понедельник, 6 февраля 2017 г.

CryptoSearch

CryptoSearch


CryptoSearch — это инструмент, который может помогает выяснить с помощью какого конкретного крипто-вымогателя (шифровальщика) были зашифрованы файлы, и позволяет скопировать или переместить файлы в другое место для архивирования в надежде на дешифрование когда-либо в будущем. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.
CryptoSearch: файлы
Файлы CryptoSearch

Файлы CryptoSearch (слева направо): лог программы, исполняемый файл и данные, полученные из службы ID Ransomware. 

CryptoSearch не требует установки в систему. Достаточно только запуска исполняемого файла. 

CryptoSearch работает совместно со службой ID Ransoware, потому при запуске приложения компьютер должен быть подключен к Интернету. При запуске CryptoSearch будет запрашивать службу ID Ransomware, чтобы получить данные, необходимые для идентификации типа вымогателя, который блокировал компьютер пользователя. Эти данные обновляются ежедневно. 

В обновлённой версии имеется автономный режим, когда утилита уже использует внутреннюю базу данных ID Ransomware. Потому вновь скачанный CryptoSearch можно использовать на компьютерах, не подключенных к Интернету.
CryptoSearch: ЭЦП
Сведения о цифровой подписи и сертификате
CryptoSearch: Главное окно
Главное окно программы

Можно использовать CryptoSearch для ручного поиска конкретного расширения или байта данных путём использования параметров поиска.
CryptoSearch: Выбор шифровальщика
Меню выбора Ransomware из списка

Можно самостоятельно задать поиск по известному расширению, добавляемому шифровальщиком к зашифрованным им файлам. 
CryptoSearch: Выбор по расширению
Выбор поиска по расширению

Опции, доступные через галочки справа и радио-кнопки рядом с кнопкой Search (Поиск):
List Files — список зашифрованных файлов, которые выводятся столбиком;
List Clean folders — список чистых папок, которые не имеют зашифрованных файлов;
Search Directory - поиск в каталоге, указанном вручную;
Search Computer - поиск по всему компьютеру (проверка побуквенно всех дисков, в том числе сетевых). 

После того, как сканирование будет завершено, в меню "Файл" появятся следующие опции:
Export List  - сохраняет список зашифрованных файлов в текстовый файл;
Archive Files - позволяет копировать или перемещать зашифрованные файлы в другое место для архивного сохранения, в надежде на расшифровку в будущем. 
CryptoSearch: Архивное копирование
Опции меню "Файл"

При выборе опции "Archive Files" программа просит:
"Move Files? Would you like to move files to the destination folder? Press "No" to copy files."
CryptoSearch: Диалог

Перевод на русский язык:
"Переместить файлы? Вы точно хотите переместить файлы в выбранную папку? Нажмите "Нет" для копирования файлов."

На следующем примере видно, что собранные файлы сохраняют полную структуру папок, включая букву диска. Например, эти файлы были перемещены в "C:\Backup\C:\Test\...".
CryptoSearch: Архивное охранение
Архивное сохранение завершено



ВАЖНО! CryptoSearch не расшифровывает данные. Шифровальщики, которые не добавляют ни расширения, ни маркера к зашифрованным файлам, не будут определены CryptoSearch. Пока, во всяком случае. 

Всё. Теперь с помощью CryptoSearch вы можете:
а) узнать, каким известным шифровальщиком были зашифрованы ваши файлы;
б) избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch. 


Официальная страница утилиты:
https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/
Ссылка на загрузку утилиты:
https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

© Amigo-A (Andrew Ivanov): All blog articles.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *