Скорая помощь при атаке вируса-вымогателя. Возможна ли расшифровка?

Есть ли у вас план действий на случай, когда вы увидите на экране своего компьютера требование заплатить киберпреступникам деньги за расшифровку ваших файлов? Что предпринять в первую очередь? Какие программы можно использовать для спасения своих данных? Есть ли гарантии расшифровки ваших данных, если заплатить злоумышленникам выкуп? На эти и другие подобные вопросы вы найдете ответы в статье.

1. Введение

2. Как работают криптолокеры?

3. Как владелец файлов может расшифровать их?

4. Существуют ли гарантии расшифровки файлов?

5. Создание копии ОЗУ: зачем это надо?

6. Восстановление криптографического ключа

7. Выводы

Введение

Вирусы-шифровальщики (криптолокеры, вирусы-вымогатели) — бич нашего времени. Никто не застрахован от того, что не получит от злоумышленников требование заплатить деньги за собственные же данные. Как правило, для того чтобы человек заплатил, киберпреступники шифруют файлы пользователя, которые могут быть важны для него.

C сожалением приходится признать, что мы находимся в начале большого пути, на котором человечество ждут масштабные пандемии вирусов-вымогателей и подобных им вредоносных программ. На сегодня мир пережил две пандемии: WannaCry и NonPetya. Проанализировов итоги этих атак, в статье мы предложим метод, который поможет спасти данные пользователя после их шифрования вредоносной программой.

Как работают криптолокеры?

Наиболее часто вирусы-шифровальщики используют следующие приемы для ограничения доступа пользователя к его данным:

1. Меняют расширение пользовательских файлов на другое. Это не позволяет Windows открывать файлы в соответствующей программе — просмотрщике или редакторе. Как правило, такое поведение характерно для тестовых версий вредоносных программ или предварительной их «обкатки».
2. Меняют несколько первых байт в файле. При этом измененный файл воспринимается Windows как поврежденный и также не позволяет пользователю просмотреть его содержимое. Такое поведение характерно для тестовых версий вредоносных программ. Еще известны случаи целевых атак, когда злоумышленники не ставили целью нанести максимальный урон атакуемой сети, а стремились получить иную выгоду от атаки, ограничив на короткий срок доступ пользователей к их файлам.
3. Шифруют файлы. В наши дни этот способ является самым распространенным. Каждый компьютер шифруется уникальным криптоключом — он после окончания шифрования передается на управляющий сервер, который принадлежит киберпреступникам.

На этом сервере криптоключ хранится в течение некоторого времени. Для того чтобы знать, кто заплатил деньги, для каждого зашифрованного компьютера создается отдельный bitcoin-кошелек. 

Как владелец файлов может расшифровать их?

Владелец зашифрованных файлов может выкупить криптографический ключ и получить от злоумышленников программу, которая, используя этот ключ, расшифрует его файлы.

Но даже если зашифрованные файлы важны для пользователя, он может не заплатить по следующим причинам:

1. У владельца компьютера может просто не быть нужной суммы денег.
2. Владелец компьютера не сможет собрать нужную сумму в течение установленного вымогателями периода, по истечении которого криптоключ будет удален с командного сервера.
3. Владелец компьютера не сможет понять, как осуществить платеж злоумышленникам. Большинство пострадавших являются людьми, имеющими опосредованное отношение к компьютерным технологиям, и поэтому им трудно разобраться в том, как создать bitcoin-кошелек, как положить на него деньги и как осуществить платеж.

Можно обратиться за специализированной помощью, например, в сервис «Помогите+ VirusInfo.info»  В этом случае есть шанс с профессиональной помощью расшифровать файлы или получить консультации о принципиальной возможности сделать это (можно или нет).

Существуют ли гарантии расшифровки файлов?

Нет никаких гарантий того, что если владелец зашифрованных файлов заплатит кибепреступникам деньги, то ему пришлют программу для расшифровки файлов. Это может произойти по следующим причинам:

1. Ошибки программирования. Злоумышленники могут создать криптолокер, который не будет отправлять ключи шифрования на управляющий сервер.
2. Еще ошибки программирования. Киберпреступники могут создать программу-вымогатель, которая не будет генерировать bitcoin-кошелек для каждого компьютера, и тогда они просто не будут знать, кто им заплатил деньги. (Именно так и случилось с компьютерами, файлы на которых были зашифрованы WannaCry).
3. И снова ошибки программирования. Ключ пришлют, но расшифровка будет произведена некорректно, файлы не восстановятся. Винить будет некого — извините, так вышло.
4. Если владелец зашифрованных файлов не заплатил злоумышленникам в течение определенного срока, его криптоключ может быть удален, и восстановить его они уже не смогут.
5. Киберпреступники могут просто затаиться и перестать высылать оплаченные ключи для расшифровки файлов.
6. Полиция может изъять управляющий сервер, и тогда криптоключи, хранящиеся на нем, будут недоступны для владельцев зашифрованных компьютеров.
7. Полиция (или частная компания) могут заблокировать почтовый ящик (почтовый сервер), на который приходят сообщения пользователей о заплаченном выкупе, и тогда злоумышленники не будут знать, кто именно заплатил им деньги.

Создание копии ОЗУ: зачем это надо?

Классика учит нас, что спасение утопающих — дело рук самих утопающих. В этой главе будет рассказано о том, какие действия может предпринять пользователь инфицированного компьютера, чтобы спасти свои данные. Этот способ не является универсальным и не гарантирует стопроцентного спасения данных. Однако это лучше, чем ничего.

Единственное, в чем можно быть уверенным в момент осуществления атаки криптолокера — это то, что, когда владелец компьютера впервые видит на экране монитора требование заплатить деньги, криптографический ключ, использованный для шифрования файлов, скорее всего еще находится в памяти компьютера. В этот момент следует сделать криминалистическую копию оперативной памяти компьютера (ОЗУ). В дальнейшем специалисты могут извлечь из этой копии криптографический ключ и расшифровать файлы владельца компьютера.

Одним из инструментов, которым можно сделать копию оперативной памяти, является Belkasoft Live RAM Capturer.

Пройдите на сайт Belkasoft (https://belkasoft.com/get) и заполните форму запроса этой программы.

Рисунок 1. Форма запроса Belkasoft

После этого вы получите электронное письмо, в котором будет ссылка на скачивание Belkasoft Live RAM Capturer. Загрузите эту программу и поместите ее на флешку. Подключите флешку к компьютеру, подвергнувшемуся атаке вируса-вымогателя.

Существует 32-битная (файл RamCapture.exe) и 64-битная (файл RamCapture64.exe) версии Belkasoft Live RAM Capturer.

Рисунок 2. Файлы Belkasoft Live RAM Capturer

Кликните на файл, разрядность которого соответствует разрядности вашей операционной системы.

Ничего страшного не произойдет, если вы случайно ошибетесь. В этом случае вы просто увидите сообщение об ошибке.

Рисунок 3. Сообщение об ошибке

После запуска Belkasoft Live RAM Capturer вы увидите основное окно программы.

Рисунок 4. Главное окно Belkasoft Live RAM Capturer

Belkasoft Live RAM Capturer предложит сохранить создаваемую копию оперативной памяти компьютера на подключенную флешку. Кликните кнопку Capture!

Если ваша флешка имеет файловую систему FAT (FAT32), а объем оперативной памяти компьютера превышает 4Гб, то вы увидите сообщение Insufficient disk space for the dump file.

Рисунок 5. Сообщение Insufficient disk space for the dump file

Это связано с тем, что Windows не может записать файл размером более 4Гб в файловую систему FAT (FAT32). Для того чтобы сохранить создаваемую копию памяти на флешку, предварительно отформатируйте ее в exFAT или NTFS. Если не сделать этого, можно указать иное место на жестком диске компьютера, где будет сохранена эта копия. В качестве примера был использован путь C:\Users\Igor\Document. Как показано на рисунке 6, такая копия была успешно создана.

Рисунок 6. Сообщение о том, что создание копии оперативной памяти закончено

Имя файла, который содержит копию RAM, соответствует дате его создания.

Рисунок 7. Файл, содержащий данные из ОЗУ компьютера

Восстановление криптографического ключа

В качестве примера рассмотрим восстановление криптографического ключа, с помощью которого осуществляется шифрование файлов вирусом-вымогателем WannaCry. Как известно, этот вымогатель осуществляет шифрование файлов пользователя с использованием RSA-ключа. Существует несколько плагинов (например, плагин MoVP II) к Volatility – бесплатной утилиты, используемой для анализа дампов оперативной памяти компьютеров, с помощью которых можно восстановить RSA-ключ и его сертификаты.

Однако в статье будет показан пример восстановления RSA-ключа с помощью GREP-анализа. Для этого загрузите полученную ранее копию ОЗУ зараженного компьютера в WinHex и произведите поиск по заголовку RSA-ключа – 308202 (в шестнадцатеричном виде). В нашем случае было обнаружено 2486 совпадений.

Рисунок 8. Результаты поиска RSA-ключа в копии ОЗУ компьютера, подвергнутого атаке вируса-вымогателя WannaCry

Конечно же, не все эти совпадения являются криптографическим ключом. Однако количество вариантов ключей, которые могут быть использованы для расшифровки пользовательских данных, существенно сокращается, что повышает вероятность успеха спасения зашифрованных данных пользователя.

Выводы

В статье были рассмотрены приемы, которые используют криптолокеры для вымогания денег у пользователей компьютеров; дан ответ на вопросы: как владелец может расшифровать зашифрованные файлы? существуют ли гарантии расшифровки файлов? Рассмотрен способ создания криминалистической копии оперативной памяти компьютера, подвергнувшегося атаке вируса-вымогателя, и приведен пример восстановления криптографического ключа из нее.

Создание копии ОЗУ компьютера, подвергнувшегося атаке вируса-вымогателя, в совокупности с методами предотвращения дальнейшего заражения, изложенными в статье «Защита от вымогателя WannaCry – методы предотвращения заражения», не только поможет в предотвращении дальнейшего распространения вредоносной программы, в расследовании инцидента и установлении возможных путей проникновения вируса в компьютерную систему, но и в отдельных случаях может помочь извлечь криптографические ключи, которые получится использовать для расшифровки пользовательских данных.

В будущем атаки криптолокеров будут только возрастать. Известные миру криптолокеры портируются под новые операционные системы, и поэтому мир может снова услышать об их атаках, а количество устройств, которые они способны заразить, возрастет в разы. WikiLeaks продолжает выкладывать новые образцы кибероружия, похищенного киберпреступниками у правительственных организаций (Wikileaks рассекретил еще один шпионский вирус ЦРУ). Поэтому каждый должен иметь такой набор программ, который позволит ему спасти свои данные.