibile .

(1) non è così facile scrivere un ransomware - o farlo in modo "corretto"; un approccio più semplice è quello di modificare uno esistente in modo che sia il loro account bitcoin e l'e-mail usa e getta, anziché quelli degli autori originali. Ovviamente non hanno tutta l'infrastruttura necessaria per veramente ricevere le chiavi di crittografia e restituirle alle vittime paganti - stanno solo seguendo uno schema di denaro veloce. Mungono le loro vittime per quello che possono, senza mai essere in grado di restituire loro i loro file.

(2) ad es. perché hanno utilizzato le routine di crittografia del sistema, ma hanno gestito male le chiavi o le hanno perse durante la trasmissione. O perché, vedi nota precedente, questo non è affatto il loro ransomware.

    
risposta data 05.12.2016 - 19:10
fonte
16

Europol ha una pagina web con un modulo di contatto che puoi usare per verificare se una soluzione è disponibile per il problema del tuo amico.

link

    
risposta data 05.12.2016 - 14:57
fonte
2

Non l'ho usato, ma potresti avere un po 'di fortuna con questo strumento gratuito di Trend Micro.

Sembra essere aggiornato regolarmente, quindi anche se i file non possono essere decifrati oggi potrebbero essere in grado di farlo in futuro.

    
risposta data 07.12.2016 - 11:46
fonte

Leggi altre domande sui tag