Как удалить вирус зашифровывающий файлы и расшифровать файлы. Зашифрованы файлы вирусом как расшифровать


Как удалить вирус зашифровывающий файлы и расшифровать файлы.

С какими только вирусами не приходилось сталкиваться, вот пример самых "интересных" - баннеры блокирующие экран (СМС вымогатели), вирус распространяющиеся по скайпу, и с каждым годом появляются все новые и новые... интереснее и интереснее. Наиболее популярный последнее время вирус (Trojan-Ransom.Win32.Rector), который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно и долго, в зависимости от типа шифрования, расшифровка может затянуться на недели, месяцы и даже годы. На мой взгляд, этот вирус на данный момент, апогей по опасности среди остальных вирусов. Особенно он опасен для домашних компьютеров/ ноутбуков, поскольку большинство пользователей не делают резервную копию данных и при зашифровке файлов теряют все данные. Для организаций этот вирус меньше опасен, поскольку они делают резервные копии важных данных и в случае заражения, просто восстанавливают их, естественно после удаления вируса. С этим вирусом я встречался несколько раз, опишу как это происходило и к чему приводило.

Первый раз с вирусом зашифровывающим файлы я познакомился в начале 2014 года. Со мной связался администратор с другого города и сообщил пренеприятнейшее известие - Все файлы, на файловом сервере зашифрованы! Заражение произошло элементарным способом- в бухгалтерию пришло письмо с вложение "Акт что-то там.pdf.exe" как вы понимаете они открыли этот EXE файл и процесс пошел... он зашифровал все личные файлы на компьютере и перешел на файловый сервер (он был подключен сетевым диском). Начали с администратором копать информацию в Интернете... на тот момент никакого решения не было... все писали, что такой вирус есть, как лечить его не известно, расшифровать файлы не удается, возможно поможет отправка файлов Касперскому, Dr Web или Nod32. Отправить им можно только, если пользуетесь их антивирусными программами (есть лицензии). Мы отправили файлы в Dr Web и Nod32, результатов - 0, уже не помню что говорили в Dr Web, а в Nod 32 вообще замолчали и никакого ответа от них я не дождался. В общем все было печально и решения мы так и не нашли, часть файлов восстановили с бэкапа.

История вторая- буквально на днях (середина октября 2014) мне позвонили с организации с просьбой решить проблему с вирусом, как вы понимаете все файлы на компьютере были зашифрованы. Вот пример того как это выглядело.

Как вы можете заметить к каждому файлу было добавлено расширение *.AES256. В каждой папке был файл "Внимание_открой-меня.txt" в котором были контакты для связи.

При попытки открыть эти файлы открывалась программа с контактами для связи с авторами вируса для оплаты расшифровки. Само собой связаться с ними я не рекомендую, и платить за код тоже, поскольку вы их только поддержите финансово и не факт что получите ключ расшифровки.

Заражение произошло при установке программы скаченной с Интернета. Самое удивительное было, то, что когда они заметили, что файлы изменились (изменились иконки и расширение файлов) то ничего не предприняли и дальше продолжали работать, а тем временем шифровальщик продолжал шифровать все файлы.

Внимание!!! Если вы заметили шифрование файлов на компьютере (изменение иконок, изменение расширения) сразу же выключайте компьютер/ ноутбук, и уже с другого устройства ищите решение (с другого компьютера/ ноутбука, телефона, планшета) или обращайтесь к IT специалистам. Чем дольше ваш компьютер/ ноутбук будет включен, тем больше файлов он зашифрует.

В общем, я уже хотел отказаться от помощи им, но решил полазить в Интернете, может уже появилось решение для этой проблемы. В результате поисков прочитал массу информации о том, что расшифровке не поддается, что нужно отправлять файлы в антивирусные компании (Касперскому, Dr Web или Nod32) - спасибо был опыт.Наткнулся на утилиту от Касперского -RectorDecryptor. И о чудо- файлы удалось расшифровать. Ну обо все по порядку...

Первым делом необходимо остановить работу шифровальщика. Не найдетесь на антивирусы, поскольку уставленный Dr Web ничего не нашел. Первым делом я зашел в автозагрузки и отключил все автозагрузки (кроме антивируса). Перезагрузил компьютер. Затем начал смотреть, что за файлы были в автозагрузки.

Как можете заметить в поле "Команда" указано где лежит файл, особое внимание требуется удалить приложениям без подписи (Производитель -Нет данных). В общем нашел и удалил зловреда и еще не понятные для меня файлы. После этого почистил временные папки и кэши браузеров, лучше всего для этих целей воспользоваться программой CCleaner.

Еще одни способ откатить систему до возникновения проблемы.

Далее приступил к расшифровке файлов, для этого скачал программу для расшифровки RectorDecryptor. Запустил и увидел довольно аскетичный интерфейс утилиты.

Нажал "Начать проверку", указал расширение, которое было у всех измененных файлов.

И указал зашифрованный файл. В более новых версия RectorDecryptor можно просто указывать зашифрованный файл. Нажмите кнопку "Открыть".

Тада-а-а-ам!!! Произошло чудо и файл был расшифрован.

После этого утилита автоматически проверяет все файлы компьютера + файлы на подключенном сетевом диске и расшифровывает их. Процесс расшифровки может затянуться на несколько часов (зависит от количества зашифрованных файлов и быстродействия вашего компьютера).

В результате все зашифрованные файлы были успешно расшифрованы в туже директорию, где находились изначально.

Осталось удалить все файлы с расширение .AES256, это можно было сделать, поставив галочку "Удалять зашифрованные файлы после успешной расшифровки", если нажать "Изменить параметры проверки" в окне RectorDecryptor.

Но помните, что лучше эту галочку не ставить, поскольку в случае, не удачной расшифровки файлов они удаляться и для того, что бы их снова попытаться расшифровать придется для начала их восстановить.

 При попытки удалить все зашифрованные файлы с помощью стандартного поиска и удаления, я наткнулся на зависания и крайне медленную работу компьютера.

Поэтому для удаления лучше всего воспользоваться командной строкой, запустите ее и пропишите del  "<диск>:\*.<расширение зашифрованного файла>" /f /s. В моем случае  del "d:\*.AES256" /f /s.

Не забывайте удалить файлы "Внимание_открой-меня.txt", для этого в командной строке воспользуйтесь командой del  "<диск>:\*.<имя файла>" /f /s, например del  "d:\Внимание_открой-меня.txt" /f /s

Таким образом, вирус был побежден и файлы восстановлены. Хочу предупредить, что данный способ поможет не всем, все дело в том, что Каперский в этой утилите собрал все известные ключи для расшифровки (из тех файлов, которые оправляли заразившиеся вирусом) и методом перебора подбирает ключи и расшифровывает. Т.е. если ваши файлы зашифрованы вирусом с еще не известным ключом, тогда этот способ не поможет... придется отправлять зараженные файлы антивирусным компаниям -Касперскому, Dr Web или Nod32 для их расшифровки.

Если вы знаете другие способы борьбы с вирусом, шифрующим файлы просьба поделиться ими в комментарии.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:

pk-help.com

Вирус-шифровальщик. БОЛЬШАЯ статья / Хабр

В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил. Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее. Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи: 1. жертва заражается через спам-письмо с вложением (реже инфекционным путем), 2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами, 3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования. Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали». Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»??? Что должен был подумать сотрудник? Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital. Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи). Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива». В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост». Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут). Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком: — прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл. — Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать: — менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать. — использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4. Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!! Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку. Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 — я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» — Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке, так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую: 1. Используя встроенный поиск windows найти все файлы, содержащие расширение .perfect, скопировать их на внешний носитель. 2. Скопировать так же файл CONTACT.txt 3. Положить этот внешний носитель «на полочку». 4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать: Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора. Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!». За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

habr.com

Вирус зашифровал файлы в XTBL

Существует множество вредоносных компьютерных программ. С каждым днем их количество увеличивается, они становятся более профессиональными и опасными. Не все антивирусы способны с ними бороться. В последнее время стала популярной такая проблема, когда вирус зашифровал файлы в XTBL. Пользователь не имеет доступа к личной информации.

Как поступать в этом случае? К сожалению, многие пользователи допускают распространенные ошибки, в результате чего они не устраняют проблему, а делают ее более масштабной. Поэтому нужно подробно рассмотреть инструкцию к действию.

Что делает вирус на компьютере?

Всякая вредоносная программа поступает определенным образом. Но принципы их действия примерно одинаковы. Сначала они загружаются на компьютер посредством интернета, сменных носителей информации или как-то по-другому.

Затем происходит непосредственное воздействие на ОС или ПО. Задачи у всех вредоносных программ различаются, однако они не начинают работать, пока не окажутся в компьютере.

После того как вирус зашифровал файлы в XTBL, пользователь неизменно начнет предпринимать попытки открыть их. Чего, естественно, не произойдет. Но на видном месте окажется текстовой документ (или блокнот) с призывом прочитать его. В нем указывается номер кошелька или карты, на которую создатель вируса потребует сделать денежный перевод. Взамен он вернет доступ к информации. Также данные могут дополняться примечанием, что самостоятельные попытки справиться с устранением проблемы могут привести к полной потере информации.

Помимо шифрования, вирус меняет названия файлов. Обычно для этого он использует случайный набор символов.

Что нужно делать?

Когда начинает действовать вирус, ваши файлы зашифрованы, а процесс запустился относительно недавно, можно предпринять несколько попыток для того, чтобы минимизировать вред:

  1. Посредством "Диспетчера задач" прекратить процесс шифрования. Если компьютер подключен к интернету, его нужно отключить. Некоторые вредоносные программы работают с помощью сети.
  2. Записать на листок код/номер кошелька или карты, которые предлагаются в текстовом документе. Этот файл впоследствии тоже может подвергнуться атаке, хоть и маловероятно.
  3. Проверить компьютер установленными антивирусными программами. Лучше остальных работает Касперский, но он конфликтный. Если сможет помочь, то только после удаления других антивирусов с компьютера.

Все эти действия не помогут устранить шифрование, но они замедлят процесс. Также можно отправить разработчикам антивирусов первоначальный файл вредоносной программы. Тогда процесс по защите от такого трояна пойдет быстрее.

Чего делать не нужно?

Когда серьезный вирус зашифровал файлы CBF, дешифровать их сможет либо свежая антивирусная программа, либо квалифицированный специалист. Есть такие действия, которые ни в коем случае нельзя практиковать пользователям:

  • Лечить или устранять вредоносное ПО автоматически или самостоятельно. Удаление источника проблемы не поможет справиться с ней.
  • Переустанавливать ОС.
  • Использовать дешифраторы, рекомендованные для решения похожих проблем с другими троянами (они все существенно различаются в кодах).
  • Использовать дешифраторы самостоятельно, не имея навыков их подбора, либо предварительно не получив консультацию профессионалов.
  • Очищать временные файлы, историю в браузере или удалять файлы, в которых нет необходимости (вирус может поменять их расположение, а не только названия, в результате теряется важная для пользователя информация).
  • Менять свойства зашифрованных файлов.

Кстати, этих правил следует придерживаться, если на компьютер был загружен любой другой вирус-шифровщик.

Варианты устранения проблемы и последствия

Когда вирус зашифровал файлы в XTBL, пользователь не сразу может это определить. Сигналами бедствия становится, во-первых, внезапное появление и исчезновение данных. Во-вторых, ПК начинает подвисать, несмотря на то, что процессор фактически не загружается. И в-третьих, на мониторе время от времени появляется окно, где создатель и/или распространитель вредоносного ПО требует пользователя перевести деньги.

Восстановление зашифрованных вирусом файлов может пройти успешно, а может и нет. Все зависит от сложности трояна. Но есть два простых способа это сделать.

В первом случае пользователь платит деньги распространителю вируса. Недостатки метода – может не сработать. Причем вероятность довольно-таки большая.

Во втором случае нужно нанимать программистов, которые, используя имеющиеся утилиты и разработки, попробуют вернуть зашифрованную информацию. Способ действенный, но затратный временно и финансово.

Также можно использовать одну из предлагаемых программ, но гарантий на то, что она сработает, нет.

Программа для расшифровки

Лучше всего расшифровка файлов, зашифрованных вирусом, удается специализированным программам. Отличной утилитой является VectorDecode. Скачать ее можно на официальном сайте.

Пользователи отмечают несколько преимуществ рассматриваемой программы:

  1. Низкая стоимость.
  2. Удобство и простота использования. С интерфейсом и настройками сможет справиться даже неискушенный пользователь.
  3. Работает с множество зашифрованных файлов, включая CBF, VAULT и XTBL. Быстро восстанавливает информацию, открывая доступ пользователя к личным данным.
  4. Написана группой программистов, которые стремились создать универсальное оружие против вирусов-шифровальщиков.

Таким образом, посредством небольшой программы, за которую придется заплатить (в открытом доступе ее нет), можно устранить последствия действия вируса.

Задачи пользователя

После того как вирус "ватник" зашифровал файлы, перед пользователями стоят две основные задачи. Во-первых, ему нужно сохранить информацию. Любая программа, которая занимается шифровкой, не работает мгновенно. Ей требуется время. Поэтому чем раньше будет обнаружен вирус, тем меньше вреда он нанесет. Если пользователь не знает, как завершить процесс в диспетчере, то ему нужно выключить оборудование. Когда техника не работает, вирусы на ней тоже не способны к действию.

Во-вторых, нужно сохранить все данные по взлому, чтобы была возможность их изучить. Велика вероятность, что атака осуществлялась вирусом, который уже известен программистам и разработчикам антивирусов. Но есть и шанс, что она новая. И тогда только данные со взлома помогут написать программу по устранению проблемы. Для этого не нужно включать компьютер после отключения питания либо удалять какие-то файлы с его жестких дисков.

Главное – не паниковать, если система подверглась атаке. Проблема сложная, но устранить ее можно. Важно не запускать ситуацию, а также не пытаться решить ее самостоятельно, если нет соответствующих навыков.

Разновидности шифровальщиков

Существует несколько вредоносных ПО, которые принято относить к категории шифровальщиков:

  • Trojan-Ransom.Win32.Rector. Этот червь обычно просит отправить СМС. Со счета абонента снимаются деньги. Последствия его деятельности устраняются утилитой RectorDecryptor.
  • Trojan-Ransom.Win32.Xorist. Вирус выводит на монитор окно, где требует отправить код по почте, после чего высылает инструкции с дальнейшими действиями. Последствия устраняются при помощи XoristDecryptor.

Если вирус зашифровал файлы DOC XLS, можно попробовать найти дешифратор по названию вредоносного ПО. Кстати, в последнее время такие полезные программки выпускаются компанией Dr.Web (естественно, лицензионная версия).

Заключение

Дело в том, что если вирус зашифровал файлы в XTBL, то некоторые данные можно восстановить сразу. Если работа предстоит сложная, то за нее не возьмутся даже опытные профессионалы. Гораздо лучше предпринимать профилактические меры: не скачивать подозрительные файлы в интернете, не проходить по ссылкам, не открывать странные письма. Хорошо бы обзавестись качественным антивирусом, а также не пользоваться чужими сменными носителями без предварительной проверки. Тогда компьютер будет надежно защищен, и вам не придется сталкиваться с подобными неприятностями.

fb.ru

Вирус зашифровал файлы и переименовал. Как расшифровать файлы, зашифрованные вирусом

В современное время не для кого уже не является удивлением тот факт, что компьютер может заразить какого-нибудь программный вирус. Это болезнь века, с которой бороться очень сложно, но все же приходиться.

Самые эффективные в плане вреда программы были разработаны еще лет десять назад, но сегодня наблюдается самый большой всплеск их распространения. Очень многие пользователи персональных компьютеров сегодня сталкиваются с такой проблемой, как зашифровка файлов вирусом.

Многие ИТ-специалисты говорят, что это не просто какие-то самые примитивные вредоносные программные обеспечения, которые могут проявляться в таких неприятных моментах, как блокирование компьютера, а самые что ни на есть серьезнейшие продукты электронного мира, которые порой нацелены на мошенничество в отношении финансовых данных, в частности бухгалтерских сведений.

Такие вирусы могут зашифровать все файлы, которые попадают в их поле зрения, особенно они активны в плане нанесения вреда данным, сохраненным в формате 1С Бухгалтерии, zip, docx, doc, xlsx, xls, jpg, pdf.

В чем заключается опасность подхваченных вирусов?

Все дело в том, что зараженный компьютер, во-первых теряет свою работоспособность, во-вторых, может информацию сохранить, но вы не сможете воспользоваться документами, которые на нем сохранены, они не будут открываться либо они вообще исчезнут бесследно из системы, в – третьих, извлеченной информацией могут воспользоваться недоброжелатели в своих мошеннических целях.

Не все вирусы могут атаковать все компьютеры. То есть, не каждый вид вирусного программного обеспечения может сработать в любом из существующих компов. Есть модели компьютерной техники, которые притягивают к себе, как магнит все самое неприемлемое.

ИТ-специалистами была подмечена тенденция распространения через Интернет новых программ-строителей, так называемых билдеров, которые являются пособиями на тему, как разработать эффективный вредоносный вирус. Этим материалом пользуются все, кому не лень, даже если не имеют никакого отношения к программированию. Вот и посудите сами, какое количество хакеров сегодня может развивать направление разработки всевозможных сюрпризов для пользователей персональных компьютерных устройств, эффективная работа на которых зачастую связана с Интернет ресурсом.

На этот факт можно было бы закрыть глаза и постепенно бороться с примитивом, но сегодня распространяются самые мощные модификации билдеров, а это говорит о том, что процесс не контролируется никем и ничем.

Методы внедрения вирусов в компьютер

Мошенники, разрабатывая вирусы, действуют целенаправленно. Если их продукты нацелены на компьютерную систему солидной компании или организации, то сперва ими собирается конкретная информация, а именно адреса электронной почты сотрудников, зачастую бухгалтерий либо отдела кадров, далее начинается рассылка всевозможных предложений на них. Очень часто такие письма содержат информацию в виде резюме соискателя работы. Естественно само резюме отправляется прикрепленным файлом к письму.

Когда пользователь почтового ящика открывает его для прочтения, находящийся в нем вирусный OLE-объект начинает свое действие. Он оперативно переименовывает файлы, шифрует их и самоудаляется из компьютера. В итоге того, что такого рода письма всегда содержат приличную информацию, касаемо интересов компании, у сотрудников не возникает подозрений, что это может быть вирус.

Такие вредоносные программы не то что живой человек не может распознать, но в этом же бессильны и самые мощные антивирусы, такие как Касперский и Вирус Тотал.

Однако все-таки иные антивирусы могут выдавать информацию о том, что файл может содержать вот это — Gen:Variant.Zusy.71505, что и является проблемой пользователей персональных компьютеров сегодняшнего дня.

Какие меры предпринимать, чтобы избежать заражения компа вирусами билдерами?

Первым и самым эффективным методом борьбы с такими вот электронным штуками является целенаправленная проверка всех присылаемых файлов. Особый акцент нужно делать на проверке именно документов вордовского формата.

Виды зараженных вирусом писем, которые не следует читать, а целенаправленно удалять, после чего сканировать систему на наличие вредоносных программ через антивирус:

— иски в суд;— взыскание долгов;— нарушения правил дорожного движения;— коллекторские предупреждения;— сообщения из Сбербанка о задолженности.

Как ведут себя вирусы билдеры?

Попадая в систему компьютера и сделав свои нехорошие дела, вирусы выдают уведомление о шифровании файлов. А находится это уведомление в корневой папке диска С и может оно иметь вот такие названия:

— ЧТО_ДЕЛАТЬ.txt;— CONTACT.txt.

Открывая их, пользователь видит информацию о том, что его файлы на компьютере зашифрованы, утилиты, мол, для их расшифровки строго запрещается применять, поскольку файлы можно вообще впоследствии не восстановить. Такие вот уведомления рекомендуют настоятельно прекратить все попытки работы на компе, оставит его в покое, а через двое суток предоставить на указанный электронный адрес ID компа. Если на указанный электронный ящик будут отправлены оскорбления, возмущения и прочая негативная информация, вирус грозит повредить навсегда работу прибора и не дать возможности файлы расшифровать.

Что делать, если проблема зашифровки файлов на лицо?

Заражение вирусами билдерами очень серьезно, и чтобы исправить все, что творит вирус, нужно изрядно, скажем так, попотеть. А именно: применить криптоаналитику мощного антивируса Dr. WEB и прогнать через него все файлы с форматом perfect либо nochance, либо еще каким-то неизвестным.Второй способ заключается во внедрение в сам вирусный продукт и прописывание в нем пустых команд, что приведет к тому, что он запустит программу дешифровки всех файлов, конечным результатом которой и будет расшифровка всей информации и ее восстановление.

Воспользоваться вторым способом удается, если из системы все-таки удается выудить необходимый вирусный файл, который даже после ликвидации оставляет свой след в формате файла с расширением exe.

Последовательность второго способа борьбы с вирусами такова:

— создать резервные копии всех файлов системы;— запустить вирус;— подождать уведомительных требований вируса;— запустить предложенный вирусом файл Patcher.exe;— ввести номер процесса вируса;— нажать Энтер, после чего на экране появиться уведомление patched, это начало процесса затирания команд сравнения;— в поле введения кода прописываются непроизвольные символы, которые нужно подтвердить командой Ок.

Выполнив все это по порядку, впоследствии вы сможете наблюдать картину дешифровки вирусом всех ранее им зашифрованных файлов. Окончив дешифровку, он самоликвидируется.

Как не допустить потери данных при лечении компьютера от вирусов билдеров

Чтобы не потерять все данные в случае, если не получиться их самостоятельно расшифровать, все их копии перед запуском процесса вирусной дешифровки нужно сохранять на съемные носители, либо компьютеры, которые не заражены вирусом.

Сохранить от зашифровки файлы можно при обнаружении проблемы обесточиванием компьютерной техники, что остановит процесс действия вируса и даст возможность сохранить часть файлов в неизменном виде.

Никогда не просматривайте файлы от неизвестных вам людей, организаций, несущие какие-то сомнительные предложения.Вирусное программное обеспечение *[email protected]

Именно этот вирус атакует компьютерные системы многих известных компаний. Избавиться от него помогает ликвидация зараженных файлов через антивирусные системы.

Зачастую этот вирус рассчитан на поражение файлов формата cbf, doc, jpg.Второй вариант – это все-таки выслать запрашиваемый мошенниками код для дешифровки информации, хранящейся на компьютере. И третий самый затратный, все-таки заплатить мошенникам запрашиваемую ими в уведомлении о шифровке сумму и получить разрешение об автоматическом запуске дешифровки. Стоит такая привилегия от трехсот до тысячи долларов США. Теперь вам понятна целенаправленная мотивация вирусных программ билдеров?

Действенным методом борьбы с вышеуказанным вирусом является откат системы на несколько дней назад. Сделать это сможет профессиональный программист.

Эффективная программа для дешифровки файлов RectorDecryptor

Расшифровать файлы формата jpg, doc, cbf можно с помощью антивируса RectorDecryptor. Перед работой этой программы следует закрыть все окна и другие программы. Потом перезагрузить комп. После включения просмотреть все подозрительные файловые документы, выделить их и отправить на проверку через вышеуказанную действующую утилиту.

После проверки файлов через эту программу файлы легко расшифровываются и приобретают прежний вид и формат.После расшифровки зараженных файлов следует прогнать через вышеуказанный антивирус всю систему, почистить ее от временных папок с помощью программы CCleaner.

Полная проверка компьютера может продолжаться несколько часов, но мощный антивирус на совесть проверит все файлы и восстановит работоспособность вашей системы на все сто процентов.

Если ваш компьютер атакуют постоянные вредоносные программы стоит побеспокоиться не об оплате мошенникам больших денежных сумм, а о покупке мощных программных обеспечений, которые эффективно борются со всеми на сегодня известными штаммами вирусов, а также постоянно обновляются данными о выпуске новых и новых модифицированных их типов.

Один раз, потратив средства на покупку серьезной программы, вы впоследствии получаете следующие выгоды:

— крепкие нервы;— стопроцентную конфиденциальность работы с компьютерной техникой;— стопроцентную защиту от взломов и повреждений ваших персональных данных и их использования не в вашу пользу;— высокую работоспособность компьютерной техники, на которую они будут установлены.

В любой ситуации заражения вирусом вашего ПК не стоит впадать в панику, а нужно немедленно искать антивирусную программу. Очень многие утилиты, эффективно борющиеся с вредоносными электронными элементами можно сегодня скачать бесплатно через Интернет источники. Но при этом нужно понимать, что полный функционал Антивируса будет на сто процентов доступен пользователю только после покупки лицензионной его версии.

Очень многие опытные пользователи компьютерной техники знают, что лучше в своем арсенале иметь несколько видом антивирусов, через которые можно проверить всю систему и выловить в максимальном количестве всех нежданных гостей, которые приходят не по приглашению.

Борьба с вредоносными ПО сначала кажется непонятной и чем-то недосягаемым. Но в процессе наработки практики, вы сможете без особого труда бороться с электронной болезнью века – вирусами, которые досаждают своими уловками и тормозят нормальный процесс работы за компьютером.

Напомним, что эта статья была посвящена именно проблеме расшифровки файлов, которые повреждаются и видоизменяются в системе за счет влияния вирусов – билдеров. Главные моменты, которые нужно извлечь из всего выше сказанного:

— по возможности не читать электронные сообщения сомнительного характера;— чаще включать на своем компьютере антивирус;— не спешить рассчитываться с мошенниками за их «труд»;— все время быть в поиске эффективного антивируса.

Подходящие антивирусные программы выбираются в зависимости от вида вирусов, которые постоянно атакуют ваш компьютер, а также от целесообразности борьбы с множеством различных новых вариаций «мусора», который можно подхватить в виртуальном пространстве на раз-два-три.

Действие вирусов всегда замедляет работу приборов, приводит к зависанию запущенных программ, смене расширений файлов, системному сбою, выведению из строя техники, поэтому купить антивирус намного дешевле, чем бороться с самими вирусами.

bezwindowsa.ru

Вирус Шифровальщик -расшифровать

Вирус-шифровальщик – одна из новейших и опаснейших хакерских разработок. Под этим термином подразумевают совокупность вредоносных программ, влияние которых на зараженный компьютер заключается в шифровании пользовательских данных. Для этого используются разнообразные алгоритмы. Чаще всего блокируются текстовые документы, музыкальные и видеофайлы, фотографии, базы данных и пр. Обратите внимание: системные файлы такой вирус не затрагивает. Его опасность состоит в том, что методов борьбы с ним мало, восстановить данные не всегда возможно. Более того, после заражения на экране монитора всплывает сообщение с объяснением произошедшего и требованием заплатить определенную сумму за код-дешифратор, который восстановит заблокированные файлы. Однако, как показывает практика, поддавшийся такому шантажу человек теряет и деньги, и информацию.

Коротко о вирусе: троянцы семейства Trojan.Encoder представляют собой вредоносные программы (скрипты), шифрующие файлы на диске компьютера и требующие деньги за их расшифровку (дешифратор). Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar *.1CD и так далее. Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи: 1. жертва заражается через спам-письмо с вложением (маскируя: Повестка в суд, налоговые органы или счет)2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами, 3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Просто позвоните по бесплатному тел. 8 (812) 920-76-10, и мы поможем с пострадавшим компьютером.

Разновидности шифровальщиков (самые популярные): 

  • Вирус XTBL
  • VALUE 
  • ENIGMA  (энигма )
  • da_vinci_code
  • better_call_saul
  • _XO101">Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра._XO101
  • BREAKING_BAD
  • NEITRINO
  • и другии

Подобный вирус может проникнуть в компьютер несколькими способами:

1. Первый и наиболее распространенный путь – электронная почта. Вложения в письмах могут содержать опасный вирус. Открыв их, пользователь запустит вредоносную программу, которая зашифрует данные на компьютере. Примечательно, что имя вложения может выглядеть совершенно безобидно (например, «Новые условия.doc»). Письмо будет отправлено якобы партнерами по работе, и ничего не подозревающий человек его откроет. На самом деле название вложения намного длиннее, а в конце содержится .exe, но этого получатель не видит.        

2. Программы, игры и пр. Предположим, вас интересует какое-либо ПО, которое распространяется на платной основе. Природное желание сэкономить заставляет искать взломанную версию. Запустив ее на компьютере, вы рискуете занести опасный вирус.       

3. Самораспаковывающийся архив. Даже если программное обеспечение, которое вам необходимо, предоставляется разработчиками бесплатно, есть шанс стать жертвой хакеров. Устанавливая приложения, утилиты и пр., скачанные с неизвестных ресурсов, вы также можете нанести вред компьютеру и потерять все данные.          

К сожалению, сегодня гарантированного метода исправления последствий шифровальщиков не существует. Даже если вы решили пойти на поводу у хакеров и отправить им запрошенную сумму, это не значит, что файлы вернуться в прежнее состояние. Как поступить в такой ситуации:

1. Этот способ подходит, если на компьютере установлено лицензионное антивирусное ПО. Отправьте запрос на официальный сайт компании, прикрепив зашифрованный документ и его «нормальную» копию, если она есть. Далее ожидайте, пока вам ответят.

2. Кардинальный, но действенный метод. Для этого вам придется распрощаться с информацией и полностью отформатировать жесткий диск, после чего заново установить операционную систему.     

Увы, но откат системы до какой-либо сохраненной точки не поможет. Уничтожить вирус, скорее всего, получится, но файлы останутся заблокированными.

 

  • Храните копии данных, которые имеют для вас ценность, на дисках.
  • Обращайте особое внимание на почтовые вложения.
  • Загружайте файлы только с проверенных сайтов.
  • Не доверяйте отзывам в интернете («Я перечислил им необходимую сумму, и мне все расшифровали!»). Они написаны самими разработчиками вируса. 

Что же делать, чтобы не поймать вирус-шифровальщик?

Ответ весьма прост - включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется - теряет свою актуальность.

Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида - сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту - компьютер. И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.

Сразу скажу - платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.

 

Что нужно делать, если файлы зашифрованы вирусом

Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.

Почему именно "попытаться расшифровать"?

Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.

 

НАШИ УСЛУГИ и ПОМОЩЬ В РАСШИФРОВКЕ ФАЙЛОВ

У нас есть уникальный алгоритм расшифровки самых последних вирусов-шифровальщиков и дешифратор-программа созданная нашим программистом для лечения поврежденных файлов. Звоните 8 (812) - 920-76-10 / Но вы можете попробовать стандартные способы:

  • Trojan-Ransom.Win32.Rector — бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницу http://support.drweb.com/new/free_unlocker/
  • CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт http://decryptcryptolocker.com — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.
  • На сайте https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads доступе Ransomware Removal Kit — большой архив с информацией по разным типам шифровальщиков и утилитами для расшифровки (на английском)

Ну и из последних новостей — Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается

 

 

comp-neo.ru

NO_MORE_RANSOM - как расшифровать зашифрованные файлы?

В конце 2016 года мир был атакован весьма нетривиальным вирусом-трояном, шифрующим пользовательские документы и мультимедиа-контент, получившим название NO_MORE_RANSOM. Как расшифровать файлы после воздействия этой угрозы, далее и будет рассмотрено. Однако сразу стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано и с использованием одного из самых продвинутых алгоритмов шифрования, и со степенью проникновения вируса в компьютерную систему или даже в локальную сеть (хотя изначально на сетевое воздействие он и не рассчитан).

Что за вирус NO_MORE_RANSOM и как он работает?

Вообще, сам вирус принято относить к классу троянов типа I Love You, которые проникают в компьютерную систему и шифруют файлы пользователя (обычно это мультимедиа). Правда, если прародитель отличался только шифрованием, то этот вирус очень многое позаимствовал у некогда нашумевшей угрозы под названием DA_VINCI_COD, совместив в себе еще и функции вымогателя.

После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длиннющее имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.

При попытке их открытия на экране появляется сообщение о том, что файлы зашифрованы, а для произведения дешифрования нужно заплатить некоторую сумму.

Как угроза проникает в систему?

Оставим пока в покое вопрос о том, как после воздействия NO_MORE_RANSOM расшифровать файлы любого из вышеуказанных типов, а обратимся к технологии проникновения вируса в компьютерную систему. К сожалению, как бы банально это ни звучало, для этого используется старый проверенный способ: на адрес электронной почты приходит письмо с вложением, открывая которое, пользователь и получает срабатывание вредоносного кода.

Оригинальностью, как видим, эта методика не отличается. Однако сообщение может быть замаскировано под ничего не значащий текст. Или, наоборот, например, если речь идет о крупных компаниях, - под изменение условий какого-то контракта. Понятно, что рядовой клерк открывает вложение, а далее и получает плачевный результат. Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это уже дело серьезное.

NO_MORE_RANSOM: как расшифровать документы?

Но все же стоит обратиться к главному вопросу. Наверняка всех интересует, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь пытается произвести дешифрование сразу же после заражения, сделать это еще кое-как можно. Если же угроза обосновалась в системе прочно, увы, без помощи специалистов здесь не обойтись. Но и они зачастую оказываются бессильны.

Если угроза была обнаружена своевременно, путь только один – обратиться в службы поддержки антивирусных компаний (пока еще не все документы были зашифрованы), отправить пару недоступных для открытия файлов и на основе анализа оригиналов, сохраненных на съемных носителях, попытаться восстановить уже зараженные документы, предварительно скопировав на ту же флешку все, что еще доступно для открытия (хотя полной гарантии того, что вирус не проник в такие документы, тоже нет). После этого для верности носитель нужно обязательно проверить хотя бы антивирусным сканером (мало ли что).

Алгоритм

Отдельно стоит сказать и о том, что вирус для шифрования использует алгоритм RSA-3072, который, в отличие от ранее применявшейся технологии RSA-2048, является настолько сложным, что подбор нужного пароля, даже при условии, что этим будет заниматься весь контингент антивирусных лабораторий, может занять месяцы и годы. Таким образом, вопрос того, как расшифровать NO_MORE_RANSOM, потребует достаточно больших временных затрат. Но что делать, если восстановить информацию нужно немедленно? Прежде всего – удалить сам вирус.

Можно ли удалить вирус и как это сделать?

Собственно, сделать это нетрудно. Судя по наглости создателей вируса, угроза в компьютерной системе не маскируется. Наоборот – ей даже выгодно «самоудалиться» после окончания произведенных действий.

Тем не менее поначалу, идя на поводу у вируса, его все-таки следует нейтрализовать. Первым делом необходимо использовать портативные защитные утилиты вроде KVRT, Malwarebytes, Dr. Web CureIt! и им подобные. Обратите внимание: применяемые для проверки программы должны быть портативного типа в обязательном порядке (без установки на жесткий диск с запуском в оптимальном варианте со съемного носителя). Если угроза будет обнаружена, ее следует немедленно удалить.

Если таковые действия не предусмотрены, необходимо сначала зайти в «Диспетчер задач» и завершить в нем все процессы, связанные с вирусом, отсортировав службы по названию (как правило, это процесс Runtime Broker).

После снятия задачи нужно вызвать редактор системного реестра (regedit в меню «Выполнить») и задать поиск по названию «Client Server Runtime System» (без кавычек), после чего используя меню перемещения по результатам «Найти далее…», удалить все найденные элементы. Далее нужно произвести перезагрузку компьютера и поверить в «Диспетчере задач», нет ли там искомого процесса.

В принципе, вопрос того, как расшифровать вирус NO_MORE_RANSOM еще на стадии заражения, может быть решен и таким методом. Вероятность его нейтрализации, конечно, невелика, но шанс есть.

Как расшифровать файлы, зашифрованные NO_MORE_RANSOM: резервные копии

Но есть еще одна методика, о которой мало кто знает или даже догадывается. Дело в том, что сама операционная система постоянно создает собственные теневые резервные копии (например, на случай восстановления), или пользователь намеренно создает такие образы. Как показывает практика, именно на такие копии вирус не воздействует (в его структуре это просто не предусмотрено, хотя и не исключено).

Таким образом, проблема того, как расшифровать NO_MORE_RANSOM, сводится к тому, чтобы использовать именно их. Однако применять для этого штатные средства Windows не рекомендуется (а многие пользователи к скрытым копиям не получат доступа вообще). Поэтому применять нужно утилиту ShadowExplorer (она является портативной).

Для восстановления нужно просто запустить исполняемый файл программы, отсортировать информацию по датам или разделам, выбрать нужную копию (файла, папки или всей системы) и через меню ПКМ использовать строку экспорта. Далее просто выбирается директория, в которой будет сохранена текущая копия, а затем используется стандартный процесс восстановления.

Сторонние утилиты

Конечно, к проблеме того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Так, например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух модификациях – Rakhini и Rector.

Не менее интересно выглядят и аналогичные разработки вроде дешифратора NO_MORE_RANSOM от Dr. Web. Но тут стоит сразу же учесть, что применение таких программ оправдано только в случае быстрого обнаружения угрозы, пока еще не были заражены все файлы. Если же вирус обосновался в системе прочно (когда зашифрованные файлы просто невозможно сравнить с их незашифрованными оригиналами), и такие приложения могут оказаться бесполезными.

Как итог

Собственно, вывод напрашивается только один: бороться с этим вирусом необходимо исключительно на стадии заражения, когда происходит шифрование только первых файлов. А вообще, лучше всего не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников (это касается исключительно клиентов, установленных непосредственно на компьютере – Outlook, Oulook Express и др.). К тому же если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открытие «левых» сообщений становится совершенно нецелесообразным, поскольку большинство при приеме на работу подписывает соглашения о неразглашении коммерческой тайны и кибербезопасности.

fb.ru

Что делать если ваши файлы зашифрованы вирусом?

Вирус, шифрующий файлы на диске пользователя, является на сегодняшний день наиболее проблематичным вредоносным программным обеспечением. Некоторые разновидности подобных вирусов, довольно легко идентифицируются антивирусными программами и файлы расшифровываются, но некоторые, защищены настолько серьёзно, что перед вами реально встаёт выбор, либо переустановить систему и потерять все данные или заплатить злоумышленникам и надеяться на то что киберпреступники окажутся «порядочными» и вы получите дешифратор. Есть несколько модификаций вируса, но общая суть взлома сводится к тому, что после установки на компьютер ваши файлы документов, изображений и другие, потенциально являющиеся для вас важными, шифруются с изменением расширения, после чего вы получаете сообщение о том, что все ваши файлы были зашифрованы. Для их расшифровки вам требуется отправить определённую сумму злоумышленнику.

Зашифрованные файлы с расширением — .xtbl

Один из вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.

Вместе с вирусом на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием:

Ваши файлы были зашифрованы.

Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: a4025fc38188.jpg на электронный адрес [email protected] или [email protected] . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Адреса электронной почты и текст могут отличаться. Иногда вместо текстового сообщения может запускаться баннер, всплывающий поверх остальных окон.

К сожалению, рабочего способа расшифровать зашифрованные файлы с расширением .xtbl на данный момент нет, как только он появится, информация будет обновлена. Некоторые пользователи, у которых на компьютере находилась действительно важная информация, сообщают на антивирусных форумах, что пришлось отправить авторам вируса требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.

Что делать, если файлы были зашифрованы?

Прежде чем совершить какие либо действия, в первую очередь необходимо усвоить то что делать не стоит и даже опасно!1 — лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. 2 — переустанавливать операционную систему; 3 — менять расширение у зашифрованных файлов; 4 — очищать папки с временными файлами, а также историю браузера; 5 — использовать самостоятельно без консультации с вирусными аналитиками дешифраторы; 6 — использовать дешифраторы рекомендуемые в других ситуациях с аналогичной проблемой.

В общем и целом рекомендации специалистов выглядят следующим образом:Главная задача при шифровании — сохранение данных. Ни один энкодер не способен зашифровать все данные мгновенно, поэтому до окончания шифрования часть файлов остаётся нетронутой вирусом. Соответственно чем больше времени прошло с начала шифрования, тем меньше нетронутых данных остаётся. Поэтому необходимо немедленно прекратить работу энкодера. Самый надёжный способ, это полностью обесточить систему, путём отключения компьютера от питания. Ноутбук, путём длительного нажатия на кнопку включения. Можно, конечно начать анализировать список процессов в Диспетчере задач, искать в них троян, пытаться его завершить… Поверьте, экстренное отключение питания это гораздо быстрее и надёжнее! Обычное завершение работы Windows, неплохая идея, но это может занять время или троян может этому препятствовать. Поэтому рекомендуем принудительное отключение. Несомненно, у этого действия есть свои минусы: повреждение файловой системы и невозможность дальнейшего снятия дампа ОЗУ. Повреждённая файловая система для обычного пользователя проблема посерьёзнее, чем энкодер. Например, повреждение таблицы разделов приведёт к невозможности загрузки операционной системы.

Следующая задача — сохранение произошедшего взлома для дальнейшего изучения. Почему это так важно? Любая работа по расшифровке файлов начинается с того, что специалисты пытаются понять, что произошло, получить полную картину произошедшего. В идеале нужны все файлы, которые запускались в процессе шифрования. Их анализ позволяет понять, как происходило шифрование, оставлял ли троян артефакты, которые позволят упростить расшифровку. Идеальный способ — отключить питание и не загружать операционную систему, в которой был запущен энкодер. Для доступа к данным с диска нужно использовать LiveCD с какой­-либо версией Linux. Можно также подключить диск к другому ПК, но в этом случае есть риск запуска энкодера в новой системе или же изменения файлов на поражённом диске. Поэтому лучший вариант LiveCD. На этом этапе специалисты будут иметь, компьютер, который был обесточен сразу после обнаружения шифрования и ни разу не включался.

К сожалению на практике такого почти не бывает. Скорее всего, в вашем случае шифрование уже завершилось.

Как работать с поражённой вирусом шифровальщиком операционной системой? Не паниковать! Необдуманные действия после шифрования могут привести к большим проблемам, чем само шифрование. Самое плохое уже произошло и нужно спокойно решать проблему. Не чистить, не удалять, операционную систему не переустаналивать. Для расшифровки огромное значение может иметь неприметный файл на 32 байта, где нибудь во временном каталоге или неизвестный ярлык на рабочем столе. Чистка реестра в данном случае, неприемлемая процедура, некоторые энкодеры оставляют там важные для расшифровки следы работы. Антивирусы найдут энкодер. И с лёгкостью его удалят, но что тогда останется для анализа? Как специалист поймёт, чем шифровались файлы?

Оставьте расшифровку специалистам — профессионалам. Если вы считаете себя таковым, вы понимаете что такое RC4, AES, RSA, какое между ними различие, вы знаете что такое Hiew и что означает 0xDEADC0DE, можете попытаться. Всем остальным пользователям категорически не советуем.

Практика такова, что — то можно расшифровать почти сразу. Что — то будет ждать своей очереди, может месяцы, а может быть и годы. За некоторые случаи не берутся даже опытные спецы. К кому обращаться — решать конечно же вам. В конце публикации вы найдёте массу ссылок на ресурсы по этой теме.

В авангарде поиска решений проблем вирусов шифровальщиков является Kaspersky Lab. Можно так же отправить пример зашифрованного файла и требуемый код на [email protected], если у вас есть копия этого же файла в не зашифрованном виде, пришлите её тоже. Теоретически, это может ускорить появление дешифратора. Если у вас есть лицензия антивируса Dr.Web вы можете воспользоваться бесплатной расшифровкой от этой компании на странице —

Некоторые варианты вируса-шифровальщика:

Реже, но также встречаются следующие трояны, шифрующие файлы и требующие деньги за расшифровку. По приведённым ссылкам есть не только утилиты для возврата ваших файлов, но и описание признаков, которые помогут определить, что у вас именно этот вирус.Trojan-Ransom.Win32.Rector — бесплатная утилита для расшифровки и руководство по использованию.Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита .Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита .Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете оформить запрос в службу технической поддержки «Доктор Веб» официальной странице.CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.

webdoker.ru