Небольшая информация о схемах с посредничеством и о том, как можно
попробовать восстановить базы данных 1С и Mssql после атаки шифратора.
Мне часто пишут по поводу расшифровки файлов. Виной всему есть информация на моём блоге по расшифровке файлов. Ранее, оказывал платную помощь в восстановлении данных после атак вирусов-шифровальщиков.
С февраля 2021 года прекратил предоставлять платные услуги и бесплатные консультации по восстановлению данных после атак вирусами-шифровальщиками. Если вам нужна помощь по восстановлению данных, прочитайте внимательно данную заметку.
Несколько лет назад, когда шифровальщики были еще не такими продвинутыми, были шансы восстановить информацию. Большую часть информации, удавалось восстановить посредством теневых копий или при манипуляциях с остатками шифраторов. Также, в крайних случаях, создавал запросы в тех. поддержку Лаборатории Касперского. Об этом, есть вся информация на моем блоге. Однако, последнее время, восстановление файлов после шифровальщиков, является трудоемким процессом и не приносящим желаемого результата. Основная причина в том, что современные шифровальщики, умеют теперь затирать теневые копии, шифруют резервные копии, шифруют файловые таблицы, используют сеть TOR, храня ключи расшифровки на своих серверах... Соответственно, если и раньше шансы на расшифровку/восстановление файлов после шифровальщика были мизерными, теперь они вообще сводятся к нулю.
Однако, несмотря на то, что четко, честно и простым языком написал об этом в статье что привел выше, люди по прежнему пишут. Примечательно, что по тому как люди пишут, видно, что они вообще не читали там ничего. Их интересует только результат и цена. Оно и понятно, что при поиске способов по расшифровке файлов, людей интересует результат, а вот каким образом это будет «деланно», им не важно. При попытке объяснить им, что это не просто и нужно для начала понимать, что за шифратор у них отработал и есть ли вообще хоть какой-то шанс помочь, они начинают говорить, что в другой фирме, им уже предложили решение, только дорого. И тут, начинается самое интересное.
Об этой фирме, мне известно уже не один год. Она на слуху у многих, кто пострадал от шифровальщиков. В свое время, написал о ней «безымянную» статью (в статье не указано название данной конторы):
При этом, число людей, которые пишут мне и упоминают о ней, постоянно возрастает. И самое страшное то, что люди реально верят в способность той фирмы расшифровывать данные.
Компания Dr. Shifro существует в России уже не первый год. Dr. Shifro услуги по расшифровке файлов предоставляют по странам СНГ. Все бы хорошо, да есть большое «НО». Когда писал свою статью, даже не знал, что о Dr. Shifro есть отзывы и статьи с похожей информацией и с похожим исследованием, как написал у себя в статье «Вирусы-шифровальщики. Мифы и реальность. Заключение.» Понимая, что моей статьи с экспериментом, людям будет мало, решил сделать подборку.
Например, есть статья, которую рекомендую вам прочитать:
На русский язык, можете перевести через переводчик, там нет ничего сложного.
Из статьи мы видим, что сам представитель Dr. Shifro, «спалился» на посредничестве.
А вот статья на Хабр-е: https://habr.com/ru/post/432468/
И вот еще подборка:
- https://www.bleepingcomputer.com/news/security/company-pretends-to-decrypt-ransomware-but-just-pays-ransom/
- https://www.kaspersky.ru/blog/decryption-fraud/4693/?_ga=2.251016966.1890777348.1596102137-1167648154.1596102137
- https://safezone.cc/threads/vnimanie-servisy-posredniki-po-rasshifrovke-fajlov.25232/
- https://virusinfo.info/showthread.php?t=180742
И советую вам прочитать мою статью, где описал эксперимент проведенный с Dr. Shifro:
Если вы читаете данную статью, хочу чтобы вы правильно меня поняли. У меня нет цели оскорбить, унизить, оклеветать сотрудников Dr. Shifro. Это же касается и представителей Dr. Shifro, если они вдруг прочитают данную заметку. Есть большая разница между расшифровкой файлов и оказанием услуг при проведении переговоров со злоумышленниками. Компании Dr. Shifro как по мне, нужно было идти по второму пути. Тогда бы к ним и вопросов было бы меньше.
Например, есть всемирно известная компания Coveware, которая занимается вопросами посредничества между преступниками и жертвами, которые пострадали от атак вирусов-вымогателей (RANSOMWARE). Они оказывают полный спектр услуг от начала переговоров и до выплаты выкупа для расшифровки файлов с полной технической IT-поддержкой по восстановлению данных. Примечательно и то, что компания Coveware сотрудничает с антивирусными компаниями и правоохранительными органами. Работают совершенно легально и их деятельность является полностью законной. Главное отличие Coveware от Dr. Shifro в том, что они оказывают помощь в переговорах с преступниками в юридическом и техническом плане, открыто выступают переговорщиками между преступниками и пострадавшими. То есть, они не заявляют, что умеют расшифровывать данные. Они выступают открыто в качестве посредников.
Ведь в чем проблема, если клиенты Dr. Shifro платят за результат, который получают? Вам нужно обязательно указывать в договорах, что расшифровка файлов Dr. Shifro делается исключительно собственными силами, не передавай на субподряд третьим лицам? Ну и в целом, если компания нашла способ платить за расшифровку не нарушая законы, а клиенты получили возможность вернуть свои файлы, не связываясь с теми же биткоинами, не засоряя свою отчётность сомнительными операциями, то вполне справедливая цена за «ноу-хау» и взятие на себя рисков сомнительных операций со стороны Dr. Shifro.
Как показывает практика, после оплаты файлы восстанавливаются.
Кто-то возможно сейчас скажет, что это хитрая рекламная статья в защиту Dr. Shifro. Увы, люди всегда будут говорить..., а суть в том, что Dr. Shifro не расшифровывают данные после заражения вирусами-шифровальщиками. Что-бы они там не говорили и не доказывали, Dr. Shifro простые посредники между пострадавшим клиентом, который к ним обращается с просьбой расшифровать их данные и злоумышленниками/преступниками, которые заразили и зашифровали данные клиента, обратившегося к Dr. Shifro.
Dr. Shifro выкупает ключи расшифровки у преступников и перепродает их вам. Все, на этом услуги Dr. Shifro по «расшифровке» заканчиваются. И у меня нет цели сейчас разбираться, хорошо это или плохо. Вы сами решайте, а мое мнение четко написано в статье на моем сайте, что приводил выше. Все, что вы должны понимать, это то, что Dr. Shifro выдает свою схему, как свою реальную работу по расшифровке файлов (нередко главный представитель Dr. Shifro пишет, что они/он обращаются за помощью к сторонним программистам). И этим, вводит в заблуждение пользователей/клиентов, которые не понимают, что нет способа расшифровать их файлы и остается только вопрос оплаты выкупа тем, кто зашифровал их файлы, а Dr. Shifro выступает посредником (хотя они это отвергают).
На мой взгляд, человек должен понимать, на что он соглашается, а просто доказывать, что все вокруг во всем мире дураки и не могут расшифровать файлы после шифратора HARMA, а Dr. Shifro умеет расшифровывать и единственная компания во всем мире, является явной дезинформацией.
И когда мне пишут, что вот мне в Dr. Shifro прислали расшифрованные файлы в доказательство, значит расшифровать можно, это вызывает огорчение у меня. Ведь по сути не важно, платите вы на прямую преступникам или через посредников, вы спонсируете преступные структуры, которые и дальше будут развивать свое детище на ваши же деньги. Нередко сталкиваюсь, когда компании постоянно «попадают» на шифраторов и регулярно платят выкуп. И часто их проблема в том ,что у них RDP наружу и пароли 123... При этом, их данные настолько ценны, что они просто вынуждены платить выкуп. И у меня постоянно возникает вопрос, неужели нельзя потратить эти 3 тысячи долларов на защиту от шифровальщиков, а не постоянно платить выкуп? Это так, для размышления...
Вместо заключения.
Проблема не в том, что Dr. Shifro посредники, а проблема в том, что они вводят в заблуждение своих клиентов, выдавая свою схему за реальную расшифровку файлов, хотя на самом деле, выкупают ключи расшифровки и перепродают их. И люди верят. Это приводит к тому, что потом появляются такие темы:
А хорошее они делают дело или нет, решать не мне. В любом случае, есть ситуации, когда приходится платить выкуп. И в таком случае, человек стоит перед выбором, оплатить выкуп на прямую преступникам или без всякой волокиты воспользоваться услугами по «расшифровке» от Dr. Shifro.
Надеюсь, думающие люди, смогут теперь дать ответ на вопрос: «Кто такие Dr. Shifro? «Декодеры» или «переговорщики»?».
Простая истина: «Чудес не бывает. Если бы стойкие шифры вскрывались «на раз», то вся криптография не имела бы смысла. Да, злоумышленники совершают ошибки, и в некоторых случаях, испорченные ими файлы можно расшифровать/восстановить, но происходит это далеко не всегда».
Полезно прочитать: Сервисы расшифровки файлов часто вступают в сговор с вымогателями.
На заметку:
Криптографическая стойкость — свойство криптографического шифра противостоять криптоанализу, то есть анализу, направленному на изучение шифра с целью его дешифрования. Для изучения криптоустойчивости различных алгоритмов была создана специальная теория, рассматривающая типы шифров и их ключи, а также их стойкость. Источник Википедия...
Если проще, то в современных шифровальщиках (например DHARMA, NCOV...) используется надежный алгоритм шифрования. А из этого делается вывод, что контора/человек, который пытается продать дешифровку, связан с преступниками и скорее всего является посредником, который имеет свой процент от сделки (отсюда и огромный ценник). В случае, когда данные важны, остается только или иметь дело с преступниками, или посредниками. В некоторых случаях можно восстановить БД 1С, т.к. шифровальщик не шифрует большую базу целиком (смотрим ниже)… с обычными файлами так не работает.
Полезная информация.
Вопрос: «А как восстановить базу данных 1С и Mssql после атаки шифратора»? Пользуясь случаем, рекомендую, если у вас пострадали базы данных 1С и Mssql после вирусов-шифровальщиков, и вам нужно восстановить базу данных, а резервных копий нет или не было, стоит посмотреть тему на форуме:
Проект S.lab предоставляет платные услуги по восстановлению баз данных (1С7, 1C8 и MSSQL) после атаки шифровальщика. Учтите, что проект S.lab, это не посредники. Проект S.lab оказывает помощь в восстановлении на программном уровне, только самих
баз данных 1С и Mssql. Повторюсь, речь идет не о расшифровке всех
файлов/баз, речь идет о программном восстановлении именно только самих
баз данных, при условии если это вообще реально сделать.
Поэтому, если вам нужно восстановить базы данных 1С и/или Mssql и вы не хотите платить выкуп преступникам или делать это через посредников, стоит воспользоваться услугами S.lab на форуме safezone.cc
Для бесплатной помощи в расшифровке файлов и для получения достоверной информации по вашей ситуации, можете создать тему на одном из форумов:
- https://safezone.cc/forums/decryptor/
- https://forum.kasperskyclub.ru/forum/155-pomosch-v-borbe-s-shifrovalschikami-vymogatelyami/
Для идентификации типа вымогателя, настоятельно рекомендую использовать ID Ransomware.
Есть полезный блог, с большим количеством статей, советов и дешифраторов:
https://id-ransomware.blogspot.com который стоит посмотреть.
Появилась бесплатная утилита от ЛК для расшифровка Trojan-Ransom.Win32.Shade для всех, кто пострадал от данного шифратора до 06.2020 (шифровальщик Код да Винчи): https://pc103help.blogspot.com/2020/08/besplatnaja-rasshifrovka-trojan-ransom-win32-hade-kod-da-vinchi.html
Бизнес-предложение для фирм, предприятий, частных лиц и организаций.
Резервное копирование данных, защита данных от потерь, организация удаленного офиса для сотрудников, настройка бухгалтерии в облаке, VDS/VPS, опытная и отзывчивая поддержка, обслуживание и сопровождение на базе TUCHA.UA. Данное предложение актуально для частных лиц, коммерческих и государственных структур. Узнать больше...
Дополнительная информация по защите от шифровальщиков:
- Пять шагов для защиты от вирусов-шифровальщиков.
- Настройка RDP (защита от перебора паролей).
- Как защититься от всевозможных вирусов-шифровальщиков?
- Простой, эффективный и бесплатный способ защиты от вирусов-шифровальщиков.
- Защита главной загрузочной записи (MBR).
- Отключаем SMB в ОС Windows 7/10 и в Windows 2008 R2.
- Нужен ли вам «IT-аудит безопасности»?
Если есть вопросы, дополнения и поправки, оставляйте комментарии.