Сколько стоит расшифровка файлов после вируса шифровальщика. Как вылечить компьютер от шифровальщика. Способ внедрения данных вредоносных программ

Приветствую вас уважаемый читатель!

Буквально на днях имел неосторожность "подцепить очень интересный вирус" :))
Я таких, если честно, ещё не встречал.

Такие вирусы называют шифровщиками или шифровальщиками, в среде аналитиков часто называют Encoder"ы
Антивирус NOD32 зовёт его MSIL/Injector.IPX или что-то в этом роде.

Но суть не в этом.
Суть в том, что этот вирус, подло и без спроса, начинает шифровать документы на вашем компьютере.
Это файлы в форматах.jpg, .txt, .rtf, .doc, .xls, .zip
В общем все форматы в которых чаще всего хранятся важные документы. Да, и в том числе даже базы 1С (владельцы инет-магазинов тоже могут влететь).

Шифрует он специальным алгоритмом, и заодно переименовывает файл во что-то типа: README.txt.Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Для расшифровки нужен специальный дешифратор, найти который не всегда просто.

В итоге папки на моём компьютере стали выглядеть примерно таким образом.

А раньше это были фотографии

В общем их не открыть, не расшифровать, не переименовать просто так нельзя.

Как поймать себе такого же вирика?

Это очень просто.
Способ №1.
Например, вам или вашим сотрудникам приходит письмо с темой: "Уведомление от налоговой" или "Письмо от судебных приставов" или что то в этом духе.
В письме есть вложение, открыв которое запускается вирус.

Способ №2.
Вам приходит письмо на почту или сообщение в социальных сетях, типа: "Олег, привет, слушай я тут нашёл классную вещь, посмотри-ка: ссылка куда-то "
После перехода по ссылке вирус пробирается на ваш компьютер.

Способ №3.
Вы решили скачать какой-нибудь файлик с неизвестного сайта или трекера.
Распаковав его, запускается вирус.

И что примечательно, практически ни один антивирус не может его остановить. Надеюсь, это временно.
Потому что посмотрев форумы по безопасности, встречаются пользователи и Dr.Web, и NOD32 и Касперского и т.д.
Кстати, бесплатные антивирусы даже не могут удалить такие вирусы-шифраторы.

В моём случае, вирус попал 2-ым способом.
Пришло письмо от подписчика, с просьбой посмотреть какие-то опционы.
Сам я критично отношусь ко всяким опционам, лохотронам и подобным вещам.
Но чёрт дёрнул меня посмотреть и открыть ссылку, я естественно от подписчика не ожидал такого подвоха...

Но как я понял, скорее всего его почту взломали и просто рассылали спам.
Потому что с этим человеком мы часто вели переписку.

Что делать, если вирус-шифровальщик попал на ваш компьютер?

Определить его работу, в принципе не сложно.
У компьютера сразу появляются тормоза, страницы загружаются очень медленно, если на рабочем столе есть какие то документы, то они станут переименовываться.

Если у вас подключено облачное хранилище файлов, типа Яндекс.Диска, то первым признаком может стать начало внезапной синхронизации.
Так было и у меня. Поэтому и вызвало недоумение...
Вроде ничего не сохранял, а синхронизация началась.

Если такие признаки обнаружены, то первым делом вырубайте интернет (кабель или Wi-Fi)
После этого быстро выключайте или перезагружайте компьютер.
Это поможет сохранить хотя бы какие-то файлы.

При включении компьютера заново, возможно будет какое-то системное сообщение, типа чем открыть файл EA.tmp
Вам нужно отменить его открытие.

После этого сразу запускайте сканирование антивирусом.
При нахождении угроз, не удаляйте их, а поместите в карантин (Очистить / Изолировать)

Чего делать нельзя?

• нельзя изменять расширение закодированных файлов
• удалять закодированные файлы и самостоятельно лечить их антивирусом
• очищать кеш браузера и папки с временными файлами
• переустанавливать операционную систему
• самостоятельно использовать дешифраторы с форумов
• платить злоумышленникам (не факт, что они пришлют дешифратор)

Куда обращаться?

Первым делом нужно написать в техническую поддержку разработчиков вашего антивируса.
Там вам должны сказать что делать дальше. По крайней мере в NOD32 и Dr.Web точно скажут.
Им нужно будет прислать зашифрованные файлы, тело вируса и реестр, как это сделать вам расскажут в техподдержке.

Также желательно написать заявление в полицию, потому что это преступление.
Но в этом случае ваш компьютер могут изъять на какое то время, для анализа.
Тут дело ваше (фрилансеры конечно, вряд ли согласятся на это).

Как обезопасить себя?

Самое первое и самое важное - это регулярно производить резервное копирование данных с вашего компьютера.
Дело даже НЕ в том что можно подхватить вирус шифровальщик, и он уничтожит всю вашу информацию.
Дело в том, что современные жёсткие диски живут не очень долго.
2-3 года и им может прийти кирдык. И все важные данные, фотографии, документы, базы 1С, отчёты и т.д., могут потеряться в один миг.

Резервное копирование процесс немного замороченный, но лучше потратить пару часов на решении этого вопроса, чем потом потерять дни, месяцы и даже годы своей работы.
Как правильно делать резервное копирование вы можете посмотреть у моего коллеги, он посвятил этому много времени:
Резервное копирование: как за 15-20 минут восстановить Windows

И второе - не переходите по ссылкам в письмах от незнакомых адресатов, и в письмах со странным содержанием.
Не открывайте вложения в письмах, особенно всякие уведомления от налоговых инспекций, прокуратур и т.д.
Они не присылают письма по электронной почте, они шлют обычной почтой. Даже отдел "К" МВД РФ.
К тому же в письме можно посмотреть адрес отправителя и сравнить его с реальным адресом той службы от которой якобы пришло письмо.

Чем всё закончилось...

Сейчас лаборатория NOD32 работает над созданием дешифратора, сколько времени на это уйдёт и будет ли результат - я не знаю.
В моём случае потери не велики, т.к. я делал частичное резервное копирование, но всё же некоторые файлы, которые для меня имеют значение, были повреждены.
Я конечно, мог бы махнуть на них рукой, но немного жалко.
Поэтому придётся ждать дешифратор.

Об итогах напишу...

UPD: Что в итоге получилось.

В итоге лаборатория ESET NOD32 не сделала ничего. Они даже забыли про моё обращение, пришлось писать им заново.
Сказали что работают над дешифратором, а когда он будет готов неизвестно.
Из переписки стало понятно, что им не хочется со мной возиться.

В Dr.Web кстати решили проблему буквально за несколько дней, а в NOD 32 решают уже 4-ый месяц.
Но покупать лицензию и продукты Dr.Web, чтобы расшифровать свои файлы, я не горю желанием.
Ещё NOD32 не кончился.

А зашифрованные файлы пришлось удалить.
Хорошо что среди них не было очень важных. Правда кое какие потери были, но они не такие страшные, как могли бы быть.

Желаю вам успехов! Не попадайтесь, будьте бдительны.
Сейчас такие письма стали рассылать ещё чаще.
Предупреждён - значит вооружён!

С уважением, Олег Касьянов.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том - что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский , генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку - вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar - «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
- прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
- Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
- использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус - «бич» современности и брать «бабло» с однополчан - это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 - я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» - Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке , так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение.perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал - дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Вирус энкодер это программа-скрипт шифрования данных, она может появится у любого невнимательного пользователя. Каждый день все более новые и более сложные разновидности таких вирусов-скриптов появляются в интернете. Основная цель энкодеров конечно же получить денежные средства за расшифровку файлов. В этой статье мы расскажем подробно как защитить информацию, как расшифровать информацию после атаки такой программой, как программа проникает в компьютер.

Чаще всего пользователи сами запускают такие программы, не обращая внимания на загружаемую информацию. Представим самую популярную ситуацию: вы директор небольшой компании, где работают сотрудники без системного администратора, защита компьютеров идет без сервера и на самом минимальном уровне. По почтовой рассылке приходит письмо с архивом Счет на оплату.zip, якобы от контрагента, в самом архиве файл Счет-на-оплату.js

Более 50% сотрудников не поймут что файл Счет-на-оплату.js не будет является каким либо документом, более того основная часть, может просто не обращать внимание на расширения файлов!

Как удалить вирус зашифровывающий файлы и расшифровать файлы.

При запуске файла Счет-на-оплату.js скрипт в фотоном режиме загружает и запускает из интернета бесплатную, легальную программу для шифрования файлов. Бесплатная и легальная программа означает что она не будет обнаруживаться антивирусными программами, так как ничего незаконного в ней нет, потому что она служит для легальной защиты информации. Кроме того процесс доступа к скрипту идет на уровне файла Счет-на-оплату.js так как он запущен от Администратора, и этот скрипт может загрузить и запустить любые программы которые ему вздумается. Расширения файлов для шифровки настраиваются спамером заранее и скрипт шифрует только рабочие документы или базы 1С. Шифрование файлов происходит очень быстро — за считанные секунды, прежде, чем пользователь успевает сообразить что происходит с компьютером. После шифрования всех найденных файлов, программа удаляет полностью все свои следы и файлы. Это делается для того чтобы никто не узнал каким образом файлы были зашифрованы, сделав почти невозможной задачу по расшифровке.

Почему большинство энкодеров не подлежат расшифровке

В настоящее время большинство вирусов энкодеров имеют очень сложные алгоритмы шифрования. Это RSA1024 + AES256. Для примера возьмём такие расчеты. Если у нас будет компьютер мощностью 46 терафлопс, а это будет самый мощный в мире компьютер когда либо созданный человеком, такому компьютеру понадобится более 6,4 лет только для расшифровки ключа RSA1024 (основано на официальных данных что для взлома одного ключа нужно в среднем 10 12 MIPS-лет или около 9.47 йоттафлоп - 9.47*1024 флоп). Если на энкодер нету дешифратора, на процесс дешифровки методом перебора на процессоре в 3Ghz, а это 3000MHz х 4 х 8/1000000= 0,096 TFLOPS может уйти 3067 лет.

Что же делать если на компьютер попал энкодер?

Прежде всего не паниковать, если программа енкодер еще выполняет свою работу необходимо экстренно выключить компьютер из питания, если же программа уже выдала текстовое сообщение и прошло более 20 секунд, перезагружать компьютер мы не будем до тех пор пока не найдем тело вируса. Следуя ниже перечисленным рекомендациям можно существенно повысить ваши шансы на расшифровку информации:

1. Тело вируса. Первым делом нужно найти скрипт и понять над чем именно предстоит работать, так как большинство вирусов удаляют сами себя, работа мастера по расшифровке информации начинается с восстановления последних удаленных файлов, в настоящее время существует огромное множество программ для восстановления удаленных файлов, на самом деле если информация не была перезаписана, удаленный файл на уровне системного раздела только помечается как удаленный, и его можно попробовать восстановить. Также нам понадобятся сам файл JS который был открыт пользователем, его анализ поможет понять какие именно программы были использовали для шифрования данных. Программа для восстановления удаленных файлов обязательно запускается в внешнего носителя, для того чтобы на жестком диске было как можно меньше вносимых изменений.

2. Программы расшифровки

На данный момент у крупных игроков антивирусных компаний есть несколько ключей от различных вирусов-шифровальщиков, если спамер пользовался старой или популярной версией энкодера, возможно ваши файлы еще можно восстановить, пользуясь утилитами для расшивки отдельных вирусов, ниже рассмотрим ссылки на такие программы:

Утилиты от компании Антивирус Касперского

http://support.kaspersky.ru/viruses/disinfection?page=2

Рашифровщики от компании DrWeb

http://forum.drweb.com/index.php?showtopic=317113

3. Антивирусные компании.

Некоторые антивирусные компании для своих пользователей сделали специальные сервисы по дешифровке, есть очень малая доля вероятности что именно Ваши данные удастся расшифровать. Например вот ссылка по дешифровке от DrWeb https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

4. Копии теневого тома

Можно попробовать восстановить данные с помощью теневого тома копий подробнее можно узнать по ссылке, но имейте ввиду что скрипты шифровальщики чаще всего не оставляют такую возможность.

5. Восстановление данных

Многие скрипты работают по принципу копия файла, потом шифрование, а затем удаление оригинала, именно поэтому очень Важно не записывать на жесткий диск новую информацию, а программы для восстановления данных к примеру R-Studio или Photorec нужно запускать с подключенного внешнего носителя информации.

Расшифровка файлов опытным специалистом

Специалисты нашей компании имеют большой опыт расшифровки файлов после попадания скриптов энкодеров. Для того чтобы получить высококвалифицированную помощь свяжитесь с нами по обратной связи или рабочим телефонам. Если Вы не уверены что Вас есть достаточно знаний для расшифровки очень Важно до приезда специалиста:

— не перезагружаейте компьютер!

— не переименовывайте файлы!

— не качайте новые данные!

— не закрывайте программы, оставьте все как есть!

— не удаляйте письмо с шифровальщиком из почтового ящика!

Специалисты нашей компании сделают все существующие операции которые известны только профессионалам своего дела! Вызывая к себе специалиста Вы должны понимать что чудес не бывает и в большинстве случаев расшифровка не представляется возможной. Но мы всегда поможем:

1. Найти тело вируса и вышлем его на анализ в антивирусные компании

2. Переберем все известные миру дешифраторы

3. Вы будете уверены что вируса в компьютере не осталось!

4. Настроем по Вашему желанию резервное копирование информации и защиту от таких вирусов

Как защититься?

1. Храните файлы на сервере или на сетевом хранилище

Большинство вирусов энкодеров не рассчитано на работу в локальной сети, поэтому мы рекомендуем пользоваться хранением информации на сервере или сетевом хранилище, при появлении энкодера в большинстве случаев сетевые данные не затронуты. Также на сервере можно сделать резервирование данных на отдельный носитель инфомации, например 1 раз в сутки, куда доступ с компьютеров будет только для чтения файлов.

2. Ограничьте доступ к запускаемым приложениям

Если пользователь работает только с документами ему не к чему доступ администратора, можно также запретить запуск новых приложений и скриптов через AppLocker — это встроенные возможности расширенных версий Windows

3. Делайте резервные копии. При отсутствии сервера делайте резервные копии на съемный дисковый накопитель, это Флешки или внешние жесткие диски. При наличии резервной копии всех данных вы будете спокойнее за их дальнейшую сохранность!

Germany | Finland | Saint Petersburg | Drive

В последнее время наиболее страшным вирусом является троян-шифровальщик файлов, распознаваемый как Trojan-Ransom.Win32.Rector, который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно, а без определенных знаний и умений просто невозможно.

Процесс заражения происходит хитрым образом. На почту приходит письмо с прикрепленным файлом типа «документ.pdf.exe». При открытии этого файла, а фактически при его запуске, начинается работа вируса и шифрование файлов.

Вирус зашифровал файлы, что делать?

Если вы обнаружили действие этого файла, но продолжаете работать на этом компьютере, то он шифрует все большее и большее количество файлов. К зашифрованным файлам добавляется расширение типа « Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript » (именование может быть различно), а практически во все папки добавляется интернетовский или текстовый файл типа «РаСшИфроваТь_ФайЛы.html» в котором злоумышленники описывают как получить от вас деньги за свою грязную работу. Вот текст реального файла, с зараженного компьютера моих клиентов:

Раньше единственным спасением от этого вируса было удаление всех зараженных файлов и восстановление их из резервной копии, хранящейся на внешнем диске или флешке. Однако, поскольку мало кто делает резервные копии, и тем более, регулярно их обновляет, информация просто терялась. Варианты заплатить «шифровальщикам» за расшифровку ваших файлов в подавляющем большинстве заканчиваются потерей денег и являются просто разводом на деньги.

Сейчас антивирусные лаборатории разрабатывают способы и программы избавиться от этого вируса. Лабораторией Касперского разработана утилита – RectorDecryptor, позволяющая расшифровывать зараженные файлы. По этой ссылке вы можете скачать программу RectorDecryptor. Затем надо ее запустить, нажать кнопку «Начать проверку», выбрать зашифрованный файл, после чего программа автоматически расшифрует все зашифрованные файлы подобного типа. Файлы восстанавливаются в тех же папках, где были зашифрованные файлы. После этого надо удалить зашифрованные файлы. Проще всего это сделать следующей командой, набранной в командной строке: del «d:\*.AES256» /f /s (где вместо AES256 должно быть расширение вашего вируса). Также необходимо удалить файлы писем злоумышленников, распиханные по всему компьютеру. Сделать это можно следующей командой: del «d:\ РаСшИфроваТь_ФайЛы.html» /f /s набранной в командной строке.

Предварительно необходимо обезопасить компьютер от возможности распространения вируса. Для этого необходимо очистить подозрительные запускаемые файлы в автозагрузке, деинсталлировать подозрительные программы, очистить временные папки и кэши браузеров (можно воспользоваться для этого утилитой CCleaner).

Однако, надо заметить, что данный способ расшифровки может помочь только тем, чей вирус уже обработан лабораторией Касперского и включен в перечень, находящийся в утилите RectorDecryptor. Если это новый вирус, еще не включенный в перечень обезвреженных вирусов, то вам придется отправлять свои зараженные файлы для расшифровки в лаборатории Касперского, Dr.Web, или Nod32 или восстанавливать их из резервной копии (что гораздо проще).

Если действия по обезвреживанию ваших вирусов и лечению компьютера представляют определенную сложность, то чтобы не навредить еще больше, или порушить операционную систему, (что может привести к полной переустановке Windows), лучше обратиться к специалисту, который сделает это профессионально. Современные средства позволяют все эти действия провести удаленно в любой точке земного шара, где есть подключение к интернету.

Если ваш компьютер заражен вирусом шифровальщиком, вам необходимо произвести переустановку Windows.

Это позволит полностью удалить вирус шифровальщик на вашем компьютере.

Наши компьютерные мастера могут произвести переустановку Windows в Уфе и попытаться восстановить зашифрованные файлы

Звоните 8-927-237-48-09

Вирусы-шифровальщики , или по другому их еще называют — криптографические вирусы — особый вид программного обеспечения, который осуществляет шифрование всех файлов на жестком диске. Что подразумевается под словом «шифрование»? При шифровании все файлы превращаются в набор нулей и единиц, то есть представляют собой бессмысленный набор информации, который невозможно открыть ни одной программой.

Это означает, что после шифрования, все файлы Word, Excel и прочие рабочие документы будет невозможно открыть и получить к ним доступ. А если в этих файлах находится ваша курсовая работа, которую вы так старательно выполняли в течении всего месяца? Возмущения от шифрования ваших данных не будет предела, скажу я вам. А если учесть, что большинство студентов хранит свои работы в чаще в одном экземпляре — на рабочем компьютере, то после шифрования жесткого диска того самого рабочего компьютера, студент теряет все наработки по документам. Не спорю, может повезти, если копия курсовой осталась на флешке, однако, есть еще весьма хитрый факт работы вирусов шифровальщиков.

Как и любой вирус, функции, который он выполняет — зависят напрямую от разработчика этого вируса. Что я имею ввиду под функциями? Приведу пример.

После шифрования жесткого диска и всех файлов на нем — вирус сразу не выдает себя. То есть, вы спокойно продолжаете открывать все свои документы и изменять их. При этом, во время правки — вы пользуетесь флешкой, на которой эти документы также есть. Что делает в этом случае вирус-шифровальщик? Вирус отслеживает все устройства, которые вы подсоединяете к USB портам: флешки, медиа-устройства — и постепенно шифрует на них информацию. После некоторого времени, вирус активизируется и блокирует доступ ко всем файлам на компьютере, в том числе успев зашифровать данные и на ваших флешках.

Что имеем в данном случае? Все ваши документы, курсовые, ДИПЛОМНЫЕ РАБОТЫ, и прочие документы — зашифрованы и к ним нет доступа.

Что же делать, чтобы не поймать вирус-шифровальщик?

Ответ весьма прост — включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется — теряет свою актуальность.

Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида — сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту — компьютер.

Вирус шифровальщик зашифровал файлы на компьютере, что делать, как вылечить и как исправить?

И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.

Сразу скажу — платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.

Что нужно делать, если файлы зашифрованы вирусом

Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.

Почему именно «попытаться расшифровать»?

Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.

Что делать дальше, когда все зашифрованные файлы на отдельном устройстве

После копирования зашифрованных файлов на флешку или жесткий диск, необходимо произвести полное форматирование жесткого диска компьютера и новую установку Windows. После установки Windows, необходимо установить антивирус, который будет обновляться и защищать ваши файлы от вирусов-шифровальщиков.

В этом случае, вы можете обратиться в нашу компанию по телефону 8-927-237-48-09 и воспользоваться услугами компьютерной помощи.

Лечение вирусов-шифровальщиков

Последнее время много проблем создают вирусы-шифровальщики, лечение которых традиционными средствами часто не помогает. Шифровальщики, которым удалось проникнуть в систему, шифруют файлы определенных расширений. Обычно, вирусы такого типа шифруют файлы с расширениями.xls .doc и другие подобные. В таких файлах обычно записана самая необходимая жертве информация.

Компьютерные услуги

Расшифровка файлов не под силу обычному антивирусу. В зависимости от типа вируса могут использоваться различные методы шифрования. Удаление самого вируса не гарантирует освобождение файлов из-под шифра. Для лечения зашифрованных файлов используются специальные инструменты. Методы лечения вирусов-шифровальщиков предлагают крупные антивирусные лаборатории. Некоторые методы для лечения мы рассмотрим ниже.

Лечение от Касперского предлагается в виде двух утилит: XoristDecryptor и RectorDecryptor их достаточно запустить и они могут помочь справиться с заражением. Если зашифрованные файлы вылечить не удалось, то программы предложат отправить для изучения неизвестный файл, а со следующими базами утилит выйдет подходящий дешифратор, который сможет решить проблему.

Если вы счастливый обладатель лицензии на антивирусные продукты от dr.web, то сможете передать на анализ зашифрованные файлы через эту форму, Если вам попался вирус-шифровальщик из семейства Encoder, то здесь вы сможете прочитать информацию о том, что еще нужно сделать после отправки запроса.

Ваши файлы были зашифрованы - что делать?

Dr.web, кроме того, настоятельно советует отправить заявление в полицию.

Самый лучший способ защититься от вируса — это предупредить его заражение. Основных правил несколько: не пренебрегать антивирусом и использовать все основные меры защиты. Об основных мерах защиты мы подробно писали в этой статье — очень рекомендуем к изучению. Так же, необходимо позаботиться о резервных копиях важных данных. Такие копии лучше всего сохранять на внешний жесткий диск, который не будет постоянно подключен к компьютеру.

Необходимо признать, что файлы, зашифрованные некоторыми вирусами-шифровальщиками, невозможно вылечить. И это не наше мнение, а мнение специалистов антивирусных компаний. Например, файлы вирусов семейства GpCode без закрытого ключа расшифровать невозможно, тут остается только оплатить злоумышленнику его требование и надеется получить дешифратор. Либо ждать, пока кто-нибудь из антивирусных аналитиков не сумеет создать дешифратор.

Сделать заявку

RectorDecryptor — полезный инструмент для устранения вредоносной программы Trojan-Ransom.Win32.Rector и расшифровки файлов, зашифрованных этим трояном

Описание программы

RectorDecryptor — утилита от Лаборатории Касперского, разработанная для расшифровки файлов, зашифрованных вредоносной программой Trojan-Ransom.Win32.Rector.

Восстановление файлов после вируса шифровальщика

Вредоносная программа Trojan-Ransom.Win32.Rector используется мошенниками для несанкционированной модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа. Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Для расшифровки Ваших данных, скачайте архив rectordecryptor.zip, распакуйте его в любое место и запустите файл RectorDecryptor.exe .

Снова участились случаи заражения вирусом, который шифрует данные на компьютере с помощью алгоритма Microsoft Enhanced Cryptographic Provider.

Заражение вирусом-шифровальщиком происходит чаще всего через вложение электронного письма. В столкнулись с тем, что разработчики алгоритма используют социальные технологии в целях повышения эффективности собственной «деятельности»: в заголовке письма учтена специфика занятий и круг интересов конкретного пользователя.

Т.е. посредством интернет можно узнать, что интересует конкретного адресата, и, чтобы письмо было открыто наверняка, в теме использовать ключевые слова. Например, в зараженное письмо на адрес [email protected], которая, допустим, занимается стройкой, в тему сообщения может быть добавлено ключевое словосочетание «актуальное предложение по застройке». Такое письмо будет открыто и вирус начнёт своё дело.

Признаки присутствия вируса на компьютере. Почему очень важно прочитать эту статью до конца и запомнить некоторые особенности работы вируса.

Итак, когда вирус- шифровальщик вместе с письмом приходит на почту выглядит это так:

1. Письмо с актуальной для пользователя темой.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «Вложение.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с содержимым следующего содержания. Картинка ниже.

При этом обращаем внимание, что запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Антивирус не спасал от заражения вирусом и потери важных данных!

4. В тот же момент запускался шифровальщик, работу которого можно увидеть по достаточно интенсивному обращению к жёсткому диску компьютера. В этот момент программа сканирует жёсткий диск на наличие файлов интересующих форматов и шифровать их таким образом, что спустя некоторое время эти файлы перестают запускаться. Пользователь остаётся без собственных данных, сохранённых на локальном диске. Шифрованию подвергаются, судя по всему, файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг,справок, фотографии, картинки, архивы.

Зашифрованные файлы выглядят следующим образом:

5. В тоже время на рабочем столе появляется текстовый файл в котором предлагается решить возникшую проблему с помощью перечисления денег на указанный кошелёк мошенников.

Примерное содержимое файла PAYCRYPT_GMAIL_COM

Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.

2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
- e-mail и доверие
- электронная валюта «за урок»
Наши ресурсы:
- Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть - DECODE.exe)
- Предоставим гарантии - после оплаты ключ будет передан, согласно договоренности
- Консультации после оплаты

3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос «на потом» также не вариант, плюс верить в чудеса не стоит.

4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации - вполне правильно

5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру

6. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл ‘KEY.PRIVATE’. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.

7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [email protected]
7.2. В начале Вам необходимо получить гарантитого, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
- вложение Вашего ID-файла ‘KEY.PRIVATE’ (!!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров

7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS

DATE CRYPTED: 2_.0_.2014 / 11:50.

Вот такие вот вежливые нынче кибер-преступники.

Для того, чтобы избежать заражения, а если оно произошло, предотвращения потери доступа к информации, необходимо делать следующее:

1. Во-первых, не нужно запускать всё, что приходит от непонятных адресатов к Вам на почту.

2. Во- вторых, если на компьютере (ноутбуке) после открытия вложения запустилась непонятная программа-файл, не соответствующий названию вложения, сразу же вырубайте машину и обращайтесь к квалифицированным специалистам. Быстрота действий залог успеха в сохранении данных на компьютере.

3. и файлы после вируса-шифровальщика можно в 2 случаях. 1. Если данные не были зашифрованы при быстром выключении. 2 Если на диске остались невредимы затёртые копии исходников.

В целом, многое зависит от того, насколько пользователь правильно понимает, как работает механизм шифрования. Надо отметить, что можно попытаться спасти информацию самостоятельно. Особенно несложно это будет сделать, если с момента начала работы шифратора до экстренного выключения компьютера прошло мало времени. В таком случае спасти информацию на компьютере можно почти всю. Для этого необходимо после экстренного отключения компьютера извлечь жёсткий диск, подключить его к другому ПК и просто скопировать нужные файлы и данные.

Современные технологии позволяют хакерам постоянно совершенствовать способы мошенничества по отношению к обычным пользователям. Как правило, для этих целей используется вирусное ПО, проникающее на компьютер. Особенно опасным считаются вирусы-шифровальщики. Угроза заключается в том, что вирус очень быстро распространяется, зашифровывая файлы (пользователь попросту не сможет открыть ни один документ). И если довольно просто, то куда сложнее расшифровать данные.

Что делать, если вирус зашифровал файлы на компьютере

Подвергнуться атаке шифровальщика может каждый, не застрахованы даже пользователи, у которых стоит мощное антивирусное ПО. Трояны шифровальщики файлов представлены различным кодом, который может быть не под силу антивирусу. Хакеры даже умудряются атаковать подобным способом крупные компании, которые не позаботились о необходимой защите своей информации. Итак, «подцепив» в онлайне программу шифровальщик, необходимо принять ряд мер.

Главные признаки заражения – медленная работа компьютера и изменение наименований документов (можно заметить на рабочем столе).

1. Перезапустите компьютер, чтобы прервать шифрование. При включении не подтверждайте запуск неизвестных программ.
2. Запустите антивирус, если он не подвергся атаке шифровальщика.
3. Восстановить информацию в некоторых случаях помогут теневые копии. Чтобы найти их, откройте «Свойства» зашифрованного документа. Этот способ работает с зашифрованными данными расширения Vault, о котором есть информация на портале.
4. Скачайте утилиту последней версии для борьбы с вирусами-шифровальщиками. Наиболее эффективные предлагает «Лаборатория Касперского».

Вирусы-шифровальщики в 2016: примеры

При борьбе с любой вирусной атакой важно понимать, что код очень часто меняется, дополняясь новой защитой от антивирусов. Само собой, программам защиты нужно какое-то время, пока разработчик не обновит базы. Нами были отобраны самые опасные вирусы-шифровальщики последнего времени.

Ishtar Ransomware

Ishtar – шифровальщик, вымогающий у пользователя деньги. Вирус был замечен осенью 2016 года, заразив огромное число компьютеров пользователей из России и ряда других стран. Распространяется при помощи email-рассылки, в которой идут вложенные документы (инсталляторы, документы и т.д.). Зараженные шифровальщиком Ishtar данные, получают в названии приставку «ISHTAR». В процессе создается тестовый документ, в котором указано, куда обратиться за получением пароля. Злоумышленники требует за него от 3000 до 15000 рублей.

Опасность вируса Ishtar в том, что на сегодняшний день нет дешифратора, который бы помог пользователям. Компаниям, занимающимся созданием антивирусного ПО, необходимо время, чтобы расшифровать весь код. Сейчас можно лишь изолировать важную информацию (если представляют особую важность) на отдельный носитель, дожидаясь выхода утилиты, способной расшифровать документы. Рекомендуется переустановить операционную систему.

Neitrino

Шифровальщик Neitrino появился на просторах Сети в 2015 году. По принципу атаки схож с другими вирусами подобной категории. Изменяет наименования папок и файлов, добавляя «Neitrino» или «Neutrino». Дешифрации вирус поддается с трудом – берутся за это далеко не все представители антивирусных компаний, ссылаясь на очень сложный код. Некоторым пользователям может помочь восстановление теневой копии. Для этого кликните правой кнопкой мыши по зашифрованному документу, перейдите в «Свойства», вкладка «Предыдущие версии», нажмите «Восстановить». Не лишним будет воспользоваться и бесплатной утилитой от «Лаборатории Касперского».

Wallet или .wallet.

Появился вирус-шифровальщик Wallet в конце 2016 года. В процессе заражения меняет наименование данных на «Имя..wallet» или похожее. Как и большинство вирусов-шифровальщиков, попадает в систему через вложения в электронных письмах, которые рассылают злоумышленники. Так как угроза появилась совсем недавно, антивирусные программы не замечают его. После шифрации создает документ, в котором мошенник указывает почту для связи. В настоящее время разработчики антивирусного ПО работают над расшифровкой кода вируса-шифровальщика [email protected]. Пользователям, подвергшимся атаке, остается лишь ждать. Если важны данные, то рекомендуется их сохранить на внешний накопитель, очистив систему.

Enigma

Вирус-шифровальщик Enigma начал заражать компьютеры российских пользователей в конце апреля 2016 года. Используется модель шифрования AES-RSA, которая сегодня встречается в большинстве вирусов-вымогателей. На компьютер вирус проникает при помощи скрипта, который запускает сам пользователь, открыв файлы из подозрительного электронного письма. До сих пор нет универсального средства для борьбы с шифровальщиком Enigma. Пользователи, имеющие лицензию на антивирус, могут попросить о помощи на официальном сайте разработчика. Так же была найдена небольшая «лазейка» – Windows UAC. Если пользователь нажмет «Нет» в окошке, которое появляется в процессе заражения вирусом, то сможет впоследствии восстановить информацию при помощи теневых копий.

Granit

Новый вирус-шифровальщик Granit появился в Сети осенью 2016 года. Заражение происходит по следующему сценарию: пользователь запускает инсталлятор, который заражает и шифрует все данные на ПК, а также подключенных накопителях. Бороться с вирусом сложно. Для удаления можно воспользоваться специальными утилитами от Kaspersky, но расшифровать код еще не удалось. Возможно, поможет восстановление предыдущих версий данных. Помимо этого, расшифровать может специалист, который имеет большой опыт, но услуга стоит дорого.

Tyson

Был замечен недавно. Является расширением уже известного шифровальщика no_more_ransom, о котором вы можете узнать на нашем сайте. Попадает на персональные компьютеры из электронной почты. Атаке подверглось много корпоративных ПК. Вирус создает текстовый документ с инструкцией для разблокировки, предлагая заплатить «выкуп». Шифровальщик Tyson появился недавно, поэтому ключа для разблокировки еще нет. Единственный способ восстановить информацию – вернуть предыдущие версии, если они не подверглись удалению вирусом. Можно, конечно, рискнуть, переведя деньги на указанный злоумышленниками счет, но нет гарантий, что вы получите пароль.

Spora

В начале 2017 года ряд пользователей стал жертвой нового шифровальщика Spora. По принципу работы он не сильно отличается от своих собратьев, но может похвастаться более профессиональным исполнением: лучше составлена инструкция по получению пароля, веб-сайт выглядит красивее. Создан вирус-шифровальщик Spora на языке С, использует сочетание RSA и AES для шифрования данных жертвы. Атаке подверглись, как правило, компьютеры, на которых активно используется бухгалтерская программа 1С. Вирус, скрываясь под видом простого счета в формате.pdf, заставляет работников компаний запускать его. Лечение пока не найдено.

1C.Drop.1

Этот вирус-шифровальщик для 1С появился летом 2016 года, нарушив работу многих бухгалтерий. Разработан был специально для компьютеров, на которых используется программное обеспечение 1С. Попадая посредством файла в электронном письме на ПК, предлагает владельцу обновить программу. Какую бы кнопку пользователь не нажал, вирус начнет шифрование файлов. Над инструментами для расшифровки работают специалисты «Dr.Web», но пока решения не найдено. Виной тому сложный код, который может быть в нескольких модификациях. Защитой от 1C.Drop.1 становится лишь бдительность пользователей и регулярное архивирование важных документов.

da_vinci_code

Новый шифровальщик с необычным названием. Появился вирус весной 2016 года. От предшественников отличается улучшенным кодом и стойким режимом шифрования. da_vinci_code заражает компьютер благодаря исполнительному приложению (прилагается, как правило, к электронному письму), который пользователь самостоятельно запускает. Шифровальщик «да Винчи» (da vinci code) копирует тело в системный каталог и реестр, обеспечивая автоматический запуск при включении Windows. Компьютеру каждой жертвы присваивается уникальный ID (помогает получить пароль). Расшифровать данные практически невозможно. Можно заплатить деньги злоумышленникам, но никто не гарантирует получения пароля.

[email protected] / [email protected]

Два адреса электронной почты, которыми часто сопровождались вирусы-шифровальщики в 2016 году. Именно они служат для связи жертвы со злоумышленником. Прилагались адреса к самым разным видам вирусов: da_vinci_code, no_more_ransom и так далее. Крайне не рекомендуется связываться, а также переводить деньги мошенникам. Пользователи в большинстве случаев остаются без паролей. Таким образом, показывая, что шифровальщики злоумышленников работают, принося доход.

Breaking Bad

Появился еще в начале 2015 года, но активно распространился только через год. Принцип заражения идентичен другим шифровальщикам: инсталляция файла из электронного письма, шифрование данных. Обычные антивирусы, как правило, не замечают вирус Breaking Bad. Некоторый код не может обойти Windows UAC, поэтому у пользователя остается возможность восстановить предыдущие версии документов. Дешифратора пока не представила ни одна компания, разрабатывающая антивирусное ПО.

XTBL

Очень распространенный шифровальщик, который доставил неприятности многим пользователям. Попав на ПК, вирус за считанные минуты изменяет расширение файлов на.xtbl. Создается документ, в котором злоумышленник вымогает денежные средства. Некоторые разновидности вируса XTBL не могут уничтожить файлы для восстановления системы, что позволяет вернуть важные документы. Сам вирус можно удалить многими программами, но расшифровать документы очень сложно. Если является обладателем лицензионного антивируса, воспользуйтесь технической поддержкой, приложив образцы зараженных данных.

Kukaracha

Шифровальщик «Кукарача» был замечен в декабре 2016 года. Вирус с интересным названием скрывает пользовательские файлы при помощи алгоритма RSA-2048, который отличается высокой стойкостью. Антивирус Kaspersky обозначил его как Trojan-Ransom.Win32.Scatter.lb. Kukaracha может быть удален с компьютера, чтобы заражению не подверглись другие документы. Однако зараженные на сегодняшний день практически невозможно расшифровать (очень мощный алгоритм).

Как работает вирус-шифровальщик

Существует огромное число шифровальщиков, но все они работают по схожему принципу.

1. Попадание на персональный компьютер. Как правило, благодаря вложенному файлу к электронному письму. Инсталляцию при этом инициирует сам пользователь, открыв документ.
2. Заражение файлов. Подвергаются шифрации практически все типы файлов (зависит от вируса). Создается текстовый документ, в котором указаны контакты для связи со злоумышленниками.
3. Все. Пользователь не может получить доступа ни к одному документу.

Средства борьбы от популярных лабораторий

Широкое распространение шифровальщиков, которые признаются наиболее опасными угрозами для данных пользователей, стало толчком для многих антивирусных лабораторий. Каждая популярная компания предоставляет своим пользователям программы, помогающие бороться с шифровальщиками. Кроме того, многие из них помогают с расшифровкой документов защитой системы.

Kaspersky и вирусы-шифровальщики

Одна из самых известных антивирусных лабораторий России и мира предлагает на сегодня наиболее действенные средства для борьбы с вирусами-вымогателями. Первой преградой для вируса-шифровальщика станет Kaspersky Endpoint Security 10 с последними обновлениями. Антивирус попросту не пропустит на компьютер угрозу (правда, новые версии может не остановить). Для расшифровки информации разработчик представляет сразу несколько бесплатных утилит: , XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Они помогают отыскивать вирус и подбирают пароль.

Dr. Web и шифровальщики

Эта лаборатория рекомендует использовать их антивирусную программу, главной особенностью которой стало резервирование файлов. Хранилище с копиями документов, кроме того, защищено от несанкционированного доступа злоумышленников. Владельцам лицензионного продукта Dr. Web доступна функция обращения за помощью в техническую поддержку. Правда, и опытные специалисты не всегда могут противостоять этому типу угроз.

ESET Nod 32 и шифровальщики

В стороне не осталась и эта компания, обеспечивая своим пользователям неплохую защиту от проникновения вирусов на компьютер. Кроме того, лаборатория совсем недавно выпустила бесплатную утилиту с актуальными базами – Eset Crysis Decryptor. Разработчики заявляют, что она поможет в борьбе даже с самыми новыми шифровальщиками.