Восстановление файлов после вируса шифровальщика

Вирусов-шифровальщиков в природе существует великое множество. Каждый реализует свой подход по повреждению пользовательских данных, действует по своему сценарию. И ввиду того, что объёмы пользовательских данных зачастую немаленькие а вирусу надо действовать быстро, чтобы успеть повредить побольше, не нагружая систему и не занимая ресурсов, появляются возможности для восстановления информации «малой кровью». То есть далеко не всегда надо стремиться заплатить вымогателям, и нередко в нашей лаборатории удаётся решить задачу и вернуть пользователям неповреждённые файлы без многотысячного долларового выкупа мошенникам.

Обратился в нашу лабораторию заказчик из г. Кирова, чей диск был заражён вирусом-шифровальщиком, в результате все файлы в нескольких несистемных каталогах, типа «Фото» и «Учёба» стали выглядеть таким образом:

С расширением «tae8iush». К слову, расширение может быть произвольно другим. Файл «RECOVERY.hta», с требованием выкупа злоумышленникам, является исполняемым, автоматически запускается через приложение mshta.exe (Microsoft HTML Application Host) и содержит HTML код, включающий стили, base64 гифку и текст:

Все ваши файлы были зашифрованы из-за проблемы безопасности с вашим ПК.
Если вы хотите их восстановить, напишите нам по электронной почте antal33house@tfwno.gf
Также пишите нам на резервную электронную почту: antal33house@dnmx.org

Беглое изучение вопроса выявило, что при выгрузке файла на сторонний носитель, полученный файл имеет ожидаемый размер, но содержимое 00h:

Проведя анализ MFT записей, удалось выявить причину такого содержимого файла:

Как видно, все MFT записи «заражённых» файлов ссылаются на один и тот же произвольный адрес LBA, с разницей только в размере адресуемой области. И, кстати, если бы по этому самому 409 599 997 LBA адресу были бы какие либо данные, например видео, то вместо нулей был бы «белый шум», выглядящий вполне как шифрование. Просмотр самих записей локализовал проблему и дал понимание алгоритма работы вируса:

«Вирус-шифровальщик», или правильнее в данном конкретном случае назвать его «вирус-вымогатель», не произвёл фактического шифрования файлов, а внёс изменения в MFT записи в области DATA RUNS — Run Header и Clusters length. Ну и модифицировал имя и расширение файла, дополнительно. Для того, чтобы вернуть нужные пользователю файлы обратно, нами было предложено два пути решения: подешевле и побыстрее, и подороже и подольше.

Первый вариант заключается в создании логической абстракции по алгоритму «Все занятые на основе анализа bitmap сектора, минус сектора, занятые немодифицированными файлами», с дальнейшим анализом полученной абстракции путём нахождения известных сигнатур файлов. Так называемое RAW, или «черновое восстановление». Но не обычное, а с контролем целостности поддерживаемых типов файлов. По итогу выполнения этого типа работ, восстановление файлов заражённых вирусом шифровальщиком получается без структуры каталогов и оригинальных имён файлов.

Второй вариант заключается в создании посекторной копии диска, написании и отладке на этой копии исполняемого скрипта к 010Editor, который проведёт обратную модификацию MFT записей, по итогу чего восстановление файлов заражённых вирусом вымогателем получится полным, с оригинальными именами и структурой папок и подпапок.

Восстановление файлов после вируса шифровальщика BlackBit

Из Севастополя прислали SSD диск, заражённый вирусом «Black Bit». Всё по-классике, изменение имён файлов и их расширений на подобное «[WoundedOwl@onionmail.org][SystemID]FileName.BlackBit», зловещие сообщения вида:

Замена метки тома на «Locked by BlackBit»:

И в каждой папке файл с именем «Restore-My-Files.txt» и содержимым:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: WoundedOwl@onionmail.org
You can also contact us in Telegram: @WoundedOwl
In case of no answer in 24h, send e-mail to this address: WoundedOwl@cyberfear.com
All your files will be lost on DATE.
Do not go to recovery companies or contact third parties, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
Your SYSTEM ID : ХХХХХХХ

Что в переводе звучит как:

!!!Все ваши файлы зашифрованы!!!
Не обращайтесь в компании по восстановлению и не связывайтесь с третьими лицами, они всего лишь посредники, которые заработают на вас деньги и обманут вас.
Они тайком договариваются с нами, покупают софт для расшифровки и продают вам в разы дороже или просто вас разводят.

Прочитав такие возмутительные инсинуации, моя реакция могла быть только одна:

Получив от заказчика оплату работ по предварительному анализу, начал изучать вопрос. В данном случае таблица размещения файлов изменениям не подвергалась, если не считать переименования файлов и их расширений. Первые сектора файлов представляют собой типичный для шифрования или иных модификаций, типа наложения XOR маски, «белый шум».

Однако, дальше выяснилось интересное. Все более-менее большие файлы были модифицированы не полностью, а только по 0x00040000h смещение, что равняется 512-ти секторам по 512 байт каждый. На примере файла-лога XML граница прекрасно различима визуально.

Дальнейшее изучение структуры данных в области метафайлов показало наличие любопытного файлика «Cpriv.BlackBit»:

С уникальным для тома диска содержимым, похожим на публичный ключ шифрования (public key), но в действительности являющийся маской XOR, которая накладывается на сектор для эмуляции его шифрования:

Собственно, уже на этом этапе стал понятен алгоритм работы вируса и нарисовались пути решения проблемы. При заражении вирус помещает в корень диска файл с ксор-маской, которая для быстроты работы вируса накладывается на первые 512 секторов файлов, попутно их переименовывая и помещая в каждый каталог файл с требованием выкупа.

Поскольку заказчику необходимо было срочно восстановить повреждённый вирусом шифровальщиком файл базы данных 1С, вся работа по восстановлению бухгалтерии заняла несколько минут и заключалась в обратном переименовании файла «1Cv8.1CD» и замене его повреждённого заголовка на неповреждённый, взятый из старого бэкапа.

Для восстановления остальных файлов потребовалось гораздо больше времени. Первым делом был сделан полный клон диска и все дальнейшие работы проводились уже на этой копии. Дальше был написан скрипт, который расксоривает начальные сектора и переименовывает файлы обратно.

Восстановление информации после вируса вымогателя Faust (Phobos)

Очередная заявка на восстановления в виде пары SSD дисков из Пятигорска. Из-за криворуких системных администраторов злоумышленники воспользовавшись RDP доступом к ПК заразили все файлы шифровальщиком, который изменил расширение заражённых файлов на *.faust

Тут вирус «фауст» поработал изобретательнее. Мелкие файлы зашифрованы полностью, а вот с большими дело хуже. По привычному 0х40000h смещению нули,

и к каждому файлу дописано примерно одинаковое количество секторов в конец файла в виде отдельного фрагмента заполненного «белым шумом» с адресацией на кластеры в общем массиве в начале LBA пространства диска:

Размер дописанного «хвоста» превышает занулённый заголовок в 4 раза. При наличии типовых неуникальных заголовков восстановление пользовательских данных после заражения вирусом «faust» большого труда не представляет и все 1С базы данных пользователя были нами успешно восстановлены.