» » Вирус зашифровал все файлы Что делать в такой ситуации

Вирус зашифровал все файлы Что делать в такой ситуации

Вирус-шифровальщик. БОЛЬШАЯ статья / Хабрахабр


В новости

я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.


Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

В огромном количестве электронной почты, с которым приходится иметь дело знакомому бухгалтеру, это письмо ничем не выделялось. Обычное сообщение от партнёра, с вложенным заархивированным стандартным бухгалтерским документом. То есть, рассылка тематическая: если вы врач – вам может прийти сообщение о новых лекарствах, если вы строитель – предложение посетить семинар по новым технологиям заливных полов, и так далее. Даже маска адреса почты будет содержать заветные слова. А в тексте ее зацепили призывы проверить оплату жизненно важного счёта от поставщика 1С бухгалтерии. В любом случае, письмо может не вызвать у вас никаких подозрений. Набитой рукой, пятидесятый раз за день, знакомая отрыла архивную папку ZIP, увидела какое-то невероятно длинное имя документа и “открыл” этот файл, дважды кликнув на нём курсором. Это действие оказалось роковым.

Благодаря неплохой мощности нового компьютера, разрушающее действие вируса распространилось моментально. Печальное сходство с онкологией – чем сильнее организм заболевшего, тем быстрее распространяются метастазы. Все тексты и таблицы Microsoft Office, все изображения JPG, все PDF-файлы, все базы 1C и вся музыка в формате MP3 были очень качественно зашифрованы (RSA код) и к ним было добавлено расширение .vault. Выбраны форматы, которые представляют наибольшую ценность для владельца компьютера, будь это домашняя машина или рабочая.

Методы внедрения вирусов в компьютер

Мошенники, разрабатывая вирусы, действуют целенаправленно. Если их продукты нацелены на компьютерную систему солидной компании или организации, то сперва ими собирается конкретная информация, а именно адреса электронной почты сотрудников, зачастую бухгалтерий либо отдела кадров, далее начинается рассылка всевозможных предложений на них. Очень часто такие письма содержат информацию в виде резюме соискателя работы. Естественно само резюме отправляется прикрепленным файлом к письму.

Когда пользователь почтового ящика открывает его для прочтения, находящийся в нем вирусный OLE-объект начинает свое действие. Он оперативно переименовывает файлы, шифрует их и самоудаляется из компьютера. В итоге того, что такого рода письма всегда содержат приличную информацию, касаемо интересов компании, у сотрудников не возникает подозрений, что это может быть вирус.

Такие вредоносные программы не то что живой человек не может распознать, но в этом же бессильны и самые мощные антивирусы, такие как Касперский и Вирус Тотал.

Однако все-таки иные антивирусы могут выдавать информацию о том, что файл может содержать вот это — Gen:Variant.Zusy.71505, что и является проблемой пользователей персональных компьютеров сегодняшнего дня.

вирус зашифровал все файлы на компе

Алгоритм их работы нестандартный, поэтому обычным антивирусным обеспечением будет невозможно вылечить зараженные файлы. Удаление вредоносных объектов приведет к потере данных. Только перемещение в карантин даст возможность обезопасить другие файлы, которые зловредный вирус еще не успел зашифровать.

Срок действия шифровального вредоносного обеспечения

Если ваш компьютер заразился Critroni (вредоносной программой) и вирус зашифровал все файлы, что делать? .vault-, .xtbl-, .rar-форматы самостоятельно не расшифруешь, вручную поменяв расширение на .doc, .mp3, .txt и другие. В случае если в течение 96 часов вы не оплатите нужную сумму киберпреступникам, с вами будут вести запугивающую переписку по почте о том, что все ваши файлы безвозвратно удалятся. В большинстве случаев на людей действуют такие угрозы, и они неохотно, но послушно выполняют указанные действия, боясь потерять драгоценную информацию. Жаль, пользователи не понимают того факта, что киберпреступники не всегда верны своему слову. Получив деньги, они зачастую уже не беспокоятся о дешифровке ваших заблокированных файлов.

Hello,

А также директории, в которую был первоначально загружен вредоносный файл.

- Создавать резервные копии! Делать бэкап данных!
- Настраивать сервак(сервер), и делать фильтр трафика.
- Не надеяться на антивирусы – они тут бесполезны!

В моем случае – делался бэкап базы данных 1С, постоянно сотрудниками компании (в виде копии её на отдельный диск). Но через некоторое время – девочки забили на это, из-за того что они надеялись на копии бухгалтера. Который забил на эти копии – так как их делали девочки)

Другие разновидности вирусов-шифровальщиков

Иногда могут попадаться и другие вирусы, шифрующие важные файлы и вымогающие оплату за возвращение всего в первоначальный вид. Предлагаем небольшой список с утилитами для борьбы с последствиями работы наиболее распространенных вирусов. Там же вы сможете ознакомиться с основными признаками, по которым можно отличить ту или иную троянскую программу.

  • Trojan-Ransom.Win32.Rector — бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь:
  • Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита RannohDecryptor
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницу
  • CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.

Ну и из последних новостей — Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor () для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается.

Совет №1.

Удаляйте все письма с вложениями от неизвестных адресатов. Ко всем остальным относитесь с осторожностью и перед запуском обязательно сканируйте антивирусом. А лучше вообще не запускайте.

ГЛАВНЫЙ совет №2.

Как вы уже понимаете, что на антивирусную программу полагаться не стоит, поэтому ЕДИНСТВЕННАЯ ЗАЩИТА от вируса шифровальщика — это бэкап, т.е. резервное копирование важных данных на другой носитель информации: флешка, внешний жесткий диск, болванки и т.п. подойдет все, на что можно сохранить информацию и отключить от компьютера.

Просто в дальнейшем, всегда помните, если информация для вас важна, уделите пару минут и скопируйте куда-нибудь на случай, если с ней что-то случится. Облачными сервисами для важных данных пользоваться не рекомендую.

Рис. 16. Делайте резервное копирование файлов

Желаю удачи и не теряйте свои данные!

Наверх