Перейти к содержанию
Авторизация  
evgalci

Восстановление бэкапов *.tib после шифровальщика

Рекомендуемые сообщения

Привествую всех!

Хранились образы системы на локальном диске  (под защитой Acronis Active Protection Service). Ранее были случаи попадания шифровальщика с его действием, но архивы не затрагивались. И вот в декабре 2019г. числа 29. Шифровальщик DHARMA зашифровал бэкапы и все файлы на компе. Размеры бэкапов порядка 25-100Гб. Есть ли возможность в HEX-редакторе произвести замены заголовка бэкапа под восстановление? ПО Acronis True Image была куплена,обращался в техподдержку Acronis, ответа пока нет. Ранее они заявляли, что их пользователи защищены от шифровальщиков. Образцы зашифрованных файлов и сообщение о вымогательстве прикрепляю. Спасибо всем за любую помощь.

архив файлов.rar

post-57041-0-67363100-1578299925_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Расшифровки нет ни у одной антивирусной компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Архив *.tib создавался Acronis TI, где вирус dharma зашифровал не целиком, это касается всех больших файлов размером более 100Мб. Немного разобрался что повреждено в архиве(образе) *.tib. 1. Заголовок файла размером  262144 байт ( в НЕХ-редакторе с адреса 0000 0000 по 0004 0000 ) прописаны 0. В конце файла также вырезана такого же размера данные и пересоздан новыми данными, где область (если конец удаленного архива считать с адреса 0000 0000 ) по 000C 013F заполнена 0, после идет зашифрованная часть для заголовка и конца файла с 000C 013F по 0010 012F. А теперь о восстановлении самого архива. Брал за исправный образ архива, созданный с того же раздела диска что и архив  который хочу восстановить. Использовал НЕХ-редактор FlexHex ( как по мне очень простой и удобный). Вырезал заголовок с созданного архива и перенес в редактируемый, также в хвосте выполнял разные варианты переноса, каждый раз делал сохранения. Acronis TI при этом выдает ошибку чтения архива. Пробовал варианты взяв за основу архивы чистого диска (раздела), также пробовал пересозданный с директориями без файлов и другие варианты. Дальше не знаю где искать решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нашел инфу как Acronis определяет неисправный файл....точнее один из начальных запросов на состояния архива ..... в конце файла формируется значения контрольной суммы размера самого файла, что и определяет его целостность ......... буду двигаться дальше

и вроде можно монтировать 2-3-4.... бекапа вместе и организовывать массив с контрольнной суммой ...и будет все ок

там конкретно последняя запись и есть контрольная сумма

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть решение, частичное и не всегда вам поможет. В чем суть. Если знаете как были организованы директории и названия файлов с расширением на диске(разделе) с которого бэкап создавали, тогда можно попытатся восстановить. Для этого создаете новый бекап, где должны быть воссозданы директория и размещены фалы как в зашифрованном бэкапе, размер файлов приблизительный, главное общий размер должен быть подогнан под зашифрованный бекап (это важно). Использовал HEX-редактор HexFrame Neo (быстрый, сложный, многофункциональный). После чего копируете с нового бекапа заголовок 269 144 байт ( 0000 0000 - 0003 FFFF) и содержимое копируете в зашифрованный бэкап по этом адресу ( в данном случае он заполнен 0 ). Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока). После этого редактирования бэкап стал читатся и открыватся Acronis TI. Может я сжато описал, надеюсь вам поможет. 


P.S. ( 0010 012F ) размер 785408байт. Важно чтобы размер бэкапа был кратным 16 байт

Изменено пользователем evgalci

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Существует простой но геморный способ восстановления ( части архива) используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», которая создает несжатый двоичный образ. Далее подключаем образ *.BIN используя прогу R-Studio Network Edition, далее глубокое сканирование (использовать все форматы диска) восстанавливаем значительную часть на другой носитель(диск) при этом ( есть склейка файлов их много), далее ручная сортировка ..... Желаю творческих успехов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Существует программа по восстановлению данных с "нечитаемых" бэкапов Акронис, под именем: Multiextractor последняя ее версия 4.8.0. Создатель польская канторка, вот ссылка  https://www.multiextractor.com/ Как заверяют разработчики, она умеет почти все, даже вытягивать данные с убитых архивов Акрониса. ....... Вот она это делает очень поршиво и через ужасный интерфейс. Собрана данная прога  с архиватора offzip ( есть библиотека zlib) + дешевого рекавери файлов и завернута в  оболочку.... Для очищения совести cписывались знакомые с разработчиками и они уверяли, их прога есть панацея от всего ..... Настоящий момент в свободном скачивании существует репак версии 3.3.0 этой проги, но тут уже есть 4.8.0 и умеет почти все заявленное что выложено на сайте. Итоги: была оплачена версия PRO за 49 бакинских по безнадеге ( имя кто решился не соообщается), тестилась, всеми вариациями под восстановление смогла при размере архива в 23Гб вынять 1,3Гб ... и только картинки и иконки.... За что огромный респект создателяем етого чуда!!! Далее делайте выводы и не ведитесь на рекламы .... Всего хорошего в нелегком деле по восстановлении данных......

Изменено пользователем evgalci

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Решение по восстановлению отдельно взятых файлов с архива Акронис, заключается в следующем: Программой Акронис создается общий файл(архив), при создании идет (фактически!) посекторная запись с диска(раздела). В условиях сильной фрагментации данных источника, восстановление сводится к нулю. В начале архива(бекапа) создается заголовок о распределении файлов их фрагментов, описываются индексами хранения в массиве архива. В решении следует создать новый архив(бекап) с уже зараженного диска и уже при помощи НЕХ-редактора скопировать и заменить заголовок и концовку (как было описано ранее мною) в поврежденный архив. Размер архива зашифрованного диска и зашифрованного(поврежденного) архива отличаются на 20-30% в меньшую сторону к зараженному диску. Сказывается функция шифровальщика в удалении теневых копий и перезаписи зашифрованных файлов. Существует смещение при перезаписи, происходит по имени и директориям по алфавитному порядку. Требуется найти начальное смещение для отслеживания первой записи файла шифрования к оригинальному файлу, данное смещение и будет контрольной точкой для выемки данных в цепь фрагментов восстановления. Частично удалось восстановить файлы ( в частности касается больших размеров), средние от 50-200Мб сложнее, мелкие можно пробовать восстанавливать прогой R-Studio где нет полного автомата, нужно также в ручном порядке пробовать восстанавливать..... Здесь много нюансов и замарочек, в каждом конкретном случае свое действие. Написал свое видение решения, которое возможно кому-то поможет в решении.  

Изменено пользователем evgalci

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не переставайте выкладывать мысли! Читаем и повторяем за вами. Тоже боремся с TIB архивами после шифровки.

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сообщение от модератора thyrex
Тема перенесена в Беседку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Немного дополнения: Используя не сжатый бинарный файл *.Bin следует учитывать смещение на 1 байт в сторону увеличения размера или уменьшения. Другими словами, используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», происходит распаковка с добавлением или вычитанием в 1байт в процессе выполнения (по какому аглоритму и как часто происходят смещения я пока изучаю), но один момент что они происходят в 1 байт смещения на 200-300Мб бинарного файла), тем самым нарушается бинарная четность. В следствии чего воссозданный(восстановленный) файл с архива будет нечитабельным(не исполняемым). Даже пробуя дисассемблируя исполняемые файлы не удается осуществить, только после корректировки на смещение все получается. Если у Вас есть образец подобного файла, изучите в HEX-редакторе "тело" файла на предмет где возможны смещения и примените это подобие к файлу восстановления. Рекомендую пробовать с небольших файлов которые в 1 экземпляре есть в архиве, постепенно набирая опыта переходите на большие файла и тд. Желаю еще раз всем успехов....  

Изменено пользователем evgalci

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем привет... Акронис использует свою библиотеку zlib...заточенную под свой архив. Новая версия TI 2020 иеет расширение *.TIBX что не совместима с предыдущей *.TIB.... при этом компресия увеличена и алгоритм сжатия изменен(используя умолчание без сжатия) компрессирует на 20-30% сильнее... Принцып тотже и алгортм завязан на новую библиотеку(закрытую) zlib .... Offzip имеет открытый код шифрования, Акронис использовал его с изменениями и дополнениями ... в систему архивирования....  Ранее я искал алгоритм смещения при распаковки в бинарный файл (используя offzip) пришел к выводу .... "ручное" восстановление как решение(описано выше) ...или обладать библиотекой zlib от Акронис, тогда можно создать распаковщик архиватора *.TIB ..... Пока не сдаюсь копаю в этом направлении .... прошу поддержать мыслями и писать свои комментарии ... 

Изменено пользователем evgalci

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поясните пожалуйста конец этой фразу из поста за 16 января, не могу понять:

"Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока)". 

 

Что означает: ("подгоняете размер заполняя 0 впререди этого блока")?

Изменено пользователем dimadima22

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а держать бекапы на внешнем носителе не пробовали или в каком - нибудь облаке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@KuZbkA Вы как-то не к месту стали везде советовать делать бекапы ) Ему уже не поможешь таким советом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...