Что делать если файлы зашифрованы readme. Вирус-шифровальщик: как вылечить и расшифровать файлы? Расшифровка файлов после вируса-шифровальщика

Современные технологии позволяют хакерам постоянно совершенствовать способы мошенничества по отношению к обычным пользователям. Как правило, для этих целей используется вирусное ПО, проникающее на компьютер. Особенно опасным считаются вирусы-шифровальщики. Угроза заключается в том, что вирус очень быстро распространяется, зашифровывая файлы (пользователь попросту не сможет открыть ни один документ). И если довольно просто, то куда сложнее расшифровать данные.

Что делать, если вирус зашифровал файлы на компьютере

Подвергнуться атаке шифровальщика может каждый, не застрахованы даже пользователи, у которых стоит мощное антивирусное ПО. Трояны шифровальщики файлов представлены различным кодом, который может быть не под силу антивирусу. Хакеры даже умудряются атаковать подобным способом крупные компании, которые не позаботились о необходимой защите своей информации. Итак, «подцепив» в онлайне программу шифровальщик, необходимо принять ряд мер.

Главные признаки заражения – медленная работа компьютера и изменение наименований документов (можно заметить на рабочем столе).

1. Перезапустите компьютер, чтобы прервать шифрование. При включении не подтверждайте запуск неизвестных программ.
2. Запустите антивирус, если он не подвергся атаке шифровальщика.
3. Восстановить информацию в некоторых случаях помогут теневые копии. Чтобы найти их, откройте «Свойства» зашифрованного документа. Этот способ работает с зашифрованными данными расширения Vault, о котором есть информация на портале.
4. Скачайте утилиту последней версии для борьбы с вирусами-шифровальщиками. Наиболее эффективные предлагает «Лаборатория Касперского».

Вирусы-шифровальщики в 2016: примеры

При борьбе с любой вирусной атакой важно понимать, что код очень часто меняется, дополняясь новой защитой от антивирусов. Само собой, программам защиты нужно какое-то время, пока разработчик не обновит базы. Нами были отобраны самые опасные вирусы-шифровальщики последнего времени.

Ishtar Ransomware

Ishtar – шифровальщик, вымогающий у пользователя деньги. Вирус был замечен осенью 2016 года, заразив огромное число компьютеров пользователей из России и ряда других стран. Распространяется при помощи email-рассылки, в которой идут вложенные документы (инсталляторы, документы и т.д.). Зараженные шифровальщиком Ishtar данные, получают в названии приставку «ISHTAR». В процессе создается тестовый документ, в котором указано, куда обратиться за получением пароля. Злоумышленники требует за него от 3000 до 15000 рублей.

Опасность вируса Ishtar в том, что на сегодняшний день нет дешифратора, который бы помог пользователям. Компаниям, занимающимся созданием антивирусного ПО, необходимо время, чтобы расшифровать весь код. Сейчас можно лишь изолировать важную информацию (если представляют особую важность) на отдельный носитель, дожидаясь выхода утилиты, способной расшифровать документы. Рекомендуется переустановить операционную систему.

Neitrino

Шифровальщик Neitrino появился на просторах Сети в 2015 году. По принципу атаки схож с другими вирусами подобной категории. Изменяет наименования папок и файлов, добавляя «Neitrino» или «Neutrino». Дешифрации вирус поддается с трудом – берутся за это далеко не все представители антивирусных компаний, ссылаясь на очень сложный код. Некоторым пользователям может помочь восстановление теневой копии. Для этого кликните правой кнопкой мыши по зашифрованному документу, перейдите в «Свойства», вкладка «Предыдущие версии», нажмите «Восстановить». Не лишним будет воспользоваться и бесплатной утилитой от «Лаборатории Касперского».

Wallet или .wallet.

Появился вирус-шифровальщик Wallet в конце 2016 года. В процессе заражения меняет наименование данных на «Имя..wallet» или похожее. Как и большинство вирусов-шифровальщиков, попадает в систему через вложения в электронных письмах, которые рассылают злоумышленники. Так как угроза появилась совсем недавно, антивирусные программы не замечают его. После шифрации создает документ, в котором мошенник указывает почту для связи. В настоящее время разработчики антивирусного ПО работают над расшифровкой кода вируса-шифровальщика [email protected]. Пользователям, подвергшимся атаке, остается лишь ждать. Если важны данные, то рекомендуется их сохранить на внешний накопитель, очистив систему.

Enigma

Вирус-шифровальщик Enigma начал заражать компьютеры российских пользователей в конце апреля 2016 года. Используется модель шифрования AES-RSA, которая сегодня встречается в большинстве вирусов-вымогателей. На компьютер вирус проникает при помощи скрипта, который запускает сам пользователь, открыв файлы из подозрительного электронного письма. До сих пор нет универсального средства для борьбы с шифровальщиком Enigma. Пользователи, имеющие лицензию на антивирус, могут попросить о помощи на официальном сайте разработчика. Так же была найдена небольшая «лазейка» – Windows UAC. Если пользователь нажмет «Нет» в окошке, которое появляется в процессе заражения вирусом, то сможет впоследствии восстановить информацию при помощи теневых копий.

Granit

Новый вирус-шифровальщик Granit появился в Сети осенью 2016 года. Заражение происходит по следующему сценарию: пользователь запускает инсталлятор, который заражает и шифрует все данные на ПК, а также подключенных накопителях. Бороться с вирусом сложно. Для удаления можно воспользоваться специальными утилитами от Kaspersky, но расшифровать код еще не удалось. Возможно, поможет восстановление предыдущих версий данных. Помимо этого, расшифровать может специалист, который имеет большой опыт, но услуга стоит дорого.

Tyson

Был замечен недавно. Является расширением уже известного шифровальщика no_more_ransom, о котором вы можете узнать на нашем сайте. Попадает на персональные компьютеры из электронной почты. Атаке подверглось много корпоративных ПК. Вирус создает текстовый документ с инструкцией для разблокировки, предлагая заплатить «выкуп». Шифровальщик Tyson появился недавно, поэтому ключа для разблокировки еще нет. Единственный способ восстановить информацию – вернуть предыдущие версии, если они не подверглись удалению вирусом. Можно, конечно, рискнуть, переведя деньги на указанный злоумышленниками счет, но нет гарантий, что вы получите пароль.

Spora

В начале 2017 года ряд пользователей стал жертвой нового шифровальщика Spora. По принципу работы он не сильно отличается от своих собратьев, но может похвастаться более профессиональным исполнением: лучше составлена инструкция по получению пароля, веб-сайт выглядит красивее. Создан вирус-шифровальщик Spora на языке С, использует сочетание RSA и AES для шифрования данных жертвы. Атаке подверглись, как правило, компьютеры, на которых активно используется бухгалтерская программа 1С. Вирус, скрываясь под видом простого счета в формате.pdf, заставляет работников компаний запускать его. Лечение пока не найдено.

1C.Drop.1

Этот вирус-шифровальщик для 1С появился летом 2016 года, нарушив работу многих бухгалтерий. Разработан был специально для компьютеров, на которых используется программное обеспечение 1С. Попадая посредством файла в электронном письме на ПК, предлагает владельцу обновить программу. Какую бы кнопку пользователь не нажал, вирус начнет шифрование файлов. Над инструментами для расшифровки работают специалисты «Dr.Web», но пока решения не найдено. Виной тому сложный код, который может быть в нескольких модификациях. Защитой от 1C.Drop.1 становится лишь бдительность пользователей и регулярное архивирование важных документов.

da_vinci_code

Новый шифровальщик с необычным названием. Появился вирус весной 2016 года. От предшественников отличается улучшенным кодом и стойким режимом шифрования. da_vinci_code заражает компьютер благодаря исполнительному приложению (прилагается, как правило, к электронному письму), который пользователь самостоятельно запускает. Шифровальщик «да Винчи» (da vinci code) копирует тело в системный каталог и реестр, обеспечивая автоматический запуск при включении Windows. Компьютеру каждой жертвы присваивается уникальный ID (помогает получить пароль). Расшифровать данные практически невозможно. Можно заплатить деньги злоумышленникам, но никто не гарантирует получения пароля.

[email protected] / [email protected]

Два адреса электронной почты, которыми часто сопровождались вирусы-шифровальщики в 2016 году. Именно они служат для связи жертвы со злоумышленником. Прилагались адреса к самым разным видам вирусов: da_vinci_code, no_more_ransom и так далее. Крайне не рекомендуется связываться, а также переводить деньги мошенникам. Пользователи в большинстве случаев остаются без паролей. Таким образом, показывая, что шифровальщики злоумышленников работают, принося доход.

Breaking Bad

Появился еще в начале 2015 года, но активно распространился только через год. Принцип заражения идентичен другим шифровальщикам: инсталляция файла из электронного письма, шифрование данных. Обычные антивирусы, как правило, не замечают вирус Breaking Bad. Некоторый код не может обойти Windows UAC, поэтому у пользователя остается возможность восстановить предыдущие версии документов. Дешифратора пока не представила ни одна компания, разрабатывающая антивирусное ПО.

XTBL

Очень распространенный шифровальщик, который доставил неприятности многим пользователям. Попав на ПК, вирус за считанные минуты изменяет расширение файлов на.xtbl. Создается документ, в котором злоумышленник вымогает денежные средства. Некоторые разновидности вируса XTBL не могут уничтожить файлы для восстановления системы, что позволяет вернуть важные документы. Сам вирус можно удалить многими программами, но расшифровать документы очень сложно. Если является обладателем лицензионного антивируса, воспользуйтесь технической поддержкой, приложив образцы зараженных данных.

Kukaracha

Шифровальщик «Кукарача» был замечен в декабре 2016 года. Вирус с интересным названием скрывает пользовательские файлы при помощи алгоритма RSA-2048, который отличается высокой стойкостью. Антивирус Kaspersky обозначил его как Trojan-Ransom.Win32.Scatter.lb. Kukaracha может быть удален с компьютера, чтобы заражению не подверглись другие документы. Однако зараженные на сегодняшний день практически невозможно расшифровать (очень мощный алгоритм).

Как работает вирус-шифровальщик

Существует огромное число шифровальщиков, но все они работают по схожему принципу.

1. Попадание на персональный компьютер. Как правило, благодаря вложенному файлу к электронному письму. Инсталляцию при этом инициирует сам пользователь, открыв документ.
2. Заражение файлов. Подвергаются шифрации практически все типы файлов (зависит от вируса). Создается текстовый документ, в котором указаны контакты для связи со злоумышленниками.
3. Все. Пользователь не может получить доступа ни к одному документу.

Средства борьбы от популярных лабораторий

Широкое распространение шифровальщиков, которые признаются наиболее опасными угрозами для данных пользователей, стало толчком для многих антивирусных лабораторий. Каждая популярная компания предоставляет своим пользователям программы, помогающие бороться с шифровальщиками. Кроме того, многие из них помогают с расшифровкой документов защитой системы.

Kaspersky и вирусы-шифровальщики

Одна из самых известных антивирусных лабораторий России и мира предлагает на сегодня наиболее действенные средства для борьбы с вирусами-вымогателями. Первой преградой для вируса-шифровальщика станет Kaspersky Endpoint Security 10 с последними обновлениями. Антивирус попросту не пропустит на компьютер угрозу (правда, новые версии может не остановить). Для расшифровки информации разработчик представляет сразу несколько бесплатных утилит: , XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Они помогают отыскивать вирус и подбирают пароль.

Dr. Web и шифровальщики

Эта лаборатория рекомендует использовать их антивирусную программу, главной особенностью которой стало резервирование файлов. Хранилище с копиями документов, кроме того, защищено от несанкционированного доступа злоумышленников. Владельцам лицензионного продукта Dr. Web доступна функция обращения за помощью в техническую поддержку. Правда, и опытные специалисты не всегда могут противостоять этому типу угроз.

ESET Nod 32 и шифровальщики

В стороне не осталась и эта компания, обеспечивая своим пользователям неплохую защиту от проникновения вирусов на компьютер. Кроме того, лаборатория совсем недавно выпустила бесплатную утилиту с актуальными базами – Eset Crysis Decryptor. Разработчики заявляют, что она поможет в борьбе даже с самыми новыми шифровальщиками.

Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.

Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.

Способы восстановления зашифрованных файлов бесплатно

Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.

Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем .

1. Удалить вирус-шифровальщик

Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool

Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.

Дождитесь окончания этого процесса и удалите найденных зловредов.

1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware

Скачайте программу . После окончания загрузки запустите скачанный файл.

Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку . Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.

Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

2. Восстановить зашифрованные файлы используя ShadowExplorer

ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

Скачайте программу . Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.

Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.

Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.

И последнее, выберите папку в которую будет скопирован восстановленный файл.

3. Восстановить зашифрованные файлы используя PhotoRec

PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

Скачайте программу . Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.

В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.

В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.

По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.

Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.

В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

Не так давно в интернетах появился новый вирус (и множество его модификаций), шифрующий файлы на вашем компьютере и предлагающий за деньги заказать программу для их расшифровки. При этом зашифрованные файлы переименовываются и получают имена вроде этого

DSC00122.JPG.[email protected]_XO101

Выделенная часть состоит из e-mail’а автора вируса (на который «жертва» вируса будет отправлять запрос на расшифровку) и идентификатора модификации вируса. Каждая модификация вируса имеет свой собственный алгоритм шифрования и соответственно, требует своего расшифровщика.

К счастью, разработчики из Dr.Web вплотную занялись этим вопросом и готовы предоставлять специальную утилиту, которая расшифровывает испорченные вирусом файлы. Для удобства ниже я выкладываю саму утилиту и краткую инструкцию по её использованию.

(пароль — имя моего сайта без «http://»)

Ниже — краткая инструкция.

Скачайте утилиту для восстановления, распакуйте архив в пустую папку с простым именем (например, «C:\_dec «). Затем запустите командную строку (Пуск — Запустить — cmd) и наберите там следующее:

Здесь «[email protected]_XO101 » — это префикс, с которым переименованы вирусом ваши файлы, обратите внимание на точку в начале. А c:\myfiles\ — это папка, в которой лежат ваши закодированные файлы. После запуска программа откроет окно с подтверждением

И после нажатия на кнопку «Продолжить» начнёт автоматическое лечение. По завершению работы программы вы получите отчёт, а все раскодированные файлы будут лежать рядом с закодированными в указанной вами папке (закодированные версии файлов программа не удаляет).

Авторы программы не гарантируют 100% лечение всех файлов, а у меня нет возможности проверить её работу на большом количестве файлов, поэтому просьба: у кого получилось вылечить этой утилитой файлы (или не получилось) — отпишитесь в комментариях.

На этом всё! Будьте здоровы!

P.S. А чтобы ситуация с заражением компьютера не повторилась вновь, приобретите уже нормальный антивирусник . Я использую Kaspersky Internet Security , но судя по всему Dr.Web тоже неплох. Поверьте моему опыту, полторы тыщи рублей в год за спокойствие и уверенность в завтрашнем дне — это смешная цена.

Существуют вирусы, которые попадая на компьютер, по определенному алгоритму зашифровывают текстовые документы, фотографии, видео, архивы, базы данных, то есть все данные и файлы, которые гарантированно являются ценными и важными для его владельца. На это авторы вируса-шифровальщика и делают основной расчет. Какие симптомы заражения, что делать, когда оно случилось и как его избежать, поговорим в этой статье.

Причин заражения в большинстве случаев несколько:

• основная — это действия пользователя компьютера, при получении электронных писем от неизвестных отправителей (спам), но с названием и содержанием, вызывающим у читателя письма доверие к его содержимому. Вложенный «документ» запускается кликом мыши и в итоге получаем запуск вируса своими же руками;
• реже уязвимости операционных систем (эпидемия мая 2017 года), которые закрываются специальными исправлениями, выпускаемыми с обновлением для операционных систем.

После заражения компьютера Вы увидите знакомые файлы с непонятными расширениями (например.xtbl) и пустыми иконками, вместо.doc, .jpg, .avi, mp3 и открыть их уже будет нельзя.
Оповещение о заражении шифровальщиком может быть в виде картинки на экране с сообщением о способе разблокирования или текстового файла README.txt на рабочем столе или в корне диска С, с названием, к примеру — Как расшифровать файлы.txt и т.п.
Если Вы видите похожие симптомы, значит это вирус-шифровальщик.

Что делать, если оказались зашифрованы файлы?

По статистике отзывов, в большинстве случаев, авторы вирусов-шифровальщиков, после оплаты требуемого выкупа за расшифровку данных, не высылают дешифровщик. Поэтому не стоит на это рассчитывать и сразу платить им. Что рекомендуется делать?

1. НЕ меняйте расширения файлов, НЕ форматируйте жесткий диск и НЕ переустанавливайте операционную систему, НЕ пробуйте самостоятельно лечить Windows антивирусами, т.к. велика вероятность, что после этих действий восстановить информацию будет уже невозможно. Поскольку в самой вредоносной программе и зашифрованных файлах могут находиться ключи, которые помогут в дальнейшей расшифровке данных;
2. Рекомендуется сразу обратиться к специалистам, производителям антивирусных продуктов, таких как Dr.Web и Kaspersky Lab.

— Подать запрос на расшифровку в Dr.Web по ссылке .

— Подать запрос в Kaspersky Lab по ссылке .

До получения ответа на запрос и инструкции о дальнейших действиях от специалистов антивирусных компаний, рекомендуется компьютером не пользоваться.

От версии вируса будет зависеть, удастся ли восстановить данные частично или полностью, либо нет.

Как застраховаться от вируса-шифровальщика?

Более эффективным решением будет, принять заранее определенные меры для того, чтобы не попасть в ситуацию, о которой пишется выше. Что рекомендуется для этого делать?

• Установить качественный антивирус и регулярно его обновлять, по отзывам, владельцы антивирусных продуктов Symantec, Dr.Web , Kaspersky Lab при определенных настройках работы программы, которые указаны на официальном сайте компании, не подвергались массовым заражениям вирусами-шифровщиками.
• Регулярно делать резервные копии всех важных данных на отдельные внешние носители информации и\или облачные хранилища данных
• Не открывать письма и сообщения с неизвестных источников и не запускать их содержимое на своих компьютерах;
• Скачивать программы только с официальных сайтов производителей;
• Регулярно обновлять операционную систему.

Заключение

Соблюдая простые, вышеописанные правила работы с компьютером, можно избежать заражения вирусами и потери важных данных, а если даже компьютер и будет заражен, то потери, как финансовые, так и информационные будут сведены к минимуму.