І з кожним роком з'являються все нові й нові... цікавіше та цікавіше. Найбільш популярний останнім часом вірус (Trojan-Ransom.Win32.Rector), який шифрує всі ваші файли (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar і ​​т.д. .д.). Проблема полягає в тому, що розшифрувати подібні файли дуже складно і довго, залежно від типу шифрування, розшифровка може затягтися на тижні, місяці і навіть роки. На мою думку, цей вірус на даний момент, апогей по небезпеці серед інших вірусів. Особливо він небезпечний для домашніх комп'ютерів/ноутбуків, оскільки більшість користувачів не роблять резервну копію даних і при зашифруванні файлів втрачають усі дані. Для організацій цей вірус менш небезпечний, оскільки вони роблять резервні копіїважливих даних і у разі зараження просто відновлюють їх, природно після видалення вірусу. З цим вірусом я зустрічався кілька разів, опишу, як це відбувалося і до чого приводило.

Вперше з вірусом, що зашифровує файли, я познайомився на початку 2014 року. Зі мною зв'язався адміністратор з іншого міста і повідомив найнеприємнішу звістку - Усі файли, на файловому сервері зашифровані! Зараження відбулося елементарним способом- в бухгалтерію надійшов лист із вкладення "Акт щось там.pdf.exe" як ви розумієте вони відкрили цей EXE файлі процес пішов... він зашифрував усі особисті файли на комп'ютері та перейшов на файловий сервер(Він був підключений мережевим диском). Почали з адміністратором копати інформацію в Інтернеті... на той момент жодного рішення не було... всі писали, що такий вірус є, як лікувати його не відомо, розшифрувати файли не вдається, можливо, допоможе відправка файлів Касперському, Dr Web або Nod32. Надіслати їм можна лише, якщо користуєтеся їх антивірусними програмами (є ліцензії). Ми відправили файли в Dr Web і Nod32, результатів - 0, вже не пам'ятаю, що говорили в Dr Web, а в Nod 32 взагалі замовкли і ніякої відповіді від них я не дочекався. Загалом, все було сумно і рішення ми так і не знайшли, частину файлів відновили з бекапу.

Історія друга-буквально днями (середина жовтня 2014) мені зателефонували з організації з проханням вирішити проблему з вірусом, як ви розумієте всі файли на комп'ютері були зашифровані. Ось приклад того, як це виглядало.

Як ви можете помітити, до кожного файлу було додано розширення *.AES256. У кожній папці був файл "Увага_відкрий-мене.txt" у якому були контакти для зв'язку.

При спробі відкрити ці файли відкривалася програма контактів для зв'язку з авторами вірусу для оплати розшифровки. Само собою зв'язатися з ними я не рекомендую, і платити за код теж, оскільки ви їх тільки підтримаєте фінансово і не факт, що отримаєте ключ розшифровки.

Зараження сталося під час встановлення програми завантаженої з Інтернету. Найдивовижніше було те, що коли вони помітили, що файли змінилися (змінилися іконки та розширення файлів) то нічого не зробили і далі продовжували працювати, а тим часом шифрувальник продовжував шифрувати всі файли.

Увага!!! Якщо ви помітили шифрування файлів на комп'ютері (зміна іконок, зміна розширення) відразу ж вимикайте комп'ютер/ноутбук, і вже з іншого пристрою шукайте рішення (з іншого комп'ютера/ноутбука, телефону, планшета) або звертайтеся до IT фахівців. Чим довше ваш комп'ютер/ноутбук буде включений, тим більше файліввін зашифрує.

Загалом, я вже хотів відмовитися від допомоги їм, але вирішив полазити в Інтернеті, може, вже з'явилося рішення для цієї проблеми. В результаті пошуків прочитав масу інформації про те, що розшифровці не піддається, що потрібно відправляти файли до антивірусних компаній (Касперського, Dr Web або Nod32) - дякую був досвід.
Натрапив на утиліту від Касперського-RectorDecryptor. І про чудо-файли вдалося розшифрувати. Ну про все по порядку...

Насамперед необхідно зупинити роботу шифрувальника. Не знайдетесь на антивіруси, оскільки заставлений Dr Web нічого не знайшов. Насамперед я зайшов у автозавантаження та відключив усі автозавантаження (крім антивірусу). Перезавантажив комп'ютер. Потім почав дивитися, що за файли були в автозавантаженні.

Як можете помітити в полі "Команда" вказано де лежить файл, особливу увагу потрібно видалити програм без підпису (Виробник -Немає даних). Загалом знайшов і видалив зловреда та ще не зрозумілі для мене файли. Після цього почистив тимчасові папки та кеші браузерів, найкраще для цих цілей скористатися програмою CCleaner .

Далі приступив до розшифрування файлів, для цього скачав програму для розшифрування RectorDecryptor . Запустив та побачив досить аскетичний інтерфейс утиліти.

Натиснувши "Почати перевірку", вказав розширення, яке було у всіх змінених файлів.

І вказав зашифрований файл. У новіших версіях RectorDecryptor можна просто вказувати зашифрований файл. Натисніть кнопку "Відкрити".

Тада-а-а-ам! Відбулося диво і файл було розшифровано.

Після цього утиліта автоматично перевіряє всі файли комп'ютера + файли на підключеному мережному дискуі розшифровує їх. Процес розшифровки може тривати кілька годин (залежить від кількості зашифрованих файлів та швидкодії вашого комп'ютера).

У результаті всі зашифровані файли були успішно розшифровані в ту ж директорію, де знаходилися спочатку.

Залишилося видалити всі файли з розширення.AES256, це можна було зробити, поставивши галочку "Видаляти зашифровані файли після успішного розшифрування", якщо натиснути "Змінити параметри перевірки" у вікні RectorDecryptor.

Але пам'ятайте, що краще цю галочку не ставити. відновити .

При спробі видалити всі зашифровані файли за допомогою стандартного пошуку та видалення, я натрапив на зависання та вкрай повільну роботу комп'ютера.

Тому для видалення найкраще скористатися командним рядком, запустіть його та пропишіть del "<диск>:\*.<расширение зашифрованного файла>/f /s. У моєму випадку del "d:\*.AES256" /f /s.

Не забувайте видалити файли "Увага_відкрий-мене.txt", для цього в командному рядкускористайтесь командою del "<диск>:\*.<имя файла>/f /s,наприклад
del "d:\Увага_відкрий-мене.txt" /f /s

Таким чином, вірус був переможений і відновлено файли. Хочу попередити, що даний спосібдопоможе не всім, вся справа в тому, що Каперський у цій утиліті зібрав усі відомі ключі для розшифровки (з тих файлів, які оправляли вірусом, що заразилися) і методом перебору підбирає ключі і розшифровує. Тобто. якщо ваші файли зашифровані вірусом з ще не відомим ключем, тоді цей спосіб не допоможе ... доведеться відправляти заражені файли антивірусним компаніям - Касперського, Dr Web або Nod32 для їх розшифровки.

Всім привіт сьогодні розповім, як розшифрувати файли після вірусу в Windows. Одна з найпроблемніших шкідливих програм сьогодні – це троян чи вірус, що шифрує файли на диску користувача. Деякі з цих файлів розшифрувати можливо, а деякі - поки що ні. У статті я опишу можливі алгоритми дій обох ситуаціях.

Є кілька модифікацій цього вірусу, але загальна суть роботи зводиться до того, що після встановлення на комп'ютер ваші файли документів, зображень та інші, які потенційно є важливими, шифруються зі зміною розширення, після чого ви отримуєте повідомлення про те, що всі ваші файли були зашифровані , а для їх розшифровки вам потрібно надіслати певну суму зловмиснику.

Файли на комп'ютері зашифровані в xtbl

Один з останніх варіантіввірус-вимагач шифрує файли, замінюючи їх на файли з розширенням.xtbl і ім'ям, що складається з випадкового набору символів.

Заодно на комп'ютері розміщується текстовий файл readme.txt із приблизно наступним змістом: «Ваші файли були зашифровані. Щоб розшифрувати їх, Вам необхідно надіслати код на електронна адреса [email protected], [email protected]або [email protected]. Далі ви отримаєте усі необхідні інструкції. Спроби розшифрувати файли самостійно призведуть до безповоротної втрати інформації» (адреса пошти та текст можуть відрізнятися).

На жаль, способу розшифрувати.xtbl на даний момент немає (як тільки він з'явиться, інструкція буде оновлена). Деякі користувачі, у яких на комп'ютері була дійсно важлива інформація, повідомляють на антивірусних форумах, що відправили авторам вірусу 5000 рублів або іншу необхідну суму та отримали дешифратор, проте це дуже ризиковано: ви можете нічого не отримати.

Що робити, якщо файли були зашифровані в .xtbl? Мої рекомендації виглядають наступним чином (але вони відрізняються від тих, що є на багатьох інших тематичних сайтах, де, наприклад, рекомендують негайно вимкнути комп'ютер з електромережі або не видаляти вірус. На мій погляд, це зайве, а при певному збігу обставин може бути навіть шкідливим, проте вирішувати вам.):

1. Якщо вмієте, перервати процес шифрування, знявши відповідні завдання в диспетчері завдань, відключивши комп'ютер від Інтернету (це може бути необхідною умовою шифрування)
2. Запам'ятати або записати код, який зловмисники вимагають надіслати на електронну адресу (тільки не в текстовий файл на комп'ютері, про всяк випадок, щоб він теж не виявився зашифрованим).
3. За допомогою Malwarebytes Antimalware, пробний версії Kaspersky Internet Securityабо Dr.Web Cure It видалити вірус, що шифрує файли (усі перелічені інструменти з цим добре справляються). Я раджу по черзі використовувати перший і другий продукт зі списку (правда, якщо у вас встановлений антивірус, інсталяція другого «зверху» небажана, оскільки може призвести до проблем у роботі комп'ютера.)
4. Чекати, коли з'явиться дешифратор від будь-якої антивірусної компанії. В авангарді тут Kaspersky Lab.
5. Можна також надіслати приклад зашифрованого файлу і потрібний код на [email protected]Якщо у вас є копія цього ж файлу в незашифрованому вигляді, надішліть її теж. Теоретично, це може прискорити появу дешифратора.

Чого робити не слід:

• Перейменовувати зашифровані файли, змінювати розширення та видаляти їх, якщо вони важливі.

Це, мабуть, все, що я можу сказати щодо зашифрованих файлів з розширенням.xtbl на даний момент часу.

Trojan-Ransom.Win32.Aura та Trojan-Ransom.Win32.Rakhni

Наступний троян, який шифрує файли та встановлює їм розширення з цього списку:

• .locked
• .crypto
• .kraken
• .AES256 (не обов'язково цей троян, є й інші, що встановлюють це розширення).
• .codercsu@gmail_com
• .oshit
• Та інші.

Для розшифрування файлів після роботи вказаних вірусів на сайті Касперського є безкоштовна утиліта RakhniDecryptor, доступна на офіційній сторінці http://support.kaspersky.ru/viruses/disinfection/10556.

Там же є і докладна інструкціяпо застосуванню даної утиліти, що показує, як відновити зашифровані файли, з якої я б, про всяк випадок прибрав пункт «Видаляти зашифровані файли після успішного розшифрування» (хоча, думаю, і з встановленою опцією все буде гаразд).

Якщо у вас є ліцензія антивірусу Dr.Web, ви можете скористатися безкоштовним розшифруванням від цієї компанії на сторінці http://support.drweb.com/new/free_unlocker/

Ще варіанти вірусу-шифрувальника

Рідше, але також зустрічаються такі трояни, файли, що шифрують, і вимагають гроші за розшифровку. За наведеними посиланнями є не тільки утиліти для повернення ваших файлів, а й опис ознак, які допоможуть визначити, що саме цей вірус. Хоча взагалі оптимальний шлях: за допомогою антивірусу Касперського просканувати систему, дізнатися ім'я трояна за класифікацією цієї компанії, а потім шукати утиліту по цьому імені.

• Trojan-Ransom.Win32.Rector - безкоштовна утиліта RectorDecryptor для розшифровки та посібник з використання доступний тут: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist - аналогічний троян, що виводить вікно з вимогою відправити платну смс або зв'язатися електронною поштою для отримання інструкції з розшифровки. Інструкція з відновлення зашифрованих файлів та утиліта XoristDecryptor для цього є на сторінці http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - утиліта RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 та інші з таким же ім'ям (при пошуку через антивірус Dr.Web або утиліту Cure It) та різними номерами- Спробуйте пошук в інтернеті на ім'я трояна. Для частини з них є утиліти дешифрування Dr.Web, так само, якщо вам не вдалося знайти утиліту, але є ліцензія Dr.Web, ви можете використовувати офіційну сторінку http://support.drweb.com/new/free_unlocker/
• CryptoLocker - для розшифрування файлів після роботи CryptoLocker, ви можете використовувати сайт http://decryptcryptolocker.com - після надсилання прикладу файлу, ви отримаєте ключ і утиліту для відновлення ваших файлів.

Ну і з останніх новин- Лабораторія Касперського, спільно з правоохоронцями з Нідерландів, розробили Ransomware Decryptor (http://noransom.kaspersky.com) для розшифровки файлів після CoinVault, однак у наших широтах цей здирник поки не зустрічається.

До речі, якщо раптом виявиться, що вам є що додати (бо я можу не встигати моніторити те, що відбувається зі способами дешифрування), повідомляйте в коментарях, ця інформація буде корисна іншим користувачам, які зіткнулися з проблемою.

Самі собою віруси як комп'ютерна загроза сьогодні нікого не дивують. Але якщо раніше вони впливали на систему в цілому, викликаючи збої в її працездатності, сьогодні, з появою такого різновиду, як вірус-шифрувальник, дії проникаючої загрози стосуються більше даних користувача. Він є, можливо, навіть більшою загрозою, ніж деструктивні для Windows виконувані програми або шпигунські аплети.

Що таке вірус-шифрувальник?

Сам по собі код, прописаний в вірусі, що самокопіюється, передбачає шифрування практично всіх даних користувача спеціальними криптографічними алгоритмами, що не зачіпає системні файлиопераційна система.

Спочатку логіка впливу вірусу багатьом була зовсім зрозуміла. Все прояснилося тільки тоді, коли хакери, які створювали такі аплети, почали вимагати відновлення початкової структури файлів гроші. При цьому сам прониклий вірус-шифрувальник розшифрувати файли через свої особливості не дозволяє. Для цього потрібний спеціальний дешифратор, якщо хочете, код, пароль або алгоритм, необхідний відновлення шуканого вмісту.

Принцип проникнення в систему та роботи коду вірусу

Як правило, «підчепити» таку гидоту в Інтернеті досить важко. Основним джерелом поширення «зарази» є електронна поштана рівні інстальованих на конкретному комп'ютерному терміналі програм типу Outlook, Thunderbird, The Batі т. д. Зауважимо відразу: поштових інтернет-серверів це не стосується, оскільки вони мають досить високий ступінь захисту, а доступ до даних користувача можливий хіба що на рівні

Інша справа – додаток на комп'ютерному терміналі. Ось тут для дії вірусів поле настільки широке, що й уявити неможливо. Щоправда, тут теж варто зробити застереження: здебільшого віруси мають на меті великі компанії, з яких можна «здерти» гроші за надання коду розшифровки. Це і зрозуміло, адже не тільки на локальних комп'ютерних терміналах, а й на серверах таких фірм може зберігатися не тільки повністю а й файли, так би мовити, в єдиному екземплярі, що не підлягають знищенню в жодному разі. І тоді розшифрування файлів після вірусу-шифрувальника стає досить проблематичним.

Звичайно, і рядовий користувач може піддатися такій атаці, але в більшості випадків це малоймовірно, якщо дотримуватися найпростіших рекомендацій щодо відкриття вкладень з розширеннями невідомого типу. Навіть якщо поштовий клієнтвизначає вкладення з розширенням.jpg як стандартний графічний файл, спочатку його обов'язково потрібно перевірити штатним встановленим у системі.

Якщо цього не зробити, при відкритті подвійним кліком(стандартний метод) запуститься активація коду, і почнеться процес шифрування, після чого той же Breaking_Bad (вірус-шифрувальник) не тільки неможливо видалити, але й файли після усунення загрози відновити не вдасться.

Загальні наслідки проникнення всіх таких вірусів

Як мовилося раніше, більшість вірусів цього типу проникають у систему через електронну пошту. Ну от, припустимо, у велику організацію, на конкретний зареєстрований мейл приходить лист із змістом на кшталт «Ми змінили контракт, скан у вкладенні» або «Вам відправлено накладну з відвантаження товару (копія там)». Природно, співробітник, який нічого не підозрює, відкриває файл і…

Всі файли користувача на рівні офісних документів, мультимедіа, спеціалізованих проектів AutoCAD або ще будь-яких архіважливих даних моментально зашифровуються, причому, якщо комп'ютерний термінал знаходиться в локальної мережі, Вірус може передаватися і далі, шифруючи дані на інших машинах (це стає помітним відразу по «гальмування» системи та зависання програм або запущених в даний момент додатків).

Після закінчення процес шифрування сам вірус, мабуть, відсилає своєрідний звіт, після чого компанії може прийти повідомлення про те, що в систему проникла така і така загроза, і що розшифрувати її може тільки така організація. Зазвичай це стосується вірусу [email protected]. Далі йде вимога оплатити послуги з дешифрування з пропозицією надсилання кількох файлів на електронну пошту клієнта, що найчастіше є фіктивною.

Шкода від впливу коду

Якщо хтось ще не зрозумів: розшифровка файлів після вірусу-шифрувальника - процес досить трудомісткий. Навіть якщо не «вестися» на вимоги зловмисників і спробувати задіяти офіційні державні структури по боротьбі з комп'ютерними злочинами та їх запобіганню, зазвичай нічого путнього не виходить.

Якщо видалити всі файли, зробити і навіть скопіювати оригінальні дані зі знімного носія (звісно, ​​якщо така копія є), все одно при активованому вірусі все буде зашифровано заново. Так що особливо тішитися не варто, тим більше що при вставці тієї ж флешки в USB-порт користувач навіть не помітить, як вірус зашифрує дані і на ній. Ось тоді точно проблем не оберешся.

Первінець у сімействі

Тепер звернемо увагу на перший вірус-шифрувальник. Як вилікувати та розшифрувати файли після впливу виконуваного коду, укладеного у вкладенні електронної пошти з пропозицією знайомства, у момент його появи ніхто ще не думав. Усвідомлення масштабів лиха прийшло лише з часом.

Цей вірус мав романтичну назву «I Love You». Нічого не підозрюючи користувач відкривав вкладення в меседжі «елетронки» і отримував абсолютно невідтворювані файли мультимедіа (графіка, відео та аудіо). Тоді, щоправда, такі дії виглядали деструктивнішими (завдання шкоди користувальницьким медіа-бібліотекам), та й грошей за це ніхто не вимагав.

Найновіші модифікації

Як бачимо, еволюція технологій стала досить прибутковою справою, особливо з огляду на те, що багато керівників великих організацій миттєво біжать оплачувати дії по дешифрації, зовсім не думаючи про те, що так можна позбутися і грошей, і інформації.

До речі, не дивіться на всі ці «ліві» пости в Інтернеті, мовляв, "я оплатив/сплатила необхідну суму, мені надіслали код, все відновилося". Нісенітниця! Все це пишуть самі розробники вірусу з метою залучення потенційних, даруйте, «лохів». Адже, за мірками рядового користувача, суми на оплату досить серйозні: від сотні до кількох тисяч чи десятків тисяч євро чи доларів.

Тепер подивимося на нові типивірусів такого типу, які були зафіксовані нещодавно. Всі вони практично схожі і відносяться не тільки до категорії шифрувальників, але ще й до групи про здирників. У деяких випадках вони діють коректніше (начебто paycrypt), начебто висилаючи офіційні ділові пропозиції або повідомлення про те, що хтось піклується про безпеку користувача чи організації. Такий вірус-шифрувальник своїм повідомленням легко вводить користувача в оману. Якщо той вдасться хоч до найменшої дії з оплати, все - «розлучення» буде на повну.

Вірус XTBL

Що відносно недавно з'явився можна віднести до класичного варіанту шифрувальника. Як правило, він проникає в систему через повідомлення електронної пошти, що містять вкладення у вигляді файлів, яке є стандартним для скрінсейвера Windows. Система та користувач думають, що все гаразд, і активують перегляд або збереження вкладення.

На жаль, це призводить до сумних наслідків: імена файлів перетворюються на набір символів, а до основного розширення додається ще. xtbl, після чого на адресу пошти надходить повідомлення про можливість дешифрування після оплати зазначеної суми (зазвичай 5 тисяч рублів).

Вірус CBF

Цей тип вірусу теж належить до класики жанру. З'являється він у системі після відкриття вкладень електронної пошти, а потім перейменовує файли користувача, додаючи в кінці розширення на кшталт.nochance або.perfect.

На жаль, розшифровка вірусу-шифрувальника такого типу для аналізу вмісту коду навіть на стадії його появи в системі не представляється можливою, оскільки після завершення своїх дій він здійснює самоліквідацію. Навіть такий, як багато хто вважає, універсальний засіб, як RectorDecryptor, не допомагає. Знову ж таки користувачеві приходить лист із вимогою оплати, на що дається два дні.

Вірус Breaking_Bad

Цей тип загроз працює за тією ж схемою, але перейменовує файли у стандартному варіанті, додаючи до розширення breaking_bad.

Цим ситуація не обмежується. На відміну від попередніх вірусів, цей може створювати ще одне розширення - .Heisenberg, так що знайти всі заражені файли не завжди можна. Отже, Breaking_Bad (вірус-шифрувальник) є досить серйозною загрозою. До речі, відомі випадки, коли навіть ліцензійний пакет Kaspersky Endpoint Security 10 пропускає загрозу цього типу.

Вірус [email protected]

Ось ще одна, мабуть, найсерйозніша загроза, спрямована здебільшого на великі комерційні організації. Як правило, до якогось відділу приходить лист, що містить начебто зміни до договору про постачання, або навіть просто накладна. Вкладення може містити звичайний файл.jpg (типу зображення), але частіше виконується скрипт.js (Java-аплет).

Як розшифрувати вірус-шифрувальник цього типу? Зважаючи на те, що там застосовується якийсь невідомий алгоритм RSA-1024, ніяк. Якщо з назви, можна припустити, що це 1024-битная система шифрування. Але, якщо хтось пам'ятає, сьогодні найдосконалішою вважається 256-бітова AES.

Вірус-шифрувальник: як вилікувати та розшифрувати файли за допомогою антивірусного ПЗ

На сьогоднішній день для розшифровки загроз такого типу рішень поки що не знайдено. Навіть такі метри в області антивірусного захисту, як Kaspersky, Dr. Web і Eset не можуть знайти ключ до вирішення проблеми, коли в системі успадкував вірус-шифрувальник. Як вилікувати файли? У більшості випадків пропонується надіслати запит на офіційний сайт розробника антивірусу (до речі, лише за наявності в системі ліцензійного програмного забезпечення цього розробника).

При цьому потрібно прикріпити кілька зашифрованих файлів, а також їх "здорові" оригінали, якщо є. В цілому ж, за великим рахунком, мало хто зберігає копії даних, так що проблема їх відсутності тільки посилює і без того неприємну ситуацію.

Можливі способи ідентифікації та усунення загрози вручну

Так, сканування звичайними антивірусами загрози визначає і навіть видаляє їх із системи. Але що робити з інформацією?

Деякі намагаються використовувати програми-дешифратори на кшталт згаданої вже утиліти RectorDecryptor (RakhniDecryptor). Зазначимо одразу: це не допоможе. А у випадку з вірусом Breaking_Bad так і зовсім може зашкодити. І ось чому.

Справа в тому, що люди, які створюють такі віруси, намагаються убезпечити себе та дати повчання іншим. При використанні утиліт для дешифрування вірус може відреагувати таким чином, що вся система злетить, причому з повним знищенням всіх даних, що зберігаються на жорстких дискахабо у логічних розділах. Це, так би мовити, показовий урок для науки всім тим, хто не хоче платити. Залишається сподіватися лише на офіційні антивірусні лабораторії.

Кардинальні методи

Втім, якщо справи зовсім погані, доведеться інформацією пожертвувати. Щоб повністю позбавитися загрози, потрібно відформатувати весь вінчестер, включаючи віртуальні розділи, після чого встановити «операційну систему» ​​заново.

На жаль, іншого виходу нема. Навіть до певної збереженої точки відновлення не допоможе. Вірус може і зникне, але файли так і залишаться зашифрованими.

Замість післямови

Насамкінець варто відзначити, що ситуація така: вірус-шифрувальник проникає в систему, робить свою чорну справу і не лікується ніякими відомими способами. Антивірусні засоби захисту не готові до такого типу загроз. Зрозуміло, що виявити вірус після його впливу або видалити можна. Але зашифрована інформація так і залишиться у непривабливому вигляді. Тож хочеться сподіватися, що найкращі уми компаній-розробників антивірусного програмного забезпечення таки знайдуть рішення, хоча, судячи з алгоритмів шифрування, зробити буде дуже непросто. Згадати хоча б шифрувальну машину Enigma, яка за часів Другої світової війни мала німецький флот. Кращі криптографи було неможливо вирішити проблему алгоритму для дешифрування повідомлень, доки придбали пристрій у руки. Так і справи і тут.

— це шкідлива програма, яка за своєї активізації шифрує всі персональні файли, такі як документи, фотографії тощо. Кількість подібних програм дуже велика і вона збільшується з кожним днем. Лише останнім часом ми зіткнулися з десятками варіантами шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci. Мета таких вірусів-шифрувальників змусити користувачів купити, часто за велику суму грошей, програму та ключ необхідні для розшифрування власних файлів.

Звичайно можна відновити зашифровані файли, просто виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, так само потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І, звичайно, просто неприємно платити за відновлення своїх власних файлів.

Нижче ми більш детально розповімо про віруси-шифрувальники, спосіб їх проникнення на комп'ютер жертви, а також про те, як видалити вірус-шифрувальник і відновити зашифровані ним файли.

Як вірус-шифрувальник проникає на комп'ютер

Вірус-шифрувальник зазвичай розповсюджується за допомогою електронної пошти. Лист містить заражені документи. Такі листи розсилаються величезною базою адрес електронної пошти. Автори цього вірусу використовують заголовки і зміст листів, що вводять в оману, намагаючись обманом змусити користувача відкрити вкладений у лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитись свіжий прайс-лист, треті відкрити веселу фотографію тощо. У будь-якому випадку результатом відкриття прикріпленого файлу буде зараження комп'ютера вірусом-шифрувальником.

Що таке вірус-шифрувальник

Вірус-шифрувальник - це шкідлива програма, яка вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ці віруси намагаються використовувати якомога стійкіші режими шифрування, наприклад RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійного розшифрування файлів.

Під час зараження комп'ютера вірус-шифрувальник використовує системний каталог %APPDATA% для зберігання власних файлів. Для автоматичного запускусебе бреши включенні комп'ютера, шифрувальник створює запис в реєстрі Windows: розділах HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві та хмарні сховища, для визначення файлів, які будуть зашифровані. Вірус-шифрувальник використовує розширення імені файлу як спосіб визначення групи файлів, які будуть зашифровані. Шифруються практично всі види файлів, включаючи такі поширені як:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Відразу після того, як файл зашифрований він отримує нове розширення, за яким часто можна ідентифікувати ім'я або тип шифрувальника. Деякі типи цих шкідливих програм можуть змінювати імена зашифрованих файлів. Потім вірус створює текстовий документ з іменами подібними до HELP_YOUR_FILES, README, який містить інструкцію з розшифровування зашифрованих файлів.

Під час своєї роботи вірус-шифрувальник намагається закрити можливість відновити файли використовуючи систему SVC (тіньові копії файлів). Для цього вірус у командному режимі викликає утиліту адміністрування тіньових копійфайлів з ключем, що запускає процедуру їх повного видалення. Таким чином, практично завжди неможливо відновити файли за допомогою використання їх тіньових копій.

Вірус-шифрувальник активно використовує тактику залякування, даючи жертві посилання на опис алгоритму шифрування та показуючи загрозливе повідомлення на робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, надіслати ID комп'ютера на адресу електронної пошти автора вірусу для спроби повернути свої файли. Відповіддю на таке повідомлення найчастіше є сума викупу та адреса електронного гаманця.

Мій комп'ютер заражений вірусом-шифрувальником?

Визначити заражений комп'ютер чи ні вірусом-шифрувальником досить легко. Зверніть увагу на розширення ваших персональних файлів, таких як документи, фотографії, музика і т.д. Якщо розширення змінилося або ваші персональні файли зникли, залишивши по собі безліч файлів з невідомими іменами, комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям HELP_YOUR_FILES або README у ваших каталогах. Цей файл міститиме інструкцію з розшифровки файлів.

Якщо ви підозрюєте, що відкрили лист заражений вірусом шифрувальником, але симптомів зараження поки немає, то не вимикайте і не перезавантажуйте комп'ютер. Виконайте кроки, описані в цьому посібнику, розділ . Ще раз повторюся, дуже важливо не вимикати комп'ютер, в деяких типах шифрувальників процес зашифрування файлів активізується при першому, після зараження, увімкненні комп'ютера!

Як розшифрувати файли зашифровані вірусом-шифрувальником?

Якщо це лихо трапилося, то не треба панікувати! Але треба знати, що здебільшого безкоштовного розшифровувача немає. Виною цьому є стійкі алгоритми шифрування, які використовуються подібними шкідливими програмами. Це означає, що без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа так само не вихід через велику довжину ключа. Тому, на жаль, лише оплата авторам вірусу всієї суми, яку він запрошує, — єдиний спосіб спробувати отримати ключ розшифровки.

Звичайно, немає абсолютно ніякої гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ, необхідний для розшифровування ваших файлів. Крім цього, потрібно розуміти, що сплачуючи гроші розробникам вірусів, ви самі підштовхуєте їх на створення нових вірусів.

Як видалити вірус-шифрувальник?

Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу та спроби самостійного відновлення файлів, ви блокуєте можливість розшифрувати файли, заплативши авторам вірусу запрошену ними суму.

Kaspersky Virus Removal Tool та Malwarebytes Anti-malware можуть виявляти різні типиактивних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

За промовчанням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.

У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, до якого будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).

Натисніть кнопку Search, щоб розпочати пошук та відновлення вихідних копій зашифрованих файлів. Цей процес триває досить довго, тому наберіться терпіння.

Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлів знайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу серед великої кількості відновлених використовуйте вбудовану систему пошуку Windows(за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, оскільки QPhotoRec намагається відновити цю властивість під час відновлення файлу.

Як запобігти зараженню комп'ютера вірусом-шифрувальником?

Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення та активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, то обов'язково встановіть її. Як її вибрати можете дізнатися прочитавши цю.

Більше того, є й спеціалізовані захисні програми. Наприклад, це CryptoPrevent, докладніше .

Декілька фінальних слів

Виконавши цю інструкцію, ваш комп'ютер буде очищений від вірусу-шифрувальника. Якщо у вас виникли питання або вам потрібна допомога, то звертайтеся на наш .