Всем привет сегодня расскажу как расшифровать файлы после вируса в Windows . Одна из самых проблемных вредоносных программ сегодня - это троян или вирус, шифрующий файлы на диске пользователя. Некоторые из этих файлов расшифровать возможно, а некоторые - пока нет. В статье я опишу возможные алгоритмы действий в обоих ситуациях.
Есть несколько модификаций этого вируса, но общая суть работы сводится к тому, что после установки на компьютер ваши файлы документов, изображений и другие, потенциально являющиеся важными, шифруются с изменением расширения, после чего вы получаете сообщение о том, что все ваши файлы были зашифрованы, а для их расшифровки вам требуется отправить определенную сумму злоумышленнику.
Файлы на компьютере зашифрованы в xtbl
Один из последних вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением.xtbl и именем, состоящим из случайного набора символов.
Заодно на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием: «Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес [email protected], [email protected] или [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать файлы самостоятельно приведут к безвозвратной потере информации» (адрес почты и текст могут отличаться).
К сожалению, способа расшифровать.xtbl на данный момент нет (как только он появится, инструкция будет обновлена). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5000 рублей или другую требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.
Что делать, если файлы были зашифрованы в.xtbl? Мои рекомендации выглядят следующим образом (но они отличаются от тех, что есть на многих других тематических сайтах, где, например, рекомендуют немедленно выключить компьютер из электросети или не удалять вирус. На мой взгляд - это лишнее, а при некотором стечении обстоятельств может быть даже вредным, однако решать вам.):
- Если умеете, прервать процесс шифрования, сняв соответствующие задачи в диспетчере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
- Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
- С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
- Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
- Можно так же отправить пример зашифрованного файла и требуемый код на [email protected], если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.
Чего делать не следует:
- Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.
Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением.xtbl на данный момент времени.
Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni
Следующий троян, шифрующий файлы и устанавливающий им расширения из этого списка:
- .locked
- .crypto
- .kraken
- .AES256 (не обязательно этот троян, есть и другие, устанавливающие это же расширение).
- .codercsu@gmail_com
- .oshit
- И другие.
Для расшифровки файлов после работы указанных вирусов, на сайте Касперского есть бесплатная утилита RakhniDecryptor, доступная на официальной странице http://support.kaspersky.ru/viruses/disinfection/10556.
Там же присутствует и подробная инструкция по применению данной утилиты, показывающая, как восстановить зашифрованные файлы, из которой я бы, на всякий случай убрал пункт «Удалять зашифрованные файлы после успешной расшифровки» (хотя, думаю и с установленной опцией все будет в порядке).
Если у вас есть лицензия антивируса Dr.Web вы можете воспользоваться бесплатной расшифровкой от этой компании на странице http://support.drweb.com/new/free_unlocker/
Еще варианты вируса-шифровальщика
Реже, но также встречаются следующие трояны, шифрующие файлы и требующие деньги за расшифровку. По приведенным ссылкам есть не только утилиты для возврата ваших файлов, но и описание признаков, которые помогут определить, что у вас именно этот вирус. Хотя вообще, оптимальный путь: с помощью антивируса Касперского просканировать систему, узнать имя трояна по классификации этой компании, а потом искать утилиту по этому имени.
- Trojan-Ransom.Win32.Rector - бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist - аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице http://support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - утилита RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами - попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницуhttp://support.drweb.com/new/free_unlocker/
- CryptoLocker - для расшифровки файлов после работы CryptoLocker, вы можете использовать сайтhttp://decryptcryptolocker.com - после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.
Ну и из последних новостей - Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается.
Кстати, если вдруг окажется, что вам есть что добавить (потому как я могу не успевать мониторить то, что происходит со способами дешифровки), сообщайте в комментариях, эта информация будет полезна другим пользователям, столкнувшимся с проблемой.
Сами по себе вирусы как компьютерная угроза сегодня никого не удивляют. Но если раньше они воздействовали на систему в целом, вызывая сбои в ее работоспособности, сегодня, с появлением такой разновидности, как вирус-шифровальщик, действия проникающей угрозы касаются больше пользовательских данных. Он представляет собой, быть может, даже большую угрозу, чем деструктивные для Windows исполняемые приложения или шпионские апплеты.
Что такое вирус-шифровальщик?
Сам по себе код, прописанный в самокопирующемся вирусе, предполагает шифрование практически всех пользовательских данных специальными криптографическими алгоритмами, не затрагивающее системные файлы операционной системы.
Сначала логика воздействия вируса многим была не совсем понятна. Все прояснилось только тогда, когда хакеры, создававшие такие апплеты, начали требовать за восстановление начальной структуры файлов деньги. При этом сам проникший вирус-шифровальщик расшифровать файлы в силу своих особенностей не позволяет. Для этого нужен специальный дешифратор, если хотите, код, пароль или алгоритм, требуемый для восстановления искомого содержимого.
Принцип проникновения в систему и работы кода вируса
Как правило, «подцепить» такую гадость в Интернете достаточно трудно. Основным источником распространения «заразы» является электронная почта на уровне инсталлированных на конкретном компьютерном терминале программ вроде Outlook, Thunderbird, The Bat и т. д. Заметим сразу: почтовых интернет-серверов это не касается, поскольку они имеют достаточно высокую степень защиты, а доступ к пользовательским данным возможен разве что на уровне
Другое дело - приложение на компьютерном терминале. Вот тут-то для действия вирусов поле настолько широкое, что и представить себе невозможно. Правда, тут тоже стоит сделать оговорку: в большинстве случаев вирусы имеют целью крупные компании, с которых можно «содрать» деньги за предоставление кода расшифровки. Это и понятно, ведь не только на локальных компьютерных терминалах, но и на серверах таких фирм может храниться не то что полностью но и файлы, так сказать, в единственном экземпляре, не подлежащие уничтожению ни в коем случае. И тогда расшифровка файлов после вируса-шифровальщика становится достаточно проблематичной.
Конечно, и рядовой пользователь может подвергнуться такой атаке, но в большинстве случаев это маловероятно, если соблюдать простейшие рекомендации по открытию вложений с расширениями неизвестного типа. Даже если почтовый клиент определяет вложение с расширением.jpg как стандартный графический файл, сначала его обязательно нужно проверить штатным установленным в системе.
Если этого не сделать, при открытии двойным кликом (стандартный метод) запустится активация кода, и начнется процесс шифрования, после чего тот же Breaking_Bad (вирус-шифровальщик) не только будет невозможно удалить, но и файлы после устранения угрозы восстановить не удастся.
Общие последствия проникновения всех вирусов такого типа
Как уже говорилось, большинство вирусов этого типа проникают в систему через электронную почту. Ну вот, допустим, в крупную организацию, на конкретный зарегистрированный мэйл приходит письмо с содержанием вроде «Мы изменили контракт, скан во вложении» или «Вам отправлена накладная по отгрузке товара (копия там-то)». Естественно, ничего не подозревающий сотрудник открывает файл и…
Все пользовательские файлы на уровне офисных документов, мультимедиа, специализированных проектов AutoCAD или еще каких-либо архиважных данных моментально зашифровываются, причем, если компьютерный терминал находится в локальной сети, вирус может передаваться и дальше, шифруя данные на других машинах (это становится заметным сразу по «торможению» системы и зависанию программ или запущенных в данный момент приложений).
По окончании процесс шифрования сам вирус, видимо, отсылает своеобразный отчет, после чего компании может прийти сообщение о том, что в систему проникла такая-то и такая-то угроза, и что расшифровать ее может только такая-то организация. Обычно это касается вируса [email protected]. Дальше идет требование оплатить услуги по дешифровке с предложением отправки нескольких файлов на электронную почту клиента, чаще всего являющуюся фиктивной.
Вред от воздействия кода
Если кто еще не понял: расшифровка файлов после вируса-шифровальщика - процесс достаточно трудоемкий. Даже если не «вестись» на требования злоумышленников и попытаться задействовать официальные государственные структуры по борьбе с компьютерными преступлениями и их предотвращению, обычно ничего путного не получается.
Если удалить все файлы, произвести и даже скопировать оригинальные данные со съемного носителя (естественно, если таковая копия имеется), все равно при активированном вирусе все будет зашифровано заново. Так что особо обольщаться не стоит, тем более что при вставке той же флешки в USB-порт пользователь даже не заметит, как вирус зашифрует данные и на ней. Вот тогда точно проблем не оберешься.
Первенец в семействе
Теперь обратим внимание на первый вирус-шифровальщик. Как вылечить и расшифровать файлы после воздействия исполняемого кода, заключенного во вложении электронной почты с предложением знакомства, в момент его появления никто еще не думал. Осознание масштабов бедствия пришло только со временем.
Тот вирус имел романтическое название «I Love You». Ничего не подозревающий юзер открывал вложение в месседже «элетронки» и получал полностью невоспроизводимые файлы мультимедиа (графика, видео и аудио). Тогда, правда, такие действия выглядели более деструктивными (нанесение вреда пользовательским медиа-библиотекам), да и денег за это никто не требовал.
Самые новые модификации
Как видим, эволюция технологий стала достаточно прибыльным делом, особенно если учесть, что многие руководители крупных организаций моментально бегут оплачивать действия по дешифрации, совершенно не думая о том, что так можно лишиться и денег, и информации.
Кстати сказать, не смотрите на все эти «левые» посты в Интернете, мол, "я оплатил/оплатила требуемую сумму, мне прислали код, все восстановилось". Чушь! Все это пишут сами разработчики вируса с целью привлечения потенциальных, извините, «лохов». А ведь, по меркам рядового юзера, суммы для оплаты достаточно серьезные: от сотни до нескольких тысяч или десятков тысяч евро или долларов.
Теперь посмотрим на новейшие типы вирусов такого типа, которые были зафиксированы относительно недавно. Все они практически похожи и относятся не только к категории шифровальщиков, но еще и к группе так называемых вымогателей. В некоторых случаях они действуют более корректно (вроде paycrypt), вроде бы высылая официальные деловые предложения или сообщения о том, что кто-то заботится о безопасности пользователя или организации. Такой вирус-шифровальщик своим сообщением просто вводит юзера в заблуждение. Если тот предпримет хоть малейшее действие по оплате, все - «развод» будет по полной.
Вирус XTBL
Относительно недавно появившийся можно отнести к классическому варианту шифровальщика. Как правило, он проникает в систему через сообщения электронной почты, содержащие вложения в виде файлов с которое является стандартным для скринсейвера Windows. Система и пользователь думают, что все в порядке, и активируют просмотр или сохранение вложения.
Увы, это приводит к печальным последствиям: имена файлов преобразуются в набор символов, а к основному расширению добавляется еще.xtbl, после чего на искомый адрес почты приходит сообщение о возможности дешифровки после оплаты указанной суммы (обычно 5 тысяч рублей).
Вирус CBF
Данный тип вируса тоже относится к классике жанра. Появляется он в системе после открытия вложений электронной почты, а затем переименовывает пользовательские файлы, добавляя в конце расширение вроде.nochance или.perfect.
К сожалению, расшифровка вируса-шифровальщика такого типа для анализа содержимого кода даже на стадии его появления в системе не представляется возможной, поскольку после завершения своих действий он производит самоликвидацию. Даже такое, как считают многие, универсальное средство, как RectorDecryptor, не помогает. Опять же пользователю приходит письмо с требованием оплаты, на что дается два дня.
Вирус Breaking_Bad
Этот тип угроз работает по той же схеме, но переименовывает файлы в стандартном варианте, добавляя к расширению.breaking_bad.
Этим ситуация не ограничивается. В отличие от предыдущих вирусов, этот может создавать и еще одно расширение - .Heisenberg, так что найти все зараженные файлы не всегда можно. Так что Breaking_Bad (вирус-шифровальщик) является достаточно серьезной угрозой. Кстати сказать, известны случаи, когда даже лицензионный пакет Kaspersky Endpoint Security 10 пропускает угрозу этого типа.
Вирус [email protected]
Вот еще одна, пожалуй, самая серьезная угроза, которая направлена большей частью на крупные коммерческие организации. Как правило, в какой-то отдел приходит письмо, содержащее вроде бы изменения к договору о поставке, или даже просто накладная. Вложение может содержать обычный файл.jpg (типа изображение), но чаще - исполняемый скрипт.js (Java-апплет).
Как расшифровать вирус-шифровальщик этого типа? Судя по тому, что там применяется некий неизвестный алгоритм RSA-1024, никак. Если исходить из названия, можно предположить, что это 1024-битная система шифрования. Но, если кто помнит, сегодня самой совершенной считается 256-битная AES.
Вирус-шифровальщик: как вылечить и расшифровать файлы при помощи антивирусного ПО
На сегодняшний день для расшифровки угроз такого типа решений пока не найдено. Даже такие мэтры в области антивирусной защиты, как Kaspersky, Dr. Web и Eset, не могут найти ключ к решению проблемы, когда в системе наследил вирус-шифровальщик. Как вылечить файлы? В большинстве случаев предлагается отправить запрос на официальный сайт разработчика антивируса (кстати, только при наличии в системе лицензионного ПО этого разработчика).
При этом нужно прикрепить несколько зашифрованных файлов, а также их "здоровые" оригиналы, если таковые имеются. В целом же, по большому счету мало кто сохраняет копии данных, так что проблема их отсутствия только усугубляет и без того нелицеприятную ситуацию.
Возможные способы идентификации и устранения угрозы вручную
Да, сканирование обычными антивирусами угрозы определяет и даже удаляет их из системы. Но что делать с информацией?
Некоторые пытаются использовать программы-дешифраторы вроде упомянутой уже утилиты RectorDecryptor (RakhniDecryptor). Отметим сразу: это не поможет. А в случае с вирусом Breaking_Bad так и вовсе может только навредить. И вот почему.
Дело в том, что люди, создающие такие вирусы, пытаются обезопасить себя и дать наставление другим. При использовании утилит для дешифровки вирус может отреагировать таким образом, что вся система «слетит», причем с полным уничтожением всех данных, хранящихся на жестких дисках или в логических разделах. Это, так сказать, показательный урок в назидание всем тем, кто не хочет платить. Остается надеяться только на официальные антивирусные лаборатории.
Кардинальные методы
Впрочем, если уж дела совсем плохи, придется информацией пожертвовать. Чтобы полностью избавиться от угрозы, нужно отформатировать весь винчестер, включая виртуальные разделы, после чего установить «операционку» заново.
К сожалению, иного выхода нет. Даже до определенной сохраненной точки восстановления не поможет. Вирус, может быть, и исчезнет, но файлы так и останутся зашифрованными.
Вместо послесловия
В заключение стоит отметить, что ситуация такова: вирус-шифровальщик проникает в систему, делает свое черное дело и не лечится никакими известными способами. Антивирусные средства защиты оказались не готовы к такому типу угроз. Само собой разумеется, что обнаружить вирус после его воздействия или удалить можно. Но зашифрованная информация так и останется в неприглядном виде. Так что хочется надеяться, что лучшие умы компаний-разработчиков антивирусного ПО все-таки найдут решение, хотя, судя по алгоритмам шифрования, сделать будет очень непросто. Вспомнить хотя бы шифровальную машину Enigma, которая во времена Второй мировой войны была у немецкого флота. Лучшие криптографы не могли решить проблему алгоритма для дешифровки сообщений, пока не заполучили устройство в свои руки. Так обстоят дела и тут.
Вирусы сами по себе сегодня уже практически никого не удивляют. Если раньше они воздействовали в целом на всю систему, то сегодня имеются различные разновидности вирусов. Одной из таких разновидностей является вирус-шифровальщик. Действие проникающей угрозы касается больше пользовательской информации. Однако он может нести большую угрозу, чем деструктивные исполняемые приложения и шпионские апплеты. Что же представляет собой вирус-шифровальщик? Сам по себе код, который прописан в самокопирующемся вирусе предполагает шифрование всей пользовательской информации специальными криптографическими алгоритмами, которые не затрагивают системные файлы собственно самой операционной системы.
Логика воздействия вируса может быть понятна не всем. Все прояснилось, когда хакеры, которые разработали данные апплеты, начали требовать некоторую сумму за восстановление начальной структуры файлов. При этом проникший в систему шифровальщик не позволяет расшифровать файлы. Для этого потребуется специальный дешифратор, или иначе говоря специальный алгоритм, с помощью которого можно будет восстановить содержимое.
Шифровальщик: принцип проникновения в системы и работа вируса
Подцепить такую заразу в Интернете, как правило, довольно сложно. В основном данный тип вирусов передается по электронной почте на уровне установленных на одном компьютерном терминале клиентов, вроде the Bat, Outlook, Thunderbird. Стоит сразу отметить, что это не касается почтовых интернет-серверов так как они имеют довольно высокую степень защиты. Доступ к информации пользователя осуществляется только на уровне облачных хранилищ информации. Совсем другое дело – приложение на конкретном компьютерном терминале.
Поле деятельности для развития вирусов настолько широко, что и представить сложно. Однако здесь нужно сделать небольшую оговорку. В большинстве случаев целью вирусов являются крупные организации и компании, которые смогут заплатить значительную сумму за расшифровку личной информации. Оно и ясно, ведь на компьютерных терминалах и серверах компьютерных фирм хранится конфиденциальная информация и файлы в единственном экземпляре, которые ни в коем случае не подлежат удалению. В этом случае расшифровка файлов после действия вируса-шифровальщика может быть довольно проблематична. Конечно, такой атаке может подвергнуться и рядовой пользователь, хотя это маловероятно, особенно если пользователь соблюдает простейшие рекомендации по работе с вложениями неизвестного типа.
Даже в том случае, если почтовый клиент определяет вложения, например, как файлы с расширением.jpg или другим графическим расширением, то сначала лучше проверить данный файл штатным антивирусом, используемым в системе. Если не сделать этого, то после открытия файла вложения двойным кликом, может запуститься активация кода и начнется процесс шифрования. После этого будет невозможно удалить сам вирус-шифровальщик и восстановить файлы после устранения угрозы.
Общие последствия от воздействия вируса-шифровальщика
Как уже было сказано ранее, большая часть вирусов проникает в систему посредством электронной почты. Предположим, на почту крупной организации приходит письмо с содержанием вроде «Контракт изменен, в письме прилагается скан» или «Вам отправлена накладная по отгрузке товара». Ничего не подозревающий сотрудник фирмы просто открывает приложенный файл и после этого все пользовательские файлы моментально зашифровываются. Это все файлы, от офисных документов, до архивов и мультимедиа. Все важные данные зашифровываются, причем, если компьютерный терминал подключен к локальной сети, то вирус может передаваться дальше, зашифровывая при этом данные на других машинах.
Выполнение данного процесса можно заметить по затормаживанию и зависанию программ, запущенных на компьютерном терминале в данный момент. Когда процесс шифрования будет завершен, вирус отсылает своеобразный отчет, после чего организации придет сообщение о том, что в систему проникла угроза, и чтобы расшифровать файлы необходимо обратиться к разработчику вируса. Как правило, это касается вируса [email protected]. Далее будет приведено требование оплатить услуги по дешифровке. Пользователю будет предложено отправить несколько зашифрованных файлов на электронную почту, которая скорее всего является фиктивной.
Урон от воздействия вируса
Если вы еще не до конца разобрались с сутью проблемы, то следует отметить, что расшифровка файлов после действия вируса-шифровальщика представляет собой достаточно трудоемкий процесс. Если же пользователь не будет вестись на требования злоумышленников, а вместо этого попытается задействовать государственные структуры по борьбе с компьютерными преступлениями, ничего толкового не выйдет. Если попробовать удалить с компьютера все данные, а после этого выполнить восстановление системы и скопировать оригинальную информацию со съемного носителя, то все равно вся информация затем будет заново зашифрована. Так что не стоит особо обольщаться на этот счет. Кроме того, при вставке флэш-накопителя в USB порт пользователь даже не заметит, что вирус зашифрует на нем все данные. Тогда проблем станет еще больше.
Первый вирус-шифровальщик
Рассмотрим, что собой представлял первый вирус-шифровальщик. Во время его появления никто не думал, как можно вылечить или расшифровать файлы после воздействия исполняемого кода, который был заключен во вложении электронной почты. Только со временем пришло осознание всего масштаба бедствия. Первый вирус-шифровальщик имел довольно романтичное название «I Love You». Пользователь, который ничего не подозревал, просто открывал вложение в письме, пришедшем по электронной почте и в результате получал полностью невоспроизводимые файлы мультимедиа (видео, графику и аудио). Такие действия выглядели более деструктивными, однако денег за расшифровку данных в то время никто не требовал.
Новейшие модификации
Эволюция технологий стала довольно прибыльным занятием, в особенности если учесть тот факт, что многие руководители крупных фирм спешат как можно скорее заплатить злоумышленникам требуемую сумму, при этом даже не задумываясь о том, что они могут остаться и без денег, и без нужной информации. Не стоит верить всем этим левым постам в интернете, вроде «Я оплатил требуемую сумму, мне выслали дешифратор, и вся информация восстановилась». Все это чушь. В основном такие отзывы пишут сами разработчики вирусов с целью привлечения потенциальных жертв. По меркам рядовых пользователей, суммы, которые злоумышленники требуют за дешифровку данных, довольно серьезные. Она может достигать нескольких тысяч долларов или евро. Теперь рассмотрим, в чем заключаются особенности новейших вирусов такого типа. Все они схожи между собой и могут относится не только к категории вирусов-шифровальщиков, но и к так называемой категории вымогателей. Действуют они в некоторых случаях вполне корректно, высылая пользователю сообщения о том, что кто-то хочет позаботиться о сохранности информации организации или пользователя. Своими сообщениями такой вирус-шифровальщик просто вводит пользователей в заблуждение. Однако если пользователь заплатит требуемую сумму, его попросту «разведут».
Вирус XTBL
Вирус XTBL, который появился относительно недавно, можно отнести к классическому варианту вирусов шифровальщиков. Такие объекты, как правило, проникают в систему через сообщения, передаваемые по электронной почте. Сообщения могут содержать вложения файлов, имеющих расширение.scr. Данное расширение является стандартным для скринсейвера Windows. Пользователь думает, что все в порядке и активирует просмотр или сохраняет данное вложение. Данная операция может привести к довольно печальным последствия. Названия файлов преобразуются в простой набор символов. К основному расширению файлов добавляется комбинация.xtbl. После этого на искомый адрес приходит сообщение о возможности дешифровки после оплаты некоторой суммы.
Этот тип вируса также можно отнести к классическим шифровальщикам. Он появляется в системе после открытия вложений электронной почты. Данный вирус также переименовывает файлы пользователя и добавляет в конце расширения сочетание вроде.perfect и.nonchance. Расшифровка вируса-шифровальщика такого типа, к сожалению, не представляется возможной. После выполнения всех действий он просто самоликвидируется. Не помогает даже такое универсальное средство, как RectorDecryptor. Пользователь получает письмо с требованием оплаты. На оплату пользователю дается два дня.
Вирус Breaking_Bad
Данный тип угрозы работает по уже привычной схеме. Он переименовывает файлы пользователя, добавляя к расширению комбинацию.breaking_bad. Но этим дело не ограничивается. В отличие от других шифровальщиков, этот вирус может создавать еще одно расширение.Heisenberg. Поэтому найти все зараженные файлы достаточно сложно. Стоит также сказать, что вирус Breaking_Bad является довольно серьезной угрозой. Известны случаи, когда даже лицензионная антивирусная программа Kaspersky_Endpoint Security пропускает такую угрозу.
Вирус [email protected]
Вирус [email protected] представляет собой еще одну довольно серьезную угрозу, которая по большей части направлена на крупные коммерческие организации. Обычно, в какой-то из отделов компании приходит электронной письмо, которое содержим файл.jpg или.js. Как можно расшифровать вирус такого типа? Судя по тому, что там используется алгоритм RSA-1024, то никак. Исходя из названия алгоритма, можно предположит, что в нем используется 1024-битная система шифрования. На сегодняшний день наиболее совершенной считается 256-битная система.
Вирус-шифровальщик: можно ли расшифровать файлы при помощи антивирусного программного обеспечения?
Способа расшифровки файлов после действия такого рода угроз пока не найдено. Даже такие признанные мэтры в сфере антивирусной защиты, как Dr Web, Kaspersky, Eset не могут найти ключ к решению проблемы. Как вылечить файлы в данном случае? Как правило, пользователю предлагается отправить на сайт разработчика антивирусной программы официальный запрос. При этом необходимо прикрепить несколько зашифрованных файлов и их оригиналы, если таковые имеются. Мало кто из пользователей сегодня хранит на съемном носителе копии данных. Проблема их отсутствия может только усугубить и без того неприятную ситуацию.
Устранение угрозы вручную: возможные способы
В некоторых случаях, сканирование обычными антивирусными программами определяет такие вредоносные объекты и даже устраняет данные угрозы. Но что делать с зашифрованной информацией? Некоторые пользователи пытаются использовать программы-дешифраторы. Стоит сразу отметить, что данные действия не приведут ни к чему хорошему. В случае с вирусом Breaking_Bad это может даже навредить. Дело в том, что злоумышленники, которые создают такие вирусы, пытаются обезопасить самих себя и преподнести урок другим. Вирус при использовании утилит для дешифровки может отреагировать так, что вся операционная система слетит и при этом полностью уничтожит всю информацию, хранящуюся на логических разделах и жестких дисках. Надежда только на официальные антивирусные лаборатории.
Радикальные способы
Если дела совсем плохи, то можно отформатировать жесткий диск, в том числе и виртуальные разделы, а затем заново установить операционную систему. Иного выхода, к сожалению, пока нет. Откат системы до определенной точки восстановления не поможет исправить ситуацию. В результате вирус может исчезнуть, но файлы все равно останутся зашифрованными.
То, что в Интернете полно вирусов, сегодня никого не удивляет. Многие пользователи воспринимают ситуации, связанные с их воздействием на системы или личные данные, мягко говоря, глядя сквозь пальцы, но только до тех пор, пока в системе конкретно не обоснуется вирус-шифровальшик. Как вылечить и расшифровать данные, хранящиеся на жестком диске, большинство рядовых юзеров не знает. Поэтому этот контингент и «ведется» на требования, выдвигаемые злоумышленниками. Но давайте посмотрим, что можно предпринять в случае обнаружения такой угрозы или для недопущения ее проникновения в систему.
Что такое вирус-шифровальщик?
Угроза такого типа использует стандартные и нестандартные алгоритмы шифрования файлов, которые полностью изменяют их содержимое и блокируют доступ. Например, открыть текстовый зашифрованный файл для чтения или редактирования, равно как и воспроизвести мультимедийный контент (графика, видео или аудио), после воздействия вируса будет абсолютно невозможно. Даже стандартные действия по копированию или перемещению объектов оказываются недоступными.
Сама программная начинка вируса является тем средством, которое шифрует данные таким образом, что восстановить их исходное состояние даже после удаления угрозы из системы не всегда бывает возможно. Обычно такие вредоносные программы создают собственные копии и оседают в системе очень глубоко, поэтому вирус-шифровальщик файлов бывает удалить полностью невозможно. Деинсталлируя основную программу или удаляя основное тело вируса, пользователь не избавляется от воздействия угрозы, не говоря уже о восстановлении зашифрованной информации.
Как угроза проникает в систему?
Как правило, угрозы этого типа большей частью ориентированы на крупные коммерческие структуры и могут проникать на компьютеры через почтовые программы, когда какой-то сотрудник открывает якобы вложенный документ в электронной почте, представляющий собой, скажем, дополнение к какому-то договору о сотрудничестве или к плану поставок товара (коммерческие предложения с вложениями из сомнительных источников - первая стезя для вируса).
Беда в том, что вирус-шифровальщик на машине, имеющей доступ к локальной сети, способен адаптироваться и в ней, создавая собственные копии не только в сетевом окружении, но и на администраторском терминале, если на нем отсутствуют необходимые средства защиты в виде антивирусного ПО, файрвола или брэндмауэра.
Иногда такие угрозы могут проникать и в компьютерные системы рядовых пользователей, которые по большому счету интереса для злоумышленников не представляют. Происходит это в момент установки каких-то программ, загруженных с сомнительных интернет-ресурсов. Многие юзеры при старте загрузки игнорируют предупреждения антивирусной системы защиты, а в процессе инсталляции не обращают внимания на предложения установки дополнительного ПО, панелей или плагинов для браузеров, а потом, что называется, кусают локти.
Разновидности вирусов и немного истории
В основном угрозы этого типа, в частности самый опасный вирус-шифровальщик No_more_ransom, классифицируются не только как инструменты шифрования данных или блокировки доступа к ним. На самом деле все такие вредоносные приложения относятся к категории вымогателей. Иными словами, злоумышленники требуют определенную мзду за расшифровку информации, считая, что без начальной программы произвести данный процесс будет невозможно. Отчасти так оно и есть.
Но, если копнуть в историю, можно заметить, что одним из самых первых вирусов этого типа, правда, не выставлявшего требования по деньгам, был печально известный апплет I Love You, который полностью зашифровывал в пользовательских системах файлы мультимедиа (в основном музыкальные треки). Расшифровка файлов после вируса-шифровальщика на тот момент оказывалась невозможной. Сейчас именно с этой угрозой бороться можно элементарно.
Но ведь и развитие самих вирусов или используемых алгоритмов шифрования на месте не стоит. Чего только нет среди вирусов - тут вам и XTBL, и CBF, и Breaking_Bad, и [email protected], и еще куча всякой гадости.
Методика воздействия на пользовательские файлы
И если до недавнего времени большинство атак производилось с использованием алгоритмов RSA-1024 на основе шифрования AES с такой же битностью, тот же вирус-шифровальщик No_more_ransom сегодня представлен в нескольких интерпретациях, использующих ключи шифрования на основе технологий RSA-2048 и даже RSA-3072.
Проблемы расшифровки используемых алгоритмов
Беда в том, что современные системы дешифрования перед лицом такой опасности оказались бессильны. Расшифровка файлов после вируса-шифровальщика на основе AES256 еще кое-как поддерживается, а при условии более высокой битности ключа практически все разработчики просто разводят руками. Это, кстати, официально подтверждено специалистами из «Лаборатории Касперского» и компании Eset.
В самом примитивном варианте обратившемуся в службу поддержки пользователю предлагается прислать зашифрованный файл и его оригинал для сравнения и проведения дальнейших операций по определению алгоритма шифрования и методов восстановления. Но, как правило, в большинстве случаев это результата не дает. Но вирус-шифровальщик расшифровать файлы может и сам, как считается, при условии того, что жертва согласится с условиями злоумышленников и выплатит определенную сумму в денежном эквиваленте. Однако такая постановка вопроса вызывает законные сомнения. И вот почему.
Вирус-шифровальщик: как вылечить и расшифровать файлы и можно ли это сделать?
Как утверждается, после оплаты хакеры активируют дешифровку через удаленный доступ к своему вирусу, который сидит в системе, или через дополнительный апплет, если тело вируса удалено. Выглядит это более чем сомнительно.
Хочется отметить и тот факт, что в Интернете полно фейковых постов о том, что, мол, требуемая сумма была уплачена, а данные успешно восстановлены. Это все ложь! И правда - где гарантия, что после оплаты вирус-шифровальщик в системе не активируется снова? Понять психологию взломщиков нетрудно: заплатил один раз - заплатишь снова. А если речь идет об особо важной информации вроде специфичных коммерческих, научных или военных разработок, обладатели такой информации готовы заплатить сколько угодно, лишь бы файлы остались в целости и сохранности.
Первое средство для устранения угрозы
Таков по своей природе вирус-шифровальщик. Как вылечить и расшифровать файлы после воздействия угрозы? Да никак, если нет подручных средств, которые тоже не всегда помогают. Но попытаться можно.
Предположим, что в системе появился вирус-шифровальщик. Как вылечить зараженные файлы? Для начала следует произвести углубленное сканирование системы без применения технологии S.M.A.R.T., которая предусматривает обнаружение угроз исключительно при повреждении загрузочных секторов и системных файлов.
Желательно не использовать имеющийся штатный сканер, который уже пропустил угрозу, а применить портативные утилиты. Оптимальным вариантом станет загрузка с диска Kaspersky Rescue Disk, которая может стартовать еще до начала работы операционной системы.
Но это всего половина дела, поскольку таким образом можно избавиться только от самого вируса. А вот с дешифратором будет сложнее. Но об этом чуть позже.
Есть еще одна категория, под которую попадают вирусы-шифровальщики. Как расшифровать информацию, будет сказано отдельно, а пока остановимся на том, что они могут совершенно открыто существовать в системе в виде официально установленных программ и приложений (наглость злоумышленников не знает предела, поскольку угроза даже не пытается маскироваться).
В этом случае следует использовать раздел программ и компонентов, где производится стандартное удаление. Однако нужно обратить внимание и на то, что стандартный деинсталлятор Windows-систем полностью все файлы программы не удаляет. В частности, вирус-шифровальщик ransom способен создавать собственные папки в корневых директориях системы (обычно это каталоги Csrss, где присутствует одноименный исполняемый файл csrss.exe). В качестве основного местоположения выбираются папки Windows, System32 или пользовательские директории (Users на системном диске).
Кроме того, вирус-шифровальщик No_more_ransom прописывает в реестре собственные ключи в виде ссылки вроде бы на официальную системную службу Client Server Runtime Subsystem, что многих вводит в заблуждение, поскольку эта служба должна отвечать за взаимодействие клиентского и серверного ПО. Сам ключ располагается в папке Run, добраться до которой можно через ветку HKLM. Понятно, что удалять такие ключи нужно будет вручную.
Чтобы было проще, можно воспользоваться утилитами вроде iObit Uninstaller, которые производят поиск остаточных файлов и ключей реестра автоматически (но только при условии, что вирус в системе виден как установленное приложение). Но это самое простое, что можно сделать.
Решения, предлагаемые разработчиками антивирусного ПО
Расшифровка вируса-шифровальщика, как считается, может производиться при помощи специальных утилит, хотя при наличии технологий с ключом 2048 или 3072 бита на них особо рассчитывать не стоит (к тому же многие из них удаляют файлы после дешифровки, а потом восстарновленные файлы исчезают по вине присутствия тела вируса, которое не было удалено до этого).
Тем не менее попробовать можно. Из всех программ стоит выделить RectorDecryptor и ShadowExplorer. Как считается, пока ничего лучше создано не было. Но проблема может состоять еще и в том, что при попытке применения дешифратора гарантии того, что вылечиваемые файлы не будут удалены, нет. То есть, если не избавиться от вируса изначально, любая попытка дешифрования будет обречена на провал.
Кроме удаления зашифрованной информации может быть и летальный исход - неработоспособной окажется вся система. Кроме того, современный вирус-шифровальщик способен воздействовать не только на данные, хранящиеся на жестком диске компьютера, но и на файлы в облачном хранилище. А тут решений по восстановлению информации нет. К тому же, как оказалось, во многих службах принимаются недостаточно эффективные меры защиты (тот же встроенный в Windows 10 OneDrive, который подвержен воздействию прямо из операционной системы).
Кардинальное решение проблемы
Как уже понятно, большинство современных методик положительного результата при заражении подобными вирусами не дает. Конечно, если есть оригинал поврежденного файла, его можно отправить на экспертизу в антивирусную лабораторию. Правда, весьма серьезные сомнения вызывает и то, что рядовой пользователь будет создавать резервные копии данных, которые при хранении на жестком диске тоже могут подвергнуться воздействию вредоносного кода. А о том, что во избежание неприятностей юзеры копируют информацию на съемные носители, речь не идет вообще.
Таким образом, для кардинального решения проблемы вывод напрашивается сам собой: полное форматирование винчестера и всех логических разделов с удалением информации. А что делать? Придется пожертвовать, если не хотите, чтобы вирус или его самосохраненная копия активировались в системе вновь.
Для этого не стоит использовать средства самих Windows-систем (имеется в виду форматирование виртуальных разделов, поскольку при попытке доступа к системному диску будет выдан запрет). Лучше применять загрузку с оптических носителей вроде LiveCD или установочных дистрибутивов, например созданных при помощи утилиты Media Creation Tool для Windows 10.
Перед началом форматирования при условии удаления вируса из системы можно попытаться произвести восстановление целостности системных компонентов через командную строку (sfc /scannow), но в плане дешифрования и разблокировки данных это эффекта не даст. Поэтому format c: - единственно правильное возможное решение, нравится вам это или нет. Только так и можно полностью избавиться от угроз этого типа. Увы, по-другому - никак! Даже лечение стандартными средствами, предлагаемыми большинством антивирусных пакетов, оказывается бессильным.
Вместо послесловия
В плане напрашивающихся выводов можно сказать только то, что единого и универсального решения по устранению последствий воздействия такого рода угроз на сегодняшний день не существует (печально, но факт - это подтверждено большинством разработчиков антивирусного ПО и специалистами в области криптографии).
Остается неясным, почему появление алгоритмов на основе 1024-, 2048- и 3072-битного шифрования прошло мимо тех, кто непосредственно занимается разработкой и внедрением таких технологий? Ведь на сегодняшний день самым перспективным и наиболее защищенным считается алгоритм AES256. Заметьте! 256! Эта система современным вирусам, как оказывается, и в подметки не годится. Что говорить тогда о попытках расшифровки их ключей?
Как бы то ни было, избежать внедрения угрозы в систему можно достаточно просто. В самом простом варианте следует проверять все входящие сообщения с вложениями в программах Outlook, Thunderbird и в других почтовых клиентах антивирусом сразу же после получения и ни в коем случае не открывать вложения до окончания проверки. Также следует внимательно читать предложения по установке дополнительного ПО при инсталляции некоторых программ (обычно они написаны очень мелким шрифтом или замаскированы под стандартные надстройки вроде обновления Flash Player или чего-то еще). Компоненты мультимедиа лучше обновлять через официальные сайты. Только так и можно хотя бы как-то препятствовать проникновению таких угроз в собственную систему. Последствия могут быть совершенно непредсказуемыми, если учесть, что вирусы этого типа моментально распространяются в локальной сети. А для фирмы такой оборот событий может обернуться настоящим крахом всех начинаний.
Наконец, и системный администратор не должен сидеть без дела. Программные средства защиты в такой ситуации лучше исключить. Тот же файрвол (межсетевой экран) должен быть не программным, а «железным» (естественно, с сопутствующим ПО на борту). И, само собой разумеется, что экономить на приобретении антивирусных пакетов тоже не стоит. Лучше купить лицензионный пакет, а не устанавливать примитивные программы, которые якобы обеспечивают защиту в реальном времени только со слов разработчика.
И если уже угроза в систему все же проникла, последовательность действий должна включать в себя удаление самого тела вируса, а только потом попытки дешифрования поврежденных данных. В идеале - полное форматирование (заметьте, не быстрое с очисткой оглавления, а именно полное, желательно с восстановлением или заменой существующей файловой системы, загрузочных секторов и записей).
Одна из причин, которая может затруднить восстановление зашифрованных данных при заражении вирусом вымогателем — это идентификация шифровальщика. Если пользователь сможет определить вымогателя, то он сможет и проверить, есть ли бесплатный способ расшифровать данные.
Еще по теме: Работа шифровальщика на примере вымогателя
Узнать какой шифровальщик зашифровал файлы
Определить шифровальщика можно несколькими способами. С помощью:
- самого вируса-шифровальщика
- расширение зашифрованного файла
- онлайн-сервиса ID Ransomware
- утилиты Bitdefender Ransomware
С первым способом все ясно. Многие вирусы-вымогатели, такие как The Dark Encryptor, не скрывают себя. И определить вредонос не составит ни какого труда.
Шифровальщик The Dark Encryptor
Также можно попробовать определить шифровальщик с помощью расширения зашифрованного файла. Просто вбейте в поиск и посмотрите результаты.
Но есть ситуации, когда узнать какой шифровальщик зашифровал файлы не так-то просто. В этих случаях нам и помогут следующие два способа.
Определить шифровальщик с помощью ID Ransomware
Способ определения шифровальщика с помощью онлайн-сервиса ID Ransomware.
Определить шифровальщик с помощью Bitdefender Ransomware
Bitdefender Ransomware Recognition Tool — это новая программа для Windows от компании Bitdefender, которая в случае заражения вирусом-вымогателем помогает определить шифровальщик.
Это маленькая бесплатная программа, которую не нужно устанавливать. Все, что требуется, — запустить программу, принять лицензию и использовать ее для идентификации вымогателя. Скачать утилиту Bitdefender Ransomware Recognition Tool вы можете с официального сайта по прямой ссылке.
Bitdefender не пишет о совместимости. В моем случае программа работала на устройстве Windows 10 Pro. Имейте ввиду Bitdefender Ransomware Recognition Tool требует подключения к Интернету.
Принцип работы такой же как и в предыдущем способе. В первом поле указываем файл с текстом сообщения, а во втором путь к зашифрованными файлами.
Насколько я понял, Bitdefender Ransomware Recognition Tool не отправляет сам файл на сервер, а только анализирует имена и расширения.
Еще одна интересная особенность Bitdefender Ransomware Recognition Tool заключается в том, что его можно запускать из командной строки.
Я не тестировал Bitdefender Ransomware Recognition Tool, поэтому буду рад любым комментариям от людей которые пробовали его в действии.
На этом все. Надеюсь вам не пригодиться данная инструкция, но если вы все же столкнулись с вымогателем, то будете знать как его определить.