Восстановление фотографий (jpg) и документов (doc, xls) после вирусов класса Penetrator

Данный деструктивный вирус и его модификации выполняют перезапись файлов jpg, doc, xls и некоторых других типов файлов. В случае графических файлов происходит замена их файлом с логотипом вируса, в случае документов Microsoft Office происходит замена их на текстовые файлы с нецензурным содержанием. Но размер новых файлов, созданных вирусом, значительно меньше их оригиналов, в связи с чем запись не происходит на то же самое место, и ,соответственно, не происходит полного уничтожения пользовательских данных.

Методики поиска документов и графических файлов посредством анализа файловой системы в данном случае бесполезны, так как в результате деятельности вируса происходит замена файловых записей на новые. Анализ файловой системы (FAT, NTFS) более чем на 95% даст те же результаты, что и так доступны при адресации посредством файловой системы.

Успешной будет методика анализа регулярных выражений, характерных для искомых поврежденных вирусом файлов. После первичного поиска регулярных выражений необходимо установить размер файлов (в случае jpg, xls, doc имея данные содержащиеся в начале файла возможно рассчитать его размер, исходя из служебных данных внутри файлов данного формата) проверить непрерывность файла, так как в случае фрагментации файла данная методика не будет иметь успеха. Далее после расчета размера файлов и определения их непрерывности отсеять заведомо поврежденные или фрагментированные и произвести копирование найденных данных. К сожалению, при использовании такой методики не сохранится информация об имени файла, и нет никакой возможности найденные данные сопоставить с текущей файловой системой.

Далее встает задача некоторой сортировки найденных данных, ибо на любом ПК всегда будет присутствовать немало различных jpg файлов, не являющихся данными пользователя (например, файлы из кэша браузера). В случае jpg файлов в нашей лаборатории используется программное обеспечение, разработанное нашим специалистом Алексеем Гавриленко – Image Sorter, в задачи которого входит анализ информационных блоков jpg файлов (Exif) и на основании данных в этих блоках производится создание структурированной файловой копии. Сортируются файлы по моделям камер, посредством которых велась съемка, и даты, записанной внутри exif при создании файла. Дата съемки будет точной только в том случае, если при съемке в самой камере она была корректно установлена. В случае документов Microsoft Office установить точную дату создания и оригинальное имя файла не представляется возможным, но для упрощения поиска необходимых данных имена файлов создаются на основании первых текстовых строк в документе.

После данной сортировки производится отсев дубликатов, и восстановленные данные готовы для демонстрации пользователю.

Исходя из статистики обращений, можно сказать, что при своевременном обнаружении вируса и его удалении, когда поверх высвобожденного из под файлов пользователей места не производилось записи других данных, возможно восстановить около 70-90% пользовательских данных согласно методики, описанной в данной статье.

При обнаружении деятельности данного вируса, прежде чем предпринимать какие-либо действия по его удалению и восстановлению файлов настоятельно рекомендуется создать полную посекторную копию накопителя во избежание дальнейшего уничтожения пользовательских данных.

Павел Янчарский

Перепечатка материалов разрешена только с указанием активной ссылки на оригинал статьи

Поделиться
|