Obnova dat po zavirování

V případě, že dojde k napadení systému virem, trojským koněm nebo jiným škodlivým kódem z důvodu selhání primárního antiviru (nebo jeho nepoužíváním) bývá často použití specializovaného jednoúčelového removeru nejrychlejším a nejlevnějším řešením, jak se takové nepříjemné "nákazy" zbavit. Před tímto zásahem je však nezbytně nutné provést zálohu všech uživatelských dat!

Pokud již však nejsou uživatelská data (soubory) dostupné, dopručujeme neriskovat následný provoz a kontaktovat specialisty na obnovu dat. Záchrana dat ze zavirovaného PC musí vždy probíhat velmi obezřetně tak, aby byla šance na záchranu dat maximální a zároveň aby nedocházelo nevhodným postupem ke zhoršování situace, nebo dokonce šíření nákazy na další nosiče (např. v rámci sítě LAN, více např: záchrana dat ze síťového úložiště NAS)

Chcete vědět víc? Jednorázové antivirové removery zdarma na BITDEFENDER.com

Běžné škodlivé kódy zpravidla nepůsobí datově destruktivně, tj. nezpůsobí ztrátu dat, nebo jejich nedostupnost. Jejich cílem bývá nenápadné se začlenění do systému a práci na jeho pozadí. Problematika "zavirování" je však natolik široká a odborná, že k je k jejímu, alespoň okrajovému studiu potřeba využít externích informačních zdrojů. Začít můžete např. na www.viry.cz.

Ransomware - vydírání na dálku

Zcela odlišná situace ovšem nastává v případě, že je systém napaden škodlivým kódem nazývaným všeobecně "ransomware". Typickým představitelem je např. CryptoLockerWikipedia (Troj/Ransom-ACP”, “Trojan.Ransomcrypt.F). Cílem takového kódu je znepřístupnit uživatelská data a následně nutit majitele dat zaplatit výkupné za jejich dešifrování. Aplikace zašifruje celé nebo časti typických a bežných souborů (dokumenty, multimediální soubory), což však zpravidla nenaruší běh operačního systému.

Takové soubory jsou pak běžně zobrazené jako soubory s patřičnou extenzí (např. jpg, .doc, pdf atp.) a v korektní adresářové struktuře, ale pokus o jejich otevření selže.

Korektní nešifrovaná část hlavičky souboru JPG Kryptovaná část hlavičky souboru JPG
Obr.1: Takto vypadá část hlavičky souboru JPG v ANSI a UNICODE kódování, tak jak ji zobrazí hexadecimální editor. Jak vidíte, v úvodní časti jsou uložené některé čitelné údaje tzv. EXIF metadat souboru.
Obr.2: Taktéž hlavička bitmapy ve formátu JPG. Úvodní část souboru, typicky 512B je však kryptováno. Z tohoto důvodu selhává i snaha o obnovu dat na základě jednoznačné signatury souboru

Z naší zkušenosti bohužel plyne jediné. Obnova šifrovaných dat bez znalosti klíče nemá z principu věci šanci na úspěch. Vzhledem k použití (typicky) 1024-bit klíče nepřipadá v úvahu jak slovníková tak brute-force metoda. Čtěte více: obnova dat ze šifrovaného disku

Existují sice případy, kdy bylo nahlášeno úspěšné dešifrování jednotlivých souborů, nebyl však uveřejněn žádný postup využívající např. backdoor v tomto kryptování, který by umožnil obnovit data spolehlivě v masivním měřítku.

Jak se pokusit obnovit data po takové infekci?

Vzhledem k tomu, že prozatím neznáme možnost jak obnovit již kryptovaná data, je nutné přistoupit k problematice z jiného směru. Pokusit se získat původní soubory buď ze svých záloh ;-), nebo pomocí integrované utility operačního systému Windowstm "Obnovit předchozí verze - Restore previous versions" nebo pomocí utility Shadow Explorer. Více informací k postupu naleznete např. zde (bez zodpovědnosti MyBlueDay!).

Poslední možností bývá v tomto případě pokus o zaplacení výkupného. Avšak vzhledem k množství klonů a subverzí původního kódu existuje dle společnosti Norton více než 3% pravděpodobnost, že i po zaplacení částky od 50 do 500 USD (platba probíhá v BTC - Bitcoin) nedojde k uvolnění klíče pro dekryptování dat.


Jaký je šestý den v týdnu?


Záchrana na externím disku
Záchrana z externího disku všech výrobců s rozhraním USB, FireWire, eSATA, Thunderbolt a LAN. Jedno a vícedisková řešení. Mechanické a elektronické závady.
Záchrana z HDD
Záchrana z disku (HDD/SSD) z notebooku, PC, Mac, NAS nebo RAID pole všech výrobců a modelů s rozhraním PATA, SATA, SCSI, SAS, M.2.
Záchrana z paměťové karty
Záchrana z karty všech výrobců a typů. Typicky SD/SDHC/SDXC, CompactFlash CF, CFast, CFExpress. Vyčítání přímo z paměťového čipu u elektronických závad.