CryptoSearch
CryptoSearch — это инструмент, который может помогает выяснить с помощью какого конкретного крипто-вымогателя (шифровальщика) были зашифрованы файлы, и позволяет скопировать или переместить файлы в другое место для архивирования в надежде на дешифрование когда-либо в будущем. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.
Файлы CryptoSearch
CryptoSearch не требует установки в систему. Достаточно только запуска исполняемого файла.
CryptoSearch работает совместно со службой ID Ransomware, потому при запуске приложения компьютер должен быть подключен к Интернету. При запуске CryptoSearch будет запрашивать службу ID Ransomware, чтобы получить данные, необходимые для идентификации типа вымогателя, который блокировал компьютер пользователя. Как правило Ransomware используют определённые шаблоны или файловые маркеры, которые они оставляют на зашифрованных файлах, а CryptoSearch проверяет их по базе данных службы ID Ransomware. Эти данные обновляются ежедневно.
В обновлённой версии имеется автономный режим, когда утилита уже использует внутреннюю базу данных ID Ransomware. Потому вновь скачанный CryptoSearch можно использовать на компьютерах, не подключенных к Интернету.
Сведения о цифровой подписи и сертификате
Главное окно программы
Можно использовать CryptoSearch для ручного поиска конкретного расширения или байта данных путём использования параметров поиска.
Меню выбора Ransomware из списка
Можно самостоятельно задать поиск по известному расширению, добавляемому шифровальщиком к зашифрованным им файлам.
Выбор поиска по расширению
Опции, доступные через галочки справа и радио-кнопки рядом с кнопкой Search (Поиск):
List Files — список зашифрованных файлов, которые выводятся столбиком;
List Clean folders — список чистых папок, которые не имеют зашифрованных файлов;
Search Directory - поиск в каталоге, указанном вручную;
Search Computer - поиск по всему компьютеру (проверка побуквенно всех дисков, в том числе сетевых).
После того, как сканирование будет завершено, в меню "Файл" появятся следующие опции:
Export List - сохраняет список зашифрованных файлов в текстовый файл;
Archive Files - позволяет копировать или перемещать зашифрованные файлы в другое место для архивного сохранения, в надежде на расшифровку в будущем.
Опции меню "Файл"
При выборе опции "Archive Files" программа просит:
"Move Files? Would you like to move files to the destination folder? Press "No" to copy files."
Перевод на русский язык:
"Переместить файлы? Вы точно хотите переместить файлы в выбранную папку? Нажмите "Нет" для копирования файлов."
На следующем примере видно, что собранные файлы сохраняют полную структуру папок, включая букву диска. Например, эти файлы были перемещены в "C:\Backup\C:\Test\...".
Архивное сохранение завершено
ВАЖНО! CryptoSearch не расшифровывает данные. Шифровальщики, которые не добавляют ни расширения, ни маркера к зашифрованным файлам, не будут определены CryptoSearch. Пока, во всяком случае.
Всё. Теперь с помощью CryptoSearch вы можете:
а) узнать, каким известным шифровальщиком были зашифрованы ваши файлы;
б) избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch.
Официальная страница утилиты:https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/
Ссылка на загрузку утилиты:https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip
© Amigo-A (Andrew Ivanov): All blog articles.