Каталог расширений

Популярные теги

3gp       avi       fb2       jpg       mp3       pdf      

Как узнать какой вирус зашифровал файлы


Вирус-шифровальщик. БОЛЬШАЯ статья / Хабр

В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.
Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
— прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
— Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
— менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
— использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!

Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 — я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» — Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке, так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение .perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

CryptXXX зашифровал файлы. Как их расшифровать?

Как с точки зрения пользователя компьютера выглядит стандартная картина заражения каким-нибудь трояном-шифровальщиком? Вы зашли на некий сайт и, сами того не ведая, установили оттуда какую-то программу. Некоторое время вроде бы ничего не происходит, а потом вдруг вылезает уведомление о том, что ваши файлы зашифрованы и надо платить выкуп. Вы проверяете — и действительно, у ваших файлов к имени добавилось зловещее расширение .crypt, и они больше не открываются.

Что это значит? Это значит, что вы заразились вымогателем-шифровальщиком, известным под названием CryptXXX. Кстати, на самом деле все еще хуже: он не только шифрует файлы, но еще и ворует данные и биткойны. Хорошая новость состоит в том, что у нас от него есть лекарство — бесплатная утилита-расшифровщик. А теперь обо всем немного подробнее.

Что за зверь такой CryptXXX

Если вы ищете инструкцию по расшифровке файлов, то можете пропустить эту часть текста — прокрутите страницу вниз, там вы найдете то, что вам нужно. А здесь мы расскажем краткую историю происходящего.

15 апреля исследователи из Proofpoint обнаружили, что через эксплойт-кит Angler для Windows распространяется некий новый, ранее невиданный троянец-шифровальщик. Исследователи назвали его CryptXXX, хотя сами создатели никакого специального имени для своего детища не придумали — опознать данного вымогателя при заражении можно только по тому, что он добавляет .crypt к именам зашифрованных файлов.

Шифровальщик этот имеет несколько интересных особенностей. Во-первых, он запускает процедуру шифрования файлов на всех подключенных к компьютеру накопителях лишь через некоторое время после заражения. Его создатели предусмотрели эту задержку для того, чтобы было сложнее определить, какой именно сайт оказался заразным и принес на компьютер зловреда.

10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic.twitter.com/OE5ik48iRo

— Kaspersky (@Kaspersky_ru) November 30, 2015

После того как троянец заканчивает с шифрованием, он создает три файла-инструкции: текстовый файл, картинку и веб-страницу HTML. Картинку он для наглядности ставит в качестве обоев рабочего стола, веб-страницу открывает в браузере, ну а текст оставляет, видимо, просто на всякий случай. Содержание всех инструкций более-менее одинаковое.

Они уведомляют пользователя о том, что его файлы зашифрованы с помощью достаточно стойкого алгоритма RSA4096, и требуют заплатить $500 в Bitcoin-эквиваленте за возвращение данных. Пройдя по ссылке в инструкции (и предварительно установив браузер Tor, если он не был установлен ранее), пользователь попадает на onion-сайт, содержащий более подробные инструкции и собственно форму для оплаты. И даже раздел с часто задаваемыми вопросами — все для клиентов!

Во-вторых, помимо шифрования файлов у CryptXXX обнаружилось еще несколько функций: он также крадет биткойны, сохраненные на жестких дисках, и другие данные, которые могут потенциально заинтересовать преступников.

Но у нас есть лекарство!

В последнее время часто бывает так, что для очередного нового троянца-шифровальщика не получается подобрать универсальный алгоритм расшифровки. В этом случае единственный способ вернуть файлы — это заплатить злоумышленникам выкуп. Мы это делать не рекомендуем, разве что в тех случаях, когда без этого совсем никак.

К счастью, CryptXXX — не тот случай, и у вирусных аналитиков «Лаборатории Касперского» получилось создать утилиту, которая помогает пользователям восстанавливать файлы, зашифрованные CryptXXX.

Внимание! Мы сделали дешифратор для бяки под именем #CryptXXX. Не дадим вымогателям шансов: https://t.co/pyDwXi9aEQ pic.twitter.com/pmBuaaxzPN

— Kaspersky (@Kaspersky_ru) April 25, 2016

Утилита RannohDecryptor изначально создавалась для расшифровки файлов, ставших пищей другого шифровальщика, Rannoh, но по мере появления новых троянцев она обрастала новой функциональностью. Теперь она позволяет устранить последствия деятельности CryptXXX.

Так что, если вы стали жертвой CryptXXX, не все потеряно. Для восстановления нам потребуется оригинальная, незашифрованная копия хотя бы одного из файлов, которые были зашифрованы вымогателем (если таких файлов у вас найдется больше — это только в плюс).

Дальше следует сделать вот что:

1. Скачайте с нашего сайта утилиту-расшифровщик и запустите ее.

2. Выберите в опциях типы дисков для сканирования. Галку «Удалять зашифрованные» ставить не стоит до тех пор, пока вы не будете на 100% уверены в том, что расшифрованные файлы нормально открываются.

3. Нажмите «Начать проверку», утилита запросит путь к зашифрованному файлу — укажите путь к зашифрованному файлу с расширением .crypt.

4. После этого утилита запросит путь к незашифрованному оригиналу того же файла — укажите его.

5. Затем утилита начнет поиск на дисках выбранных типов файлов с расширением .crypt и расшифрует все файлы, размер которых не превышает размер того файла, от которого у вас есть оригинал. Чем большего размера вам удастся найти оригинальный файл — тем больше файлов в итоге удастся расшифровать.

Будь готов!

Но лучше, конечно, не испытывать судьбу и не позволять CryptXXX проникнуть на ваш компьютер. Сейчас разработанная нашими вирусными аналитиками программа работает, однако злоумышленники достаточно быстро адаптируются к ситуации. Нередко они меняют код зловредов так, что расшифровать файлы с помощью утилиты становится невозможно. Например, так произошло с троянцем TeslaCrypt, для которого в свое время тоже была программа-дешифровщик, ставшая теперь практически бесполезной.

Почитайте вот про новую эпидемию трояна TeslaCrypt, который шифрует файлы на компьютере: https://t.co/TTj0SihZUZ pic.twitter.com/IOR4BLqywm

— Kaspersky (@Kaspersky_ru) December 17, 2015

К тому же не забывайте о том, что CryptXXX не только шифрует файлы, но и ворует данные, — не думаем, что вы с радостью захотите ими поделиться.

Чтобы избежать заражения, мы советуем следовать нескольким правилам безопасности:

1. Регулярно делайте резервные копии данных.

2. Не менее регулярно устанавливайте все важные обновления операционной системы и браузеров. Эксплойт-кит Angler, с помощью которого распространяется CryptXXX, использует уязвимости в программном обеспечении, чтобы получать права на скачивание и установку зловредов.

3. Установите хорошее защитное решение. Kaspersky Internet Security обеспечивает многослойную защиту от троянцев-шифровальщиков. А Kaspersky Total Security в дополнение к этому позволит автоматизировать создание бэкапов.

Подробнее о способах защиты от троянцев-шифровальщиков вы можете прочитать тут.

Обновление: похоже, злоумышленники тоже прочитали про наш декриптор и модифицировали CryptXXX таким образом, чтобы наша утилита не позволяла расшифровывать файлы. Однако специалисты из «Лаборатории Касперского» обновили утилиту, так что она способна справиться и с новой версией шифровальщика. Подробнее об этом можно прочитать тут.

No Ransom: бесплатная расшифровка файлов

0 инструментов найдено

Смотрите также

Название Описание Дата обновления

Shade Decryptor

Скачать

30 Апр 2020

Rakhni Decryptor

Восстанавливает файлы после шифровальщиков Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt, версии 3 и 4), Chimera, Crysis (версий 2 и 3).

Обновления: восстанавливает файлы после шифровальщиков Dharma, Jaff, новые версии Cryakl, Yatron, FortuneCrypt.

Как расшифровать

Скачать

25 Сен 2019

Rannoh Decryptor

Восстанавливает файлы после шифровальщиков Rannoh, AutoIt, Fury, Crybola, Cryakl, CryptXXX (версий 1, 2 и 3), Polyglot или Marsjoke.

Как расшифровать

Скачать

20 Дек 2016

Wildfire Decryptor

Скачать

24 Авг 2016

CoinVault Decryptor

Восстанавливает файлы после шифровальщиков CoinVault и Bitcryptor. Утилита создана совместно с полицией и прокуратурой Нидерландов.

Как расшифровать

Скачать

15 Апр 2015

Xorist Decryptor

Скачать

23 Авг 2016

Установите Kaspersky Internet Security,
чтобы уберечь свой компьютер от вымогателей

Что такое вирус-шифровальщик и другие вымогатели

Этот текст предназначен для тех людей, которые либо вообще не слышали ничего о троянах-вымогателях, либо слышали, но особо не вникали. Здесь мы постараемся максимально просто и наглядно объяснить, что за звери такие трояны-вымогатели, почему их стоит опасаться и как от них защититься.

Что такое Ransomware?

Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время из просто распространенной стала очень-очень распространенной.

По тому, как они портят жизнь людям, их можно разделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).

Шифровальщики, попадая на ваш компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее — таким образом, что их нельзя открыть. То есть вы не сможете ими воспользоваться. А за расшифровку создатели шифровальщиков требуют выкуп — в среднем около $300, то есть совсем уж дешево от них не отделаться.

Блокировщики получили свое имя за то, что они просто блокируют доступ к устройству. То есть воспользоваться не получится не просто файлами, а всем компьютером целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.

Почему о вымогателях стоит знать и что в них страшного

Начнем с того, что вымогателей стало уж очень много и встречаются они уж очень часто. Они есть для всех операционных систем: для Windows, для Mac OS X, для Linux и для Android. То есть трояны-вымогатели встречаются не только для компьютеров, но и для смартфонов и планшетов. Больше всего их для Windows и Android.

К тому же заразиться довольно просто: трояны-вымогатели чаще всего попадают в компьютер, когда пользователи открывают нехорошие почтовые вложения, переходят по сомнительным ссылкам или устанавливают приложения из неофициальных источников. Но могут проникать и с абсолютно добропорядочных сайтов — например, злоумышленники навострились подсовывать их в рекламу.

Также преступники научились убеждать людей, что им предлагается скачать или открыть что-то полезное — письмо из банка, счет, какую-нибудь ценную программу и так далее. При этом на самом деле на компьютер попадает блокировщик или шифровальщик.

Пожалуй, главная проблема шифровальщиков состоит в том, что просто вылечить их вы не сможете. То есть если вы попытаетесь вылечить шифровальщика антивирусом или специальной утилитой, то у вас это, скорее всего, получится — вот только файлы это не вернет: они так и останутся зашифрованными.

Более того, заплатить выкуп — тоже не универсальное лекарство. Во-первых, это дорого. Во-вторых, это поощряет преступников делать новых и новых шифровальщиков. А в-третьих, это еще и не всегда помогает. Согласно нашей статистике, 20% тех, кто все-таки заплатил мошенникам выкуп, так и не получили обратно свои файлы. Просто потому, что преступники — это преступники. Не стоит ждать от них честности.

Как расшифровать файлы?

Если шифровальщик проник в систему и успел натворить дел, то просто так сами вы файлы не расшифруете. Вариантов, по сути, два. Можно, конечно, заплатить выкуп злоумышленникам, но мы бы этого делать не советовали по вышеуказанным причинам.

Второй вариант — зайти на сайт noransom.kaspersky.com и посмотреть, нет ли там декриптора, который помог бы вам расшифровать файлы. Все наши декрипторы абсолютно бесплатны, но, к сожалению, далеко не от всех шифровальщиков получается создать такое лекарство. Так что лучше не доводить до крайностей и защищаться от них заранее.

Как защититься от вымогателей?

Не открывайте подозрительные вложения в почте, не ходите по сомнительным сайтам и не скачивайте программы с каких-либо сайтов, кроме официальных магазинов и сайтов самих разработчиков.

Регулярно делайте резервные копии важных файлов. Если все ваши файлы есть не только на компьютере, но и на отдельном жестком диске или в облаке, то можно просто вылечить шифровальщика и скопировать файлы обратно на компьютер.

Установите хороший антивирус. Например, Kaspersky Internet Security, в котором есть специальный модуль «Мониторинг активности», отлично защищающий от шифровальщиков. Кстати, по данным одного из недавних независимых тестирований, Kaspersky Internet Security справляется со 100% троянов-вымогателей.

На нашем блоге есть более подробный текст, из которого вы можете узнать больше о различных видах вымогателей и о том, откуда они берутся, а также почерпнуть еще несколько полезных советов по борьбе с ними. Ну а чтобы какой-нибудь новый шифровальщик не застал вас врасплох, советуем следить за новостями.

что такое и как защититься — СКБ Контур

Что такое шифровальщик?

Под шифровальщиками (криптолокерами) подразумевается семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).

Обычно вирус шифрует популярные типы пользовательских файлов: документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д. Расшифровка файлов предлагается за деньги — создатели требуют перечислить определенную сумму, обычно в биткоинах. И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.

В большинстве случаев вирус распространяется через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д. Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код. Вирус последовательно шифрует нужные файлы, а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).

Современные шифровальщики

Шифровальщики и прочие вирусы, которые блокируют доступ пользователей к данным, — не новая проблема в информационной безопасности. Первые версии появились еще в 90-х годах, однако они в основном использовали либо «слабое» (нестойкие алгоритмы, малый размер ключа), либо симметричное шифрование (одним ключом шифровались файлы у большого числа жертв, также была возможность восстановить ключ, изучив код вируса), либо вообще придумывали собственные алгоритмы. Современные экземпляры лишены таких недостатков, злоумышленники используют гибридное шифрование: с помощью симметричных алгоритмов содержимое файлов шифруется с очень высокой скоростью, а ключ шифрования шифруется асимметричным алгоритмом. Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник, в исходном коде программы его не найти. Для примера, CryptoLocker использует алгоритм RSA с длиной ключа в 2048 бит в сочетании с симметричным алгоритмом AES с длиной ключа 256 бит. Данные алгоритмы в настоящее время признаны криптостойкими.

Компьютер заражен вирусом. Что делать?

Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.

После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную. Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам. В таком случае антивирусная программа может ничего и не обнаружить.

Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет. Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей. Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.

Попробуйте воспользоваться утилитами восстановления удаленных файлов. Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт). Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.

Защита информации от уничтожения

Узнать больше

Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.

Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.

Как защититься от вируса-шифровальщика. Превентивные меры

Предотвратить опасные последствия легче, чем их исправить:

  • Используйте надежные антивирусные средства и регулярно обновляйте антивирусные базы. Звучит банально, но это значительно снизит вероятность успешного внедрения вируса на ваш компьютер.
  • Сохраняйте резервные копии ваших данных.

Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.

Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!

  • Ограничьте программную среду в домене.

Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д. Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно подробные руководства, как это сделать. В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.

  •  Будьте бдительны.

Внимательность — один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.

Предотвратим потерю информации

Узнать больше

Александр Власов, старший инженер отдела внедрения систем защиты информации компании «СКБ Контур» 

как вылечить и расшифровать файлы

Вирус-шифровальщик: платить мошенникам или нет

Вот и настал этот черный день. На одной из важных рабочих машин активно поработал вирус-шифровальщик, после чего все офисные, графические и многие другие файлы приняли разрешение crypted000007, которые на момент написания статьи расшифровать невозможно.

Также на рабочем столе появились обои с надписью типа "Ваши файлы зашифрованы", а в корне локальных дисков текстовые документы readme с контактной информацией мошенника. Естественно, он хочет выкуп за расшифровку.

Лично я не связывался с этим козлом(ами), чтобы не поощрять подобную деятельность, но знаю, что ценник в среднем начинается от 300 долларов и выше. Вот и думайте сами, как поступать. Но если у вас зашифровались очень значимые файлы, например, базы 1С, а резервной копии нет, то это крах вашей карьеры.

Забегаю наперед скажу, что если вы питаете надежду на расшифровку, то ни в коем случае не удаляйте файл с требованием денег и ничего не делайте с зашифрованными файлами (не изменяйте название, расширение и т.д.). Но давайте обо всем по порядку.

Вирус шифровальщик - что это такое

Это вредоносное (ransomware) программное обеспечение, которое шифрует данные на компьютере по очень стойкому алгоритму. Дальше приведу грубую аналогию. Представьте, что вы на вход в Windows установили пароль длиной несколько тысяч символов и забыли его. Согласитесь, вспомнить невозможно. А сколько жизней займет у вас ручной перебор?

Так и в случае с шифровальщиком, который использует легальные криптографические методы в противоправных целях. Подобные вирусы, как правило, используют асинхронное шифрование. Это значит, что используется пара ключей.

Шифруются файлы с помощью открытого ключа, а расшифровать их можно имея закрытый ключ, который есть только у мошенника. Все ключи уникальны, поскольку генерируются для каждого компьютера отдельно.

Именно поэтому я говорил в начале статьи о том, что нельзя удалять файл readme.txt в корне диска с требованием выкупа. Именно в нем и указан открытый ключ.

Электронный адрес вымогателя в моем случае [email protected]. Если вбить его в поиск, то становится понятен истинный масштаб трагедии. Пострадало очень много людей.

Поэтому еще раз говорю: ни в коем случае никак не изменяйте поврежденные файлы. Иначе вы потеряйте даже малейший шанс на их восстановление в дальнейшем.

Также не рекомендуется переустанавливать операционную систему и чистить временные и системные каталоги. Короче, до выяснения всех обстоятельств ничего не трогаем, дабы не усложнить себе жизнь. Хотя, казалось бы, куда уже хуже.

Попадает данная зараза на компьютер чаще всего по электронной почте с горящей темой наподобие "Срочно, руководителю. Письмо из банка" и тому подобное. Во вложении, которое может выглядеть безобидным pdf или jpg файлом и кроется враг.

Запустив его, ничего страшного, на первый взгляд, не происходит. На слабом офисном ПК пользователь может заметить некую "тормознутость". Это вирус, маскируясь под системный процесс, уже делает свое грязное дело.

На Windows 7 и выше при запуске вредителя будет постоянно появляться окно Контроля учетных записей с запросом разрешения изменений. Конечно же, неопытный пользователь со всем согласиться, тем самым подписав себе приговор.

Да, по факту вирус уже блокирует доступ к файлам и когда закончит, на рабочем столе появится надпись с предупреждением "Ваши файлы зашифрованы". В общем, это попа. Дальше начинается жесть.

Как вылечить вирус-шифровальщик

Исходя из вышенаписанного можно сделать вывод, что если страшная надпись на рабочем столе еще не появилась, а вы уже увидели первые файлы с непонятными длинными названиями из хаотичного набора различных символов, немедленно достаньте компьютер из розетки.

Именно так, грубо и бескомпромиссно. Тем самым вы остановите алгоритм работы зловреда и сможете хоть что-то спасти. К сожалению, в моем случае сотрудник этого не знал и потерял все. Твою мать...

Вишенкой на торте для меня был тот факт, что, оказывается, данный вирус без проблем шифрует все подключенные к ПК съемные носители и сетевые диски с правами доступа на запись. Именно там и были резервные копии.

Теперь о лечении. Первое, что нужно понимать: вирус лечится, но файлы так и останутся зашифрованными. Возможно, навсегда. Сам процесс лечения ничего сложного из себя не представляет.

Для этого необходимо подключить винчестер к другому компьютеру и просканировать утилитами вроде Dr.Web CureIt или Kaspersky Virus Removal Tool. Можно для надежности двумя поочередно. Если нести зараженный винт на другой комп сцыкотно, загрузитесь с Live CD.

Как правило, подобные антивирусные решения без проблем находят и удаляют шифровальщик. Но иногда они ничего не обнаруживают, поскольку вирус, сделав свою работу, может сам удалиться из системы. Такой вот сучий потрох, которые заметает все следы и затрудняет его изучение.

Предвижу вопрос, почему антивирус сразу не предотвратил проникновения нежелательно ПО на компьютер? Тогда бы и проблем не было. На мой взгляд, на данный момент антивирусы проигрывают битву с шифровальщиками и это очень печально.

К тому же, как я уже говорил, подобные вредоносные программы работают на основе легальных криптографических методов. То есть получается, что их работа как бы и не является противоправной с технической точки зрения. В этом и заключается трудность их выявления.

Постоянно выходят новые модификации, которые попадают в антивирусные базы только после заражения. Так что, увы, в этом случае 100% защиты быть не может. Только бдительное поведение при работе на ПК, но об этом чуть позже.

Как расшифровать файлы после вируса

Все зависит от конкретного случая. Выше писалось, что модификации вируса-шифровальщика могут быть какие угодно. В зависимости от этого, зашифрованные файлы имеют разные расширения.

Хорошая новость заключается в том, что для многих версий заразы антивирусные компании уже придумали дешифраторы (декрипторы). На русскоязычном рынке лидером является "Лаборатория Касперского". Для этих целей был создан следующий ресурс:

noransom.kaspersky.com

На нем в строке поиска вбиваем информацию по расширению либо электронную почту из записки о выкупе, жмем "Поиск" и смотрим, есть ли спасительная утилита для нас.

Если повезло, скачиваем программу из списка и запускаем. В описании к некоторым дешифраторам говорится, что при работе на компьютере должен быть интернет для возможности расширенного поиска ключей в онлайн-базе.

В остальном же все просто. Выбираем конкретный файл или диск полностью и запускаем сканирование. Если активировать пункт "Delete crypted files", то после дешифровки все исходные файлы удалятся. Ой, я бы так не спешил, сразу нужно взглянуть на результат.

Для некоторых видов вируса программа может попросить две версии файла: исходную и зашифрованную. Если первой нет, значит, пиши пропало.

Также у пользователей лицензионных продуктов "Лаборатории Касперского" есть возможность обратиться на официальный форум за помощью с расшифровкой. Но пошерстив его со своим расширением (crypted000007) я понял, что ничем там не помогут. То же самое можно сказать и про Dr.Web.

Есть еще один подобный проект, но уже международный. По информации из интернетов его поддержку осуществляют лидирующие производители антивирусов. Вот его адрес:

nomoreransom.org

Конечно, может оно и так, но сайт работает некорректно. На главной странице предлагается загрузить два зашифрованных файла, а также файл с выкупом, после чего система даст ответ, есть дешифровщик в наличии или нет.

Но вместо этого происходит переброс на раздел с выбором языка и на этом все. Поэтому можно самостоятельно зайти в раздел "Декриптор-утититы" и попробовать найти нужную программу.

Делать это не очень удобно, поскольку в кратком описании имеющегося ПО нет четкого указания на поддерживаемые расширения зашифрованных файлов. Для этого нужно читать расширенную инструкцию для каждого типа декриптора.

В процессе написания публикации был найден аналогичный сервис, который исправно работает по такому же принципу. Он поможет определить название угрозы и предложит "волшебную таблетку", если таковая имеется. В верхнем правом углу сайта имеется кнопка переводчика для удобства пользователей.

id-ransomware.malwarehunterteam.com

Что делать? Платить или не платить

Если вы дочитали до этого заголовка, значит, файлы у вас по-прежнему стабильно зашифрованы. И тут вопрос: как поступить дальше? Ведь в случае шифровки крайне значимых файлов может быть парализована работа даже крупных предприятий, не говоря уже о малом бизнесе.

Первое, можно выполнить инструкцию мошенника и заплатить выкуп. Но статистика "Лаборатории Касперского" говорит о том, что каждое пятое предприятие так и не получило ключ с дешифратором после оплаты.

Это может происходить по разным причинам. Например, вирусом могли воспользоваться не сами создатели, у которых есть закрытый ключ, а мошенники-посредники.

Они просто модифицировали код зловреда, указав в файле выкупа свои данные, а второго ключа-то у них нет. Деньги получили и свалили. А вы кукуйте дальше.

В общем, не будут врать, всех технических нюансов я и сам не знаю. Но в любом случае заплатив вымогателям, вы мотивируете их на продолжение подобной деятельности. Ведь раз это работает и приносит деньги, почему нет.

Но в интернете я нашел как минимум две конторы, которые обещают помочь в этой беде и расшифровать даже файлы с расширением crypted000007. В одну из них я с большой боязнью обратился.

Скажу честно, ребята мне не помогли, поскольку сразу сказали, что дешифровщика у них нет, но могут попробовать восстановить около 30% оригинальных файлов, которые удалил вирус, с помощью низкоуровневого сканирования.

Я подумал и отказался. Но спасибо им, что лапши на уши не вешали, уделили время и все трезво пояснили. Ну и раз у них нет ключа, значит, они не должны взаимодействовать с мошенниками.

Но есть другая, более "интересная" контора, которая дает 100% гарантию на успех операции. Ее сайт находится вот по этому адресу:

dr-shifro.ru

Я попробовал пошерстить по профильным форумам, но так и не смог найти отзывов реальных клиентов. То есть все о ней знают, но мало кто пользовался. Замкнутый круг.

Эти ребята работают по факту полученного результата, никаких предоплат нет. Опять же повторюсь, дают гарантию на расшифровку даже crypted000007. Значит, у них есть ключ и декриптор. Отсюда вопрос: а откуда у них это добро? Или я чего-то не понимаю?

Не хочу говорить что-плохое, возможно, они добрые и пушистые, работают честно и помогают людям. Хотя технически без мастер-ключа это просто невозможно. В любом случае против них все же нашлась компрометирующая информация.

Хотя если вас вдруг приперло к стенке дальше некуда, попробуйте обратиться. Но все на собственных страх и риск. И деньги, много денег не забудьте.

Как защититься от вируса-шифровальщика

Приведу несколько основных постулатов, которые помогут обезопаситься, а в случае проникновения подобного зловреда свести потери к минимуму. Как-никак я все это прочувствовал на собственной шкуре.

Делать регулярные бэкапы на съемных (изолированных от сети) носителях. Без преувеличения могу сказать, это самое главное.

Не работать под учетной записью с правами администратора, чтобы в случае заражения минимизировать потери.

Внимательно следить за адресатами входящих писем и сбрасываемых ссылок в соц. сетях. Тут без комментариев.

Поддерживать в актуальном состоянии антивирусную программу. Может и спасет, но это неточно.

Обязательно включить теневое копирование файлов в Windows 7/10. Об этом подробно поговорим в ближайших выпусках.

Не выключать систему Контроля учетных записей в Windows 7 и выше.

Я же, в свою очередь, остаюсь с полностью зашифрованными вирусом офисными файлами. Буду периодически заглядывать на все ресурсы, указанные в статье, в надежде когда-нибудь увидеть там декриптор. Возможно, удача улыбнется в этой жизни, кто знает.

Так что, друзья, настоятельно рекомендую не попадать в подобные ситуации. На самом деле в таких моментах присутствует огромный стресс и нервозность. Моя репутация как администратора также пострадала, ведь я не справился с проблемой.

Одно дело, когда шифруются файлы пользователя на домашнем компьютере такие как фильмы, музыка и так далее. Совсем другие, когда теряется доступ ко всему делопроизводству предприятия минимум за 5-7 лет. Это больно, я уже знаю.

ЗАШИФРОВАННЫХ вирусных файлов программ-вымогателей - Как удалить вирус?

Зашифрованный вирус был первоначально обнаружен вирусным аналитиком Amigo-A и принадлежит к семейству программ-вымогателей VoidCrypt . Эта программа-вымогатель шифрует все данные пользователя на ПК (фотографии, документы, таблицы Excel, музыку, видео и т. Д.), Добавляет свое расширение к каждому файлу.

GridinSoft Anti-Malware

Удаление компьютерных вирусов вручную может занять несколько часов и при этом может повредить ваш компьютер.Я рекомендую вам скачать GridinSoft Anti-Malware для удаления вирусов. Позволяет завершить сканирование и вылечить ваш компьютер в течение пробного периода.

Что такое «зашифрованный»?

Encrypted можно правильно идентифицировать как заражение, типичное для вымогателей.

После процесса шифрования файлы будут переименованы по шаблону [email] [ID] .Encrypted , заложенному в программе-вымогателе. Ваша фотография с именем, например, «me.jpg» будет изменена на « меня.jpg. [[email protected]] [GY0ZUXN421RIA6D] .Encrypted ”после шифрования.

Внутри записки о выкупе обычно есть инструкция о покупке средства дешифрования. Этот инструмент дешифрования создан разработчиками программ-вымогателей, и его можно получить по электронной почте, обратившись по адресу [email protected], [email protected] .

Вот сводка для Encrypted:

Программа-вымогатель VoidCrypt

Информация от программы-вымогателя Encrypted содержит следующую разочаровывающую информацию:

 !!! Ваши файлы зашифрованы !!! ♦ ваши файлы заблокированы с помощью самого надежного алгоритма шифрования ♦ ♦ невозможно расшифровать ваши файлы, не заплатив и не купив инструмент дешифрования ♦ ♦ но после 48 часов расшифровки цена будет вдвое больше ♦ ♦ вы можете отправить несколько небольших файлов для проверки расшифровки ♦ ♦ тестовый файл не должен содержать ценных данных ♦ ♦ после оплаты вы получите инструмент для расшифровки (оплата должна быть биткойнами) ♦ ♦ поэтому, если вы хотите, чтобы ваши файлы не стеснялись, свяжитесь с нами и договоритесь о цене ♦ ♦ !!! или Удалите файлы, если они вам не нужны !!! ♦ Ваш ID: GY0ZUXN421RIA6D наш адрес электронной почты: EnceryptedFiles @ tutanota.com В случае отсутствия ответа: [email protected] 

Изображение ниже дает четкое представление о том, как выглядят файлы с расширением «. [Email] [ID] .Encrypted»:

Пример зашифрованных файлов. [Электронная почта] [ID] .Зашифрованные файлы

Как я получил на свой компьютер зашифрованную программу-вымогатель?

Это было огромное количество различных способов внедрения программ-вымогателей.

Однако в настоящее время существует только два способа зашифрованной инъекции - спам в электронной почте и трояны.Вы можете увидеть много сообщений по электронной почте, в которых говорится, что вам нужно оплатить разные счета или получить посылку в местном отделении FedEx. Но все такие сообщения отправляются с неизвестных адресов электронной почты, а не с знакомых официальных писем этих компаний. Все такие письма содержат прикрепленный файл, который используется в качестве носителя вымогателей. Если вы откроете этот файл - ваша система заразится Encrypted.

В случае наличия троянов вам будет предложено загрузить и установить программу-вымогатель на ваш компьютер под видом чего-то законного, например обновления Chrome или обновления программного обеспечения, которое вы храните на своем компьютере.Иногда троянские вирусы могут быть замаскированы под легальные программы, и вымогатели будут предлагаться для загрузки в виде важного обновления или большого пакета расширений, которые необходимы для правильного функционирования программы.

Существует также третий способ внедрения программ-вымогателей, однако он становится все менее популярным с каждым днем. Я говорю о пиринговых сетях, таких как торренты или eMule. Никто не может контролировать, какие файлы упаковываются при раздаче, поэтому вы можете обнаружить огромный пакет различных вредоносных программ после загрузки.Если обстоятельства вынуждают вас скачивать что-то из пиринговых сетей - проверяйте каждую загруженную папку или архив с помощью антивирусного ПО.

Как удалить зашифрованный вирус?

Помимо кодирования файлов жертвы, зашифрованный вирус также начал устанавливать на ПК шпионское ПО Azorult для кражи учетных данных, криптовалютных кошельков, файлов рабочего стола и т. Д.

Чтобы убедиться, что у распространителей программ-вымогателей действительно есть инструмент дешифрования, они могут предложить расшифровать несколько зашифрованных файлов.И они являются единственными владельцами этой программы для дешифрования: шифрованные программы-вымогатели - это совершенно новый тип, поэтому у поставщиков антивирусных программ нет законной программы, которая могла бы расшифровать ваши файлы. Но такая ситуация набирает обороты: средства дешифрования обновляются каждый месяц.

Однако платить выкуп - тоже плохое решение. Нет никакой гарантии, что разработчики зашифрованных программ-вымогателей отправят вам инструмент дешифрования и соответствующий ключ дешифрования. И очень много случаев, когда распространители программ-вымогателей обманывали своих жертв, отправляя неверный ключ или даже ничего.В большинстве случаев есть способ восстановить ваши файлы бесплатно. Найдите доступные резервные копии и восстановите свою систему с их помощью. Конечно, есть вероятность, что найденная вами резервная копия слишком старая и не содержит большого количества нужных вам файлов. Но, по крайней мере, вы будете уверены, что в вашей системе нет вредоносных программ. Однако, чтобы убедиться, что после резервного копирования в вашей системе нет вредоносных программ, вам необходимо просканировать свой компьютер с помощью антивирусного программного обеспечения.

Зашифрованная программа-вымогатель не уникальна.Есть и другие программы-вымогатели этого типа: Artemis, The, Foqe. Эти примеры программ-вымогателей действуют аналогичным образом: шифруют ваши файлы, добавляют конкретное расширение и оставляют большое количество записок о выкупе в каждой папке. Но есть две вещи, которые отличает эти программы-вымогатели: алгоритм шифрования, который используется для шифрования файлов, и сумма выкупа. В некоторых случаях жертвы могут расшифровать свои файлы без каких-либо платежей, просто используя бесплатные решения, разработанные несколькими поставщиками антивирусных программ, или даже с помощью инструмента дешифрования, предлагаемого создателями программ-вымогателей.Последний сценарий возможен, когда распространители программ-вымогателей ввели ваш ключ дешифрования в записку о выкупе. Однако, как вы уже догадались, такая удача - очень редкое явление. Программы-вымогатели созданы для получения денег, а не для шуток или запугивания.

Причины, по которым я бы рекомендовал GridinSoft

Нет лучшего способа распознать, удалить и предотвратить программы-вымогатели, чем использовать антивирусное программное обеспечение от GridinSoft.

Скачать утилиту для удаления.

Вы можете загрузить GridinSoft Anti-Malware, нажав кнопку ниже:

Запустите установочный файл.

По завершении загрузки установочного файла дважды щелкните файл setup-antimalware-fix.exe , чтобы установить GridinSoft Anti-Malware на свой компьютер.

Контроль учетных записей пользователей с просьбой разрешить GridinSoft Anti-Malware вносить изменения в ваше устройство. Итак, вы должны нажать «Да», чтобы продолжить установку.

Нажать кнопку «Установить».

После установки Anti-Malware запустится автоматически.

Дождитесь завершения сканирования Anti-Malware.

GridinSoft Anti-Malware автоматически начнет сканирование вашей системы на наличие зашифрованных инфекций и других вредоносных программ. Этот процесс может занять 20–30 минут, поэтому я предлагаю вам периодически проверять статус процесса сканирования.

Щелкните «Очистить сейчас».

По завершении сканирования вы увидите список заражений, обнаруженных GridinSoft Anti-Malware. Чтобы удалить их, нажмите кнопку «Очистить сейчас» в правом углу.

Часто задаваемые вопросы

Как я могу открыть файлы «. [Email] [ID] .Encrypted»?

Ни за что. Эти файлы зашифрованы программой-вымогателем Encrypted. Содержимое. [Email] [ID] .Encrypted файлов недоступно, пока они не будут расшифрованы.
Зашифрованные файлы содержат важную информацию. Как я могу расшифровать [адрес электронной почты] [ID].Зашифрованные файлы срочно?

Если ваши данные остались в. [Email] [ID] .Encrypted файлы очень ценны, то, скорее всего, вы сделали резервную копию.
Если нет, то можно попробовать восстановить их через системную функцию - Restore Point . Все остальные методы потребуют терпения.
Вы посоветовали использовать GridinSoft Anti-Malware для удаления Encrypted. Означает ли это, что программа удалит мои зашифрованные файлы?

Конечно, нет.Ваши зашифрованные файлы не представляют угрозы для компьютера. То, что произошло, уже произошло.

Вам потребуется GridinSoft Anti-Malware для удаления активных системных инфекций. Вирус, который зашифровал ваши файлы, скорее всего, все еще активен и периодически запускает тест на возможность зашифровать еще больше файлов. Также эти вирусы часто устанавливают кейлоггеры и бэкдоры для дальнейших злонамеренных действий (например, кражи паролей, кредитных карт).

Что я могу сделать прямо сейчас?

Вы можете попробовать найти копию исходного файла, который был зашифрован:
  • Файлы, загруженные из Интернета, которые были зашифрованы, и вы можете загрузить их снова, чтобы получить оригинал.
  • Фотографии, которыми вы поделились с семьей и друзьями, которые они могут просто отправить вам.
  • Фотографии, которые вы загрузили в социальные сети или облачные сервисы, такие как Carbonite, OneDrive, iDrive, Google Drive и т. Д.)
  • Вложения в сообщениях электронной почты, которые вы отправили или получили и сохранили.
  • Файлы на старом компьютере, флэш-накопителе, внешнем накопителе, карте памяти камеры или iPhone, с которого вы передали данные на зараженный компьютер.

Кроме того, вы можете связаться со следующими правительственными сайтами по борьбе с мошенничеством и мошенничеством, чтобы сообщить об этой атаке:

Чтобы сообщить об атаке, вы можете связаться с местным исполнительным комитетом.Например, если вы живете в США, вы можете поговорить с местным полевым офисом ФБР, IC3 или секретной службой.

Как я могу избежать атаки программ-вымогателей?

Зашифрованные программы-вымогатели не обладают сверхспособностями.

Вы можете легко защитить себя от его инъекции, выполнив несколько простых шагов:

  • Игнорировать все электронные письма из неизвестных почтовых ящиков со странным неизвестным адресом или с содержанием, которое, вероятно, не связано с чем-то, чего вы ждете (можно ли выиграть в лотерею, не участвуя в ней?).Если тема электронного письма, вероятно, является тем, чего вы ждете, внимательно проверьте все элементы подозрительного письма. Поддельное письмо обязательно будет содержать ошибку.
  • Не используйте взломанные или ненадежные программы. Троянские программы часто распространяются как часть взломанного программного обеспечения, возможно, под видом «патча», препятствующего проверке лицензии. Но ненадежные программы очень сложно отличить от надежного программного обеспечения, потому что трояны также могут иметь необходимые вам функции. Вы можете попробовать найти информацию об этой программе на форумах по защите от вредоносных программ, но лучшим решением будет не использовать такие программы.
  • И чтобы быть уверенным в безопасности загруженных файлов, используйте GridinSoft Anti-Malware. Эта программа наверняка станет отличным щитом для вашего персонального компьютера.

Мне нужна ваша помощь, чтобы поделиться этой статьей.
Теперь ваша очередь помогать другим людям. Я написал это руководство, чтобы помочь таким людям, как вы. Вы можете использовать кнопки ниже, чтобы поделиться этим в своих любимых социальных сетях Facebook, Twitter или Reddit.
Брендан Смит

Как удалить зашифрованные программы-вымогатели и восстановить компьютер

Имя: ЗАШИФРОВАНО Вирус

Описание: ЗАШИФРОВАНО Вирус - это заражение программным вымогателем.Этот вирус шифрует важные личные файлы (видео, фотографии, документы). Зашифрованные файлы можно отслеживать с помощью определенного расширения. [Email] [ID] .Encrypted. Итак, вы вообще не можете их использовать.

Операционная система: Windows

Категория приложения: Вирус

Обзор пользователей
4,29 (17 голосов)

.

Вот бесплатные инструменты дешифрования программ-вымогателей, которые вам нужно использовать [Обновлено 2020 г.]

Если ваша сеть заражена программой-вымогателем, выполните следующие действия, чтобы восстановить важные данные:


Шаг 1: Не платите выкуп, потому что нет гарантии, что создатели программ-вымогателей предоставят вам доступ к вашим данным.

Шаг 2: Найдите все доступные резервные копии и подумайте о том, чтобы хранить резервные копии данных в безопасных удаленных местах.

Шаг 3. Если резервных копий нет, попробуйте расшифровать данные, заблокированные программой-вымогателем, с помощью лучших доступных инструментов расшифровки программ-вымогателей.

В это руководство по борьбе с программами-вымогателями мы включили эти бесплатные инструменты дешифрования, которые можно использовать, чтобы избежать всех типов вредоносных программ.

Перейдите по этим ссылкам, чтобы узнать больше.

Как определить зараженную программу-вымогатель
Инструменты дешифрования программ-вымогателей
Описание семейств программ-вымогателей и инструментов для расшифровки
Как избежать заражения программ-вымогателей в будущем
12 Контрольный список для защиты от программ-вымогателей

Как определить программу-вымогатель, которой вы были заражены

Часто в записке о выкупе содержится подробная информация о типе программы-вымогателя, с помощью которой были зашифрованы ваши файлы, но может случиться так, что у вас нет этой информации под рукой.Читатели просили нас показать, какие расширения шифрования принадлежат к каким семействам программ-вымогателей. Многие из этих расширений сигнализируют о новых типах вредоносных программ для шифрования, для которых нет доступных дешифраторов.

Если вам нужна помощь в определении того, какой тип программ-вымогателей влияет на вашу систему, вы можете использовать эти два инструмента ниже:

Крипто-шериф от No More Ransom
ID Ransomware от MalwareHunter Team

Инструменты дешифрования программ-вымогателей - постоянный список

Заявление об отказе от ответственности:

Вы должны знать, что приведенный ниже список не является полным и, вероятно, никогда не будет полным.Используйте его, но также проведите задокументированное исследование. Безопасное дешифрование ваших данных может быть нервным процессом, поэтому постарайтесь действовать как можно тщательнее.

Мы сделаем все возможное, чтобы обновлять этот список и добавлять в него больше инструментов. Вклады и предложения более чем приветствуются , так как мы обещаем оперативно реагировать на них и включать их в список.

Если вам понравился этот пост, вам понравится наша рассылка.

Получайте новые статьи прямо на почту

Некоторые из упомянутых ниже инструментов дешифрования программ-вымогателей просты в использовании, в то время как для расшифровки других требуется немного больше технических знаний.Если у вас нет технических навыков, вы всегда можете обратиться за помощью на один из форумов по удалению вредоносных программ , на которых вы найдете массу информации и полезные сообщества.

.777 инструмент для расшифровки программ-вымогателей

Инструмент дешифрования 7even-HONE $ T

.8lock8 инструмент для дешифрования программ-вымогателей + объяснения

7ev3n дешифратор

Инструмент AES_NI Rakhni Decryptor

Агент.iih decrypting tool (расшифровано с помощью Rakhni Decryptor)

Инструмент дешифрования Alcatraz Ransom

Инструмент для дешифрования Alma

Инструмент для расшифровки Al-Namrood

Инструмент альфа-дешифрования

Инструмент для расшифровки AlphaLocker

Расшифровщик Amnesia Ransom

Средство дешифрования Amnesia Ransom 2

Инструмент для расшифровки Апокалипсиса

Инструмент дешифрования ApocalypseVM + альтернатива

Инструмент для расшифровки Aura (расшифрован с помощью Rakhni Decryptor)

Инструмент дешифрования AutoIT (расшифрован с помощью Rannoh Decryptor)

Инструмент дешифрования AutoLT (расшифровывается с помощью Rannoh Decryptor)

Инструмент дешифрования Autolocky

Инструмент для расшифровки плохих блоков + альтернатива 1

Инструмент расшифровки BarRax Ransom

Инструмент для дешифрования Bart

Инструмент для дешифрования BigBobRoss

Инструмент дешифрования BitCryptor

Инструмент дешифрования BitStak

BTCWare Декриптор выкупа

Инструмент дешифрования Cerber

Инструмент для расшифровки химеры + альтернатива 1 + альтернатива 2

Инструмент для расшифровки CoinVault

Инструмент дешифрования Cry128

Cry9 Инструмент дешифрования выкупа

Инструмент дешифрования Cryakl (расшифрован с помощью Rannoh Decryptor)

Инструмент дешифрования Crybola (расшифровывается с помощью Rannoh Decryptor)

Инструмент дешифрования CrypBoss

Инструмент дешифрования Crypren

Инструмент дешифрования Crypt38

Инструмент дешифрования Crypt888 (см. Также Mircop)

Инструмент дешифрования CryptInfinite

Инструмент дешифрования CryptoDefense

.

бесплатных дешифраторов программ-вымогателей - Kaspersky

0 инструмент соответствовал вашему запросу

Возможно вам понравится

Название инструмента Описание Обновлено

Расшифровщик оттенков

Расшифровывает файлы, затронутые всеми версиями Shade.

Практическое руководство

Скачать

30 апреля 2020

Декриптор Рахни

Расшифровывает файлы, затронутые Рахни, агентом.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman
(TeslaCrypt) версии 3 и 4, Chimera, Crysis (версии 2 и 3), Jaff, Dharma, новые версии вымогателя Cryakl, Yatron, FortuneCrypt.

Практическое руководство

Скачать

25 сен 2019

Декриптор Ранно

Расшифровывает файлы, затронутые Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (версии 1, 2 и 3), Polyglot aka Marsjoke.

Практическое руководство

Скачать

20 декабря 2016

Декриптор CoinVault

Расшифровывает файлы, затронутые CoinVault и Bitcryptor.Создано в сотрудничестве с Национальным отделом по преступлениям в сфере высоких технологий (NHTCU) полиции Нидерландов и национальной прокуратурой Нидерландов.

Практическое руководство

Скачать

15 апреля 2015 г.

Декриптор Wildfire

Скачать

24 августа 2016

Декриптор Xorist

Скачать

23 августа 2016

Загрузите Kaspersky Internet Security
, чтобы избежать атак программ-вымогателей в будущем

.

Как избавиться от компьютерного вируса: все, что вам нужно знать

Вы обеспокоены тем, что на вашем компьютере может быть вирус? Если ваш компьютер заражен, очень важно научиться избавляться от компьютерного вируса.

Эта статья научит вас всему, что нужно знать о работе компьютерных вирусов и их удалении.

Читайте, пока мы обсуждаем:

  • Как избавиться от компьютерного вируса.
  • Что такое компьютерный вирус.
  • Как узнать, есть ли на вашем компьютере вирус.
  • Может ли ваш компьютер заразиться вирусом по электронной почте.
  • Как защитить компьютер от вирусов.

Как избавиться от компьютерного вируса

В этом разделе мы узнаем, как избавиться от компьютерного вируса на ПК и Mac.

Удаление компьютерного вируса с ПК

Компьютерные вирусы почти всегда невидимы. Без антивирусной защиты вы можете не знать, что она у вас есть. Вот почему так важно установить антивирусную защиту на все ваши устройства.

Если на вашем компьютере есть вирус, следующие десять простых шагов помогут вам избавиться от него:

Шаг 1. Загрузите и установите антивирусный сканер

Загрузите антивирусный сканер или полное решение для интернет-безопасности. Мы рекомендуем Kaspersky Internet Security. Видео ниже проведет вас через процесс установки:

Шаг 2. Отключитесь от Интернета

Когда вы удаляете вирус со своего ПК, рекомендуется отключиться от Интернета, чтобы предотвратить дальнейшее повреждение: некоторые компьютерные вирусы используют подключение к Интернету для распространения.

Шаг 3. Перезагрузите компьютер в безопасном режиме

Чтобы защитить компьютер во время удаления вируса, перезагрузите его в «безопасном режиме». Вы не знаете, как это сделать?

Вот простое руководство:

  • Выключите и снова включите компьютер
  • Когда экран загорится, нажмите F8, чтобы открыть меню «Дополнительные параметры загрузки».
  • Щелкните «Safe Mode with Networking»
  • Остаться отключенным от Интернета
Шаг 4. Удалите временные файлы

Затем вам необходимо удалить все временные файлы с помощью «Очистки диска».

Вот как это сделать:

  • Щелкните логотип Windows справа внизу
  • Тип «Временные файлы»
  • Выберите «Освободить место на диске, удалив ненужные файлы».
  • Найдите и выберите «Временные файлы Интернета» в списке «Файлы для удаления». Очистка диска и нажмите ОК.
  • Подтвердите выбор «Удалить файлы»

Некоторые вирусы запрограммированы на запуск при загрузке компьютера. Удаление временных файлов может удалить вирус.Однако полагаться на это небезопасно. Чтобы избавить свой компьютер от вирусов, рекомендуется выполнить следующие действия.

Шаг 5. Запустите проверку на вирусы

Теперь пора запустить сканирование на вирусы с помощью выбранного вами антивирусного ПО или программного обеспечения для обеспечения безопасности в Интернете. Если вы используете Kaspersky Internet Security, выберите и запустите «Проверка».

Шаг 6. Удалите вирус или поместите его в карантин

Если вирус обнаружен, он может повлиять на несколько файлов. Выберите «Удалить» или «Карантин», чтобы удалить файл (ы) и избавиться от вируса.Повторно просканируйте компьютер, чтобы убедиться, что больше нет угроз. При обнаружении угроз поместите файлы в карантин или удалите их.

Шаг 7. Перезагрузите компьютер.

Теперь, когда вирус удален, вы можете перезагрузить компьютер. Просто включите его, как обычно. Больше не нужно находиться в «безопасном режиме».

Шаг 8: Измените все свои пароли

Чтобы защитить ваш компьютер от дальнейших атак, измените все свои пароли на случай их взлома. Это строго необходимо только в том случае, если у вас есть основания полагать, что ваши пароли были перехвачены вредоносным ПО, но лучше перестраховаться.

Вы всегда можете проверить работоспособность вируса на веб-сайте поставщика антивируса или в их службе технической поддержки, если вы не уверены.

Шаг 9. Обновите программное обеспечение, браузер и операционную систему

Обновление программного обеспечения, браузера и операционной системы снизит риск использования уязвимостей в старом коде злоумышленниками для установки вредоносного ПО на ваш компьютер.

Удаление компьютерного вируса с Mac

Если вы используете Mac, у вас может сложиться впечатление, что ваш компьютер не может заразиться вирусом.К сожалению, это заблуждение. Вирусов, нацеленных на Mac, меньше, чем на ПК, но вирусы для Mac действительно существуют.

Некоторые вирусы для Mac предназначены для того, чтобы заставить пользователей думать, что они являются антивирусными продуктами. Если вы случайно загрузите один из них, ваш компьютер может быть заражен. Три примера Mac-вирусов этого типа: «MacDefender», «MacProtector» и «MacSecurity».

Если вы считаете, что на вашем Mac есть вирус, выполните шесть шагов, чтобы удалить его:

  • Закройте приложение или программное обеспечение, которое кажется уязвимым.
  • Перейдите в «Монитор активности» и найдите известные вирусы для Mac, такие как «MacDefender», «MacProtector» или «MacSecurity».
  • Если вы обнаружите один из этих вирусов, нажмите «Выйти из процесса» перед тем, как закрыть «Монитор активности».
  • Затем перейдите в папку «Applications» и перетащите файл в «корзину».
  • Не забудьте после этого очистить папку «Корзина», чтобы навсегда удалить вирус.
  • Теперь убедитесь, что ваше программное обеспечение и приложения обновлены, чтобы воспользоваться последними исправлениями безопасности.

Чтобы ничего не упустить и защитить ваш Mac, рассмотрите возможность установки запущенного антивирусного решения, если у вас его еще нет. Мы рекомендуем комплексное решение интернет-безопасности, такое как Kaspersky Total Security .

Что такое компьютерный вирус?

Компьютерный вирус - это тип вредоносного ПО (вредоносное ПО), предназначенное для самовоспроизведения, то есть для создания своих копий на любом диске, подключенном к вашему компьютеру.

Компьютерные вирусы называются так потому, что, как и настоящие вирусы, они могут самовоспроизводиться.Как только ваш компьютер заражен вирусом, он распространяется именно так. Когда компьютерный вирус заражает ваш компьютер, он может замедлить его работу и перестать работать.

Существует три основных способа заражения вашего компьютера компьютерным вирусом.

Первый способ заражения вашего компьютера со съемного носителя, например USB-накопителя. Если вы вставляете в компьютер USB-накопитель или диск из неизвестного источника, он может содержать вирус.

Иногда хакеры оставляют зараженные USB-накопители или диски на рабочих местах или в общественных местах, например в кафе, для распространения компьютерных вирусов.Люди, использующие USB-накопители, также могут передавать файлы с зараженного компьютера на незараженный.

Другой способ заражения вашего компьютера вирусом - загрузка из Интернета.

Если вы загружаете программное обеспечение или приложения на свой компьютер, убедитесь, что вы делаете это из надежного источника. Например, Google Play Store или Apple App Store. Избегайте загрузки чего-либо через всплывающие окна или через неизвестный веб-сайт.

Третий способ заражения вашего компьютера вирусом - открыть вложение или щелкнуть ссылку в спам-сообщении.

Всякий раз, когда вы получаете письмо от отправителя, которого не знаете или которому не доверяете, не открывайте его. Если вы все же откроете его, не будет открывать вложения и не нажимать на какие-либо ссылки.

Как узнать, есть ли на вашем компьютере вирус

Есть множество признаков, на которые следует обратить внимание, которые указывают на то, что на вашем компьютере может быть вирус.

Во-первых, ваш компьютер тормозит? Если все занимает больше времени, чем обычно, возможно, ваш компьютер заражен.

Во-вторых, обратите внимание на приложения или программы, которые вы не знаете.Если вы видите, что на вашем компьютере появляется приложение или программа, которую вы не помните, загружая, будьте осторожны.

Рекомендуется удалить любое незнакомое программное обеспечение, а затем запустить сканирование на вирусы с помощью антивируса или программного обеспечения для обеспечения безопасности в Интернете для проверки на наличие угроз. Всплывающие окна, появляющиеся при закрытии браузера, являются признаком вируса. Если вы видите это, примите немедленные меры по удалению вируса, выполнив действия, описанные выше.

Еще одним признаком того, что на вашем компьютере может быть вирус, является странное поведение приложений или программ на вашем компьютере.Если они начнут давать сбой без видимой причины, возможно, на вашем компьютере есть вирус.

Наконец, вирус может вызвать перегрев вашего компьютера. В этом случае выясните, есть ли у вас вирус, с помощью антивирусного ПО или программного обеспечения для обеспечения безопасности в Интернете.

Может ли ваш компьютер заразиться вирусом по электронной почте?

Ваш компьютер может заразиться вирусом через электронную почту, но только если вы откроете вложения в спам-сообщениях или нажмете на содержащиеся в них ссылки.

Простое получение спама не заразит ваш компьютер.Просто отметьте их как спам или нежелательную почту и убедитесь, что они удалены. Большинство провайдеров электронной почты автоматизируют это (например, Gmail), но если что-то проскользнет через сеть, просто пометьте их как спам и не открывайте.

Как защитить компьютер от вирусов

Вот несколько основных способов защиты компьютера от вирусов:

  • Используйте антивирусное программное обеспечение или комплексное решение для интернет-безопасности, например Kaspersky Total Security. Если вы используете мобильное устройство Android, рассмотрите Kaspersky Internet Security для Android.
  • Исследуйте приложения и программное обеспечение, читая отзывы пользователей.
  • Прочтите описания для разработчиков перед загрузкой приложений и программного обеспечения.
  • Загружайте приложения и программное обеспечение только с надежных сайтов.
  • Проверьте, сколько приложений и программного обеспечения загружено. Чем больше, тем лучше.
  • Проверьте, какие разрешения запрашивают приложения и программное обеспечение. Это разумно?
  • Никогда не переходите по непроверенным ссылкам в спам-письмах, сообщениях или на незнакомых веб-сайтах.
  • Не открывать вложения в спам-письмах.
  • Обновляйте программное обеспечение, приложения и операционную систему.
  • Используйте безопасное VPN-соединение для общедоступных сетей Wi-Fi, например Kaspersky Secure Connection.
  • Никогда не вставляйте в компьютер неизвестные USB-накопители или диски.

Зачем подвергать себя риску заражения? Защитите свой компьютер с помощью Kaspersky Total Security.

.

CRYLOCK Virus Files of Ransomware - Как удалить вирус?

Вирус Crylock относится к типу вирусов-вымогателей. Эта программа-вымогатель шифрует все данные пользователя на ПК (фотографии, документы, таблицы Excel, музыку, видео и т. Д.), Добавляет свое расширение к каждому файлу.

GridinSoft Anti-Malware

Удаление компьютерных вирусов вручную может занять несколько часов и при этом повредить ваш компьютер. Я рекомендую вам скачать GridinSoft Anti-Malware для удаления вирусов.Позволяет завершить сканирование и вылечить ваш компьютер в течение пробного периода.

Что такое «Crylock»?

Crylock можно правильно идентифицировать как заражение программой-вымогателем.

После процесса шифрования файлы будут переименованы по образцу [[email protected]]. * , заложенному в программе-вымогателе. Ваша фотография с именем, например, «me.jpg» будет изменена на « me.jpg. [[email protected]]. [Sell4u] » после шифрования.

Внутри записки о выкупе обычно есть инструкция о покупке средства дешифрования.Этот инструмент дешифрования создан разработчиками программ-вымогателей, и его можно получить по электронной почте, обратившись по адресу [email protected], t.me/assist_decoder .

Вот краткое описание Crylock:

Изображение ниже дает четкое представление о том, как выглядят файлы с расширением «. [[email protected]]. *»:

Пример зашифрованных файлов. [[email protected]]. *

Как я получил вымогатель Crylock на моем компьютере?

Это было огромное количество различных способов внедрения программ-вымогателей.

Однако в настоящее время существует только два способа внедрения Crylock - электронный спам и трояны. Вы можете увидеть много сообщений по электронной почте, в которых говорится, что вам нужно оплатить разные счета или получить посылку в местном отделении FedEx. Но все такие сообщения отправляются с неизвестных адресов электронной почты, а не с знакомых официальных писем этих компаний. Все такие письма содержат прикрепленный файл, который используется в качестве носителя вымогателей. Если вы откроете этот файл - ваша система заразится Crylock.

В случае наличия троянов вам будет предложено загрузить и установить программу-вымогатель на ваш компьютер под видом чего-то законного, например обновления Chrome или обновления для программного обеспечения, которое вы храните на своем компьютере. Иногда троянские вирусы могут быть замаскированы под легальные программы, и вымогатели будут предлагаться для загрузки в виде важного обновления или большого пакета расширений, которые необходимы для правильного функционирования программы.

Существует также третий способ внедрения вымогателей, однако с каждым днем ​​он становится все менее популярным.Я говорю о пиринговых сетях, таких как торренты или eMule. Никто не может контролировать, какие файлы упаковываются при раздаче, поэтому вы можете обнаружить огромный пакет различных вредоносных программ после загрузки. Если обстоятельства вынуждают вас скачивать что-то из пиринговых сетей - проверяйте каждую загруженную папку или архив с помощью антивирусного ПО.

Как удалить вирус Crylock?

Помимо кодирования файлов жертвы, заражение Crylock также начало устанавливать в систему шпионское ПО Azorult для кражи учетных данных, криптовалютных кошельков, файлов рабочего стола и т. Д.

Чтобы убедиться, что у распространителей программ-вымогателей действительно есть средство дешифрования, они могут предложить расшифровать несколько зашифрованных файлов. И они являются единственными владельцами этой программы дешифрования: вымогатели Crylock - это совершенно новый тип, поэтому у поставщиков антивирусных программ нет законной программы, которая могла бы расшифровать ваши файлы. Но такая ситуация набирает обороты: средства дешифрования обновляются каждый месяц.

Однако платить выкуп - тоже плохое решение. Нет гарантии, что разработчики программ-вымогателей Crylock отправят вам инструмент дешифрования и соответствующий ключ дешифрования.И очень много случаев, когда распространители программ-вымогателей обманывали своих жертв, отправляя неверный ключ или даже ничего. В большинстве случаев есть способ восстановить ваши файлы бесплатно. Найдите доступные резервные копии и восстановите свою систему с их помощью. Конечно, есть вероятность, что найденная вами резервная копия слишком старая и не содержит большого количества нужных вам файлов. Но, по крайней мере, вы будете уверены, что в вашей системе нет вредоносных программ. Однако, чтобы убедиться, что после резервного копирования в вашей системе нет вредоносных программ, вам необходимо просканировать свой компьютер с помощью антивирусного программного обеспечения.

Программа-вымогатель

Crylock не уникальна. Есть и другие программы-вымогатели этого типа: Woodrat, Loki, Deus. Эти примеры программ-вымогателей действуют аналогичным образом: шифруют ваши файлы, добавляют конкретное расширение и оставляют большое количество записок о выкупе в каждой папке. Но есть две вещи, которые отличает эти программы-вымогатели: алгоритм шифрования, который используется для шифрования файлов, и сумма выкупа. В некоторых случаях жертвы могут расшифровать свои файлы без каких-либо платежей, просто используя бесплатные решения, разработанные несколькими поставщиками антивирусных программ, или даже с помощью инструмента дешифрования, предлагаемого создателями программ-вымогателей.Последний сценарий возможен, когда распространители программ-вымогателей ввели ваш ключ дешифрования в записку о выкупе. Однако, как вы уже догадались, такая удача - очень редкое явление. Программы-вымогатели созданы для получения денег, а не для шуток или запугивания.

Причины, по которым я бы рекомендовал GridinSoft

Нет лучшего способа распознать, удалить и предотвратить программы-вымогатели, чем использовать антивирусное программное обеспечение от GridinSoft.

Скачать утилиту для удаления.

Вы можете загрузить GridinSoft Anti-Malware, нажав кнопку ниже:

Запустите установочный файл.

По завершении загрузки файла установки дважды щелкните файл setup-antimalware-fix.exe , чтобы установить GridinSoft Anti-Malware в вашей системе.

Контроль учетных записей пользователей спрашивает вас о разрешении GridinSoft Anti-Malware вносить изменения в ваше устройство. Итак, вы должны нажать «Да», чтобы продолжить установку.

Нажать кнопку «Установить».

После установки Anti-Malware запустится автоматически.

Дождитесь завершения сканирования Anti-Malware.

GridinSoft Anti-Malware автоматически начнет сканирование вашей системы на предмет заражения Crylock и других вредоносных программ. Этот процесс может занять 20–30 минут, поэтому я предлагаю вам периодически проверять статус процесса сканирования.

Щелкните «Очистить сейчас».

По завершении сканирования вы увидите список инфекций, обнаруженных GridinSoft Anti-Malware. Чтобы удалить их, нажмите кнопку «Очистить сейчас» в правом углу.

Часто задаваемые вопросы

Как я могу открыть файлы «. [[email protected]]. *»?

Ни за что. Эти файлы зашифрованы программой-вымогателем Crylock. Содержимое файлов. [[email protected]]. * Недоступно, пока они не будут расшифрованы.
Файлы Crylock содержат важную информацию. Как я могу расшифровать [flydragon @ mailfence.com]. * файлы срочно?

Если ваши данные остались в файлах. [[email protected]]. * Очень ценны, то, скорее всего, вы сделали резервную копию.
Если нет, то можно попробовать восстановить их через системную функцию - Restore Point . Все остальные методы потребуют терпения.
Вы посоветовали использовать GridinSoft Anti-Malware для удаления Crylock. Означает ли это, что программа удалит мои зашифрованные файлы?

Конечно, нет.Ваши зашифрованные файлы не представляют угрозы для компьютера. То, что произошло, уже произошло.

Вам понадобится GridinSoft Anti-Malware для удаления активных системных инфекций. Вирус, который зашифровал ваши файлы, скорее всего, все еще активен и периодически запускает тест на возможность зашифровать еще больше файлов. Также эти вирусы часто устанавливают кейлоггеры и бэкдоры для дальнейших злонамеренных действий (например, кражи паролей, кредитных карт).

Что я могу сделать прямо сейчас?

Вы можете попробовать найти копию исходного файла, который был зашифрован:
  • Файлы, загруженные из Интернета, которые были зашифрованы, и вы можете загрузить их снова, чтобы получить оригинал.
  • Фотографии, которыми вы поделились с семьей и друзьями, которые они могут просто отправить вам.
  • Фотографии, которые вы загрузили в социальные сети или облачные сервисы, такие как Carbonite, OneDrive, iDrive, Google Drive и т. Д.)
  • Вложения в сообщениях электронной почты, которые вы отправили или получили и сохранили.
  • Файлы на старом компьютере, флэш-накопителе, внешнем накопителе, карте памяти камеры или iPhone, с которого вы передали данные на зараженный компьютер.

Кроме того, вы можете связаться со следующими правительственными сайтами по борьбе с мошенничеством и мошенничеством, чтобы сообщить об этой атаке:

Чтобы сообщить об атаке, вы можете связаться с местным исполнительным советом.Например, если вы живете в США, вы можете поговорить с местным полевым офисом ФБР, IC3 или секретной службой.

Как я могу избежать атаки программ-вымогателей?

Программа-вымогатель
Crylock не обладает сверхспособностями.

Вы можете легко защитить себя от его инъекции, выполнив несколько простых шагов:

  • Игнорировать все электронные письма из неизвестных почтовых ящиков со странным неизвестным адресом или с содержанием, которое, вероятно, не связано с чем-то, чего вы ждете (можно ли выиграть в лотерею, не участвуя в ней?).Если тема электронного письма, вероятно, является тем, чего вы ждете, внимательно проверьте все элементы подозрительного письма. Поддельное письмо обязательно будет содержать ошибку.
  • Не используйте взломанные или ненадежные программы. Троянские программы часто распространяются как часть взломанного программного обеспечения, возможно, под видом «патча», препятствующего проверке лицензии. Но ненадежные программы очень сложно отличить от надежного программного обеспечения, потому что трояны также могут иметь необходимые вам функции. Вы можете попробовать найти информацию об этой программе на форумах по защите от вредоносных программ, но лучшим решением будет не использовать такие программы.
  • И чтобы быть уверенным в безопасности загруженных файлов, используйте GridinSoft Anti-Malware. Эта программа наверняка станет отличным щитом для вашего персонального компьютера.

Мне нужна ваша помощь, чтобы поделиться этой статьей.
Сейчас ваша очередь помогать другим людям. Я написал это руководство, чтобы помочь таким людям, как вы. Вы можете использовать кнопки ниже, чтобы поделиться этим в своих любимых социальных сетях Facebook, Twitter или Reddit.
Брендан Смит

Как удалить CRYLOCK Ransomware и восстановить ПК

Название: CRYLOCK Virus

Описание: CRYLOCK Virus - это заражение программным вымогателем.Этот вирус шифрует важные личные файлы (видео, фотографии, документы). Зашифрованные файлы можно отслеживать с помощью специального расширения. [[email protected]]. *. Итак, вы вообще не можете их использовать.

Операционная система: Windows

Категория приложения: Вирус

Обзор пользователей
4,27 (15 голосов)

.

Как защитить компьютер от программ-вымогателей с шифрованием файлов

Установите защитное решение

Приложения «Лаборатории Касперского» с новейшими базами данных заблокируют атаку и предотвратят установку вредоносного ПО на ваш компьютер. В последних версиях продуктов «Лаборатории Касперского» есть компонент «Мониторинг системы», который автоматически создает резервные копии файлов, если к ним обращается подозрительная программа.

Регулярное резервное копирование файлов в облако или на внешний диск

Чтобы защитить ваши файлы от возможных атак вредоносных программ и повреждений вашего компьютера, создайте резервные копии и храните их в облачном хранилище или на съемном диске.

Установить обновления

Поддерживайте свою операционную систему, программное обеспечение и другие приложения в актуальном состоянии. Обновления содержат исправления и улучшения, которые делают приложения и систему более безопасными и стабильными. Обновления - это основное средство устранения уязвимостей.

Если на вашем устройстве установлена ​​программа Kaspersky, регулярно обновляйте ее антивирусные базы.
С устаревшими базами ваша программа Касперского не сможет своевременно обнаруживать новые угрозы.

Не открывать вложения в письмах от неизвестных отправителей

Ransomware часто распространяется через зараженные вложения электронной почты. Киберпреступники стремятся убедить вас открыть вложение, поэтому они называют электронные письма так, как будто они содержат важную информацию, такую ​​как постановление суда, уведомление о предполагаемом судебном преследовании, уведомление о поздней оплате или что-то подобное. Всегда проверяйте адрес отправителя, прежде чем открывать электронные письма или вложения.

Используйте надежные пароли для учетных записей Windows при подключении через удаленный рабочий стол

Мы рекомендуем использовать надежные пароли для защиты ваших личных данных и учетных записей от взлома во время удаленного подключения.Используйте функцию удаленного рабочего стола из домашней или корпоративной сети и старайтесь не использовать ее при подключении к общедоступной сети. Дополнительные сведения о функции удаленного рабочего стола см. На веб-сайте поддержки Microsoft. Советы по созданию надежного пароля см. В этой статье.

.

Смотрите также