Avast udostępnia darmowe narzędzie do odzyskiwania zaszyfrowanych plików

Jakub Křoustek 4 lip 2017

Avast udostępnia już 20 bezpłatnych narzędzi do odzyskiwania plików zaszyfrowanych przez ransomware

Niecały rok temu zaczęliśmy udostępniać bezpłatne narzędzia do odszyfrowywania plików zablokowanych przez ransomware. Od tego czasu wydaliśmy 20 bezpłatnych narzędzi tego typu., to ostatnie umożliwia usunięcie programu ransomware o nazwie EncrypTile. Zaktualizowaliśmy też kilka starszych narzędzi do usuwania innych zagrożeń — takich jak AES_NI, BTCWare, CrySiS, Crypt888 i XData.

Pierwszą wersję testową programu EncrypTile wykryliśmy w październiku 2016 roku. Po sześciu miesiącach to szkodliwe oprogramowanie doczekało się interfejsu użytkownika i obsługi wielu języków (chociaż tłumaczenia są bardzo słabe). Żądanie okupu jest wyświetlane w oknie głównym programu EncrypTile oraz jako tapeta na pulpicie.

EncrypTile ransom

01-ransom-wallpaper.jpg

Do nazw zaszyfrowanych plików jest też dodawane słowo „EncrypTile”:

  • pdf > faktura.pdfEncrypTile.pdf
  • plik > plikEncrypTile

Po zaszyfrowaniu plików oprogramowanie ransomware tworzy 4 nowe pliki na pulpicie. Nazwy tych plików są przetłumaczone. Poniżej znajdują się przykłady w języku angielskim.

Files EncrypTile

Oprogramowanie ransomware tworzy też wpis automatycznego uruchamiania — zarówno dla bieżącego użytkownika, jak i dla wszystkich użytkowników komputera:

02-autostart-hkcu.png

03-autostart-hklm.png

Program EncrypTile zawiera swoją listę dozwolonych procesów i automatycznie zamyka każdy proces, którego na niej nie ma. Uniemożliwia to użytkownikowi uruchomienie jakichkolwiek narzędzi zabezpieczających lub diagnostycznych.

Jest równe: csrss, dllhost, winlogon, explorer, conhost, vbc, dwm, lsm, svchost, services, smss,

spoolsv, system, wininit, wmpnetwk, lsass, sppsvc, chrome, firefox, iexplore, opera, idle, audiodg, encryptile, notepad, mspaint, printisolationhost, powerpnt, osk, acrord32, imagingdevices, mspscan, wmplayer, wscntfy, userinit, schtasks, magnify, browser, cmd, wuauclt

Zawiera: search, wallet, bitcoin, multibit, word, calc, microsoftedge

 Ma nazwę taką samą jak bieżący proces (ransomware)

Ta funkcja ma ciekawe działanie w trybie zatwierdzania przez administratora. Oprogramowanie ransomware zamyka proces „consent.exe”, czyli wyskakujące okienko umożliwiające użytkownikom systemu Windows zatwierdzenie lub odrzucenie zmian, które program chce wprowadzić na komputerze. W rezultacie użytkownik nie może udzielić dostępu na poziomie administratora i pozostaje w trybie zatwierdzania bez możliwości wykonania jakichkolwiek czynności jako administrator.

Podczas działania plik wykonywalny tego programu ransomware jest niewidoczny, co zapobiega wykryciu.

EncrypTile ransomware

Jak uruchomić narzędzie do odszyfrowywania?

Gdy program ransomware jest uruchomiony, aktywnie uniemożliwia użytkownikowi użycie jakichkolwiek narzędzi, które mogłyby go usunąć. Dlatego konieczne jest wykonanie poniższej procedury w celu pomyślnego usunięcia oprogramowania ransomware i odszyfrowania zainfekowanych plików:

1. Pobierz narzędzie odszyfrowujące i zapisz je na pulpicie. Jeśli występują problemy z połączeniem internetowym, pobierz plik na inne urządzenie, a następnie skopiuj go ręcznie na zainfekowany komputer.

04-run-decryptor-step-1.png

2. Utwórz kopię narzędzia odszyfrowującegoprzy użyciu skrótów klawiaturowych Ctrl+C i Ctrl+V.


04-run-decryptor-step-2.png

3. Zmień nazwę skopiowanego pliku na jedną z następujących: notepad, lsass, mspaint, osk.Po zmianie nazwy skopiowanego pliku możesz uruchomić narzędzie odszyfrowujące.


04-run-decryptor-step-3.png

4. Postępuj zgodnie z instrukcjami kreatora wyświetlanymi na ekranie. Na ostatniej stronie odznacz opcję „Run the decryption process as administrator” (Uruchom proces odszyfrowywania jako administrator), jeśli jest ona widoczna, i kliknij przycisk „Odszyfruj”.


04-run-decryptor-step-4.png

5. Jeśli oprogramowanie ransomware jest aktywne, narzędzie odszyfrowujące je zneutralizuje i wyświetli monit o ponowne uruchomienie komputera.

04-run-decryptor-step-5a.png04-run-decryptor-step-5b.png

6. Uruchom ponownie komputer. Gdy się zalogujesz, ekran oprogramowania ransomware nie powinien być już wyświetlany, ale tapeta pulpitu będzie nadal zawierać żądanie okupu. Uruchom narzędzie odszyfrowujące w normalny sposób, używając opcji domyślnych, aby odszyfrować swoje dane. Na koniec możesz zmienić tapetę na coś ładniejszego. :)

Specjalne podziękowania

Dziękuję mojemu współpracownikowi, Ladislavowi Zezuli, za przygotowanie tego narzędzia.

IOC

20ed3d3637da4f753353faced8773d18ded4e032a536ef15364a0cf60dae5070

332084bd5cf73038fea4de37d25bb5bafe80416191db1f8505796b3a9ab95a13

af291c3025c55042669c326db303476b3d0eb183226e319c8c258a7b0be29a15

--> -->