Первые троянцы-шифровальщики семейства Trojan.Encoder появились в 2006-2007 году. С января 2009 года число их разновидностей увеличилось примерно на 1900%! В настоящее время Trojan.Encoder - одна из самых опасных угроз для пользователей, имеющая несколько тысяч модификаций. С апреля 2013 года по март 2015 года в вирусную лабораторию компании «Доктор Веб» поступило 8 553 заявки на расшифровку файлов, пострадавших от действий троянцев-энкодеров.
Вирусы-шифровальщики практически отвоевали первое место в обращениях на форумы по информационной безопасности. Ежесуточно в среднем 40 заявок на расшифровку поступают только сотрудникам вирусной лаборатории «Доктор Веб» от пользователей, зараженных различными видами троянов-шифровальщиков (Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Цифровой сейф, Цифровой кейс, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, vault и проч). Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т.д., при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч. Особенно опасны трояны-шифровальщики для коммерческих фирм, поскольку потерянные данные баз данных, платежных документов могут заблокировать работу фирмы на неопределенное время, приводя к упущению выгоды.

Троянцы семейства Trojan.Encoder используют несколько десятков различных алгоритмов шифрования пользовательских файлов. Например, чтобы подобрать ключи для расшифровки файлов, зашифрованных троянцем Trojan.Encoder.741, методом простого перебора, потребуется:
107902838054224993544152335601 год

Расшифровка поврежденных троянцем файлов возможна не более чем в 10% случаев. А это значит, что большинство данных пользователей потеряны безвозвратно.

Сегодня вымогатели требуют за расшифровку файлов до 1 500 биткоинов .

Даже если вы заплатите выкуп злоумышленнику, никакой гарантии восстановления информации он вам не даст .

Доходит до курьезов – зафиксирован случай, когда, несмотря на заплаченный выкуп, преступники не смогли расшифровать файлы, зашифрованные созданным ими Trojan.Encoder, и отправили пострадавшего пользователя за помощью... в службу технической поддержки антивирусной компании!

Как происходит заражение?

• Через вложения в электронной почте; методом социальной инженерии злоумышленники вынуждают пользователя открыть прикрепленный файл.
• С помощью Zbot-инфекций, замаскированных в виде вложений в формате PDF.
• Через наборы эксплойтов, расположенные на взломанных веб-сайтах, которые используют уязвимости на компьютере, чтобы установить инфекцию.
• Через троянцев, которые предлагают скачать плеер, необходимый для просмотра онлайн-видео. Такое, как правило, встречается на порно-сайтах.
• Через RDP, используя подбор паролей и уязвимости в данном протоколе.
• С помощью зараженных кейгенов, кряков и утилит активации.

Более чем в 90% случаев пользователи запускают (активируют) на компьютере шифровальщиков собственными руками.

При использовании подбора паролей RDP злоумышленник сам заходит под взломанной учетной записью, сам отключает или выгружает антивирусный продукт и сам запускает шифрование.

Пока Вы не перестанете пугаться писем с заголовками «Задолженность», «Уголовное производство» и т. п., злоумышленники будут пользоваться Вашей наивностью.

Задумайтесь... Научитесь сами и научите других простейшим основам безопасности!

• Никогда не открывайте вложения из писем, полученных от неизвестных адресатов, каким бы пугающим не был заголовок. Если вложение пришло, как архив, потрудитесь просто просмотреть содержимое архива. И если там исполняемый файл (расширение.exe, .com, .bat, .cmd, .scr), то это на 99,(9)% ловушка для Вас.
• Если Вы все же чего-то опасаетесь, не поленитесь узнать истинный электронный адрес той организации, от лица которой к Вам пришло письмо. Это ведь не так сложно узнать в наш информационный век.
• Даже если адрес отправителя оказался истинным, не поленитесь уточнить по телефону наличие такого отправленного письма. Адрес отправителя легко подделать при помощи анонимных smtp-серверов.
• Если в отправителе написано Сбербанк или Почта России, то это еще ничего не значит. Нормальные письма в идеале должны быть подписаны ЭЦП. Внимательно проверяйте прикрепленные к таким письмам файлы перед открытием.
• Регулярно делайте резервные копии информации на отдельных носителях.
• Забудьте об использовании простых паролей, которые легко подобрать и попасть в локальную сеть организации под Вашими данными. Для доступа по RDP используйте сертификаты, доступ через VPN или двухфакторную авторизацию.
• Никогда не работайте с правами Администратора, внимательно относитесь к сообщениям UAC, даже если они имеют "синий цвет" подписанного приложения, не нажимайте "Да", если не запускали установки или обновления.
• Регулярно устанавливайте обновления безопасности не только операционной системы, но и прикладных программ.
• Установите пароль на настройки антивирусной программы , отличный от пароля учетной записи, включите опцию самозащиты

Что делать в случае заражения?

Процитируем рекомендации компаний "Др.Веб " и "Лаборатории Касперского ":

• немедленно отключите компьютер для остановки действия трояна, кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных;
• Комментарий сайт: Несмотря на то, что такую рекомендацию дают известные лаборатории, в некоторых случаях её выполнение приведет к усложнению расшифровки, поскольку ключ может хранится в оперативной памяти и после перезагрузки системы, восстановить его будет невозможно. Для остановки дальнейшего шифрования, можно заморозить выполнение процесса шифровальщика с помощью Process Explorer или и для дальнейших рекомендаций.

Спойлер: Сноска

Ни один энкодер не способен зашифровать все данные мгновенно, поэтому до окончания шифрования какая-то их часть остается нетронутой. И чем больше времени прошло с начала шифрования, тем меньше нетронутых данных остается. Раз наша задача сохранить, как можно большее их количество, нужно прекратить работу энкодера. Можно, в принципе, начать анализировать список процессов, искать, где в них троян, пытаться его завершить… Но, поверьте мне, выдернутый шнур питания - это гораздо быстрее! Штатное завершение работы Windows неплохая альтернатива, но оно может занять какое-то время, или троян своими действиями может ему препятствовать. Поэтому мой выбор - дернуть шнур. Несомненно, у этого шага есть свои минусы: возможность повреждения файловой системы и невозможность дальнейшего снятия дампа ОЗУ. Поврежденная файловая система для неподготовленного человека проблема посерьезнее, чем энкодер. После энкодера остаются хотя бы файлы, повреждение же таблицы разделов приведет к невозможности загрузки ОС. С другой стороны, грамотный специалист по восстановлению данных ту же таблицу разделов починит без особых проблем, а энкодер до многих файлов может просто не успеть добраться.

Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод - ваше заявление о преступлении. Образец заявления

Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

Если у вас откажутся принять заявление - получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).

• ни в коем случае не пытайтесь переустановить операционную систему;
• не удаляйте никаких файлов и почтовых сообщений на Вашем компьютере;
• не запускайте никаких "чистильщиков" временных файлов и реестра;
• не следует сканировать и лечить компьютер антивирусами и антивирусными утилитами, а тем более антивирусными LiveCD, в крайнем случае можно переместить зараженные файлы в карантин антивируса;

Спойлер: Сноска

Для расшифровки наибольшее значение может иметь неприметный файлик на 40 байт во временном каталоге или непонятный ярлык на рабочем столе. Вы наверняка не знаете, будут ли они важны для расшифровки или нет, поэтому лучше не трогайте ничего. Чистка реестра вообще сомнительная процедура, а некоторые энкодеры оставляют там важные для расшифровки следы работы. Антивирусы, конечно, могут найти тело трояна-энкодера. И даже могут его удалить раз и навсегда, но что тогда останется для анализа? Как мы поймем как и чем шифровались файлы? Поэтому лучше оставьте зверька на диске. Еще один важный момент: я не знаю ни одного средства для чистки системы, которое бы принимало в расчет возможность работы энкодера, и сохраняло бы все следы его работы. И, скорее всего, такие средства не появятся. Переустановка системы точно уничтожит все следы трояна, кроме зашифрованных файлов.

• не пытайтесь восстановить зашифрованные файлы самостоятельно;

Спойлер: Сноска

Если у вас за плечами пара лет написания программ, вы действительно понимаете, что такое RC4, AES, RSA и в чем между ними различие, вы знаете, что такое Hiew и что означает 0xDEADC0DE, можете попробовать. Остальным не советую. Допустим, вы нашли какую-то чудо-методику расшифровки файлов и у вас даже получилось расшифровать один файл. Это не гарантия, что методика сработает на всех ваших файлах. Более того, это не гарантия, что по этой методике вы файлы не испортите еще сильнее. Даже в нашей работе бывают неприятные моменты, когда в коде расшифровки обнаруживаются серьезные ошибки, но в тысячах случаев до этого момента код работал как надо.

Теперь, когда понятно, что делать и чего не делать, можно приступать к расшифровке. В теории, расшифровка возможна почти всегда. Это если знать все нужные для нее данные или же обладать неограниченным количеством денег, времени и процессорных ядер. На практике что-то можно будет расшифровать почти сразу. Что-то будет ждать своей очереди пару месяцев или даже лет. За какие-то случаи можно даже и не браться: суперкомпьютер даром на 5 лет в аренду никто не даст. Плохо еще и то, что кажущийся простым случай при детальном рассмотрении оказывается крайне сложным. К кому обращаться, вам решать.

• обратитесь в антивирусную лабораторию компании, в которой есть подразделение вирусных аналитиков, занимающихся данной проблемой;
• к тикету приложите зашифрованный троянцем файл (а если возможно и его незашифрованную копию);
• дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Как восстановить файлы?

Адреса с формами отправки зашифрованных файлов :

• Др.Веб (Заявки на бесплатную расшифровку принимаются только от пользователей комплексного антивируса Drweb )
• Лаборатория Касперского (Заявки на бесплатную расшифровку принимаются только от пользователей коммерческих продуктов Лаборатории Касперского )
• ESET, LLC (Заявки на бесплатную расшифровку принимаются только от пользователей коммерческих продуктов ESET )
• The No More Ransom Project (подбор дешифровщиков)
• Шифровальщики - вымогатели (подбор дешифровщиков)
• ID Ransomware (подбор дешифровщиков)

Мы категорически не рекомендуем восстанавливать файлы самостоятельно, так как при неумелых действиях возможно потерять всю информацию, не восстановив ничего!!! К тому же восстановление файлов, зашифрованных некоторыми видами троянов просто невозможно из-за стойкости шифрующего механизма.

Утилиты восстановления удаленных файлов :
Некоторые разновидности троянов-шифровальщиков создают копию шифруемого файла шифруют её, а оригинальный файл удаляют, в таком случае можно воспользоваться одной из утилит для восстановления файлов (желательно использовать портативные версии программ, скачанные и записанные на флеш-накопитель на другом компьютере):

• R.saver
• Recuva
• JPEG Ripper - утилита для восстановления поврежденных изображений
• JPGscan описание)
• PhotoRec - утилита для восстановления поврежденных изображений (описание)

Метод для решения проблем с некоторыми версиями Lockdir

Папки, зашифрованные некоторыми версиями Lockdir, можно открыть с помощью архиватора 7-zip

После успешного восстановления данных необходимо проверить систему на наличие вредоносных программ, для этого следует выполнить и создать тему с описанием проблемы в разделе

Восстановление зашифрованных файлов средствами операционной системы.

Для того чтобы восстановить файлы средствами операционной системы необходимо включить защиту системы до того, как троян-шифровальщик попадет на Ваш компьютер. Большая часть троянов-шифровальщиков будет пытаться удалять любые теневые копии на вашем компьютере, но иногда это это сделать не удается (при отсутствии администраторских привилегий и установленных обновлениях Windows), и Вы сможете использовать теневые копии для восстановления поврежденных файлов.

Следует помнить, что команда удаления теневых копий:

Код:

Vssadmin delete shadows

работает только с правами администратора, поэтому после включения защиты необходимо работать только под пользователем с ограниченными правами и внимательно относиться ко всем предупреждениям UAC о попытке повышения прав.

Спойлер: Как включить защиту системы?

Как восстановить предыдущие версии файлов после их повреждения?

Примечание :

Восстановление из свойств файла или папки помощью вкладки «Предыдущие версии» доступно только в изданиях Windows 7 не ниже «Профессиональная» . В домашних изданиях Windows 7 и во всех изданиях более новых ОС Windows есть обходной путь (под спойлером).

Спойлер

Второй способ - это использование утилиты ShadowExplorer (вы можете скачать, как установщик, так и портабельную версию утилиты).

Запустите программу
Выберите диск и дату, за которую необходимо восстановить файлы

Выберите файл или папку для восстановления и нажмите на нем правой кнопкой мыши
Выберите пункт меню Export и укажите путь к папке, в которую Вы хотите восстановить файлы из теневой копии.

Способы защиты от троянов-шифровальщиков

К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись с LiveCD . Так же резервное копирование можно проводить на так называемые "облачные хранилища ", предоставляющиеся некоторыми компаниями.

Настройка антивирусных программ для снижения вероятности заражения троянами-шифровальщиками.

Применительно ко всем продуктам:

Необходимо включить модуль самозащиты и установить сложный пароль на настройки антивируса!!!

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере , открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

1. Откройте свойства «Компьютера».
2. В меню слева выберите «Защита системы».
   
3. Выделите диск C и нажмите «Настроить».
4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor .

1. Загрузите программу с официального сайта Лаборатории Касперского.
2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Читайте, как защититься от заражения вирусом шифровальщиком и удалить XTBL с компьютера. Стоит ли платить выкуп, и как восстановить зашифрованные шифровальщиком файлы . Вирусы вымогатели – одна из худших кибер-инфекций, с которыми вы можете столкнуться. Они не зря пользуются такой репутацией на просторах интернета, так как это действительно страшный инструмент.

Все вымогатели спроектированы по одинаковому принципу. Проскальзывая в вашу систему не замеченными, они начинают шифровать ваши файлы, чтобы в последствии требовать у вас выкуп за доступ к ним.

Содержание:

Вирус шифровальщик

Если вы вдруг обнаружите один или все из ваших файлов переименованы с расширением XTBL или другим неизвестным расширением файла, вам не повезло – вы столкнулись с вирусом-шифровальщиком . Вскоре вы получите сообщение с предложением оплатить возможность разблокировки ваших файлов. Иногда это может быть окно с текстом, иногда текстовый документ Readme на рабочем столе или даже в каждой папке с файлами. Обращение к пользователю может быть продублировано на нескольких языках кроме английского и содержит все требования злоумышленников создателей вируса.

Казалось бы, проще заплатить, чтобы избавиться от такого вируса, но это не так. Независимо от требований вируса, не соглашайтесь на них – он нанесет по вам двойной удар. Ваши заблокированные файлы скорее всего не поддадутся восстановлению – примите это, и не пересылайте деньги для разблокировки файлов. В противном случае кроме файлов вы потеряете еще и деньги.

Вы можете получить сообщение с таким содержанием:

«Все файлы вашего компьютера включая видео, фото и документы были зашифрованы. Шифрование было произведено с использованием уникального публичного ключа сгенерированного для этого компьютера. Для расшифровки файлов необходимо использовать приватный ключ.
Единственная копия этого ключа сохранена на секретном сервере в интернете. Ключ будет автоматически уничтожен по прошествии 7 дней, и никто не сможет получить доступ к файлам.»

Как компьютер мог заразиться вирусом шифровальщиком

Вирус вымогатель не может появиться на компьютере с помощью магии. Он состоит из нескольких элементов установка которых должна была быть обязательно одобрена вами лично. Конечно же вирус не делал этого в открытой форме, это было с делано с помощью уловок и обмана.

Например, один из наиболее популярных методов проникновения, это использование бесплатных программ, поврежденных сайтов или ссылок. Также инфицирование может быть замаскировано под обновление Java или Flash Player. Вы будете уверены в том, что ставите обновления известной вам программы и дадите зеленый свет на установку опасной и вредной инфекции.

Что бы не попасть в неприятную ситуацию, будьте внимательны и аккуратны. Не спешите принимать какие-либо действия, если вы не уверены в них. Основная причина заражения вирусом – небрежность пользователя.

Удаление расширения XTBL или изменение имени файлов

Почему расширение файлов XTBL так опасно? Программа вымогатель найдет все ваши файлы, включая изображения, видео, музыку, документы и проведет процедуру шифрования с ними. Будут зашифрованы файлы любого формата: doc, .docx, .docm, .wps, .xls, .xlsx, .ppt, .pptx, .pptm, .pdd, .pdf, .eps, .ai, .indd, .cdr, .dng, .mp3, .lnk, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt. Ничего не защитит их. После завершения шифрования расширения всех файлов будет изменено на XTBL и они больше не будут открываться.

Процедура изменения имени файла или удаления расширения XBTL не вернут доступ к файлам. Для этого их нужно расшифровать с помощью приватного ключа. Для получения этого ключа нужно выполнить все условия вымогателей. Но задайте себе вопрос: Вы можете довериться злоумышленникам, которые заразили ваш компьютер? Конечно же нет, учтите, правила игры изначально не в вашу пользу.

Стоит ли платить за ключ для расшифровки

На какой лучший сценарий вы можете рассчитывать? Вы заплатите выкуп и допустим вы получите ключ для расшифровки файлов, допустим он сработает и ваши файлы будут разблокированы. Но что дальше? Что защитит ваши данные от повторного шифрования на следующий день? Ничего.

Оплатив доступ к файлам, вы потеряете не только деньги, но и откроете доступ к вашей персональной и финансовой информации мошенникам, разработавшим вирус. Не позволяйте никому вмешиваться в вашу личную жизнь. Сумма, которую просят за ключ расшифровки, часто превышает $500. Ответьте себе на вопрос – вы готовы открыть ваши личные данные и банковскую информацию мошенникам, и дополнительно потерять $500 в обмен на призрачное обещание расшифровать файлы? Расставьте приоритеты правильно!

Инструкция по удалению вируса шифровальщика

1. Удалите зловредный процесс с помощью менеджера процессов;
2. Отобразите скрытые файлы

Удалите зловредный процесс с помощью Менеджера процессов

Отобразите скрытые файлы

• Перейдите в любую папку
• Выберите Файл – Изменить параметры папок и поиска.
• Перейдите на закладку «Вид» .
• Включите опцию «Показать скрытые файлы и папки» .
• Выключите опцию «Скрывать защищенные системные файлы» .
• Нажмите кнопку Применить к папкам, затем Применить и Ок .

Установите место нахождения вируса

1. Сразу после загрузки операционной системы нажмите сочетание клавиш Windows + R.
2. В диалоговом окне введите Regedit. Будьте внимательны при редактировании реестра Windows, это может сделать систему не работоспособной.
   В зависимости от вашей ОС (x86 или x64) перейдите в ветку
   или
   или
   и удалите параметр с автоматически сгенерированным именем.

В качестве альтернативы вы можете запустить msconfig и дополнительно перепроверить точку запуска вируса. Имейте ввиду, что имена процессов, папок и исполняемых файлов будут сгенерированы автоматически для вашего компьютера и будут отличаться от показанных примеров. Поэтому стоит использовать профессиональную программу антивирус для идентификации и удаления вируса, если вы не уверены в своих силах.

Восстановите зашифрованные XTBL вирусом файлы

Если у вас осталась резервная копия важных файлов – вы счастливчик, восстановите файлы из копии после лечения от вируса. Резервное копирование могло проходить как с помощью настроенной вами программой, так и без вашего вмешательства с помощью одного из инструментов ОС Windows: история файлов, точки восстановления, резервное копирование образа системы.

Если вы работаете на компьютере, подключенном к сети предприятия, то обратитесь за помощью к сетевому администратору. Скорее всего резервное копирование было настроено им. Если поиски резервной копии не увенчались успехом, опробуйте программу для восстановления данных.

Во время шифрования вирус создает новый файл и записывает в него зашифрованное содержимое оригинального файла. После чего оригинальный файл удаляется, поэтому его можно попробовать восстановить. Загрузите и установите Hetman Partition Recovery . Проведите полное сканирование диска, программа отобразит файлы доступные для восстановления. Конечно же вы не сможете вернуть все ваши файлы подобным образом, но это уже что-то!

Вирус энкодер это программа-скрипт шифрования данных, она может появится у любого невнимательного пользователя. Каждый день все более новые и более сложные разновидности таких вирусов-скриптов появляются в интернете. Основная цель энкодеров конечно же получить денежные средства за расшифровку файлов. В этой статье мы расскажем подробно как защитить информацию, как расшифровать информацию после атаки такой программой, как программа проникает в компьютер.

Чаще всего пользователи сами запускают такие программы, не обращая внимания на загружаемую информацию. Представим самую популярную ситуацию: вы директор небольшой компании, где работают сотрудники без системного администратора, защита компьютеров идет без сервера и на самом минимальном уровне. По почтовой рассылке приходит письмо с архивом Счет на оплату.zip, якобы от контрагента, в самом архиве файл Счет-на-оплату.js

Более 50% сотрудников не поймут что файл Счет-на-оплату.js не будет является каким либо документом, более того основная часть, может просто не обращать внимание на расширения файлов!

Как удалить вирус зашифровывающий файлы и расшифровать файлы.

При запуске файла Счет-на-оплату.js скрипт в фотоном режиме загружает и запускает из интернета бесплатную, легальную программу для шифрования файлов. Бесплатная и легальная программа означает что она не будет обнаруживаться антивирусными программами, так как ничего незаконного в ней нет, потому что она служит для легальной защиты информации. Кроме того процесс доступа к скрипту идет на уровне файла Счет-на-оплату.js так как он запущен от Администратора, и этот скрипт может загрузить и запустить любые программы которые ему вздумается. Расширения файлов для шифровки настраиваются спамером заранее и скрипт шифрует только рабочие документы или базы 1С. Шифрование файлов происходит очень быстро — за считанные секунды, прежде, чем пользователь успевает сообразить что происходит с компьютером. После шифрования всех найденных файлов, программа удаляет полностью все свои следы и файлы. Это делается для того чтобы никто не узнал каким образом файлы были зашифрованы, сделав почти невозможной задачу по расшифровке.

Почему большинство энкодеров не подлежат расшифровке

В настоящее время большинство вирусов энкодеров имеют очень сложные алгоритмы шифрования. Это RSA1024 + AES256. Для примера возьмём такие расчеты. Если у нас будет компьютер мощностью 46 терафлопс, а это будет самый мощный в мире компьютер когда либо созданный человеком, такому компьютеру понадобится более 6,4 лет только для расшифровки ключа RSA1024 (основано на официальных данных что для взлома одного ключа нужно в среднем 10 12 MIPS-лет или около 9.47 йоттафлоп - 9.47*1024 флоп). Если на энкодер нету дешифратора, на процесс дешифровки методом перебора на процессоре в 3Ghz, а это 3000MHz х 4 х 8/1000000= 0,096 TFLOPS может уйти 3067 лет.

Что же делать если на компьютер попал энкодер?

Прежде всего не паниковать, если программа енкодер еще выполняет свою работу необходимо экстренно выключить компьютер из питания, если же программа уже выдала текстовое сообщение и прошло более 20 секунд, перезагружать компьютер мы не будем до тех пор пока не найдем тело вируса. Следуя ниже перечисленным рекомендациям можно существенно повысить ваши шансы на расшифровку информации:

1. Тело вируса. Первым делом нужно найти скрипт и понять над чем именно предстоит работать, так как большинство вирусов удаляют сами себя, работа мастера по расшифровке информации начинается с восстановления последних удаленных файлов, в настоящее время существует огромное множество программ для восстановления удаленных файлов, на самом деле если информация не была перезаписана, удаленный файл на уровне системного раздела только помечается как удаленный, и его можно попробовать восстановить. Также нам понадобятся сам файл JS который был открыт пользователем, его анализ поможет понять какие именно программы были использовали для шифрования данных. Программа для восстановления удаленных файлов обязательно запускается в внешнего носителя, для того чтобы на жестком диске было как можно меньше вносимых изменений.

2. Программы расшифровки

На данный момент у крупных игроков антивирусных компаний есть несколько ключей от различных вирусов-шифровальщиков, если спамер пользовался старой или популярной версией энкодера, возможно ваши файлы еще можно восстановить, пользуясь утилитами для расшивки отдельных вирусов, ниже рассмотрим ссылки на такие программы:

Утилиты от компании Антивирус Касперского

http://support.kaspersky.ru/viruses/disinfection?page=2

Рашифровщики от компании DrWeb

http://forum.drweb.com/index.php?showtopic=317113

3. Антивирусные компании.

Некоторые антивирусные компании для своих пользователей сделали специальные сервисы по дешифровке, есть очень малая доля вероятности что именно Ваши данные удастся расшифровать. Например вот ссылка по дешифровке от DrWeb https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

4. Копии теневого тома

Можно попробовать восстановить данные с помощью теневого тома копий подробнее можно узнать по ссылке, но имейте ввиду что скрипты шифровальщики чаще всего не оставляют такую возможность.

5. Восстановление данных

Многие скрипты работают по принципу копия файла, потом шифрование, а затем удаление оригинала, именно поэтому очень Важно не записывать на жесткий диск новую информацию, а программы для восстановления данных к примеру R-Studio или Photorec нужно запускать с подключенного внешнего носителя информации.

Расшифровка файлов опытным специалистом

Специалисты нашей компании имеют большой опыт расшифровки файлов после попадания скриптов энкодеров. Для того чтобы получить высококвалифицированную помощь свяжитесь с нами по обратной связи или рабочим телефонам. Если Вы не уверены что Вас есть достаточно знаний для расшифровки очень Важно до приезда специалиста:

— не перезагружаейте компьютер!

— не переименовывайте файлы!

— не качайте новые данные!

— не закрывайте программы, оставьте все как есть!

— не удаляйте письмо с шифровальщиком из почтового ящика!

Специалисты нашей компании сделают все существующие операции которые известны только профессионалам своего дела! Вызывая к себе специалиста Вы должны понимать что чудес не бывает и в большинстве случаев расшифровка не представляется возможной. Но мы всегда поможем:

1. Найти тело вируса и вышлем его на анализ в антивирусные компании

2. Переберем все известные миру дешифраторы

3. Вы будете уверены что вируса в компьютере не осталось!

4. Настроем по Вашему желанию резервное копирование информации и защиту от таких вирусов

Как защититься?

1. Храните файлы на сервере или на сетевом хранилище

Большинство вирусов энкодеров не рассчитано на работу в локальной сети, поэтому мы рекомендуем пользоваться хранением информации на сервере или сетевом хранилище, при появлении энкодера в большинстве случаев сетевые данные не затронуты. Также на сервере можно сделать резервирование данных на отдельный носитель инфомации, например 1 раз в сутки, куда доступ с компьютеров будет только для чтения файлов.

2. Ограничьте доступ к запускаемым приложениям

Если пользователь работает только с документами ему не к чему доступ администратора, можно также запретить запуск новых приложений и скриптов через AppLocker — это встроенные возможности расширенных версий Windows

3. Делайте резервные копии. При отсутствии сервера делайте резервные копии на съемный дисковый накопитель, это Флешки или внешние жесткие диски. При наличии резервной копии всех данных вы будете спокойнее за их дальнейшую сохранность!

Germany | Finland | Saint Petersburg | Drive

В последнее время наиболее страшным вирусом является троян-шифровальщик файлов, распознаваемый как Trojan-Ransom.Win32.Rector, который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно, а без определенных знаний и умений просто невозможно.

Процесс заражения происходит хитрым образом. На почту приходит письмо с прикрепленным файлом типа «документ.pdf.exe». При открытии этого файла, а фактически при его запуске, начинается работа вируса и шифрование файлов.

Вирус зашифровал файлы, что делать?

Если вы обнаружили действие этого файла, но продолжаете работать на этом компьютере, то он шифрует все большее и большее количество файлов. К зашифрованным файлам добавляется расширение типа « Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript » (именование может быть различно), а практически во все папки добавляется интернетовский или текстовый файл типа «РаСшИфроваТь_ФайЛы.html» в котором злоумышленники описывают как получить от вас деньги за свою грязную работу. Вот текст реального файла, с зараженного компьютера моих клиентов:

Все ваши документы были зашифрованы одним из криптостойких алгоритмов. Расшифровать файлы не зная уникальный для вашего ПК пароль невозможно! Не меняйте название, структуру файлов и не пробуйте расшифровывать файлы различными дешифраторами выложеными в интернете, эти действия могут привести к невозможности восстановления ваших файлов. Если вам нужно убедится в возможности расшифровки ваших файлов, Вы можете отпрвить нам на email — Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript один любой файл и мы вернем его оригинальную версию. Стоимость дешифратора для расшифровки ваших файлов составляет 0,25 BTC (Bitcoin)Ваш Bitcoin кошелек для оплаты — 1AXJ4eRhAxgjRh6Gdaej4yPGgKt1DnZwGF Где купить bitcoin вы можете найти на форуме — https://forum.btcsec.com/index.php?/forum/35-obmenniki/ Рекомендуем такие обменники как https://wmglobus.com/ , https://orangeexchangepro.com/Также есть возможность оплатить на qiwi кошелек 3500 рублей, для получения номера кошелька необходимо связаться с нами по email — Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

Раньше единственным спасением от этого вируса было удаление всех зараженных файлов и восстановление их из резервной копии, хранящейся на внешнем диске или флешке. Однако, поскольку мало кто делает резервные копии, и тем более, регулярно их обновляет, информация просто терялась. Варианты заплатить «шифровальщикам» за расшифровку ваших файлов в подавляющем большинстве заканчиваются потерей денег и являются просто разводом на деньги.

Сейчас антивирусные лаборатории разрабатывают способы и программы избавиться от этого вируса. Лабораторией Касперского разработана утилита – RectorDecryptor, позволяющая расшифровывать зараженные файлы. По этой ссылке вы можете скачать программу RectorDecryptor. Затем надо ее запустить, нажать кнопку «Начать проверку», выбрать зашифрованный файл, после чего программа автоматически расшифрует все зашифрованные файлы подобного типа. Файлы восстанавливаются в тех же папках, где были зашифрованные файлы. После этого надо удалить зашифрованные файлы. Проще всего это сделать следующей командой, набранной в командной строке: del «d:\*.AES256» /f /s (где вместо AES256 должно быть расширение вашего вируса). Также необходимо удалить файлы писем злоумышленников, распиханные по всему компьютеру. Сделать это можно следующей командой: del «d:\ РаСшИфроваТь_ФайЛы.html» /f /s набранной в командной строке.

Предварительно необходимо обезопасить компьютер от возможности распространения вируса. Для этого необходимо очистить подозрительные запускаемые файлы в автозагрузке, деинсталлировать подозрительные программы, очистить временные папки и кэши браузеров (можно воспользоваться для этого утилитой CCleaner).

Однако, надо заметить, что данный способ расшифровки может помочь только тем, чей вирус уже обработан лабораторией Касперского и включен в перечень, находящийся в утилите RectorDecryptor. Если это новый вирус, еще не включенный в перечень обезвреженных вирусов, то вам придется отправлять свои зараженные файлы для расшифровки в лаборатории Касперского, Dr.Web, или Nod32 или восстанавливать их из резервной копии (что гораздо проще).

Если действия по обезвреживанию ваших вирусов и лечению компьютера представляют определенную сложность, то чтобы не навредить еще больше, или порушить операционную систему, (что может привести к полной переустановке Windows), лучше обратиться к специалисту, который сделает это профессионально. Современные средства позволяют все эти действия провести удаленно в любой точке земного шара, где есть подключение к интернету.

Если ваш компьютер заражен вирусом шифровальщиком, вам необходимо произвести переустановку Windows.

Это позволит полностью удалить вирус шифровальщик на вашем компьютере.

Наши компьютерные мастера могут произвести переустановку Windows в Уфе и попытаться восстановить зашифрованные файлы

Звоните 8-927-237-48-09

Вирусы-шифровальщики , или по другому их еще называют — криптографические вирусы — особый вид программного обеспечения, который осуществляет шифрование всех файлов на жестком диске. Что подразумевается под словом «шифрование»? При шифровании все файлы превращаются в набор нулей и единиц, то есть представляют собой бессмысленный набор информации, который невозможно открыть ни одной программой.

Это означает, что после шифрования, все файлы Word, Excel и прочие рабочие документы будет невозможно открыть и получить к ним доступ. А если в этих файлах находится ваша курсовая работа, которую вы так старательно выполняли в течении всего месяца? Возмущения от шифрования ваших данных не будет предела, скажу я вам. А если учесть, что большинство студентов хранит свои работы в чаще в одном экземпляре — на рабочем компьютере, то после шифрования жесткого диска того самого рабочего компьютера, студент теряет все наработки по документам. Не спорю, может повезти, если копия курсовой осталась на флешке, однако, есть еще весьма хитрый факт работы вирусов шифровальщиков.

Как и любой вирус, функции, который он выполняет — зависят напрямую от разработчика этого вируса. Что я имею ввиду под функциями? Приведу пример.

После шифрования жесткого диска и всех файлов на нем — вирус сразу не выдает себя. То есть, вы спокойно продолжаете открывать все свои документы и изменять их. При этом, во время правки — вы пользуетесь флешкой, на которой эти документы также есть. Что делает в этом случае вирус-шифровальщик? Вирус отслеживает все устройства, которые вы подсоединяете к USB портам: флешки, медиа-устройства — и постепенно шифрует на них информацию. После некоторого времени, вирус активизируется и блокирует доступ ко всем файлам на компьютере, в том числе успев зашифровать данные и на ваших флешках.

Что имеем в данном случае? Все ваши документы, курсовые, ДИПЛОМНЫЕ РАБОТЫ, и прочие документы — зашифрованы и к ним нет доступа.

Что же делать, чтобы не поймать вирус-шифровальщик?

Ответ весьма прост — включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется — теряет свою актуальность.

Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида — сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту — компьютер.

Вирус шифровальщик зашифровал файлы на компьютере, что делать, как вылечить и как исправить?

И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.

Сразу скажу — платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.

Что нужно делать, если файлы зашифрованы вирусом

Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.

Почему именно «попытаться расшифровать»?

Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.

Что делать дальше, когда все зашифрованные файлы на отдельном устройстве

После копирования зашифрованных файлов на флешку или жесткий диск, необходимо произвести полное форматирование жесткого диска компьютера и новую установку Windows. После установки Windows, необходимо установить антивирус, который будет обновляться и защищать ваши файлы от вирусов-шифровальщиков.

В этом случае, вы можете обратиться в нашу компанию по телефону 8-927-237-48-09 и воспользоваться услугами компьютерной помощи.

Лечение вирусов-шифровальщиков

Последнее время много проблем создают вирусы-шифровальщики, лечение которых традиционными средствами часто не помогает. Шифровальщики, которым удалось проникнуть в систему, шифруют файлы определенных расширений. Обычно, вирусы такого типа шифруют файлы с расширениями.xls .doc и другие подобные. В таких файлах обычно записана самая необходимая жертве информация.

Компьютерные услуги

Расшифровка файлов не под силу обычному антивирусу. В зависимости от типа вируса могут использоваться различные методы шифрования. Удаление самого вируса не гарантирует освобождение файлов из-под шифра. Для лечения зашифрованных файлов используются специальные инструменты. Методы лечения вирусов-шифровальщиков предлагают крупные антивирусные лаборатории. Некоторые методы для лечения мы рассмотрим ниже.

Лечение от Касперского предлагается в виде двух утилит: XoristDecryptor и RectorDecryptor их достаточно запустить и они могут помочь справиться с заражением. Если зашифрованные файлы вылечить не удалось, то программы предложат отправить для изучения неизвестный файл, а со следующими базами утилит выйдет подходящий дешифратор, который сможет решить проблему.

Если вы счастливый обладатель лицензии на антивирусные продукты от dr.web, то сможете передать на анализ зашифрованные файлы через эту форму, Если вам попался вирус-шифровальщик из семейства Encoder, то здесь вы сможете прочитать информацию о том, что еще нужно сделать после отправки запроса.

Ваши файлы были зашифрованы - что делать?

Dr.web, кроме того, настоятельно советует отправить заявление в полицию.

Самый лучший способ защититься от вируса — это предупредить его заражение. Основных правил несколько: не пренебрегать антивирусом и использовать все основные меры защиты. Об основных мерах защиты мы подробно писали в этой статье — очень рекомендуем к изучению. Так же, необходимо позаботиться о резервных копиях важных данных. Такие копии лучше всего сохранять на внешний жесткий диск, который не будет постоянно подключен к компьютеру.

Необходимо признать, что файлы, зашифрованные некоторыми вирусами-шифровальщиками, невозможно вылечить. И это не наше мнение, а мнение специалистов антивирусных компаний. Например, файлы вирусов семейства GpCode без закрытого ключа расшифровать невозможно, тут остается только оплатить злоумышленнику его требование и надеется получить дешифратор. Либо ждать, пока кто-нибудь из антивирусных аналитиков не сумеет создать дешифратор.

Сделать заявку

RectorDecryptor — полезный инструмент для устранения вредоносной программы Trojan-Ransom.Win32.Rector и расшифровки файлов, зашифрованных этим трояном

Описание программы

RectorDecryptor — утилита от Лаборатории Касперского, разработанная для расшифровки файлов, зашифрованных вредоносной программой Trojan-Ransom.Win32.Rector.

Восстановление файлов после вируса шифровальщика

Вредоносная программа Trojan-Ransom.Win32.Rector используется мошенниками для несанкционированной модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа. Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Для расшифровки Ваших данных, скачайте архив rectordecryptor.zip, распакуйте его в любое место и запустите файл RectorDecryptor.exe .

Вирус-шифровальщик: платить мошенникам или нет

Вот и настал этот черный день. На одной из важных рабочих машин активно поработал вирус-шифровальщик, после чего все офисные, графические и многие другие файлы приняли разрешение crypted000007, которые на момент написания статьи расшифровать невозможно.

Также на рабочем столе появились обои с надписью типа "Ваши файлы зашифрованы", а в корне локальных дисков текстовые документы readme с контактной информацией мошенника. Естественно, он хочет выкуп за расшифровку.

Лично я не связывался с этим козлом(ами), чтобы не поощрять подобную деятельность, но знаю, что ценник в среднем начинается от 300 долларов и выше. Вот и думайте сами, как поступать. Но если у вас зашифровались очень значимые файлы, например, базы 1С, а резервной копии нет, то это крах вашей карьеры.

Забегаю наперед скажу, что если вы питаете надежду на расшифровку, то ни в коем случае не удаляйте файл с требованием денег и ничего не делайте с зашифрованными файлами (не изменяйте название, расширение и т.д.). Но давайте обо всем по порядку.

Вирус шифровальщик - что это такое

Это вредоносное (ransomware) программное обеспечение, которое шифрует данные на компьютере по очень стойкому алгоритму. Дальше приведу грубую аналогию. Представьте, что вы на вход в Windows установили пароль длиной несколько тысяч символов и забыли его. Согласитесь, вспомнить невозможно. А сколько жизней займет у вас ручной перебор?

Так и в случае с шифровальщиком, который использует легальные криптографические методы в противоправных целях. Подобные вирусы, как правило, используют асинхронное шифрование. Это значит, что используется пара ключей.

Шифруются файлы с помощью открытого ключа, а расшифровать их можно имея закрытый ключ, который есть только у мошенника. Все ключи уникальны, поскольку генерируются для каждого компьютера отдельно.

Именно поэтому я говорил в начале статьи о том, что нельзя удалять файл readme.txt в корне диска с требованием выкупа. Именно в нем и указан открытый ключ.

Электронный адрес вымогателя в моем случае Если вбить его в поиск, то становится понятен истинный масштаб трагедии. Пострадало очень много людей.

Поэтому еще раз говорю: ни в коем случае никак не изменяйте поврежденные файлы. Иначе вы потеряйте даже малейший шанс на их восстановление в дальнейшем.

Также не рекомендуется переустанавливать операционную систему и чистить временные и системные каталоги. Короче, до выяснения всех обстоятельств ничего не трогаем, дабы не усложнить себе жизнь. Хотя, казалось бы, куда уже хуже.

Попадает данная зараза на компьютер чаще всего по электронной почте с горящей темой наподобие "Срочно, руководителю. Письмо из банка" и тому подобное. Во вложении, которое может выглядеть безобидным pdf или jpg файлом и кроется враг.

Запустив его, ничего страшного, на первый взгляд, не происходит. На слабом офисном ПК пользователь может заметить некую "тормознутость". Это вирус, маскируясь под системный процесс, уже делает свое грязное дело.

На Windows 7 и выше при запуске вредителя будет постоянно появляться окно Контроля учетных записей с запросом разрешения изменений. Конечно же, неопытный пользователь со всем согласиться, тем самым подписав себе приговор.

Да, по факту вирус уже блокирует доступ к файлам и когда закончит, на рабочем столе появится надпись с предупреждением "Ваши файлы зашифрованы". В общем, это попа. Дальше начинается жесть.

Как вылечить вирус-шифровальщик

Исходя из вышенаписанного можно сделать вывод, что если страшная надпись на рабочем столе еще не появилась, а вы уже увидели первые файлы с непонятными длинными названиями из хаотичного набора различных символов, немедленно достаньте компьютер из розетки.

Именно так, грубо и бескомпромиссно. Тем самым вы остановите алгоритм работы зловреда и сможете хоть что-то спасти. К сожалению, в моем случае сотрудник этого не знал и потерял все. Твою мать...

Вишенкой на торте для меня был тот факт, что, оказывается, данный вирус без проблем шифрует все подключенные к ПК съемные носители и сетевые диски с правами доступа на запись. Именно там и были резервные копии.

Теперь о лечении. Первое, что нужно понимать: вирус лечится, но файлы так и останутся зашифрованными. Возможно, навсегда. Сам процесс лечения ничего сложного из себя не представляет.

Для этого необходимо подключить винчестер к другому компьютеру и просканировать утилитами вроде или Kaspersky Virus Removal Tool. Можно для надежности двумя поочередно. Если нести зараженный винт на другой комп сцыкотно, загрузитесь с Live CD.

Как правило, подобные антивирусные решения без проблем находят и удаляют шифровальщик. Но иногда они ничего не обнаруживают, поскольку вирус, сделав свою работу, может сам удалиться из системы. Такой вот сучий потрох, которые заметает все следы и затрудняет его изучение.

Предвижу вопрос, почему антивирус сразу не предотвратил проникновения нежелательно ПО на компьютер? Тогда бы и проблем не было. На мой взгляд, на данный момент антивирусы проигрывают битву с шифровальщиками и это очень печально.

К тому же, как я уже говорил, подобные вредоносные программы работают на основе легальных криптографических методов. То есть получается, что их работа как бы и не является противоправной с технической точки зрения. В этом и заключается трудность их выявления.

Постоянно выходят новые модификации, которые попадают в антивирусные базы только после заражения. Так что, увы, в этом случае 100% защиты быть не может. Только бдительное поведение при работе на ПК, но об этом чуть позже.

Как расшифровать файлы после вируса

Все зависит от конкретного случая. Выше писалось, что модификации вируса-шифровальщика могут быть какие угодно. В зависимости от этого, зашифрованные файлы имеют разные расширения.

Хорошая новость заключается в том, что для многих версий заразы антивирусные компании уже придумали дешифраторы (декрипторы). На русскоязычном рынке лидером является "Лаборатория Касперского". Для этих целей был создан следующий ресурс:

На нем в строке поиска вбиваем информацию по расширению либо электронную почту из записки о выкупе, жмем "Поиск" и смотрим, есть ли спасительная утилита для нас.

Если повезло, скачиваем программу из списка и запускаем. В описании к некоторым дешифраторам говорится, что при работе на компьютере должен быть интернет для возможности расширенного поиска ключей в онлайн-базе.

В остальном же все просто. Выбираем конкретный файл или диск полностью и запускаем сканирование. Если активировать пункт "Delete crypted files", то после дешифровки все исходные файлы удалятся. Ой, я бы так не спешил, сразу нужно взглянуть на результат.

Для некоторых видов вируса программа может попросить две версии файла: исходную и зашифрованную. Если первой нет, значит, пиши пропало.

Также у пользователей лицензионных продуктов "Лаборатории Касперского" есть возможность обратиться на официальный форум за помощью с расшифровкой. Но пошерстив его со своим расширением (crypted000007) я понял, что ничем там не помогут. То же самое можно сказать и про Dr.Web.

Есть еще один подобный проект, но уже международный. По информации из интернетов его поддержку осуществляют лидирующие производители антивирусов. Вот его адрес:

Конечно, может оно и так, но сайт работает некорректно. На главной странице предлагается загрузить два зашифрованных файла, а также файл с выкупом, после чего система даст ответ, есть дешифровщик в наличии или нет.

Но вместо этого происходит переброс на раздел с выбором языка и на этом все. Поэтому можно самостоятельно зайти в раздел "Декриптор-утититы" и попробовать найти нужную программу.

Делать это не очень удобно, поскольку в кратком описании имеющегося ПО нет четкого указания на поддерживаемые расширения зашифрованных файлов. Для этого нужно читать расширенную инструкцию для каждого типа декриптора.

В процессе написания публикации был найден аналогичный сервис, который исправно работает по такому же принципу. Он поможет определить название угрозы и предложит "волшебную таблетку", если таковая имеется. В верхнем правом углу сайта имеется кнопка переводчика для удобства пользователей.

Что делать? Платить или не платить

Если вы дочитали до этого заголовка, значит, файлы у вас по-прежнему стабильно зашифрованы. И тут вопрос: как поступить дальше? Ведь в случае шифровки крайне значимых файлов может быть парализована работа даже крупных предприятий, не говоря уже о малом бизнесе.

Первое, можно выполнить инструкцию мошенника и заплатить выкуп. Но статистика "Лаборатории Касперского" говорит о том, что каждое пятое предприятие так и не получило ключ с дешифратором после оплаты.

Это может происходить по разным причинам. Например, вирусом могли воспользоваться не сами создатели, у которых есть закрытый ключ, а мошенники-посредники.

Они просто модифицировали код зловреда, указав в файле выкупа свои данные, а второго ключа-то у них нет. Деньги получили и свалили. А вы кукуйте дальше.

В общем, не будут врать, всех технических нюансов я и сам не знаю. Но в любом случае заплатив вымогателям, вы мотивируете их на продолжение подобной деятельности. Ведь раз это работает и приносит деньги, почему нет.

Но в интернете я нашел как минимум две конторы, которые обещают помочь в этой беде и расшифровать даже файлы с расширением crypted000007. В одну из них я с большой боязнью обратился.

Скажу честно, ребята мне не помогли, поскольку сразу сказали, что дешифровщика у них нет, но могут попробовать восстановить около 30% оригинальных файлов, которые удалил вирус, с помощью низкоуровневого сканирования.

Я подумал и отказался. Но спасибо им, что лапши на уши не вешали, уделили время и все трезво пояснили. Ну и раз у них нет ключа, значит, они не должны взаимодействовать с мошенниками.

Но есть другая, более "интересная" контора, которая дает 100% гарантию на успех операции. Ее сайт находится вот по этому адресу:

Я попробовал пошерстить по профильным форумам, но так и не смог найти отзывов реальных клиентов. То есть все о ней знают, но мало кто пользовался. Замкнутый круг.

Эти ребята работают по факту полученного результата, никаких предоплат нет. Опять же повторюсь, дают гарантию на расшифровку даже crypted000007. Значит, у них есть ключ и декриптор. Отсюда вопрос: а откуда у них это добро? Или я чего-то не понимаю?

Не хочу говорить что-плохое, возможно, они добрые и пушистые, работают честно и помогают людям. Хотя технически без мастер-ключа это просто невозможно. В любом случае против них все же нашлась компрометирующая .

Как защититься от вируса-шифровальщика

Приведу несколько основных постулатов, которые помогут обезопаситься, а в случае проникновения подобного зловреда свести потери к минимуму. Как-никак я все это прочувствовал на собственной шкуре.

Делать регулярные бэкапы на съемных (изолированных от сети) носителях. Без преувеличения могу сказать, это самое главное.

Не работать под учетной записью с правами администратора, чтобы в случае заражения минимизировать потери.

Внимательно следить за адресатами входящих писем и сбрасываемых ссылок в соц. сетях. Тут без комментариев.

Поддерживать в актуальном состоянии антивирусную программу. Может и спасет, но это неточно.

Обязательно включить файлов в Windows 7/10. Об этом подробно поговорим в ближайших выпусках.

Не выключать систему Контроля учетных записей в Windows 7 и выше.

Я же, в свою очередь, остаюсь с полностью зашифрованными вирусом офисными файлами. Буду периодически заглядывать на все ресурсы, указанные в статье, в надежде когда-нибудь увидеть там декриптор. Возможно, удача улыбнется в этой жизни, кто знает.

Одно дело, когда шифруются файлы пользователя на домашнем компьютере такие как фильмы, музыка и так далее. Совсем другие, когда теряется доступ ко всему делопроизводству предприятия минимум за 5-7 лет. Это больно, я уже знаю.