Crypto virus: kako spasiti podatke

InfoLAB, 3.2.2016. – Cryptolocker, Cryptowall, Tesla, Freespeach.virus, Cryptobit, su samo neki od 200ak varijanti i podvarijanti virusa nove generacije, vrlo zloćudnih, vrlo nezgodnih, koji svojom aktivacijom kriptiraju “zaključaju” sve najbitnije fileove korisnika (doc, xls, pdf, jpg, pst, itd…) i u tom trenutku traže otkupninu kako bi iste “otključali”. Radi se o klasičnom internet kriminalu i ucjeni.

Kako ste se zarazili?

Puno je načina, od primitka putem zaraženog i pokrenutok privitka, putem updatea neke aplikacije (skinutog sa neautoriziranog site-a), sa eksternog medija, putem maila itd…itd… U svakom slučaju jednom aktivirani virus kreće u akciju kriptiranja (zaključavanja) svih Vama bitnih podataka sa nekim od najsofisticiranijih algoritama uključujući i 2048 bitni RSA, koji generira ključ u datom trenutku i klasičnog “otključavanja” nema. S toga je jako bitno imati dobar antivirsuni program koji zna izaći na kraj sa ovim tipom virusa (ransomware)

cryptolocker, tesla, crpytowall,
Cryptolocker spašavanje podataka

Kako si pomoći?

Ako primjetite da se na računalu nešto nestandarndo dešava ili da se jako jako uposrilo, najviše što možete učiniti za sebe je da trenutno ugasite računalo i kontaktirate stručnjake. Sam proces kriptacije traje i nije moguće trenutno zaključati sve file-ove, s toga ćete spasiti bar dio podataka.
Ukoliko imate sigurnosni backup Vaših podataka predlažem da uz pomoć stručnjaka uklonite crypto virus, i kad ste sigurni da ste ga uklonili vratite vaše backupirane podatke.
Takodjer, ako ste imali kvalitetno složen sustav “restore point” kopija podatke možete pokušati vratiti i tim putem.

Dekriptacija (otključavanje) podataka

Ukoliko niste imali sigurnosni backup, ili na neki drugi način sačuvane vaše podatke, a podaci sa Vam bitni, opcije su bitno složenije. Svi virusi uglavnom nude mogućnost da platite ucjenu i autori istog Vam pošalju “ključ” za vaše računalo. Ukoliko se na to i odlučite, velika je vjerojatnost da uopće nećete dobiti ključ, garancije nema.
InfoLAB Grupa se ozbiljno bavi rješavanjem ovog problema već preko godinu dana, i do sad smo pronašli odredjena rješenja.
Prva i jednostavnija opcija je “data mining”, odnosno, razvili smo posebne algoritme kompletnog iščitavanja cijele strukture sektora diska, RAIDa, SSDa, kako bi iz tragova zapisa uspjeli stvoriti bar dio kriptiranih fileova. Rezultati su obično od 10 do 40% uspješno spašenih podataka.
Druga opcija je bitno složenija, i vezana je za svaki tip virusa posebno. Radi se o otključavanju zaraženih fileova koristeći slabosti i greške koje su napravili autori virusa pri izradi istih.
– neki virusi su imaju loše složene algoritme kriptiranja koje omogućavaju da iste relativno jednostavno dekriptiramo (uglavnom starije verzije)
– dio virusa ima grešku u konačnoj generaciji “javnog ključa” sa kojim je kriptacija napravljena (primejrice tesla virus) i omogućava matematičku analizu i dekriptiranje
– neki virusi nude mogućnost da Vam ucjenjivači dekriptiraju jedan file kao test prije uplate, i određenim metodama to iskoristimo da tu postavimo specijalno pripremljeni file, čijom dekriptacijom dodjemo do ključa i za ostale file-ove.
Trenutno posjedujemo rješenja za 20ak vrsta i varijanti poznatih virusa. Svaki slučaj je tu specifičan, ovdje nema “one click” rješenja, ista su kompleksna i zahtjevna. No ako uspijemo otključati podatke, uspjeh je gotovo 100%. Dio ovih rješenja su upotpunosti razvile naše kolege iz Španjolske i Italije. www.irecoverydata.es  www.infolabdata.it

Cryptovirus decrypt
Cryptovirus