Вірус CRYPTED000007 - як розшифрувати файли та видалити здирника. Вірус-шифрувальник WannaCry: що робити? Як вилікується від вірусу-шифрувальника Wana Decrypt0r

Сучасні технології дозволяють хакерам постійно вдосконалювати способи шахрайства стосовно звичайних користувачів. Як правило, для цих цілей використовується вірусне програмне забезпечення, що проникає на комп'ютер. Особливо небезпечним вважаються віруси-шифрувальники. Загроза полягає в тому, що вірус дуже швидко розповсюджується, зашифровуючи файли (користувач просто не зможе відкрити жоден документ). І якщо досить просто, то набагато складніше розшифрувати дані.

Що робити, якщо вірус зашифрував файли на комп'ютері

Зазнати атаки шифрувальника може кожен, не застраховані навіть користувачі, у яких стоїть потужне антивірусне програмне забезпечення. Трояни шифрувальники файлів представлені різним кодом, який може бути не під силу антивірусу. Хакери навіть примудряються атакувати подібним способом великі компанії, які не подбали про необхідного захистусвоєї інформації. Отже, підчепивши в онлайні програму шифрувальник, необхідно вжити ряд заходів.

Головні ознаки зараження – повільна робота комп'ютера та зміна найменувань документів (можна помітити робочому столі).

1. Перезапустіть комп'ютер, щоб зупинити шифрування. Під час увімкнення не підтверджуйте запуск невідомих програм.
2. Запустіть антивірус, якщо він не зазнав атаки шифрувальника.
3. Відновити інформацію в деяких випадках допоможуть тіньові копії. Щоб знайти їх, відкрийте «Властивості» зашифрованого документа. Цей спосіб працює із зашифрованими даними розширення Vault, про який є інформація на порталі
4. Завантажте утиліту останньої версії для боротьби з вірусами-шифрувальниками. Найефективніші пропонує «Лабораторія Касперського».

Віруси-шифрувальники у 2016: приклади

При боротьбі з будь-якою вірусною атакою важливо розуміти, що код часто змінюється, доповнюючись новим захистом від антивірусів. Звісно ж, програмам захисту потрібен якийсь час, поки розробник не оновить бази. Нами були відібрані найнебезпечніші віруси-шифрувальники останнього часу.

Ishtar Ransomware

Ishtar – шифрувальник, який вимагає у користувача гроші. Вірус був помічений восени 2016 року, заразивши величезну кількість комп'ютерів користувачів з Росії та інших країн. Поширюється за допомогою email-розсилки, в якій йдуть вкладені документи (інсталятори, документи тощо). Заражені шифрувальником Ishtar дані одержують у назві приставку «ISHTAR». У процесі створюється тестовий документ, де зазначено, куди звернутися за отриманням пароля. Зловмисники вимагають за нього від 3000 до 15000 рублів.

Небезпека вірусу Ishtar у тому, що на сьогоднішній день немає дешифратора, який допоміг би користувачам. Компаніям, що займаються створенням антивірусного ПЗ, потрібен час, щоб розшифрувати весь код. Зараз можна лише ізолювати важливу інформацію (якщо особливу важливість) на окремий носій, чекаючи виходу утиліти, здатної розшифрувати документи. Рекомендується перевстановити операційну систему.

Neitrino

Шифрувальник Neitrino з'явився на просторах Мережі в 2015 році. За принципом атаки схожий на інші віруси подібної категорії. Змінює найменування папок та файлів, додаючи "Neitrino" або "Neutrino". Дешифрації вірус важко піддається – беруться за це далеко не всі представники антивірусних компаній, посилаючись на дуже складний код. Деякі користувачі можуть допомогти відновити тіньову копію. Для цього клацніть правою кнопкою миші зашифрований документ, перейдіть в «Властивості», вкладка «Попередні версії», натисніть «Відновити». Не зайвим буде скористатися і безкоштовною утилітою від «Лабораторії Касперського».

Wallet або .wallet.

З'явився вірус-шифрувальник Wallet наприкінці 2016 року. У процесі зараження змінює найменування даних на «Ім'я. wallet» або подібне. Як і більшість вірусів-шифрувальників, потрапляє до системи через вкладення в електронних листах, які розсилають зловмисники. Оскільки загроза виникла зовсім недавно, антивірусні програми не помічають його. Після шифрації створює документ, у якому шахрай вказує пошту зв'язку. В даний час розробники антивірусного ПЗ працюють над розшифровкою коду вірусу-шифрувальника [email protected]Користувачам, які зазнали атаки, залишається лише чекати. Якщо важливі дані, то рекомендується їх зберегти на зовнішній накопичувачочистивши систему.

Enigma

Вірус-шифрувальник Enigma почав заражати комп'ютери російських користувачів наприкінці квітня 2016 року. Використовується модель шифрування AES-RSA, яка сьогодні зустрічається у більшості вірусів-вимагачів. На комп'ютер вірус проникає за допомогою скрипта, який запускає користувач, відкривши файли з підозрілого електронного листа. Досі немає універсального засобу для боротьби із шифрувальником Enigma. Користувачі, які мають ліцензію на антивірус, можуть попросити про допомогу на офіційному веб-сайті розробника. Також було знайдено невелику «лазівку» – Windows UAC. Якщо користувач натисне «Ні» у віконці, що з'являється в процесі зараження вірусом, зможе згодом відновити інформацію за допомогою тіньових копій.

Granit

Новий вірус-шифрувальник Granit з'явився в Мережі восени 2016 року. Зараження відбувається за таким сценарієм: користувач запускає інсталятор, який заражає і шифрує всі дані на ПК, а також підключених накопичувачах. Боротися із вірусом складно. Для видалення можна скористатися спеціальними утилітами Kaspersky, але розшифрувати код ще не вдалося. Можливо, допоможе відновити попередні версії даних. Окрім цього, розшифрувати може спеціаліст, який має великий досвід, але послуга коштує дорого.

Tyson

Був помічений нещодавно. Є розширенням вже відомого шифрувальника no_more_ransom, про який ви можете дізнатися на нашому сайті. Попадає на персональні комп'ютери з електронної пошти. Атаку зазнало багато корпоративних ПК. Вірус створює текстовий документ з інструкцією розблокування, пропонуючи заплатити «викуп». Шифрувальник Tyson з'явився нещодавно, тому ключа для розблокування ще немає. Єдиний спосіб відновити інформацію – повернути попередні версії, якщо вони не зазнали видалення вірусом. Можна, звичайно, ризикнути, перевівши гроші на вказаний зловмисниками рахунок, але немає гарантій, що ви отримаєте пароль.

Spora

На початку 2017 року низка користувачів стала жертвою нового шифрувальника Spora. За принципом роботи він не сильно відрізняється від своїх побратимів, але може похвалитися професійнішим виконанням: краще складено інструкцію з отримання пароля, веб-сайт виглядає красивіше. Створено вірус-шифрувальник Spora на мові С, використовує поєднання RSA та AES для шифрування даних жертви. Атаку зазнали, як правило, комп'ютери, на яких активно використовується бухгалтерська програма 1С. Вірус, ховаючись під виглядом простого рахунку у форматі.pdf, змушує працівників компаній запускати його. Лікування поки що не знайдено.

1C.Drop.1

Цей вірус-шифрувальник для 1С з'явився влітку 2016 року, порушивши роботу багатьох бухгалтерій. Розроблено спеціально для комп'ютерів, на яких використовується програмне забезпечення 1С. Потрапляючи за допомогою файлу в електронному листі до ПК, пропонує власнику оновити програму. Яку кнопку користувач не натиснув, вірус почне шифрування файлів. Над інструментами для розшифровки працюють фахівці «Dr.Web», але поки що рішення не знайдено. Виною тому складний код, який може бути у кількох модифікаціях. Захистом від 1C.Drop.1 стає лише пильність користувачів та регулярне архівування важливих документів.

da_vinci_code

Новий шифрувальник з незвичайною назвою. З'явився вірус навесні 2016 року. Від попередників відрізняється покращеним кодом та стійким режимом шифрування. da_vinci_code заражає комп'ютер завдяки виконавчому додатку (додається, як правило, до електронного листа), який користувач самостійно запускає. Шифрувальник «да Вінчі» (da vinci code) копіює тіло в системний каталог і реєстр, забезпечуючи автоматичний запуск при увімкненні Windows. Комп'ютеру кожної жертви надається унікальний ID (допомагає отримати пароль). Розшифрувати дані практично неможливо. Можна сплатити гроші зловмисникам, але ніхто не гарантує отримання пароля.

[email protected] / [email protected]

Дві адреси електронної пошти, якими часто супроводжувалися віруси-шифрувальники у 2016 році. Саме вони служать зв'язку жертви зі зловмисником. Додавалися адреси до самих різним видамвірусів: da_vinci_code, no_more_ransom тощо. Вкрай не рекомендується зв'язуватися, а також переказувати гроші шахраям. Користувачі здебільшого залишаються без паролів. Таким чином, показуючи, що шифрувальники зловмисників працюють, приносячи дохід.

Breaking Bad

З'явився ще на початку 2015 року, але активно поширився лише за рік. Принцип зараження ідентичний іншим шифрувальникам: інсталяція файлу з електронного листа, шифрування даних. Звичайні антивіруси, зазвичай, не помічають вірус Breaking Bad. Деякий код не може обминути Windows UAC, тому користувач має можливість відновити попередні версії документів. Дешифратора поки що не представила жодна компанія, що розробляє антивірусне ПЗ.

XTBL

Дуже поширений шифрувальник, який завдав неприємностей багатьом користувачам. Потрапивши на ПК, вірус за лічені хвилини змінює розширення файлів на .xtbl. Створюється документ, у якому зловмисник вимагає грошові кошти. Деякі різновиди вірусу XTBL не можуть знищити файли для відновлення системи, що дає змогу повернути важливі документи. Сам вірус можна видалити багатьма програмами, але розшифрувати документи дуже складно. Якщо є ліцензійний антивірус, скористайтеся технічною підтримкою, додавши зразки заражених даних.

Kukaracha

Шифрувальник «Кукарача» був помічений у грудні 2016 року. Вірус з цікавою назвою приховує файли користувача за допомогою алгоритму RSA-2048, який відрізняється високою стійкістю. Антивірус Kasperskyпозначив його як Trojan-Ransom.Win32.Scatter.lb. Kukaracha може бути видалено з комп'ютера, щоб зараженню не зазнали інших документів. Проте заражені на сьогодні практично неможливо розшифрувати (дуже потужний алгоритм).

Як працює вірус-шифрувальник

Існує безліч шифрувальників, але вони працюють за подібним принципом.

1. Влучення на персональний комп'ютер. Як правило, завдяки вкладеному файлу до електронного листа. Інсталяцію у своїй ініціює сам користувач, відкривши документ.
2. Зараження файлів. Піддаються шифрації майже всі типи файлів (залежить від вірусу). Створюється текстовий документ, у якому вказані контакти зв'язку зі зловмисниками.
3. Усе. Користувач не може отримати доступу до жодного документа.

Засоби боротьби від популярних лабораторій

Широке поширення шифрувальників, які визнаються найнебезпечнішими загрозами для даних користувачів, стало поштовхом для багатьох антивірусних лабораторій. Кожна популярна компанія надає своїм користувачам програми, що допомагають боротися із шифрувальниками. Крім того, багато з них допомагають із розшифровкою документів захистом системи.

Kaspersky та віруси-шифрувальники

Одна з найвідоміших антивірусних лабораторій Росії та світу пропонує сьогодні найдієвіші засоби для боротьби з вірусами-вимагачами. Першою перешкодою для вірусу-шифрувальника стане Kaspersky Endpoint Security 10 с останніми оновленнями. Антивірус просто не пропустить на комп'ютер загрозу (щоправда, нові версії може не зупинити). Для розшифровки інформації розробник представляє відразу кілька безкоштовних утиліт: , XoristDecryptor, RakhniDecryptor та Ransomware Decryptor. Вони допомагають шукати вірус і підбирають пароль.

Dr. Web та шифрувальники

Ця лабораторія рекомендує використовувати їхню антивірусну програму, головною особливістю якої стало резервування файлів. Сховище з копіями документів також захищене від несанкціонованого доступу зловмисників. Власникам ліцензійного продукту Dr. Web доступна функція звернення за допомогою на технічну підтримку. Щоправда, і досвідчені фахівці не завжди можуть протистояти цьому типу загроз.

ESET Nod 32 та шифрувальники

Осторонь не залишилася ця компанія, забезпечуючи своїм користувачам непоганий захист від проникнення вірусів на комп'ютер. Крім того, лабораторія нещодавно випустила безкоштовну утиліту з актуальними базами – Eset Crysis Decryptor. Розробники заявляють, що вона допоможе у боротьбі навіть із найновішими шифрувальниками.

Самі собою віруси як комп'ютерна загроза сьогодні нікого не дивують. Але якщо раніше вони впливали на систему в цілому, викликаючи збої в її працездатності, сьогодні, з появою такого різновиду, як вірус-шифрувальник, дії проникаючої загрози стосуються більше даних користувача. Він являє собою, можливо, навіть більшу загрозу, ніж деструктивні Windows виконуваніпрограми або шпигунські аплети.

Що таке вірус-шифрувальник?

Сам по собі код, прописаний в вірусі, що самокопіюється, передбачає шифрування практично всіх даних користувача спеціальними криптографічними алгоритмами, що не зачіпає системні файлиопераційна система.

Спочатку логіка впливу вірусу багатьом була зовсім зрозуміла. Все прояснилося тільки тоді, коли хакери, які створювали такі аплети, почали вимагати відновлення початкової структури файлів гроші. При цьому сам прониклий вірус-шифрувальник розшифрувати файли через свої особливості не дозволяє. Для цього потрібен спеціальний дешифратор, якщо хочете код, пароль або алгоритм, необхідний для відновлення шуканого вмісту.

Принцип проникнення в систему та роботи коду вірусу

Як правило, «підчепити» таку гидоту в Інтернеті досить важко. Основним джерелом поширення «зарази» є електронна пошта на рівні інстальованих на конкретному комп'ютерному терміналі програм на кшталт Outlook, Thunderbird, The Bat тощо. Зауважимо відразу: поштових інтернет-серверів це не стосується, оскільки вони мають досить високий рівень захисту, а доступ до даних користувача можливий хіба що на рівні

Інша справа – додаток на комп'ютерному терміналі. Ось тут для дії вірусів поле настільки широке, що й уявити неможливо. Щоправда, тут теж варто зробити застереження: здебільшого віруси мають на меті великі компанії, з яких можна «здерти» гроші за надання коду розшифровки. Це і зрозуміло, адже не тільки на локальних комп'ютерних терміналах, а й на серверах таких фірм може зберігатися не тільки повністю а й файли, так би мовити, в єдиному екземплярі, що не підлягають знищенню в жодному разі. І тоді розшифровка файлів після вірусу-шифрувальника стає досить проблематичною.

Звичайно, і рядовий користувач може піддатися такій атаці, але в більшості випадків це малоймовірно, якщо дотримуватися найпростіших рекомендацій щодо відкриття вкладень з розширеннями невідомого типу. Навіть якщо поштовий клієнтвизначає вкладення з расширением.jpg як стандартний графічний файл, спочатку його обов'язково потрібно перевірити штатним встановленим у системі.

Якщо цього не зробити, при відкритті подвійним кліком ( стандартний метод) запуститься активація коду, і почнеться процес шифрування, після чого той же Breaking_Bad (вірус-шифрувальник) не тільки неможливо видалити, але й файли після усунення загрози відновити не вдасться.

Загальні наслідки проникнення всіх такого типу вірусів

Як мовилося раніше, більшість вірусів цього типу проникають у систему через електронну пошту. Ну от, припустимо, у велику організацію, на конкретний зареєстрований мейл приходить лист із змістом на кшталт «Ми змінили контракт, скан у вкладенні» або «Вам відправлено накладну з відвантаження товару (копія там)». Природно, співробітник, який нічого не підозрює, відкриває файл і…

Всі файли користувача на рівні офісних документів, мультимедіа, спеціалізованих проектів AutoCAD або ще будь-яких архіважливих даних моментально зашифровуються, причому, якщо комп'ютерний термінал знаходиться в локальної мережі, вірус може передаватися і далі, шифруючи дані на інших машинах (це стає помітним відразу по «гальмування» системи та зависання програм або запущених у Наразідодатків).

По закінченні процес шифрування сам вірус, мабуть, відсилає своєрідний звіт, після чого компанії може прийти повідомлення про те, що в систему проникла така і така загроза, і що розшифрувати її може тільки така організація. Зазвичай це стосується вірусу [email protected]Далі йде вимога оплатити послуги з дешифрування з пропозицією надсилання кількох файлів на електронну пошту клієнта, що найчастіше є фіктивною.

Шкода від впливу коду

Якщо хтось ще не зрозумів: розшифровка файлів після вірусу-шифрувальника - процес досить трудомісткий. Навіть якщо не «вестися» на вимоги зловмисників і спробувати задіяти офіційні державні структури боротьби з комп'ютерними злочинами та їх запобігання, зазвичай нічого путнього не виходить.

Якщо видалити всі файли, зробити і навіть скопіювати оригінальні дані зі знімного носія (звісно, ​​якщо така копія є), все одно при активованому вірусі все буде зашифровано заново. Так що особливо тішитися не варто, тим більше що при вставці тієї ж флешки в USB-порт користувач навіть не помітить, як вірус зашифрує дані і на ній. Ось тоді точно проблем не оберешся.

Першесень у сімействі

Тепер звернемо увагу на перший вірус-шифрувальник. Як вилікувати та розшифрувати файли після впливу виконуваного коду, укладеного у вкладенні електронної пошти з пропозицією знайомства, у момент його появи ніхто ще не думав. Усвідомлення масштабів лиха прийшло лише з часом.

Той вірус мав романтичну назву "I Love You". Нічого не підозрюваний користувач відкривав вкладення в меседжі «елетронки» і отримував абсолютно невідтворювані файли мультимедіа (графіка, відео та аудіо). Тоді, щоправда, такі дії виглядали деструктивнішими (завдання шкоди користувальницьким медіа-бібліотекам), та й грошей за це ніхто не вимагав.

Найновіші модифікації

Як бачимо, еволюція технологій стала досить прибутковою справою, особливо якщо врахувати, що багато керівників великих організацій моментально біжать оплачувати дії з дешифрації, абсолютно не думаючи про те, що так можна позбутися і грошей, і інформації.

До речі, не дивіться на всі ці «ліві» пости в Інтернеті, мовляв, "я сплатив/сплатила необхідну суму, мені надіслали код, все відновилося". Нісенітниця! Все це пишуть самі розробники вірусу з метою залучення потенційних, даруйте, «лохів». Адже, за мірками рядового користувача, суми для оплати досить серйозні: від сотні до кількох тисяч або десятків тисяч євро або доларів.

Тепер подивимося новітні типи вірусів такого типу, які були зафіксовані відносно недавно. Всі вони практично схожі і відносяться не тільки до категорії шифрувальників, але ще й до групи так званих здирників. У деяких випадках вони діють коректніше (на зразок paycrypt), начебто висилаючи офіційні ділові пропозиції або повідомлення про те, що хтось дбає про безпеку користувача чи організації. Такий вірус-шифрувальник своїм повідомленням легко вводить користувача в оману. Якщо той почне хоч найменшу дію з оплати, все - «розлучення» буде на повну.

Вірус XTBL

Щодо недавно з'явився можна віднести до класичного варіанту шифрувальника. Як правило, він проникає в систему через повідомлення електронної пошти, що містять вкладення у вигляді файлів, яке є стандартним для скрінсейвера Windows. Система та користувач думають, що все гаразд, і активують перегляд або збереження вкладення.

На жаль, це призводить до сумних наслідків: імена файлів перетворюються на набір символів, а до основного розширення додається ще. xtbl, після чого на адресу пошти надходить повідомлення про можливість дешифрування після оплати зазначеної суми (зазвичай 5 тисяч рублів).

Вірус CBF

Цей тип вірусу теж належить до класики жанру. З'являється він у системі після відкриття вкладень електронної пошти, а потім перейменовує файли користувача, додаючи в кінці розширення на кшталт.nochance або.perfect.

На жаль, розшифровка вірусу-шифрувальника такого типу для аналізу вмісту коду навіть на стадії його появи в системі неможливо, оскільки після завершення своїх дій він виробляє самоліквідацію. Навіть такий, як багато хто вважає, універсальний засіб, як RectorDecryptor, не допомагає. Знову ж таки користувачеві приходить лист із вимогою оплати, на що дається два дні.

Вірус Breaking_Bad

Цей тип загроз працює за тією ж схемою, але перейменовує файли в стандартному варіантідодавши до розширення.breaking_bad.

Цим ситуація не обмежується. На відміну від попередніх вірусів, це може створювати ще одне розширення - .Heisenberg, так що знайти всі заражені файли не завжди можна. Так що Breaking_Bad (вірус-шифрувальник) є досить серйозною загрозою. До речі, відомі випадки, коли навіть ліцензійний пакет Kaspersky Endpoint Security 10 пропускає загрозу цього типу.

Вірус [email protected]

Ось ще одна, мабуть, найсерйозніша загроза, спрямована здебільшого на великі комерційні організації. Як правило, до якогось відділу приходить лист, що містить начебто зміни до договору про поставку, або навіть просто накладна. Вкладення може містити звичайний файл.jpg (типу зображення), але частіше - скрипт.js (Java-аплет).

Як розшифрувати вірус-шифрувальник цього типу? Зважаючи на те, що там застосовується якийсь невідомий алгоритм RSA-1024, ніяк. Якщо з назви, можна припустити, що це 1024-битная система шифрування. Але, якщо хтось пам'ятає, сьогодні найдосконалішою вважається 256-бітна AES.

Вірус-шифрувальник: як вилікувати та розшифрувати файли за допомогою антивірусного ПЗ

На сьогоднішній день для розшифровки загроз такого типу рішень наразі не знайдено. Навіть такі метри в галузі антивірусного захисту, як Kaspersky, Dr. Web і Eset не можуть знайти ключ до вирішення проблеми, коли в системі успадкував вірус-шифрувальник. Як вилікувати файли? У більшості випадків пропонується надіслати запит на офіційний сайт розробника антивірусу (до речі, лише за наявності в системі ліцензійного програмного забезпечення цього розробника).

При цьому потрібно прикріпити кілька зашифрованих файлів, а також "здорові" оригінали, якщо такі є. В цілому ж, за великим рахунком, мало хто зберігає копії даних, так що проблема їх відсутності тільки посилює і без того неприємну ситуацію.

Можливі способи ідентифікації та усунення загрози вручну

Так, сканування традиційними антивірусами небезпеки визначає і навіть видаляє їх із системи. Але що робити з інформацією?

Деякі намагаються використати програми-дешифратори на кшталт згаданої вже утиліти RectorDecryptor (RakhniDecryptor). Зазначимо одразу: це не допоможе. А у випадку з вірусом Breaking_Bad так і зовсім може зашкодити. І ось чому.

Справа в тому, що люди, які створюють такі віруси, намагаються убезпечити себе і дати повчання іншим. При використанні утиліт для дешифрування вірус може відреагувати таким чином, що вся система злетить, причому з повним знищенням всіх даних, що зберігаються на жорстких дискахабо у логічних розділах. Це, так би мовити, показовий урок для науки всім тим, хто не хоче платити. Залишається сподіватися лише на офіційні антивірусні лабораторії.

Кардинальні методи

Втім, якщо справи зовсім погані, доведеться інформацією пожертвувати. Щоб повністю позбавитися загрози, потрібно відформатувати весь вінчестер, включаючи віртуальні розділи, після чого встановити «операційку» заново.

На жаль, іншого виходу нема. Навіть до певної збереженої точки відновлення не допоможе. Вірус, можливо, і зникне, але файли так і залишаться зашифрованими.

Замість післямови

Насамкінець варто зазначити, що ситуація така: вірус-шифрувальник проникає в систему, робить свою чорну справу і не лікується жодними відомими способами. Антивірусні засоби захисту виявилися не готовими до такого типу загроз. Зрозуміло, що виявити вірус після його впливу або видалити можна. Але зашифрована інформація так і залишиться у непривабливому вигляді. Так що хочеться сподіватися, що найкращі уми компаній-розробників антивірусного програмного забезпечення все-таки знайдуть рішення, хоча, судячи з алгоритмів шифрування, зробити буде дуже непросто. Згадати хоча б шифрувальну машину Enigma, яка за часів Другої світової війни мала німецький флот. Найкращі криптографи було неможливо вирішити проблему алгоритму для дешифрування повідомлень, доки придбали пристрій у руки. Так і справи і тут.

— це шкідлива програма, яка за своєї активізації шифрує всі персональні файли, такі як документи, фотографії тощо. Кількість подібних програм дуже велика і вона збільшується з кожним днем. Тільки останнім часом ми зіткнулися з десятками варіантами шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci. Мета таких вірусів-шифрувальників змусити користувачів купити, часто за велику суму грошей, програму та ключ необхідні для розшифровування власних файлів.

Звичайно можна відновити зашифровані файли, просто виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, також потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І, звичайно, просто неприємно платити за відновлення своїх власних файлів.

Нижче ми більш детально розповімо про віруси-шифрувальники, спосіб їх проникнення на комп'ютер жертви, а також про те, як видалити вірус-шифрувальник і відновити зашифровані ним файли.

Як вірус-шифрувальник проникає на комп'ютер

Вірус-шифрувальник зазвичай розповсюджується за допомогою електронної пошти. Лист містить заражені документи. Такі листи розсилаються величезною базою адрес електронної пошти. Автори цього вірусу використовують заголовки і зміст листів, що вводять в оману, намагаючись обманом змусити користувача відкрити вкладений у лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитись свіжий прайс-лист, треті відкрити веселу фотографію тощо. У будь-якому разі результатом відкриття прикріпленого файлу буде зараження комп'ютера вірусом-шифрувальником.

Що таке вірус-шифрувальник

Вірус-шифрувальник - це шкідлива програма, яка вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ці віруси намагаються використовувати якомога стійкіші режими шифрування, наприклад RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійної розшифровки файлів.

Під час зараження комп'ютера вірус-шифрувальник використовує системний каталог %APPDATA% для зберігання власних файлів. Для автоматичного запускусебе бреши увімкненні комп'ютера, шифрувальник створює запис у реєстрі Windows: розділах HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві та хмарні сховища, для визначення файлів, які будуть зашифровані. Вірус-шифрувальник використовує розширення імені файлу як спосіб визначення групи файлів, які будуть піддані зашифровці. Шифруються практично всі види файлів, включаючи такі поширені як:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, . xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Відразу після того, як файл зашифрований він отримує нове розширення, за яким часто можна ідентифікувати ім'я або тип шифрувальника. Деякі типи цих шкідливих програм можуть змінювати імена зашифрованих файлів. Потім вірус створює текстовий документ з іменами подібними до HELP_YOUR_FILES, README, який містить інструкцію з розшифровки зашифрованих файлів.

Під час своєї роботи вірус-шифрувальник намагається закрити можливість відновити файли використовуючи систему SVC (тіньові копії файлів). Для цього вірус у командному режимі викликає утиліту адміністрування тіньових копій файлів з ключем, що запускає процедуру їх повного видалення. Таким чином, практично завжди неможливо відновити файли за допомогою використання тіньових копій.

Вірус-шифрувальник активно використовує тактику залякування, даючи жертві посилання на опис алгоритму шифрування та показуючи загрозливе повідомлення на Робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, надіслати ID комп'ютера на адресу електронної пошти автора вірусу, щоб спробувати повернути свої файли. Відповіддю на таке повідомлення найчастіше є сума викупу та адреса електронного гаманця.

Мій комп'ютер заражений вірусом-шифрувальником?

Визначити заражений комп'ютер чи ні вірусом-шифрувальником досить легко. Зверніть увагу на розширення персональних файлів, таких як документи, фотографії, музика і т.д. Якщо розширення змінилося або ваші персональні файли зникли, залишивши по собі безліч файлів з невідомими іменами, комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям HELP_YOUR_FILES або README у ваших каталогах. Цей файл міститиме інструкцію з розшифровки файлів.

Якщо ви підозрюєте, що відкрили лист заражений вірусом шифрувальником, але симптомів зараження поки немає, то не вимикайте і не перезавантажуйте комп'ютер. Виконайте кроки, описані в цьому посібнику, розділ . Ще раз повторюся, дуже важливо не вимикати комп'ютер, у деяких типах шифрувальників процес зашифрування файлів активізується при першому, після зараження, увімкненні комп'ютера!

Як розшифрувати файли зашифровані вірусом-шифрувальником?

Якщо це лихо сталося, то не треба панікувати! Але треба знати, що здебільшого безкоштовного розшифровувача немає. Виною цьому, стійкі алгоритми шифрування, використовувані подібними шкідливими програмами. Це означає, що без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа також не вихід, через велику довжину ключа. Тому, на жаль, лише оплата авторам вірусу всієї суми, що запрошується, — єдиний спосіб спробувати отримати ключ розшифровки.

Звичайно, немає абсолютно жодної гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ, необхідний для розшифровування ваших файлів. Крім цього, потрібно розуміти, що платячи гроші розробникам вірусів, ви самі підштовхуєте їх на створення нових вірусів.

Як видалити вірус-шифрувальник?

Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу та спроби самостійного відновлення файлів, ви блокуєте можливість розшифрувати файли, заплативши авторам вірусу запрошену ними суму.

Kaspersky Virus Removal Tool і Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

За промовчанням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.

У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, в який будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).

Щоб запустити процедуру пошуку та відновлення вихідних копій зашифрованих файлів, натисніть кнопку Search. Цей процес триває досить довго, тому наберіться терпіння.

Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлівзнайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількостівідновлених, використовуйте вбудовану систему пошуку Windows (за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, тому що QPhotoRec при відновленні файлу намагається відновити цю властивість.

Як запобігти зараженню комп'ютера вірусом-шифрувальником?

Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення та активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, то обов'язково встановіть. Як її вибрати можете дізнатися прочитавши цю.

Більше того, є й спеціалізовані захисні програми. Наприклад, це CryptoPrevent, докладніше .

Декілька фінальних слів

Виконавши цю інструкцію, ваш комп'ютер буде очищений від вірусу-шифрувальника. Якщо у вас виникли питання або вам потрібна допомога, то звертайтеся на наш сайт.

По всьому світу прокотилася хвиля нового вірусу-шифрувальника WannaCry (інші назви Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), який зашифровує документи на комп'ютері та вимагає 300-600 USD за їхнє декодування. Як дізнатися, чи заражено комп'ютер? Що треба зробити, щоби не стати жертвою? І що зробити, щоби вилікуватися?

Після інсталяції оновлень комп'ютер потрібно буде перевантажити.

Як вилікується від вірусу-шифрувальника Wana Decrypt0r?

Коли антивірусна утиліта, виявить вірус, вона видалить його відразу, або запитає у вас лікувати чи ні? Відповідь – лікувати.

Як відновити зашифровані файли Wana Decryptor?

Нічого втішного зараз повідомити не можемо. Поки інструмента розшифровування файлів не створили. Поки що залишається лише почекати, коли дешифрувальник буде розроблений.

За даними Брайана Кребса (Brian Krebs), експерта з комп'ютерної безпеки, наразі злочинці отримали лише 26’000 USD, тобто лише близько 58 осіб погодилося заплатити викуп здирникам. Чи відновили вони свої документи, ніхто не знає.

Як зупинити розповсюдження вірусу в мережі?

У випадку з WannaCry вирішенням проблеми може стати блокування 445 порту на Firewall (міжмережевий екран), через яке відбувається зараження.