Svinkovod.ru

Бытовая техника
22 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Восстановление данных после вируса шифровальщика

Восстановление данных после вируса шифровальщика

Восстановление данных после вируса-шифровальщика — проблема, с которой сегодня встречается множество пользователей ПК. Шифровальщики за последние годы получили большое развитие, встречается более двух десятков их вариаций, каждый характеризует определенный подход к шифрованию информации на компьютере. Создатели вируса, конечно, предлагают выход из сложившейся ситуации — обычно он заключен в выплате по указанным реквизитам определенной суммы, при этом весьма значительной (от 300$ и выше). Учитывая, что собственные файлы можно расшифровать даже самостоятельно, платить мошенникам за их “услугу” будет не самым лучшим выходом.

Если вы столкнулись с такой ситуацией, не стоит разводить панику — прежде нужно попробовать все существующие методики для восстановления данных после вируса.

восстановление данных после вируса шифровальщика

Восстановление предыдущей версии после вируса шифровальщика

При включенной защите операционной системы, есть возможность восстановления данных даже без использования дополнительного софта. В этом случае помогут теневые копии документов. Троян-шифровальщик, конечно, постарается уничтожить и эти копии, но в большинстве ситуаций у него это не выходит по причине отсутствия административных прав. Рассмотрим последовательность ваших действий.

Шаг 1

Для начала нужно восстановить прошлую версию поврежденного документа:

  1. Кликаем правой кнопкой мыши по файлу или папке, выбираем “Свойства” — “Предыдущие версии”.
  2. Открывается меню сохраненных точек восстановления, из которых нужно будет выбрать нужную.

восстановление данных после вируса шифровальщика с помощью точки восстановления

Шаг 2

Восстанавливаем выбранную теневую копию — ориентируйтесь на дату, нам нужно сделать откат до того дня, когда компьютер ориентировочно был заражен шифровальщиком. Если у вируса слабая защита, то такой метод принесет результат, заняв при этом минимум времени.

Увы, но метод будет абсолютно бесполезным, если не была включена защита системы. Обезопасьте себя на будущее, и подключите ее заранее:

  1. Кликаем правой кнопкой мыши по “Моему компьютеру” — пункт “Свойства” — “Защита системы”.
  2. Выбираем диск, на который установлена ОС. Далее выбираем пункт “Настроить” — “Защита системы”.
  3. Включаем защиту системы компьютера и соглашаемся с восстановлением параметров.

восстановление данных после вируса шифровальщика

Теперь ваша ОС защищена от злонамеренных действий трояна — несмотря на то, что он может проникнуть на компьютер и заразить файлы, вы теперь знаете, как без труда расправиться с ним. В случае, если с этим советом вы опоздали, переходим к пункту “Б” — восстановлению данных после шифровальщика при помощи программного обеспечения.

Восстановление файлов после вируса шифровальщика с помощью утилит

Прежде всего, важный совет — после заражения компьютера шифровальщиком, постарайтесь пользоваться им как можно меньше, что увеличит шансы на успешный возврат всех данных. Для устранения проблемы с шифрованием цифровой информации, эффективны несколько способов, каждый из которых рассмотрим в отдельности:

  1. Восстановление информации при помощи программы ShadowExplorer.
  2. Восстановление файлов при помощи программы PhotoRec.

Но прежде чем восстанавливать файлы, нужно искоренить “источник всех бед” — сам вирус.

Удаление вируса-шифровальщика

Антивирусы без труда определяют и устраняют большинство видов шифровальщиков, вот только оказать помощь в восстановлении уже зашифрованных вирусами данных они не смогут. Более того, они могут даже безвозвратно удалить данные, посчитав их за вирусы. Поэтому для безопасного удаления вируса лучше использовать специальные утилиты.

Рассмотрим процесс удаления шифровальщиков на примере популярных программ. В первую очередь — утилиту антивируса Касперского, Virus Removal Tool. Функционал у нее довольно простой и понятный — потребуется только запустить сканирование компьютера, а по результатам проверки удалить или отправить в карантин найденные вирусные файлы.

восстановление данных после вируса шифровальщика с помощью антивируса

Другой вариант — удалить шифровальщика при помощи утилиты Malwarebytes Anti-malware. На главном экране программы выберите раздел “Проверка”, нажмите “Запустить проверку”.

восстановление данных после вируса шифровальщика при помощи утилиты Malwarebytes

По ее результатам вы увидите количество выявленных угроз — учитываются как зараженные файлы, так и данные реестра. Отмечайте все обнаруженное вредоносное ПО, и кликните по кнопке “Удалить выбранное”. После этого может потребоваться перезагрузить компьютер (а иногда и в процессе сканирования). Перезапустите систему и завершите очистку — теперь ваш компьютер абсолютно чист от вредоносных программ! Можно приступать к восстановлению данных после вируса.

Утилита ShadowExplorer

ShadowExplorer позволяет восстанавливать теневые копии данных, благодаря функционалу утилиты можно оперативно восстановить исходное состояние зашифрованной информации.

Для работы с программой, запустите ее и выберите нужный диск, а также дату создания копий. Выберите нужные файлы, и экспортируйте их (правой кнопкой мыши на документ — “Export”) в выбранную для восстановления папку.

восстановление данных после вируса шифровальщика при помощи утилиты Malwarebytes

Утилита PhotoRec

PhotoRec предназначена для восстановления данных, которые были удалены или утеряны. В целом, в нашем случае она так же актуальна, т.к. восстановит исходники тех файлов, которые были заменены шифровальщиком.

При запуске программы вы увидите раздел доступных для поисковых операций дисков. Выбираем тот, на котором расположены ваши данные, зашифрованные трояном, и кликаем по кнопке “File Formats”.

восстановление данных после вируса шифровальщика при помощи утилиты PhotoRec

Приложение может восстанавливать файлы любых типов, но если вы не хотите тратить много времени на поиск нужных данных, выберите в появившемся окошке только нужные вам форматы. После того, как сделаете это, нажмите на “ОК”.

Далее жмем на “Browse” и определяем каталог, где программа сохранит все восстановленные данные. Лучше всего, если это будет другой диск (также пригодятся внешний HDD или флешка). Чтобы запустить поиск утерянной информации, нажмите на “Search”. Процесс может занимать много времени, в зависимости от объема жесткого диска и мощность компьютера в целом.

Когда процесс завершится, нажмите на “Quit” и откройте папку, в которой программой были сохранены данные. В папке вы встретите каталоги с именами recup_dir.1, recup_dir.2,и т.д (чем больше удаленных файлов будет обнаружено утилитой, тем больше будет доступно каталогов). Проверьте каждый из них, чтобы ускорить этот процесс воспользуйтесь поиском Windows или параметрами сортировки. В качестве параметров вы можете установить дату изменения, т.к. PhotoRec при восстановление ориентируется на это свойство.

Читайте так же:
К чему привязан вайбер

Что не рекомендуется делать при заражении вирусом

восстановление данных после заражения вирусом шифровальщиком

Итак, мы рассмотрели все основные (а главное — эффективные) методы для восстановления данных после атаки трояна-шифровальщика. Но не факт, что они сработают, если были совершены действия, которые могут повлечь за собой перманентную потерю данных. Поэтому перед тем, как приступать к решительным действиям по борьбе с вирусом, стоит принять во внимание несколько важных моментов:

  1. Не переустанавливайте операционную систему. Хоть этот метод и позволит избавиться от трояна-шифровальщика, но платой за это будет потеря всех зашифрованных файлов.
  2. Не запускайте программы, которые очищают реестр и удаляют временные данные.
  3. Не запускайте сканирование антивирусом — как уже было отмечено ранее, такой подход может безвозвратно удалить важную информацию. Если же процесс уже был запущен, то проверьте, были ли файлы помещены в карантин — в таком случае, их можно будет восстановить и провести работы по их расшифровке.
  4. Никак не взаимодействуйте с зараженными вирусом-шифровальщиком файлами (сюда относится переименование документов, изменение расширения и пр.), т.к. это только уменьшает шансы на возможность успешного восстановления.

Также хотим дать несколько советов, что будет полезно сделать для остановки процесса заражения компьютера вирусом-шифровальщиком:

  • Остановить процесс шифрования документов в “Диспетчере задач”. Конечно, это при условии, что вы знаете, какой процесс запущен непосредственно вирусом.
  • Отключить компьютер от интернета. Учитывая, что заражение обычно происходит через подключение к сети онлайн, то при ее отключении вполне вероятно, что заражение приостановится. Это подходящий момент, чтобы заняться устранением вирусом и восстановлением информации.

Услуги лаборатории Storelab

Теперь вы имеет знания о том, как избавиться от вируса-шифровальщика самостоятельно и восстановить всю утерянную информацию. Если же перечисленные методы не помогли или вы боитесь сами приступать к ликвидации проблемы, опасаясь последствий при неверном подходе, приходите в лабораторию Storelab. Наши специалисты помогут с восстановлением без каких-либо потерь!

Восстановление жесткого диска в самой мощной лаборатории Москвы

Замена магнитных пластин

Чистая комната (ISO 14644-1)

Замена механики в чистой комнате

Восстановление в день обращения

Замена блока магнитных головок

Комплексы PC-3000 Express

Все запчасти в наличии

Лучшие специалисты по восстановлению данных в Москве

Повышение квалификации инженеров

Каждый год выходят новые модели жёстких дисков. И только постоянное обучение и повышение квалификации инженеров, позволяет нам выполнять самые сложные заказы по восстановлению данных. Которые другие компании считают невозможными. Многие только на словах заявляют о своем профессионализме. Мы можем подтвердить это многочисленными дипломами и сертификатами.

Storelab занимается постоянным развитием команды с 2009 года. Все наши специалисты регулярно проходят обучение в компании АCELab, которая является лидером в области производства программно-аппаратных комплексов PC-3000 для восстановления данных.

Нам доверяют восстановление данных

отзыв Альфа-Банк

«Альфа-Банк» выражает признательность и благодарность сотрудникам лаборатории Сторлаб за отличные результаты, достигнутые в процессе сотрудничества. Все работы были выполнены в строго оговоренные сроки с надлежащим качеством.

«Детский мир» выражает благодарность центру восстановления информации STORELAB и в частности сотрудникам Вашей компании за профессионализм в работе и оперативность в исполнении заказываемых работ.

отзыв Детский Мир

отзыв Ренессанс Кредит

Уважаемый Николай Алексеевич! Настоящим, Банк «Ренессанс Кредит» выражает компании «Сторлаб» благодарность за качественную и оперативную работу по восстановлению данных с жестких дисков.

«Комус» выражает благодарность за выполненные в полном объеме, в установленные сроки с надлежащим качеством работы по восстановлению данных. Надеемся на дальнейшее плодотворное сотрудничество.

отзыв Комус

Филиал ОАО «РЖД» Трансэнерго Московская дирекция по энергообеспечению выражает благодарность коллективу компании ООО «СторЛаб» за оперативное и качественное выполнение работы по восстановлению данных с RAID массива.

отзыв РЖД

Страховая компания «Согласие» выражает благодарность всему коллективу компании «Сторлаб» за оперативное и качественное выполнение работы по восстановлению данных с жесткого диска.

отзыв Согласие

Почему для восстановления данных выбирают нас

Storelab — это крупнейшая лаборатория в Москве. Вас обслуживают инженеры, которые знают и любят свою работу. Работаем без предоплат. В любое время с радостью ответим на все ваши вопросы. Звоните круглосуточно: +7 (495) 215-00-24.

Как проводится диагностика

Диагностика бесплатная, занимает примерно 10 — 15 минут. Далее специалист расскажет вам неисправность, стоимость и сроки работ по восстановлению данных. Если у вас нет возможности приехать к нам — Закажите бесплатную доставку.

Как к нам проехать

Работаем ежедневно, находимся в минуте ходьбы от метро Китай-город
по адресу Лубянский проезд 15/2, подъезд 4, офис 213 [ Схема проезда ]
Время работы: по будням с 9:00 до 21:00 в выходные с 9:00 до 19:00. Если вы на машине у нас есть бесплатная парковка.

Удаление вируса шифровальщика, расшифровка и восстановление файлов.

ПК Мастер - Удаление вируса шифровальщика, дешифрация, расшифровка данных от ПК Мастер

Вирусы-шифровальщики, известные также как криптографические вирусы — отдельный тип софта, выполняющий кодирование всех файлов носителя. В чем суть шифрования? С помощью данной операции все документы преобразуются в последовательность нулей и единиц, другими словами являются бессмысленным набор данных и не открываются ни одной программой.

Что необходимо делать, при обнаружении шифровальщика на компьютере?

Конечно первым делом необходимо выдернуть шнур, выдавить стекло выключить компьютер. Пока компьютер включен — файлы будут продолжать шифроваться, а что еще хуже — вирус может поразить и другие компьютеры в сети! Поэтому обесточив зараженный компьютер, вы прекратите процесс шифрования, а также предотвратите распространение вируса.

Далее необходимо оценить масштаб бедствия, удалить вирус, собрать всю имеющуюся информацию по ситуации, чтобы понять, как действовать дальше. Неправильные действия на данном этапе могут существенно усложнить процесс расшифровки или восстановления файлов. В худшем случае могут сделать его невозможным. Так что не торопитесь, будьте аккуратны и последовательны.

Читайте так же:
Воспользуйтесь мобильным приложением steam для двухфакторной аутентификации

Немедленно передавайте зараженный компьютер в наш сервисный центр! Специалисты нашего сервиса не по наслышке знают о шифровальщиках-вымогателях, например paybackformistake@qq.com, и действуют согласно инструкции, что в разы сэкономит Вам время в решении этой неприятной ситуации.

В интернете появился вирус [DHARMA], меняющий расширение файлов на .HARMA. Подцепить этот вирус можно скачивая отдельные бесплатные программы, либо открывая вредоносный спам. После зашифровки данных появится информация о том, что нужно заплатить биткоины, чтобы получить код расшифровки. Не стоит этого делать! Отключите компьютер и незамедлительно обращайтесь в наш сервисный центр.

Что мы делаем с вашим компьютером в сервисном центре? Немедленно беремся за устранение вируса с компьютера: загружаем параллельную вашей операционную систему, с помощью нее запускаем самые мощные средства проверки и удаления вирусов, а также вручную проводим поиск по автозагрузке, реестру и планировщику задач. Это позволит с вероятностью близкой к 100% найти и обезвредить вирус-вымогатель, а также предотвратить её последующий запуск и распространение.

На этом этапе очень важно сделать несколько действий:

Во-первых: сохранить и изолировать тело вируса. Это требуется для того, чтобы понять с кем мы имеем дело, и подобрать алгоритм дешифрации. А также для дальнейшего его изучения и передачи в антивирусные компании.
Во-вторых: сохранить требование о выкупе (всё по тем же причинам)
В-третьих: сохранить несколько зашифрованных файлов. Они в дальнейшем понадобятся для тестирования вариантов дешифрации.

Часто встречаемые вирусы:

    Шифровальщик, шифрует абсолютно все файлы и добавляет к ним расширение .harma. Вирус, как правило проникает через RDP, в качестве инструмента шифрования использует легальное ПО, что создает определенные трудности для его расшифровки. Но не стоит сразу паниковать, обратитесь к нам. Специалисты нашего сервисного центра помогут расшифровать зашифрованные файлы вирусом .harma.
    Самые распространенные варианты шифровальщика Harma: super_harma@gmx.de, BTC_dharma@gmx.de, dogbtc737@gmx.de и restore_data@gmx.de
    Это разновидность программы-вымогателя Crysis, все его варианты не могут быть расшифрованы с помощью бесплатных инструментов доступных в сети. Отправьте нам пример файла, мы бесплатно проведем анализ. Как правило шифровальщик добавляет в имя файла уникальный id-код, а также почту restore1_helper@gmx.de или какую-либо другую. Также известны случаи добавления расширения .Banta
    Шифровальщик, проникает через слабо защищенное RDP соединение и шифрует всё, до чего дотянется, добавляя айди, а также почту paybackformistake@qq.com или honestandhope@qq.com. В открытом доступе дешифраторов для такого случая нет, но мы всегда готовы разработать уникальный под ваш случай!
    Вирус-вымогатель, который шифрует файлы на компьютерах жертв и просит их заплатить выкуп. Эта угроза представляет собой вредоносную программу, созданную хакерами для шантажа невинных пользователей и получения незаконной прибыли. Этот вирус добавляет уникальный айди в имя файла, а также почту black_privat@tuta.io или drac1on@tutanota.com. Поможем с расшифровокой и в этом случае!
    аналогичные названия: Troldesh и Encoder.858 Авторы данного вируса разработали вредоносную программу Trojan-Ransom.Win32.Shade, которая шифрует пользовательские файлы, чтобы сделать невозможной работу с ними.
    С нашей помощью Вы можете расшифровать файлы с расширениями: xtbl; breaking_bad; ytbl; heisenberg; better_call_saul; los_pollos; da_vinci_code; magic_software_syndicate; windows10; windows8; no_more_ransom; tyson; crypted000007; crypted000078; dexter; miami_california; rsa3072; decrypt_it и многими другими

    И многие другие

РАСШИФРОВКА ФАЙЛОВ

Впрочем, если вы самостоятельно сможете провести этапы по удалению и изолированию вируса, то мы сможем помочь в расшифровке зашифрованных файлов. Для этого передайте нам (по почте или через облачное хранилище или через любой мессенджер (viber, telegram) набор из следующего списка:

  • сам вирус,
  • файлы (или фото) с требованием выкупа,
  • несколько зашифрованных файлов распространенных типов: например картинки (jpg, png, gif) или word (doc, docx),
  • зашифрованный файл и его оригинал (возможно вы накануне отправляли его через мессенджер или по почте коллеге.

Получив от Вас запрос, мы сразу же приступаем к поиску возможности возврата (дешифровки) ваших файлов

ПК Мастер - Удаление вируса шифровальщика, дешифрация, расшифровка данных от ПК МастерИ вот как мы это делаем:
Этап 0: вы находите вчерашний бэкап и забываете о шифровальщике, как страшный сон.
Этап 1: если бэкапов нет, мы продолжаем. Для начала попробуем просто сменить расширение файла. 99,99% что это не поможет, но попробовать обязательно стоит. Убедившись, что чудес не бывает мы переходим ко второму этапу.
Этап 2: На нем мы пробуем восстановление файлов с помощью программ специализирующихся на восстановлении удаленных данных (recuva, r-studio, 7 Data Recovery и пр.) Это помогает, но не часто. Поэтому переходим к третьему этапу.
Этап 3: здесь мы отправляем зашифрованные файлы, и сам вирус антивирусным компаниям (ESET NOD32, Kaspersky, Dr.Web). У них самые продвинутые лаборатории и огромный опыт по решению задач такого рода. У нас есть лицензия каждого антивирусного средства и мы сделаем это за вас.
Этап 4: пока антивирусные компании занимаются нашими файлами — мы не ждем, а самостоятельно пробуем все доступные инструменты по расшифровке уже известных шифровальщиков
Этап 5: приступаем к анализу файлов, структуры которых хорошо известны. В нашем случае мы используем документы или изображения, так как структура их весьма предсказуема. Также на этом этапе нам может помочь сравнение оригинального файла и его зашифрованной копии (часто шифруется не весь файл целиком, а изменяется пара байт вначале или конце файла)
Этап 6: далее мы беремся за сам вирус. Дизассемблируем его файл и устанавливаем алгоритм его работы посредством анализа в отладчике. Это раскроет свет о его природе и поможет подобрать алгоритм дешифровки.
Этап 7: если ничего не помогло, тогда мы изготавливаем программу дешифровки самостоятельно, на основе знаний собранных за долгие годы анализа работы шифровальщиков и алгоритмов их работы. И успешно расшифровываем Ваши данные

Обращайтесь за услугой в наш сервисный центр, у нас бесплатная диагностика, на основании которой оцениваются трудозатраты и формируется стоимость услуги. Учитывая различную сложность задачи стоимость может варьироваться в очень широком диапазоне.

Без должного опыта и знаний самостоятельно справится с шифровальщиками невозможно. Главное, что следует учесть – платить деньги вымогателям нельзя. Обычно после оплаты вымогатели просят дополнительную сумму, либо перестают выходить на связь. Обратитесь в нашу компанию. Мы знаем, как расшифровать зашифрованные вирусом файлы и помочь восстановить документы. Чтобы минимизировать потери от вируса-шифровальщика – регулярно делайте резервные копии своей системы.

Думаете, как расшифровать файлы после вируса? Срочно свяжитесь с нами!
Мы даём гарантию возврата денег, если расшифровка не удалась или невозможна!

Для анализа возможности расшифровки:
пришлите пару зашифрованных файлов нам на почту it@pkMaster.by
либо в вайбер (телеграм, whatsapp) на номер: +375 (29) 233-00-33
Номер Viber ПК МастерНомер whatsapp ПК МастерНомер telegram ПК Мастер

Наши преимущества:

  • Быстро — как правило, расшифровка занимает от 1 до 7 дней. Также мы можем работать удалённо.
  • Надёжно — весь процесс закреплен договором с предоставлением гарантии.
  • Доступно — самые доступные цены на возвращение всех ваших файлов к исходному состоянию
  • Официально — полный пакет документов. Наличный и безналичный рассчет. Выдаем чек.

Также мы предлагаем провести аудит и настройку системы безопасности в Вашей айти инфраструктуре, чтобы минимизировать риски проникновения и распространения вирусов-вымогателей!

Как восстановить файлы после шифровальщика

Заражение компьютера происходит через уязвимости сетевых сервисов, рассылку электронных писем, скачивание зараженного ПО. Особенностью вирусов-шифровальщиков является изменение структуры файлов с помощью криптологических алгоритмов. Преобразованные файлы не открываются и не работают.

Вирус уведомляет пользователя о порче данных и требует оплаты за их дешифровку. При этом гарантий восстановления данных пользователь не получает. Как правило, после внесения суммы выкупа, владелец данных остается без потраченных средств и дешифрованных файлов.

Обнаружили зашифрованные файлы? Что не нужно делать

Самым эффективным способом не допустить порчи данных вредоносным ПО является профилактика вирусов. Она включает в себя использование фирменного лицензионного программного обеспечения, применение антивирусных систем, соответствующие настройки программной части оборудования, использование резервного копирования.

Однако не всегда перечисленные меры способны гарантировать абсолютную безопасность.

Если вы заметили, что у вас не открываются документы, фотографии, видео и при этом появляется сообщение о заражении компьютера с требованием выкупа, ни в коем случае:

  • Не вносите оплату на требуемые злоумышленником реквизиты!
  • Не меняйте расширения файлов
  • Не удаляйте вирус
  • Не проводите дешифровку с помощью скачанного ПО
  • Следуя этим рекомендациям, вы увеличиваете шанс восстановить файлы после воздействия вируса-шифровальщика

Куда нужно обратиться?

Для того, чтобы вернуть зашифрованные данные и в дальнейшем избежать подобной ситуации, необходимо обратиться в сервисную компанию IT-Relax.

Выключите компьютер и наберите номер 4 111 962

Системные инженеры проконсультируют вас и подскажут что необходимо делать дальше. Как правило, это:

  • Вы привозите зараженный компьютер или поврежденный носитель в нашу лабораторию.
  • В течение 2-3 дней мы проводим диагностику оборудования. По результатам даем заключение о возможности восстановления данных.
  • Уточняем сроки проведения работ и согласовываем стоимость.
  • Вы получаете на руки восстановленные файлы и производите оплату.

Гарантии и рекомендации

К сожалению, гарантировать стопроцентное восстановление файлов после шифровальщика не могут ни антивирусные службы, ни сами создатели вирусов.

Мы восстанавливаем информацию в каждых 6 случаях из 10. В этом нам помогают:

  • 10-летний опыт наших экспертов в области восстановления данных
  • Специализированное ПО
  • Собственные лаборатория и оборудование

Компания IT-Relax рекомендует выполнить профилактические антивирусные настройки силами своих инженеров и гарантирует их надежность*. Поэтому в течение 1 года, в случае повторного инфицирования — лечение и восстановление данных бесплатно.

* Условия гарантии:

  • Лицензионная ОС
  • Лицензионный антивирус
  • Лицензионная система контентной фильтрации (может быть опцией антивируса)
  • Пользователь своевременно проводил обновления указанных программ
  • Работы, проведенные инженерами IT-Relax: установка и настройка ОС, антивирусной программы, системы контентной фильтрации, а также настройка резервного копирования данных с сохранением копий на площадке IT-Relax

Стоимость услуг

Услуги восстановления и расшифровки данныхСтоимость
Диагностикабесплатно
Восстановление данных после воздействия вируса-шифровальщика (точная стоимость работ определяется после диагностики и согласуется с клиентом)от 3000 руб.
Лечение вируса без восстановления данных600 руб.
Лечение вируса при заказе услуги восстановлением данных0 руб.
Настройка резервного копирования1200 руб.
Аренда места в облакеот 250Гб за 250руб./мес.
Внешний аудит системы безопасности на уязвимость к атакам троянов-шифровальщиковпо согласованию
Настройка антивирусной программы от шифровальщиков300 руб.
Настройка прочих опций антивирусной программы: фильтрация, уровни защиты и тп600 руб.
Установка и настройка системы контентной фильтрации600 руб. + стоимость лицензии
Диагностика и настройка системы на эффективность1200 руб.
Переустановка и настройка системы с сохранением данных2700 руб. + опционально настройка системы контентной фильтрации, без учета стоимости лицензии 600 руб.

© 2007-2021 Все права защищены.
IT-Relax: обслуживание компьютеров, ноутбуков, серверов, сетевого оборудования.

Нижний Новгород , ул. Полтавская, д. 32, офис 112

Отдел по работе с клиентами: +7 (831) 4-111-962
Техническая поддержка: +7 (831) 4-111-300
Общий: +7 (831) 272-50-40

Группы в соц.сетях
Страница в контакте Страница в Фейсбук Страница в одноклассниках

Ваши файлы были зашифрованы — что делать?

Вирус шифрующий файлы

Одна из самых проблемных вредоносных программ сегодня — это троян или вирус, шифрующий файлы на диске пользователя. Некоторые из этих файлов расшифровать возможно, а некоторые — пока нет. В руководстве приведены возможные алгоритмы действий в обоих ситуациях, способы определить конкретный тип шифрования на сервисах No More Ransom и ID Ransomware, а также краткий обзор программ для защиты от вирусов-шифровальщиков (ransomware).

Есть несколько модификаций таких вирусов или троянцев-вымогателей (и постоянно появляются новые), но общая суть работы сводится к тому, что после установки на компьютер ваши файлы документов, изображений и другие, потенциально являющиеся важными, шифруются с изменением расширения и удалением оригинальных файлов, после чего вы получаете сообщение в файле readme.txt о том, что все ваши файлы были зашифрованы, а для их расшифровки вам требуется отправить определенную сумму злоумышленнику. Примечание: в Windows 10 Fall Creators Update появилась встроенная защита от вирусов-шифровальщиков.

Что делать, если все важные данные зашифрованы

Для начала, некоторая общая информация для столкнувшихся с шифрованием важных файлов на своем компьютере. Если важные данные на вашем компьютере были зашифрованы, то прежде всего не стоит паниковать.

Если у вас есть такая возможность, с диска компьютера на котором появился вирус-шифровальщик (ransomware) скопируйте куда-то на внешний накопитель (флешку) пример файла с текстовым запросом злоумышленника по расшифровке, плюс какой-либо экземпляр зашифрованного файла, а потом, по возможности, выключите компьютер, чтобы вирус не мог продолжить шифрование данных, а остальные действия производите на другом компьютере.

Следующий этап — с помощью имеющихся зашифрованных файлов выяснить, какой именно тип вируса зашифровал ваши данные: для некоторых из них есть дешифраторы (некоторые я укажу здесь, некоторые указаны ближе к концу статьи), для некоторых — пока нет. Но даже в этом случае вы можете отправить примеры зашифрованных файлов в антивирусные лаборатории (Касперский, Dr. Web) для изучения.

Как именно выяснить? Сделать это можно с помощью Google, найдя обсуждения или тип шифровальщика по расширению файла. Также начали появляться сервисы для определения типа ransomware.

No More Ransom

No More Ransom — активно развивающийся ресурс, поддерживаемый разработчиками средств безопасности и доступный в версии на русском языке, направленный на борьбу с вирусами шифровальщиками (троянцами-вымогателями).

Главная страница No More Ransom

При удаче, No More Ransom может помочь расшифровать ваши документы, базы данных, фотографии и другую информацию, скачать необходимые программы для расшифровки, а также получить информацию, которая поможет избежать таких угроз в будущем.

На No More Ransom можно попробовать расшифровать ваши файлы и определить тип вируса-шифровальщика следующим образом:

Определение вируса и дешифровка на No More Ransom

  1. Нажмите «Да» на главной странице сервиса https://www.nomoreransom.org/ru/index.html
  2. Откроется страница «Крипто-шериф», где можно загрузить примеры зашифрованных файлов размером не более 1 Мб (рекомендую загружать не содержащие конфиденциальных данных), а также указать адреса электронной почты или сайтов, на которые мошенники требуют выкуп (или загрузить файл readme.txt с требованием).
  3. Нажмите кнопку «Проверить» и дождитесь завершения проверки и ее результата.

Дополнительно, на сайте доступны полезные разделы:

Скачать утилиты для расшифровки файлов

  • Декрипторы — почти все существующие на текущий момент времени утилиты для расшифровки зашифрованных вирусами файлов.
  • Профилактика заражения — информация, направленная в первую очередь на начинающих пользователей, которая может помочь избежать заражения в дальнейшем.
  • Вопросы и ответы — информация для тех, кто хочет лучше разобраться в работе вирусов шифровальщиков и действиях в случаях, когда вы столкнулись с тем, что файлы на компьютере были зашифрованы.

На сегодня, No More Ransom — наверное, самый актуальный и полезный ресурс, связанный с расшифровкой файлов для русскоязычного пользователя, рекомендую.

ID Ransomware

Еще один такой сервис — https://id-ransomware.malwarehunterteam.com/ (правда, я не знаю, насколько хорошо он работает для русскоязычных вариантов вируса, но попробовать стоит, скормив сервису пример зашифрованного файла и текстовый файл с требованием выкупа).

Определение шифровальщика в ID ransomware

После определения типа шифровальщика, если вам это удалось, попробуйте найти утилиту для расшифровки этого варианта по запросам наподобие: Тип_шифровальщика Decryptor. Такие утилиты бесплатны и выпускаются разработчиками антивирусов, например, сразу несколько таких утилит можно найти на сайте Касперского https://support.kaspersky.ru/viruses/utility (другие утилиты есть ближе к концу статьи). И, как уже было сказано, не стесняйтесь обратиться к разработчикам антивирусов на их форумах или в службу поддержки по почте.

К сожалению, все это не всегда помогает и не всегда есть работающие расшифровщики файлов. В этом случае сценарии бывают разными: многие платят злоумышленникам, поощраяя их продолжать эту деятельность. Некоторым пользователям помогают программы для восстановления данных на компьютере (так как вирус, делая зашифрованный файл, удаляет обычный важный файл, который теоретически можно восстановить).

Файлы на компьютере зашифрованы в xtbl

Один из последних вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.

Зашифрованные файлы с расширением .xtbl

Заодно на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием: «Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес deshifrator01@gmail.com, decoder101@gmail.com или deshifrovka@india.com. Далее вы получите все необходимые инструкции. Попытки расшифровать файлы самостоятельно приведут к безвозвратной потере информации» (адрес почты и текст могут отличаться).

К сожалению, способа расшифровать .xtbl на данный момент нет (как только он появится, инструкция будет обновлена). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5000 рублей или другую требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.

Сообщение вируса шифратора xtbl

Что делать, если файлы были зашифрованы в .xtbl? Мои рекомендации выглядят следующим образом (но они отличаются от тех, что есть на многих других тематических сайтах, где, например, рекомендуют немедленно выключить компьютер из электросети или не удалять вирус. На мой взгляд — это лишнее, а при некотором стечении обстоятельств может быть даже вредным, однако решать вам.):

  1. Если умеете, прервать процесс шифрования, сняв соответствующие задачи в дисптечере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
  2. Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
  3. С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
  4. Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
  5. Можно так же отправить пример зашифрованного файла и требуемый код на newvirus@kaspersky.com, если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.

Чего делать не следует:

  • Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.

Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением .xtbl на данный момент времени.

Файлы зашифрованы better_call_saul

Из последних вирусов шифровальщиков — Better Call Saul (Trojan-Ransom.Win32.Shade), устанавливающий расширение .better_call_saul для шифруемых файлов. Как расшифровать такие файлы — пока непонятно. Те пользователи, которые связывались с лабораторией Касперского и Dr.Web получили информацию о том, что пока этого сделать нельзя (но все равно попробуйте отправить — больше образцов зашифрованных файлов у разработчиков = больше вероятность нахождения способа).

Если окажется, что вы нашли способ расшифровки (т.е. он был где-то выложен, а я не уследил), прошу поделиться в комментариях информацией.

Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni

Ваши файлы были зашифрованы

Следующий троян, шифрующий файлы и устанавливающий им расширения из этого списка:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (не обязательно этот троян, есть и другие, устанавливающие это же расширение).
  • .codercsu@gmail_com
  • .enc
  • .oshit
  • И другие.

Для расшифровки файлов после работы указанных вирусов, на сайте Касперского есть бесплатная утилита RakhniDecryptor, доступная на официальной странице http://support.kaspersky.ru/viruses/disinfection/10556.

Утилита для расшифровки от Kaspersky

Там же присутствует и подробная инструкция по применению данной утилиты, показывающая, как восстановить зашифрованные файлы, из которой я бы, на всякий случай убрал пункт «Удалять зашифрованные файлы после успешной расшифровки» (хотя, думаю и с установленной опцией все будет в порядке).

Если у вас есть лицензия антивируса Dr.Web вы можете воспользоваться бесплатной расшифровкой от этой компании на странице http://support.drweb.com/new/free_unlocker/

Еще варианты вируса-шифровальщика

Реже, но также встречаются следующие трояны, шифрующие файлы и требующие деньги за расшифровку. По приведенным ссылкам есть не только утилиты для возврата ваших файлов, но и описание признаков, которые помогут определить, что у вас именно этот вирус. Хотя вообще, оптимальный путь: с помощью антивируса Касперского просканировать систему, узнать имя трояна по классификации этой компании, а потом искать утилиту по этому имени.

  • Trojan-Ransom.Win32.Rector — бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницу http://support.drweb.com/new/free_unlocker/
  • CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт http://decryptcryptolocker.com — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.
  • На сайте https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads доступе Ransomware Removal Kit — большой архив с информацией по разным типам шифровальщиков и утилитами для расшифровки (на английском)

Ну и из последних новостей — Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается.

Защита от вирусов шифровальщиков или ransomware

  • Malwarebytes Anti-Ransomware Malwarebytes Anti-ransomware
  • BitDefender Anti-Ransomware BitDefender Anti-Ransomware
  • WinAntiRansom

Но: эти программы не предназначены для расшифровки, а только лишь для предотвращения шифрования важных файлов на компьютере. Да и вообще, мне кажется, эти функции должны быть реализованы в антивирусных продуктах, иначе получается странная ситуация: пользователю необходимо держать на компьютере антивирус, средство борьбы с AdWare и Malware, а теперь еще и утилиту Anti-ransomware, плюс на всякий случай Anti-exploit.

Кстати, если вдруг окажется, что вам есть что добавить (потому как я могу не успевать мониторить то, что происходит со способами дешифровки), сообщайте в комментариях, эта информация будет полезна другим пользователям, столкнувшимся с проблемой.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector