Κλειδώθηκαν τα αρχεία μου απο Ransomware
Στην σελίδα αυτή θα γίνει αναφορά για τις επιθέσεις Ransomware, την προστασία απο αυτές και για την υπηρεσία όπου γίνεται αποκρυπτογράφηση σε κρυπτογραφημένα αρχεία Ransomware, δηλαδή ανάκτησης κλειδωμένων (κρυπτογραφημένων) αρχείων απο κάποιον ιό που προσέβαλε τον υπολογιστή σας και κλείδωσε τα αρχεία σας.
Η υπηρεσία επαναφοράς κλειδωμένων αρχείων απο Ransomware σας ενδιαφέρει αν υπάρχουν τα παρακάτω συμπτώματα:
- Ένας ιός κλείδωσε τα αρχεία μου
- Κρυπτογράφηση αρχείων απο Ransomware ιούς
- Πώς να επαναφέρω κρυπτογραφημένα αρχεία απο Ransomware
- Κόλλησα Ransomware και ζητάει λύτρα
- Τα αρχεία μου δεν ανοίγουν! Πώς τα ξεκλειδώνω
- Άλλαξε η κατάληξη των αρχείων μου και δεν ανοίγουν
Πώς λειτουργεί ένα Ransomware στον υπολογιστή σας;
Ο υπολογιστής σας προσβάλλεται και μολύνεται απο κάποιον ιο μέσω του ανοίγματος κάποιου παραπλανητικού email το οποίο σας στέλνει σε κάποιο σύνδεσμος ή σας παραπέμπει να ανοίξετε ένα αρχείο (πακέτο απο μεταφορική εταιρία, κάποιο Invoice η οποιοδήποτε συννημένο αρχείο). Μόλις ανοίξετε το αρχείο αυτό ξεκινά να εκτελείται ο ιός, ο οποίος αρκετές φορές δεν ανιχνεύεται απο τα γνωστά αντιβιοτικά διότι χρησιμοποιεί διαδικασία κρυπτογράφησης, η οποία ειναι λειτουργία που εμπεριέχεται στο λειτουργικό σας σύστημα, με αποτέλεσμα να μην ανιχνεύεται ώς ύποπτη δραστηριότητα.
Ο ιός κρυπτογραφεί τα δεδομένα με κρυπτογράφηση υψηλής ασφάλειας AES256 και στέλνει το κλειδί κρυπτογράφησης στον άνθρωπο που κατασκεύασε τον ιό. Η διαδικασία της κρυπτογράφησης μπορεί να πάρει απο μερικά λεπτά έως και αρκετές ωρες. Συνήθως δεν καταλαβαίνετε κάτι. Το μόνο που μπορεί να σας προβληματίσει είναι οτι ο υπολογιστής σας είναι αργός (καθώς ο ιός χρησιμοποιεί για την κρυπτογράφηση αρκετούς πόρους του συστήματος).
Το αποτέλεσμα είναι τα αρχεία να γίνονται μη-λειτουργικά, με περίεργες επεκτάσεις και είναι αδύνατον να ανοίξουν.
Αξίζει να σημειωθεί, πως ο ιός στοχεύει σε όλους τους τοπικούς δίσκους του υπολογιστή, καθώς και σε όλους τους εξωτερικούς που μπορεί να είναι συνδεδεμένοι εκείνη τη στιγμή στο μηχάνημα που έχει προσβληθεί και βέβαια τους δικτυακούς δίσκους στους οποίους έχει πρόσβαση εγγραφής. Επηρεάζει όλους τους αποθηκευτικούς χώρους που έχουν ενεργό γράμμα δίσκου (C:, D:, E: και όλα τα Volumes).
Τέλος ο ιός σας εμφανίζει ένα σημείωμα ηλεκτρονικά, το οποίο σας ζητάει λύτρα τα οποία είναι πληρωταία σε bitcoins και ώς εκ τούτου δεν μπορεί κανείς να βρεί που καταλήγουν τα χρήματα που στέλνετε.
Παράδειγμα Εικόνας απο Ransomware DMA Locker 4.0
Αν πληρώσω τα λύτρα θα πάρω σίγουρα τα αρχεία μου;
Η απάντηση είναι όχι και σας συμβουλεύουμε να μην ενεργήσετε πληρώνοντας τα λύτρα καθώς ενισχύεται και την εγκληματική αυτή ενέργεια. Δεν υπάρχει καμία εγγύηση ότι οι δράστες θα παραχωρήσουν το κλειδί για την αποκρυπτογράφηση. Μπορεί απλά να κάνετε τη διαδικασία και να στέιλετε τα χρήματα και απλά να μην λάβετε απο το δράστη καμία απάντηση.
Αυτό που μπορείτε να κάνετε είναι να αποσυνδέσετε το σκληρό δίσκο του οποίου τα αρχεία έχουν κρυπτογραφηθεί και να μας τον παραδώσετε για να δούμε αν μπορούμε να αποκρυπτογραφήσουμε τα αρχεία σας ή να βρούμε εκδόσεις των αρχείων σας παλαιότερες, αναλόγως του πόσο έχει προχωρήσει η έρευνα.
Είναι πολύ σημαντικό να κρατήσετε τα εξής:
- Ένα ακριβές αντίγραφο του δίσκου που κρυπτογραφήθηκε, ώστε αν δεν έχει βρεθεί ακόμα η λύση, όταν αυτό θα γίνει, να μπορείτε να ξεκλειδώσετε τα αρχεία σας. Οι έρευνες στο εργαστήριο της TicTac Data Recovery και γενικότερα σε όλη την παγκόσμια κοινότητα, προχωράνε αργά και σταθερά και δίνουν λύσεις για παλαιότερες εκδόσεις των ιών.
- Σε ένα usb flash, κρατήστε 5 κρυπτογραφημένα αρχεία καθώς και το σημείωμα που έχει αφήσει ο δράστης για να ζητήσει τα λύτρα
Δείτε στο τέλος πώς μπορούμε να βοηθήσουμε.
Καταλήξεις κρυπτογραφημένων αρχείων απο Ransomware
Αν στο σύστημα σας βρείτε τις καταλήξεις (επεκτάσεις) αρχείων οι οποίες φαίνονται παρακάτω, είναι πολύ πιθανόν οτι έχετε προσβληθεί απο Ransomware και τα αρχεία σας είναι κλειδωμένα. Δείτε στο τελος οδηγείες για το πώς θα μπορούσαμε να βοηθήσουμε.
- *.*AES256
- *.*cry
- *.*crypto
- *.*darkness
- *.*enc*
- *.*kb15
- *.*kraken
- *.*locked
- *.*nochance
- *.*oshit
- *.*exx
- *.cerber
- *@gmail_com_*
- *@india.com*
- *cpyt*
- *crypt*
- *decipher*
- *install_tor*.*
- *keemail.me*
- *qq_com*
- *ukr.net*
- *restore_fi*.*
- *help_restore*.*
- *how_to_recover*.*
- *.ecc
- *.exx
- *.ezz
- *.frtrss
- *.vault
- *want your files back.*
- confirmation.key
- enc_files.txt
- last_chance.txt
- message.txt
- recovery_file.txt
- recovery_key.txt
- vault.hta
- vault.key
- vault.txt
- *.aaa
- *help_your_files*.*
- *.zzzzz
- *-INSTRUCTION.html
Γιατί δεν μπορώ να ανοίξω τα αρχεία μου; Δεν βρίσκονται στον υπολογιστή μου;
Δείτε παρακάτω πώς λειτουργεί συνοπτικά ένα Ransomware για άλλη μια φορά.
- Ο υπολογιστής μετά την ενεργοποίηση του απο κάποια εκτέλεση συννημένου αρχείου απο email ή το κλικ κάποιου link απο email εγκαθίσταται στον υπολογιστή σας χωρίς να ζητήσει την συγκατάθεση σας.
- Το κακόβουλο λογισμικό (Ransomware) επικοινωνεί με κάποιον εξωτερικό server και ζητάει ένα Public RSA Key. Το public RSA key μπορεί να κάνει την κρυπρογράφηση αλλά δεν μπορεί αποκρυπτογραφήσει.
- Μετά το Ransomware δημιουργεί ένα AES Key, είτε ένα για όλα τα αρχεία, είτε διαφορετικό για κάθε αρχείο και εκκινεί την κρυπτογράφηση AES. Τα αρχικά αρχεία διαγράφονται απο το δίσκο σας και μένουν μόνο οι κρυπτογραφημένες εκδόσεις τους.
- Το AES Key κρυπτογραφείται στη συνέχεια και αυτό με το Public RSA Key και αποθηκεύεται ένα άγνωστο σημείο μέσα στο κρυπτογραφημένου αντίγραφο του αρχικού πρωτότυπου αρχείου.
- Κατόπιν τούτου βγαίνει μια οθόνη η οποία σας ενημερώνει για το τι ακριβώς εχει συμβεί και σας δίνει κάποια links και οδηγείες για το πώς θα στείλετε τα λύτρα ώστε να αποκρυπτογραφήσετε τα αρχεία σας έναντι χρηματικού ποσού σε Bitcoin.
Δυστυχώς αν δεν διαθέτετε το Private RSA Key από τον υπολογιστή (server) στον οποίο δημιουργήθηκε δεν ειναι δύνατον να αποκρυπτογραφηθούν τα υπόλοιπα AES Keys και ώς εκ τούτου είναι αδύνατον να αποκρυπτογραφηθούν τα αρχεία σας.
Τι λύσεις υπάρχουν και πώς μπορούμε να σας βοηθήσουμε;
Δυστυχώς τα ποσοστά επιτυχίας είναι χαμηλά, παρ’ όλα αυτά η λογική για να γίνει επαναφορά αρχείων απο κρυπτογραφημένο υπολογιστή απο Ransomware είναι η παρακάτω:
Η αποκρυπτογράφηση των δεδομένων που έχουν προσβληθεί από ιό Ransomware για τον οποίο δεν έχει βρεθεί κάποια λύση είναι με το να βρούμε τα Private RSA Keys και υπάρχουν δύο δυνατές λύσεις για αυτό:
- Να πληρωθούν τα λύτρα και να ελπίζουμε οτι ο επιτιθέμενος χρήστης θα τα παραλάβει και θα μας στείλει τα κλειδιά που χρειαζόμαστε. Όπως αναφέραμε όμως το αποτέλεσμα δεν είναι εγγυημένο (με αρκετούς ανθρώπους να έχουν χάσει τεράστια ποσά προσπαθώντας) ενώ παράλληλα η ενέργεια αυτή εντίνει την εξάπλωση του προβλήματος καθώς δημιουργούνται συνεχώς νέοι παρόμοιοι ιοί και διακινούνται τεράστια ποσά.
- Να απευθυνθείτε σε κάποια εξειδικευμένη εταιρία, όπως η TicTac Data Recovery, να ελέγξουμε εάν είναι εφικτή η ανάκτηση και εάν όχι να περιμένετε να βρεθεί κάποια λύση για την περίπτωση σας. Φυσικά δεν υπάρχει εγγύηση οτι μια λύση για τον ιό που σας κρυτογράφησε τα αρχεία, θα έρθει ή θα έρθει σύντομα. Γίνονται παγκόσμια σημαντικές προσπάθειες παρ’ όλα αυτά.
Σε ποιές εκδόσεις των Ransomware υπάρχει λύση;
Στη TicTac Data Recovery έχουμε συμβάλλει στην εξεύρεση αδυναμιών στον κώδικα κάποιων Ransomware και έχουμε φέρει εις πέρας αρκετά περιστατικά απο ιούς που κυκλοφορούν. Αυτή τη στιγμή είναι δυνατή η αποκρυπτογράφηση των παρακάτω καταλήξεων υπάρχουν μηχανικοί λογισμικού οι οποίοι έχουν συμβάλλει στην εξεύρεση τρωτών σημείων σε πολλούς από τους ιούς που κυκλοφορούν, με αποτέλεσμα να είναι δυνατή η αποκρυπτογράφηση των δεδομένων απο κρυπτογραφημένα αρχέια .mp3 / .xxx / .tesla / .micro / .ecc.
Ηδη είμαστε σε θέση να αποκρυπτογραφήσουμε σε πολλές περιπτώσεις των ιών:
- Globe3
- Derialock
- PHP Ransomware
- WildFire
- Chimera
- Teslacrypt
- Shade
- CoinVault
- Rakhni (updated 14-11-2016)
- Jigsaw
- Trend Micro Ransomware File
- NMoreira
- Ozozalocker
- Globe
- Globe2
- FenixLocker
- Philadelphia
- Stampado
- Xorist
- Nemucod
- Gomasom
- Linux.Encoder
Είναι σίγουρο οτι μπορείτε να βοηθήσετε και πώς θα το γνωρίζω;
[ ΟΔΗΓΙΕΣ ΑΠΟΣΤΟΛΗΣ ΔΕΙΓΜΑΤΟΣ ΑΡΧΕΙΩΝ ΠΡΟΣ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ ]
Δυστυχώς ένα μικρό ποσοστό των περιστατικών Ransomware έχει διερευνηθεί και έχει δοθεί λύση αποκρυπτογράφησης. Για το λόγο αυτό δεν μπορούμε να εγγυηθούμε οτι θα μπορούμε να βοηθήσουμε στην κάθε περίπτωση.
Σε περίπτωση που δεν μπορούμε να βοηθήσουμε μπορούμε να κρατήσουμε τα στοιχεία σας και να επικοινωνήσουμε μαζί σας όταν οι έρευνες αποδώσουν καρπούς για την περίπτωση του ιου που έχει κρυπτογραφήσει τα αρχεία σας.
Για να σας ενημερώσουμε αν μπορούμε να αποκρυπτογραφήσουμε τα κρυπτογραφημένα δεδομένα σας, ακολουθήστε τα παρακάτω βήματα:
- Στείλτε μας σε ένα email με συννημένα 3 κρυπτογραφημένα αρχεία απο κάποιον φάκελο του δίσκου σας
- Επισυνάψτε επίσης το λεγόμενο “Ransom Note” που αφήνει ο ιός. Για να το εντοπίσετε σας αναφέρουμε οτι αυτό είναι ένα αρχείο της μορφής .txt ή .html συνήθως, το οποίο βρίσκεται σε καθε φάκελο που έχει κρυπτογραφηθεί, με ονομασία που σας παραπέμπει σε οδηγίες απορυπτογράφησης όπως: HELPDECRYPT.TXT, HELP_YOUR_FILES.TXT, HELP_TO_DECRYPT_YOUR_FILES.txt, RECOVERY_KEY.txt HELP_RESTORE_FILES.txt, HELP_RECOVER_FILES.txt, HELP_TO_SAVE_FILES.txt, DecryptAllFiles.txt DECRYPT_INSTRUCTIONS.TXT, INSTRUCCIONES_DESCIFRADO.TXT, How_To_Recover_Files.txt YOUR_FILES.HTML, YOUR_FILES.url, encryptor_raas_readme_liesmich.txt, Help_Decrypt.txt DECRYPT_INSTRUCTION.TXT, HOW_TO_DECRYPT_FILES.TXT, ReadDecryptFilesHere.txt, Coin.Locker.txt _secret_code.txt, About_Files.txt, Read.txt, ReadMe.txt, DECRYPT_ReadMe.TXT, DecryptAllFiles.txt FILESAREGONE.TXT, IAMREADYTOPAY.TXT, HELLOTHERE.TXT, READTHISNOW!!!.TXT, SECRETIDHERE.KEY IHAVEYOURSECRET.KEY, SECRET.KEY, HELPDECYPRT_YOUR_FILES.HTML, help_decrypt_your_files.html HELP_TO_SAVE_FILES.txt, RECOVERY_FILES.txt, RECOVERY_FILE.TXT, RECOVERY_FILE[random].txt HowtoRESTORE_FILES.txt, HowtoRestore_FILES.txt, howto_recover_file.txt, restorefiles.txt, howrecover+[random].txt, _how_recover.txt, recoveryfile[random].txt, recoverfile[random].txt recoveryfile[random].txt, Howto_Restore_FILES.TXT, help_recover_instructions+[random].txt, _Locky_recover_instructions.txt. To [Random] σημαίνει τυχαίους χαρ
- Είναι σημαντικό αν έχετε μια έκδοση ενός κρυπτογραφημένου αρχείου στην αρχική του μορφή (δηλαδή να είναι η ίδια έκδοση που ειχατε στον δίσκο σας πριν την κρυπτογράφηση), να μας το στείλετε και αυτό.
- Τα στοιχεία επικοινωνίας τα δικά σας ή της εταιρίας σας και ποια αρχεία ειναι τα σημαντικότερα να ανακτηθούν.
Μέσα σε εύλογο χρονικό διάστημα θα επικοινωνήσουμε μαζί σας για να δούμε αν μπορούμε να δώσουμε λύση.
Προσοχή: Δεν βοηθάει να μας στείλετε αρχεία τροποποιημένα η απο αποτυχημένες προσπάθειες ανάκτησης που έχετε κάνει εσείς.
Πώς μπορώ να προστατευτώ απο ιούς τύπου Ransomware και κρυπτοϊούς;
Η καλύτερη προστασία απο τα Ransomware βασίζεται σε 3 βασικές συμβουλές:
- Μην ανοίγετε email τα οποία δεν είστε σίγουροι απο που προέρχονται. Ο μεγαλύτερος κίνδυνος απο τέτοιες επιθέσεις είναι ο ίδιος ο χρήστης. Επειδή όλες αυτές οι επιθέσεις μεταδίδονται απο κάποιο email με συννημένο αρχείο ή απο κάποιο Link στο οποίο ο χρήστης πρέπει να κάνει κλικ, θα πρέπει να γνωρίζετε οτι εσείς δίνετε πρόσβαση στο Ransomware. Χωρίς την δική σας έγκριση να ανοίξει ή να εκτελεστεί, δεν μπορεί να μολύνει τον υπολογιστή σας. Τα Ransomware έρχονται συνήθως απο email που δεν γνωρίζετε και σας παροτρύνουν να κάνετε κλικ σε κάποιο link η να ανοίξετε ένα συννημένο αρχείο προσποιούμενοι οτι είναι μια πολύ σημαντική ενέργεια απο κάποια Τράπεζα, ένα Invoice απο κάποια γνωστή εταιρία ή ένα πακέτο απο κάποια courier. Απλά μην ανοίγετε τέτοια email.
- Χρησιμοποιείτε ένα γνωστό και αποτελεσματικό αντιβιοτικό/antimalware σε ισχύ. Δυστυχώς αρκετοί χρήστες βασίζονται σε αντιβιοτικά δωρεάν τα οποία δεν παρέχουν επαρκή προστασία απέναντι στα malware και καθώς ο κώδικας τους μεταλλάσεται συνεχώς δεν μπορούν να τον εντοπίσουν. Στην TicTac χρησιμοποιούμε και συστήνουμε το Webroot Antivirus το οποίο μας έχει γλιτώσει απο αρκετές περιπτώσεις και είναι το ελαφρύτερο και ταχύτερο Antivirus που υπάρχει στην αγορά. Καλέστε μας για να σας ενημερώσουμε πώς θα το προμηθευτείτε.
- Δημιουργήστε μια ορθή πολιτική Backup & Disaster Recovery σε μέσα τα οποία δεν είναι άμεσα συνδεδεμένα στο δίκτυο σας (offline backup) ή που προσφέρουν versioning. Αν η συσκευή ή το μέσον στο οποίο κάνετε Backup είναι συνδεδεμένο στον υπολογιστή που προσβάλλεται, πολύ πιθανόν και τα backup αρχεία σας να κρυπτογραφηθούν απο το Ransomware.
Στην TicTac Data Recovery μετά απο αντιμετώπιση αρκετών περιστατικών, έχουμε να προτίνουμε συγκεκριμένες λύσεις για τα παρακάτω:
- Προστασία απο επιθέσεις με το πιο αξιόπιστο και γρήγορο αντιβιοτικό της αγοράς που προλαμβάνει τέτοιες επιθέσεις
- Λύση για OnSite και Offsite (Cloud) αυτοματοποιημένου Backup για τους προσωπικούς τους εταιρικούς ή προσωπικούς σας υπολογιστές
- Λύσεις Disaster Recovery για εταιρικά περιβάλλοντα όπου θα μπορείτε να αντιμετωπίσετε άμεσα οποιοδήποτε περιστατικό απώλειας
Αν έχετε προσβληθεί απο παρόμοιο ιό και θέλετε να εξασφαλήσετε οτι αυτό δεν θα ξανασυμβεί ποτέ διότι θέτει σε κίνδυνο την εταιρική και προσωπική σας ψηφιακή περιουσία, επικοινωνήστε μαζί μας ώστε να επικοινωνήσει ένας μηχανικός μας και να σας προτίνει συγκεκριμένες λύσεις.
Άλλα σχετικά άρθρα:
Ransomware τι είναι (2019) – οδηγός προστασίας από ιους Ransomware
Ransomware Incident Services – Best Ransomware Protection – Tic Tac