«Вибачте, що потурбували, але… ваші файли зашифровані. Щоб отримати ключ для розшифровки, терміново переведіть суму грошей на гаманець… Інакше ваші дані будуть знищені безповоротно. У вас 3 години, час пішов». І це не жарт. Вірус-шифрувальник – загроза більш ніж реальна.

Сьогодні поговоримо, що являють собою шкідливі програми-шифрувальники, що поширилися в останні роки, що робити у разі зараження, як вилікувати комп'ютер і чи можливо це взагалі, а також як від них захиститися.

Шифруємо все!

Вірус-шифрувальник (шифратор, криптор) – особливий різновид шкідливих програм-вимагачів, чия діяльність полягає у шифруванні файлів користувача та подальшій вимогі викупити засіб розшифровки. Суми викупу починаються десь від $200 і сягають десятків і сотень тисяч зелених папірців.

Кілька років тому атакам зловредів цього класу зазнавали лише комп'ютери на базі Windows. Сьогодні їх ареал розширився до, здавалося б, добре захищених Linux, Mac та Android. Крім того, постійно зростає видова різноманітність шифраторів – одна за одною з'являються новинки, яким є чим здивувати світ. Так, виникла завдяки «схрещуванню» класичного трояна-шифрувальника та мережевого черв'яка (шкідливої ​​програми, яка поширюється мережами без активної участі користувачів).

Після WannaCry з'явилися не менш витончені Petya та Bad Rabbit. І оскільки «шифрувальний бізнес» приносить власникам непоганий прибуток, можна бути впевненими, що вони не є останніми.

Все більше шифрувальників, що особливо побачили світ в останні 3-5 років, використовують стійкі криптографічні алгоритми, які неможливо зламати ні перебором ключів, ні іншими існуючими засобами. Єдина можливість відновити дані – скористатись оригінальним ключем, який пропонують купити зловмисники. Однак навіть перерахування ним необхідної суми не гарантує отримання ключа. Злочинці не поспішають розкривати свої секрети та втрачати потенційний прибуток. Та й який їм сенс виконувати обіцянки, якщо гроші вже мають?

Шляхи розповсюдження вірусів-шифраторів

Основний шлях потрапляння шкідливих даних на комп'ютери приватних користувачів та організацій – електронна пошта, точніше, додані до листів файли та посилання.

Приклад такого листа призначений для «корпоративних клієнтів»:

• «Терміново сплатите борг за кредитом».
• «Позовна заява подана до суду».
• "Сплатіть штраф/внесок/податок".
• «Дорахування комунального платежу».
• "Ой, це ти на фотографії?"
• "Ліна попросила терміново передати це тобі" і т.д.

Погодьтеся, тільки обізнаний користувач поставиться до такого листа з настороженістю. Більшість, не замислюючись, відкриє вкладення та запустить шкідливу програму своїми руками. До речі, незважаючи на крики антивірусу.

Також для поширення шифрувальників активно використовуються:

• Соціальні мережі (розсилка з облікових записів знайомих і незнайомих людей).
• Шкідливі та заражені веб-ресурси.
• Банерна реклама.
• Розсилання через месенджери зі зламаних акаунтів.
• Сайти-варезники та розповсюджувачі кейгенів та кряків.
• Сайти для дорослих.
• Магазини додатків та контенту.

Провідниками вірусів-шифраторів нерідко бувають інші шкідливі програми, зокрема, демонстратори реклами та трояни-бекдори. Останні, використовуючи вразливість у системі та ПЗ, допомагають злочинцеві отримати віддалений доступ до зараженого пристрою. Запуск шифрувальника в таких випадках не завжди збігається в часі з потенційно небезпечними діями користувача. Поки бекдор залишається в системі, зловмисник може проникнути на пристрій у будь-який момент та запустити шифрування.

Для зараження комп'ютерів організацій (адже вони можна віджати більше, ніж в домашніх користувачів) розробляються особливо вишукані способи. Наприклад, троянець Petya проникав на пристрої через модуль оновлення програми для ведення податкового обліку MEDoc.

Шифрувальники з функціями мережевих черв'яків, як говорилося, поширюються мережами, зокрема Інтернет, через уразливості протоколів. І заразитися ними можна, не роблячи нічого. Найбільшу небезпеку наражаються користувачі ОС Windows, що рідко оновлюються, оскільки оновлення закривають відомі лазівки.

Деякі зловреди, такі як WannaCry, експлуатують уразливості 0-day (нульового дня), тобто ті, про які поки що не знають розробники систем. Повноцінно протистояти зараженню таким шляхом, на жаль, неможливо, проте ймовірність, що саме ви потрапите до постраждалих, не дотягує навіть до 1%. Чому? Та тому, що шкідливе програмне забезпечення не може одномоментно заразити всі вразливі машини. І поки воно планує нові жертви, розробники систем встигають випустити рятівне оновлення.

Як поводиться шифрувальник на зараженому комп'ютері

Процес шифрування зазвичай починається непомітно, а коли його ознаки стають очевидними, рятувати дані вже пізно: на той час шкідливість зашифрував все, до чого дотягнувся. Іноді користувач може помітити, як у файлів у якійсь відкритій папці змінилося розширення.

Така поява у файлів нового, а іноді другого розширення, після чого вони перестають відкриватися, повністю вказує на наслідки атаки шифрувальника. До речі, розширення, яке отримують пошкоджені об'єкти, зазвичай вдається ідентифікувати зловреда.

Приклад, якими може бути розширення зашифрованих файлів:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn і т.д.

Варіантів маса, і вже завтра з'являться нові, тому перераховувати все особливе значення немає. Для визначення типу зараження достатньо згодувати кілька розширень пошукової системи.

Інші симптоми, які опосередковано вказують на початок шифрування:

• Поява на екрані на частини секунди вікон командного рядка. Найчастіше це нормальне явище при встановленні оновлень системи та програм, але поза увагою його краще не залишати.
• Запити UAC на запуск якоїсь програми, яку ви не збиралися відкривати.
• Раптове перезавантаження комп'ютера з подальшою імітацією роботи системної утиліти перевірки диска (можливі інші варіації). Під час перевірки відбувається процес шифрування.

Після успішного закінчення шкідливої ​​операції на екрані з'являється повідомлення з вимогою викупу та різними загрозами.

Вимагачі шифрують значну частину файлів: фотографій, музики, відео, текстових документів, архівів, пошти, баз даних, файлів з розширеннями програм і т. д. Але при цьому не чіпають об'єкти операційної системи, адже зловмисникам не потрібно, щоб заражений комп'ютер перестав працювати. Деякі віруси замінюють завантажувальні записи дисків і розділів.

Після шифрування системи, як правило, видаляються всі тіньові копії та точки відновлення.

Як вилікувати комп'ютер від шифрувальника

Видалити із зараженої системи шкідливу програму просто – з більшістю з них легко справляються майже всі антивіруси. Але! Наївно вважати, що звільнення від винуватця призведе до вирішення проблеми: видаліть ви вірус чи ні, а файли все одно залишаться зашифрованими. Крім того, у ряді випадків це ускладнить їхню подальшу розшифровку, якщо вона можлива.

Правильний порядок дій на початку шифрування

• Як тільки ви помітили ознаки шифрування, негайно відключіть живлення комп'ютера натисканням та утриманням кнопкиPower протягом 3-4 секунд. Це дозволить урятувати хоча б частину файлів.
• Створіть на іншому комп'ютері завантажувальний диск або флешку з антивірусною програмою. Наприклад, Kaspersky Rescue Disk 18 , DrWeb LiveDisk , ESET NOD32 LiveCDі т.д.
• Завантажте заражену машину з цього диска та проскануйте систему. Видаліть знайдені віруси зі збереженням у карантин (на випадок, якщо вони знадобляться для розшифрування). Тільки після цього можете завантажувати комп'ютер із жорсткого диска.
• Спробуйте відновити зашифровані файли з тіньових копій засобами системи або за допомогою сторонніх.

Що робити, якщо файли вже зашифровані

• Не втрачайте надію. На сайтах розробників антивірусних продуктів викладено безкоштовні утиліти-дешифратори для різних типів зловредів. Зокрема, тут зібрано утиліти від Avastі Лабораторії Касперського.
• Визначивши тип шифратора, завантажте відповідну утиліту, обов'язково зробіть копії пошкоджених файліві спробуйте їх розшифровувати. У разі успіху розшифруйте решту.

Якщо файли не розшифровуються

Якщо жодна утиліта не допомогла, цілком імовірно, що ви постраждали від вірусу, ліки від якого поки що не існує.

Що можна зробити в цьому випадку:

• Якщо ви користуєтеся платним антивірусним продуктом, зверніться до служби підтримки. Перешліть у лабораторію кілька копій пошкоджених файлів і чекайте відповіді. За наявності технічної можливості вам допоможуть.

До речі, Dr.Web– одна з небагатьох лабораторій, яка допомагає не лише своїм користувачам, а всім постраждалим. Надіслати запит на розшифровку файлу можна на цій сторінці.

• Якщо з'ясувалося, що файли зіпсовані безнадійно, але вони представляють вам велику цінність, залишаються сподіватися і чекати, що рятівний засіб колись буде знайдено. Найкраще, що ви можете зробити, це залишити систему та файли в змозі як є, тобто повністю відключити та не використовувати жорсткий диск. Видалення файлів шкідливих даних, перевстановлення операційної системи і навіть її оновлення можуть позбавити вас. і цього шансу, оскільки при генерації ключів шифрування-дешифрування найчастіше використовуються унікальні ідентифікатори системи та копії вірусу.

Платити викуп - не варіант, оскільки можливість того, що ви отримаєте ключ, прагне до нуля. Та й нема чого фінансувати злочинний бізнес.

Як захиститись від шкідливих речовин такого типу

Не хотілося б повторювати поради, які кожен із читачів чув сотні разів. Так, встановити хороший антивірус, не натискати підозрілі посилання та блаблабла – це важливо. Однак, як показало життя, чарівної таблетки, яка дасть вам 100% гарантію захищеності, сьогодні не існує.

Єдиний дієвий метод захисту від здирників такого роду – резервне копіювання данихінші фізичні носії, зокрема у хмарні послуги. Резервне копіювання, резервне копіювання, резервне копіювання...

Кількість вірусів у їхньому звичному розумінні стає дедалі меншою, і причиною цього є безкоштовні антивіруси, які добротно працюють і захищають комп'ютери користувачів. При цьому далеко не всі дбають про безпеку своїх даних, і вони ризикують заразитися не лише шкідливими програмами, а й стандартними вірусами, серед яких найпоширенішим залишається «троян» (Trojan). Він може проявляти себе різними способами, але один із найнебезпечніших – шифрування файлів. Якщо вірус зашифрував файли на комп'ютері, повернути дані не факт, що вийде, але деякі дієві методи є, і про них йтиметься нижче.

Шифруючий вірус: що є і як діє

У мережі можна знайти сотні різновидів вірусів, які шифрують файли. Їхні дії призводять до одного наслідку – дані користувача на комп'ютері отримують невідомий формат, який не вдається відкрити за допомогою стандартних програм. Ось лише деякі з форматів, в які можуть бути зашифровані дані на комп'ютері в результаті дії вірусів: .locked, .xtbl, .kraken, .cbf, .oshit та багато інших. У деяких випадках безпосередньо на розширення файлів прописується e-mail адреса творців вірусу.

Серед найпоширеніших вірусів, які шифрують файли, можна назвати Trojan-Ransom.Win32.Auraі Trojan-Ransom.Win32.Rakhni. Вони мають безліч форм, і вірус навіть може не мати назву Trojan (наприклад, CryptoLocker), але дії їх практично не відрізняються. Регулярно випускаються нові версії вірусів, що шифрують, щоб творцям антивірусних додатків було складніше боротися з новими форматами.

Якщо вірус, що шифрує, проник на комп'ютер, то він обов'язково себе проявить не тільки блокуванням файлів, але і пропозицією до користувача розблокувати їх за грошову плату. На екрані може з'явитися банер, де буде написано, куди потрібно переказати гроші, щоб зняти блокування з файлів. Коли такий банер не з'являється, слід пошукати лист від розробників вірусу на робочому столі, такий файл в більшості випадків називається ReadMe.txt.

Залежно від розробників вірусу, розцінки дешифрацію файлів можуть різнитися. При цьому далеко не факт, що при надсиланні грошей творцям вірусу, вони надішлють назад спосіб розблокування. У більшості випадків гроші йдуть «нікуди», а спосіб дешифрації користувач комп'ютера не отримує.

Після того, як вірус опинився на вашому комп'ютері і ви побачили на екрані код, який потрібно відправити на певну адресу, щоб отримати дешифратор, не варто цього робити. Насамперед перепишіть цей код на аркуш паперу, оскільки новий створений файл може також шифруватися. Після цього можна закривати інформацію від розробників вірусу і постаратися знайти в інтернеті спосіб, як позбутися шифрувальника файлів у вашому конкретному випадку. Нижче наведено основні програми, які дозволяють видалити вірус і розшифрувати файли, але їх не можна назвати універсальними, і творці антивірусного забезпечення регулярно розширюють список рішень.

Позбутися вірусу, що шифрує файли, досить просто за допомогою безкоштовних версій антивірусів. Добре з вірусами, що шифрують файли, справляються 3 безкоштовні програми:

• Malwarebytes Antimalware;
• Dr.Web Cure It;
• Kaspersky Internet Security.

Зазначені вище програми повністю безкоштовні або мають пробні версії. Рекомендуємо скористатися рішенням Dr.Web або Kespersky після того, як ви перевірите систему за допомогою Malwarebytes Antimalware. Зайвий раз нагадаємо, що встановлювати два або більше антивірусів на комп'ютер одночасно не рекомендується, тому перед встановленням кожного нового рішення необхідно видалити попереднє.

Як ми зазначали вище, ідеальним вирішенням проблеми в даній ситуації стане підбір інструкції, яка дозволяє впоратися з вашою проблемою. Такі інструкції найчастіше розміщені на сайтах розробників антивірусів. Нижче ми наведемо кілька актуальних антивірусних утиліт, які дозволяють впоратися з різними видами троянів та іншими типами шифрувальників.

Вище наведено лише невелику частину антивірусних утиліт, які дозволяють розшифрувати заражені файли. Якщо ви постараєтеся просто, прагнучи повернути дані, вони, навпаки, будуть втрачені назавжди - цього робити не варто.

Сьогодні користувачам комп'ютерів і ноутбуків все частіше доводиться стикатися зі шкідливими програмами, які підміняють файли зашифрованими копіями. По суті це віруси. Одним із найнебезпечніших у цій серії вважається шифрувальник XTBL. Що таке шкідник, як потрапляє в комп'ютер користувача і чи можна відновити пошкоджену інформацію?

Що являє собою XTBL-шифрувальник і як потрапляє в комп'ютер

Якщо ви виявили у себе на комп'ютері або в ноутбуці файли з довгою назвою, що мають розширення. Він вражає всі версії Windows. Самостійно розшифрувати подібні файли практично нереально, адже програма використовує гібридний режим, у якому підбір ключа просто неможливий.

Зараженими файлами заповнюються системні каталоги. Додаються записи до реєстру Windows, які автоматично запускають вірус при кожному старті ОС.

Шифруються практично всі типи файлів – графічні, текстові, архівні, поштові, відео, музичні та ін. Працювати у Windows стає неможливо.

Як це діє? Запущений у Windows XTBL-шифрувальник спочатку сканує всі логічні диски. Сюди включаються хмарні та мережеві сховища, розташовані на комп'ютері. В результаті файли групуються за розширенням і потім шифруються. Таким чином, вся цінна інформація, яка розміщена в папках користувача, стає недоступною.

Ось таку картину побачить користувач замість піктограм із найменуваннями звичних файлів

Під впливом XTBL-шифрувальника розширення файлу змінюється. Тепер користувач бачить піктограму порожнього листа та довгу назву із закінченням.xtbl замість зображення чи тексту у Word. Крім того, на робочому столі з'являється повідомлення, своєрідна інструкція щодо відновлення зашифрованої інформації, що вимагає оплатити розблокування. Це не що інше, як шантаж із вимогою викупу.

Таке повідомлення висвічується у вікні робочого столу комп'ютера

Поширення XTBL-шифрувальника зазвичай відбувається через електронну пошту. У листі містяться вкладені файли або документи, заражені вірусом. Шахрай приваблює користувача барвистим заголовком. Все робиться для того, щоб послання, в якому йдеться про те, що ви, наприклад, виграли мільйон, було відкрито. Не реагуйте на такі повідомлення, інакше є великий ризик, що вірус опиниться у вашій ОС.

Чи є можливість відновити інформацію

Можна спробувати розшифрувати інформацію, скориставшись спеціальними утилітами.Однак немає жодної гарантії, що ви зможете позбутися вірусу та відновити пошкоджені файли.

В даний час XTBL-шифрувальник представляє безперечну загрозу для всіх комп'ютерів із встановленою ОС Windows. Навіть у визнаних лідерів у боротьбі з вірусами – Dr.Web та Лабораторії Касперського – немає 100% вирішення цього питання.

Видалення вірусу та відновлення зашифрованих файлів

Є різні методи та програми, що дозволяють працювати з XTBL-шифрувальником.Одні видаляють сам вірус, інші намагаються розшифрувати заблоковані файли або відновити попередні копії.

Переривання зараження комп'ютера

Якщо вам пощастило помітити початок появи на комп'ютері файлів з розширенням .xtbl, процес подальшого зараження цілком реально перервати.

Kaspersky Virus Removal Tool для видалення XTBL-шифрувальника

Усі подібні програми слід відкривати в ОС, попередньо запущеній у безпечному режимі з варіантом завантаження мережних драйверів. У цьому випадку вірус видалити набагато простіше, оскільки підключено мінімальну кількість системних процесів, необхідних для запуску Windows.

Щоб завантажити безпечний режим у Windows XP, 7 під час запуску системи постійно натискайте клавішу F8 і після появи вікна меню виберіть відповідний пункт. У разі використання Windows 8, 10 слід перезапустити ОС, утримуючи клавішу Shift. Під час запуску відкриється вікно, де можна буде вибрати необхідний варіант безпечного завантаження.

Вибір безпечного режиму із завантаженням мережевих драйверів

Програма Kaspersky Virus Removal Tool чудово розпізнає XTBL-шифрувальник і видаляє цей тип вірусу. Запустіть перевірку комп'ютера, натиснувши відповідну кнопку після завантаження програми. Після закінчення сканування видаліть виявлені шкідливі файли.

Запуск перевірки комп'ютера на наявність в ОС Windows XTBL-шифрувальника з подальшим видаленням вірусу

Утиліта Dr.Web CureIt!

Алгоритм перевірки та видалення вірусу практично нічим не відрізняється від попереднього варіанту.Проскануйте за допомогою утиліти всі логічні диски. Для цього достатньо лише дотримуватися команд програми після її запуску. Після закінчення процесу позбавтеся заражених файлів, натиснувши кнопку «Знешкодити».

Знешкодження шкідливих файлів після сканування Windows

Malwarebytes Anti-malware

Програма здійснить поетапну перевірку комп'ютера на наявність шкідливих кодів та знищить їх.

1. Встановіть та запустіть утиліту Anti-malware.
2. Виберіть внизу вікна пункт «Запустити перевірку».
3. Дочекайтеся закінчення процесу і позначте галочками чекбокси із зараженими файлами.
4. Видаліть вибране.

Видалення виявлених під час перевірки шкідливих файлів XTBL-шифрувальника

Онлайн-скрипт-дешифратор від Dr.Web

На офіційному сайті Dr.Web у розділі підтримки є вкладка із розміщеним скриптом онлайн-розшифрування файлів. Слід враховувати, що скористатися дешифратором у режимі онлайн зможуть лише користувачі, на комп'ютерах яких встановлений антивірус цього розробника.

Прочитайте інструкцію, заповніть все необхідне та натисніть кнопку «Надіслати»

Утиліта-дешифратор RectorDecryptor від Лабораторії Касперського

Розшифровкою файлів займається Лабораторія Касперського.На офіційному сайті можна завантажити утиліту RectorDecryptor.exe для версій Windows Vista, 7, 8, пройшовши за посиланнями меню "Підтримка - Лікування та розшифрування файлів - RectorDecryptor - Як розшифрувати файли". Запустіть програму, перевірте, після чого видаліть зашифровані файли, вибравши відповідний пункт.

Перевірка та розшифрування файлів, заражених XTBL-шифрувальником

Відновлення зашифрованих файлів із резервної копії

Починаючи з версії Windows 7, можна спробувати відновити файли з резервних копій.

ShadowExplorer для відновлення зашифрованих файлів

Програма є варіантом portable, її можна завантажувати з будь-якого носія.

QPhotoRec

Програма спеціально створена для відновлення пошкоджених та віддалених файлів.Використовуючи вбудовані алгоритми, утиліта знаходить та повертає до вихідного стану всю втрачену інформацію.

Програма QPhotoRec безкоштовна.

На жаль, є лише англомовна версія QPhotoRec, але розібратися в налаштуваннях зовсім нескладно, інтерфейс інтуїтивно зрозумілий.

1. Запустіть програму.
2. Позначте логічні диски із зашифрованою інформацією.
3. Натисніть кнопку File Formats та OK.
4. Виберіть за допомогою кнопки Browse, розташованої в нижній частині відкритого вікна, місце збереження файлів і запустіть процедуру відновлення, натиснувши Search.

QPhotoRec відновлює файли, видалені XTBL-шифрувальником та замінені на власні копії

Як розшифрувати файли - відео

Чого не слід робити

1. Ніколи не робіть дій, у яких не цілком упевнені.Краще запросіть спеціаліста з сервісного центру або самі відвезіть туди комп'ютер.
2. Не відкривайте повідомлення електронної пошти від невідомих відправників.
3. У жодному разі не йдіть на поводу у зловмисників-шантажистів, погоджуючись перерахувати їм гроші. Результату це, найімовірніше, не дасть.
4. Не перейменовуйте вручну розширення зашифрованих файлів і не поспішайте встановлювати заново Windows. Можливо, вдасться знайти рішення, яке виправить ситуацію.

Профілактика

Спробуйте встановити надійний захист від проникнення на ваш комп'ютер XTBL-шифрувальника та подібних вірусів-вимагачів. До таких програм належать:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

Незважаючи на те, що всі вони є англомовними, працювати з такими утилітами досить просто. Запустіть програму та виберіть у налаштуваннях рівень захисту.

Запуск програми та вибір рівня захисту

Якщо вам довелося зіткнутися з вірусом-вимагачем, що шифрує файли на комп'ютері, то, звичайно, не варто відразу зневірятися. Спробуйте використати запропоновані методи відновлення зіпсованої інформації. Найчастіше це дає позитивний результат. Не застосовуйте для видалення шифрувальника XTBL неперевірені програми невідомих розробників. Адже це може лише посилити ситуацію. По можливості встановіть на ПК одну із програм, що запобігають роботі вірусу, і проводьте постійне планове сканування Windows на наявність шкідливих процесів.

Боротьба з новими вірусними загрозами - шифрувальниками

Ми нещодавно писали про те, що в мережі поширюються нові загрози - віруси шифрувальники або більш розгорнуті віруси, що шифрують файли, більш докладно можна почитати про них на нашому сайті, за цим посиланням.

У цій темі ми розповімо, як можна повернути зашифровані вірусом дані, для цього використовуватимемо два дешифратори, від антивірусів "Касперського" та "доктора Веб", це найефективніші методи повернення зашифрованої інформації.

1. Качаємо утиліти для розшифрування файлів за посиланнями: Kaspersky та Dr.WEB

Або розшифратори для конкретного типу зашифрованих файлів.

2. Спочатку пробуватимемо розшифрувати файли за допомогою програми від Kaspersky:

2.1. Запускаємо програму декриптор Касперськогоякщо просить якісь дії, наприклад дозволу на запуск - запускаємо, якщо просить оновитися - оновлюємо, це збільшить шанси повернути зашифровані дані

2.2. У вікні програми для розшифровки файлів бачимо кілька кнопок. Налаштування додаткових параметрів та почати перевірку.

2.3. Якщо потрібно вибираємо додаткові параметри і вказуємо місця пошуку зашифрованих файлів і якщо потрібно видаляти після розшифровки, не раджу вибирати цю опцію, не завжди файли розшифровуються правильно!

2.4. Запускаємо перевірку та чекаємо на розшифровку наших зашифрованих вірусом даних.

3. Якщо з допомогою першого методу вийшло. Пробуємо розшифрувати файли за допомогою програми Dr. WEB

3.1. Після того як ви завантажили програму для розшифровки, покладіть її наприклад у корінь диска "С:", таким чином, файл "te102decrypt.exe" повинен бути доступний за адресою "c:\te102decrypt.exe"

3.2. Тепер заходимо до командного рядка(Пуск-Пошук-Вводимо "CMD" без лапок-запускаємо натисканням Ентер)

3.3. Для запуску розшифрування файлів прописуємо команду "c:\te102decrypt.exe -k 86 -e (код шифрувальника)". Код шифрувальника це розширення, додане до кінця файлу, наприклад " [email protected] _45jhj" - прописуємо без лапок і дужок, дотримуючись пробілів. Повинно вийти щось на кшталт c:\te102decrypt.exe -k 86 -e [email protected] _45jhj

3.4. Тиснемо Ентер і чекаємо на розшифровку файлів, які були зашифровані, в деяких випадках створюється кілька копій розшифрованих файлів, намагаєтеся запустити їх, копію розшифрованого файлу, яка відкриється нормально - зберігаєте, інше можна видалити.

Завантажити інші дешифратори файлів:

Увага:обов'язково збережіть копію зашифрованих файлів на зовнішньому носії чи іншому ПК. Нижче наведені дешифратори можуть не розшифрувати файли, а тільки зіпсувати їх!

Найкраще запускати дешифратор на віртуальній машині або спеціально підготовленому комп'ютері, попередньо завантаживши на них кілька файлів.

Подані нижче дешифратори працюють таким чином:Наприклад, ваші файли зашифровані шифратором amba і файли набули вигляду на кшталт "Договір.doc.amba" або "Рахунок.xls.amba", тоді завантажуємо дешифратор для файлів амба і просто запускаємо, він сам знайде всі файли з цим розширенням і розшифрує, але повторюся, убезпечте себе і попередньо зробіть копію зашифрованих файлів, інакше ви можете втратити неправильно розшифровані дані назавжди!

Якщо ви не хочете ризикувати, то відправте кілька файлів нам, заздалегідь зв'язавшись з нами за формою зворотного зв'язку, ми запустимо дешифратор на спеціально підготовленому комп'ютері ізольованим від інтернету.

Представлені файли були перевірені антивірусом останньої версії Касперського і з останніми оновленнями баз.

Якщо на комп'ютері з'явилося текстове повідомлення, в якому написано, що файли зашифровані, то не поспішайте панікувати. Які ознаки шифрування файлів? Звичне розширення змінюється на *.vault, *.xtbl, * [email protected] _XO101 і т.д. Відкрити файли не можна – потрібен ключ, який можна придбати, надіславши листа на вказану в повідомленні адресу.

Звідки у вас зашифровані файли?

Комп'ютер підхопив вірус, який закрив доступ до інформації. Часто антивіруси їх пропускають, тому що в основі цієї програми зазвичай лежить якась невинна безкоштовна утиліта шифрування. Сам вірус ви видалите досить швидко, але з розшифровкою інформації можуть виникнути серйозні проблеми.

Технічна підтримка Лабораторії Касперського, Dr.Web та інших відомих компаній, які займаються розробкою антивірусного програмного забезпечення, у відповідь на прохання користувачів розшифрувати дані повідомляє, що зробити це за прийнятний час неможливо. Є кілька програм, які можуть підібрати код, але вони вміють працювати тільки з раніше вивченими вірусами. Якщо ви зіткнулися з новою модифікацією, то шансів на відновлення доступу до інформації надзвичайно мало.

Як вірус-шифрувальник потрапляє на комп'ютер?

У 90% випадків користувачі самі активують вірус на комп'ютері, відкриваючи невідомі листи. Після цього на e-mail приходить послання з провокаційною темою – «Порядок денний до суду», «Заборгованість за кредитом», «Повідомлення з податкової інспекції» тощо. Усередині фейкового листа є вкладення, після завантаження якого шифрувальник потрапляє на комп'ютер і починає поступово закривати доступ до файлів.

Шифрування не відбувається миттєво, тому користувачі мають час, щоб видалити вірус до того, як буде зашифрована вся інформація. Знищити шкідливий скрипт можна за допомогою чистячих утиліт Dr.Web CureIt, Kaspersky Internet Security та Malwarebytes Antimalware.

Способи відновлення файлів

Якщо на комп'ютері був увімкнений захист системи, то навіть після дії вірусу-шифрувальника є шанси повернути файли в нормальний стан, використовуючи тіньові копії файлів. Шифрувальники зазвичай намагаються їх видалити, але іноді їм не вдається це зробити через відсутність повноважень адміністратора.

Відновлення попередньої версії:

Щоб попередні версії зберігалися, потрібно увімкнути захист системи.

Важливо: захист системи має бути включений до появи шифрувальника, після цього вже не допоможе.

1. Відкрийте властивості "Комп'ютера".
2. У меню зліва виберіть «Захист системи».
   
3. Перейдіть до диска C і натисніть «Налаштувати».
4. Виберіть відновлення параметрів та попередніх версій файлів. Застосуйте зміни, натиснувши кнопку «Ок».

Якщо ви здійснили ці заходи до появи вірусу, що зашифровує файли, то після очищення комп'ютера від шкідливого коду у вас будуть хороші шанси на відновлення інформації.

Використання спеціальних утиліт

Лабораторія Касперського підготувала кілька утиліт, які допомагають відкрити зашифровані файли після видалення вірусу. Перший дешифратор, який варто спробувати застосувати – Kaspersky RectorDecryptor.

1. Завантажте програму із офіційного сайту Лабораторії Касперського.
2. Після запустіть утиліту та натисніть «Почати перевірку». Вкажіть шлях до будь-якого зашифрованого файлу.

Якщо шкідлива програма не змінила розширення файлів, то для розшифровки необхідно зібрати їх в окрему папку. Якщо утиліта RectorDecryptor, завантажте з офіційного сайту Касперського ще дві програми - XoristDecryptor та RakhniDecryptor.

Остання утиліта від Лабораторії Касперського називається Ransomware Decryptor. Вона допомагає розшифрувати файли після вірусу CoinVault, який поки що не дуже поширений у Рунеті, але незабаром може замінити інші трояни.