Как расшифровать exe файл

Как открыть расположение исполняемого EXE файла программы в Windows

При обычной работе с компьютером: запуске программ, игр, системных утилит, пользователи обычно используют их ярлыки или запуск в диалоговом окне «Выполнить». Однако иногда требуется получить доступ к фактическому расположению исполняемого файла для каких-либо действий в нём.

В этой инструкции для начинающих подробно о способах открыть расположение EXE файла для классических программ и игр, а также для приложений Microsoft Store в Windows 11 и 10.

Открытие папки с EXE файлом для классических программ

Попасть в расположение (папку) файла с классическим приложением (не из Microsoft Store) можно несколькими способами, в зависимости от конкретной ситуации. Основные простые способы открытия расположения исполняемого файла:

1. Если ярлык программы находится на рабочем столе, нажмите по нему правой кнопкой мыши и выберите пункт «Расположение файла».
2. Если программа представлена в меню «Пуск», нажмите по ней правой кнопкой мыши, выберите пункт «Дополнительно» — «Перейти к расположению файла». Вы попадете в папку, где хранится ярлык этой программы в меню «Пуск». Нажмите по нему правой кнопкой мыши и выберите пункт «Расположение файла».
3. Можно использовать поиск в панели задач, он подойдет, в том числе, для системных инструментов, не представленных в меню «Пуск». Используйте поиск, чтобы найти нужную программу, после чего нажмите «Перейти к расположению файла» в панели справа, либо нажмите правой кнопкой мыши по результату и выберите нужный пункт контекстного меню.
4. Если ярлык программы закреплен в панели задач или программа запущена (обязательно с ярлыка) и её значок отображается на панели задач, вы можете: нажать правой кнопкой мыши по значку программы, затем нажать правой кнопкой мыши по имени программы в открывшемся меню и открыть пункт «Свойства»: откроются свойства ярлыка, где вы найдете кнопку «Расположение файла», также оно будет указано в поле «Объект».
5. Для запущенных программ можно открыть диспетчер задач (например, через меню Win+X), найти её в списке процессов, нажать по ней правой кнопкой мыши и выбрать пункт «Открыть расположение файла».

В большинстве случаев этих методов для простых программ и игр Windows 11/10 будет достаточно.

Есть и другие методы: например, в окне панели управления «Программы и компоненты» можно включить отображение столбца «Расположение», после чего вручную перейти в соответствующую папку в Проводнике или другом файловом менеджере:

А если нажать клавиши Win+R и ввести команду

explorer.exe shell.

откроется окно со всеми установленными программами, где через контекстное меню можно перейти к расположению ярлыка, а уже через его контекстное меню — открыть папку с исполняемым файлом.

Приложения Microsoft Store

Встроенные приложения Windows 11/10 и приложения из Microsoft Store обычно также имеют исполняемые EXE файлы, но открыть их расположение описанными выше способами не получится. Однако варианты решения есть:

• Для запущенных программ — использовать сторонний диспетчер задач, например, ProcessExplorer, доступный для загрузки на сайте Майкрософт — в нем достаточно будет найти процесс соответствующего приложения, дважды нажать по нему, чтобы открыть свойства, после чего нажать кнопку «Explore» для перехода к расположению файла.
• Использовать бесплатную утилиту Store Apps Tool, специально предназначенную для работы с приложениями Microsoft Store с функцией открытия расположения выбранного приложения.

Сами приложения Microsoft Store по умолчанию находятся в скрытой папке C:\Program Files\WindowsApps однако для доступа к ней вручную потребуется изменять права доступа, чего я не стал бы рекомендовать большинству пользователей.

Если у вас остались вопросы, касающиеся открытия папки с EXE файлом приложения, вы можете задать их в комментариях ниже, я постараюсь помочь.

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
• Как выйти из полноэкранного режима в Windows
• Как включить компактный вид панели быстрых настроек Windows 11
• Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
• Msftconnecttest.com — что это и как исправить возможные ошибки

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники

• Живые обои на рабочий стол Windows 11 и Windows 10
• Лучшие бесплатные программы на каждый день
• Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
• Как смотреть ТВ онлайн бесплатно
• Бесплатные программы для восстановления данных
• Лучшие бесплатные антивирусы
• Средства удаления вредоносных программ (которых не видит ваш антивирус)
• Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
• Бесплатные программы удаленного управления компьютером
• Запуск Windows 10 с флешки без установки
• Лучший антивирус для Windows 10
• Бесплатные программы для ремонта флешек
• Что делать, если сильно греется и выключается ноутбук
• Программы для очистки компьютера от ненужных файлов
• Лучший браузер для Windows
• Бесплатный офис для Windows
• Запуск Android игр и программ в Windows (Эмуляторы Android)
• Что делать, если компьютер не видит флешку
• Управление Android с компьютера

• Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
• Настройка возможностей восстановления Apple ID на iPhone
• Как выйти из полноэкранного режима в Windows
• Как включить компактный вид панели быстрых настроек Windows 11
• Delta — эмулятор старых консолей на iPhone теперь доступен в AppStore
• Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
• Msftconnecttest.com — что это и как исправить возможные ошибки
• Как вывести результат выполнения команды в файл в Windows
• Как запускать программу на определенном мониторе в Windows
• Как запретить использование режима Инкогнито в браузере
• После изменения числа процессоров и максимума памяти Windows перестала запускаться — что делать?
• Использование Desktop.ini Editor для редактирования свойств папок Windows
• Флешка отображается как два отдельных диска — почему и что делать?
• Как удалить дубликаты фото и видео на iPhone
• Компьютер или ноутбук не запускается после замены батарейки CMOS — что делать?

• Windows
• Android
• iPhone, iPad и Mac
• Программы
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Ноутбуки
• Wi-Fi и настройка роутера
• Интернет и браузеры
• Для начинающих
• Безопасность
• Ремонт компьютеров

• Windows
• Android
• iPhone, iPad и Mac
• Программы
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Ноутбуки
• Wi-Fi и настройка роутера
• Интернет и браузеры
• Для начинающих
• Безопасность
• Ремонт компьютеров

Как расшифровать exe файл

Хочу перевести exe файлы, но не получается. При открытии Restorator’ом экзешника, говорит: «Ресурс повреждён (вероятно файл сжат или зашифрован)» Так вот, как его расшифровать/распаковать? Пытался распаковать софтом с сайта http://www.exetools.com, но не чего не получилось. Если кто то умеет объясните или распакуйте exe файлы в архиве:
exe.zip ( 326.98 КБ )

Файлы взяты с английской прошивки MIO A701 и так как я делаю русскую, мне нужно их перевести.

28.10.08, 19:19 | #2
●

Почётный форумчанин
Реп: ( 1410 )
Коллега, вопрос скорее к программерам..
Туда и переезжаем
28.10.08, 21:30 | #3
●

Разработчик
Реп: ( 332 )

Хищник,
Файлы запакованы UPX’ом.
Распаковать их можно прям на КПК или на ББ.
UPX4PPC и UPX4PC — здесь найдешь то, что тебе нужно для распаковки..

29.10.08, 06:49 | #4
●

Постоянный
Реп: ( 231 )

Скачал программу UPX4PC, выбрал Decompression, нажимаю на Старт, пишет- Decompression Completed. Открываю Ресторатором и опять вижу: «Ресурс повреждён (вероятно файл сжат или зашифрован).»

30.10.08, 00:32 | #5
●

Разработчик
Реп: ( 332 )

Хищник,
Возможно, не то скопировал, не знаю..
Распакованные файлы отлично открываются и ресурсы все видны.
Вообщем, вот, в аттаче уже распакованные файлы. Удачи в переводе 🙂

Прикрепленные файлы

Сообщение отредактировал en-trance — 30.10.08, 00:33

Как расшифровать exe файл

Файл формата exe: чем открыть, описание, особенности

EXE – распространенный файловый формат еще со времен ОС MS-DOS. Рассмотрим, что это за файлы, их наз.

• Стартовый блок установки.
• Данные для загрузчика файла.
• Ресурсы программы – графические, медиа-элементы в сжатом виде.
• Формы объектов – иконки программ, листы.

ОС Microsoft Windows 7

• 7Zip – утилита для сжатия данных. Нужный файл выбирается при помощи пункта меню архиватора.
• VMware ThinApp – софт для просмотра и переноса программ на другие платформы.
• Microsoft Visual Studio – программа для разработки приложений.
• IcoFX – утилита для просмотра, изменения значков из файловых ресурсов.

Битва потрошителей. Выбираем лучший редактор для вскрытия исполняемых файлов Windows

Так как мы в основном исследуем исполняемые файлы и динамические библиотеки для Windows, я брал только те РЕ-редакторы, которые работают в этой ОС. Если какой-то из инструментов поддерживает другие операционные системы и их исполняемые файлы (например, ELF), то это только плюс, но в данном случае для нас особого значения не имеет.

Мы будем выбирать утилиты на основе разумных и понятных факторов: функциональность, цена, удобство использования и частота обновления. Совсем старые решения, позволяющие редактировать бинарники для MS-DOS или Windows 9x, нам рассматривать ни к чему. Если какой-то из редакторов распространяется платно, то мы воспользуемся ознакомительной версией и отдельно отметим, какие функции в ней доступны. Но самый главный критерий будет состоять во взломе настоящего кракми.

Чтобы не тратить время на создание подопытной программы, мы воспользуемся уже готовой — passCompare35 . Именно на ней и будем испытывать разные тулзы. По большому счету, чтобы взломать наш простой крякмис, PE-редактору надо обладать не такой уж широкой функциональностью: перейти по указанному адресу и переписать команду (желательно в дизассемблерном листинге). Править циферки в шестнадцатеричном дампе мне совсем не хочется (вероятно, тебе тоже), поэтому наличие встроенного дизассемблера запишем в ключевые свойства.

Как ты помнишь, с помощью отладчика мы нашли в памяти адрес инструкции (см. четвертую статью «Фундаментальных основ»), которая определяет ход выполнения программы при вводе пароля. А благодаря сведениям из третьей статьи этот виртуальный адрес у нас получилось преобразовать в физический, находящийся на носителе. Таким образом, перейдя в исполняемом файле по адресу 0x402801 и заменив там инструкцию test на xor , мы получим программу, принимающую любые пароли. Меньше слов, больше дела!

PE-Explorer

Разработчик: Heaventools Software
Сайт: http://www.heaventools.ru/pe-explorer.htm
Дата выхода последней версии: Октябрь, 2009
Стоимость: $129 – персональная лицензия

Под первым номером идет довольно распространенный редактор PE-Explorer. В отличие от своего собрата Resource Tuner, он способен редактировать не только ресурсы приложения, но и код. Несмотря на свой почтенный возраст, исправно работает даже в Windows 10. К сожалению, PE-Explorer умеет работать только с 32-битными файлами и при попытке открыть 64-битный бинарник сообщает об ошибке.

Утилита обладает богатой функциональностью: отображает все элементы заголовка РЕ, определяет, к каким DLL происходит обращение, предсказывает поведение программ и логику взаимодействия с другими модулями и даже открывает запакованные UPX, UPack или NSPack файлы. Кроме того, она позволяет просматривать и редактировать секции PE-файла, исследовать содержимое таблиц импорта и экспорта и проверять наличие и целостность цифровой подписи. В качестве «вишенки на торте» тут присутствует полноценный дизассемблер.

Но это только на словах, а на деле мы его сейчас проверим. Из-за того что продукт платный, я использовал триальную версию, готовую работать на протяжении 30 дней. Об урезанных функциях ничего сказано не было.

Запустим редактор и сразу же откроем наше подопытное приложение. PE-Explorer первым делом выводит информацию о заголовке PE-файла. Для получения сведений об остальных разделах достаточно пощелкать кнопки на панели инструментов. Жмем пиктограмму Disassembler и открываем окно для выбора поддерживаемых инструкций: SSE, SSE2 и прочее. Указываем необходимые и начинаем процесс нажатием кнопки Start Now .

В открывшемся окне большую часть занимает область с дизассемблерным листингом, чуть ниже располагается шестнадцатеричный дамп. Если в заголовке нижней панели выбрать вкладку Strings, то отобразятся все строки в исследуемом приложении. Так что поиском можно найти и эталонный пароль. Однако для этого пришлось бы перебрать весь внушительный список доступных строк, так что отложим этот вариант до худших времен.

Так как мы с помощью отладчика нашли адрес инструкции, которая отвечает за ход выполнения программы, то попробуем проверить этот адрес в PE-Explorer: нажимаем Ctrl-F (или Search → Find) и вводим адрес для поиска: 402801 .

Что ж, я немного разочарован результатом дизассемблирования. Даже отладчик в этом месте показывает мне инструкцию test , а здесь я вижу лишь начало ее шестнадцатеричного кода: 0х85 . При этом я не могу редактировать код! Зачем мне все эти возможности, если утилита не позволяет делать самую базовую вещь?

Я даже не могу списать этот недочет на ограничения демоверсии, так как о ее отличиях от платной ничего толком не сказано. Допускаю, что с теми целями, для которых этот продукт предназначен (статическое изучение приложения и вектора его выполнения), он справляется хорошо. Однако нашим требованиям программа не соответствует, поэтому смело вычеркиваю PE-Explorer из списка кандидатов.

FlexHex

Разработчик: Heaventools Software
Сайт: http://www.heaventools.ru/flexhex-hex-editor.htm
Дата выхода последней версии: Июль, 2018
Стоимость: $59,95

Думаю, нужно дать разработчику еще один шанс, поэтому рассмотрим другую утилиту Heaventools Software — hex-редактор FlexHex. Это инструмент для редактирования любых файлов, процессов или устройств в двоичном формате, ASCII и Unicode. По словам авторов, редактор умеет работать с файлами просто гигантского размера — 8 эксабайт. Кроме того, он поддерживает множество типов данных: байты, слова, двойные слова, восьмибитовые слова, различные десятичные значения со знаком и без, 32- и 64-битовые целые.

Сложные типы данных тут могут быть определены самим пользователем — это структуры, объединения, массивы, перечисления, строки и их сочетания. Обещают прямое редактирование любых значений, в том числе шестнадцатеричных, строковых, изменение областей памяти и типизированных данных. Поддерживаются битовые операции (NOT, AND, OR и XOR над блоками данных) и, конечно же, арифметические операции: сложение, вычитание, умножение, деление и взятие остатка.

Однако главная особенность FlexHex — это возможность сравнения файлов целиком или отдельными блоками. При этом использование карт сравнения позволяет сделать процесс более интуитивным и наглядным.

Все это хорошо, но как утилита справится со взломом — нашей элементарной задачкой? Отсутствие дизассемблера сразу намекает нам, что придется работать в hex-кодах. Запустим FlexHex и откроем с его помощью наш крякмис.

Первым делом попробуем найти смещение 402801 . Кликаем Navigate → Go To и в списке слева выбираем пункт Address, а в поле Enter address вводим значение для поиска. Убеждаемся, что включен режим Hex , и нажимаем кнопку Go To.

Однако результат поиска выносит нас далеко за границы приложения. Обрати внимание, что последние читаемые символы находятся по смещению 0x3659F0 . Если напрячь память, то вспоминается, что в заголовке РЕ базовый адрес (или адрес загрузки модуля) прописан как 0x400000 . А здесь он даже не учитывается!

Ладно, как говорил дедушка Ленин, мы «пойдем другим путем». Строго говоря, FlexHex не понимает формат РЕ и потому его нельзя признать полноценным PE-редактором. Так что нам ничего не остается, как править байтики. Из того же отладчика, где мы нашли проверяющую пароли инструкцию, возьмем уникальную последовательность байтов: 85 C0 74 3C 68 . Она покрывает ассемблерные команды:

Я выбрал такую длинную последовательность, чтобы не было ложных срабатываний. За ключевым байтом 0x74 тут скрывается ассемблерная инструкция JZ . Чтобы сделать из нее JNZ , достаточно переписать как 0x75 . В итоге мы получим программу, кушающую любые пароли, кроме эталонного.

С помощью Search → Find открываем окно и указываем в качестве типа для поиска Hex Bytes и направление. В поле ввода пишем нашу последовательность байтов: 85 C0 74 3C 68 . Есть совпадение! Теперь ставим курсор на 74 , нажимаем Delete и вписываем на этом месте 75 . Сохраняем результат и закрываем редактор. Проверь «пропатченное» приложение, оно теперь должно работать значительно лучше. ��

В целом я бы не сказал, что этот редактор отличается значительным удобством и соответствует нюансам работы благородного крекера. Поэтому отдавать за него 60 долларов кровных лично я бы не стал.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Юрий Язев

Широко известен под псевдонимом yurembo. Программист, разработчик видеоигр, независимый исследователь. Старый автор журнала «Хакер».

Как распаковать зашифрованный exe?

Как запаковать и распаковать файлы? Ну хотя бы распаковать?
Как распаковать архив rar или zip из кода? Знаю, что есть библиотеки UnRar.dll и UnZip.dll, но как.

Распаковать .exe
как можно раcпаковать .exe’шник? Т.е. для получения исходника(самые простые программы,написанные на.

Необходимо распаковать *.exe
Здравствуйте уважаемые форумчане! Задачка конечно сложная! Вообщем вот в чем проблема: есть прога.

Распаковать exe файлы запакованные Launch4j
Помогите распаковать exe файлы пожалуйста искал, но что-то ничего не нашел и еще можете сказать как.

Сообщение от Koza Nozdri

Сообщение от Koza Nozdri

если файл шифрован — для начала определите тип шифрования и длину ключа, чтобы предварительно оценить шансы на возможность расшифровки. Обычно, расшифрован файл может быть только на той системе, на которой был зашифрован (если в алгоритме используется идентификатор системы)

криптор и упаковщик — не совсем одно и то же, упаковщик, если он не самописный можно определить, к примеру с помощью PeID, им же снять, (вернее плагином). Есть и другие способы. Чтобы расшифровать криптованный файл, нужно иметь ключ

Похожие публикации:

1. Как включить 4 айфон
2. Как включить верхние цифры на клавиатуре компьютера
3. Как подключить к ноутбуку 2 наушников блютуз
4. Как узнать пароль от алиэкспресс на телефоне со своего аккаунта

4 бесплатных дешифратора для файлов, зараженных программой-вымогателем

Jakub Křoustek 6 апр 2017

Jakub Křoustek , 6 апр 2017

Подробнее о том, как расшифровать файлы бесплатно и не платить выкуп программам-вымогателям, используя утилиты Avast по удалению вирусов-шифровальщиков.

Программы-вымогатели становятся «флагманом» вредоносного ПО. За последний год мы зафиксировали рост числа атак шифрователей более чем в два раза (на 105%). Подобные вирусы блокируют доступ к файлам на компьютере, кодируя их и вымогая выкуп за предоставление кода для расшифровки.

Как расшифровать файлы бесплатно? Мы рады объявить о выпуске четырех инструментов для удаления программ-вымогателей и дешифровки файлов: Alcatraz Locker, CrySiS, Globe и NoobCrypt. Все дешифраторы для файлов доступны на нашей странице и являются бесплатными.

Там же представлено подробное описание каждого вида программ-вымогателей. Наши инструменты смогут помочь вам удалить вирус-шифровальщик и разблокировать файлы. Утилиты постоянно обновляются по мере развития перечисленных видов угроз.

С момента выпуска первого пакета из семи инструментов Avast для дешифровки нам было приятно получить множество отзывов с благодарностями и рассказами о том, как наши утилиты спасли чьи-то ценные данные или даже бизнес. Надеемся, новые программы для дешифровки помогут еще большему количеству пользователей.

Ниже приведено краткое описание четырех новых видов программ-вымогателей, для удаления которых были разработаны новые бесплатные утилиты.

Alcatraz

Alcatraz Locker — программа-вымогатель, впервые обнаруженная в средине ноября 2016 года. Файлы, заблокированные ею, имеют расширение .Alcatraz. Когда они зашифрованы, появляется подобное сообщение, которое расположено в файле ransomed.html на рабочем столе зараженного компьютера:

В отличие от большинства видов шифрователей, программа Alcatraz не имеет заданного списка расширений файлов, на которые она нацелена. Иными словами, программа шифрует все, что может. Чтобы предотвратить нанесение ущерба операционной системе, Alcatraz Locker шифрует только файлы в каталоге %PROFILES% (обычно C:\Users).

Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования):

В тексте сообщения с требованием выкупа утверждается, что программа использует шифрование AES-256 с 128-битовым паролем. Анализ данного вредоносного ПО показал, что это не так (применяется 128-байтовый, а не 128-битовый пароль). Однако вирус использует 160-битовый хэш (SHA1) в качестве исходного ключа для 256-битового шифрования AES. В API-интерфейсе шифрования, который используется программой, это реализуется довольно интересным образом:

1. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x36.
2. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
3. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash1).
4. Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x5C.
5. К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
6. Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash2).
7. 160 битов Hash1 и 96 битов Hash2 объединяются.

Получившийся объединенный хэш используется в качестве исходного ключа для AES256.

После выполнения шифрования AES-256 программа-вымогатель также кодирует уже зашифрованный файл с помощью позиционной системы счисления с основанием 64 (BASE64), в результате чего зашифрованный файл приводится к типичной модели:

Согласно сообщению шифрователя, единственным способом вернуть свои данные является выплата 0,3283 биткойна (около $370 на момент написания статьи). Но теперь вернуть доступ к файлам можно бесплатно, воспользовавшись инструментом Avast для дешифровки Alcatraz. Существование 30-дневного ограничения, о котором идет речь в сообщении с требованием денег — еще один обман: расшифровать свои документы можно в любое время, даже спустя 30 дней.

CrySiS

Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокировке.

Хотя идентификационный номер и адрес электронной почты меняются довольно часто, есть только три различных имени расширений, которые, используются до сих пор:

.xtbl, .lock и .CrySiS.

В результате имена зашифрованных файлов могут выглядеть так:

• .johnycryptor@hackermail.com.xtbl
• .systemdown@india.com.xtbl,
• .Vegclass@aol.com.xtbl,
• ..lock
• .CrySiS

Каждый подобный элемент содержит все данные, которые необходимы для его расшифровки. Файлы размером менее 262 144 байта зашифровываются полностью, а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку. Стоит отметить, что файлы, размер которых превышает 262 144 байта, шифруются лишь частично, однако и в этом случае использовать их не удастся. Такой способ работы вымогателя приводит к тому, что крупные файлы после шифрования еще больше увеличиваются в размере.

После блокировки этих файлов программа-вымогатель отображает сообщение, расположенное ниже, которое описывает способ возвращения доступа к зашифрованным данным. Это сообщение также содержится в файле под названием «Decryption instructions.txt», «Decryptions instructions.txt» или «README.txt» на рабочем столе зараженного ПК.

Вот пара примеров сообщений программы CrySiS с требованием выкупа:

Globe

Данная программа, существующая примерно с августа 2016 года, написана на языке Delphi и обычно упакована UPX. Некоторые варианты также упакованы при помощи установщика Nullsoft:

• bc4c0b2f6118d36f4d476db16dbd6bcc0e393f2ad08429d16efe51f3d2870d58
• fdc8de22653ebcf4cb8f5495b103e04079b0270efa86f713715f0a81f1b2e9b0

В распакованном бинарном виде программа представляет собой глобальный интерфейс «настройки», в которой автор вымогателя может вносить некоторые изменения в ее характеристики:

• изменять конечное имя исполняемого файла в папке %APPDATA%;
• изменять расширение зашифрованных файлов;
• изменять список типов файлов (расширений), которые будут зашифрованы;
• изменять сообщение с требованием денег, имеющее формат HTML;
• включать и выключать шифрование имен файлов;
• включать проверку песочниц (VirtualBox, VirtualPC, Vmware, Anubis);
• включать автозапуск вредоносной программы;
• включать удаление вирусом точек восстановления и прочее.

Так как злоумышленники могут изменять программу, мы столкнулись со множеством различных вариантов создания зашифрованных файлов с разнообразными расширениями.

Примечательно, что программа-вымогатель имеет режим отладки, который может быть включен при помощи следующей настройки реестра:

Вирус блокирует файлы при помощи алгоритмов RC4 или BlowFish. Когда программа-вымогатель настроена на шифрование имен файлов, она выполняет его при помощи того же алгоритма, который использовался в отношении самого файла. Затем название шифруется при помощи собственной реализации кодирования Base64.

Вот несколько примеров созданных расширений, которые могут быть расшифрованы при помощи утилиты Avast:

• .globe
• .GSupport3
• .siri-down@india.com
• .zendrz
• .decryptallfiles@india.com
• .MK

Как правило, данная программа-вымогатель создает файлы с именем «Read Me Please.hta» или «How to restore files.hta», которое отображается после входа пользователя в систему.

Не платите вымогателям! Используйте дешифратор для файлов Globe.

NoobCrypt

NoobCrypt, который я открыл летом 2016 года, написан на языке C# и использует алгоритм шифрования AES256. Программа имеет запоминающийся графический интерфейс, который отображается после блокировки доступа к файлам.

Данный экран с требованием выкупа — странная смесь сообщений. К примеру, он требует выплатить определенную сумму в долларах Новой Зеландии (NZD), но средства предлагает перевести на адрес в системе Bitcoin. В то же время текст с гордостью заявляет, что программа «создана в Румынии». Странное сочетание.

Название «NoobCrypt» было выбрано мной на основе обнаруженных в коде сообщений и ключа для расшифровки:

Чтобы расшифровать файлы, программа NoobCrypt предлагает «код разблокировки», который необходимо купить. В Twitter мной были опубликованы бесплатные ключи для удаления всех известных версий программы NoobCrypt (примеры: 1, 2, 3). Однако определять, какой из них следует использовать, приходилось вручную. Благодаря нашему инструменту для дешифровки вам уже не придется гадать, какой код нужно применить.

Вскоре после публикации кодов, исследователь программ-вымогателей с сетевым именем xXToffeeXx сообщил нам о создании новой версии NoobCrypt, которая рекламировалась во множестве магазинов в сетях Darknet. Стоимость этой версии, находящейся в продаже, составляет $300.

Автор даже подготовил демонстрационное видео, демонстрирующее функции, которые представлены как новые, в том числе использование «шифрования военного уровня» и «невозможность обнаружения антивирусами (кроме AVG)», что является обманом: многие антивирусы способны обнаружить эту программу.

Как видно на снимке внизу, автор даже упоминает мое имя на экране с инструкциями по выплате денег и за что-то меня благодарит. Возможно, за то, что я дал этому набору некачественного кода соответствующее название (теперь оно используется официально).

Сегодня мы представляем инструмент для дешифровки NoobCrypt, подходящий для всех его известных версий. Процесс разблокировки теперь выглядит намного проще, чем подбор нужного кода. Теперь вам не нужно платить деньги за предоставление ключа. И тем более полагаться на расшифровку своих файлов программе-вымогателю.

Ознакомьтесь с описанием программы NoobCrypt и инструментом для дешифровки на нашем сайте.

Как не стать жертвой программы-вымогателя

Прежде всего убедитесь, что на всех ваших устройствах установлен антивирус, например Avast (даже смартфоны могут быть заражены программой-вымогателем). Антивирус сможет заблокировать программы-вымогатели еще до того, как они причинят ущерб.

Следующая составляющая собственной безопасности — рациональность и предусмотрительность. Распространители программ-вымогателей часто используют методы социальной инженерии, чтобы обманом заставлять людей скачивать вредоносное ПО. Будьте осторожны при открытии ссылок и подозрительных вложений в почте, а также при скачивании материалов из Интернета. Убедитесь в надежности отправителя сообщения, скачивайте программное обеспечение только с доверенных сайтов.

Необходимо также выполнять регулярное и правильное резервное копирование своих данных. Храните резервные копии данных удаленно, иначе они могут также быть заблокированы вредоносным ПО.

Если вам не повезло и вы стали жертвой программ-вымогателей, попробуйте наши инструменты для дешифровки и проверьте, сможем ли мы помочь вам вернуть свои файлы!

Выражаю благодарность своим коллегам, Ладиславу Зезуле (Ladislav Zezula ) и Петру Щепански (Piotr Szczepanski), за подготовку дешифраторов, а также Яромиру Горейши (aromír Hořejší) за его анализ программы Alcatraz Locker.

Следите за нашими новостями в социальных сетях: ВКонтакте 
Facebook 
Twitter Одноклассники

Alcatraz Locker