Случалось ли так, что вам на Email, в Skype или ICQ приходило сообщение от неизвестного отправителя со ссылкой на фото вашего друга или поздравление с наступающим праздником? Вроде бы не ожидаешь никакой подставы, и вдруг при переходе по ссылке на компьютер загружается серьезный вредоносный софт. Вы не успеваете опомниться, как уже вирус зашифровал все файлы. Что делать в такой ситуации? Есть ли возможность восстановления документов?
Для того чтобы понять, как бороться с вредоносной программой, нужно знать, что она представляет собой и каким образом проникает в операционную систему. К тому же абсолютно не важно, какой версией Windows вы пользуетесь - Critroni-вирус направлен на инфицирование любой операционной системы.
Шифровальный компьютерный вирус: определение и алгоритм действия
На просторах Интернета появился новый компьютерный вирусный софт, известный многим под названием CTB (Curve Tor Bitcoin) или Critroni. Это усовершенствованный троян-вымогатель, схожий по принципу алгоритма с ранее известным вредоносным софтом CriptoLocker. Если вирус зашифровал все файлы, что делать в таком случае? Прежде всего нужно понять алгоритм его работы. Суть действия вируса в том, чтобы зашифровать все ваши файлы в расширения.ctbl, .ctb2, .vault, .xtbl или другие. При этом вы не сможете открыть их до тех пор, пока не заплатите запрошенную сумму денег.
Часто встречаются вирусы Trojan-Ransom.Win32.Shade и Trojan-Ransom.Win32.Onion. Они очень похожи на СТВ своим локальным действием. Их можно различить по расширению зашифрованных файлов. Trojan-Ransom кодирует информацию в формате.xtbl. При открытии любого файла, на экран выводится сообщение о том, что ваши персональные документы, базы данных, фотографии и другие файлы были зашифрованы вредоносной программой. Чтобы расшифровать их, необходимо платно получить уникальный ключ, который хранится на секретном сервере, и только в этом случае вы сможете сделать дешифрование и криптографические действия со своими документами. Но не стоит переживать и тем более отправлять на указанный номер деньги, есть другой способ борьбы с таким видом киберпреступности. Если на ваш компьютер попал именно такой вирус, зашифровал все файлы.xtbl, что делать в такой ситуации?
Чего не стоит делать при проникновении шифровального вируса на компьютер
Случается, что в панике мы устанавливаем антивирусную программу и с ее помощью в автоматическом или ручном режиме удаляем вирусный софт, теряя вместе с ним и важные документы. Это неприятно, помимо того, на компьютере могут храниться данные, над которыми вы работали месяцами. Обидно терять такие документы без возможности их восстановления.
Если вирус зашифровал все файлы.xtbl, некоторые пытаются сменить их расширение, но это тоже не приводит к положительным результатам. Переустановка и форматирование жесткого диска безвозвратно удалит зловредную программу, но вместе с этим вы потеряете и всякую возможность восстановления документов. В данной ситуации не помогут и специально созданные программы-дешифраторы, ведь софт-вымогатель запрограммирован по нестандартному алгоритму и требует особого подхода.
Чем опасен вирус-вымогатель для персонального компьютера
Совершенно понятно, что ни одна вредоносная программа не принесет пользу вашему персональному компьютеру. Для чего создается такой софт? Как ни странно, такие программы были созданы не только в целях выманивания у пользователей как можно большего количества денег. На самом деле вирусный маркетинг достаточно выгоден многим антивирусным изобретателям. Ведь если вирус зашифровал все файлы на компе, куда вы обратитесь в первую очередь? Естественно, за помощью профессионалов. Чем же шифровальные для вашего ноутбука или персонального компьютера?
Алгоритм их работы нестандартный, поэтому обычным антивирусным обеспечением будет невозможно вылечить зараженные файлы. Удаление вредоносных объектов приведет к потере данных. Только перемещение в карантин даст возможность обезопасить другие файлы, которые зловредный вирус еще не успел зашифровать.
Срок действия шифровального вредоносного обеспечения
Если ваш компьютер заразился Critroni (вредоносной программой) и вирус зашифровал все файлы, что делать? .vault-, .xtbl-, .rar-форматы самостоятельно не расшифруешь, вручную поменяв расширение на.doc, .mp3, .txt и другие. В случае если в течение 96 часов вы не оплатите нужную сумму киберпреступникам, с вами будут вести запугивающую переписку по почте о том, что все ваши файлы безвозвратно удалятся. В большинстве случаев на людей действуют такие угрозы, и они неохотно, но послушно выполняют указанные действия, боясь потерять драгоценную информацию. Жаль, пользователи не понимают того факта, что киберпреступники не всегда верны своему слову. Получив деньги, они зачастую уже не беспокоятся о дешифровке ваших заблокированных файлов.
По истечении таймера она автоматически закрывается. Но у вас еще есть шанс восстановления важных документов. На экране появится сообщение о том, что время истекло, и более детальную информацию о файлах вы сможете просмотреть в папке документов в специально созданном блокнот-файле DecryptAllFiles.txt.
Способы проникновения шифровальных вредоносных программ в операционную систему
Обычно вирусы-шифровальщики проникают в компьютер через зараженные сообщения, поступающие на электронную почту либо через фейковые загрузки. Это могут быть поддельные флеш-обновления или мошеннические видеопроигрыватели. Как только программа загружается на компьютер любым из этих способов, она сразу же шифрует данные без возможности их восстановления. Если вирус зашифровал все файлы.cbf, .ctbl, .ctb2 в другие форматы и у вас нет резервной копии документа, хранящегося на съемном носителе, считайте, что вам больше не удастся их восстановить. На данный момент антивирусные лаборатории не знают, как взломать такие шифровальные вирусы. Без необходимого ключа существует возможность только блокировать зараженные файлы, перемещать их в карантин или удалять.
Как избежать заражения компьютера вирусом
Зловещий все файлы.xtbl. Что делать? Вы уже перечитали массу ненужной информации, которую пишут на большинстве веб-сайтов, и ответ не находите. Так случается, что в самый неподходящий момент, когда срочно нужно сдавать отчет на работе, дипломную в университете или защищать свою профессорскую степень, компьютер начинает жить своей жизнью: ломается, заражается вирусами, зависает. Вы должны быть готовы к таким ситуациям и держать информацию на сервере и съемном носителе. Это позволит в любой момент переустановить операционную систему и через 20 минут работать за компьютером, как ни в чем не бывало. Но, к сожалению, мы не всегда такие предприимчивые.
Чтобы избежать заражения компьютера вирусом, прежде всего необходимо установить хорошую антивирусную программу. У вас должен быть правильно настроен брандмауэр Windows, который защищает от попадания различных вредоносных объектов через Сеть. И наиболее важное: не качайте софт с непроверенных сайтов, торрент-трекеров. Чтобы избежать заражения компьютера вирусными программами, следите за тем, на какие ссылки вы переходите. Если вам на электронную почту пришло письмо от непонятного адресата с просьбой или предложением посмотреть, что за ссылкой спрятано, лучше всего переместить сообщение в спам или удалить вообще.
Чтобы в один прекрасный момент не вышло так, что вирус зашифровал все файлы.xtbl, лаборатории антивирусного программного обеспечения советуют бесплатный способ защиты от заражения шифровальными вирусами: раз в неделю осуществлять и осмотр их состояния.
Вирус зашифровал все файлы на компьютере: способы лечения
Если вы стали жертвой киберпреступности и данные на вашем компьютере были заражены одним из шифровальных видов вредоносных программ, тогда самое время попытаться восстановить файлы.
Существует несколько способов бесплатного лечения зараженных документов:
- Наиболее распространенный метод и, наверное, самый действенный в нынешний момент - резервное копирование документов и последующее восстановление в случае непредвиденного заражения.
- Программное Алгоритм CTB-вируса работает интересным образом. Попадая в компьютер, он копирует файлы, шифрует их, а оригиналы документов удаляет, тем самым исключая возможность их восстановления. Но с помощью программного софта Photorec или R-Studio вы можете успеть сохранить некоторые нетронутые оригинальные файлы. Следует знать, что чем дольше вы пользуетесь компьютером после его заражения, тем меньше вероятность восстановления всех необходимых документов.
- Если вирус зашифровал все файлы.vault, есть еще один неплохой способ их дешифровки - использование теневых томов копий. Конечно, вирус будет пытаться навсегда и безвозвратно удалить их все, но случается и так, что некоторые файлы остаются нетронутыми. В этом случае у вас будет хоть и маленький, но шанс их восстановления.
- Существует возможность хранения данных на файлообменниках, таких как DropBox. Его можно установить на компьютер в виде локального отображения диска. Естественно, шифровальный вирус будет и его инфицировать. Но в этом случае гораздо реальнее восстановить документы и важные файлы.
Программное предотвращение инфицирования вирусом персонального компьютера
Если вы боитесь попадания зловещего вредоносного софта на ваш компьютер и не хотите, чтобы коварный вирус зашифровал все файлы, следует использовать редактор локальной политики или Windows-группы. Благодаря этому интегрированному софту можно настроить политику ограничения программ - и тогда вас не будут беспокоить мысли об инфицировании компьютера.
Как восстановить зараженные файлы
Если CTB-вирус зашифровал все файлы, что делать в данном случае, чтобы восстановить необходимые документы? К сожалению, в нынешнее время ни одна антивирусная лаборатория не может предложить расшифровку ваших файлов, но обезвреживание инфекции, ее полное удаление с персонального компьютера возможно. Выше указаны все действенные методы информационного восстановления. Если же вам слишком дороги ваши файлы, а вы не побеспокоились сделать их резервную копию на съемный носитель или интернет-диск, тогда вам придется оплатить запрошенную киберпреступниками сумму денег. Но нет никакой вероятности, что вам будет выслан ключ дешифрования даже после оплаты.
Как найти зараженные файлы
Чтобы увидеть список зараженных файлов, можно перейти по такому пути: "Мои документы"\.html или "C:"\"Пользователи"\"Все пользователи"\.html. Этот html-лист содержит данные не только о случайных инструкциях, но также и о зараженных объектах.
Как заблокировать шифровальный вирус
Как только компьютер был инфицирован вредоносным программным обеспечением, первое необходимое действие со стороны пользователя - включение с сетью. Это осуществляется нажатием на клавишу клавиатуры F10.
Если на ваш компьютер случайным образом попал Critroni-вирус, зашифровал все файлы в.rar, .ctbl, .ctb2, .xtbl, .vault, .cbf или любой другой формат, в таком случае уже тяжело восстановить их. Но если вирус еще не успел внести много изменений, есть вероятность его блокировки с помощью политики ограниченного доступа программ.
Вирус-шифровальщик: платить мошенникам или нет
Вот и настал этот черный день. На одной из важных рабочих машин активно поработал вирус-шифровальщик, после чего все офисные, графические и многие другие файлы приняли разрешение crypted000007, которые на момент написания статьи расшифровать невозможно.
Также на рабочем столе появились обои с надписью типа "Ваши файлы зашифрованы", а в корне локальных дисков текстовые документы readme с контактной информацией мошенника. Естественно, он хочет выкуп за расшифровку.
Лично я не связывался с этим козлом(ами), чтобы не поощрять подобную деятельность, но знаю, что ценник в среднем начинается от 300 долларов и выше. Вот и думайте сами, как поступать. Но если у вас зашифровались очень значимые файлы, например, базы 1С, а резервной копии нет, то это крах вашей карьеры.
Забегаю наперед скажу, что если вы питаете надежду на расшифровку, то ни в коем случае не удаляйте файл с требованием денег и ничего не делайте с зашифрованными файлами (не изменяйте название, расширение и т.д.). Но давайте обо всем по порядку.
Вирус шифровальщик - что это такое
Это вредоносное (ransomware) программное обеспечение, которое шифрует данные на компьютере по очень стойкому алгоритму. Дальше приведу грубую аналогию. Представьте, что вы на вход в Windows установили пароль длиной несколько тысяч символов и забыли его. Согласитесь, вспомнить невозможно. А сколько жизней займет у вас ручной перебор?
Так и в случае с шифровальщиком, который использует легальные криптографические методы в противоправных целях. Подобные вирусы, как правило, используют асинхронное шифрование. Это значит, что используется пара ключей.
Шифруются файлы с помощью открытого ключа, а расшифровать их можно имея закрытый ключ, который есть только у мошенника. Все ключи уникальны, поскольку генерируются для каждого компьютера отдельно.
Именно поэтому я говорил в начале статьи о том, что нельзя удалять файл readme.txt в корне диска с требованием выкупа. Именно в нем и указан открытый ключ.
Электронный адрес вымогателя в моем случае Если вбить его в поиск, то становится понятен истинный масштаб трагедии. Пострадало очень много людей.
Поэтому еще раз говорю: ни в коем случае никак не изменяйте поврежденные файлы. Иначе вы потеряйте даже малейший шанс на их восстановление в дальнейшем.
Также не рекомендуется переустанавливать операционную систему и чистить временные и системные каталоги. Короче, до выяснения всех обстоятельств ничего не трогаем, дабы не усложнить себе жизнь. Хотя, казалось бы, куда уже хуже.
Попадает данная зараза на компьютер чаще всего по электронной почте с горящей темой наподобие "Срочно, руководителю. Письмо из банка" и тому подобное. Во вложении, которое может выглядеть безобидным pdf или jpg файлом и кроется враг.
Запустив его, ничего страшного, на первый взгляд, не происходит. На слабом офисном ПК пользователь может заметить некую "тормознутость". Это вирус, маскируясь под системный процесс, уже делает свое грязное дело.
На Windows 7 и выше при запуске вредителя будет постоянно появляться окно Контроля учетных записей с запросом разрешения изменений. Конечно же, неопытный пользователь со всем согласиться, тем самым подписав себе приговор.
Да, по факту вирус уже блокирует доступ к файлам и когда закончит, на рабочем столе появится надпись с предупреждением "Ваши файлы зашифрованы". В общем, это попа. Дальше начинается жесть.
Как вылечить вирус-шифровальщик
Исходя из вышенаписанного можно сделать вывод, что если страшная надпись на рабочем столе еще не появилась, а вы уже увидели первые файлы с непонятными длинными названиями из хаотичного набора различных символов, немедленно достаньте компьютер из розетки.
Именно так, грубо и бескомпромиссно. Тем самым вы остановите алгоритм работы зловреда и сможете хоть что-то спасти. К сожалению, в моем случае сотрудник этого не знал и потерял все. Твою мать...
Вишенкой на торте для меня был тот факт, что, оказывается, данный вирус без проблем шифрует все подключенные к ПК съемные носители и сетевые диски с правами доступа на запись. Именно там и были резервные копии.
Теперь о лечении. Первое, что нужно понимать: вирус лечится, но файлы так и останутся зашифрованными. Возможно, навсегда. Сам процесс лечения ничего сложного из себя не представляет.
Для этого необходимо подключить винчестер к другому компьютеру и просканировать утилитами вроде или Kaspersky Virus Removal Tool. Можно для надежности двумя поочередно. Если нести зараженный винт на другой комп сцыкотно, загрузитесь с Live CD.
Как правило, подобные антивирусные решения без проблем находят и удаляют шифровальщик. Но иногда они ничего не обнаруживают, поскольку вирус, сделав свою работу, может сам удалиться из системы. Такой вот сучий потрох, которые заметает все следы и затрудняет его изучение.
Предвижу вопрос, почему антивирус сразу не предотвратил проникновения нежелательно ПО на компьютер? Тогда бы и проблем не было. На мой взгляд, на данный момент антивирусы проигрывают битву с шифровальщиками и это очень печально.
К тому же, как я уже говорил, подобные вредоносные программы работают на основе легальных криптографических методов. То есть получается, что их работа как бы и не является противоправной с технической точки зрения. В этом и заключается трудность их выявления.
Постоянно выходят новые модификации, которые попадают в антивирусные базы только после заражения. Так что, увы, в этом случае 100% защиты быть не может. Только бдительное поведение при работе на ПК, но об этом чуть позже.
Как расшифровать файлы после вируса
Все зависит от конкретного случая. Выше писалось, что модификации вируса-шифровальщика могут быть какие угодно. В зависимости от этого, зашифрованные файлы имеют разные расширения.
Хорошая новость заключается в том, что для многих версий заразы антивирусные компании уже придумали дешифраторы (декрипторы). На русскоязычном рынке лидером является "Лаборатория Касперского". Для этих целей был создан следующий ресурс:
На нем в строке поиска вбиваем информацию по расширению либо электронную почту из записки о выкупе, жмем "Поиск" и смотрим, есть ли спасительная утилита для нас.
Если повезло, скачиваем программу из списка и запускаем. В описании к некоторым дешифраторам говорится, что при работе на компьютере должен быть интернет для возможности расширенного поиска ключей в онлайн-базе.
В остальном же все просто. Выбираем конкретный файл или диск полностью и запускаем сканирование. Если активировать пункт "Delete crypted files", то после дешифровки все исходные файлы удалятся. Ой, я бы так не спешил, сразу нужно взглянуть на результат.
Для некоторых видов вируса программа может попросить две версии файла: исходную и зашифрованную. Если первой нет, значит, пиши пропало.
Также у пользователей лицензионных продуктов "Лаборатории Касперского" есть возможность обратиться на официальный форум за помощью с расшифровкой. Но пошерстив его со своим расширением (crypted000007) я понял, что ничем там не помогут. То же самое можно сказать и про Dr.Web.
Есть еще один подобный проект, но уже международный. По информации из интернетов его поддержку осуществляют лидирующие производители антивирусов. Вот его адрес:
Конечно, может оно и так, но сайт работает некорректно. На главной странице предлагается загрузить два зашифрованных файла, а также файл с выкупом, после чего система даст ответ, есть дешифровщик в наличии или нет.
Но вместо этого происходит переброс на раздел с выбором языка и на этом все. Поэтому можно самостоятельно зайти в раздел "Декриптор-утититы" и попробовать найти нужную программу.
Делать это не очень удобно, поскольку в кратком описании имеющегося ПО нет четкого указания на поддерживаемые расширения зашифрованных файлов. Для этого нужно читать расширенную инструкцию для каждого типа декриптора.
В процессе написания публикации был найден аналогичный сервис, который исправно работает по такому же принципу. Он поможет определить название угрозы и предложит "волшебную таблетку", если таковая имеется. В верхнем правом углу сайта имеется кнопка переводчика для удобства пользователей.
Что делать? Платить или не платить
Если вы дочитали до этого заголовка, значит, файлы у вас по-прежнему стабильно зашифрованы. И тут вопрос: как поступить дальше? Ведь в случае шифровки крайне значимых файлов может быть парализована работа даже крупных предприятий, не говоря уже о малом бизнесе.
Первое, можно выполнить инструкцию мошенника и заплатить выкуп. Но статистика "Лаборатории Касперского" говорит о том, что каждое пятое предприятие так и не получило ключ с дешифратором после оплаты.
Это может происходить по разным причинам. Например, вирусом могли воспользоваться не сами создатели, у которых есть закрытый ключ, а мошенники-посредники.
Они просто модифицировали код зловреда, указав в файле выкупа свои данные, а второго ключа-то у них нет. Деньги получили и свалили. А вы кукуйте дальше.
В общем, не будут врать, всех технических нюансов я и сам не знаю. Но в любом случае заплатив вымогателям, вы мотивируете их на продолжение подобной деятельности. Ведь раз это работает и приносит деньги, почему нет.
Но в интернете я нашел как минимум две конторы, которые обещают помочь в этой беде и расшифровать даже файлы с расширением crypted000007. В одну из них я с большой боязнью обратился.
Скажу честно, ребята мне не помогли, поскольку сразу сказали, что дешифровщика у них нет, но могут попробовать восстановить около 30% оригинальных файлов, которые удалил вирус, с помощью низкоуровневого сканирования.
Я подумал и отказался. Но спасибо им, что лапши на уши не вешали, уделили время и все трезво пояснили. Ну и раз у них нет ключа, значит, они не должны взаимодействовать с мошенниками.
Но есть другая, более "интересная" контора, которая дает 100% гарантию на успех операции. Ее сайт находится вот по этому адресу:
Я попробовал пошерстить по профильным форумам, но так и не смог найти отзывов реальных клиентов. То есть все о ней знают, но мало кто пользовался. Замкнутый круг.
Эти ребята работают по факту полученного результата, никаких предоплат нет. Опять же повторюсь, дают гарантию на расшифровку даже crypted000007. Значит, у них есть ключ и декриптор. Отсюда вопрос: а откуда у них это добро? Или я чего-то не понимаю?
Не хочу говорить что-плохое, возможно, они добрые и пушистые, работают честно и помогают людям. Хотя технически без мастер-ключа это просто невозможно. В любом случае против них все же нашлась компрометирующая .
Как защититься от вируса-шифровальщика
Приведу несколько основных постулатов, которые помогут обезопаситься, а в случае проникновения подобного зловреда свести потери к минимуму. Как-никак я все это прочувствовал на собственной шкуре.
Делать регулярные бэкапы на съемных (изолированных от сети) носителях. Без преувеличения могу сказать, это самое главное.
Не работать под учетной записью с правами администратора, чтобы в случае заражения минимизировать потери.
Внимательно следить за адресатами входящих писем и сбрасываемых ссылок в соц. сетях. Тут без комментариев.
Поддерживать в актуальном состоянии антивирусную программу. Может и спасет, но это неточно.
Обязательно включить файлов в Windows 7/10. Об этом подробно поговорим в ближайших выпусках.
Не выключать систему Контроля учетных записей в Windows 7 и выше.
Я же, в свою очередь, остаюсь с полностью зашифрованными вирусом офисными файлами. Буду периодически заглядывать на все ресурсы, указанные в статье, в надежде когда-нибудь увидеть там декриптор. Возможно, удача улыбнется в этой жизни, кто знает.
Одно дело, когда шифруются файлы пользователя на домашнем компьютере такие как фильмы, музыка и так далее. Совсем другие, когда теряется доступ ко всему делопроизводству предприятия минимум за 5-7 лет. Это больно, я уже знаю.
И с каждым годом появляются все новые и новые... интереснее и интереснее. Наиболее популярный последнее время вирус (Trojan-Ransom.Win32.Rector), который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно и долго, в зависимости от типа шифрования, расшифровка может затянуться на недели, месяцы и даже годы. На мой взгляд, этот вирус на данный момент, апогей по опасности среди остальных вирусов. Особенно он опасен для домашних компьютеров/ ноутбуков, поскольку большинство пользователей не делают резервную копию данных и при зашифровке файлов теряют все данные. Для организаций этот вирус меньше опасен, поскольку они делают резервные копии важных данных и в случае заражения, просто восстанавливают их, естественно после удаления вируса. С этим вирусом я встречался несколько раз, опишу как это происходило и к чему приводило.
Первый раз с вирусом зашифровывающим файлы я познакомился в начале 2014 года. Со мной связался администратор с другого города и сообщил пренеприятнейшее известие - Все файлы, на файловом сервере зашифрованы! Заражение произошло элементарным способом- в бухгалтерию пришло письмо с вложение "Акт что-то там.pdf.exe" как вы понимаете они открыли этот EXE файл и процесс пошел... он зашифровал все личные файлы на компьютере и перешел на файловый сервер (он был подключен сетевым диском). Начали с администратором копать информацию в Интернете... на тот момент никакого решения не было... все писали, что такой вирус есть, как лечить его не известно, расшифровать файлы не удается, возможно поможет отправка файлов Касперскому, Dr Web или Nod32. Отправить им можно только, если пользуетесь их антивирусными программами (есть лицензии). Мы отправили файлы в Dr Web и Nod32, результатов - 0, уже не помню что говорили в Dr Web, а в Nod 32 вообще замолчали и никакого ответа от них я не дождался. В общем все было печально и решения мы так и не нашли, часть файлов восстановили с бэкапа.
История вторая- буквально на днях (середина октября 2014) мне позвонили с организации с просьбой решить проблему с вирусом, как вы понимаете все файлы на компьютере были зашифрованы. Вот пример того как это выглядело.
Как вы можете заметить к каждому файлу было добавлено расширение *.AES256. В каждой папке был файл "Внимание_открой-меня.txt" в котором были контакты для связи.
При попытки открыть эти файлы открывалась программа с контактами для связи с авторами вируса для оплаты расшифровки. Само собой связаться с ними я не рекомендую, и платить за код тоже, поскольку вы их только поддержите финансово и не факт что получите ключ расшифровки.
Заражение произошло при установке программы скаченной с Интернета. Самое удивительное было, то, что когда они заметили, что файлы изменились (изменились иконки и расширение файлов) то ничего не предприняли и дальше продолжали работать, а тем временем шифровальщик продолжал шифровать все файлы.
Внимание!! ! Если вы заметили шифрование файлов на компьютере (изменение иконок, изменение расширения) сразу же выключайте компьютер/ ноутбук, и уже с другого устройства ищите решение (с другого компьютера/ ноутбука, телефона, планшета) или обращайтесь к IT специалистам. Чем дольше ваш компьютер/ ноутбук будет включен, тем больше файлов он зашифрует.
В общем, я уже хотел отказаться от помощи им, но решил полазить в Интернете, может уже появилось решение для этой проблемы. В результате поисков прочитал массу информации о том, что расшифровке не поддается, что нужно отправлять файлы в антивирусные компании (Касперскому, Dr Web или Nod32) - спасибо был опыт.
Наткнулся на утилиту от Касперского -RectorDecryptor. И о чудо- файлы удалось расшифровать. Ну обо все по порядку...
Первым делом необходимо остановить работу шифровальщика. Не найдетесь на антивирусы, поскольку уставленный Dr Web ничего не нашел. Первым делом я зашел в автозагрузки и отключил все автозагрузки (кроме антивируса). Перезагрузил компьютер. Затем начал смотреть, что за файлы были в автозагрузки.
Как можете заметить в поле "Команда" указано где лежит файл, особое внимание требуется удалить приложениям без подписи (Производитель -Нет данных). В общем нашел и удалил зловреда и еще не понятные для меня файлы. После этого почистил временные папки и кэши браузеров, лучше всего для этих целей воспользоваться программой CCleaner .
Далее приступил к расшифровке файлов, для этого скачал программу для расшифровки RectorDecryptor . Запустил и увидел довольно аскетичный интерфейс утилиты.
Нажал "Начать проверку", указал расширение, которое было у всех измененных файлов.
И указал зашифрованный файл. В более новых версия RectorDecryptor можно просто указывать зашифрованный файл. Нажмите кнопку "Открыть".
Тада-а-а-ам!!! Произошло чудо и файл был расшифрован.
После этого утилита автоматически проверяет все файлы компьютера + файлы на подключенном сетевом диске и расшифровывает их. Процесс расшифровки может затянуться на несколько часов (зависит от количества зашифрованных файлов и быстродействия вашего компьютера).
В результате все зашифрованные файлы были успешно расшифрованы в туже директорию, где находились изначально.
Осталось удалить все файлы с расширение.AES256, это можно было сделать, поставив галочку "Удалять зашифрованные файлы после успешной расшифровки", если нажать "Изменить параметры проверки" в окне RectorDecryptor.
Но помните, что лучше эту галочку не ставить, поскольку в случае, не удачной расшифровки файлов они удаляться и для того, что бы их снова попытаться расшифровать придется для начала их восстановить .
При попытки удалить все зашифрованные файлы с помощью стандартного поиска и удаления, я наткнулся на зависания и крайне медленную работу компьютера.
Поэтому для удаления лучше всего воспользоваться командной строкой, запустите ее и пропишите del "<диск>:\*.<расширение зашифрованного файла>" /f /s . В моем случае del "d:\*.AES256" /f /s.
Не забывайте удалить файлы "Внимание_открой-меня.txt", для этого в командной строке воспользуйтесь командой del "<диск>:\*.<имя файла>" /f /s,
например
del "d:\
Внимание_открой-меня.txt" /f /s
Таким образом, вирус был побежден и файлы восстановлены. Хочу предупредить, что данный способ поможет не всем, все дело в том, что Каперский в этой утилите собрал все известные ключи для расшифровки (из тех файлов, которые оправляли заразившиеся вирусом) и методом перебора подбирает ключи и расшифровывает. Т.е. если ваши файлы зашифрованы вирусом с еще не известным ключом, тогда этот способ не поможет... придется отправлять зараженные файлы антивирусным компаниям -Касперскому, Dr Web или Nod32 для их расшифровки.
Борьба с новыми вирусными угрозами - шифровальщиками
Мы недавно писали о том, что в сети распространяются новые угрозы - вирусы шифровальщики или более развёрнуто вирусы шифрующие файлы, более подробно можно почитать о них на нашем сайте, по этой ссылке .
В этой теме мы расскажем, как можно вернуть зашифрованные вирусом данные, для этого будем использовать два дешифратора, от антивирусов "Касперского" и "доктора Веб", это самые эффективные методы возвращения зашифрованной информации.
1. Качаем утилиты для расшифровки файлов по ссылкам: Kaspersky и Dr.WEB
Или расшифраторы для конкретного типа зашифрованных файлов, которые находятся .
2. Сначала будем пробовать расшифровать файлы с помощью программы от Kaspersky:
2.1. Запускаем программу декриптор Касперского , если просит какие-то действия, например разрешения на запуск - запускаем, если просит обновиться - обновляем, это увеличит шансы вернуть зашифрованные данные
2.2. В появившемся окне программы для расшифровки файлов видим несколько кнопок. Настройка дополнительных параметров и начать проверку.
2.3. Если нужно выбираем дополнительные параметры и указываем места поиска зашифрованных файлов и если нужно - удалять после расшифровки, не советую выбирать эту опцию, не всегда файлы расшифровываются правильно!
2.4. Запускаем проверку и ждём расшифровки наших зашифрованных вирусом данных.
3. Если с помощью первого метода не получилось. Пробуем расшифровать файлы с помощью программы от Dr. WEB
3.1. После того как вы скачали приложение для расшифровки, положите его например в корень диска "С:" , таким образом файл "te102decrypt.exe" должен быть доступен по адресу "c:\te102decrypt.exe"
3.2. Теперь заходим в командную строку (Пуск-Поиск-Вводим "CMD" без кавычек-запускаем нажатием Ентер)
3.3. Для запуска расшифровки файлов прописываем команду "c:\te102decrypt.exe -k 86 -e (код шифровальщика)" . Код шифровальщика это расширение, добавленное в конец файла, например "[email protected]_45jhj" - прописываем без кавычек и скобок, соблюдая пробелы. Должно получиться что-то на подобии c:\te102decrypt.exe -k 86 -e [email protected]_45jhj
3.4. Жмём Ентер и ждём расшифровки файлов , которые были зашифрованы, в некоторых случаях создаётся несколько копий расшифрованных файлов, пробуете запустить их, ту копию расшифрованного файла, которая откроется нормально - сохраняете, остальное можно удалить.
Скачать остальные дешифраторы файлов:
Внимание: обязательно сохраните копию зашифрованных файлов на внешнем носителе или другом ПК. Представленные ниже дешифраторы могут не расшифровать файлы, а только испортить их!
Лучше всего запускать дешифратор на виртуальной машине или на специально подготовленном компьютере, предварительно загрузив на них несколько файлов.
Представленные ниже дешифраторы работают следующим образом: Например, ваши файлы зашифрованы шифратором amba и файлы приняли вид на подобии "Договор.doc.amba" или "Счёт.xls.amba", тогда скачиваем дешифратор для файлов амба и просто запускаем, он сам найдёт все файлы с этим расширением и расшифрует, но повторюсь, обезопасьте себя и предварительно сделайте копию зашифрованных файлов , в противном случае вы можете потерять неправильно расшифрованные данные навсегда!
Если вы не хотите рисковать, то отправьте несколько файлов нам, предварительно связавшись с нами по форме обратной связи , мы запустим дешифратор на специально подготовленном компьютере, изолированным от интернета.
Представленные файлы были проверены антивирусом Касперского последней версии и с последними обновлениями баз.
Существует большое количество самых разнообразных вредоносных программ. Среди них встречается крайне неприятные вирусы-шифровальщики, которые попав на компьютер, начинают шифровать файлы пользователей. В некоторых случаях есть неплохие шансы расшифровать свои файлы, но бывает, что это и не удается. Мы рассмотрим все необходимые действия, как для первого, так и для второго случая в случаи когда .
Эти вирусы могут немного отличаться, но в целом, их действия всегда одни и те же:
- установиться на компьютер;
- зашифровать все файлы, которые могут иметь хоть какую-нибудь ценность (документы, фотографии);
- при попытке открыть эти файлы, требовать от пользователя внесения определенной суммы на кошелек или счет злоумышленника, иначе доступ к содержимому никогда не откроется.
Вирус зашифровал файлы в xtbl
В настоящее время получил достаточно большое распространение вирус, способный зашифровывать файлы и изменять их расширение на.xtbl, а так же заменять их название на совершенно случайные символы.
Кроме того, на видном месте создается специальный файл с инструкциями readme.txt . В нем, злоумышленник, ставит пользователя перед фактом того, что все его важные данные были зашифрованы и теперь их так просто не открыть, дополняя это тем, что для возвращения всего в прежнее состояние, необходимо выполнить определенные действия связанные с передачей денег мошеннику (обычно, перед этим необходимо отправить определенный код на один из предложенных адресов электронной почты). Часто такие послания еще дополняются припиской, что при попытке самостоятельно расшифровать все свои файлы, вы рискуете их навеки потерять.
К огромному сожалению, в данный момент, официально никто смог расшифровать.xtbl, если появится рабочий способ, мы обязательно об этом сообщим в статье. Среди пользователей есть те, у кого был подобный опыт с этим вирусом и они оплатили мошенникам нужную сумму, получив взамен расшифровку своих документов. Но это крайне рискованный шаг, ведь среди злоумышленников встречаются и те, кто особо не станет заморачиваться с обещанной дешифровкой, в итоге это будут деньги на ветер.
Что тогда делать, спросите вы? Предлагаем несколько советов, которые помогут вернуть все свои данные и при этом, вы не будете идти на поводу у мошенников и дарить им свои деньги. И так, что нужно сделать:
- Если умеете работать в Диспетчере задач, то немедленно прервите шифрование файлов, остановив подозрительный процесс. Одновременно с этим, отключите компьютер от интернета – многим шифровальщикам необходимо подключение к сети.
- Возьмите листочек и запишите на него код, предлагаемый для отправки на почту злоумышленникам (листочек потому, что файл, в который будете записывать так же может стать недоступным для чтения).
- При помощи антивирусных средств Malwarebytes Antimalware, пробного Антивируса Kaspersky IS или CureIt, удалить вредоносную программу. Для большей надежности, лучше последовательно воспользоваться всеми предложенными средствами. Хотя Антивирус Касперского можно не устанавливать, если в системе уже есть один основной антивирус, иначе могут возникнуть программные конфликты. Все остальные утилиты можете применять в любой ситуации.
- Подождать, пока одна из антивирусных компаний не разработает рабочий дешифратор для таких файлов. Оперативнее всего справляется Kaspersky Lab.
- Дополнительно, вы можете отправить на [email protected] копию файла, что был зашифрованн, с требуемым кодом и если есть, этот же файл в первоначальном виде. Вполне возможно, это может ускорить разработку метода дешифровки файлов.
Ни в коем случае не выполняйте:
- переименование этих документов;
- изменение их расширения;
- удаление файлов.
Эти троянские программы также занимаются шифрованием файлов пользователей с последующим вымогательством. При этом, у зашифрованных файлов могут быть следующие расширения:
- .locked
- .crypto
- .kraken
- .AES256 (не обязательно этот троян, есть и другие, устанавливающие это же расширение).
- [email protected]_com
- .oshit
- И другие.
К счастью, уже создана специальная утилита для расшифровки – RakhniDecryptor
. Скачать ее можно с официального сайта .
На этом же сайте можно ознакомиться с инструкцией, подробно и наглядно показывающей, как пользоваться утилитой для расшифровки всех файлов, над которыми поработал троян. В принципе, для большей надежности, стоит исключить пункт удаления зашифрованных файлов. Но скорее всего, что разработчики хорошо постарались над созданием утилиты и целостности данных ничего не угрожает.
Те, кто пользуется лицензионным антивирусом Dr.Web, имеют бесплатный доступ к расшифровке от разработчиков http://support.drweb.com/new/free_unlocker/.
Другие разновидности вирусов-шифровальщиков
Иногда могут попадаться и другие вирусы, шифрующие важные файлы и вымогающие оплату за возвращение всего в первоначальный вид. Предлагаем небольшой список с утилитами для борьбы с последствиями работы наиболее распространенных вирусов. Там же вы сможете ознакомиться с основными признаками, по которым можно отличить ту или иную троянскую программу.
Кроме того, хорошим способом будет сканирование своего ПК антивирусом Касперского, который обнаружит непрошеного гостя и присвоит ему название. По этому названию уже можно искать и дешифратор для него.
- Trojan-Ransom.Win32.Rector – типичный шифратор-вымогатель, который требует отправить смс или выполнить другие действия подобного рода, берем дешифратор по этой ссылке.
- Trojan-Ransom.Win32.Xorist – разновидность предыдущего трояна, дешифратор с руководством по его применению можете получить .
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – для этих ребят так же есть специальная утилита, смотрим по ссылке .
- Trojan.Encoder858, Trojan.Encoder.741 – эти вредоносы можно обнаружить утилитой CureIt. У них похожие названия, но могут отличаться номера в конце имени. Дешифратор ищем по названию вируса или, если пользуетесь лицензионным Dr.Web, можете прибегнуть к помощи специального ресурса .
- CryptoLacker – чтобы вернуть свои файлы, посетите данный сайт и через него сгенерируйте специальную программу для восстановления своих документов.
Недавно, Лаборатория Касперского сотрудничая со своими коллегами из Нидерландов, создала декриптор позволяющий восстановить файлы после того, как над ними поработал вирус CoinVault .
В комментариях можете делиться своими способами дешифровки файлов, ведь эта информация будет полезна и другим пользователям, которые могут столкнуться с подобным вредоносным программным обеспечением.