- Як вірус-шифрувальник проникає на комп'ютер
- Що таке вірус-шифрувальник
- Мій комп'ютер заражений вірусом-шифрувальником?
- Як розшифрувати файли зашифровані вірусом-шифрувальником?
- Як видалити вірус-шифрувальник?
- 5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool
- 5.2. Видалити вірус-шифрувальник за допомогою Malwarebytes Anti-malware
- Як відновити файли зашифровані вірусом-шифрувальником?
- 6.1. Відновити зашифровані файли використовуючи ShadowExplorer
- 6.2. Відновити зашифровані файли використовуючи PhotoRec
- Як запобігти зараженню комп'ютера вірусом-шифрувальником?
- Кілька фінальних слів
Вірус-шифрувальник - це шкідлива програма, яка при своїй активізації шифрує всі персональні файли, такі як документи, фотографії і тд. Кількість подібних програм дуже велике і воно збільшується з кожним днем. Тільки останнім часом ми зіткнулися з десятками варіантами шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff і т.д. Мета таких вірусів-шифрувальників змусити користувачів купити, часто за велику суму грошей, програму і ключ необхідні для розшифровки власних файлів.
Звичайно можна відновити зашифровані файли просто виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, так само потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І звичайно, просто неприємно платити за відновлення своїх власних файлів.
Нижче ми більш детально розповімо про віруси-шифрувальник, способі їх проникнення на комп'ютер жертви, а так само про те, як видалити вірус-шифрувальник і відновити зашифровані їм файли.
Як вірус-шифрувальник проникає на комп'ютер?
Що таке вірус-шифрувальник?
Мій комп'ютер заражений вірусом-шифрувальником?
Як розшифрувати файли зашифровані вірусом-шифрувальником?
Як видалити вірус-шифрувальник?
Як відновити файли зашифровані вірусом-шифрувальником?
Як запобігти зараженню комп'ютера вірусом-шифрувальником?
Як вірус-шифрувальник проникає на комп'ютер
Вірус-шифрувальник зазвичай поширюється за допомогою електронної пошти. Лист містить заражені документи. Такі листи розсилаються по величезній базі адрес електронної пошти. Автори цього вірусу використовують вводити в оману заголовки і зміст листів, намагаючись обманом змусити користувача відкрити вкладений в лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитися свіжий прайс-лист, треті відкрити веселу фотографію і т.д. У будь-якому випадку, результатом відкриття прикріпленого файлу буде зараження комп'ютера вірусом-шифрувальником.
Що таке вірус-шифрувальник
Вірус-шифрувальник - це шкідлива програма, яка вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ці віруси намагаються використовувати якомога більше стійкі режими шифрування, наприклад RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійної розшифровки файлів.
Під час зараження комп'ютера, вірус-шифрувальник використовує системний каталог% APPDATA% для зберігання власних файлів. Для автоматичного запуску себе бреши включенні комп'ютера, шифрувальник створює запис в реєстрі Windows: розділах HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві і хмарні сховища, для визначення файлів які будуть зашифровані. Вірус-шифрувальник використовує розширення імені файлу, як спосіб визначення групи файлів, які будуть піддані зашифровки. Шифруються практично всі види файлів, включаючи такі поширені як:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Відразу після того як файл зашифрований він отримує нове розширення, за яким часто можна ідентифікувати ім'я або тип шифрувальника. Деякі типи цих шкідливих програм можуть так само змінювати імена зашифрованих файлів. Потім вірус створює текстовий документ з іменами подібними HELP_YOUR_FILES, README, який містить інструкцію по розшифровці зашифрованих файлів.
Під час своєї роботи вірус-шифрувальник намагається закрити можливість відновити файли використовуючи систему SVC (тіньові копії файлів). Для цього вірус в командному режимі викликає утиліту адміністрування тіньових копій файлів з ключем запускає процедуру їх повного видалення. Таким чином, практично завжди, неможливо відновити файли за допомогою використання їх тіньових копій.
Вірус-шифрувальник активно використовує тактику залякування, даючи жертві посилання на опис алгоритму шифрування і показуючи загрозливе повідомлення на робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, вислати ID комп'ютера на адресу електронної пошти автора вірусу, для спроби повернути свої файли. Відповіддю на таке повідомлення найчастіше є сума викупу і адреса електронного гаманця.
Мій комп'ютер заражений вірусом-шифрувальником?
Визначити заражений комп'ютер чи ні вірусом-шифрувальником досить легко. Зверніть увагу на розширення ваших персональних файлів, таких як документи, фотографії, музика і т.д. Якщо розширення змінилося або ваші персональні файли пропали, залишивши після себе безліч файлів з невідомими іменами, то комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям HELP_YOUR_FILES або README в ваших каталогах. Цей файл буде містити інструкцію по розшифровці файлів.
Якщо ви підозрюєте, що відкрили лист заражене вірусом шифрувальником, але симптомів зараження поки немає, то не вимикайте і не перезавантажувати комп'ютер. Виконайте кроки описані в цій інструкції, розділ Як видалити вірус-шифрувальник . Ще раз повторюся, дуже важливо не вимикати комп'ютер, в деяких типах шифрувальників процес зашифровуваної файлів активізується при першому, після зараження, включенні комп'ютера!
Як розшифрувати файли зашифровані вірусом-шифрувальником?
Якщо ця біда трапилася, то не потрібно панікувати! Але потрібно знати, що в більшості випадків безкоштовного расшифровщика немає. Виною цьому, стійкі алгоритми шифрування, які використовуються подібними шкідливими програмами. Це означає без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа так само не вихід, через велику довжину ключа. Тому, на жаль, тільки оплата авторам вірусу всій запитаної суми - єдиний спосіб спробувати отримати ключ розшифровки.
Звичайно, немає абсолютно ніякої гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ необхідний для розшифровки ваших файлів. Крім цього потрібно розуміти, що сплачуючи гроші розробникам вірусів, ви самі змушуєте їх на створення нових вірусів.
Як видалити вірус-шифрувальник?
Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу і спробі самостійного відновлення файлів, ви блокуєте можливість розшифрувати файли заплативши авторам вірусу запитану ними суму.
Kaspersky Virus Removal Tool і Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, АЛЕ вони не можуть відновити зашифровані файли.
5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool
скачайте програму Kaspersky Virus Removal Tool . Після закінчення завантаження запустіть завантажений файл.
Клацніть по кнопці Почати перевірку для запуску сканування вашого комп'ютера на наявність вірусу-шифрувальника.
Дочекайтеся закінчення цього процесу і видаліть знайдених зловредів.
5.2. Видалити вірус-шифрувальник за допомогою Malwarebytes Anti-malware
скачайте програму Malwarebytes Anti-malware . Після закінчення завантаження запустіть завантажений файл.
Клацніть по кнопці Далі і дотримуйтесь вказівок програми. Після закінчення установки ви побачите основний екран програми.
Запуститися процедура поновлення програми. Коли вона закінчитися натисніть кнопку Запустити перевірку. Malwarebytes Anti-malware почне перевірку вашого комп'ютера.
Відразу після закінчення перевірки комп'ютера програма Malwarebytes Anti-malware відкриє список знайдених компонентів вірусу-шифрувальника.
Клацніть по кнопці Видалити вибране для очищення вашого комп'ютера. Під час видалення шкідливих програм, Malwarebytes Anti-malware може зажадати перезавантажити комп'ютер для продовження процесу. Підтвердіть це, вибравши Так.
Після того як комп'ютер запуститися знову, Malwarebytes Anti-malware автоматично продовжить процес лікування.
Як відновити файли зашифровані вірусом-шифрувальником?
В деяких випадках можна відновити файли зашифровані вірусом-шифрувальником. Спробуйте обидва методи.
6.1. Відновити зашифровані файли використовуючи ShadowExplorer
ShadowExplorer - це невелика утиліта дозволяє відновлювати тіньові копії файлів, які створюються автоматично операційною системою Windows (7-10). Це дозволить вам відновити початковий стан зашифрованих файлів.
скачайте програму ShadowExplorer . Програма знаходитися в zip архіві. Тому клікніть по викачаного файлу правою клавішею і виберіть пункт Витягти все. Потім відкрийте папку ShadowExplorerPortable.
Запустіть ShadowExplorer. Виберіть потрібний вам диск і дату створення тіньових копій, відповідно цифра 1 і 2 на малюнку нижче.
Клацніть правою клавішею миші по каталогу або файлу, копію якого ви хочете відновити. В меню оберіть Export.
І останнє, виберіть папку в яку буде скопійований відновлений файл.
6.2. Відновити зашифровані файли використовуючи PhotoRec
PhotoRec це безкоштовна програма, створена для відновлення видалених і втрачених файлів. Використовуючи її, можна відновити вихідні файли, які віруси-шифрувальники видалили після створення їх зашифрованих копій.
скачайте програму PhotoRec . Програма знаходитися в архіві. Тому клікніть по викачаного файлу правою клавішею і виберіть пункт Витягти все. Потім відкрийте папку testdisk.
У списку файлів знайдіть QPhotoRec_Win і запустіть її. Відкриється вікно програми в якому будуть показані всі розділи доступних дисків.
У списку розділів виберіть той, на якому знаходяться зашифровані файли. Після чого клацніть на кнопці File Formats.
За замовчуванням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити тільки типи файлів, які вам потрібно відновити. Завершивши вибір натисніть кнопку OK.
У нижній частині вікна програми QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог в який будуть збережені відновлені файли. Бажано використовувати диск на якому не перебувають зашифровані файли вимагають відновлення (можете використовувати флешку або зовнішній диск).
Для запуску процедури пошуку і відновлення вихідних копій зашифрованих файлів натисніть кнопку Search. Цей процес триває досить довго, так що наберіться терпіння.
Коли пошук буде закінчено, натисніть кнопку Quit. Тепер відкрийте папку, яку ви вибрали для збереження відновлених файлів.
У папці будуть перебувати каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і тд. Чим більше файлів знайде програма, тим більше буде і каталогів. Для пошуку потрібних вам файлів, послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (на основі вмісту файлів), а так само не забувайте про функції сортування файлів в каталогах. Як параметр сортування можна вибрати дату зміни файлу, так як QPhotoRec при відновленні файлу намагається відновити цю властивість.
Як запобігти зараженню комп'ютера вірусом-шифрувальником?
Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення і активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, то обов'язково її встановіть. Як її вибрати можете дізнатися прочитавши цю статтю .
Більш того, існують і спеціалізовані захисні програми. Наприклад це CryptoPrevent, докладніше тут .
Кілька фінальних слів
Виконавши цю інструкцію ваш комп'ютер буде очищений від вірусу-шифрувальника. Якщо у вас з'явилися питання або вам необхідна допомога, то звертайтеся на наш форум .
Як розшифрувати файли зашифровані вірусом-шифрувальником?Як видалити вірус-шифрувальник?
Як вірус-шифрувальник проникає на комп'ютер?
Що таке вірус-шифрувальник?
Мій комп'ютер заражений вірусом-шифрувальником?
Як розшифрувати файли зашифровані вірусом-шифрувальником?
Як видалити вірус-шифрувальник?
Як відновити файли зашифровані вірусом-шифрувальником?
Як запобігти зараженню комп'ютера вірусом-шифрувальником?
Мій комп'ютер заражений вірусом-шифрувальником?