Восстановление бэкапов *.tib после шифровальщика

[evgalci]

Привествую всех!

Хранились образы системы на локальном диске  (под защитой Acronis Active Protection Service). Ранее были случаи попадания шифровальщика с его действием, но архивы не затрагивались. И вот в декабре 2019г. числа 29. Шифровальщик DHARMA зашифровал бэкапы и все файлы на компе. Размеры бэкапов порядка 25-100Гб. Есть ли возможность в HEX-редакторе произвести замены заголовка бэкапа под восстановление? ПО Acronis True Image была куплена,обращался в техподдержку Acronis, ответа пока нет. Ранее они заявляли, что их пользователи защищены от шифровальщиков. Образцы зашифрованных файлов и сообщение о вымогательстве прикрепляю. Спасибо всем за любую помощь.

архив файлов.rarПолучение информации...

[thyrex]

Расшифровки нет ни у одной антивирусной компании.

[evgalci]

Архив *.tib создавался Acronis TI, где вирус dharma зашифровал не целиком, это касается всех больших файлов размером более 100Мб. Немного разобрался что повреждено в архиве(образе) *.tib. 1. Заголовок файла размером  262144 байт ( в НЕХ-редакторе с адреса 0000 0000 по 0004 0000 ) прописаны 0. В конце файла также вырезана такого же размера данные и пересоздан новыми данными, где область (если конец удаленного архива считать с адреса 0000 0000 ) по 000C 013F заполнена 0, после идет зашифрованная часть для заголовка и конца файла с 000C 013F по 0010 012F. А теперь о восстановлении самого архива. Брал за исправный образ архива, созданный с того же раздела диска что и архив  который хочу восстановить. Использовал НЕХ-редактор FlexHex ( как по мне очень простой и удобный). Вырезал заголовок с созданного архива и перенес в редактируемый, также в хвосте выполнял разные варианты переноса, каждый раз делал сохранения. Acronis TI при этом выдает ошибку чтения архива. Пробовал варианты взяв за основу архивы чистого диска (раздела), также пробовал пересозданный с директориями без файлов и другие варианты. Дальше не знаю где искать решение.

[evgalci]

Нашел инфу как Acronis определяет неисправный файл....точнее один из начальных запросов на состояния архива ..... в конце файла формируется значения контрольной суммы размера самого файла, что и определяет его целостность ......... буду двигаться дальше

и вроде можно монтировать 2-3-4.... бекапа вместе и организовывать массив с контрольнной суммой ...и будет все ок

там конкретно последняя запись и есть контрольная сумма

[evgalci]

Есть решение, частичное и не всегда вам поможет. В чем суть. Если знаете как были организованы директории и названия файлов с расширением на диске(разделе) с которого бэкап создавали, тогда можно попытатся восстановить. Для этого создаете новый бекап, где должны быть воссозданы директория и размещены фалы как в зашифрованном бэкапе, размер файлов приблизительный, главное общий размер должен быть подогнан под зашифрованный бекап (это важно). Использовал HEX-редактор HexFrame Neo (быстрый, сложный, многофункциональный). После чего копируете с нового бекапа заголовок 269 144 байт ( 0000 0000 - 0003 FFFF) и содержимое копируете в зашифрованный бэкап по этом адресу ( в данном случае он заполнен 0 ). Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока). После этого редактирования бэкап стал читатся и открыватся Acronis TI. Может я сжато описал, надеюсь вам поможет. 

P.S. ( 0010 012F ) размер 785408байт. Важно чтобы размер бэкапа был кратным 16 байт

Изменено 16 января, 2020 пользователем evgalci

[evgalci]

Существует простой но геморный способ восстановления ( части архива) используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», которая создает несжатый двоичный образ. Далее подключаем образ *.BIN используя прогу R-Studio Network Edition, далее глубокое сканирование (использовать все форматы диска) восстанавливаем значительную часть на другой носитель(диск) при этом ( есть склейка файлов их много), далее ручная сортировка ..... Желаю творческих успехов

[evgalci]

Существует программа по восстановлению данных с "нечитаемых" бэкапов Акронис, под именем: Multiextractor последняя ее версия 4.8.0. Создатель польская канторка, вот ссылка  https://www.multiextractor.com/ Как заверяют разработчики, она умеет почти все, даже вытягивать данные с убитых архивов Акрониса. ....... Вот она это делает очень поршиво и через ужасный интерфейс. Собрана данная прога  с архиватора offzip ( есть библиотека zlib) + дешевого рекавери файлов и завернута в  оболочку.... Для очищения совести cписывались знакомые с разработчиками и они уверяли, их прога есть панацея от всего ..... Настоящий момент в свободном скачивании существует репак версии 3.3.0 этой проги, но тут уже есть 4.8.0 и умеет почти все заявленное что выложено на сайте. Итоги: была оплачена версия PRO за 49 бакинских по безнадеге ( имя кто решился не соообщается), тестилась, всеми вариациями под восстановление смогла при размере архива в 23Гб вынять 1,3Гб ... и только картинки и иконки.... За что огромный респект создателяем етого чуда!!! Далее делайте выводы и не ведитесь на рекламы .... Всего хорошего в нелегком деле по восстановлении данных......

Изменено 21 января, 2020 пользователем evgalci

[evgalci]

Решение по восстановлению отдельно взятых файлов с архива Акронис, заключается в следующем: Программой Акронис создается общий файл(архив), при создании идет (фактически!) посекторная запись с диска(раздела). В условиях сильной фрагментации данных источника, восстановление сводится к нулю. В начале архива(бекапа) создается заголовок о распределении файлов их фрагментов, описываются индексами хранения в массиве архива. В решении следует создать новый архив(бекап) с уже зараженного диска и уже при помощи НЕХ-редактора скопировать и заменить заголовок и концовку (как было описано ранее мною) в поврежденный архив. Размер архива зашифрованного диска и зашифрованного(поврежденного) архива отличаются на 20-30% в меньшую сторону к зараженному диску. Сказывается функция шифровальщика в удалении теневых копий и перезаписи зашифрованных файлов. Существует смещение при перезаписи, происходит по имени и директориям по алфавитному порядку. Требуется найти начальное смещение для отслеживания первой записи файла шифрования к оригинальному файлу, данное смещение и будет контрольной точкой для выемки данных в цепь фрагментов восстановления. Частично удалось восстановить файлы ( в частности касается больших размеров), средние от 50-200Мб сложнее, мелкие можно пробовать восстанавливать прогой R-Studio где нет полного автомата, нужно также в ручном порядке пробовать восстанавливать..... Здесь много нюансов и замарочек, в каждом конкретном случае свое действие. Написал свое видение решения, которое возможно кому-то поможет в решении.  

Изменено 27 января, 2020 пользователем evgalci

[Drenych]

Не переставайте выкладывать мысли! Читаем и повторяем за вами. Тоже боремся с TIB архивами после шифровки.

Спасибо!

[thyrex]

Сообщение от модератора thyrex

Тема перенесена в Беседку

[evgalci]

Немного дополнения: Используя не сжатый бинарный файл *.Bin следует учитывать смещение на 1 байт в сторону увеличения размера или уменьшения. Другими словами, используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», происходит распаковка с добавлением или вычитанием в 1байт в процессе выполнения (по какому аглоритму и как часто происходят смещения я пока изучаю), но один момент что они происходят в 1 байт смещения на 200-300Мб бинарного файла), тем самым нарушается бинарная четность. В следствии чего воссозданный(восстановленный) файл с архива будет нечитабельным(не исполняемым). Даже пробуя дисассемблируя исполняемые файлы не удается осуществить, только после корректировки на смещение все получается. Если у Вас есть образец подобного файла, изучите в HEX-редакторе "тело" файла на предмет где возможны смещения и примените это подобие к файлу восстановления. Рекомендую пробовать с небольших файлов которые в 1 экземпляре есть в архиве, постепенно набирая опыта переходите на большие файла и тд. Желаю еще раз всем успехов....  

Изменено 29 января, 2020 пользователем evgalci

[evgalci]

Всем привет... Акронис использует свою библиотеку zlib...заточенную под свой архив. Новая версия TI 2020 иеет расширение *.TIBX что не совместима с предыдущей *.TIB.... при этом компресия увеличена и алгоритм сжатия изменен(используя умолчание без сжатия) компрессирует на 20-30% сильнее... Принцып тотже и алгортм завязан на новую библиотеку(закрытую) zlib .... Offzip имеет открытый код шифрования, Акронис использовал его с изменениями и дополнениями ... в систему архивирования....  Ранее я искал алгоритм смещения при распаковки в бинарный файл (используя offzip) пришел к выводу .... "ручное" восстановление как решение(описано выше) ...или обладать библиотекой zlib от Акронис, тогда можно создать распаковщик архиватора *.TIB ..... Пока не сдаюсь копаю в этом направлении .... прошу поддержать мыслями и писать свои комментарии ... 

Изменено 5 февраля, 2020 пользователем evgalci

[dimadima22]

Поясните пожалуйста конец этой фразу из поста за 16 января, не могу понять:

"Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока)". 

 

Что означает: ("подгоняете размер заполняя 0 впререди этого блока")?

Изменено 9 мая, 2020 пользователем dimadima22

[KuZbkA]

а держать бекапы на внешнем носителе не пробовали или в каком - нибудь облаке?

[sputnikk]

@KuZbkA Вы как-то не к месту стали везде советовать делать бекапы ) Ему уже не поможешь таким советом