Вирусы-шифровальщики. Мифы и реальность. Часть 5.

Как же удаётся расшифровать зашифрованные данные?

Из серии статей «Вирусы-шифровальщики. Мифы и реальность», мы смогли с вами увидеть вкратце механизмы работы современных вирусов-шифровальщиков. Надеюсь, вы смогли ознакомитесь с информацией, которую привёл в серии этих статей:

1. Вирусы-шифровальщики. Мифы и реальность. Часть 1. Что такое RANSOMWARE или программы вымогатели?
2. Вирусы-шифровальщики. Мифы и реальность. Часть 2. Современные вирусы-шифровальщики.
3. Вирусы-шифровальщики. Мифы и реальность. Часть 3. Механизмы шифрования в современных вирусах-шифровальщиках.
4. Вирусы-шифровальщики. Мифы и реальность. Часть 4. Взаимодействие шифровальщика на заражённом устройстве с управляющим C&C-сервером.
5. Вирусы-шифровальщики. Мифы и реальность. Часть 5. Как же удаётся расшифровать зашифрованные данные?
6. Вирусы-шифровальщики. Мифы и реальность. Заключение. История о «великой» конторе, которая «умеет ломать» современные алгоритмы шифрования.

В целом, моя задача заключалась не в том, чтобы предоставить исчерпывающую информацию с полным описанием всех технических аспектов и тонкостей работы вирусов-шифровальщиков, а дать возможность в целом понять основные механизмы работы данных зловредов для неопытных пользователей, которые пострадали от атаки вирусов-шифровальщиков и защитить таких пользователей от необдуманных и неправильных действий. Именно данная информация, будет полезна тем пользователям, которые впервые столкнулись с данной угрозой и не понимают, есть ли шанс восстановить свои данные. Итак, если у вас зашифрованы файлы, есть ли возможность без оплаты выкупа злоумышленникам, вернуть свои данные в исходное состояние? Всё зависит от того, какой тип шифровальщика зашифровал ваши данные. В добавок к этому, есть и другие важные моменты, которые могут помочь при расшифровке или восстановлении зашифрованных файлов. 

Есть четыре основных подхода в работе по расшифровке данных, зашифрованных вирусами-шифровальщиками, которые используют в том числе антивирусные компании:

1. Если программа-вымогатель, которая полагается только на симметричное шифрование, например, «вшивает» ключ используемый шифровальщиком для шифрования каждого файла на каждом заражённом устройстве прямо в исполняемый файл самой программы, есть вероятность извлечь его из «тела» трояна и создать дешифратор для расшифровки данных.
2. Способы анализа трафика между управляющим сервером злоумышленников и поиска ошибок в механизмах работы шифровальщиков, позволяют использовать найденные уязвимости для получения ключа расшифровки. Один из методов, основывается на перехвате пакетных данных между сервером злоумышленников и заражённым устройством.
3. Анализ и восстановления информации, посредством использования технологии теневого копирования, доступной в ОС семейства Windows. 
4. Восстановление данных на основе имеющихся ключей для расшифровки. Это актуально в тех ситуациях, когда преступники пойманы и удается извлечь ключи на их серверах или сами преступники, сливают свою ключи в свободный доступ. Последнее явление, крайне редкое. Хотя, были например ситуации, когда преступники сливали в свободный доступ ключи и антивирусные компании на основе данных ключей, создавали утилиты по дешифровке файлов. Например: https://virusnet.info/rasshifrovka-fajlov-posle-shifrovalshhika-fonix/, https://virusnet.info/vnimanie-postradavshim-ot-shifrovalshhika-shade-troldesh-encoder-858/
   

При этом, необходимо понимать, что каждый из способов, не может гарантировать 100% успех. В целом, успех зависит от того, сколько ошибок допустили создатели своего шифратора в его механизмах работы. Именно это и позволит расшифровать данные. К сожалению, нет волшебной кнопки, чудо утилиты или какого-либо способа, который 100% сможет расшифровать зашифрованные данные.

Однако, в Сети Интернет сейчас есть много различных контор и «хакеров», которые предоставляют услуги по расшифровке файлов и дают 100% гарантию расшифровки ваших данных. Как такое возможно? Ответ прост. Данные организации и люди, являются посредниками между вами и злоумышленниками. Они просто выкупают у них дешифратор и перепродают его вам с наценкой в 30%, 50%, а порою и в 100% от его стоимости у злоумышленников. Не верите? А вы задумайтесь, почему гигантские антивирусные лаборатории, не всегда в силах помочь, а тут находится какая-то контора или супер «хакер» и гарантирует вам расшифровать все файлы со 100% гарантией? Неужели, эти конторы или хакеры, смогли построить квантовый компьютер и взломать алгоритм шифрования AES или RSA? Нет? Тогда как они могут гарантировать 100% расшифровку файлов? Ведь такие конторы и люди, берутся даже за те зашифрованные данные, которые не в состоянии расшифровать антивирусные лаборатории и ведущие IT-специалисты в сфере безопасности. Ответ прост.
Повторяюсь, эти конторы и люди – посредники. Чтобы не быть голословным, приведу в следующей статье «История о «великой» конторе, которая «умеет ломать» современные алгоритмы шифрования.», интересные факты об одной такой конторе, которая «разработала» свои утилиты для расшифровки файлов. Дополнительно, мной была создана еще одна заметка «Кто такие Dr.Shifro? «Декодеры» или «переговорщики»?», которая раскрывает схемы посредничества между такими исполнителями и преступниками.