Як розшифрувати файли зашифровані вірусом Вірус-шифрувальник

Те, що в Інтернеті сповнене вірусів, сьогодні нікого не дивує. Багато користувачів сприймають ситуації, пов'язані з їх впливом на системи або особисті дані, м'яко кажучи, дивлячись крізь пальці, але тільки до тих пір, поки в системі безпосередньо не обгрунтується вірус-шифрувальник. Як вилікувати і розшифрувати дані, що зберігаються на жорсткому диску, більшість звичайних користувачів не знає. Тому цей контингент і «ведеться» на вимоги, які висувають зловмисники. Але давайте подивимося, що можна зробити у разі виявлення такої загрози або недопущення її проникнення в систему.

Що таке вірус-шифрувальник?

Загроза такого типу використовує стандартні та нестандартні алгоритми шифрування файлів, які повністю змінюють їх вміст та блокують доступ. Наприклад, відкрити текстовий зашифрований файл для читання або редагування, так само як і відтворити мультимедійний контент (графіка, відео або аудіо) після впливу вірусу буде абсолютно неможливо. Навіть стандартні дії копіювання або переміщення об'єктів виявляються недоступними.

Сама програмна начинка вірусу є тим засобом, який шифрує дані таким чином, що відновити їхній вихідний стан навіть після видалення загрози з системи не буває можливо. Зазвичай такі шкідливі програми створюють власні копії та осідають у системі дуже глибоко, тому вірус-шифрувальник файлів буває видалити повністю неможливо. Деінсталюючи основну програму або видаляючи основне тіло вірусу, користувач не позбавляється впливу загрози, не кажучи вже про відновлення зашифрованої інформації.

Як загроза проникає у систему?

Як правило, загрози цього типу здебільшого орієнтовані на великі комерційні структури і можуть проникати на комп'ютери через поштові програми, коли якийсь співробітник відкриває нібито вкладений документ в електронній пошті, що є, скажімо, доповненням до якогось договору про співпрацю або до плану постачання товару (комерційні пропозиції з вкладеннями із сумнівних джерел - перший шлях для вірусу).

Біда в тому, що вірус-шифрувальник на машині, що має доступ до локальної мережі, здатний адаптуватися і в ній, створюючи власні копії не тільки в мережевому оточенні, але і на адміністраторському терміналі, якщо на ньому відсутні засоби захисту у вигляді антивірусного ПЗ, файрвола чи брендмауера.

Іноді такі загрози можуть проникати і в комп'ютерні системи рядових користувачів, які за великим рахунком інтересу для зловмисників не становлять. Відбувається це в момент встановлення якихось програм, завантажених із сумнівних інтернет-ресурсів. Багато користувачів при старті завантаження ігнорують попередження антивірусної системи захисту, а в процесі інсталяції не звертають уваги на пропозиції установки додаткового ПЗ, панелей або плагінів для браузерів, а потім, що називається, кусають лікті.

Різновиди вірусів та трохи історії

В основному загрози цього типу, зокрема найнебезпечніший вірус-шифрувальник No_more_ransom, класифікуються не лише як інструменти шифрування даних або блокування доступу до них. Насправді всі такі шкідливі програми належать до категорії здирників. Іншими словами, зловмисники вимагають певну винагороду за розшифровку інформації, вважаючи, що без початкової програми зробити цей процес буде неможливо. Частково так воно і є.

Але, якщо копнути в історію, можна помітити, що одним з найперших вірусів цього типу, щоправда, не виставляв вимоги по грошах, був сумнозвісний аплет I Love You, який повністю зашифровував в системах користувача файли мультимедіа (в основному музичні треки). Розшифровка файлів після вірусу-шифрувальника на той момент виявлялася неможливою. Зараз саме із цією загрозою боротися можна елементарно.

Але ж і розвиток самих вірусів або алгоритмів шифрування, що використовуються, на місці не варто. Чого тільки немає серед вірусів – тут вам і XTBL, і CBF, і Breaking_Bad, та [email protected], І ще купа всякої гидоти.

Методика впливу на файли користувача

І якщо донедавна більшість атак здійснювалося з використанням алгоритмів RSA-1024 на основі шифрування AES з такою ж бітністю, той же вірус-шифрувальник No_more_ransom сьогодні представлений в декількох інтерпретаціях, що використовують ключі шифрування на основі технологій RSA-2048 і навіть RSA-307.

Проблеми розшифровки використовуваних алгоритмів

Біда в тому, що сучасні системи дешифрування перед такою небезпекою виявилися безсилими. Розшифровка файлів після вірусу-шифрувальника на основі AES256 ще абияк підтримується, а за умови вищої бітності ключа практично всі розробники просто розводять руками. Це, до речі, офіційно підтверджено фахівцями з "Лабораторії Касперського" та компанії Eset.

У самому примітивному варіанті користувачеві, що звернувся в службу підтримки, пропонується надіслати зашифрований файл і його оригінал для порівняння і проведення подальших операцій з визначення алгоритму шифрування і методів відновлення. Але, як правило, здебільшого цей результат не дає. Але вірус-шифрувальник розшифрувати файли може і сам, як вважається, за умови, що жертва погодиться з умовами зловмисників і виплатить певну суму в грошовому еквіваленті. Проте така постановка питання викликає законні сумніви. І ось чому.

Вірус-шифрувальник: як вилікувати та розшифрувати файли і чи можна це зробити?

Як стверджується, після оплати хакери активують дешифрування через віддалений доступ до свого вірусу, який сидить у системі, або через додатковий аплет, якщо тіло вірусу видалено. Виглядає це більш ніж сумнівно.

Хочеться відзначити і той факт, що в Інтернеті повно фейкових постів про те, що, мовляв, потрібну суму було сплачено, а дані успішно відновлено. Це все брехня! І справді – де гарантія, що після оплати вірус-шифрувальник у системі не активується знову? Зрозуміти психологію зломщиків неважко: заплатив один раз – заплатиш знову. А якщо йдеться про особливо важливу інформацію на кшталт специфічних комерційних, наукових чи військових розробок, власники такої інформації готові заплатити скільки завгодно, аби файли залишилися цілими та безпековими.

Перший засіб для усунення загрози

Такий за своєю природою вірус-шифрувальник. Як вилікувати та розшифрувати файли після впливу загрози? Так ніяк, якщо немає підручних засобів, які теж не завжди допомагають. Але спробувати можна.

Припустимо, що у системі з'явився вірус-шифрувальник. Як вилікувати заражені файли? Спершу слід зробити поглиблене сканування системи без застосування технології S.M.A.R.T., яка передбачає виявлення загроз виключно при пошкодженні завантажувальних секторів та системних файлів.

Бажано не використовувати штатний сканер, який вже пропустив загрозу, а застосувати портативні утиліти. Оптимальним варіантом стане завантаження з диска Kaspersky Rescue Disk, яке може стартувати ще до початку операційної системи.

Але це лише половина справи, оскільки таким чином можна позбутися лише самого вірусу. А от із дешифратором буде складніше. Але про це трохи згодом.

Є ще одна категорія, під яку підпадають віруси-шифрувальники. Як розшифрувати інформацію, буде сказано окремо, а поки що зупинимося на тому, що вони можуть повністю відкрито існувати в системі у вигляді офіційно встановлених програм та додатків (нахабство зловмисників не знає межі, оскільки загроза навіть не намагається маскуватися).

У цьому випадку слід використовувати розділ програм та компонентів, де виконується стандартне видалення. Однак потрібно звернути увагу і на те, що стандартний деінсталятор Windows-системи повністю всі файли програми не видаляє. Зокрема, вірус-шифрувальник ransom здатний створювати власні папки в кореневих директоріях системи (зазвичай це каталоги Csrss, де є однойменний виконуваний файл csrss.exe). В якості основного розташування вибираються папки Windows, System32 або директорії користувача (Users на системному диску).

Крім того, вірус-шифрувальник No_more_ransom прописує в реєстрі власні ключі у вигляді посилання начебто офіційну системну службу Client Server Runtime Subsystem, що багатьох вводить в оману, оскільки ця служба повинна відповідати за взаємодію клієнтського і серверного ПЗ. Сам ключ знаходиться в папці Run, дістатися якої можна через гілку HKLM. Зрозуміло, що видаляти такі ключі потрібно буде вручну.

Щоб було простіше, можна скористатися утилітами на зразок iObit Uninstaller, які проводять пошук залишкових файлів та ключів реєстру автоматично (але лише за умови, що вірус у системі видно як встановлену програму). Але це найпростіше, що можна зробити.

Рішення, пропоновані розробниками антивірусного ПЗ

Розшифровка вірусу-шифрувальника, як вважається, може проводитися за допомогою спеціальних утиліт, хоча за наявності технологій з ключем 2048 або 3072 біта на них особливо розраховувати не варто (до того ж багато хто з них видаляє файли після дешифрування, а потім відновлені файли зникають з вини присутності тіла вірусу, яке було видалено до цього).

Проте спробувати можна. З усіх програм варто виділити RectorDecryptor та ShadowExplorer. Як вважається, поки що нічого кращого створено не було. Але проблема може полягати ще й у тому, що при спробі застосування дешифратора гарантії того, що файли, що виліковуються, не будуть видалені, немає. Тобто, якщо не позбутися вірусу від початку, будь-яка спроба дешифрування буде приречена на провал.

Крім видалення зашифрованої інформації може бути і смерть - непрацездатною виявиться вся система. Крім того, сучасний вірус-шифрувальник здатний впливати не тільки на дані, що зберігаються на жорсткому диску комп'ютера, але і на файли в сховище хмари. А тут рішень щодо відновлення інформації немає. До того ж, як виявилося, у багатьох службах вживаються недостатньо ефективні заходи захисту (той самий вбудований у Windows 10 OneDrive, який піддається впливу прямо з операційної системи).

Кардинальне вирішення проблеми

Як відомо, більшість сучасних методик позитивного результату при зараженні подібними вірусами не дає. Звичайно, якщо є оригінал пошкодженого файлу, його можна надіслати на експертизу до антивірусної лабораторії. Правда, дуже серйозні сумніви викликає і те, що рядовий користувач буде створювати резервні копії даних, які при зберіганні на жорсткому диску теж можуть зазнати впливу шкідливого коду. А про те, що, щоб уникнути неприємностей, користувачі копіюють інформацію на знімні носії, не йдеться взагалі.

Таким чином, для кардинального вирішення проблеми висновок напрошується сам собою: повне форматування вінчестера та всіх логічних розділів із видаленням інформації. А що робити? Доведеться пожертвувати, якщо не бажаєте, щоб вірус або його самозбережена копія активувалися в системі знову.

Для цього не варто використовувати засоби самих Windows-систем (мається на увазі форматування віртуальних розділів, оскільки при спробі доступу до системного диска буде видано заборону). Краще застосовувати завантаження з оптичних носіїв на зразок LiveCD або інсталяційних дистрибутивів, наприклад, створених за допомогою утиліти Media Creation Tool для Windows 10.

Перед початком форматування за умови видалення вірусу з системи можна спробувати відновити цілісність системних компонентів через командний рядок (sfc /scannow), але в плані дешифрування та розблокування даних це ефекту не дасть. Тому format c: - єдине правильне рішення, подобається вам це чи ні. Тільки так і можна повністю позбавитись загроз цього типу. На жаль, інакше - ніяк! Навіть лікування стандартними засобами, що пропонуються більшістю антивірусних пакетів, виявляється безсилим.

Замість післямови

У плані висновків, що напрошуються, можна сказати тільки те, що єдиного та універсального рішення щодо усунення наслідків впливу такого роду загроз на сьогоднішній день не існує (сумно, але факт - це підтверджено більшістю розробників антивірусного ПЗ та фахівцями в галузі криптографії).

Залишається незрозумілим, чому поява алгоритмів на основі 1024-, 2048- та 3072-бітного шифрування пройшло повз тих, хто безпосередньо займається розробкою та впровадженням таких технологій? Адже на сьогоднішній день найперспективнішим і найзахищенішим вважається алгоритм AES256. Зауважте! 256! Ця система сучасним вірусам, як виявляється, і підмітки не годиться. Що тоді говорити про спроби розшифровки їх ключів?

Тим не менш, уникнути впровадження загрози в систему можна досить просто. У найпростішому варіанті слід перевіряти всі вхідні повідомлення з вкладеннями в програмах Outlook, Thunderbird та інших поштових клієнтах антивірусом відразу ж після отримання і в жодному разі не відкривати вкладення до закінчення перевірки. Також слід уважно читати пропозиції щодо встановлення додаткового ПЗ при інсталяції деяких програм (зазвичай вони написані дуже дрібним шрифтом або замасковані під стандартні надбудови типу оновлення Flash Player або чогось ще). Компоненти мультимедіа найкраще оновлювати через офіційні сайти. Тільки так і можна хоч якось перешкоджати проникненню таких загроз у власну систему. Наслідки можуть бути абсолютно непередбачуваними, якщо врахувати, що віруси цього типу миттєво розповсюджуються в локальній мережі. А для фірми такий оборот подій може стати справжнім крахом всіх починань.

Зрештою, і системний адміністратор не повинен сидіти без діла. Програмні засоби захисту у такій ситуації краще виключити. Той же файрвол (міжмережевий екран) повинен бути не програмним, а «залізним» (звісно, ​​з супутнім ПЗ на борту). І, зрозуміло, що економити на придбанні антивірусних пакетів теж не варто. Краще купити ліцензійний пакет, а не встановлювати примітивні програми, які нібито забезпечують захист у реальному часі лише за словами розробника.

І якщо вже загроза в систему все ж таки проникла, послідовність дій повинна включати видалення самого тіла вірусу, а тільки потім спроби дешифрування пошкоджених даних. В ідеалі - повне форматування (зауважте, не швидке з очищенням змісту, а саме повне, бажано з відновленням або заміною існуючої файлової системи, завантажувальних секторів та записів).

Сучасні технології дозволяють хакерам постійно вдосконалювати способи шахрайства стосовно звичайних користувачів. Як правило, для цих цілей використовується вірусне програмне забезпечення, що проникає на комп'ютер. Особливо небезпечним вважаються віруси-шифрувальники. Загроза полягає в тому, що вірус дуже швидко розповсюджується, зашифровуючи файли (користувач просто не зможе відкрити жоден документ). І якщо досить просто, то набагато складніше розшифрувати дані.

Що робити, якщо вірус зашифрував файли на комп'ютері

Зазнати атаки шифрувальника може кожен, не застраховані навіть користувачі, у яких стоїть потужне антивірусне програмне забезпечення. Трояни шифрувальники файлів представлені різним кодом, який може бути не під силу антивірусу. Хакери навіть примудряються атакувати подібним способом великі компанії, які не подбали про необхідний захист інформації. Отже, підчепивши в онлайні програму шифрувальник, необхідно вжити ряд заходів.

Головні ознаки зараження – повільна робота комп'ютера та зміна найменувань документів (можна помітити робочому столі).

1. Перезапустіть комп'ютер, щоб зупинити шифрування. Під час увімкнення не підтверджуйте запуск невідомих програм.
2. Запустіть антивірус, якщо він не зазнав атаки шифрувальника.
3. Відновити інформацію в деяких випадках допоможуть тіньові копії. Щоб знайти їх, відкрийте «Властивості» зашифрованого документа. Цей спосіб працює із зашифрованими даними розширення Vault, про який є інформація на порталі.
4. Завантажте утиліту останньої версії для боротьби з вірусами-шифрувальниками. Найефективніші пропонує «Лабораторія Касперського».

Віруси-шифрувальники у 2016: приклади

При боротьбі з будь-якою вірусною атакою важливо розуміти, що код часто змінюється, доповнюючись новим захистом від антивірусів. Звісно ж, програмам захисту потрібен якийсь час, поки розробник не оновить бази. Нами були відібрані найнебезпечніші віруси-шифрувальники останнього часу.

Ishtar Ransomware

Ishtar – шифрувальник, який вимагає у користувача гроші. Вірус був помічений восени 2016 року, заразивши величезну кількість комп'ютерів користувачів з Росії та інших країн. Поширюється за допомогою email-розсилки, в якій йдуть вкладені документи (інсталятори, документи тощо). Заражені шифрувальником Ishtar дані одержують у назві приставку «ISHTAR». У процесі створюється тестовий документ, де зазначено, куди звернутися за отриманням пароля. Зловмисники вимагають за нього від 3000 до 15000 рублів.

Небезпека вірусу Ishtar у тому, що на сьогоднішній день немає дешифратора, який допоміг би користувачам. Компаніям, що займаються створенням антивірусного ПЗ, потрібен час, щоб розшифрувати весь код. Зараз можна лише ізолювати важливу інформацію (якщо особливу важливість) на окремий носій, чекаючи виходу утиліти, здатної розшифрувати документи. Рекомендується перевстановити операційну систему.

Neitrino

Шифрувальник Neitrino з'явився на просторах Мережі в 2015 році. За принципом атаки схожий на інші віруси подібної категорії. Змінює найменування папок та файлів, додаючи "Neitrino" або "Neutrino". Дешифрації вірус важко піддається – беруться за це далеко не всі представники антивірусних компаній, посилаючись на дуже складний код. Деякі користувачі можуть допомогти відновити тіньову копію. Для цього клацніть правою кнопкою миші зашифрований документ, перейдіть в «Властивості», вкладка «Попередні версії», натисніть «Відновити». Не зайвим буде скористатися і безкоштовною утилітою від «Лабораторії Касперського».

Wallet або .wallet.

З'явився вірус-шифрувальник Wallet наприкінці 2016 року. У процесі зараження змінює найменування даних на «Ім'я. wallet» або подібне. Як і більшість вірусів-шифрувальників, потрапляє до системи через вкладення в електронних листах, які розсилають зловмисники. Оскільки загроза виникла зовсім недавно, антивірусні програми не помічають його. Після шифрації створює документ, у якому шахрай вказує пошту зв'язку. В даний час розробники антивірусного ПЗ працюють над розшифровкою коду вірусу-шифрувальника [email protected]Користувачам, які зазнали атаки, залишається лише чекати. Якщо важливі дані, рекомендується їх зберегти на зовнішній накопичувач, очистивши систему.

Enigma

Вірус-шифрувальник Enigma почав заражати комп'ютери російських користувачів наприкінці квітня 2016 року. Використовується модель шифрування AES-RSA, яка сьогодні зустрічається у більшості вірусів-вимагачів. На комп'ютер вірус проникає за допомогою скрипта, який запускає користувач, відкривши файли з підозрілого електронного листа. Досі немає універсального засобу для боротьби із шифрувальником Enigma. Користувачі, які мають ліцензію на антивірус, можуть попросити про допомогу на офіційному веб-сайті розробника. Також було знайдено невелику «лазівку» – Windows UAC. Якщо користувач натисне «Ні» у вікні, яке з'являється в процесі зараження вірусом, зможе згодом відновити інформацію за допомогою тіньових копій.

Granit

Новий вірус-шифрувальник Granit з'явився в Мережі восени 2016 року. Зараження відбувається за таким сценарієм: користувач запускає інсталятор, який заражає і шифрує всі дані на ПК, а також підключених накопичувачах. Боротися із вірусом складно. Для видалення можна скористатися спеціальними утилітами Kaspersky, але розшифрувати код ще не вдалося. Можливо, допоможе відновити попередні версії даних. Окрім цього, розшифрувати може спеціаліст, який має великий досвід, але послуга коштує дорого.

Tyson

Був помічений нещодавно. Є розширенням вже відомого шифрувальника no_more_ransom, про який ви можете дізнатися на нашому сайті. Потрапляє на персональні комп'ютери із електронної пошти. Атаку зазнало багато корпоративних ПК. Вірус створює текстовий документ з інструкцією розблокування, пропонуючи заплатити «викуп». Шифрувальник Tyson з'явився нещодавно, тому ключа для розблокування ще немає. Єдиний спосіб відновити інформацію – повернути попередні версії, якщо вони не зазнали видалення вірусом. Можна, звичайно, ризикнути, перевівши гроші на вказаний зловмисниками рахунок, але немає гарантій, що ви отримаєте пароль.

Spora

На початку 2017 року низка користувачів стала жертвою нового шифрувальника Spora. За принципом роботи він не сильно відрізняється від своїх побратимів, але може похвалитися професійнішим виконанням: краще складено інструкцію з отримання пароля, веб-сайт виглядає красивіше. Створено вірус-шифрувальник Spora на мові С, використовує поєднання RSA та AES для шифрування даних жертви. Атаку зазнали, як правило, комп'ютери, на яких активно використовується бухгалтерська програма 1С. Вірус, ховаючись під виглядом простого рахунку у форматі.pdf, змушує працівників компаній запускати його. Лікування поки що не знайдено.

1C.Drop.1

Цей вірус-шифрувальник для 1С з'явився влітку 2016 року, порушивши роботу багатьох бухгалтерій. Розроблено спеціально для комп'ютерів, на яких використовується програмне забезпечення 1С. Потрапляючи за допомогою файлу в електронному листі до ПК, пропонує власнику оновити програму. Яку кнопку користувач не натиснув, вірус почне шифрування файлів. Над інструментами для розшифровки працюють фахівці «Dr.Web», але поки що рішення не знайдено. Виною тому складний код, який може бути у кількох модифікаціях. Захистом від 1C.Drop.1 стає лише пильність користувачів та регулярне архівування важливих документів.

da_vinci_code

Новий шифрувальник з незвичайною назвою. З'явився вірус навесні 2016 року. Від попередників відрізняється покращеним кодом та стійким режимом шифрування. da_vinci_code заражає комп'ютер завдяки виконавчому додатку (додається зазвичай до електронного листа), який користувач самостійно запускає. Шифрувальник "да Вінчі" (da vinci code) копіює тіло в системний каталог і реєстр, забезпечуючи автоматичний запуск при включенні Windows. Комп'ютеру кожної жертви надається унікальний ID (допомагає отримати пароль). Розшифрувати дані практично неможливо. Можна сплатити гроші зловмисникам, але ніхто не гарантує отримання пароля.

[email protected] / [email protected]

Дві адреси електронної пошти, якими часто супроводжувалися віруси-шифрувальники у 2016 році. Саме вони служать зв'язку жертви зі зловмисником. Додавалися адреси до різних видів вірусів: da_vinci_code, no_more_ransom і так далі. Вкрай не рекомендується зв'язуватися, а також переказувати гроші шахраям. Користувачі здебільшого залишаються без паролів. Таким чином, показуючи, що шифрувальники зловмисників працюють, приносячи дохід.

Breaking Bad

З'явився ще на початку 2015 року, але активно поширився лише за рік. Принцип зараження ідентичний іншим шифрувальникам: інсталяція файлу з електронного листа, шифрування даних. Звичайні антивіруси, зазвичай, не помічають вірус Breaking Bad. Деякий код не може обминути Windows UAC, тому користувач має можливість відновити попередні версії документів. Дешифратора поки що не представила жодна компанія, що розробляє антивірусне ПЗ.

XTBL

Дуже поширений шифрувальник, який завдав неприємностей багатьом користувачам. Потрапивши на ПК, вірус за лічені хвилини змінює розширення файлів на .xtbl. Створюється документ, у якому зловмисник вимагає коштів. Деякі різновиди вірусу XTBL не можуть знищити файли для відновлення системи, що дає змогу повернути важливі документи. Сам вірус можна видалити багатьма програмами, але розшифрувати документи дуже складно. Якщо є ліцензійний антивірус, скористайтеся технічною підтримкою, додавши зразки заражених даних.

Kukaracha

Шифрувальник «Кукарача» був помічений у грудні 2016 року. Вірус з цікавою назвою приховує файли користувача за допомогою алгоритму RSA-2048, який відрізняється високою стійкістю. Антивірус Kaspersky позначив його як Trojan-Ransom.Win32.Scatter.lb. Kukaracha може бути видалено з комп'ютера, щоб зараженню не зазнали інших документів. Проте заражені на сьогодні практично неможливо розшифрувати (дуже потужний алгоритм).

Як працює вірус-шифрувальник

Існує безліч шифрувальників, але вони працюють за подібним принципом.

1. Влучення на персональний комп'ютер. Як правило, завдяки вкладеному файлу до електронного листа. Інсталяцію у своїй ініціює сам користувач, відкривши документ.
2. Зараження файлів. Піддаються шифрації майже всі типи файлів (залежить від вірусу). Створюється текстовий документ, у якому вказані контакти зв'язку зі зловмисниками.
3. Всі. Користувач не може отримати доступу до жодного документа.

Засоби боротьби від популярних лабораторій

Широке поширення шифрувальників, які визнаються найнебезпечнішими загрозами для даних користувачів, стало поштовхом для багатьох антивірусних лабораторій. Кожна популярна компанія надає своїм користувачам програми, що допомагають боротися із шифрувальниками. Крім того, багато з них допомагають із розшифровкою документів захистом системи.

Kaspersky та віруси-шифрувальники

Одна з найвідоміших антивірусних лабораторій Росії та світу пропонує сьогодні найдієвіші засоби для боротьби з вірусами-вимагачами. Першою перешкодою для вірусу-шифрувальника стане Kaspersky Endpoint Security 10 з останніми оновленнями. Антивірус просто не пропустить на комп'ютер загрозу (щоправда, нові версії може не зупинити). Для розшифровки інформації розробник представляє відразу кілька безкоштовних утиліт: , XoristDecryptor, RakhniDecryptor та Ransomware Decryptor. Вони допомагають шукати вірус і підбирають пароль.

Dr. Web та шифрувальники

Ця лабораторія рекомендує використовувати їхню антивірусну програму, головною особливістю якої стало резервування файлів. Сховище з копіями документів також захищене від несанкціонованого доступу зловмисників. Власникам ліцензійного продукту Dr. Web доступна функція звернення за допомогою на технічну підтримку. Щоправда, і досвідчені фахівці не завжди можуть протистояти цьому типу загроз.

ESET Nod 32 та шифрувальники

Осторонь не залишилася ця компанія, забезпечуючи своїм користувачам непоганий захист від проникнення вірусів на комп'ютер. Крім того, лабораторія нещодавно випустила безкоштовну утиліту з актуальними базами – Eset Crysis Decryptor. Розробники заявляють, що вона допоможе у боротьбі навіть із найновішими шифрувальниками.

Останнім часом спостерігається сплеск активності нового покоління шкідливих програм. З'явилися вони досить давно (6 - 8 років тому), але темпи їхнього впровадження досягли свого максимуму саме зараз. Все частіше можна натрапити на те, що вірус зашифрував файли.

Вже відомо, що це не просто примітивні шкідливі ПЗ, наприклад (що викликають появу синього екрану), а серйозні програми, націлені на пошкодження, як правило, бухгалтерських даних. Вони шифрують всі наявні файли, що знаходяться в межах досяжності, включаючи дані 1С бухгалтерії, docx, xlsx, jpg, doc, xls, pdf, zip.

Особлива небезпека розглянутих вірусів

Вона полягає в тому, що при цьому застосовується RSA-ключ, який прив'язаний до конкретного комп'ютера користувача, тому універсальний дешифратор ( декриптор) Відсутнє. Віруси, активізовані в одному з комп'ютерів, можуть не працювати в іншому.

Небезпека також ще в тому, що вже більше року в Інтернеті розміщені готові програми-будівельники (білдери), що дозволяють розробити такий вірус навіть кулхацкерам (особистості, які вважають себе хакерами, але при цьому не вивчають програмування).

Нині з'явилися потужніші їх модифікації.

Спосіб впровадження даних шкідливих програм

Розсилка вірусу проводиться цілеспрямовано, зазвичай, у бухгалтерію підприємства. Спочатку здійснюється збір е-мейлів відділів кадрів, бухгалтерій із таких баз даних, як, наприклад, hh.ru. Далі проводиться розсилка листів. Вони найчастіше містять прохання щодо прийняття на певну посаду. До такого листа з резюме, всередині якого є реальний документ з імплантованим OLE-об'єктом (pdf-файл з вірусом).

У ситуаціях, коли співробітники бухгалтерії відразу запускали цей документ, після перезавантаження відбувалося таке: вірус перейменував та зашифрував файли, а потім самоліквідувався.

Такого листа, зазвичай, адекватно написано і відправлено з неспамерського ящика (ім'я відповідає підпису). Вакансія завжди запитується виходячи з профілюючої діяльності компанії, через що підозри не виникають.

Ні ліцензійний "Касперський" (антивірусна програма), ні "Вірус Тотал" (онлайн-сервіс перевірки вкладень на віруси) не можуть убезпечити комп'ютер у цьому випадку. Іноді деякі антивірусні програми при скануванні видають, що у вкладенні знаходиться Gen:Variant.Zusy.71505.

Як уникнути зараження цим вірусом?

Слід перевіряти кожен отриманий файл. Особлива увага приділяється вордівським документам, які мають запроваджені pdf.

Варіанти «заражених» листів

Їх досить багато. Найпоширеніші варіанти, як вірус зашифрував файли, представлені нижче. У всіх випадках на електронну пошту надходять такі документи:

1. Повідомлення щодо початку процесу розгляду поданого на конкретну організацію судового позову (у листі пропонується перевірити дані за допомогою переходу за зазначеним посиланням).
2. Лист із ВАС РФ про стягнення боргу.
3. Повідомлення зі Ощадбанку щодо збільшення існуючої заборгованості.
4. Повідомлення про фіксацію порушення правил дорожнього руху.
5. Лист із Колекторського агентства із зазначенням максимально можливої ​​відстрочки платежу.

Повідомлення про шифрування файлів

Воно після зараження з'явиться в кореневій папці диска С. Іноді у всіх каталогах з пошкодженим текстом розміщуються файли типу ЩО_РОБИТИ.txt, CONTACT.txt. Там користувача інформують про шифрування його файлів, здійснене за допомогою надійних криптостійких алгоритмів. А також його попереджають про недоцільність застосування сторонніх утиліт, так як це може призвести до остаточного пошкодження файлів, що, у свою чергу, призведе до неможливості їх розшифровки.

Рекомендується залишити комп'ютер у постійному стані. У ньому вказано час зберігання наданого ключа (зазвичай це 2 доби). Прописано точну дату, після якої будь-які звернення ігноруватимуться.

Наприкінці надається е-мейл. Там також говориться, що користувач повинен вказати свій ID і що будь-яка з нижченаведених дій може призвести до ліквідації ключа, а саме:

Як розшифрувати файли, які зашифровані вірусом?

Даного роду шифрування дуже потужне: файлу присвоюється таке розширення, як perfect, nochance та ін.

Існує ще один спосіб, як відновити зашифровані вірусом файли, але він підходить не до всіх вірусів, до того ж потрібно витягнути вихідний exe разом з цією шкідливою програмою, що досить нелегко здійснити після самоліквідації.

Прохання вірусу щодо введення спеціального коду - незначна перевірка, тому що файл на цей момент вже має дешифратор (код від, так би мовити, зловмисників не буде потрібно). Суть даного способу - вписування в прониклий вірус (саме місце порівняння коду, що вводиться) порожніх команд. Результат - шкідлива програма сама запускає дешифрування файлів і цим їх повністю відновлює.

У кожному окремому вірусі своя спеціальна функція шифрування, через що стороннім екшешником (файлом формату exe) розшифрувати не вдасться, або можна спробувати підібрати вищезазначену функцію, для чого необхідно всі дії здійснювати на WinAPI.

файли: що робити?

Для проведення процедури дешифрування потрібно:

Як уникнути втрати даних через розглянуте шкідливе ПЗ?

Варто знати, що в ситуації, коли вірус зашифрував файли, для процесу їх дешифрування потрібен час. Важливим моментом є те, що у вищезгаданому шкідливому програмному забезпеченні існує помилка, що дозволяє зберегти частину файлів, якщо швидко знеструмити комп'ютер (висмикнути вилку з розетки, вимкнути мережевий фільтр, витягнути батарею у випадку з ноутбуком), як тільки з'явиться велика кількість файлів з раніше вказаним розширенням .

Ще раз слід підкреслити, що головне - це створювати резервне копіювання, але не в іншу папку, не на знімний носій, вставлений в комп'ютер, так як дана модифікація вірусу добереться і до цих місць. Варто зберігати бекапи на іншому комп'ютері, на вінчестері, який постійно не приєднаний до комп'ютера, і в хмару.

Відноситися слід з підозрою до всіх документів, які приходять на пошту від невідомих осіб (у вигляді резюме, накладної, Постанови з ВАС РФ чи податкової та ін.). Не треба їх запускати на своєму комп'ютері (для цих цілей можна виділити нетбук, який не містить важливих даних).

Шкідлива програма * [email protected]: способи усунення

У ситуації, коли вищезазначений вірус зашифрував файли cbf, doc, jpg і т. д. існує всього три варіанти розвитку події:

1. Найпростіший спосіб позбутися його - видалити всі заражені файли (це прийнятно, якщо дані не особливо важливі).
2. Зайти до лабораторії антивірусної програми, наприклад, Dr. WEB Надіслати розробникам кілька заражених файлів обов'язково разом із ключем для дешифрування, що знаходиться на комп'ютері як KEY.PRIVATE.
3. Найвитратніший спосіб. Він передбачає оплату суми за дешифрування заражених файлів. Як правило, вартість цієї послуги в межах 200 - 500 дол. США. Це прийнятно в ситуації, коли вірус зашифрував файли великої компанії, в якій щодня протікає суттєвий інформаційний потік, і ця шкідлива програма може за лічені секунди завдати колосальної шкоди. У зв'язку з цим оплата – найшвидший варіант відновлення заражених файлів.

Іноді результативним є і додатковий варіант. Якщо вірус зашифрував файли ( [email protected] _com або інше шкідливе ПЗ), може допомогти на кілька днів тому.

Програма для дешифрування RectorDecryptor

Якщо вірус зашифрував файли jpg, doc, cbf тощо, може допомогти спеціальна програма. Для цього спочатку потрібно зайти в автозавантаження та відключити все, крім антивірусу. Далі потрібно перезавантажити комп'ютер. Переглянути всі файли, виділити підозрілі. У полі під назвою «Команда» вказано розташування конкретного файлу (увага приділяти варто програмам, що не мають підпису: виробник - немає даних).

Усі підозрілі файли треба видалити, після чого потрібно почистити кеші браузерів, тимчасові папки (для цього підійде програма CCleaner).

Щоб приступити до дешифрування, необхідно завантажити вищезазначену програму. Потім запустити її та натиснути кнопку «Почати перевірку», вказавши змінені файли та їх розширення. У сучасних версіях цієї програми можна вказати лише заражений файл і натиснути кнопку «Відкрити». Після цього файли будуть розшифровані.

Згодом утиліта автоматично здійснює перевірку всіх комп'ютерних даних, включаючи файли, що знаходяться на приєднаному мережному диску, та дешифрує їх. Цей процес відновлення може тривати кілька годин (залежно від обсягу роботи та швидкодії комп'ютера).

У результаті всі будуть розшифровані в ту саму директорію, де вони знаходилися спочатку. На завершення залишиться лише видалити всі наявні файли з підозрілим розширенням, для чого можна проставити галочку в запиті "Видаляти зашифровані файли після успішної розшифровки", натиснувши кнопку "Змінити параметри перевірки". Однак краще її не ставити, так як у разі невдалого дешифрування файлів вони можуть піти, і згодом доведеться їх спочатку відновлювати.

Отже, якщо вірус зашифрував файли doc, cbf, jpg тощо, не слід поспішати з оплатою коду. Може, він і не знадобиться.

Нюанси видалення зашифрованих файлів

При спробі ліквідації всіх пошкоджених файлів за допомогою стандартного пошуку та подальшого видалення може розпочатися зависання та уповільнення роботи комп'ютера. У зв'язку з цим для даної процедури варто скористатися спеціальною. Після її запуску необхідно вписати таке:<диск>:\*.<расширение зараженного файла>»/f/s.

Обов'язково треба видалити такі файли, як «Прочитай-мене.txt», для чого в тому ж командному рядку слід зазначити: del «<диск>:\*.<имя файла>»/f/s.

Таким чином, можна зазначити, що якщо вірус перейменував і зашифрував файли, то не варто відразу витрачати кошти на покупку ключа у зловмисників, спочатку варто спробувати розібратися в проблемі самостійно. Краще вкласти гроші у придбання спеціальної програми для розшифровки пошкоджених файлів.

Насамкінець варто нагадати, що в цій статті розглядалося питання щодо того, як розшифрувати файли, зашифровані вірусом.

Сьогодні користувачам комп'ютерів і ноутбуків все частіше доводиться стикатися зі шкідливими програмами, які підміняють файли зашифрованими копіями. Власне, це віруси. Одним із найнебезпечніших у цій серії вважається шифрувальник XTBL. Що таке шкідник, як потрапляє в комп'ютер користувача і чи можна відновити пошкоджену інформацію?

Що являє собою XTBL-шифрувальник і як потрапляє до комп'ютера

Якщо ви виявили у себе на комп'ютері або в ноутбуці файли з довгою назвою, що мають розширення. Він вражає всі версії Windows. Самостійно розшифрувати подібні файли практично нереально, адже програма використовує гібридний режим, у якому підбір ключа просто неможливий.

Заражені файли заповнюються системними каталогами. Додаються записи до реєстру Windows, які автоматично запускають вірус при кожному старті ОС.

Шифруються практично всі типи файлів – графічні, текстові, архівні, поштові, відео, музичні та ін. Працювати у Windows стає неможливо.

Як це діє? Запущений у Windows XTBL-шифрувальник спочатку сканує всі логічні диски. Сюди включаються хмарні та мережеві сховища, розташовані на комп'ютері. В результаті файли групуються за розширенням і потім шифруються. Таким чином, вся цінна інформація, яка розміщена в папках користувача, стає недоступною.

Ось таку картину побачить користувач замість піктограм із найменуваннями звичних файлів

Під впливом XTBL-шифрувальника розширення файлу змінюється. Тепер користувач бачить піктограму порожнього листа та довгу назву із закінченням.xtbl замість зображення чи тексту у Word. Крім того, на робочому столі з'являється повідомлення, свого роду інструкція з відновлення зашифрованої інформації, що вимагає оплати розблокування. Це не що інше, як шантаж із вимогою викупу.

Таке повідомлення висвічується у вікні робочого столу комп'ютера

Поширення XTBL-шифрувальника зазвичай відбувається через електронну пошту. У листі містяться вкладені файли або документи, заражені вірусом. Шахрай приваблює користувача барвистим заголовком. Все робиться для того, щоб послання, в якому йдеться про те, що ви, наприклад, виграли мільйон, було відкрито. Не реагуйте на такі повідомлення, інакше є великий ризик, що вірус опиниться у вашій ОС.

Чи є можливість відновити інформацію

Можна спробувати розшифрувати інформацію, скориставшись спеціальними утилітами.Однак немає жодної гарантії, що ви зможете позбутися вірусу та відновити пошкоджені файли.

В даний час XTBL-шифрувальник представляє безперечну загрозу для всіх комп'ютерів із встановленою ОС Windows. Навіть у визнаних лідерів у боротьбі з вірусами – Dr.Web та Лабораторії Касперського – немає 100% вирішення цього питання.

Видалення вірусу та відновлення зашифрованих файлів

Є різні методи та програми, що дозволяють працювати з XTBL-шифрувальником.Одні видаляють вірус, інші намагаються розшифрувати заблоковані файли або відновити їх попередні копії.

Переривання зараження комп'ютера

Якщо вам пощастило помітити початок появи на комп'ютері файлів з розширенням .xtbl, процес подальшого зараження цілком реально перервати.

Kaspersky Virus Removal Tool для видалення XTBL-шифрувальника

Всі подібні програми слід відкривати в операційній системі, попередньо запущеній в безпечному режимі з варіантом завантаження мережних драйверів. У цьому випадку вірус видалити набагато простіше, оскільки підключено мінімальну кількість системних процесів, необхідних для запуску Windows.

Щоб завантажити безпечний режим у Window XP, 7 під час запуску системи постійно натискайте клавішу F8 і після появи вікна меню виберіть відповідний пункт. У разі використання Windows 8, 10 слід перезапустити ОС, утримуючи клавішу Shift. У процесі запуску відкриється вікно, де можна буде вибрати потрібний варіант безпечного завантаження.

Вибір безпечного режиму із завантаженням мережевих драйверів

Програма Kaspersky Virus Removal Tool чудово розпізнає XTBL-шифрувальник і видаляє цей тип вірусу. Запустіть перевірку комп'ютера, натиснувши відповідну кнопку після завантаження програми. Після завершення сканування видаліть шкідливі файли.

Запуск перевірки комп'ютера на наявність в ОС Windows XTBL-шифрувальника з подальшим видаленням вірусу

Утиліта Dr.Web CureIt!

Алгоритм перевірки та видалення вірусу практично нічим не відрізняється від попереднього варіанту.Проскануйте за допомогою утиліти всі логічні диски. Для цього достатньо лише дотримуватися команд програми після її запуску. Після закінчення процесу позбавтеся заражених файлів, натиснувши кнопку «Знешкодити».

Знешкодження шкідливих файлів після сканування Windows

Malwarebytes Anti-malware

Програма здійснить поетапну перевірку вашого комп'ютера на наявність шкідливих кодів та знищить їх.

1. Встановіть та запустіть утиліту Anti-malware.
2. Виберіть внизу вікна пункт «Запустити перевірку».
3. Дочекайтеся закінчення процесу і позначте галочками чекбокси із зараженими файлами.
4. Видаліть вибране.

Видалення виявлених під час перевірки шкідливих файлів XTBL-шифрувальника

Онлайн-скрипт-дешифратор від Dr.Web

На офіційному сайті Dr.Web у розділі підтримки є вкладка з розміщеним скриптом розшифровки файлів. Слід враховувати, що скористатися дешифратором в режимі онлайн можуть лише ті користувачі, на комп'ютерах яких встановлений антивірус цього розробника.

Прочитайте інструкцію, заповніть все необхідне та натисніть кнопку «Надіслати»

Утиліта-дешифратор RectorDecryptor від Лабораторії Касперського

Розшифровкою файлів займається Лабораторія Касперського.На офіційному сайті можна завантажити утиліту RectorDecryptor.exe для версій Windows Vista, 7, 8, пройшовши за посиланнями меню "Підтримка - Лікування та розшифровка файлів - RectorDecryptor - Як розшифрувати файли". Запустіть програму, перевірте, після чого видаліть зашифровані файли, вибравши відповідний пункт.

Перевірка та розшифровка файлів, заражених XTBL-шифрувальником

Відновлення зашифрованих файлів із резервної копії

Починаючи з версії Windows 7, можна спробувати відновити файли з резервних копій.

ShadowExplorer для відновлення зашифрованих файлів

Програма є варіантом portable, її можна завантажувати з будь-якого носія.

QPhotoRec

Програма спеціально створена для відновлення пошкоджених та віддалених файлів.Використовуючи вбудовані алгоритми, утиліта знаходить та повертає до вихідного стану всю втрачену інформацію.

Програма QPhotoRec є безкоштовною.

На жаль, є лише англомовна версія QPhotoRec, але розібратися в налаштуваннях зовсім нескладно, інтерфейс інтуїтивно зрозумілий.

1. Запустіть програму.
2. Позначте логічні диски із зашифрованою інформацією.
3. Натисніть кнопку File Formats та OK.
4. Виберіть за допомогою кнопки Browse, розташованої в нижній частині відкритого вікна, місце збереження файлів і запустіть процедуру відновлення, натиснувши Search.

QPhotoRec відновлює файли, видалені XTBL-шифрувальником та замінені на власні копії

Як розшифрувати файли - відео

Чого не слід робити

1. Ніколи не робіть дій, у яких не цілком упевнені.Краще запросіть спеціаліста з сервісного центру або самі відвезіть туди комп'ютер.
2. Не відкривайте повідомлення електронної пошти від невідомих відправників.
3. У жодному разі не йдіть на поводу у зловмисників-шантажистів, погоджуючись перерахувати їм гроші. Результату це, швидше за все, не дасть.
4. Не перейменовуйте вручну розширення зашифрованих файлів і не поспішайте встановлювати заново Windows. Можливо, вдасться знайти рішення, яке виправить ситуацію.

Профілактика

Намагайтеся встановити надійний захист від проникнення на ваш комп'ютер XTBL-шифрувальника і подібних вірусів-вимагачів. До таких програм належать:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

Незважаючи на те, що всі вони є англомовними, працювати з такими утилітами досить просто. Запустіть програму та виберіть рівень захисту в установках.

Запуск програми та вибір рівня захисту

Якщо вам довелося зіткнутися з вірусом-вимагачем, що шифрує файли на комп'ютері, то, звичайно, не варто зневірятися. Спробуйте використати запропоновані методи відновлення зіпсованої інформації. Найчастіше це дає позитивний результат. Не застосовуйте для видалення шифрувальника XTBL неперевірені програми невідомих розробників. Адже це може лише посилити ситуацію. По можливості встановіть на ПК одну з програм, що запобігають роботі вірусу, та проводьте постійне планове сканування Windows на наявність шкідливих процесів.

«Вибачте, що потурбували, але… ваші файли зашифровані. Щоб отримати ключ для розшифровки, терміново переведіть суму грошей на гаманець… Інакше ваші дані будуть знищені безповоротно. У вас 3 години, час пішов». І це не жарт. Вірус-шифрувальник – загроза більш ніж реальна.

Сьогодні поговоримо, що являють собою шкідливі програми-шифрувальники, що поширилися в останні роки, що робити у разі зараження, як вилікувати комп'ютер і чи можливо це взагалі, а також як від них захиститися.

Шифруємо все!

Вірус-шифрувальник (шифратор, криптор) – особливий різновид шкідливих програм-вимагачів, чия діяльність полягає в шифруванні файлів користувача та подальшій вимогі викупити засіб розшифровки. Суми викупу починаються десь від $200 і досягають десятків та сотень тисяч зелених папірців.

Кілька років тому атаки зловредів цього класу зазнавали тільки комп'ютери на базі Windows. Сьогодні їх ареал розширився до, здавалося б, добре захищених Linux, Mac та Андроїд. Крім того, постійно зростає видова різноманітність шифраторів – одна за одною з'являються новинки, яким є чим здивувати світ. Так, виникла завдяки «схрещуванню» класичного трояна-шифрувальника та мережевого хробака (шкідливої ​​програми, яка поширюється мережами без активної участі користувачів).

Після WannaCry з'явилися не менш витончені Petya та Bad Rabbit. І оскільки «шифрувальний бізнес» приносить власникам непоганий дохід, то можна бути впевненими, що вони не останні.

Дедалі більше шифрувальників, які особливо побачили світ в останні 3-5 років, використовують стійкі криптографічні алгоритми, які неможливо зламати ні перебором ключів, ні іншими існуючими засобами. Єдина можливість відновити дані – скористатись оригінальним ключем, який пропонують купити зловмисники. Однак навіть перерахування ним необхідної суми не гарантує отримання ключа. Злочинці не поспішають розкривати свої секрети та втрачати потенційний прибуток. Та й який сенс виконувати обіцянки, якщо гроші вже в них?

Шляхи розповсюдження вірусів-шифраторів

Основний шлях попадання шкідливості на комп'ютери приватних користувачів та організацій – електронна пошта, точніше, додані до листів файли та посилання.

Приклад такого листа призначений для «корпоративних клієнтів»:

• "Терміново погасіть борг за кредитом".
• «Позовна заява подана до суду».
• "Сплатіть штраф/внесок/податок".
• «Дорахування комунального платежу».
• "Ой, це ти на фотографії?"
• "Ліна попросила терміново передати це тобі" і т.д.

Погодьтеся, тільки обізнаний користувач поставиться до такого листа з настороженістю. Більшість, не замислюючись, відкриє вкладення та запустить шкідливу програму своїми руками. До речі, незважаючи на крики антивірусу.

Також для поширення шифрувальників активно використовуються:

• Соціальні мережі (розсилка з облікових записів знайомих і незнайомих людей).
• Шкідливі та заражені веб-ресурси.
• Банерна реклама.
• Розсилання через месенджери зі зламаних акаунтів.
• Сайти-варезники та розповсюджувачі кейгенів та кряків.
• Сайти для дорослих.
• Магазини додатків та контенту.

Провідниками вірусів-шифраторів нерідко бувають інші шкідливі програми, зокрема, демонстратори реклами та трояни-бекдори. Останні, використовуючи вразливість у системі та ПЗ, допомагають злочинцеві отримати віддалений доступ до зараженого пристрою. Запуск шифрувальника в таких випадках не завжди збігається з часом з потенційно небезпечними діями користувача. Поки бекдор залишається в системі, зловмисник може проникнути на пристрій будь-якої миті та запустити шифрування.

Для зараження комп'ютерів організацій (адже вони можна віджати більше, ніж в домашніх користувачів) розробляються особливо вишукані способи. Наприклад, троянець Petya проникав на пристрої через модуль оновлення програми для ведення податкового обліку MEDoc.

Шифрувальники з функціями мережевих хробаків, як говорилося, поширюються мережами, зокрема Інтернет, через уразливості протоколів. І заразитися ними можна, не роблячи нічого. Найбільшу небезпеку наражаються користувачі ОС Windows, що рідко оновлюються, оскільки оновлення закривають відомі лазівки.

Деякі зловреди, такі, як WannaCry, експлуатують уразливості 0-day (нульового дня), тобто ті, про які поки що не знають розробники систем. Повноцінно протистояти зараженню таким шляхом, на жаль, неможливо, проте ймовірність, що саме ви потрапите до числа постраждалих, не дотягує навіть до 1%. Чому? Та тому, що шкідливе програмне забезпечення не може одномоментно заразити всі вразливі машини. І поки воно планує нові жертви, розробники систем встигають випустити рятівне оновлення.

Як поводиться шифрувальник на зараженому комп'ютері

Процес шифрування, як правило, починається непомітно, а коли його ознаки стають очевидними, рятувати дані вже пізно: на той час шкідливість зашифрувала все, до чого дотяглася. Іноді користувач може помітити, як у файлів у якійсь відкритій папці змінилося розширення.

Така поява у файлів нового, а іноді другого розширення, після чого вони перестають відкриватися, повністю вказує на наслідки атаки шифрувальника. До речі, розширення, яке отримують пошкоджені об'єкти, зазвичай вдається ідентифікувати зловреда.

Приклад, які можуть бути розширення зашифрованих файлів:. xtbl, .kraken, .cesar, .da_vinci_code, [email protected] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn і т.д.

Варіантів маса, і вже завтра з'являться нові, тому перераховувати все особливе значення немає. Для визначення типу зараження достатньо згодувати кілька розширень пошукової системи.

Інші симптоми, які побічно вказують на початок шифрування:

• Поява на екрані на долі секунди вікон командного рядка. Найчастіше це нормальне явище при встановленні оновлень системи та програм, але поза увагою його краще не залишати.
• Запити UAC на запуск якоїсь програми, яку ви не збиралися відкривати.
• Раптове перезавантаження комп'ютера з подальшою імітацією роботи системної утиліти перевірки диска (можливі інші варіації). Під час перевірки відбувається процес шифрування.

Після успішного закінчення шкідливої ​​операції на екрані з'являється повідомлення з вимогою викупу та різними загрозами.

Вимагачі шифрують значну частину файлів користувача: фотографій, музики, відео, текстових документів, архівів, пошти, баз даних, файлів з розширеннями програм і т. д. Але при цьому не чіпають об'єкти операційної системи, адже зловмисникам не потрібно, щоб заражений комп'ютер перестав працювати. Деякі віруси замінюють завантажувальні записи дисків і розділів.

Після шифрування із системи, як правило, видаляються всі тіньові копії та точки відновлення.

Як вилікувати комп'ютер від шифрувальника

Видалити із зараженої системи шкідливу програму просто – з більшістю з них легко справляються майже всі антивіруси. Але! Наївно вважати, що позбавлення винуватця призведе до вирішення проблеми: видаліть ви вірус чи ні, а файли все одно залишаться зашифрованими. Крім того, у ряді випадків це ускладнить їхню подальшу розшифровку, якщо вона можлива.

Правильний порядок дій на початку шифрування

• Як тільки ви помітили ознаки шифрування, негайно відключіть живлення комп'ютера натисканням та утриманням кнопкиPower протягом 3-4 секунд. Це дозволить урятувати хоча б частину файлів.
• Створіть на іншому комп'ютері завантажувальний диск або флешку з антивірусною програмою. Наприклад, Kaspersky Rescue Disk 18 , DrWeb LiveDisk , ESET NOD32 LiveCDі т.д.
• Завантажте заражену машину з цього диска та проскануйте систему. Видаліть знайдені віруси зі збереженням у карантин (на випадок, якщо вони знадобляться для розшифровки). Тільки після цього можете завантажувати комп'ютер із жорсткого диска.
• Спробуйте відновити зашифровані файли з тіньових копій засобами системи або за допомогою сторонніх.

Що робити, якщо файли вже зашифровані

• Чи не втрачайте надію. На сайтах розробників антивірусних продуктів викладено безкоштовні утиліти-дешифратори для різних типів зловредів. Зокрема, тут зібрані утиліти від Avastі Лабораторії Касперського.
• Визначивши тип шифратора, скачайте відповідну утиліту, обов'язково зробіть копії пошкоджених файліві спробуйте їх розшифровувати. У разі успіху розшифруйте решту.

Якщо файли не розшифровуються

Якщо жодна утиліта не допомогла, цілком імовірно, що ви постраждали від вірусу, ліки від якого поки що не існує.

Що можна зробити в цьому випадку:

• Якщо ви користуєтесь платним антивірусним продуктом, зверніться до служби підтримки. Перешліть кілька копій пошкоджених файлів до лабораторії і чекайте відповіді. За наявності технічної можливості вам допоможуть.

До речі, Dr.Web- одна з небагатьох лабораторій, яка допомагає не лише своїм користувачам, а всім постраждалим. Надіслати запит на розшифровку файлу можна на цій сторінці.

• Якщо з'ясувалося, що файли зіпсовані безнадійно, але вони представляють вам велику цінність, залишаються сподіватися і чекати, що рятівний засіб колись буде знайдено. Найкраще, що ви можете зробити, це залишити систему та файли в стані як є, тобто повністю відключити та не використовувати жорсткий диск. Видалення файлів шкідливих даних, переустановка операційної системи і навіть її оновлення можуть позбавити вас і цього шансу, оскільки при генерації ключів шифрування-дешифрування найчастіше використовуються унікальні ідентифікатори системи та копії вірусу.

Платити викуп - не варіант, оскільки можливість того, що ви отримаєте ключ, прагне до нуля. Та й до чого фінансувати злочинний бізнес.

Як захиститись від шкідливості такого типу

Не хотілося б повторювати поради, які кожен із читачів чув сотні разів. Так, встановити хороший антивірус, не натискати підозрілі посилання та блаблабла – це важливо. Однак, як показало життя, чарівної пігулки, яка дасть вам 100% гарантії захищеності, сьогодні не існує.

Єдиний дієвий метод захисту від здирників такого роду – резервне копіювання данихінші фізичні носії, зокрема у хмарні послуги. Резервне копіювання, резервне копіювання, резервне копіювання...