Дешифровка cbf файлов

Содержание

CBF вирус-шифровальщик: как расшифровать .cbf файлы – Интернет безопасность по-русски

Дешифровка cbf файлов

Программа-вымогатель, которая шифрует Ваши файлы и добавляет к их расширению .cbf основательно закрепилась в плеяде доминирующих и наиболее опасных вирусных шифровальщиков.

Регулярное обновление программного кода и алгоритма работы, практикуемое разработчиками угрозы, повышает технологичность продукта.

Таким образом, большие антивирусные лаборатории и отдельные энтузиасты в сфере компьютерной безопасности вынуждены с опозданием реагировать на появление новых вариантов инфекции.

В последней версии отмечено ряд новшеств касательно сообщений, которые видит пользователь и времени шифрования файлов.
Остальные характеристики, в том числе применяемый стандарт шифрования, процедура обмена ключей и коммуникации с командным сервером (C&C), не поменялись и соответствуют предыдущим релизам.

Файлы с новообразованным расширением .cbf

Программа-вымогатель держит под своим замком Ваши текстовые документы, таблицы, презентации и фотографии, а также целый ряд прочих форматов, используя симметричное шифрование. В результате, ПО не может считать зашифрованные объекты.

В этот момент вымогательское ПО требует выполнить непривлекательную процедуру по собственному рецепту восстановления, который содержится в readme.txt (название может менятся), а также в виде обоев Рабочего стола: пользователю объясняют ситуацию, выставляя счет $500-700$ за решение проблемы.

По существу, это стоимость закрытого ключа и дешифратора, якобы способного автоматически раскодировать удерживаемые объекты. Опата биткоинами, это не дает возможность идентифицировать получателя средств и \ или заблокировать кошелек.

Один из вариантов обоев рабочего стола шифровальщика .cbf

Распространение вируса .cbf основывается на разнообразных механизмах. Установку конечной инфекции частично обслуживает эксплоит-комплекс. Процедура инфицирования предполагает посещение пользователем взломанных сайтов с эксплуатацией пробелов безопасности такого ПО, как Flash Player, PDF Reader и Java.

Это худший из возможных сценариев. Предотвратить заражение практически невозможно – слишком высок уровень скрытности данной технологии. В еще одной схеме используются вложения к эл. почте, которые работают по принципу минного поля: при открытии “взрываются”, автоматически выполняя установку вымогателя.

Пример спам-рассылки с вирусом .cbf в архиве

История развертывания атак вируса-шифровальщика не является безукоризненной. Изъяны хранения шифроключа и процедуры обмена позволяли исследователям зловредного ПО перехватывать ключ.

С помощью полученного ключа и разработанного под его использование программного инструмента пострадавшие получали данные обратно без уплаты выкупа.
Следует признать, вариант .cbf является намного более продвинутым. Такая процедура не работает.

Но все не так уж плохо! Существует ряд альтернативных решений, способных вернуть утраченные данные.

Удалить вирус с расширением .cbf с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности.

Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши.

Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель .cbf блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии.

Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована.

Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Загрузить программу восстановелния данных Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.
  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов.

Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя с расширением .cbf

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра.

Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Загрузить программу для удаления вируса .cbf

Похожее

Источник: https://itsecurity-ru.com/viruses/cbf

Удалить Cbf вирус-шифровальщик (Восстановить .cbf файлы)

Дешифровка cbf файлов

Если ваши документы, фотографии и другие файлы перестали открываться, в конце их имени добавилось .cbf, то ваш компьютер заражён вирусом шифровальщиком.

При попадании на компьютер, эта вредоносная программа шифрует все персональные файлы, используя очень стойкую гибридную систему шифрования.

После того как файл зашифрован, его имя изменяется и в его конце добавляется .cbf.

Как и ранее, цель вируса Cbf заставить пользователей купить программу и ключ, необходимые для расшифровки собственных файлов. Вирус требует оплатить выкуп биткоинами. Если пользователь задержит перевод денег, то сумма может возрасти.

Как вирус-шифровальщик Cbf проникает на компьютер ?
Что такое вирус-шифровальщик Cbf ?
Мой компьютер заражён вирусом-шифровальщиком Cbf ?
Как расшифровать файлы зашифрованные вирусом Cbf?
Как удалить вирус-шифровальщик Cbf ?
Как восстановить файлы зашифрованные вирусом Cbf ?
Как предотвратить заражение компьютера вирусом-шифровальщиком Cbf ?

Как вирус-шифровальщик Cbf проникает на компьютер

Вирус-шифровальщик обычно распространяется посредством электронной почты. Письмо содержит зараженные документы. Такие письма рассылаются по огромной базе адресов электронной почты.

Авторы этого вируса используют вводящие в заблуждения заголовки и содержание писем, стараясь обманом заставить пользователя открыть вложенный в письмо документ. Часть писем сообщают о необходимости оплаты счёта, другие предлагают посмотреть свежий прайс-лист, третьи открыть весёлую фотографию и т.д.

В любом случае, результатом открытия прикреплённого файла будет заражение компьютера вирусом-шифровальщиком.

Что такое вирус-шифровальщик Cbf

Вирус-шифровальщик — это вредоносная программа, которая поражает современные версии операционных систем семейства Windows, такие как Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Этот вирус использует гибридный режим шифрования, что практически исключает возможность подбора ключа для самостоятельной расшифровки файлов.

Во время заражения компьютера, вирус-шифровальщик Cbf использует системные каталоги для хранения собственных файлов.

Чтобы запускаться автоматически при каждом включении компьютера, шифровальщик создаёт запись в реестре Windows: разделах HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Сразу после запуска вирус сканирует все доступные диски, включая сетевые и облачные хранилища, для определения файлов которые будут зашифрованы. Этот вымогатель использует расширение имени файла, как способ определения группы файлов, которые будут подвергнуты зашифровке. Шифруются практически все виды файлов, включая такие распространенные как:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .

ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .

slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .

indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .

wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .

zip, .zw

После того как файл зашифрован его имя изменяется на email-[DECRYPT-EMAIL].ver-[VERSION].id-[ID]-[DATA].randomname-[RANDOM].cbf.

Мой компьютер заражён вирусом-шифровальщиком Cbf?

Определить заражён компьютер или нет вирусом Cbf довольно легко. Обратите внимание на то, что все ваши персональные файлы, таких как документы, фотографии, музыка и т.д. нормально открываются в соответствующих программах. Если же знакомые файлы пропали, а появилось куча других с неизвестными именами, которые оканчиваются на .cbf, то ваш компьютер заражён.

Если вы подозреваете, что открыли письмо зараженное вирусом вымогателем, но симптомов заражения пока нет, то не выключайте и не перезагружайте компьютер. Первым делом отключите Интернет! После чего выполните шаги описанные в этой инструкции, раздел Как удалить Вирус-шифровальщик Cbf. Другой вариант, выключить компьютер, вытащить жёсткий диск и проверить его на другом компьютере.

Как расшифровать файлы зашифрованные вирусом Cbf ?

Если эта беда случилась, то не нужно паниковать! Но нужно знать, что бесплатного расшифровщика нет. Виной этому, стойкие алгоритмы шифрования, используемые этим вирусом. Это значит без личного ключа расшифровать файлы практически невозможно. Использовать метод подбора ключа так же не выход, из-за большой длины ключа.

Поэтому, к сожалению, только оплата авторам вируса всей запрошенной суммы — единственный способ попытаться получить ключ расшифровки. Чтобы узнать как связаться с авторами этой вредоносной программы, обратите внимание на имя зашифрованных файлов. Каждое из них содержит контактные данные, а точнее адрес электронной почты.

Например, зашифрованный файл имеет имя:

email-Seven_Legion2@aol.com.ver-CL_1.0.0.0.id-…..cbf

Значит вам нужно обращаться по адресу Seven_Legion2@aol.com.

Конечно, нет абсолютно никакой гарантии, что, после оплаты, авторы вируса выйдут на связь и предоставят ключ необходимый для расшифровки ваших файлов. Кроме этого нужно понимать, что платя деньги разработчикам вредоносных программ, вы сами подталкиваете их на создание новых вирусов.

Как удалить вирус-шифровальщик Cbf ?

Перед тем как приступить к этому, вам необходимо знать, что приступая к удалению вируса и попытке самостоятельного восстановления файлов, вы блокируете возможность расшифровать файлы заплатив авторам вируса запрошенную ими сумму.

Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

5.1. Удалить вирус-шифровальщик Cbf с помощью Kaspersky Virus Removal Tool

Скачайте программу Kaspersky Virus Removal Tool. После окончания загрузки запустите скачанный файл.

Кликните по кнопке Начать проверку для запуска сканирования вашего компьютера на наличие вируса-шифровальщика.

Дождитесь окончания этого процесса и удалите найденных зловредов.

5.2. Удалить вирус-шифровальщик Cbf с помощью Malwarebytes Anti-malware

Скачайте программу Malwarebytes Anti-malware. После окончания загрузки запустите скачанный файл.

Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.

Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.

Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

Как восстановить файлы зашифрованные вирусом Cbf ?

В некоторых случая можно восстановить файлы зашифрованные вирусом-шифровальщиком . Попробуйте оба метода.

6.1. Восстановить зашифрованные файлы используя ShadowExplorer

ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.

Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.

Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.

И последнее, выберите папку в которую будет скопирован восстановленный файл.

6.2. Восстановить зашифрованные файлы используя PhotoRec

PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.

В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.

В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.

По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.

Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.

В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги.

Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах.

В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

Как предотвратить заражение компьютера вирусом-шифровальщиком Cbf ?

Большинство современных антивирусных программ уже имеют встроенную систему защиты от проникновения и активизации вирусов-шифровальщиков. Поэтому если на вашем компьютере нет антивирусной программы, то обязательно её установите. Как её выбрать можете узнать прочитав эту статью.

Более того, существуют и специализированные защитные программы. Например это CryptoPrevent.

Скачайте CryptoPrevent и запустите. Следуйте указаниям мастера установки. Когда инсталлирование программы завершиться, вам будет показано окно выбора уровня защиты, как показано на следующем примере.

Нажмите кнопку Apply для активации защиты. Подробнее о программе CryptoPrevent и как её использовать, вы можете узнать в этом обзоре, ссылка на который приведена ниже.

CryptoPrevent — Описание, Отзывы, Инструкция

Несколько финальных слов

Выполнив эту инструкцию ваш компьютер будет очищен от вируса-шифровальщика Cbf. Если у вас появились вопросы или вам необходима помощь, то обращайтесь на наш форум.

Источник: https://www.spyware-ru.com/udalit-cbf-virus-shifrovalshhik-vosstanovit-cbf-fajly/

4 бесплатных дешифратора для файлов, зараженных программой-вымогателем

Дешифровка cbf файлов

Подробнее о том, как расшифровать файлы бесплатно и не платить выкуп программам-вымогателям, используя утилиты Avast по удалению вирусов-шифровальщиков.

Программы-вымогатели становятся «флагманом» вредоносного ПО. За последний год мы зафиксировали рост числа атак шифрователей более чем в два раза (на 105%). Подобные вирусы блокируют доступ к файлам на компьютере, кодируя их и вымогая выкуп за предоставление кода для расшифровки.

Как расшифровать файлы бесплатно? Мы рады объявить о выпуске четырех инструментов для удаления программ-вымогателей и дешифровки файлов: Alcatraz Locker, CrySiS, Globe и NoobCrypt. Все дешифраторы для файлов доступны на нашей странице и являются бесплатными.

Там же представлено подробное описание каждого вида программ-вымогателей. Наши инструменты смогут помочь вам удалить вирус-шифровальщик и разблокировать файлы. Утилиты постоянно обновляются по мере развития перечисленных видов угроз.

С момента выпуска первого пакета из семи инструментов Avast для дешифровки нам было приятно получить множество отзывов с благодарностями и рассказами о том, как наши утилиты спасли чьи-то ценные данные или даже бизнес. Надеемся, новые программы для дешифровки помогут еще большему количеству пользователей.

Ниже приведено краткое описание четырех новых видов программ-вымогателей, для удаления которых были разработаны новые бесплатные утилиты.

Alcatraz 

Alcatraz Locker — программа-вымогатель, впервые обнаруженная в средине ноября 2016 года. Файлы, заблокированные ею, имеют расширение .Alcatraz. Когда они зашифрованы, появляется подобное сообщение, которое расположено в файле ransomed.html на рабочем столе зараженного компьютера:

В отличие от большинства видов шифрователей, программа Alcatraz не имеет заданного списка расширений файлов, на которые она нацелена. Иными словами, программа шифрует все, что может. Чтобы предотвратить нанесение ущерба операционной системе, Alcatraz Locker шифрует только файлы в каталоге %PROFILES% (обычно C:\Users).

Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования):

В тексте сообщения с требованием выкупа утверждается, что программа использует шифрование AES-256 с 128-битовым паролем.

Анализ данного вредоносного ПО показал, что это не так (применяется 128-байтовый, а не 128-битовый пароль). Однако вирус использует 160-битовый хэш (SHA1) в качестве исходного ключа для 256-битового шифрования AES.

В API-интерфейсе шифрования, который используется программой, это реализуется довольно интересным образом:

  1. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x36.
  2. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
  3. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash1).
  4. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x5C.
  5. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
  6. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash2).
  7. 160 битов Hash1 и 96 битов Hash2 объединяются.

Получившийся объединенный хэш используется в качестве исходного ключа для AES256.

После выполнения шифрования AES-256 программа-вымогатель также кодирует уже зашифрованный файл с помощью позиционной системы счисления с основанием 64 (BASE64), в результате чего зашифрованный файл приводится к типичной модели:

Согласно сообщению шифрователя, единственным способом вернуть свои данные является выплата 0,3283 биткойна (около $370 на момент написания статьи).

Но теперь вернуть доступ к файлам можно бесплатно, воспользовавшись инструментом Avast для дешифровки Alcatraz.

Существование 30-дневного ограничения, о котором идет речь в сообщении с требованием денег — еще один обман: расшифровать свои документы можно в любое время, даже спустя 30 дней.

CrySiS

Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокировке.

Заблокированные файлы выглядят следующим образом: .id-…

Хотя идентификационный номер и адрес электронной почты меняются довольно часто, есть только три различных имени расширений, которые, используются до сих пор:

.xtbl, .lock и .CrySiS.

В результате имена зашифрованных файлов могут выглядеть так:

  • .johnycryptor@hackermail.com.xtbl
  • .systemdown@india.com.xtbl,  
  • .Vegclass@aol.com.xtbl,
  • .{funa@india.com}.lock
  • {milarepa.lotos@aol.com}.CrySiS

Каждый подобный элемент содержит все данные, которые необходимы для его расшифровки.

Файлы размером менее 262 144 байта зашифровываются полностью, а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку.

Стоит отметить, что файлы, размер которых превышает 262 144 байта, шифруются лишь частично, однако и в этом случае использовать их не удастся. Такой способ работы вымогателя приводит к тому, что крупные файлы после шифрования еще больше увеличиваются в размере.

После блокировки этих файлов программа-вымогатель отображает сообщение, расположенное ниже, которое описывает способ возвращения доступа к зашифрованным данным. Это сообщение также содержится в файле под названием «Decryption instructions.txt», «Decryptions instructions.txt» или «README.txt» на рабочем столе зараженного ПК. 

Вот пара примеров сообщений программы CrySiS с требованием выкупа:

Globe

Данная программа, существующая примерно с августа 2016 года, написана на языке Delphi и обычно упакована UPX. Некоторые варианты также упакованы при помощи установщика Nullsoft:

  • bc4c0b2f6118d36f4d476db16dbd6bcc0e393f2ad08429d16efe51f3d2870d58
  • fdc8de22653ebcf4cb8f5495b103e04079b0270efa86f713715f0a81f1b2e9b0

В распакованном бинарном виде программа представляет собой глобальный интерфейс «настройки», в которой автор вымогателя может вносить некоторые изменения в ее характеристики:

  • изменять конечное имя исполняемого файла в папке %APPDATA%;
  • изменять расширение зашифрованных файлов;
  • изменять список типов файлов (расширений), которые будут зашифрованы;
  • изменять сообщение с требованием денег, имеющее формат HTML;
  • включать и выключать шифрование имен файлов;
  • включать проверку песочниц (VirtualBox, VirtualPC, Vmware, Anubis);
  • включать автозапуск вредоносной программы;
  • включать удаление вирусом точек восстановления и прочее.

Так как злоумышленники могут изменять программу, мы столкнулись со множеством различных вариантов создания зашифрованных файлов с разнообразными расширениями.

Примечательно, что программа-вымогатель имеет режим отладки, который может быть включен при помощи следующей настройки реестра:

Вирус блокирует файлы при помощи алгоритмов RC4 или BlowFish. Когда программа-вымогатель настроена на шифрование имен файлов, она выполняет его при помощи того же алгоритма, который использовался в отношении самого файла. Затем название шифруется при помощи собственной реализации кодирования Base64.

Вот несколько примеров созданных расширений, которые могут быть расшифрованы при помощи утилиты Avast:

  • .globe
  • .GSupport3
  • .siri-down@india.com
  • .zendrz
  • .decryptallfiles@india.com
  • .MK

Как правило, данная программа-вымогатель создает файлы с именем «Read Me Please.hta» или «How to restore files.hta», которое отображается после входа пользователя в систему.

Не платите вымогателям! Используйте дешифратор для файлов Globe.

NoobCrypt

NoobCrypt, который я открыл летом 2016 года, написан на языке C# и использует алгоритм шифрования AES256. Программа имеет запоминающийся графический интерфейс, который отображается после блокировки доступа к файлам.

Данный экран с требованием выкупа — странная смесь сообщений. К примеру, он требует выплатить определенную сумму в долларах Новой Зеландии (NZD), но средства предлагает перевести на адрес в системе Bitcoin. В то же время текст с гордостью заявляет, что программа «создана в Румынии». Странное сочетание.

Название «NoobCrypt» было выбрано мной на основе обнаруженных в коде сообщений и ключа для расшифровки:

Чтобы расшифровать файлы, программа NoobCrypt предлагает «код разблокировки», который необходимо купить.

В мной были опубликованы бесплатные ключи для удаления всех известных версий программы NoobCrypt (примеры: 1, 2, 3). Однако определять, какой из них следует использовать, приходилось вручную.

Благодаря нашему инструменту для дешифровки вам уже не придется гадать, какой код нужно применить.

Вскоре после публикации кодов, исследователь программ-вымогателей с сетевым именем xXToffeeXx сообщил нам о создании новой версии NoobCrypt, которая рекламировалась во множестве магазинов в сетях Darknet. Стоимость этой версии, находящейся в продаже, составляет $300.

Автор даже подготовил демонстрационное видео, демонстрирующее функции, которые представлены как новые, в том числе использование «шифрования военного уровня» и «невозможность обнаружения антивирусами (кроме AVG)», что является обманом: многие антивирусы способны обнаружить эту программу.

Как видно на снимке внизу, автор даже упоминает мое имя на экране с инструкциями по выплате денег и за что-то меня благодарит. Возможно, за то, что я дал этому набору некачественного кода соответствующее название (теперь оно используется официально).

Сегодня мы представляем инструмент для дешифровки NoobCrypt, подходящий для всех его известных версий. Процесс разблокировки теперь выглядит намного проще, чем подбор нужного кода. Теперь вам не нужно платить деньги за предоставление ключа. И тем более полагаться на расшифровку своих файлов программе-вымогателю.

Ознакомьтесь с описанием программы NoobCrypt и инструментом для дешифровки на нашем сайте.

Как не стать жертвой программы-вымогателя

Прежде всего убедитесь, что на всех ваших устройствах установлен антивирус, например Avast (даже смартфоны могут быть заражены программой-вымогателем). Антивирус сможет заблокировать программы-вымогатели еще до того, как они причинят ущерб.

Следующая составляющая собственной безопасности — рациональность и предусмотрительность. Распространители программ-вымогателей часто используют методы социальной инженерии, чтобы обманом заставлять людей скачивать вредоносное ПО.

Будьте осторожны при открытии ссылок и подозрительных вложений в почте, а также при скачивании материалов из Интернета. Убедитесь в надежности отправителя сообщения, скачивайте программное обеспечение только с доверенных сайтов.

Необходимо также выполнять регулярное и правильное резервное копирование своих данных. Храните резервные копии данных удаленно, иначе они могут также быть заблокированы вредоносным ПО.

Если вам не повезло и вы стали жертвой программ-вымогателей, попробуйте наши инструменты для дешифровки и проверьте, сможем ли мы помочь вам вернуть свои файлы!

Выражаю благодарность своим коллегам, Ладиславу Зезуле (Ladislav Zezula) и Петру Щепански (Piotr Szczepanski), за подготовку дешифраторов, а также Яромиру Горейши (aromír Hořejší)  за его анализ программы Alcatraz Locker.

Следите за нашими новостями в социальных сетях:
ВКонтакте 
 

IOCs

Alcatraz Locker

918504ede26bb9a3aa315319da4d3549d64531aa593bfad71a653292899fec

b01cfc16f9465fd67a6da91d5f346ed3f07eb76b86967758ab1089d4e6399971

b8949ae0d1a481af1cae9df5e01d508d1319b6d47329e9b42627e4e2a72a3d

be3afa19c76c2270ccac7eacf68f89603032c0588f721215e15a9d1421567969

CrySiS

04c2ca82353deeb7e007ba40de82cd4fac516bfe760c8dae1e78d568ff4f

0629ea3504e6cb577c961c6f0d37392b70b15d84b4df51a05a16d69304d8aa4d

2437e179229b7240ca2db1a7a520bc194c1ce0992c015e79cc8af611e97667f7

44c8ebd4d36950d836449df3408f6511b7256dc63c379b9835517d80a33eb8f5

47035f9e75be0a29c07c05fe54e6cacf05e18bdc5ab770efabd7f594a6b05a22

4c3f02aec4e1797f2853bb2255766cddc4edc716e8f7310909ba68676d651637

bdadaec64745f609aed3eac457046849aa6d96c1c6a2863f3c8007da6b56d1f2

e9744e8eb6c7108c74918d02810a5608082663cccd8f2708c59399089693b31e

Globe

5e714797afc35196be1f7d0bb536c2dcd4f5a18df15975ab283e353ef1f37176

6a7d674f5a587655ee22093d17a958e01131675dda73502efc0a082be6970fc5

82cdae2b1866f2c536a21ee60e1c74a6b94c12bc3b13c38be2d0c3689ce5f0c8

9727aca489a72eecacbfd00b451aaf91a56e061856a7f1989792cf9557156749

eda8b8af7b8d7d00da49f5f0a2dfa21b35ab510e4d9a625985eaef0e1d5ecbbf

f365425e42fc2fa4c0eac4a484ca9f8ef15d810de6a097ac8b071a13e803e117

NoobCrypt

571434bcc4cf4fadba142967a5ee967d907bd86adf1a380fccbb8c4c9995dd0f

8c341a114a229e75d4b4342c4288f18dc059b0c7740fc59789414c811c3a9e

974d2a36971b0f05c8a2d5b0daaee93732b78f0edeb4555aadbc1b7736ce995f

b34aac65a853b975810ef026d7ce8ed953d6b5d4c6279bda38f58eaff2fa461c

bb00898bc70469b39dfd511163b2b8a75e36d7ec4a455f0db6c6c9a26600ed

d2d2b0a4e51c185ac032cd32576ae580d885f89a23e3886a04f38424e6a17a

f5329b87967aa978cd47ec7c6332fd013062593d05d65f28a46f3106a9ad894a

Источник: https://blog.avast.com/ru/4-besplatnyh-deshifratora-dlya-fajlov-zarazhennyh-programmoj-vymogatelem

Вирус .cbf (вирус-шифровальщик): расшифровать. Расширение .cbf

Дешифровка cbf файлов

С 2014 года в Сети появилось несколько новых разновидностей новейших вирусов-шифровальщиков, подобных их предку – вирусу под названием I Love You. К сожалению, CBF-вирус-шифровальщик расшифровать даже доступными способами, предлагаемыми ведущими разработчиками антивирусного, ПО сегодня не удается. Однако некоторые рекомендации по восстановлению зашифрованной информации все-таки есть.

Вирус CBF: одного поля ягоды

На сегодняшний день известно как минимум три вируса-вымогателя. Это вирус CBF, а также вирусы XTBL и VAULT.

Ведут они себя практически одинаково, предлагая после зашифровки важных файлов и документов заплатить за получение кода, который бы смог произвести дешифрование данных (как правило, после возникновения сообщения на мониторе приходит письмо с требованием оплаты услуг по расшифровке).

Увы, наивные юзеры спешат заплатить n-ную сумму или даже отправляют примеры зараженных файлов злоумышленникам. А ведь если разобраться, такая информация для многих компаний является конфиденциальной, а при отправке становится достоянием общественности.

Чем чревато проникновение вируса в компьютерную систему или сеть?

Сам вирус в большинстве случаев проникает в систему через письма, получаемые посредством электронной почты, реже – при посещении сомнительных страниц в Сети.

Заметить появление угрозы может далеко не каждый, даже самый мощный антивирусный пакет. Более того, на самой ранней стадии он не определяется даже портативными утилитами вроде Dr. Web Cure It!. Поскольку вирус является самокопирующимся, со временем он своими щупальцами захватывает всю систему.

При первых симптомах может сразу же проявиться чрезмерная нагрузка на центральный процессор, а также несанкционированное использование оперативной памяти. В данном случае, например, при входе в тот же «Диспетчер задач» можно увидеть процесс под названием Build.exe.

Кстати, в основной администраторской директории или папке текущего пользователя создается раздел программных файлов x86, в котором присутствует папка RarLab, содержащая искомый файл Build.exe, checkdata.dif и winrar.tmp. Кроме того, файл Build появляется и на «Рабочем столе».

Затем в браузере, используемом для серфинга по Всемирной паутине, могут появиться картинки, содержащие порно или ссылки на сайты эротического содержания.

Далее следует заражение. Как правило, переименовываются файлы офисных приложений вроде Microsoft Excel, Access и Word. Также проблемы могут возникать с базами данных форматов .db и .dbf (чаще всего «1С: Бухгалтерия».

К основному расширению добавляется .cbf, но прочитать (открыть) такие файлы возможным не представляется, поскольку сам CBF-вирус-шифровальщик расшифровать зараженные объекты не может (попросту не умеет).

Как поступить в этом случае?

Во-первых, нужно четко понимать, что здесь нужно действовать максимально корректно. Если вирус определяется каким-либо программным обеспечением, его нельзя удалять!!! Нужно поместить угрозу в карантин, который присутствует практически во всех приложениях такого типа.

Удаление или очистка приведут только к тому, что основные исполняемые элементы исчезнут, но зашифрованная информация все равно будет нечитабельна. Зато из карантина можно будет отправить файл на проверку в онлайн-лабораторию производителя установленного антивируса в системе. Но и это работает далеко не всегда.

Как поступить в простейшем случае?

Итак, расширение .cbf вирус файлам уже присвоил. В зависимости от срока действия, может наблюдаться несколько ситуаций: либо файлы просто зашифрованы, либо блокируется вход в Windows (даже «Рабочий стол» недоступен).

Оговоримся сразу: ни о каких перечислениях денежных средств и речи быть не может. Для начала лучше поискать базы данных в интернете с другого компьютера, которые содержат большинство известных кодов для разблокирования доступа (воспользоваться можно хотя бы разделом Unlocker на официальном сайте Dr. Web). Правда, не факт, что такие коды подойдут. Придется лечить систему собственноручно.

Восстановление системы

CBF-вирус расшифровать (вернее, последствия его воздействия на файлы), каким-то стандартным способом не получится, ведь в нем применяется алгоритм 1024-битного шифрования. Если кто не знает, сегодня актуальной является 256-битная система AES. Можно попытаться восстановить исходные данные путем обращения к Windows Restore.

Если вход в систему возможен, найти данный раздел можно в «Панели управления» и сделать откат из контрольной точки, предшествующей заражению. Если вход в Windows блокируется сообщением с требованием перечисления денег, можно попробовать несколько раз принудительно перезагрузить компьютерный терминал или ноутбук.

Делать это придется до тех пор, пока система «не созреет» для восстановления в автоматическом режиме. Естественно, можно попробовать использовать восстановительный диск, попытаться производить действия с командной строкой и полностью перезаписывать загрузочные секторы, хотя шансов на успех мало.

Это работает только на ранних стадиях, когда вирус-шифровальщик CBF только проник в систему или сеть.

Восстановление прежних версий файлов

Если откат системы не помогает, следует воспользоваться специальными возможностями восстановления прежних версий файлов, которые заложены в самих ОС Windows.

Для этого нужно через «Проводник» зайти в свойства выбранного диска или раздела и использовать вкладку предыдущих версий файлов. После таких действий, опять же, потребуется выбрать контрольную точку, затем открыть и скопировать нужные файлы в другое место. Такой способ во многих случаях оказывается более действенным.

Использование дешифраторов

Если рассматривать методы, предлагаемые разработчиками антивирусного ПО, расширение CBF-вируса можно попытаться убрать при помощи специальных приложений-дешифраторов (но только официальных, а не пользовательских разработок вроде декодеров непонятного происхождения).

Однако сразу стоит отметить, что они работают только при условии наличия установленной официальной версии антивирусного сканера с соответствующим лицензионным ключом. В противном случае можно только навредить. Вирус попросту удалится, после чего даже возможности связаться со злоумышленниками не будет. Тут придется заниматься повторной инсталляцией всей системы.

Чего не стоит делать ни в коем случае?

Как уже понятно, CBF-вирус-шифровальщик расшифровать файлы, им же и зараженные, не может. Отдельно стоит обратить внимание на действия, которые выполнять не рекомендуется категорически. Отметим самые важные пункты:

  • использование дешифраторов при установленной «крэкнутой» версии антивируса;
  • переименование зараженных файлов с целью изменения расширения;
  • очистка кэша и истории браузера до отправки подозрительных файлов на анализ разработчику антивирусного ПО;
  • переустанавка операционки без форматирования дисков или логических разделов;
  • отправка денег и файлов на расшифровку неизвестным или подозрительным источникам, например, на почтовые адреса вроде iizomer@aol.com с какой-то еще припиской.

В целом же нужно четко понимать, что CBF-вирус-шифровальщик расшифровать собственными силами просто не получится. Уж лучше обратиться к официальным сайтам антивирусных лабораторий вроде «Касперского», где в специальном разделе можно оставить проблемные файлы для анализа, или отправить карантинный файл непосредственно из программы.

Однако (это утверждается всеми разработчиками) лучше к зараженному файлу приложить оригинал, если таковой имеется, скажем, в виде копии на каком-то съемном носителе. В данном случае расшифровка станет намного проще, хотя далеко не факт, что нужные пользователю файлы буду восстановлены.

Как правило, и это подтверждает большинство отзывов пользователей, служба поддержка обычно молчит очень долго, а если и расшифровывает данные, это касается единичных файлов.

А что делать с массивами в десятки или сотни гигабайт? Такой объем даже при помощи специальных «облачных» сервисов отправить, а тем более восстановить, просто нереально.

Но будем надеяться, что разработчики все-таки найдут средство лечения зараженных файлов и способ противодействия проникновению угроз этого типа в компьютерные системы и сети.

Источник: https://FB.ru/article/237085/virus-cbf-virus-shifrovalschik-rasshifrovat-rasshirenie-cbf

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.