CHKLST.RU

Ищут пожарные, ищет милиция...

отредактировано April 2016 Раздел: Шифровирусы шумной толпою
"...Ищут давно, Но не могут найти..." (с), С.Маршак.

Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроившись у монитора, принимают извергаемый сетевой "пепел" за манну небесную.

восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их надежного шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.

для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:

getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex

для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar

не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден.

поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.

отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "их санкции порвали в клочья нашу экономику" :)

отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.

(с), chklst.ru
Войдите или Зарегистрируйтесь чтобы комментировать.