Головна
Не вмикається
Вірус шифрувальник файлів Wanna Cry - як захиститися та врятувати дані. Вірус-шифрувальник. Як видалити вірус та відновити зашифровані файли Загальні наслідки проникнення всіх вірусів такого типу

Вірус шифрувальник файлів Wanna Cry - як захиститися та врятувати дані. Вірус-шифрувальник. Як видалити вірус та відновити зашифровані файли Загальні наслідки проникнення всіх вірусів такого типу

Близько тижня-двох тому в мережі з'явився черговий виріб сучасних вірусоделів, який шифрує всі файли користувача. Вкотре розгляну питання як вилікувати комп'ютер після вірусу шифрувальника crypted000007та відновити зашифровані файли. В даному випадку нічого нового та унікального не з'явилося, просто модифікація попередньої версії.

Гарантована розшифровка файлів після вірусу шифрувальника - dr-shifro.ru. Подробиці роботи та схема взаємодії із замовником нижче у мене у статті або на сайті у розділі «Порядок роботи».

Опис вірусу шифрувальника CRYPTED000007

Шифрувальник CRYPTED000007 нічим принципово не відрізняється від своїх попередників. Діє він практично один на один як. Але все ж таки є кілька нюансів, які його відрізняють. Розповім про все по порядку.

Приходить він, як і його аналоги, поштою. Використовуються прийоми соціальної інженерії, щоб користувач неодмінно зацікавився листом та відкрив його. У моєму випадку у листі йшлося про якийсь суд та про важливу інформацію у справі у вкладенні. Після запуску вкладення у користувача відкривається ордівський документ з випискою з арбітражного судуМоскви.

Паралельно із відкриттям документа запускається шифрування файлів. Починає постійно вискакувати інформаційне повідомленнясистеми контролю облікових записів Windows.

Якщо погодитися з пропозицією, резервні копії файлів у тіньових копіях Windows будуть видалені і відновлення інформації буде дуже важко. Очевидно, що погоджуватися з пропозицією в жодному разі не можна. У даному шифрувальнику ці запити вискакують постійно, один за одним і не припиняються, змушуючи користувача таки погодитись та видалити резервні копії. Це головна відмінність від попередніх модифікацій шифрувальників. Я ще жодного разу не стикався з тим, щоб запити видалення тіньових копій йшли без зупинки. Зазвичай, після 5-10 пропозицій вони припинялися.

Дам одразу рекомендацію на майбутнє. Дуже часто люди відключають попередження системи контролю облікових записів. Цього робити не треба. Цей механізм реально може допомогти у протистоянні вірусам. Друга очевидна порада - не працюйте постійно під обліковим записомадміністратора комп'ютера, якщо в цьому немає потреби. У такому разі вірус не матиме змоги сильно нашкодити. У вас буде більше шансів протистояти йому.

Але навіть якщо ви постійно відповідали негативно на запити шифрувальника, всі ваші дані вже шифруються. Після того, як процес шифрування буде закінчено, ви побачите на робочому столі зображення.

Одночасно з цим на робочому столі буде безліч текстових файлівз тим самим змістом.

Ваші файли були зашифровані. Щоб розшифрувати ux, Baм необхідно відправити код: 329D54752553ED978F94|0 на електричний адрес [email protected]. Далі ви отримаєте всі необхідні монтаж. Пошуки розшифровувати самостійно не призведем до чого, крім безповоротної номери інформації. Якщо ви все ж таки хотіли б випробувати, то розворотно зробіть резервні копії файлів, інакше у випадку усх змінення розшифровка коштує неможливої ​​ні за яких умов. Якщо ви не отримували відповіді за вищевказаною адресою протягом 48 годин (і дуже в цьому випадку!), Скористайтеся формою зворотного зв'язку. Це можна зробити двома способами: 1) Завантажте і усунути Tor Browserза посиланням: https://www.torproject.org/download/download-easy.html.en B адресній смоpоці Tor Browser-a введіть адресу: http://cryptsen7fo43rr6.onion/ і натисніть Enter. 3авантажується сторінка з формою зворотного зв'язку. 2) У будь-якому браузері не реєструєтеся по одному адреси: http://cryptsen7fo43rr6.onion.to/ Щоб записати файли, ви повинні прочитати наступний код: 329D54752553ED978F94|0 to e-mail address [email protected]. Then you will receive all necessary instructions. Всі питання про звільнення від вас будуть результатом тільки в неправильному зниженні свого часу. Якщо ви хочете, щоб переконатися, що ви робите те, що вказують на першу причину, щоб розблокування було неможливо в разі будь-яких змін всередині файлів. Якщо ви не отримуєте повідомлення від отриманого електронної пошти більше 48 годин (і тільки в цьому випадку!), Використовуйте повідомлення. Ви можете до двох способів: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type following address in the address bar: http:/ /cryptsen7fo43rr6.onion/ Перейти Enter і на сторінці з backback for will be loaded. 2) Перейти до однієї з наступних адрес в будь-якому браузері: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Поштова адреса може змінюватись. Я зустрічав ще такі адреси:

Адреси постійно оновлюються, тому можуть бути зовсім різними.

Як тільки ви виявили, що файли зашифровані, одразу ж вимикайте комп'ютер. Це необхідно зробити, щоб перервати процес шифрування як на локальному комп'ютері, так і на мережевих дисках. Вірус-шифрувальник може зашифрувати всю інформацію, до якої зможе дістатись, у тому числі і на мережевих дисках. Але якщо там великий обсяг інформації, то для цього знадобиться значний час. Іноді і за пару годин шифрувальник не встигав усе зашифрувати на мережному диску об'ємом приблизно 100 гігабайт.

Далі треба добре подумати, як діяти. Якщо вам будь-що потрібна інформація на комп'ютері і у вас немає резервних копій, то краще в цей момент звернутися до фахівців. Не обов'язково за гроші у якісь фірми. Просто потрібна людина, яка добре розуміється на інформаційних системах. Необхідно оцінити масштаб лиха, видалити вірус, зібрати всю наявну інформацію щодо ситуації, щоб зрозуміти, як діяти далі.

Неправильні дії на даному етапіможуть суттєво ускладнити процес розшифровки чи відновлення файлів. У гіршому випадку можуть унеможливити його. Так що не поспішайте, будьте обережні та послідовні.

Як вірус здирник CRYPTED000007 шифрує файли

Після того, як вірус у вас був запущений і закінчив свою діяльність, всі корисні файли будуть зашифровані, перейменовані з розширенням.crypted000007. Причому не тільки розширення файлу буде замінено, але й ім'я файлу, так що ви не дізнаєтесь точно, що за файли ви були, якщо самі не пам'ятаєте. Буде приблизно така картина.

У такій ситуації буде важко оцінити масштаб трагедії, тому що ви до кінця не зможете згадати, що ж у вас було в різних папках. Зроблено це спеціально, щоб збити людину з пантелику і спонукати до оплати розшифровки файлів.

А якщо у вас були зашифровані та мережеві папкиі ні повних бекапів, Це може взагалі зупинити роботу всієї організації. Не відразу розберешся, що зрештою втрачено, щоб почати відновлення.

Як лікувати комп'ютер та видалити здирник CRYPTED000007

Вірус CRYPTED000007 вже на комп'ютері. Перший і самий головне питання- як вилікувати комп'ютер і як видалити з нього вірус, щоб запобігти подальшому шифруванню, якщо воно ще не було закінчено. Відразу звертаю увагу на те, що після того, як ви самі почнете робити якісь дії зі своїм комп'ютером, шанси на розшифровку даних зменшуються. Якщо вам будь-що потрібно відновити файли, комп'ютер не чіпайте, а відразу звертайтеся до професіоналів. Нижче я розповім про них та наведу посилання на сайт та опишу схему їхньої роботи.

А поки що продовжимо самостійно лікувати комп'ютер і видаляти вірус. Традиційно шифрувальники легко видаляються з комп'ютера, так як у вірусу немає завдання будь-що залишитися на комп'ютері. Після повного шифрування файлів йому навіть вигідніше самовидалитись і зникнути, щоб було важче розслідувати інцидент та розшифрувати файли.

Описати ручне видалення вірусу важко, хоча я намагався раніше це робити, але бачу, що найчастіше це безглуздо. Назви файлів та шляхи розміщення вірусу постійно змінюються. Те, що бачив я вже не актуально через тиждень-два. Зазвичай розсилання вірусів поштою йде хвилями і щоразу там нова модифікація, яка ще не детектується антивірусами. Допомагають універсальні засоби, які перевіряють автозапуск та детектують підозрілу активність у системних папках.

Для видалення вірусу CRYPTED000007 можна скористатися такими програмами:

  1. Kaspersky Virus Removal Tool - утилітою від касперського http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - Схожий продукт від ін. веб http://free.drweb.ru/cureit
  3. Якщо не допоможуть перші дві утиліти, спробуйте MALWAREBYTES 3.0 - https://ua.malwarebytes.com.

Швидше за все, щось із цих продуктів очистить комп'ютер від шифрувальника CRYPTED000007. Якщо так трапиться, що вони не допоможуть, спробуйте видалити вірус вручну. Методику видалення я наводив на прикладі і, можете подивитися там. Якщо коротко по кроках, то треба діяти так:

  1. Дивимося список процесів, попередньо додавши кілька додаткових стовпців диспетчер завдань.
  2. Знаходимо процес вірусу, відкриваємо папку, де він сидить і видаляємо його.
  3. Чистимо згадку про процес вірусу на ім'я файлу в реєстрі.
  4. Перезавантажуємось і переконуємося, що вірусу CRYPTED000007 немає у списку запущених процесів.

Де завантажити дешифратор CRYPTED000007

Питання простого і надійного дешифратора постає насамперед, коли справа стосується вірусу-шифрувальника. Перше, що я пораджу, це скористатися сервісом https://www.nomoreransom.org. А раптом вам пощастить у них буде дешифратор під вашу версію шифрувальника CRYPTED000007. Скажу відразу, що шансів у вас небагато, але спроба не катування. На головній сторінцінатискаєте Yes:

Потім завантажуєте пару зашифрованих файлів та натискаєте Go! Find out:

На момент написання статті дешифратора на сайті не було.

Можливо, вам пощастить більше. Можна ще ознайомитися зі списком дешифраторів для завантаження на окремій сторінці - https://www.nomoreransom.org/decryption-tools.html. Можливо, там знайдеться щось корисне. Коли вірус дуже свіжий шансів на це мало, але з часом можливо щось з'явиться. Існують приклади, коли в мережі з'являлися дешифратори до деяких модифікацій шифрувальників. І ці приклади є на вказаній сторінці.

Де ще можна знайти дешифратора, я не знаю. Навряд чи реально існуватиме, з урахуванням особливостей роботи сучасних шифрувальників. Повноцінний дешифратор може лише у авторів вірусу.

Як розшифрувати та відновити файли після вірусу CRYPTED000007

Що робити, коли вірус CRYPTED000007 зашифрував ваші файли? Технічна реалізація шифрування не дозволяє розшифровувати файли без ключа або дешифратора, який є тільки у автора шифрувальника. Можливо, є ще якийсь спосіб його отримати, але в мене немає такої інформації. Нам залишається лише спробувати відновити файли підручними методами. До таких належать:

  • Інструмент тіньових копій windows.
  • Програми відновлення віддалених даних

Для початку перевіримо, чи у нас тіньові копії. Цей інструмент за замовчуванням працює у Windows 7 і вище, якщо ви його не відключили вручну. Для перевірки відкриваємо властивості комп'ютера та переходимо до розділу захисту системи.

Якщо ви не підтвердили запит UAC на видалення файлів у тіньових копіях під час зараження, то якісь дані у вас там повинні залишитися. Докладніше про цей запит я розповів на початку розповіді, коли розповідав про роботу вірусу.

Для зручного відновлення файлів із тіньових копій пропоную скористатися безкоштовною програмоюдля цього - ShadowExplorer. Завантажуйте архів, розпакуйте програму та запускайте.

Відкриється остання копія файлів та корінь диска C. У лівому верхньому куткуможна вибрати резервну копію, якщо їх кілька. Перевірте різні копії на наявність файлів. Порівняйте за датами, де більше свіжа версія. У моєму прикладі нижче я знайшов 2 файли на робочому столі тримісячної давності, коли вони востаннє редагувалися.

Мені вдалося відновити ці файли. Для цього я їх вибрав, натиснув правою кнопкою миші, вибрав Export та вказав папку, куди їх відновити.

Ви можете відновлювати папки за таким же принципом. Якщо у вас працювали тіньові копії і ви їх не видаляли, у вас досить багато шансів відновити всі або майже всі файли, зашифровані вірусом. Можливо, якісь із них будуть більш старої версіїчим хотілося б, але тим не менше, це краще, ніж нічого.

Якщо з якоїсь причини у вас немає тіньових копій файлів, залишається єдиний шанс отримати хоч щось із зашифрованих файлів – відновити їх за допомогою засобів відновлення видалених файлів. Для цього пропоную скористатися безкоштовною програмою Photorec.

Запускайте програму та вибирайте диск, на якому відновлюватимете файли. Запуск графічної версії програми виконує файл qphotorec_win.exe. Необхідно вибрати папку, куди будуть розміщені знайдені файли. Краще, якщо ця папка буде розташована не на тому ж диску, де ми шукаємо. Підключіть флешку або зовнішній жорсткий диск для цього.

Процес пошуку триватиме довго. Наприкінці ви побачите статистику. Тепер можна йти у зазначену раніше папку та дивитися, що там знайдено. Файлів буде швидше за все багато і більшість з них будуть пошкоджені, або це будуть якісь системні і марні файли. Але в цьому списку можна буде знайти і частину корисних файлів. Тут уже жодних гарантій немає, що знайдете, те знайдете. Найкраще, як правило, відновлюються зображення.

Якщо результат вас не задовольнить, то є ще програми для відновлення віддалених файлів. Нижче список програм, які я зазвичай використовую, коли потрібно відновити максимальна кількістьфайлів:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Програми ці не безкоштовні, тому я не наводитиму посилань. За великого бажання ви зможете їх самі знайти в інтернеті.

Весь процес відновлення файлів докладно показаний у відео наприкінці статті.

Касперський, eset nod32 та інші у боротьбі з шифрувальником Filecoder.ED

Популярні антивіруси визначаю шифрувальник CRYPTED000007 як Filecoder.EDі далі може бути ще якесь позначення. Я пробігся форумами основних антивірусів і не побачив там нічого корисного. На жаль, як завжди, антивіруси виявилися не готовими до нашестя нової хвилі шифрувальників. Ось повідомлення з форуму Kaspersky.

Антивіруси традиційно пропускають нові модифікації троянів-шифрувальників. Проте я рекомендую ними користуватися. Якщо вам пощастить, і ви отримаєте на пошту шифрувальника не в першу хвилю заражень, а трохи пізніше є шанс, що антивірус вам допоможе. Вони все працює на крок позаду зловмисників. Виходить нова версія здирника, антивіруси на неї не реагують. Як тільки накопичується певна маса матеріалу для дослідження по новому вірусу, антивіруси випускають оновлення та починають на нього реагувати.

Що заважає антивірусам реагувати відразу на будь-який процес шифрування в системі, мені не зрозуміло. Можливо, є якийсь технічний нюанс на цю тему, який не дозволяє адекватно зреагувати і запобігти шифруванню файлів користувача. Мені здається, можна було хоча б попередження виводити на тему того, що хтось шифрує ваші файли, і запропонувати зупинити процес.

Куди звернутися за гарантованим розшифруванням

Мені довелося познайомитися з однією компанією, яка реально розшифровує дані після роботи різних вірусів-шифрувальників, у тому числі CRYPTED000007. Їхня адреса - http://www.dr-shifro.ru. Оплата лише після повної розшифровки та вашої перевірки. Ось зразкова схема роботи:

  1. Фахівець компанії під'їжджає до вас в офіс або на будинок, та підписує з вами договір, у якому фіксує вартість робіт.
  2. Запускає дешифратор та розшифровує всі файли.
  3. Ви переконуєтеся в тому, що всі файли відкриваються і підписуєте акт здачі/приймання виконаних робіт.
  4. Оплата лише за фактом успішного результату дешифрації.

Скажу чесно, я не знаю, як вони це роблять, але ви нічого не ризикуєте. Оплата лише після демонстрації роботи дешифратора. Прохання написати відгук про досвід взаємодії з цією компанією.

Методи захисту від вірусу CRYPTED000007

Як захиститися від роботи шифрувальника та обійтися без матеріальних та моральних збитків? Є кілька простих та ефективних порад:

  1. Бекап! Резервна копіяважливих даних. І не просто бекап, а бекап, до якого немає постійного доступу. Інакше вірус може заразити як ваші документи, і резервні копії.
  2. Ліцензійний антивірус. Хоча вони не дають 100% гарантії, але шанси уникнути шифрування збільшують. До нових версій шифрувальника вони найчастіше не готові, але вже через 3-4 дні починають реагувати. Це підвищує ваші шанси уникнути зараження, якщо ви не потрапили в першу хвилю розсилки нової модифікації шифрувальника.
  3. Не відкривайте підозрілі вкладення у пошті. Тут коментувати нема чого. Усі відомі мені шифрувальники потрапили до користувачів через пошту. Причому щоразу вигадують нові хитрощі, щоб обдурити жертву.
  4. Не відкривайте бездумно посилання, надіслані вам від ваших знайомих через соціальні мережі чи месенджери. Так також іноді поширюються віруси.
  5. Увімкніть у Windows відображення розширень файлів. Як це легко зробити в інтернеті. Це дозволить помітити розширення файлу на вірусі. Найчастіше воно буде .exe, .vbs, .src. У повсякденній роботі з документами вам навряд чи трапляються такі розширення файлів.

Постарався доповнити те, що вже писав раніше у кожній статті про вірус шифрувальник. А поки що прощаюся. Буду радий корисним зауваженням за статтею та вірусом-шифрувальником CRYPTED000007 в цілому.

Відео з розшифровкою та відновленням файлів

Тут є приклад попередньої модифікації вірусу, але відео повністю актуально і для CRYPTED000007.

— це шкідлива програма, яка за своєї активізації шифрує всі персональні файли, такі як документи, фотографії тощо. Кількість подібних програм дуже велика і вона збільшується з кожним днем. Тільки в Останнім часомми зіткнулися з десятками варіантами шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, to. Мета таких вірусів-шифрувальників змусити користувачів купити, часто за велику суму грошей, програму та ключ необхідні для розшифровування власних файлів.

Звичайно можна відновити зашифровані файли, просто виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, також потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І, звичайно, просто неприємно платити за відновлення своїх власних файлів.

Нижче ми більш детально розповімо про віруси-шифрувальники, спосіб їх проникнення на комп'ютер жертви, а також про те, як видалити вірус-шифрувальник і відновити зашифровані ним файли.

Як вірус-шифрувальник проникає на комп'ютер

Вірус-шифрувальник зазвичай поширюється за допомогою електронної пошти. Лист містить заражені документи. Такі листи розсилаються величезною базою адрес електронної пошти. Автори цього вірусу використовують заголовки і зміст листів, що вводять в оману, намагаючись обманом змусити користувача відкрити вкладений в лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитись свіжий прайс-лист, треті відкрити веселу фотографію тощо. У будь-якому разі результатом відкриття прикріпленого файлу буде зараження комп'ютера вірусом-шифрувальником.

Що таке вірус-шифрувальник

Вірус-шифрувальник - це шкідлива програма, яка вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ці віруси намагаються використовувати якомога стійкіші режими шифрування, наприклад RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійної розшифровки файлів.

Під час зараження комп'ютера вірус-шифрувальник використовує системний каталог %APPDATA% для зберігання власних файлів. Для автоматичного запуску себе бреши включенні комп'ютера, шифрувальник створює запис в реєстрі Windows: розділах HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві та хмарні сховища, для визначення файлів, які будуть зашифровані. Вірус-шифрувальник використовує розширення імені файлу як спосіб визначення групи файлів, які будуть піддані зашифровці. Шифруються практично всі види файлів, включаючи такі поширені як:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, . xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Відразу після того, як файл зашифрований він отримує нове розширення, за яким часто можна ідентифікувати ім'я або тип шифрувальника. Деякі типи цих шкідливих програм можуть змінювати імена зашифрованих файлів. Потім вірус створює текстовий документ з іменами подібними до HELP_YOUR_FILES, README, який містить інструкцію з розшифровки зашифрованих файлів.

Під час своєї роботи вірус-шифрувальник намагається закрити можливість відновити файли використовуючи систему SVC (тіньові копії файлів). Для цього вірус у командному режимівикликає утиліту адміністрування тіньових копій файлів з ключем, що запускає процедуру їх повного видалення. Таким чином, практично завжди неможливо відновити файли за допомогою використання тіньових копій.

Вірус-шифрувальник активно використовує тактику залякування, даючи жертві посилання на опис алгоритму шифрування та показуючи загрозливе повідомлення на Робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, надіслати ID комп'ютера на адресу електронної пошти автора вірусу, щоб повернути свої файли. Відповіддю на таке повідомлення найчастіше є сума викупу та адреса електронного гаманця.

Мій комп'ютер заражений вірусом-шифрувальником?

Визначити заражений комп'ютер чи ні вірусом-шифрувальником досить легко. Зверніть увагу на розширення персональних файлів, таких як документи, фотографії, музика і т.д. Якщо розширення змінилося або ваші персональні файли зникли, залишивши по собі безліч файлів з невідомими іменами, комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям HELP_YOUR_FILES або README у ваших каталогах. Цей файл міститиме інструкцію з розшифровки файлів.

Якщо ви підозрюєте, що відкрили лист заражений вірусом шифрувальником, але симптомів зараження поки немає, то не вимикайте і не перезавантажуйте комп'ютер. Виконайте кроки, описані в цьому посібнику, розділ . Ще раз повторюся, дуже важливо не вимикати комп'ютер, у деяких типах шифрувальників процес зашифрування файлів активізується при першому, після зараження, увімкненні комп'ютера!

Як розшифрувати файли зашифровані вірусом-шифрувальником?

Якщо це лихо трапилося, то не треба панікувати! Але треба знати, що здебільшого безкоштовного розшифровувача немає. Виною цьому є стійкі алгоритми шифрування, які використовуються подібними шкідливими програмами. Це означає, що без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа також не вихід, через велику довжину ключа. Тому, на жаль, лише оплата авторам вірусу всієї суми, що запитує, — єдиний спосіб спробувати отримати ключ розшифровки.

Звичайно, немає абсолютно жодної гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ, необхідний для розшифровування ваших файлів. Крім цього, потрібно розуміти, що платячи гроші розробникам вірусів, ви самі підштовхуєте їх на створення нових вірусів.

Як видалити вірус-шифрувальник?

Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу та спроби самостійного відновлення файлів, ви блокуєте можливість розшифрувати файли, заплативши авторам вірусу запрошену ними суму.

Kaspersky Virus Removal Tool та Malwarebytes Anti-malware можуть виявляти різні типиактивних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

За замовчуванням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.

У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, в який будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).

Щоб запустити процедуру пошуку та відновлення вихідних копій зашифрованих файлів, натисніть кнопку Search. Цей процес триває досить довго, тому наберіться терпіння.

Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлівзнайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, тому що QPhotoRec при відновленні файлу намагається відновити цю властивість.

Як запобігти зараженню комп'ютера вірусом-шифрувальником?

Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення та активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, обов'язково її встановіть. Як її вибрати можете дізнатися прочитавши цю.

Більше того, є й спеціалізовані захисні програми. Наприклад, це CryptoPrevent, докладніше .

Декілька фінальних слів

Виконавши цю інструкцію, ваш комп'ютер буде очищений від вірусу-шифрувальника. Якщо у вас виникли питання або вам потрібна допомога, то звертайтеся на наш сайт.

По всьому світу прокотилася хвиля нового вірусу-шифрувальника WannaCry (інші назви Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), який зашифровує документи на комп'ютері і вимагає 300-600 USD за їхнє декодування. Як дізнатися, чи заражено комп'ютер? Що треба зробити, щоби не стати жертвою? І що зробити, щоби вилікуватися?

Після встановлення оновлень комп'ютер потрібно буде перевантажити.

Як вилікується від вірусу-шифрувальника Wana Decrypt0r?

Коли антивірусна утиліта, Виявить вірус, вона або видалить його відразу, або запитає у вас лікувати чи ні? Відповідь – лікувати.

Як відновити зашифровані файли Wana Decryptor?

Нічого втішного зараз повідомити не можемо. Поки інструмента розшифровування файлів не створили. Поки що залишається лише почекати, коли дешифрувальник буде розроблений.

За даними Брайана Кребса (Brian Krebs), експерта з комп'ютерної безпеки, на даний момент злочинці отримали лише 26'000 USD, тобто близько 58 осіб погодилося заплатити викуп здирникам. Чи відновили вони свої документи, ніхто не знає.

Як зупинити розповсюдження вірусу в мережі?

У випадку з WannaCry вирішенням проблеми може стати блокування 445 порту на Firewall (міжмережевий екран), через яке відбувається зараження.

"Лабораторія Касперського" про шифрувальник "WannaCry"

Фахівці "Лабораторії Касперського" проаналізували інформацію про зараження програмою-шифрувальником, що отримала назву "WannaCry", з якими 12 травня зіткнулися компанії по всьому світу.

Фахівці "Лабораторії Касперського" проаналізували інформацію про зараження програмою-шифрувальником, що отримала назву "WannaCry", з якими 12 травня зіткнулися компанії по всьому світу. Як показав аналіз, атака відбувалася через відому мережеву вразливість Microsoft Security Bulletin MS17-010. Потім на заражену систему встановлювався руткіт, використовуючи який зловмисники запускали програму-шифрувальник.

Всі рішення «Лабораторії Касперського» детектують цей шкідливий ПЗ, які використовувалися в цій атаці, такими вердиктами:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (для детектування даного зловреда компонент «Моніторинг Системи» має бути включений)

За розшифровку даних зловмисники вимагають заплатити викуп у розмірі 600 доларів США криптовалюті Bitcoin. На даний момент "Лабораторія Касперського" зафіксувала близько 45 000 спроб атак у 74 країнах по всьому світу. Найбільшеспроб заражень спостерігається у Росії.

Якщо Ваші файли були зашифровані, категорично не можна використовувати пропоновані в мережі Інтернет або отримані в електронних листах засоби розшифровки. Файли зашифровані криптостійким алгоритмом і не можуть бути розшифровані, а утиліти, завантажені вами, можуть завдати ще більшої шкоди вашому комп'ютеру, так і комп'ютерам у всій організації, оскільки потенційно є шкідливими і націлені на нову хвилю епідемії.

Якщо ви виявили, що ваш комп'ютер зазнав зараження, слід вимкнути його і звернутися до відділу інформаційної безпекидля отримання наступних інструкцій.

  • Встановитиофіційний патч відMicrosoft , який закриває вразливість, що використовується в атаці (зокрема вже доступні оновлення для версійWindowsXPіWindows2003);
  • Переконатися, що захисні рішення включені на всіх вузлах мережі;
  • Якщо використовується захисне рішення «Лабораторії Касперського», переконатися, що його версія включає компонент «Моніторинг Системи» і він включений;
  • Запустити завдання сканування критичних областей захисному рішенні"Лабораторії Касперського", щоб виявити можливе зараження якомога раніше (інакше детектування відбудеться автоматично протягом 24 годин);
  • Після детектування Trojan.Win64.EquationDrug.gen, зробити перезавантаження системи;
  • Надалі для попередження подібних інцидентів використовувати сервіси інформування про загрози, щоб своєчасно отримувати дані про найбільш небезпечні таргетовані атаки та можливі зараження.

Докладнішу інформацію про атаки “WannaCry” можна знайти у звіті «Лабораторії Касперського»

Сучасні технології дозволяють хакерам постійно вдосконалювати способи шахрайства щодо звичайним користувачам. Як правило, для цих цілей використовується вірусне програмне забезпечення, що проникає на комп'ютер. Особливо небезпечним вважаються віруси-шифрувальники. Загроза полягає в тому, що вірус дуже швидко розповсюджується, зашифровуючи файли (користувач просто не зможе відкрити жоден документ). І якщо досить просто, то набагато складніше розшифрувати дані.

Що робити, якщо вірус зашифрував файли на комп'ютері

Зазнати атаки шифрувальника може кожен, не застраховані навіть користувачі, у яких стоїть потужне антивірусне програмне забезпечення. Трояни шифрувальники файлів представлені різним кодом, який може бути не під силу антивірусу. Хакери навіть примудряються атакувати таким способом великі компанії, які не подбали про необхідний захист своєї інформації. Отже, підчепивши в онлайні програму шифрувальник, необхідно вжити ряд заходів.

Головні ознаки зараження – повільна робота комп'ютера та зміна найменувань документів (можна побачити робочому столі).

  1. Перезапустіть комп'ютер, щоб зупинити шифрування. Під час увімкнення не підтверджуйте запуск невідомих програм.
  2. Запустіть антивірус, якщо він не зазнав атаки шифрувальника.
  3. Відновити інформацію в деяких випадках допоможуть тіньові копії. Щоб знайти їх, відкрийте «Властивості» зашифрованого документа. Цей спосіб працює із зашифрованими даними розширення Vault, про який є інформація на порталі.
  4. Завантажте утиліту останньої версіїдля боротьби з вірусами-шифрувальниками. Найефективніші пропонує «Лабораторія Касперського».

Віруси-шифрувальники у 2016: приклади

При боротьбі з будь-якою вірусною атакою важливо розуміти, що код часто змінюється, доповнюючись новим захистом від антивірусів. Звісно ж, програмам захисту потрібен якийсь час, поки розробник не оновить бази. Нами були відібрані найнебезпечніші віруси-шифрувальники останнього часу.

Ishtar Ransomware

Ishtar – шифрувальник, який вимагає у користувача гроші. Вірус був помічений восени 2016 року, заразивши величезну кількість комп'ютерів користувачів з Росії та інших країн. Поширюється за допомогою email-розсилки, в якій йдуть вкладені документи (інсталятори, документи тощо). Заражені шифрувальником Ishtar дані одержують у назві приставку «ISHTAR». У процесі створюється тестовий документ, де зазначено, куди звернутися за отриманням пароля. Зловмисники вимагають за нього від 3000 до 15000 рублів.

Небезпека вірусу Ishtar у тому, що на сьогоднішній день немає дешифратора, який допоміг би користувачам. Компаніям, що займаються створенням антивірусного ПЗ, потрібен час, щоб розшифрувати весь код. Нині можна лише ізолювати важливу інформацію(якщо особливу важливість) на окремий носій, чекаючи виходу утиліти, здатної розшифрувати документи. Рекомендується перевстановити операційну систему.

Neitrino

Шифрувальник Neitrino з'явився на просторах Мережі в 2015 році. За принципом атаки схожий на інші віруси подібної категорії. Змінює найменування папок та файлів, додаючи "Neitrino" або "Neutrino". Дешифрації вірус важко піддається – беруться за це далеко не всі представники антивірусних компаній, посилаючись на дуже складний код. Деякі користувачі можуть допомогти відновити тіньову копію. Для цього клацніть правою кнопкою миші зашифрований документ, перейдіть в «Властивості», вкладка «Попередні версії», натисніть «Відновити». Не зайвим буде скористатися і безкоштовною утилітою від «Лабораторії Касперського».

Wallet або .wallet.

З'явився вірус-шифрувальник Wallet наприкінці 2016 року. У процесі зараження змінює найменування даних на «Ім'я. wallet» або подібне. Як і більшість вірусів-шифрувальників, потрапляє до системи через вкладення в електронних листах, які розсилають зловмисники. Оскільки загроза виникла зовсім недавно, антивірусні програми не помічають його. Після шифрації створює документ, у якому шахрай вказує пошту зв'язку. В даний час розробники антивірусного ПЗ працюють над розшифровкою коду вірусу-шифрувальника [email protected]Користувачам, які зазнали атаки, залишається лише чекати. Якщо важливі дані, рекомендується їх зберегти на зовнішній накопичувач, очистивши систему.

Enigma

Вірус-шифрувальник Enigma почав заражати комп'ютери російських користувачів наприкінці квітня 2016 року. Використовується модель шифрування AES-RSA, яка сьогодні зустрічається у більшості вірусів-вимагачів. На комп'ютер вірус проникає за допомогою скрипта, який запускає користувач, відкривши файли з підозрілого електронного листа. Досі немає універсального засобу для боротьби із шифрувальником Enigma. Користувачі, які мають ліцензію на антивірус, можуть попросити про допомогу на офіційному веб-сайті розробника. Також було знайдено невелику «лазівку» – Windows UAC. Якщо користувач натисне «Ні» у вікні, яке з'являється в процесі зараження вірусом, зможе згодом відновити інформацію за допомогою тіньових копій.

Granit

Новий вірус-шифрувальник Granit з'явився в Мережі восени 2016 року. Зараження відбувається за таким сценарієм: користувач запускає інсталятор, який заражає і шифрує всі дані на ПК, а також підключених накопичувачах. Боротися із вірусом складно. Для видалення можна скористатися спеціальними утилітами Kaspersky, але розшифрувати код ще не вдалося. Можливо, допоможе відновити попередні версії даних. Окрім цього, розшифрувати може спеціаліст, який має великий досвід, але послуга коштує дорого.

Tyson

Був помічений нещодавно. Є розширенням вже відомого шифрувальника no_more_ransom, про який ви можете дізнатися на нашому сайті. Потрапляє на персональні комп'ютери із електронної пошти. Атаку зазнало багато корпоративних ПК. Вірус створює текстовий документз інструкцією для розблокування, пропонуючи заплатити викуп. Шифрувальник Tyson з'явився нещодавно, тому ключа для розблокування ще немає. Єдиний спосіб відновити інформацію – повернути попередні версії, якщо вони не зазнали видалення вірусом. Можна, звичайно, ризикнути, перевівши гроші на вказаний зловмисниками рахунок, але немає гарантій, що ви отримаєте пароль.

Spora

На початку 2017 року низка користувачів стала жертвою нового шифрувальника Spora. За принципом роботи він не сильно відрізняється від своїх побратимів, але може похвалитися професійнішим виконанням: краще складено інструкцію з отримання пароля, веб-сайт виглядає красивіше. Створено вірус-шифрувальник Spora на мові С, використовує поєднання RSA та AES для шифрування даних жертви. Атаку зазнали, як правило, комп'ютери, на яких активно використовується бухгалтерська програма 1С. Вірус, ховаючись під виглядом простого рахунку у форматі.pdf, змушує працівників компаній запускати його. Лікування поки що не знайдено.

1C.Drop.1

Цей вірус-шифрувальник для 1С з'явився влітку 2016 року, порушивши роботу багатьох бухгалтерій. Розроблено спеціально для комп'ютерів, на яких використовується програмне забезпечення 1С. Потрапляючи за допомогою файлу в електронному листі до ПК, пропонує власнику оновити програму. Яку кнопку користувач не натиснув, вірус почне шифрування файлів. Над інструментами для розшифровки працюють фахівці «Dr.Web», але поки що рішення не знайдено. Виною тому складний код, який може бути у кількох модифікаціях. Захистом від 1C.Drop.1 стає лише пильність користувачів та регулярне архівування важливих документів.

da_vinci_code

Новий шифрувальник з незвичайною назвою. З'явився вірус навесні 2016 року. Від попередників відрізняється покращеним кодом та стійким режимом шифрування. da_vinci_code заражає комп'ютер завдяки виконавчому додатку (додається зазвичай до електронного листа), який користувач самостійно запускає. Шифрувальник "да Вінчі" (da vinci code) копіює тіло в системний каталог і реєстр, забезпечуючи автоматичний запуск при включенні Windows. Комп'ютеру кожної жертви надається унікальний ID (допомагає отримати пароль). Розшифрувати дані практично неможливо. Можна сплатити гроші зловмисникам, але ніхто не гарантує отримання пароля.

[email protected] / [email protected]

Дві адреси електронної пошти, якими часто супроводжувалися віруси-шифрувальники у 2016 році. Саме вони служать зв'язку жертви зі зловмисником. Додавалися адреси до різних видів вірусів: da_vinci_code, no_more_ransom і так далі. Вкрай не рекомендується зв'язуватися, а також переказувати гроші шахраям. Користувачі здебільшого залишаються без паролів. Таким чином, показуючи, що шифрувальники зловмисників працюють, приносячи дохід.

Breaking Bad

З'явився ще на початку 2015 року, але активно поширився лише за рік. Принцип зараження ідентичний іншим шифрувальникам: інсталяція файлу з електронного листа, шифрування даних. Звичайні антивіруси, зазвичай, не помічають вірус Breaking Bad. Деякий код не може обминути Windows UAC, тому користувач має можливість відновити попередні версії документів. Дешифратора поки що не представила жодна компанія, що розробляє антивірусне ПЗ.

XTBL

Дуже поширений шифрувальник, який завдав неприємностей багатьом користувачам. Потрапивши на ПК, вірус за лічені хвилини змінює розширення файлів на .xtbl. Створюється документ, у якому зловмисник вимагає коштів. Деякі різновиди вірусу XTBL не можуть знищити файли для відновлення системи, що дає змогу повернути важливі документи. Сам вірус можна видалити багатьма програмами, але розшифрувати документи дуже складно. Якщо є ліцензійний антивірус, скористайтесь технічною підтримкою, додавши зразки заражених даних.

Kukaracha

Шифрувальник «Кукарача» був помічений у грудні 2016 року. Вірус з цікавою назвою приховує файли користувача за допомогою алгоритму RSA-2048, який відрізняється високою стійкістю. Антивірус Kaspersky позначив його як Trojan-Ransom.Win32.Scatter.lb. Kukaracha може бути видалено з комп'ютера, щоб зараженню не зазнали інших документів. Проте заражені на сьогодні практично неможливо розшифрувати (дуже потужний алгоритм).

Як працює вірус-шифрувальник

Існує безліч шифрувальників, але вони працюють за подібним принципом.

  1. Влучення на персональний комп'ютер. Як правило, завдяки вкладеному файлу до електронного листа. Інсталяцію у своїй ініціює сам користувач, відкривши документ.
  2. Зараження файлів. Піддаються шифрації майже всі типи файлів (залежить від вірусу). Створюється текстовий документ, у якому вказані контакти зв'язку зі зловмисниками.
  3. Усе. Користувач не може отримати доступу до жодного документа.

Засоби боротьби від популярних лабораторій

Широке поширення шифрувальників, які визнаються найнебезпечнішими загрозами для даних користувачів, стало поштовхом для багатьох антивірусних лабораторій. Кожна популярна компанія надає своїм користувачам програми, що допомагають боротися із шифрувальниками. Крім того, багато з них допомагають із розшифровкою документів захистом системи.

Kaspersky та віруси-шифрувальники

Одна з найвідоміших антивірусних лабораторій Росії та світу пропонує сьогодні найдієвіші засоби для боротьби з вірусами-вимагачами. Першою перешкодою для вірусу-шифрувальника стане Kaspersky Endpoint Security 10 с останніми оновленнями. Антивірус просто не пропустить на комп'ютер загрозу (щоправда, нові версії може не зупинити). Для розшифровки інформації розробник представляє відразу кілька безкоштовних утиліт: , XoristDecryptor, RakhniDecryptor та Ransomware Decryptor. Вони допомагають шукати вірус і підбирають пароль.

Dr. Web та шифрувальники

Ця лабораторія рекомендує використовувати їх антивірусну програму, Головною особливістю якої стало резервування файлів Сховище з копіями документів також захищене від несанкціонованого доступу зловмисників. Власникам ліцензійного продукту Dr. Web доступна функція звернення за допомогою технічну підтримку. Щоправда, і досвідчені фахівці не завжди можуть протистояти цьому типу загроз.

ESET Nod 32 та шифрувальники

Осторонь не залишилася ця компанія, забезпечуючи своїм користувачам непоганий захист від проникнення вірусів на комп'ютер. Крім того, лабораторія нещодавно випустила безкоштовну утиліту з актуальними базами – Eset Crysis Decryptor. Розробники заявляють, що вона допоможе у боротьбі навіть із найновішими шифрувальниками.

Не вмикається

Вам також може сподобатися