Вірус зашифрував файли і перейменував. Як розшифрувати файли, зашифровані вірусом

Останнім часом спостерігається сплеск активності нового покоління шкідливих комп`ютерних програм. З`явилися вони досить давно (6 - 8 років тому), але темпи їх впровадження досягли свого максимуму саме зараз. Все частіше можна зіткнутися з тим, що вірус зашифрував файли.

Вже відомо, що це не просто примітивні шкідливі ПО, наприклад, блокуючі комп`ютер (викликають появу синього екрану), а серйозні програми, націлені на пошкодження, як правило, бухгалтерських даних. Вони шифрують всі наявні файли, що знаходяться в межах досяжності, включаючи дані 1С бухгалтерії, docx, xlsx, jpg, doc, xls, pdf, zip.

Особлива небезпека розглянутих вірусів

Вона полягає в тому, що при цьому застосовується RSA-ключ, який прив`язаний до конкретного комп`ютера користувача, через що універсальний дешифратор (декріптор) Відсутня. Віруси, активізовані в одному з комп`ютерів, можуть не спрацювати в іншому.

Небезпека також ще в тому, що вже більше року в Інтернеті розміщено готові програми-будівельники (білдери), що дозволяють розробити такого роду вірус навіть кулхацкер (особистостям, які вважають себе хакерами, але при цьому не вивчають програмування).

В даний час з`явилися більш потужні їх модифікації.

Спосіб впровадження даних шкідливих програм

Розсилка вірусу виробляється цілеспрямовано, як правило, в бухгалтерію компанії. Спочатку здійснюється збір е-мейлів відділів кадрів, бухгалтерій з таких баз даних, як, наприклад, hh.ru. Далі виробляється розсилання листів. Вони найчастіше містять прохання касаемо прийняття на певну посаду. До такого листа прикріплений файл з резюме, усередині якого реальний документ з імплантованим OLE-об`єктом (pdf-файл з вірусом).

У ситуаціях, коли співробітники бухгалтерії відразу запускали даний документ, після перезавантаження відбувалося наступне: вірус перейменував і зашифрував файли, а потім самоліквідувалася.

Такого роду лист, як правило, адекватно написано і відправлено з неспамерского ящика (ім`я відповідає підпису). Вакансія завжди запитується виходячи з профілюючою діяльності компанії, через що підозри не виникають.

Ні ліцензійний "Касперський" (антивірусна програма), ні "Вірус Тотал" (онлайн-сервіс перевірки вкладень на віруси) не можуть убезпечити комп`ютер в розглянутому випадку. Зрідка деякі антивірусні програми при скануванні видають, що у вкладенні знаходиться Gen: Variant.Zusy.71505.

Як уникнути зараження даним вірусом?

Слід перевіряти кожен отриманий файл. Особлива увага приділяється вордівський документ, які мають впроваджені pdf.

Варіанти «заражених» листів

Їх досить багато. Найпоширеніші варіанти того, як вірус зашифрував файли, представлені нижче. У всіх випадках на електронну пошту приходять наступні документи:

1. Повідомлення щодо початку процесу розгляду поданої на конкретну компанію судового позову (у листі пропонується перевірити дані за допомогою переходу за вказаним посиланням).
2. Лист з ВАС РФ про стягнення боргу.
3. Повідомлення з Ощадбанку щодо збільшення існуючої заборгованості.
4. Повідомлення про фіксації порушення ПДД.
5. Лист з Колекторського агентства із зазначенням максимально можливої відстрочки платежу.

Повідомлення про шифруванні файлів

Воно після зараження з`явиться в кореневій папці диска С. Іноді в усі каталоги з пошкодженим текстом поміщаються файли типу ЧТО_ДЕЛАТЬ.txt, CONTACT.txt. Там користувача інформують про шифрування його файлів, яке здійснене за допомогою надійних криптостійкі алгоритмів. А також його попереджають про недоцільність застосування сторонніх утиліт, так як це може призвести до остаточного пошкодження файлів, що, в свою чергу, призведе до неможливості їх подальшої розшифровки.

У повідомленні рекомендується залишити комп`ютер у незмінному стані. У ньому вказано час зберігання наданого ключа (як правило, це 2 доби). Прописана точна дата, після якої будь-якого роду звернення будуть ігноруватися.

Наприкінці надається е-мейл. Там також говориться, що користувач повинен вказати свій ID і що будь-яке з нижчеперелічених дій може призвести до ліквідації ключа, а саме:

• образи;
• запит реквізитів без подальшої оплати;
• загрози.

  

Як розшифрувати файли, зашифровані вірусом?

Даного роду шифрування вельми потужне: файлу привласнюється таке розширення, як perfect, nochance та ін. Зламати просто неможливо, проте можна спробувати підключити криптоаналітику і відшукати лазівку (в деяких ситуаціях допоможе Dr. WEB).

Існує ще 1 спосіб, як відновити зашифровані вірусом файли, але він підходить не до всіх вірусів, до того ж буде потрібно витягнути вихідний exe разом з даною шкідливою програмою, що достатньо нелегко здійснити після самоліквідації.

Прохання вірусу касаемо введення спеціального коду - незначна перевірка, оскільки файл до цього моменту вже має дешифратор (код від, так би мовити, зловмисників не буде потрібно). Суть даного способу - вписування в проникший вірус (в саме місце порівняння вводиться коду) порожніх команд. Результат - шкідлива програма сама запускає дешифровку файлів і тим самим їх повністю відновлює.

У кожному окремому вірусі своя спеціальна функція шифрування, через що стороннім екзешник (файлом формату exe) розшифрувати не вийде, або ж можна спробувати підібрати вищевказану функцію, для чого необхідно всі дії здійснювати на WinAPI.

Вірус зашифрував файли: що робити?

Для проведення процедури дешифрування потрібно:

1. Здійснити бекап (резервне копіювання наявних файлів). По закінченні дешифрування все віддалиться саме по собі.
2. На комп`ютері (зараженому) необхідно запустити дану шкідливу програму, потім дочекатися, коли з`явиться вікно, що містить вимога касаемо введення коду.
3. Далі буде потрібно запустити з прикладеного архівного файлу Patcher.exe.
4. Наступним кроком є введення номера процесу вірусу, після чого треба натиснути кнопку «Ентер».
5. З`явиться повідомлення «patched», що означає затирання команд порівняння.
6. Далі слід в полі введення коду набрати будь-які символи, а потім натиснути кнопку «Ок».
7. Вірус починає процес дешифрування файлів, по закінченні якого він сам себе ліквідує.

   

Як уникнути втрати даних через розглянутого зловмисних програм?

Варто знати, що в ситуації, коли вірус зашифрував файли, для процесу їх дешифрування потрібно час. Важливим моментом виступає те, що у вищезгаданому шкідливий ПО існує помилка, що дозволяє зберегти частину файлів, якщо швидко знеструмити комп`ютер (висмикнути вилку з розетки, вимкнути мережевий фільтр, витягнути батарею у випадку з ноутбуком), як тільки з`явиться велика кількість файлів з раніше зазначеним розширенням .

Ще раз слід підкреслити, що головне - це постійно створювати резервне копіювання, але не в іншу папку, не так на знімний носій, вставлений в комп`ютер, так як дана модифікація вірусу добереться і до цих місць. Варто зберігати бекапи на іншому комп`ютері, на вінчестер, який постійно не приєднаний до комп`ютера, і в хмару.

Ставитися слід з підозрою до всіх документів, які приходять на пошту від невідомих осіб (у вигляді резюме, накладної, Постанови з ВАС РФ або податкової та ін.). Не треба їх запускати на своєму комп`ютері (для цих цілей можна виділити нетбук, який не містить важливих даних).

Шкідлива програма *[email protected]: способи усунення

У ситуації, коли вищевказаний вірус зашифрував файли cbf, doc, jpg і т. Д., Існує всього три варіанти розвитку події:

1. Найпростіший спосіб позбутися від нього - видалити всі заражені файли (це прийнятно, якщо тільки дані не особливо важливі).
2. Зайти в лабораторію антивірусної програми, приміром, Dr. WEB. Вислати розробникам кілька заражених файлів обов`язково разом з ключем для дешифрування, що знаходиться на комп`ютері в якості KEY.PRIVATE.
3. Самий витратний спосіб. Він припускає оплату запитаної хакерами суми за дешифрування заражених файлів. Як правило, вартість даної послуги в межах 200 - 500 дол. США. Це прийнятно в ситуації, коли вірус зашифрував файли великої компанії, в якій щодня протікає істотний інформаційний потік, і дана шкідлива програма може за лічені секунди завдати колосальної шкоди. У зв`язку з цим оплата - найшвидший варіант відновлення заражених файлів.

Іноді результативним виявляється і додатковий варіант. У разі коли вірус зашифрував файли (paycrypt @ gmail_com або інше шкідливе ПЗ), може допомогти відкат системи на кілька днів тому.

Програма для дешифрування RectorDecryptor

Якщо вірус зашифрував файли jpg, doc, cbf і т. П., То може допомогти спеціальна програма. Для цього спочатку потрібно зайти в автозавантаження і відключити всі, крім антивіруса. Далі необхідно перезавантажити комп`ютер. Переглянути всі файли, виділити підозрілі. У полі під назвою «Команда» зазначено місце розташування конкретного файлу (увагу приділяти варто додаткам, які не мають підписи: виробник - немає даних).

Всі підозрілі файли треба видалити, після чого буде потрібно почистити кеші браузерів, тимчасові папки (для цього підійде програма CCleaner).

Щоб приступити до дешифрування, необхідно завантажити вищевказану програму. Потім запустити її і натиснути кнопку «Почати перевірку», вказавши змінені файли і їх розширення. У сучасних версіях даної програми можна вказати лише сам заражений файл і натиснути кнопку «Відкрити». Після цього файли будуть розшифровані.

Згодом утиліта автоматично здійснює перевірку всіх комп`ютерних даних, включаючи файли, що знаходяться на приєднаному мережевому диску, і дешифрує їх. Даний процес відновлення може зайняти кілька годин (в залежності від обсягу роботи і швидкодії комп`ютера).

У підсумку всі пошкоджені файли будуть розшифровані в ту ж саму директорію, де вони перебували спочатку. На завершення залишиться лише видалити всі наявні файли з підозрілим розширенням, для чого можна проставити галочку в запиті «Видаляти зашифровані файли після успішної розшифровки», натиснувши попередньо кнопку «Змінити параметри перевірки». Однак краще її не ставити, тому що у випадку невдалої дешифрування файлів вони можуть віддалитися, і згодом доведеться їх спочатку відновлювати.

Отже, якщо вірус зашифрував файли doc, cbf, jpg т. Д., Не слід поспішати з оплатою коду. Може, він і не знадобиться.

Нюанси видалення зашифрованих файлів

При спробі ліквідації всіх пошкоджених файлів за допомогою стандартного пошуку і подальшого видалення може початися зависання і уповільнення роботи комп`ютера. У зв`язку з цим для даної процедури варто скористатися спеціальною командним рядком. Після її запуску необхідно вписати наступне: del «lt; диск>: *. Lt; розширення зараженого файлу>» / f / s.

Обов`язково треба видалити такі файли, як «Прочитай-меня.txt», для чого в тому ж командному рядку слід вказати: del «lt; диск>: *. Lt; ім`я файлу>» / f / s.

Таким чином, можна відзначити, що у випадку, якщо вірус перейменував і зашифрував файли, то не варто відразу витрачати кошти на купівлю ключа у зловмисників, спочатку варто спробувати розібратися в проблемі самостійно. Краще вкласти гроші в придбання спеціальної програми для розшифровки пошкоджених файлів.

Наостанок варто нагадати, що в даній статті розглядалося питання касаемо того, як розшифрувати файли, зашифровані вірусом.