Пути распространения вирусов-шифраторов
Основной путь попадания вредоноса на компьютеры частных пользователей и организаций – электронная почта, точнее, приложенные к письмам файлы и ссылки.
Пример такого письма, предназначенный для «корпоративных клиентов»:
- «Срочно погасите долг по кредиту».
- «Исковое заявление подано в суд».
- «Оплатите штраф/взнос/налог».
- «Доначисление коммунального платежа».
- «Ой, это ты на фотографии?»
- «Лена попросила срочно передать это тебе» и т. д.
Согласитесь, только знающий пользователь отнесется к такому письму с настороженностью. Большинство, не задумываясь, откроет вложение и запустит вредоносную программу своими руками. Кстати, невзирая на вопли антивируса.
Также для распространения шифровальщиков активно используются:
- Социальные сети (рассылка с аккаунтов знакомых и незнакомых людей).
- Вредоносные и зараженные веб-ресурсы.
- Баннерная реклама.
- Рассылка через мессенджеры со взломанных аккаунтов.
- Сайты-варезники и распространители кейгенов и кряков.
- Сайты для взрослых.
- Магазины приложений и контента.
Проводниками вирусов-шифраторов нередко бывают другие вредоносные программы, в частности, демонстраторы рекламы и трояны-бэкдоры. Последние, используя уязвимости в системе и ПО, помогают преступнику получить удаленный доступ к зараженному устройству. Запуск шифровальщика в таких случаях не всегда совпадает по времени с потенциально опасными действиями пользователя. Пока бэкдор остается в системе, злоумышленник может проникнуть на устройство в любой момент и запустить шифрование.
Для заражения компьютеров организаций (ведь у них можно отжать больше, чем у домашних юзеров) разрабатываются особо изысканные методы. Например, троянец Petya проникал на устройства через модуль обновления программы для ведения налогового учета MEDoc.
Шифровальщики с функциями сетевых червей, как уже говорилось, распространяются по сетям, в том числе Интернет, через уязвимости протоколов. И заразиться ими можно, не делая ровным счетом ничего. Наибольшей опасности подвергаются пользователи редкообновляемых ОС Windows, поскольку обновления закрывают известные лазейки.
Некоторые зловреды, такие, как WannaCry, эксплуатируют уязвимости 0-day (нулевого дня), то есть те, о которых пока не знают разработчики систем. Полноценно противостоять заражению таким путем, увы, невозможно, однако вероятность, что именно вы попадете в число пострадавших, не дотягивает даже до 1%. Почему? Да потому, что вредоносное ПО не может одномоментно заразить все уязвимые машины. И пока оно намечает новые жертвы, разработчики систем успевают выпустить спасительное обновление.
Что, даже для iPhone есть вымогатели?
Вот разве что для iPhone и iPad их пока и нет. Ну или почти нет — есть неприятные веб-страницы, которые отказываются закрываться. Однако их можно «убить», зайдя в настройки и удалив все данные о веб-активности Safari. Стоит учитывать, что вашему iPhone вымогатели не грозят, только если на нем никто не делал джейлбрейк. Если же iPhone взломан, то и для зловредов дорога широко открыта.
Кстати, в ближайшем будущем, видимо, появятся вымогатели для iPhone без джейлбрейка, как появятся они и для Интернета вещей. Ведь за заблокированный телевизор или «умный» холодильник с жертвы наверняка можно потребовать кругленькую сумму.
Восстановление файлов
Прерывание процесса шифрования
Только представьте, сколько на компьютере разнообразных файлов, поэтому шифровальщик не способен обработать их все мгновенно. А это значит, что этот процесс можно прервать, как и любую другую программу.
- Отключить компьютер от интернета. Сделать это можно несколькими способами на ваш выбор:
- выдернуть кабель;
- отключить соединение в «Центре управления сетями и общим доступом»;
-
в диспетчере устройств деактивировать сетевой адаптер.
-
Открыть «Диспетчер задач» (Ctrl + Alt + Delete) избавиться от файлов, которые проявляют чрезмерную активность, и удалить подозрительные процессы.
- Сохранить код, который вас просят выслать злоумышленники (только не в файле на этом же компьютере), потом вы сможете отправить его разработчикам антивирусов.
Удаление вируса с помощью антивируса
Для очистки системы понадобятся две утилиты — Dr.Web CuteIt! и Anti-Malware. С помощью незаражённого компьютера загрузите их на флешку и используйте при появлении вирусов на компьютере.
-
Загружаем систему в безопасном режиме, в нём будут работать только основные системные процессы, поэтому вирус не сможет помешать избавиться от него.
-
Для очистки системы используем утилиту Dr.Web CuteIt!.
-
Выбираем для проверки все объекты.
-
Ждём завершения процесса.
-
Обезвреживаем все угрозы.
-
Делаем ещё одну проверку с помощью Anti-Malware от компании Malwarebytes. Утилита поможет избавиться от следов вредоносных программ.
Использование программ-дешифраторов
Многие пытаются создать универсальный дешифратор для таких файлов, но в настоящее время его нет. Не верьте людям в интернете, которые гарантируют вам результат за небольшое вознаграждение, не попадайтесь на удочку мошенников. Существует несколько антивирусных лабораторий, которые сделали пусть пока что не совсем идеальные, но всё-таки работающие дешифраторы.
Единственным условием использования дешифратора Dr.Web является наличие платной версии антивируса на компьютере, например, Dr.Web Security Space или Dr.Web Enterprise Security Suite.
У лаборатории Касперского также есть решение этой проблемы.
Можно также использовать онлайн-дешифратор.
Как расшифровать файлы с помощью лаборатории Касперского — видео
- В панели управления находим элемент «Архивация и восстановление».
-
Выбираем «Восстановить мои файлы».
-
Переходим на окно мастера восстановления.
- Выбираем дату архива.
- Ищем файлы, которые нужно восстановить.
-
Нажимаем кнопку «Далее» и переходим к выбору места назначения для восстанавливаемых файлов.
- Нажимаем «Восстановить» и ждём завершения процесса.
Вирус зашифровал все файлы на компьютере: способы лечения
Если вы стали жертвой киберпреступности и данные на вашем компьютере были заражены одним из шифровальных видов вредоносных программ, тогда самое время попытаться восстановить файлы.
Существует несколько способов бесплатного лечения зараженных документов:
- Наиболее распространенный метод и, наверное, самый действенный в нынешний момент — резервное копирование документов и последующее восстановление в случае непредвиденного заражения.
- Программное восстановление файлов. Алгоритм CTB-вируса работает интересным образом. Попадая в компьютер, он копирует файлы, шифрует их, а оригиналы документов удаляет, тем самым исключая возможность их восстановления. Но с помощью программного софта Photorec или R-Studio вы можете успеть сохранить некоторые нетронутые оригинальные файлы. Следует знать, что чем дольше вы пользуетесь компьютером после его заражения, тем меньше вероятность восстановления всех необходимых документов.
- Если вирус зашифровал все файлы .vault, есть еще один неплохой способ их дешифровки — использование теневых томов копий. Конечно, вирус будет пытаться навсегда и безвозвратно удалить их все, но случается и так, что некоторые файлы остаются нетронутыми. В этом случае у вас будет хоть и маленький, но шанс их восстановления.
- Существует возможность хранения данных на файлообменниках, таких как DropBox. Его можно установить на компьютер в виде локального отображения диска. Естественно, шифровальный вирус будет и его инфицировать. Но в этом случае гораздо реальнее восстановить документы и важные файлы.
Можно что-то настроить на компьютере, чтобы защититься от вируса шифровальщика?
а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.
б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.
в) Включить показ расширений файлов в «Проводнике» Windows.
г) Windows обычно помечает опасные файлы скриптов VBS и JS иконкой текстового документа, что сбивает неопытных пользователей с толку. Проблему можно решить, назначив программу «Блокнот» (Notepad) приложением по умолчанию для расширений VBS и JS.
д) Можно включить в антивирусе функцию «Режим безопасных программ» (Trusted Applications Mode ), запрещающую установку и исполнение любых программ, которые не внесены в «белый список». По умолчанию она не включена, так как требует некоторого времени для настройки. Но это действительно полезная штука, особенно если пользователи у компьютера не самые продвинутые и есть риск, что они случайно запустят что-нибудь не то.
О том, как обнаружить и удалить угрозу
Перед тем, как приступать к расшифровке файлов crypted000007, необходимо найти и удалить вирус с компьютера.
Поэтому настоятельно рекомендую следующее:
- После обнаружения хотя-бы одного закодированного файла, незамедлительно выключить компьютер.
- Затем с другого устройства скачать антивирусные программы, включая бесплатную утилиту от Доктор Веб, Malwarebytes Anti-Malware и AVZ.
- Войти в безопасный режим. Таким образом вы деактивируете вымогатель. Для его запуска при старте компьютера нужно нажимать клавишу «F8» до появления соответствующего окна.
- Провести полную проверку системы и вылечить компьютер от найденных угроз.
Ручной способ обнаружения:
- Чаще всего шифровальщик crypted000007 встраивается в системный компонент csrss.exe для несения своей вредоносной деятельности. Однако, в некоторых случаях могут использоваться и другие названия. Определить потенциальные угрозы можно открыв диспетчер задач и перейдя во вкладку «Процессы».
- Отсортируйте значения и посмотрите, какой процесс больше всего расходует ресурсов процессора или оперативной памяти.
- Нажмите по нему правой мышкой и выберите пункт «Открыть место хранения». Также можно воспользоваться обычным поиском через «Мой компьютер».
- Удалите найденный компонент с диска.
- Откройте редактор реестра комбинацией «WIN+R», выполнив команду «regedit». Перед тем, как начать работу с реестром, рекомендую сделать бэкап.
- Нажмите «Ctrl+F» и произведите поиск по названию, в моем случае это csrss.exe.
- Удалите найденные упоминания в реестре и перезагрузите компьютер.
- Заново откройте диспетчер задач и убедитесь, что опасный процесс был успешно удален из системы.
После того, как удаление вируса crypted000007 будет успешно завершено, можно приступать к расшифровке файлов.
Не удалось устранить проблему?Обратитесь за помощью к специалисту!
Как распознать вирус шифровальщика
Ну а теперь, немного информации о том, как распознать вирусное письмо и не попасться на уловку мошенников.
Обычно, подобные письма могут отправляться от различных банков, организаций по взысканию задолженности и прочих подобных организаций. Так же, иногда могут приходить письма, у которых в строке «От», будет указываться бухгалтерия, отдел кадров ну что-то похожее на это.
Как правило, все спам письма имеют похожее между собой содержание. Например, рассмотрим письмо, которое, как бы отправлено от банка:
- Сначала идет приветствие клиента;
- Дальше уведомления о том, что у вас есть задолженность или что был открыт новый счет;
- Ну, и наконец ссылка по которой вы, как бы можете получить более подробную информацию. Причем ссылка введет на какой-то непонятный адрес.
- Так же, иногда в письме просят скачать документ с подробностями себе на компьютер, воспользовавшись той самой ссылкой;
- Так же, могут приходить письма от бухгалтерии с просьбой скачать и посмотреть срочные документы;
В общем, если вы увидите что-то подобное знайте – это ВИРУС!
Кроме этого на что ещё следует обратить внимание
В первую очередь, следует обратить внимание на электронный адрес, с которого было отправлено письмо. Все вирусные сообщения отправляются с различных непонятных доменных имён, например @lekro20.ru, @semink1.de, @kredo12.com.ua ну и так далее.
Обычно, если вам было отправлено письмо с банка, то оно в окончание будет иметь официальное доменное имя «@sberbank.ru» или «@privatbank.ua»
Если же рассмотреть вариант с бухгалтерией то тут, по идее, должна быть внутренняя почта, вашей организации.
Так же, следует обратить внимание на то, что текст сообщения может содержать много лишних и неуместных скобок, которые выставляются роботами автоматически, ещё могут быть пропущенные пробелы и прочее орфографические ошибки.
В общем, будьте крайне осторожны и не в коем случае не переходите по ссылкам из подобных писем, а тем более не загружайте и не запускайте у себя на компьютере какие либо файлы с вирусного сообщения так, как это может повредить не только ваш Windows но, раз и навсегда зашифровать все документы, фото и прочее, важные для вас файлы.
Рекомендации по дальнейшей защите компьютера
Дам несколько советов, которые помогут защитить устройство то различных вирусных программ.
- Используйте комплексный антивирус, желательно один из самых популярных. Пускай даже если это будет бесплатная его версия. Конечно, ни один антивирус не обеспечит 100% защиты, но риск проникновения угрозы он значительно снизит.
- Пользуйтесь почтовым клиентом, например, Outlook. Многие антивирусы имеют на вооружении сканер электронной почты, который без труда находит зловред в содержимом письма, предотвращая проникновение в систему.
- Старайтесь не переходить по сомнительным ссылкам и не скачивать программы с неизвестных ресурсов, включая почтовые вложения. Но если это необходимо, то перед установкой или запуском какой-либо утилиты проверяйте ее антивирусом.
- Установите в браузер расширение «WOT». Так вы сможете оценивать качество того или иного ресурса. Многие антивирусы обладают веб сканером, блокирующим переход к опасному сайту. Это их еще один большой плюс.
Однако, если потерянную информацию вернуть не удалось, то все равно сохраните закодированные файлы, возможно, что совсем скоро появится нормальный дешифратор crypted000007.
Можно ли расшифровать повреждённые вирусом файлы?
Ну, если же так случилось, что вы оказались жертвой злоумышленников, давайте посмотрим, что можно предпринять для возвращения поврежденных личных данных.
Подтолкнула меня на написания этой статьи то, что последнее время очень много пользователей, за несколько дней, обратились ко мне с одним и тем же диагнозом для своего ПК, что у них пропали все файлы и вместо нормального расширения «.doc» или «.jpg» они отображались с расширением «No_more_ransom».
После чего, я конечно же, обратился в Dr.Web за помощью с просьбой помочь расшифровать данные файлы, отправив им примеры поврежденных данных и файлы с требованиями злоумышленников. Но увы, меня разочаровали, уведомив, что к сожалению на сегодняшний день (Март 2017г.) пока у них нету дешифратора, который помог вернуть файлы. Вот такие дела.
Напомню, что ранее в подобной ситуации именно сотрудники данного антивируса уже как-то помогли мне вернуть файлы выслав небольшую утилиту с дешифратором, так что обязательно попробуйте заполните заявку на расшифровку файлов, воспользовавшись ссылкой, которую я привел выше.
Кстати, если же вы собрались восстанавливать файлы без переустановки Windows, тогда я рекомендую, вам не удалять вирусный файл с помощью того же антивируса, иначе есть вероятность, что вы можете удалить ключ с помощью которого будут расшифровываться файлы. Лучше сделайте это после того, как вам удастся восстановить их.
На данный момент есть возможность расшифровки очень многих файлов с расширениями:
- .kraken;
- .locked;
- .oshit;
- .crypto;
- .encrypted;
- .xtbl;
- .criptx;
В общем, в любом случае, рекомендую, попробовать и эту утилиту, мало ли вам повезет.
Файлы на компьютере зашифрованы в xtbl
Один из последних вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.
Заодно на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием: «Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес [email protected], [email protected] или [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать файлы самостоятельно приведут к безвозвратной потере информации» (адрес почты и текст могут отличаться).
К сожалению, способа расшифровать .xtbl на данный момент нет (как только он появится, инструкция будет обновлена). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5000 рублей или другую требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.
Что делать, если файлы были зашифрованы в .xtbl? Мои рекомендации выглядят следующим образом (но они отличаются от тех, что есть на многих других тематических сайтах, где, например, рекомендуют немедленно выключить компьютер из электросети или не удалять вирус. На мой взгляд — это лишнее, а при некотором стечении обстоятельств может быть даже вредным, однако решать вам.):
- Если умеете, прервать процесс шифрования, сняв соответствующие задачи в дисптечере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
- Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
- С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
- Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
- Можно так же отправить пример зашифрованного файла и требуемый код на[email protected], если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.
Чего делать не следует:
Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.
Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением .xtbl на данный момент времени.
Общие последствия проникновения всех вирусов такого типа
Как уже говорилось, большинство вирусов этого типа проникают в систему через электронную почту. Ну вот, допустим, в крупную организацию, на конкретный зарегистрированный мэйл приходит письмо с содержанием вроде «Мы изменили контракт, скан во вложении» или «Вам отправлена накладная по отгрузке товара (копия там-то)». Естественно, ничего не подозревающий сотрудник открывает файл и…
Все пользовательские файлы на уровне офисных документов, мультимедиа, специализированных проектов AutoCAD или еще каких-либо архиважных данных моментально зашифровываются, причем, если компьютерный терминал находится в локальной сети, вирус может передаваться и дальше, шифруя данные на других машинах (это становится заметным сразу по «торможению» системы и зависанию программ или запущенных в данный момент приложений).
Первенец в семействе
Теперь обратим внимание на первый вирус-шифровальщик. Как вылечить и расшифровать файлы после воздействия исполняемого кода, заключенного во вложении электронной почты с предложением знакомства, в момент его появления никто еще не думал
Осознание масштабов бедствия пришло только со временем.
Тот вирус имел романтическое название «I Love You». Ничего не подозревающий юзер открывал вложение в месседже «элетронки» и получал полностью невоспроизводимые файлы мультимедиа (графика, видео и аудио). Тогда, правда, такие действия выглядели более деструктивными (нанесение вреда пользовательским медиа-библиотекам), да и денег за это никто не требовал.
Самые новые модификации
Как видим, эволюция технологий стала достаточно прибыльным делом, особенно если учесть, что многие руководители крупных организаций моментально бегут оплачивать действия по дешифрации, совершенно не думая о том, что так можно лишиться и денег, и информации.
Кстати сказать, не смотрите на все эти «левые» посты в Интернете, мол, «я оплатил/оплатила требуемую сумму, мне прислали код, все восстановилось». Чушь! Все это пишут сами разработчики вируса с целью привлечения потенциальных, извините, «лохов». А ведь, по меркам рядового юзера, суммы для оплаты достаточно серьезные: от сотни до нескольких тысяч или десятков тысяч евро или долларов.
Теперь посмотрим на новейшие типы вирусов такого типа, которые были зафиксированы относительно недавно. Все они практически похожи и относятся не только к категории шифровальщиков, но еще и к группе так называемых вымогателей. В некоторых случаях они действуют более корректно (вроде paycrypt), вроде бы высылая официальные деловые предложения или сообщения о том, что кто-то заботится о безопасности пользователя или организации. Такой вирус-шифровальщик своим сообщением просто вводит юзера в заблуждение. Если тот предпримет хоть малейшее действие по оплате, все — «развод» будет по полной.
Как проводить расшифровку
Основным инструментом по исправлению сложившейся ситуации, т.е. расшифровке файлов являются программы-дешифровальщики, который удаляют вирус и возвращают файлам их первоначальное расширение. Их можно найти на различных ресурсах от разработчиков средств безопасности.
No More Ransom
No More Ransom — это ресурс, на котором содержится вся доступная на сегодняшний момент информация по борьбе с вирусами-шифровальщиками.
Сайт доступен и в русской версии.
Загрузив на ресурс пример зашифрованных файлов, можно узнать программы-дешифраторы и прочую информацию для восстановления. Как им пользоваться? Достаточно просто:
- на главной странице ресурса, на вопрос о восстановлении кликнуть на кнопку «Да»;
- на странице «Крипто-шериф» загрузить скачанные заранее испорченные файлы;
- указать в соответствующем пункте адрес е-mail, написанного злоумышленниками;
- кликнуть кнопку «Проверить» и получить результат по окончанию.
Также, можно воспользоваться информацией из разделов:
- Декрипторы — тут собраны доступные утилиты для расшифровки;
- Профилактика заражения —тут вся информации о возможной защите от троянов;
- Вопросы и ответы — помощь и все доступные данные о зловредном ПО.
No More Ransom является самым современным и полезным ресурсом по расшифровке данных.
ID Ransomware
Это англоязычный сервис по расшифровке. Он также определяет тип вируса и предлагает способы по его удалению и восстановлению данных.
Пользоваться им так же просто:
- загрузить один зараженный файл;
- загрузить текстовый документ с данными от злоумышленников;
- получить тип вируса;
- найти по запросам в поисковых системах утилиту по расшифровке данных.
Программа крайне проста в использовании и уже появилась русскоязычная версия.
Как защититься от вируса — шифровальщика в windows?
Впервые меня попросили помочь года два-три назад… И меня тогда помню, поразило это можно сказать лукавство. Вирус, попадая в систему работает как обычная программа. В базах установленного лицензионного (!) антивируса не содержалось их сигнатур, поэтому поначалу антивирусы не «рассматривали» такие «приложения» как вредоносные.
До тех пор, пока обращения в службу поддержки не стали массовыми. Вредоносная программа шифрует все файлы на компьютере определенного типа — текстовые, документы, фотографии, файлы PDF. А мой вчерашний «гость» уже зашифровал даже некоторые файлы программы 1С. Прогресс налицо.
Но, и мы не за печкой родились… Сразу скажу, что расшифровать зашифрованные файлы какой либо сторонней программой не удастся. Помню, в Лаборатории Касперского выкладывали на своем сайте программы дешифраторы.
Но, они только для вирусов определенного типа. Мне не помогало.. Завтра злоумышленник меняет шифр, и не поможет уже эта программа. Ключ известен только «разработчику». А если его уже посадили, точно никто не пришлет Вам декриптор. Для того, чтобы заставить вас облегчить свой кошелек, вредоносный код должен преодолеть несколько линий обороны.
Первая линия обороны — это Ваша внимательность и разборчивость. Вы всегда ходите на одни и те же сайты. Если Вы получаете почту, то почти всю Вы ее получаете всегда от одних и тех же адресатов и всегда с одним и тем же содержимым.
Когда Вы получили письмо с непривычным содержимым, не спешите его открывать. Если Вы попали на незнакомый сайт, и видите необычное окно, не спешите переходить.
Вторая линия обороны — лицензионный отечественный антивирус. Почему лицензионный? Я заметил, что платный лицензионный антивирус (прошедший государственную сертификацию ФСТЭК) работает лучше, чем бесплатная.
Еще как-то раз я повторно что-то перепроверял после «пробной» версии Касперского(правда давно). Результат обескуражил. Я нашел кучу вирусов тогда.. Вот такое наблюдение. За настоящую безопасность надо платить пусть небольшие, но деньги.
А почему отечественный антивирус? Потому что, у наших сертифицированных антивирусных продуктов ведутся базы нежелательных и мошеннический сайтов. Зарубежные «коллеги» не всегда могут этим похвастаться, у них сегмент Интернета другой, всего не охватишь .
Как вылечить компьютер от шифровальщика
Удалить из зараженной системы вредоносную программу просто – с большинством из них без труда справляются почти все антивирусы. Но! Наивно полагать, что избавление от виновника приведет к решению проблемы: удалите вы вирус или нет, а файлы все равно останутся зашифрованными. Кроме того, в ряде случаев это усложнит их последующую расшифровку, если она возможна.
Правильный порядок действий при начале шифрования
- Как только вы заметили признаки шифрования, немедленно отключите питание компьютера нажатием и удержанием кнопки Power в течение 3-4 секунд. Это позволит спасти хотя бы часть файлов.
- Создайте на другом компьютере загрузочный диск или флешку с антивирусной программой. Например, , , и т. д.
- Загрузите зараженную машину с этого диска и просканируйте систему. Удалите найденные вирусы с сохранением в карантин (на случай, если они понадобятся для расшифровки). Только после этого можете загружать компьютер с жесткого диска.
- Попытайтесь восстановить зашифрованные файлы из теневых копий средствами системы или при помощи сторонних приложений для восстановления данных.
Что делать, если файлы уже зашифрованы
- Не теряйте надежду. На сайтах разработчиков антивирусных продуктов выложены бесплатные утилиты-дешифраторы для разных типов зловредов. В частности, здесь собраны утилиты от и .
- Определив тип шифратора, скачайте подходящую утилиту, обязательно сделайте копии поврежденных файлов и попытайтесь их расшифровывать. В случае успеха расшифруйте остальные.
Если файлы не расшифровываются
Если ни одна утилита не помогла, вполне вероятно, что вы пострадали от вируса, лекарства от которого пока не существует.
Что можно предпринять в этом случае:
Если вы пользуетесь платным антивирусным продуктом, обратитесь в службу его поддержки. Перешлите в лабораторию несколько копий поврежденных файлов и дожидайтесь ответа. При наличии технической возможности вам помогут.
Кстати, Dr.Web – одна их немногих лабораторий, которая помогает не только своим пользователям, а всем пострадавшим. Отправить запрос на расшифровку файла можно .
Если выяснилось, что файлы испорчены безнадежно, но они представляют для вас большую ценность, остаются надеяться и ждать, что спасительное средство когда-нибудь будет найдено. Лучшее, что вы можете сделать, это оставить систему и файлы в состоянии как есть, то есть полностью отключить и не использовать жесткий диск. Удаление файлов вредоноса, переустановка операционной системы и даже ее обновление могут лишить вас и этого шанса, так как при генерации ключей шифрования-дешифрования зачастую используются уникальные идентификаторы системы и копии вируса.
Платить выкуп – не вариант, поскольку вероятность того, что вы получите ключ, стремится к нулю. Да и ни к чему финансировать преступный бизнес.
Как вылечить компьютер, если я подцепил вымогателя?
От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.
С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.
Следующий этап — восстановление зашифрованных файлов.
Если есть резервная копия, то проще всего восстановить файлы из нее.
Если резервной копии нет, можно попробовать расшифровать файлы с помощью специальных утилит — декрипторов. Все бесплатные декрипторы, созданные «Лабораторией Касперского», можно найти на сайте Noransom.kaspersky.com.
Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.