Ваши файлы были зашифрованы — что делать?

Автор На чтение 11 мин

Вы открываете свой компьютер и видите сообщение, которого любой пользователь боится: ваши файлы зашифрованы, а также требование выкупа за их возврат. Первая реакция — паника и шок, и это нормально. Важно сейчас взять паузу и не поддаваться эмоциям, потому что в ближайшие несколько минут вы сможете решить, вернете ли вы свои данные и защитите ли остальные устройства.

Главное правило — ни в коем случае не платить выкуп. Злоумышленники не гарантируют, что пришлют ключ для расшифровки, и оплата только финансирует их преступную деятельность. Вы должны действовать хладнокровно и последовательно.

Чтобы предотвратить распространение вируса на другие компьютеры или внешние диски, немедленно отключите зараженное устройство от интернета и локальной сети. Если это рабочий компьютер, немедленно сообщите в IT-отдел. Не пытайтесь самостоятельно лечить систему сомнительными программами из Интернета; это может сделать ситуацию еще хуже.

Оцените масштаб проблемы: какие файлы пострадали? Есть ли у вас их резервная копия в облаке или на внешнем диске? Во многих случаях восстановление из бэкапа — самый быстрый и дешевый способ вернуть все на свои места. Если у вас нет резервной копии, не отчаивайтесь: иногда энтузиасты и антивирусные компании создают бесплатные дешифраторы.

Если вы вдруг обнаружили, что ваши файлы зашифрованы, это скорее всего результат атаки вируса-вымогателя. Он блокирует доступ к документам, фотографиям и другим данным, требуя, чтобы вы заплатили за их возвращение. Главное, чтобы вы не паниковали и ни в коем случае не платили, вместо этого отключите компьютер и другие устройства от интернета, чтобы вирус не распространялся дальше, и как можно быстрее обратитесь за помощ

Содержание
  1. Что делать, если все важные данные зашифрованы
  2. No More Ransom
  3. ID Ransomware
  4. Файлы на компьютере зашифрованы в xtbl
  5. Файлы зашифрованы better_call_saul
  6. Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni
  7. Еще варианты вируса-шифровальщика

Что делать, если все важные данные зашифрованы

Для начала несколько общих советов для тех, кто столкнулся с шифрованием важных файлов на своем компьютере. Если ваши важные файлы были зашифрованы, не стоит паниковать.

Если у вас есть возможность этого сделать, вы можете скопировать образ файла с текстовым запросом злоумышленника по расшифровке на внешний накопитель, также известный как флешка. Затем, если это возможно, выключите компьютер, чтобы вирус не мог продолжать шифрование данных, а остальные операции выполняйте на другом компьютере.

Следующий шаг заключается в том, чтобы определить тип вируса, который зашифровал ваши данные, используя имеющиеся зашифрованные файлы. Для некоторых из этих файлов есть дешифраторы, которые я укажу здесь, а некоторые будут указаны ближе к концу статьи. Даже в этом случае вы можете отправить образцы зашифрованных файлов в антивирусные лаборатории для изучения (Касперский, Dr. Web).

Как именно можно узнать? Это можно сделать с помощью Google, найдя обсуждение или тип шифровальщика по расширению файла. Кроме того, начали появляться сервисы, которые могут определить тип ransomware.

No More Ransom

No More Ransom — активно развивающийся ресурс, поддерживаемый разработчиками средств безопасности и доступный в версии на русском языке, направленный на борьбу с вирусами шифровальщиками (троянцами-вымогателями).

При удаче, No More Ransom может помочь расшифровать ваши документы, базы данных, фотографии и другую информацию, скачать необходимые программы для расшифровки, а также получить информацию, которая поможет избежать таких угроз в будущем.

На No More Ransom можно попробовать расшифровать ваши файлы и определить тип вируса-шифровальщика следующим образом:

  1. Нажмите «Да» на главной странице сервиса https://www.nomoreransom.org/ru/index.html
  2. Откроется страница «Крипто-шериф», где можно загрузить примеры зашифрованных файлов размером не более 1 Мб (рекомендую загружать не содержащие конфиденциальных данных), а также указать адреса электронной почты или сайтов, на которые мошенники требуют выкуп (или загрузить файл readme.txt с требованием). 
  3. Нажмите кнопку «Проверить» и дождитесь завершения проверки и ее результата.

В дополнение к этому веб-сайт содержит полезные разделы:

  • Декрипторы — почти все существующие на текущий момент времени утилиты для расшифровки зашифрованных вирусами файлов. 
  • Профилактика заражения — информация, направленная в первую очередь на начинающих пользователей, которая может помочь избежать заражения в дальнейшем.
  • Вопросы и ответы — информация для тех, кто хочет лучше разобраться в работе вирусов шифровальщиков и действиях в случаях, когда вы столкнулись с тем, что файлы на компьютере были зашифрованы.

На сегодня, No More Ransom — наверное, самый актуальный и полезный ресурс, связанный с расшифровкой файлов для русскоязычного пользователя, рекомендую.

ID Ransomware

Также существует такая услуга: https://id-ransomware.malwarehunterteam.com/. (Хотя я не уверен, насколько хорошо он работает с русскоязычными версиями вируса, стоит попробовать передать сервису образец зашифрованного файла и текстового файла с требованием выкупа.)

После того, как вы определили тип шифровальщика, попробуйте найти программу для расшифровки этого варианта по запросам, подобным: Тип дешифратора Разработчики антивирусов создают эти бесплатные утилиты. Некоторые из них доступны на сайте Касперского по адресу https://support.kaspersky.ru/viruses/utility, а другие утилиты будут представлены ближе к концу статьи. Кроме того, как уже говорилось, не стесняйтесь связаться с разработчиками антивирусов через их форумы или службу поддержки по почте.

К сожалению, эти методы не всегда эффективны и расшифровщики файлов не всегда работают. В этом случае ситуации бывают разными: некоторые люди платят злоумышленникам, чтобы они могли продолжать свою деятельность, а другие используют программы для восстановления данных на компьютере. Это связано с тем, что вирус, создавая зашифрованный файл, удаляет обычный важный файл, который теоретически можно восстановить.

Файлы на компьютере зашифрованы в xtbl

Один из вариантов вируса-вымогателя заключается в том, что он шифрует файлы и заменяет их файлами с расширением.и имя, состоящее из произвольного набора символов.

После этого на компьютере создаю текстовый файл readme.txt, в котором примерно написано: «Ваши файлы были зашифрованы». Вам необходимо отправить код на deshifrator01@gmail.com, decoder101@gmail.com или deshifrator@india.com, чтобы расшифровать их. Далее вы получите все, что вам нужно. Потеря информации неизбежна, если попытаться расшифровать файлы самостоятельно.

К сожалению, на данный момент нет метода расшифровки файлов.xtbl; если он появится, инсталляция будет обновлена. На антивирусных форумах некоторые пользователи, у которых на компьютере была ценная информация, сообщают, что отправили авторам вируса 5000 рублей или любую другую сумму и получили дешифратор. Однако это очень рискованно, потому что вы можете ничего не получить.

Что делать, если файл.xtbl был зашифрован? Несмотря на то, что мои советы отличаются от тех, которые можно найти на многих других тематических сайтах, я предлагаю не удалять вирус или выключать компьютер из сети. Я считаю, что это недостаточно, и в некоторых ситуациях может быть даже вредным, но вы решаете:

  1. Если умеете, прервать процесс шифрования, сняв соответствующие задачи в дисптечере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
  2. Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
  3. С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
  4. Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
  5. Можно так же отправить пример зашифрованного файла и требуемый код на newvirus@kaspersky.com, если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.

Чего не следует делать:

  • Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.

Это, пожалуй, все, что я могу сказать по поводу файлов с расширением, которые зашифрованы.xtbl в настоящее время.

Файлы зашифрованы better_call_saul

Из последних вирусов шифровальщиков — Better Call Saul (Trojan-Ransom.Win32.Shade), устанавливающий расширение .better_call_saul для шифруемых файлов. Как расшифровать такие файлы — пока непонятно. Те пользователи, которые связывались с лабораторией Касперского и Dr.Web получили информацию о том, что пока этого сделать нельзя (но все равно попробуйте отправить — больше образцов зашифрованных файлов у разработчиков = больше вероятность нахождения способа).

Прошу сообщить мне информацию в комментариях, если вы обнаружили способ расшифровки — возможно, он был выложен ранее, но я не уследил за этим.

Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni

Этот троян шифрует файлы и создает расширения из этих списков:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (не обязательно этот троян, есть и другие, устанавливающие это же расширение).
  • .codercsu@gmail_com
  • .enc
  • .oshit
  • И другие.

В случае возникновения файлов, поврежденных этими вирусами, можно использовать бесплатную программу RakhniDecryptor, которую можно найти на официальной странице Касперского: http://support.kaspersky.ru/viruses/disinfection/10556.

В нем также содержится подробная инструкция по использованию этой утилиты, которая объясняет, как восстановить зашифрованные файлы. Я бы, однако, удалил пункт «Удалять зашифрованные файлы после успешной расшифровки», хотя я считаю, что эта опция работает хорошо.

Вы можете получить бесплатную расшифровку антивируса Dr.Web, посетив эту страницу: http://support.drweb.com/new/free_unlocker/.

Еще варианты вируса-шифровальщика

Несмотря на это, в настоящее время также встречаются следующие трояны, которые шифруют файлы и требуют денег за их расшифровку. По приведенным ссылкам можно найти не только утилиты для возврата ваших файлов, но и описание признаков, которые помогут определить, что у вас именно этот вирус. Вообще говоря, наиболее эффективный метод заключается в том, чтобы использовать антивирус Касперского, просканировать систему, определить имя трояна

  • Trojan-Ransom.Win32.Rector — бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницу http://support.drweb.com/new/free_unlocker/
  • CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт http://decryptcryptolocker.com — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.
  • На сайте https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads доступе Ransomware Removal Kit — большой архив с информацией по разным типам шифровальщиков и утилитами для расшифровки (на английском)

Ну и из последних новостей — Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается.

Поскольку столкнуться с шифрованием файлов — это неприятный и стрессовый опыт, важно не паниковать и не действовать быстро. Помните, что ваша первая реакция во многом определяет шансы на успешное восстановление данных.

Самое важное — ни в коем случае не платите вымогателям; нет гарантии, что вы получите ключ для расшифровки, поэтому вы просто потеряете деньги. Вместо этого отключите зараженное устройство от интернета и локальной сети, чтобы предотвратить распространение вируса на другие компьютеры или диски.

Сосредоточьтесь на поиске решения. Проверьте, нет ли у вас резервной копии важных файлов на внешнем жестком диске или в облачном хранилище; иногда энтузиасты и антивирусные компании находят уязвимости в вирусах и создают бесплатные дешифраторы.

Эта ситуация представляет собой важный урок по цифровой безопасности на будущее. Регулярно создавайте резервные копии важных файлов и храните их отдельно от основного компьютера, установите надежный антивирус и своевременно обновляйте операционную систему и программы — эти простые шаги помогут вам избежать подобных проблем и сохранить ваши данные в безопасности.

Поделиться с друзьями
Алексей Морозов

Технический журналист и системный администратор с 10‑летним опытом работы в корпоративной IT‑инфраструктуре.

Оцените автора
Добавить комментарий

Мы используем файлы cookie на этом сайте для улучшения работы. Вы можете прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом без изменения настроек, вы даёте согласие на использование ваших cookie-файлов.