Перейти к содержанию

Восстановление бэкапов *.tib после шифровальщика


evgalci

Рекомендуемые сообщения

Привествую всех!

Хранились образы системы на локальном диске  (под защитой Acronis Active Protection Service). Ранее были случаи попадания шифровальщика с его действием, но архивы не затрагивались. И вот в декабре 2019г. числа 29. Шифровальщик DHARMA зашифровал бэкапы и все файлы на компе. Размеры бэкапов порядка 25-100Гб. Есть ли возможность в HEX-редакторе произвести замены заголовка бэкапа под восстановление? ПО Acronis True Image была куплена,обращался в техподдержку Acronis, ответа пока нет. Ранее они заявляли, что их пользователи защищены от шифровальщиков. Образцы зашифрованных файлов и сообщение о вымогательстве прикрепляю. Спасибо всем за любую помощь.

архив файлов.rar

post-57041-0-67363100-1578299925_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Архив *.tib создавался Acronis TI, где вирус dharma зашифровал не целиком, это касается всех больших файлов размером более 100Мб. Немного разобрался что повреждено в архиве(образе) *.tib. 1. Заголовок файла размером  262144 байт ( в НЕХ-редакторе с адреса 0000 0000 по 0004 0000 ) прописаны 0. В конце файла также вырезана такого же размера данные и пересоздан новыми данными, где область (если конец удаленного архива считать с адреса 0000 0000 ) по 000C 013F заполнена 0, после идет зашифрованная часть для заголовка и конца файла с 000C 013F по 0010 012F. А теперь о восстановлении самого архива. Брал за исправный образ архива, созданный с того же раздела диска что и архив  который хочу восстановить. Использовал НЕХ-редактор FlexHex ( как по мне очень простой и удобный). Вырезал заголовок с созданного архива и перенес в редактируемый, также в хвосте выполнял разные варианты переноса, каждый раз делал сохранения. Acronis TI при этом выдает ошибку чтения архива. Пробовал варианты взяв за основу архивы чистого диска (раздела), также пробовал пересозданный с директориями без файлов и другие варианты. Дальше не знаю где искать решение.

Ссылка на комментарий
Поделиться на другие сайты

Нашел инфу как Acronis определяет неисправный файл....точнее один из начальных запросов на состояния архива ..... в конце файла формируется значения контрольной суммы размера самого файла, что и определяет его целостность ......... буду двигаться дальше

и вроде можно монтировать 2-3-4.... бекапа вместе и организовывать массив с контрольнной суммой ...и будет все ок

там конкретно последняя запись и есть контрольная сумма

Ссылка на комментарий
Поделиться на другие сайты

Есть решение, частичное и не всегда вам поможет. В чем суть. Если знаете как были организованы директории и названия файлов с расширением на диске(разделе) с которого бэкап создавали, тогда можно попытатся восстановить. Для этого создаете новый бекап, где должны быть воссозданы директория и размещены фалы как в зашифрованном бэкапе, размер файлов приблизительный, главное общий размер должен быть подогнан под зашифрованный бекап (это важно). Использовал HEX-редактор HexFrame Neo (быстрый, сложный, многофункциональный). После чего копируете с нового бекапа заголовок 269 144 байт ( 0000 0000 - 0003 FFFF) и содержимое копируете в зашифрованный бэкап по этом адресу ( в данном случае он заполнен 0 ). Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока). После этого редактирования бэкап стал читатся и открыватся Acronis TI. Может я сжато описал, надеюсь вам поможет. 


P.S. ( 0010 012F ) размер 785408байт. Важно чтобы размер бэкапа был кратным 16 байт

Изменено пользователем evgalci
Ссылка на комментарий
Поделиться на другие сайты

Существует простой но геморный способ восстановления ( части архива) используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», которая создает несжатый двоичный образ. Далее подключаем образ *.BIN используя прогу R-Studio Network Edition, далее глубокое сканирование (использовать все форматы диска) восстанавливаем значительную часть на другой носитель(диск) при этом ( есть склейка файлов их много), далее ручная сортировка ..... Желаю творческих успехов

Ссылка на комментарий
Поделиться на другие сайты

Существует программа по восстановлению данных с "нечитаемых" бэкапов Акронис, под именем: Multiextractor последняя ее версия 4.8.0. Создатель польская канторка, вот ссылка  https://www.multiextractor.com/ Как заверяют разработчики, она умеет почти все, даже вытягивать данные с убитых архивов Акрониса. ....... Вот она это делает очень поршиво и через ужасный интерфейс. Собрана данная прога  с архиватора offzip ( есть библиотека zlib) + дешевого рекавери файлов и завернута в  оболочку.... Для очищения совести cписывались знакомые с разработчиками и они уверяли, их прога есть панацея от всего ..... Настоящий момент в свободном скачивании существует репак версии 3.3.0 этой проги, но тут уже есть 4.8.0 и умеет почти все заявленное что выложено на сайте. Итоги: была оплачена версия PRO за 49 бакинских по безнадеге ( имя кто решился не соообщается), тестилась, всеми вариациями под восстановление смогла при размере архива в 23Гб вынять 1,3Гб ... и только картинки и иконки.... За что огромный респект создателяем етого чуда!!! Далее делайте выводы и не ведитесь на рекламы .... Всего хорошего в нелегком деле по восстановлении данных......

Изменено пользователем evgalci
Ссылка на комментарий
Поделиться на другие сайты

Решение по восстановлению отдельно взятых файлов с архива Акронис, заключается в следующем: Программой Акронис создается общий файл(архив), при создании идет (фактически!) посекторная запись с диска(раздела). В условиях сильной фрагментации данных источника, восстановление сводится к нулю. В начале архива(бекапа) создается заголовок о распределении файлов их фрагментов, описываются индексами хранения в массиве архива. В решении следует создать новый архив(бекап) с уже зараженного диска и уже при помощи НЕХ-редактора скопировать и заменить заголовок и концовку (как было описано ранее мною) в поврежденный архив. Размер архива зашифрованного диска и зашифрованного(поврежденного) архива отличаются на 20-30% в меньшую сторону к зараженному диску. Сказывается функция шифровальщика в удалении теневых копий и перезаписи зашифрованных файлов. Существует смещение при перезаписи, происходит по имени и директориям по алфавитному порядку. Требуется найти начальное смещение для отслеживания первой записи файла шифрования к оригинальному файлу, данное смещение и будет контрольной точкой для выемки данных в цепь фрагментов восстановления. Частично удалось восстановить файлы ( в частности касается больших размеров), средние от 50-200Мб сложнее, мелкие можно пробовать восстанавливать прогой R-Studio где нет полного автомата, нужно также в ручном порядке пробовать восстанавливать..... Здесь много нюансов и замарочек, в каждом конкретном случае свое действие. Написал свое видение решения, которое возможно кому-то поможет в решении.  

Изменено пользователем evgalci
Ссылка на комментарий
Поделиться на другие сайты

Немного дополнения: Используя не сжатый бинарный файл *.Bin следует учитывать смещение на 1 байт в сторону увеличения размера или уменьшения. Другими словами, используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», происходит распаковка с добавлением или вычитанием в 1байт в процессе выполнения (по какому аглоритму и как часто происходят смещения я пока изучаю), но один момент что они происходят в 1 байт смещения на 200-300Мб бинарного файла), тем самым нарушается бинарная четность. В следствии чего воссозданный(восстановленный) файл с архива будет нечитабельным(не исполняемым). Даже пробуя дисассемблируя исполняемые файлы не удается осуществить, только после корректировки на смещение все получается. Если у Вас есть образец подобного файла, изучите в HEX-редакторе "тело" файла на предмет где возможны смещения и примените это подобие к файлу восстановления. Рекомендую пробовать с небольших файлов которые в 1 экземпляре есть в архиве, постепенно набирая опыта переходите на большие файла и тд. Желаю еще раз всем успехов....  

Изменено пользователем evgalci
Ссылка на комментарий
Поделиться на другие сайты

Всем привет... Акронис использует свою библиотеку zlib...заточенную под свой архив. Новая версия TI 2020 иеет расширение *.TIBX что не совместима с предыдущей *.TIB.... при этом компресия увеличена и алгоритм сжатия изменен(используя умолчание без сжатия) компрессирует на 20-30% сильнее... Принцып тотже и алгортм завязан на новую библиотеку(закрытую) zlib .... Offzip имеет открытый код шифрования, Акронис использовал его с изменениями и дополнениями ... в систему архивирования....  Ранее я искал алгоритм смещения при распаковки в бинарный файл (используя offzip) пришел к выводу .... "ручное" восстановление как решение(описано выше) ...или обладать библиотекой zlib от Акронис, тогда можно создать распаковщик архиватора *.TIB ..... Пока не сдаюсь копаю в этом направлении .... прошу поддержать мыслями и писать свои комментарии ... 

Изменено пользователем evgalci
Ссылка на комментарий
Поделиться на другие сайты

  • 3 months later...

Поясните пожалуйста конец этой фразу из поста за 16 января, не могу понять:

"Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока)". 

 

Что означает: ("подгоняете размер заполняя 0 впререди этого блока")?

Изменено пользователем dimadima22
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SDDdo
      От SDDdo
      Здравствуйте! Есть внешний HDD диск. Во время загрузки файлов на этот диск произошло непреднамеренное отключение диска из USB разъема. При повторном подключении диска, система не видит диск в проводнике, в диспетчере устройств диск отображается, но с другим именем. В управлении дисками при попытке инициализировать диск выдает ошибку CRC. Возможно ли решить данную проблему своими силами?


    • VadimA
      От VadimA
      Приветствую всех.
      Возникла необходимость создания плана аварийного восстановления на случай выхода из строя основного сервера KSC.
      Кто нибудь делал? Поделитесь соображения, а лучше сразу планом 😃
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Tadmin
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • tr01
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
×
×
  • Создать...