Ваши файлы были зашифрованы — что делать?

Одним из наиболее проблемных вредоносных программ сегодня является троян или вирус, который шифрует файлы на диске пользователя. Некоторые из этих файлов могут быть расшифрованы, а некоторые пока не могут быть расшифрованы. Это руководство содержит возможные алгоритмы для обеих ситуаций, способы определения конкретного типа шифрования в сервисах No More Ransomware и ID Ransomware, а также краткий обзор программного обеспечения для защиты от ransomware.

Существует несколько модификаций таких вирусов или троянцев ransomware (и постоянно появляются новые), но общая суть работы заключается в том, что после установки на компьютер ваши файлы документов, изображений и другие, потенциально важные, шифруются с изменением расширения и удалением исходных файлов, после чего вы получаете сообщение в файле readme.txt что все ваши файлы были зашифрованы, и для их расшифровки необходимо отправить злоумышленнику определенную сумму денег.

Windows 10 Fall Creators Update имеет встроенную защиту от вирусов-шифровальщиков.

Что делать, если все важные данные зашифрованы

Сначала немного общей информации для тех, кто столкнулся с шифрованием важных файлов на своем компьютере. Если важные данные на вашем компьютере были зашифрованы, первое, что нужно сделать — не паниковать.

Если есть возможность, с диска компьютера, на котором появилась ransomware, скопируйте куда-нибудь на внешний диск (флешку) пример файла с текстовым запросом на расшифровку плюс несколько копий зашифрованного файла, а затем, по возможности, выключите компьютер, чтобы вирус не смог продолжить шифрование данных, и выполните другие действия на другом компьютере.

Следующий шаг — с помощью имеющихся зашифрованных файлов выяснить, какой тип вируса зашифровал ваши данные: для некоторых из них существуют расшифровщики (некоторые из них я упомяну здесь, некоторые — ближе к концу статьи), для других — пока нет. Но даже в этом случае вы можете отправить образцы зашифрованных файлов в антивирусные лаборатории (Kaspersky, Dr. Web) для изучения.

Как узнать? Вы можете сделать это с помощью Google, найдя обсуждения или тип шифровальщика по расширению файла. Также начали появляться сервисы для обнаружения программ типа ransomware.

Больше никаких выкупов

No More Ransom — активно развивающийся ресурс, поддерживаемый разработчиками защитного ПО, доступный на русском языке, для борьбы с вирусами-шифровальщиками (троянцами ransomware).

Домашняя страница No More Ransom

Если повезет, No More Ransom поможет расшифровать ваши документы, базы данных, фотографии и другую информацию, скачать необходимое программное обеспечение для расшифровки и получить информацию, которая поможет избежать подобных угроз в будущем.

На No More Ransom вы можете попытаться расшифровать свои файлы и определить тип вируса-шифровальщика следующим образом:

  1. Нажмите "Да" на главной странице сервиса https://www.nomoreransom.org/en/index.html
  2. Откроется страница "Crypto-sheriff", где можно скачать примеры зашифрованных файлов размером не более 1 МБ (рекомендую скачивать те, которые не содержат конфиденциальных данных), а также указать адреса электронной почты или сайты, на которые мошенники требуют выкуп (или скачать файл readme.txt с требованием). Обнаружение и расшифровка вируса на сайте No More Ransom
  3. Нажмите кнопку "Проверить" и дождитесь окончания проверки и результата.

Кроме того, на сайте имеются полезные разделы:

  • Декрипторы — почти все существующие утилиты для расшифровки файлов, зашифрованных вирусами. Скачать утилиты для расшифровки файлов
  • Предотвращение заражения — информация, предназначенная в первую очередь для начинающих пользователей, которая может помочь избежать заражения в дальнейшем.
  • Вопросы и ответы — информация для тех, кто хочет лучше понять, что такое вирус-шифровальщик и что делать, если вы столкнулись с тем, что файлы на вашем компьютере зашифрованы.

На сегодняшний день, No More Ransom является, пожалуй, самым актуальным и полезным ресурсом, связанным с расшифровкой файлов для русскоязычных пользователей.

ID Ransomware

Другим подобным сервисом является https://id-ransomware.malwarehunterteam.com/ (хотя я не знаю, насколько хорошо она работает для русских версий вируса, но попробовать стоит, если вы пришлете в службу пример зашифрованного файла и текстовый файл с требованием выкупа).

Идентификация шифровальщика в ID ransomware

После определения типа шифрования, если вам это удалось, попробуйте найти утилиту для расшифровки этого варианта, используя такие запросы, как: Decryptor_type. Эти утилиты бесплатны и выпускаются производителями антивирусов, например, несколько из них вы можете найти у Касперского https://support.kaspersky.ru/viruses/utility (в конце этой статьи приведены другие утилиты). И, как уже упоминалось, не стесняйтесь обращаться к разработчикам антивирусов на их форумах или по почте по адресу.

К сожалению, все это не всегда помогает, и не всегда есть работающие расшифровщики файлов. В этом случае сценарии разные: многие платят злоумышленникам, поощряя их продолжать эту деятельность. Некоторым пользователям помогают программы для восстановления данных на компьютере (так как вирус, делая зашифрованный файл, удаляет обычный важный файл, который теоретически можно восстановить).

Файлы на вашем компьютере, зашифрованные в xtbl

Один из последних вариантов вируса ransomware шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.

Зашифрованные файлы с расширением .xtbl

Одновременно на ваш компьютер помещается текстовый файл readme.txt примерно следующего содержания: "Ваши файлы были зашифрованы. Чтобы расшифровать их, вам нужно отправить код на адрес [email protected], [email protected] или [email protected] После этого вы получите все необходимые инструкции. Попытки самостоятельной расшифровки файлов приведут к безвозвратной потере информации" (адрес электронной почты и текст могут быть разными).

К сожалению, не существует способа расшифровки .xtbl на данный момент не существует (но руководство будет обновлено, как только он появится). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5 000 рублей или другую необходимую сумму и получили дешифратор, но это очень рискованно: вы можете ничего не получить.

Сообщение вируса-шифровальщика xtbl

Что делать, если файлы были зашифрованы в .xtbl? Мои рекомендации следующие (но они отличаются от рекомендаций на многих других тематических сайтах, где, например, рекомендуют немедленно отключить компьютер от электросети или не удалять вирус. На мой взгляд — это лишнее и в некоторых обстоятельствах может быть даже вредным, но решать вам.):

  1. Если вы знаете, как прервать процесс шифрования, отключите компьютер от Интернета (это может быть необходимо для шифрования)
  2. Запомните или запишите код, который злоумышленники просят отправить на адрес электронной почты (только не на текстовый файл на вашем компьютере, на всякий случай, если он тоже не зашифрован).
  3. С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, который шифрует ваши файлы (все вышеперечисленные инструменты делают хорошую работу). Советую использовать поочередно первый и второй продукты (хотя если у вас установлен антивирус, то установка второго "сверху" нежелательна, так как может привести к сбоям в работе компьютера).)
  4. Ждите дешифратор от какой-либо антивирусной компании. Лаборатория Касперского здесь на переднем крае.
  5. Также можно отправить пример зашифрованного файла и необходимый код по адресу [email protected], Если у вас есть незашифрованная копия того же файла, пришлите ее также. Теоретически это может ускорить появление расшифровщика.

Чего не следует делать:

  • Переименовать зашифрованные файлы, изменить их расширения и удалить их, если они важны для вас.

Это, пожалуй, все, что я могу сказать о зашифрованных файлах с расширением .xtbl антивирус на данный момент.

Файлы, зашифрованные better_call_saul

Среди последних вирусов-шифровальщиков — Better Call Saul (Trojan-Ransom.Win32.Shade) установка расширения .Better_call_saul для зашифрованных файлов. Как расшифровать такие файлы — пока неясно. Те пользователи, которые обратились в Лабораторию Касперского и Dr.В Web сообщили, что пока это сделать невозможно (но все равно попробуйте — больше образцов зашифрованных файлов от разработчиков = больше шансов найти способ).

Если окажется, что вы нашли способ расшифровать (т.е. Я его уже где-то скачал и пока не видел), пожалуйста, поделитесь информацией в комментариях.

Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Рахни

Ваши файлы были зашифрованы

  • .заблокирован
  • .crypto
  • .kraken
  • .AES256 (не обязательно этот троян, есть и другие, которые могут устанавливать такое же расширение).
  • [email protected]_com
  • .enc
  • .oshit
  • И другие.

Для расшифровки файлов после работы упомянутых вирусов сайт Касперского предоставляет бесплатную утилиту RakhniDecryptor, которая доступна на официальном сайте http://support.kaspersky.ru/viruses/disinfection/10556.

Инструмент Касперского для расшифровки

Существует также подробная инструкция к этой утилите, показывающая, как восстановить зашифрованные файлы, из которой я бы на всякий случай убрал опцию "Удалить зашифрованные файлы после успешной расшифровки" (хотя, думаю, и с этой опцией все будет в порядке).

Если у вас есть лицензия Dr.Web вы можете использовать бесплатную расшифровку от этой компании по адресу http://support.drweb.com/new/free_unlocker/

Другие варианты вирусов-шифровальщиков

Менее распространенные, но также следующие трояны, которые шифруют файлы и требуют деньги за расшифровку. По ссылкам выше вы можете найти не только утилиты для возврата ваших файлов, но и описание признаков, которые помогут вам определить, есть ли у вас именно этот вирус. Хотя вообще лучший способ — это использовать антивирус Касперского для сканирования системы, получить название трояна по классификации этой компании, а затем искать утилиту с таким названием.

  • Trojan-Ransom.Win32.Rector — бесплатная утилита RectorDecryptor для расшифровки, а руководство по ее использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist — аналогичный троян, который отображает окно с требованием отправить платное sms-сообщение или связаться по электронной почте для получения инструкций по расшифровке. Инструкции по восстановлению зашифрованных файлов и утилиту XoristDecryptor для этого можно найти на сайте http://support.касперский.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
  • Троян.Кодировщик.858 (xtbl), троян.Шифровальщик.741 и другие с таким же названием (при поиске с помощью Dr.Web или утилита Cure It) и разные номера — попробуйте поискать в Интернете название трояна. Для некоторых из них существуют утилиты расшифровки от Dr.Web, также, если вы не можете найти утилиту, но у вас есть лицензия на Dr.Web, вы можете использовать официальную страницу http://support.drweb.com/new/free_unlocker/
  • CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать http://decryptcryptolocker.com — После отправки примера файла вы получите ключ и утилиту для восстановления ваших файлов.
  • Сайт https://bitbucket.org/jadacyrus/ransomwareremovalkit/Ransomware Removal Kit — большой архив с информацией о различных типах инструментов шифрования и утилит для дешифровки

Другие последние новости: "Лаборатория Касперского" совместно с правоохранительными органами Нидерландов разработала Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, но эта ransomware пока не встречается в наших широтах.

Защита от вирусов-шифровальщиков или ransomware

По мере распространения Ransomware многие производители антивирусных и анти-вредоносных программ начали выпускать свои решения для предотвращения запуска шифровальщиков на вашем компьютере, среди них:

  • Malwarebytes Anti-Ransomware Malwarebytes Anti-Ransomware
  • BitDefender Anti-Ransomware BitDefender Anti-Ransomware
  • WinAntiRansom

Первые два пока находятся в бета-версиях, но бесплатны (однако они поддерживают обнаружение только ограниченного набора вирусов этого типа — TeslaCrypt, CTBLocker, Locky, CryptoLocker. WinAntiRansom — это платный продукт, который обещает предотвратить шифрование практически любыми образцами ransomware, защищая как локальные, так и сетевые диски.Программа WinAntiRansom

Кстати, если у вас есть что добавить (потому что у меня может не хватить времени следить за тем, что происходит с методами расшифровки), пожалуйста, расскажите мне об этом в комментариях, эта информация будет полезна другим пользователям, столкнувшимся с данной проблемой.

Оцените статью
Добавить комментарий

  • Что делать, если все важные данные зашифрованы
  • Больше никаких выкупов
  • ID Ransomware
  • Файлы на вашем компьютере, зашифрованные в xtbl
  • Файлы, зашифрованные better_call_saul
  • Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Рахни
  • Другие варианты вирусов-шифровальщиков
  • Защита от вирусов-шифровальщиков или ransomware
  • Что делать, если все важные данные зашифрованы
  • Больше никаких выкупов
  • ID Ransomware
  • Файлы на вашем компьютере, зашифрованные в xtbl
  • Файлы, зашифрованные better_call_saul
  • Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Рахни
  • Другие варианты вирусов-шифровальщиков
  • Защита от вирусов-шифровальщиков или ransomware
  • Что делать, если все важные данные зашифрованы
  • Больше никаких выкупов
  • ID Ransomware
  • Файлы на вашем компьютере, зашифрованные в xtbl
  • Файлы, зашифрованные better_call_saul
  • Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Рахни
  • Другие варианты вирусов-шифровальщиков
  • Защита от вирусов-шифровальщиков или ransomware
  • Разница между оперативной памятью и хранилищем
  • Вы не можете увеличить память iPhone
  • Чехлы, расширяющие память iPhone
  • Флешки, которые увеличивают память iPhone
  • Беспроводные внешние жесткие диски для iPhone
  • Для пользователей настольных компьютеров
  • Меню "Пуск" Windows 9
  • Виртуальные рабочие столы
  • Что еще нового?
  • Методы удаления Avast
  • Как удалить Avast Free Antivirus с помощью утилиты удаления AvastClear
  • Удаление остатков Avast
  • Видеоурок по удалению Avast Free Antivirus