Перейти к содержанию

Восстановление бэкапов *.tib после шифровальщика


Рекомендуемые сообщения

Опубликовано

Привествую всех!

Хранились образы системы на локальном диске  (под защитой Acronis Active Protection Service). Ранее были случаи попадания шифровальщика с его действием, но архивы не затрагивались. И вот в декабре 2019г. числа 29. Шифровальщик DHARMA зашифровал бэкапы и все файлы на компе. Размеры бэкапов порядка 25-100Гб. Есть ли возможность в HEX-редакторе произвести замены заголовка бэкапа под восстановление? ПО Acronis True Image была куплена,обращался в техподдержку Acronis, ответа пока нет. Ранее они заявляли, что их пользователи защищены от шифровальщиков. Образцы зашифрованных файлов и сообщение о вымогательстве прикрепляю. Спасибо всем за любую помощь.

архив файлов.rar

post-57041-0-67363100-1578299925_thumb.jpg

Опубликовано

Расшифровки нет ни у одной антивирусной компании.

Опубликовано

Архив *.tib создавался Acronis TI, где вирус dharma зашифровал не целиком, это касается всех больших файлов размером более 100Мб. Немного разобрался что повреждено в архиве(образе) *.tib. 1. Заголовок файла размером  262144 байт ( в НЕХ-редакторе с адреса 0000 0000 по 0004 0000 ) прописаны 0. В конце файла также вырезана такого же размера данные и пересоздан новыми данными, где область (если конец удаленного архива считать с адреса 0000 0000 ) по 000C 013F заполнена 0, после идет зашифрованная часть для заголовка и конца файла с 000C 013F по 0010 012F. А теперь о восстановлении самого архива. Брал за исправный образ архива, созданный с того же раздела диска что и архив  который хочу восстановить. Использовал НЕХ-редактор FlexHex ( как по мне очень простой и удобный). Вырезал заголовок с созданного архива и перенес в редактируемый, также в хвосте выполнял разные варианты переноса, каждый раз делал сохранения. Acronis TI при этом выдает ошибку чтения архива. Пробовал варианты взяв за основу архивы чистого диска (раздела), также пробовал пересозданный с директориями без файлов и другие варианты. Дальше не знаю где искать решение.

Опубликовано

Нашел инфу как Acronis определяет неисправный файл....точнее один из начальных запросов на состояния архива ..... в конце файла формируется значения контрольной суммы размера самого файла, что и определяет его целостность ......... буду двигаться дальше

и вроде можно монтировать 2-3-4.... бекапа вместе и организовывать массив с контрольнной суммой ...и будет все ок

там конкретно последняя запись и есть контрольная сумма

Опубликовано (изменено)

Есть решение, частичное и не всегда вам поможет. В чем суть. Если знаете как были организованы директории и названия файлов с расширением на диске(разделе) с которого бэкап создавали, тогда можно попытатся восстановить. Для этого создаете новый бекап, где должны быть воссозданы директория и размещены фалы как в зашифрованном бэкапе, размер файлов приблизительный, главное общий размер должен быть подогнан под зашифрованный бекап (это важно). Использовал HEX-редактор HexFrame Neo (быстрый, сложный, многофункциональный). После чего копируете с нового бекапа заголовок 269 144 байт ( 0000 0000 - 0003 FFFF) и содержимое копируете в зашифрованный бэкап по этом адресу ( в данном случае он заполнен 0 ). Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока). После этого редактирования бэкап стал читатся и открыватся Acronis TI. Может я сжато описал, надеюсь вам поможет. 


P.S. ( 0010 012F ) размер 785408байт. Важно чтобы размер бэкапа был кратным 16 байт

Изменено пользователем evgalci
Опубликовано

Существует простой но геморный способ восстановления ( части архива) используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», которая создает несжатый двоичный образ. Далее подключаем образ *.BIN используя прогу R-Studio Network Edition, далее глубокое сканирование (использовать все форматы диска) восстанавливаем значительную часть на другой носитель(диск) при этом ( есть склейка файлов их много), далее ручная сортировка ..... Желаю творческих успехов

Опубликовано (изменено)

Существует программа по восстановлению данных с "нечитаемых" бэкапов Акронис, под именем: Multiextractor последняя ее версия 4.8.0. Создатель польская канторка, вот ссылка  https://www.multiextractor.com/ Как заверяют разработчики, она умеет почти все, даже вытягивать данные с убитых архивов Акрониса. ....... Вот она это делает очень поршиво и через ужасный интерфейс. Собрана данная прога  с архиватора offzip ( есть библиотека zlib) + дешевого рекавери файлов и завернута в  оболочку.... Для очищения совести cписывались знакомые с разработчиками и они уверяли, их прога есть панацея от всего ..... Настоящий момент в свободном скачивании существует репак версии 3.3.0 этой проги, но тут уже есть 4.8.0 и умеет почти все заявленное что выложено на сайте. Итоги: была оплачена версия PRO за 49 бакинских по безнадеге ( имя кто решился не соообщается), тестилась, всеми вариациями под восстановление смогла при размере архива в 23Гб вынять 1,3Гб ... и только картинки и иконки.... За что огромный респект создателяем етого чуда!!! Далее делайте выводы и не ведитесь на рекламы .... Всего хорошего в нелегком деле по восстановлении данных......

Изменено пользователем evgalci
Опубликовано (изменено)

Решение по восстановлению отдельно взятых файлов с архива Акронис, заключается в следующем: Программой Акронис создается общий файл(архив), при создании идет (фактически!) посекторная запись с диска(раздела). В условиях сильной фрагментации данных источника, восстановление сводится к нулю. В начале архива(бекапа) создается заголовок о распределении файлов их фрагментов, описываются индексами хранения в массиве архива. В решении следует создать новый архив(бекап) с уже зараженного диска и уже при помощи НЕХ-редактора скопировать и заменить заголовок и концовку (как было описано ранее мною) в поврежденный архив. Размер архива зашифрованного диска и зашифрованного(поврежденного) архива отличаются на 20-30% в меньшую сторону к зараженному диску. Сказывается функция шифровальщика в удалении теневых копий и перезаписи зашифрованных файлов. Существует смещение при перезаписи, происходит по имени и директориям по алфавитному порядку. Требуется найти начальное смещение для отслеживания первой записи файла шифрования к оригинальному файлу, данное смещение и будет контрольной точкой для выемки данных в цепь фрагментов восстановления. Частично удалось восстановить файлы ( в частности касается больших размеров), средние от 50-200Мб сложнее, мелкие можно пробовать восстанавливать прогой R-Studio где нет полного автомата, нужно также в ручном порядке пробовать восстанавливать..... Здесь много нюансов и замарочек, в каждом конкретном случае свое действие. Написал свое видение решения, которое возможно кому-то поможет в решении.  

Изменено пользователем evgalci
Опубликовано

Не переставайте выкладывать мысли! Читаем и повторяем за вами. Тоже боремся с TIB архивами после шифровки.

Спасибо!

Опубликовано

Сообщение от модератора thyrex
Тема перенесена в Беседку
Опубликовано (изменено)

Немного дополнения: Используя не сжатый бинарный файл *.Bin следует учитывать смещение на 1 байт в сторону увеличения размера или уменьшения. Другими словами, используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», происходит распаковка с добавлением или вычитанием в 1байт в процессе выполнения (по какому аглоритму и как часто происходят смещения я пока изучаю), но один момент что они происходят в 1 байт смещения на 200-300Мб бинарного файла), тем самым нарушается бинарная четность. В следствии чего воссозданный(восстановленный) файл с архива будет нечитабельным(не исполняемым). Даже пробуя дисассемблируя исполняемые файлы не удается осуществить, только после корректировки на смещение все получается. Если у Вас есть образец подобного файла, изучите в HEX-редакторе "тело" файла на предмет где возможны смещения и примените это подобие к файлу восстановления. Рекомендую пробовать с небольших файлов которые в 1 экземпляре есть в архиве, постепенно набирая опыта переходите на большие файла и тд. Желаю еще раз всем успехов....  

Изменено пользователем evgalci
Опубликовано (изменено)

Всем привет... Акронис использует свою библиотеку zlib...заточенную под свой архив. Новая версия TI 2020 иеет расширение *.TIBX что не совместима с предыдущей *.TIB.... при этом компресия увеличена и алгоритм сжатия изменен(используя умолчание без сжатия) компрессирует на 20-30% сильнее... Принцып тотже и алгортм завязан на новую библиотеку(закрытую) zlib .... Offzip имеет открытый код шифрования, Акронис использовал его с изменениями и дополнениями ... в систему архивирования....  Ранее я искал алгоритм смещения при распаковки в бинарный файл (используя offzip) пришел к выводу .... "ручное" восстановление как решение(описано выше) ...или обладать библиотекой zlib от Акронис, тогда можно создать распаковщик архиватора *.TIB ..... Пока не сдаюсь копаю в этом направлении .... прошу поддержать мыслями и писать свои комментарии ... 

Изменено пользователем evgalci
  • 3 месяца спустя...
Опубликовано (изменено)

Поясните пожалуйста конец этой фразу из поста за 16 января, не могу понять:

"Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока)". 

 

Что означает: ("подгоняете размер заполняя 0 впререди этого блока")?

Изменено пользователем dimadima22
Опубликовано

а держать бекапы на внешнем носителе не пробовали или в каком - нибудь облаке?

Опубликовано

@KuZbkA Вы как-то не к месту стали везде советовать делать бекапы ) Ему уже не поможешь таким советом

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Роман Суслов
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • sputnikk
      Автор sputnikk
      Роутером не пользовались лет 10, пароль доступа неизвестен.
      Если сбросить настройки то исчезает подключение к кабелю. Я не помню как настраивал родителям 10 лет назад или больше.
      Восстановил настройки из бэкапа. Там наверно есть пароль доступа к роутеру. Совет Копилота:
       
      Может есть способ проще?
    • fastheel
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
×
×
  • Создать...