Шифрование - это процесс кодирования информации таким образом, что она не может быть доступной другим людям, если они не имеют необходимый ключ для декодирования. Шифрование, как правило, используется для защиты важных документов, но это также хороший способ остановить людей, которые пытаются украсть ваши личные данные.
Зачем использовать категории? Чтобы разбить огромное множество программ шифрования информации на более простые и понятные наборы программ, т.е. структурировать. Данная статья ограничивается набором утилит для шифрования файлов и папок.
- Утилиты шифрования файлов и папок - эти утилиты рассматриваются в данной статье. Эти утилиты шифрования работают напрямую с файлами и папками, в отличие от утилит, которые осуществляют шифрование и хранение файлов в томах (архивах, то есть в контейнерах файлов). Данные утилиты шифрования могут работать в режиме "по требованию" или в режиме "на лету".
- Утилиты шифрования виртуальных дисков . Такие утилиты работают по средствам создания томов (зашифрованных контейнеров/архивов), которые представляются в файловой системе в качестве виртуальных дисков, имеющих свою букву, например, "L:". Эти диски могут содержать как файлы, так и папки. Файловая система компьютера может читать, писать и создавать документы в режиме реального времени, т.е. в открытом виде. Такие утилиты работают в режиме "на лету".
- Full-drive утилиты шифрования - шифруют все устройства хранения данных, например, сами жесткие диски, разделы диска и USB устройства. Некоторые из утилит в этой категории также могут зашифровать диск, на котором установлена операционная система.
- Клиентские утилиты шифрования в "облаке": новая категория утилит шифрования. Эти утилиты шифрования файлов используются до загрузки или синхронизации с "облаком". Файлы находятся в зашифрованном виде при передаче и во время хранения в "облаке". Утилиты шифрования в "облаке" используют различные формы виртуализации, чтобы представить доступ к исходному тексту на стороне клиента. При этом вся работа происходит в режиме "на лету".
Предостережения
- Тот факт, что программа шифрования «работает» не означает, что она является безопасной. Новые утилиты шифрования часто появляются после того, как "кто-то" прочитает прикладную криптографию, выберет алгоритм и возьмется за разработку. Может быть даже "кто-то" использует проверенный опенсурс код. Реализует пользовательский интерфейс. Убедится в том, что она работает. И подумает, что на этом все закончено. Но, это не так. Такая программа наверняка наполнена фатальными багами. "Функциональность не означает качество, и никакое бета-тестирование не раскроет проблемы безопасности. Большинство продуктов представляют собой красивое слово "соблюдается". Они используют алгоритмы криптографии, но сами не являются безопасными." (Вольный перевод) - Брюс Шнайер, из Security Pitfalls in Cryptography. (исходная фраза: "Functionality does not equal quality, and no amount of beta testing will ever reveal a security flaw. Too many products are merely buzzword compliant; they use secure cryptography, but they are not secure.").
- Использование шифрования - не является достаточным для обеспечения безопасности ваших данных. Существует множество способов обойти защиту, поэтому если ваши данные "очень секретные", то необходимо так же задумываться и о других путях защиты. Как "старт" для дополнительных поисков можно использовать статью риски использования криптографического ПО .
Операционные системы порочны: эхо ваших личных данных - файлы подкачки, временные файлы, файлы режима энергосбережения ("сна системы"), удаленные файлы, артефакты браузеров, и т.д. - скорее всего, останутся на любом компьютере, который вы используете для доступа к данным. Это нетривиальная задача - выделить это эхо ваших личных данных. Если вам необходима защита данных жесткого диска во время их перемещения или поступления извне, то это достаточно сложная задача. Например, когда вы осуществляете создание зашифрованного архива файлов или разархивирование такого архива, то, соответственно, оригинальные версии файлов или копии оригинальных файлов из этого архива остаются на жестком диске. Они так же могут остаться в местах хранилища временных файлов (ака папки Temp и т.д.). И получается, что задача удаления этих оригинальных версий становится задачей не простого удаления этих файлов по средствам команды "удалить".
Обзор программ шифрования файлов и папок
TrueCrypt когда-то был самой лучшей программой в этой категории. И до сих пор является одной из лучших, но уже не соответствует данной категории, так как базируется на работе по средствам виртуальных дисков.
Большинство, если не все программы, описанные ниже, подвергают пользователя неочевидным угрозам, которые описаны выше в пункте №1 из списка п редостережений. TrueCrypt, который базируется на работе с разделами, а не на работе с файлами и папками - не подвергает пользователей этой уязвимости.
Sophos Free Encryption - больше не доступна.
Сопутствующие продукты и ссылки
Сопутствующие продукты:
Альтернативные продукты:
- SafeHouse Explorer является простой, бесплатной программой, которая достаточно мало весит, что позволяет ее с легкостью использовать на USB накопителях. Так же вы можете найти хорошо подготовленные видео материалы и руководство пользователя на их веб-сайте.
- Rohos Mini Drive это портативная (portable) программа, которая создает скрытый, зашифрованный раздел на USB накопителе.
- FreeOTFE (из обзора утилит шифрования виртуальных дисков) является программой для осуществления шифрования диска "на лету". Она может быть адаптирована для портативного (portable) использования.
- FreeOTFE Explorer является более простым вариантом FreeOTFE. Она не требует прав администратора.
- Pismo File Mount Audit Package является расширением файловой системы, которое обеспечивает доступ к специальным зашифрованным файлам (через контекстное меню проводника Windows), в свою очередь которые предоставляют доступ к зашифрованным папкам. Приложения могут писать прямо в эти папки, что позволяет гарантировать, что текстовые копии оригинального документа не останутся на жестком диске.
- 7-Zip это мощная утилита для создания архивов файлов, которая обеспечивает 256-битное AES шифрование для *.7z и *.zip форматов. Однако, программа Pismo более лучшее решение, поскольку оно позволяет избежать проблемы хранения незашифрованных версий файлов.
Руководство по быстрому выбору (скачать программы для шифрования файлов и папок)
AxCrypt
| Интеграция с контекстным меню проводника Windows. AxCrypt позволяет так же легко открывать, редактировать и сохранять зашифрованные файлы, как если бы вы работали с незашифрованными файлами. Используйте этот продукт, если вам необходимо часто работать с шифрованными файлами. | ||
| Программа использует Open Candy (устанавливается в комплекте дополнительного стороннего программного обеспечения). Если хотите, то можете и не устанавливать его, но тогда надо регистрироваться на сайте. |
И с каждым годом появляются все новые и новые... интереснее и интереснее. Наиболее популярный последнее время вирус (Trojan-Ransom.Win32.Rector), который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно и долго, в зависимости от типа шифрования, расшифровка может затянуться на недели, месяцы и даже годы. На мой взгляд, этот вирус на данный момент, апогей по опасности среди остальных вирусов. Особенно он опасен для домашних компьютеров/ ноутбуков, поскольку большинство пользователей не делают резервную копию данных и при зашифровке файлов теряют все данные. Для организаций этот вирус меньше опасен, поскольку они делают резервные копии важных данных и в случае заражения, просто восстанавливают их, естественно после удаления вируса. С этим вирусом я встречался несколько раз, опишу как это происходило и к чему приводило.
Первый раз с вирусом зашифровывающим файлы я познакомился в начале 2014 года. Со мной связался администратор с другого города и сообщил пренеприятнейшее известие - Все файлы, на файловом сервере зашифрованы! Заражение произошло элементарным способом- в бухгалтерию пришло письмо с вложение "Акт что-то там.pdf.exe" как вы понимаете они открыли этот EXE файл и процесс пошел... он зашифровал все личные файлы на компьютере и перешел на файловый сервер (он был подключен сетевым диском). Начали с администратором копать информацию в Интернете... на тот момент никакого решения не было... все писали, что такой вирус есть, как лечить его не известно, расшифровать файлы не удается, возможно поможет отправка файлов Касперскому, Dr Web или Nod32. Отправить им можно только, если пользуетесь их антивирусными программами (есть лицензии). Мы отправили файлы в Dr Web и Nod32, результатов - 0, уже не помню что говорили в Dr Web, а в Nod 32 вообще замолчали и никакого ответа от них я не дождался. В общем все было печально и решения мы так и не нашли, часть файлов восстановили с бэкапа.
История вторая- буквально на днях (середина октября 2014) мне позвонили с организации с просьбой решить проблему с вирусом, как вы понимаете все файлы на компьютере были зашифрованы. Вот пример того как это выглядело.
Как вы можете заметить к каждому файлу было добавлено расширение *.AES256. В каждой папке был файл "Внимание_открой-меня.txt" в котором были контакты для связи.
При попытки открыть эти файлы открывалась программа с контактами для связи с авторами вируса для оплаты расшифровки. Само собой связаться с ними я не рекомендую, и платить за код тоже, поскольку вы их только поддержите финансово и не факт что получите ключ расшифровки.
Заражение произошло при установке программы скаченной с Интернета. Самое удивительное было, то, что когда они заметили, что файлы изменились (изменились иконки и расширение файлов) то ничего не предприняли и дальше продолжали работать, а тем временем шифровальщик продолжал шифровать все файлы.
Внимание!! ! Если вы заметили шифрование файлов на компьютере (изменение иконок, изменение расширения) сразу же выключайте компьютер/ ноутбук, и уже с другого устройства ищите решение (с другого компьютера/ ноутбука, телефона, планшета) или обращайтесь к IT специалистам. Чем дольше ваш компьютер/ ноутбук будет включен, тем больше файлов он зашифрует.
В общем, я уже хотел отказаться от помощи им, но решил полазить в Интернете, может уже появилось решение для этой проблемы. В результате поисков прочитал массу информации о том, что расшифровке не поддается, что нужно отправлять файлы в антивирусные компании (Касперскому, Dr Web или Nod32) - спасибо был опыт.
Наткнулся на утилиту от Касперского -RectorDecryptor. И о чудо- файлы удалось расшифровать. Ну обо все по порядку...
Первым делом необходимо остановить работу шифровальщика. Не найдетесь на антивирусы, поскольку уставленный Dr Web ничего не нашел. Первым делом я зашел в автозагрузки и отключил все автозагрузки (кроме антивируса). Перезагрузил компьютер. Затем начал смотреть, что за файлы были в автозагрузки.
Как можете заметить в поле "Команда" указано где лежит файл, особое внимание требуется удалить приложениям без подписи (Производитель -Нет данных). В общем нашел и удалил зловреда и еще не понятные для меня файлы. После этого почистил временные папки и кэши браузеров, лучше всего для этих целей воспользоваться программой CCleaner .
Далее приступил к расшифровке файлов, для этого скачал программу для расшифровки RectorDecryptor . Запустил и увидел довольно аскетичный интерфейс утилиты.
Нажал "Начать проверку", указал расширение, которое было у всех измененных файлов.
И указал зашифрованный файл. В более новых версия RectorDecryptor можно просто указывать зашифрованный файл. Нажмите кнопку "Открыть".
Тада-а-а-ам!!! Произошло чудо и файл был расшифрован.
После этого утилита автоматически проверяет все файлы компьютера + файлы на подключенном сетевом диске и расшифровывает их. Процесс расшифровки может затянуться на несколько часов (зависит от количества зашифрованных файлов и быстродействия вашего компьютера).
В результате все зашифрованные файлы были успешно расшифрованы в туже директорию, где находились изначально.
Осталось удалить все файлы с расширение.AES256, это можно было сделать, поставив галочку "Удалять зашифрованные файлы после успешной расшифровки", если нажать "Изменить параметры проверки" в окне RectorDecryptor.
Но помните, что лучше эту галочку не ставить, поскольку в случае, не удачной расшифровки файлов они удаляться и для того, что бы их снова попытаться расшифровать придется для начала их восстановить .
При попытки удалить все зашифрованные файлы с помощью стандартного поиска и удаления, я наткнулся на зависания и крайне медленную работу компьютера.
Поэтому для удаления лучше всего воспользоваться командной строкой, запустите ее и пропишите del "<диск>:\*.<расширение зашифрованного файла>" /f /s . В моем случае del "d:\*.AES256" /f /s.
Не забывайте удалить файлы "Внимание_открой-меня.txt", для этого в командной строке воспользуйтесь командой del "<диск>:\*.<имя файла>" /f /s,
например
del "d:\
Внимание_открой-меня.txt" /f /s
Таким образом, вирус был побежден и файлы восстановлены. Хочу предупредить, что данный способ поможет не всем, все дело в том, что Каперский в этой утилите собрал все известные ключи для расшифровки (из тех файлов, которые оправляли заразившиеся вирусом) и методом перебора подбирает ключи и расшифровывает. Т.е. если ваши файлы зашифрованы вирусом с еще не известным ключом, тогда этот способ не поможет... придется отправлять зараженные файлы антивирусным компаниям -Касперскому, Dr Web или Nod32 для их расшифровки.
Случалось ли так, что вам на Email, в Skype или ICQ приходило сообщение от неизвестного отправителя со ссылкой на фото вашего друга или поздравление с наступающим праздником? Вроде бы не ожидаешь никакой подставы, и вдруг при переходе по ссылке на компьютер загружается серьезный вредоносный софт. Вы не успеваете опомниться, как уже вирус зашифровал все файлы. Что делать в такой ситуации? Есть ли возможность восстановления документов?
Для того чтобы понять, как бороться с вредоносной программой, нужно знать, что она представляет собой и каким образом проникает в операционную систему. К тому же абсолютно не важно, какой версией Windows вы пользуетесь - Critroni-вирус направлен на инфицирование любой операционной системы.
Шифровальный компьютерный вирус: определение и алгоритм действия
На просторах Интернета появился новый компьютерный вирусный софт, известный многим под названием CTB (Curve Tor Bitcoin) или Critroni. Это усовершенствованный троян-вымогатель, схожий по принципу алгоритма с ранее известным вредоносным софтом CriptoLocker. Если вирус зашифровал все файлы, что делать в таком случае? Прежде всего нужно понять алгоритм его работы. Суть действия вируса в том, чтобы зашифровать все ваши файлы в расширения.ctbl, .ctb2, .vault, .xtbl или другие. При этом вы не сможете открыть их до тех пор, пока не заплатите запрошенную сумму денег.
Часто встречаются вирусы Trojan-Ransom.Win32.Shade и Trojan-Ransom.Win32.Onion. Они очень похожи на СТВ своим локальным действием. Их можно различить по расширению зашифрованных файлов. Trojan-Ransom кодирует информацию в формате.xtbl. При открытии любого файла, на экран выводится сообщение о том, что ваши персональные документы, базы данных, фотографии и другие файлы были зашифрованы вредоносной программой. Чтобы расшифровать их, необходимо платно получить уникальный ключ, который хранится на секретном сервере, и только в этом случае вы сможете сделать дешифрование и криптографические действия со своими документами. Но не стоит переживать и тем более отправлять на указанный номер деньги, есть другой способ борьбы с таким видом киберпреступности. Если на ваш компьютер попал именно такой вирус, зашифровал все файлы.xtbl, что делать в такой ситуации?
Чего не стоит делать при проникновении шифровального вируса на компьютер
Случается, что в панике мы устанавливаем антивирусную программу и с ее помощью в автоматическом или ручном режиме удаляем вирусный софт, теряя вместе с ним и важные документы. Это неприятно, помимо того, на компьютере могут храниться данные, над которыми вы работали месяцами. Обидно терять такие документы без возможности их восстановления.
Если вирус зашифровал все файлы.xtbl, некоторые пытаются сменить их расширение, но это тоже не приводит к положительным результатам. Переустановка и форматирование жесткого диска безвозвратно удалит зловредную программу, но вместе с этим вы потеряете и всякую возможность восстановления документов. В данной ситуации не помогут и специально созданные программы-дешифраторы, ведь софт-вымогатель запрограммирован по нестандартному алгоритму и требует особого подхода.
Чем опасен вирус-вымогатель для персонального компьютера
Совершенно понятно, что ни одна вредоносная программа не принесет пользу вашему персональному компьютеру. Для чего создается такой софт? Как ни странно, такие программы были созданы не только в целях выманивания у пользователей как можно большего количества денег. На самом деле вирусный маркетинг достаточно выгоден многим антивирусным изобретателям. Ведь если вирус зашифровал все файлы на компе, куда вы обратитесь в первую очередь? Естественно, за помощью профессионалов. Чем же шифровальные для вашего ноутбука или персонального компьютера?
Алгоритм их работы нестандартный, поэтому обычным антивирусным обеспечением будет невозможно вылечить зараженные файлы. Удаление вредоносных объектов приведет к потере данных. Только перемещение в карантин даст возможность обезопасить другие файлы, которые зловредный вирус еще не успел зашифровать.
Срок действия шифровального вредоносного обеспечения
Если ваш компьютер заразился Critroni (вредоносной программой) и вирус зашифровал все файлы, что делать? .vault-, .xtbl-, .rar-форматы самостоятельно не расшифруешь, вручную поменяв расширение на.doc, .mp3, .txt и другие. В случае если в течение 96 часов вы не оплатите нужную сумму киберпреступникам, с вами будут вести запугивающую переписку по почте о том, что все ваши файлы безвозвратно удалятся. В большинстве случаев на людей действуют такие угрозы, и они неохотно, но послушно выполняют указанные действия, боясь потерять драгоценную информацию. Жаль, пользователи не понимают того факта, что киберпреступники не всегда верны своему слову. Получив деньги, они зачастую уже не беспокоятся о дешифровке ваших заблокированных файлов.
По истечении таймера она автоматически закрывается. Но у вас еще есть шанс восстановления важных документов. На экране появится сообщение о том, что время истекло, и более детальную информацию о файлах вы сможете просмотреть в папке документов в специально созданном блокнот-файле DecryptAllFiles.txt.
Способы проникновения шифровальных вредоносных программ в операционную систему
Обычно вирусы-шифровальщики проникают в компьютер через зараженные сообщения, поступающие на электронную почту либо через фейковые загрузки. Это могут быть поддельные флеш-обновления или мошеннические видеопроигрыватели. Как только программа загружается на компьютер любым из этих способов, она сразу же шифрует данные без возможности их восстановления. Если вирус зашифровал все файлы.cbf, .ctbl, .ctb2 в другие форматы и у вас нет резервной копии документа, хранящегося на съемном носителе, считайте, что вам больше не удастся их восстановить. На данный момент антивирусные лаборатории не знают, как взломать такие шифровальные вирусы. Без необходимого ключа существует возможность только блокировать зараженные файлы, перемещать их в карантин или удалять.
Как избежать заражения компьютера вирусом
Зловещий все файлы.xtbl. Что делать? Вы уже перечитали массу ненужной информации, которую пишут на большинстве веб-сайтов, и ответ не находите. Так случается, что в самый неподходящий момент, когда срочно нужно сдавать отчет на работе, дипломную в университете или защищать свою профессорскую степень, компьютер начинает жить своей жизнью: ломается, заражается вирусами, зависает. Вы должны быть готовы к таким ситуациям и держать информацию на сервере и съемном носителе. Это позволит в любой момент переустановить операционную систему и через 20 минут работать за компьютером, как ни в чем не бывало. Но, к сожалению, мы не всегда такие предприимчивые.
Чтобы избежать заражения компьютера вирусом, прежде всего необходимо установить хорошую антивирусную программу. У вас должен быть правильно настроен брандмауэр Windows, который защищает от попадания различных вредоносных объектов через Сеть. И наиболее важное: не качайте софт с непроверенных сайтов, торрент-трекеров. Чтобы избежать заражения компьютера вирусными программами, следите за тем, на какие ссылки вы переходите. Если вам на электронную почту пришло письмо от непонятного адресата с просьбой или предложением посмотреть, что за ссылкой спрятано, лучше всего переместить сообщение в спам или удалить вообще.
Чтобы в один прекрасный момент не вышло так, что вирус зашифровал все файлы.xtbl, лаборатории антивирусного программного обеспечения советуют бесплатный способ защиты от заражения шифровальными вирусами: раз в неделю осуществлять и осмотр их состояния.
Вирус зашифровал все файлы на компьютере: способы лечения
Если вы стали жертвой киберпреступности и данные на вашем компьютере были заражены одним из шифровальных видов вредоносных программ, тогда самое время попытаться восстановить файлы.
Существует несколько способов бесплатного лечения зараженных документов:
- Наиболее распространенный метод и, наверное, самый действенный в нынешний момент - резервное копирование документов и последующее восстановление в случае непредвиденного заражения.
- Программное Алгоритм CTB-вируса работает интересным образом. Попадая в компьютер, он копирует файлы, шифрует их, а оригиналы документов удаляет, тем самым исключая возможность их восстановления. Но с помощью программного софта Photorec или R-Studio вы можете успеть сохранить некоторые нетронутые оригинальные файлы. Следует знать, что чем дольше вы пользуетесь компьютером после его заражения, тем меньше вероятность восстановления всех необходимых документов.
- Если вирус зашифровал все файлы.vault, есть еще один неплохой способ их дешифровки - использование теневых томов копий. Конечно, вирус будет пытаться навсегда и безвозвратно удалить их все, но случается и так, что некоторые файлы остаются нетронутыми. В этом случае у вас будет хоть и маленький, но шанс их восстановления.
- Существует возможность хранения данных на файлообменниках, таких как DropBox. Его можно установить на компьютер в виде локального отображения диска. Естественно, шифровальный вирус будет и его инфицировать. Но в этом случае гораздо реальнее восстановить документы и важные файлы.
Программное предотвращение инфицирования вирусом персонального компьютера
Если вы боитесь попадания зловещего вредоносного софта на ваш компьютер и не хотите, чтобы коварный вирус зашифровал все файлы, следует использовать редактор локальной политики или Windows-группы. Благодаря этому интегрированному софту можно настроить политику ограничения программ - и тогда вас не будут беспокоить мысли об инфицировании компьютера.
Как восстановить зараженные файлы
Если CTB-вирус зашифровал все файлы, что делать в данном случае, чтобы восстановить необходимые документы? К сожалению, в нынешнее время ни одна антивирусная лаборатория не может предложить расшифровку ваших файлов, но обезвреживание инфекции, ее полное удаление с персонального компьютера возможно. Выше указаны все действенные методы информационного восстановления. Если же вам слишком дороги ваши файлы, а вы не побеспокоились сделать их резервную копию на съемный носитель или интернет-диск, тогда вам придется оплатить запрошенную киберпреступниками сумму денег. Но нет никакой вероятности, что вам будет выслан ключ дешифрования даже после оплаты.
Как найти зараженные файлы
Чтобы увидеть список зараженных файлов, можно перейти по такому пути: "Мои документы"\.html или "C:"\"Пользователи"\"Все пользователи"\.html. Этот html-лист содержит данные не только о случайных инструкциях, но также и о зараженных объектах.
Как заблокировать шифровальный вирус
Как только компьютер был инфицирован вредоносным программным обеспечением, первое необходимое действие со стороны пользователя - включение с сетью. Это осуществляется нажатием на клавишу клавиатуры F10.
Если на ваш компьютер случайным образом попал Critroni-вирус, зашифровал все файлы в.rar, .ctbl, .ctb2, .xtbl, .vault, .cbf или любой другой формат, в таком случае уже тяжело восстановить их. Но если вирус еще не успел внести много изменений, есть вероятность его блокировки с помощью политики ограниченного доступа программ.
То, что в Интернете полно вирусов, сегодня никого не удивляет. Многие пользователи воспринимают ситуации, связанные с их воздействием на системы или личные данные, мягко говоря, глядя сквозь пальцы, но только до тех пор, пока в системе конкретно не обоснуется вирус-шифровальшик. Как вылечить и расшифровать данные, хранящиеся на жестком диске, большинство рядовых юзеров не знает. Поэтому этот контингент и «ведется» на требования, выдвигаемые злоумышленниками. Но давайте посмотрим, что можно предпринять в случае обнаружения такой угрозы или для недопущения ее проникновения в систему.
Что такое вирус-шифровальщик?
Угроза такого типа использует стандартные и нестандартные алгоритмы шифрования файлов, которые полностью изменяют их содержимое и блокируют доступ. Например, открыть текстовый зашифрованный файл для чтения или редактирования, равно как и воспроизвести мультимедийный контент (графика, видео или аудио), после воздействия вируса будет абсолютно невозможно. Даже стандартные действия по копированию или перемещению объектов оказываются недоступными.
Сама программная начинка вируса является тем средством, которое шифрует данные таким образом, что восстановить их исходное состояние даже после удаления угрозы из системы не всегда бывает возможно. Обычно такие вредоносные программы создают собственные копии и оседают в системе очень глубоко, поэтому вирус-шифровальщик файлов бывает удалить полностью невозможно. Деинсталлируя основную программу или удаляя основное тело вируса, пользователь не избавляется от воздействия угрозы, не говоря уже о восстановлении зашифрованной информации.
Как угроза проникает в систему?
Как правило, угрозы этого типа большей частью ориентированы на крупные коммерческие структуры и могут проникать на компьютеры через почтовые программы, когда какой-то сотрудник открывает якобы вложенный документ в электронной почте, представляющий собой, скажем, дополнение к какому-то договору о сотрудничестве или к плану поставок товара (коммерческие предложения с вложениями из сомнительных источников - первая стезя для вируса).
Беда в том, что вирус-шифровальщик на машине, имеющей доступ к локальной сети, способен адаптироваться и в ней, создавая собственные копии не только в сетевом окружении, но и на администраторском терминале, если на нем отсутствуют необходимые средства защиты в виде антивирусного ПО, файрвола или брэндмауэра.
Иногда такие угрозы могут проникать и в компьютерные системы рядовых пользователей, которые по большому счету интереса для злоумышленников не представляют. Происходит это в момент установки каких-то программ, загруженных с сомнительных интернет-ресурсов. Многие юзеры при старте загрузки игнорируют предупреждения антивирусной системы защиты, а в процессе инсталляции не обращают внимания на предложения установки дополнительного ПО, панелей или плагинов для браузеров, а потом, что называется, кусают локти.
Разновидности вирусов и немного истории
В основном угрозы этого типа, в частности самый опасный вирус-шифровальщик No_more_ransom, классифицируются не только как инструменты шифрования данных или блокировки доступа к ним. На самом деле все такие вредоносные приложения относятся к категории вымогателей. Иными словами, злоумышленники требуют определенную мзду за расшифровку информации, считая, что без начальной программы произвести данный процесс будет невозможно. Отчасти так оно и есть.
Но, если копнуть в историю, можно заметить, что одним из самых первых вирусов этого типа, правда, не выставлявшего требования по деньгам, был печально известный апплет I Love You, который полностью зашифровывал в пользовательских системах файлы мультимедиа (в основном музыкальные треки). Расшифровка файлов после вируса-шифровальщика на тот момент оказывалась невозможной. Сейчас именно с этой угрозой бороться можно элементарно.
Но ведь и развитие самих вирусов или используемых алгоритмов шифрования на месте не стоит. Чего только нет среди вирусов - тут вам и XTBL, и CBF, и Breaking_Bad, и [email protected], и еще куча всякой гадости.
Методика воздействия на пользовательские файлы
И если до недавнего времени большинство атак производилось с использованием алгоритмов RSA-1024 на основе шифрования AES с такой же битностью, тот же вирус-шифровальщик No_more_ransom сегодня представлен в нескольких интерпретациях, использующих ключи шифрования на основе технологий RSA-2048 и даже RSA-3072.
Проблемы расшифровки используемых алгоритмов
Беда в том, что современные системы дешифрования перед лицом такой опасности оказались бессильны. Расшифровка файлов после вируса-шифровальщика на основе AES256 еще кое-как поддерживается, а при условии более высокой битности ключа практически все разработчики просто разводят руками. Это, кстати, официально подтверждено специалистами из «Лаборатории Касперского» и компании Eset.
В самом примитивном варианте обратившемуся в службу поддержки пользователю предлагается прислать зашифрованный файл и его оригинал для сравнения и проведения дальнейших операций по определению алгоритма шифрования и методов восстановления. Но, как правило, в большинстве случаев это результата не дает. Но вирус-шифровальщик расшифровать файлы может и сам, как считается, при условии того, что жертва согласится с условиями злоумышленников и выплатит определенную сумму в денежном эквиваленте. Однако такая постановка вопроса вызывает законные сомнения. И вот почему.
Вирус-шифровальщик: как вылечить и расшифровать файлы и можно ли это сделать?
Как утверждается, после оплаты хакеры активируют дешифровку через удаленный доступ к своему вирусу, который сидит в системе, или через дополнительный апплет, если тело вируса удалено. Выглядит это более чем сомнительно.
Хочется отметить и тот факт, что в Интернете полно фейковых постов о том, что, мол, требуемая сумма была уплачена, а данные успешно восстановлены. Это все ложь! И правда - где гарантия, что после оплаты вирус-шифровальщик в системе не активируется снова? Понять психологию взломщиков нетрудно: заплатил один раз - заплатишь снова. А если речь идет об особо важной информации вроде специфичных коммерческих, научных или военных разработок, обладатели такой информации готовы заплатить сколько угодно, лишь бы файлы остались в целости и сохранности.
Первое средство для устранения угрозы
Таков по своей природе вирус-шифровальщик. Как вылечить и расшифровать файлы после воздействия угрозы? Да никак, если нет подручных средств, которые тоже не всегда помогают. Но попытаться можно.
Предположим, что в системе появился вирус-шифровальщик. Как вылечить зараженные файлы? Для начала следует произвести углубленное сканирование системы без применения технологии S.M.A.R.T., которая предусматривает обнаружение угроз исключительно при повреждении загрузочных секторов и системных файлов.
Желательно не использовать имеющийся штатный сканер, который уже пропустил угрозу, а применить портативные утилиты. Оптимальным вариантом станет загрузка с диска Kaspersky Rescue Disk, которая может стартовать еще до начала работы операционной системы.
Но это всего половина дела, поскольку таким образом можно избавиться только от самого вируса. А вот с дешифратором будет сложнее. Но об этом чуть позже.
Есть еще одна категория, под которую попадают вирусы-шифровальщики. Как расшифровать информацию, будет сказано отдельно, а пока остановимся на том, что они могут совершенно открыто существовать в системе в виде официально установленных программ и приложений (наглость злоумышленников не знает предела, поскольку угроза даже не пытается маскироваться).
В этом случае следует использовать раздел программ и компонентов, где производится стандартное удаление. Однако нужно обратить внимание и на то, что стандартный деинсталлятор Windows-систем полностью все файлы программы не удаляет. В частности, вирус-шифровальщик ransom способен создавать собственные папки в корневых директориях системы (обычно это каталоги Csrss, где присутствует одноименный исполняемый файл csrss.exe). В качестве основного местоположения выбираются папки Windows, System32 или пользовательские директории (Users на системном диске).
Кроме того, вирус-шифровальщик No_more_ransom прописывает в реестре собственные ключи в виде ссылки вроде бы на официальную системную службу Client Server Runtime Subsystem, что многих вводит в заблуждение, поскольку эта служба должна отвечать за взаимодействие клиентского и серверного ПО. Сам ключ располагается в папке Run, добраться до которой можно через ветку HKLM. Понятно, что удалять такие ключи нужно будет вручную.
Чтобы было проще, можно воспользоваться утилитами вроде iObit Uninstaller, которые производят поиск остаточных файлов и ключей реестра автоматически (но только при условии, что вирус в системе виден как установленное приложение). Но это самое простое, что можно сделать.
Решения, предлагаемые разработчиками антивирусного ПО
Расшифровка вируса-шифровальщика, как считается, может производиться при помощи специальных утилит, хотя при наличии технологий с ключом 2048 или 3072 бита на них особо рассчитывать не стоит (к тому же многие из них удаляют файлы после дешифровки, а потом восстарновленные файлы исчезают по вине присутствия тела вируса, которое не было удалено до этого).
Тем не менее попробовать можно. Из всех программ стоит выделить RectorDecryptor и ShadowExplorer. Как считается, пока ничего лучше создано не было. Но проблема может состоять еще и в том, что при попытке применения дешифратора гарантии того, что вылечиваемые файлы не будут удалены, нет. То есть, если не избавиться от вируса изначально, любая попытка дешифрования будет обречена на провал.
Кроме удаления зашифрованной информации может быть и летальный исход - неработоспособной окажется вся система. Кроме того, современный вирус-шифровальщик способен воздействовать не только на данные, хранящиеся на жестком диске компьютера, но и на файлы в облачном хранилище. А тут решений по восстановлению информации нет. К тому же, как оказалось, во многих службах принимаются недостаточно эффективные меры защиты (тот же встроенный в Windows 10 OneDrive, который подвержен воздействию прямо из операционной системы).
Кардинальное решение проблемы
Как уже понятно, большинство современных методик положительного результата при заражении подобными вирусами не дает. Конечно, если есть оригинал поврежденного файла, его можно отправить на экспертизу в антивирусную лабораторию. Правда, весьма серьезные сомнения вызывает и то, что рядовой пользователь будет создавать резервные копии данных, которые при хранении на жестком диске тоже могут подвергнуться воздействию вредоносного кода. А о том, что во избежание неприятностей юзеры копируют информацию на съемные носители, речь не идет вообще.
Таким образом, для кардинального решения проблемы вывод напрашивается сам собой: полное форматирование винчестера и всех логических разделов с удалением информации. А что делать? Придется пожертвовать, если не хотите, чтобы вирус или его самосохраненная копия активировались в системе вновь.
Для этого не стоит использовать средства самих Windows-систем (имеется в виду форматирование виртуальных разделов, поскольку при попытке доступа к системному диску будет выдан запрет). Лучше применять загрузку с оптических носителей вроде LiveCD или установочных дистрибутивов, например созданных при помощи утилиты Media Creation Tool для Windows 10.
Перед началом форматирования при условии удаления вируса из системы можно попытаться произвести восстановление целостности системных компонентов через командную строку (sfc /scannow), но в плане дешифрования и разблокировки данных это эффекта не даст. Поэтому format c: - единственно правильное возможное решение, нравится вам это или нет. Только так и можно полностью избавиться от угроз этого типа. Увы, по-другому - никак! Даже лечение стандартными средствами, предлагаемыми большинством антивирусных пакетов, оказывается бессильным.
Вместо послесловия
В плане напрашивающихся выводов можно сказать только то, что единого и универсального решения по устранению последствий воздействия такого рода угроз на сегодняшний день не существует (печально, но факт - это подтверждено большинством разработчиков антивирусного ПО и специалистами в области криптографии).
Остается неясным, почему появление алгоритмов на основе 1024-, 2048- и 3072-битного шифрования прошло мимо тех, кто непосредственно занимается разработкой и внедрением таких технологий? Ведь на сегодняшний день самым перспективным и наиболее защищенным считается алгоритм AES256. Заметьте! 256! Эта система современным вирусам, как оказывается, и в подметки не годится. Что говорить тогда о попытках расшифровки их ключей?
Как бы то ни было, избежать внедрения угрозы в систему можно достаточно просто. В самом простом варианте следует проверять все входящие сообщения с вложениями в программах Outlook, Thunderbird и в других почтовых клиентах антивирусом сразу же после получения и ни в коем случае не открывать вложения до окончания проверки. Также следует внимательно читать предложения по установке дополнительного ПО при инсталляции некоторых программ (обычно они написаны очень мелким шрифтом или замаскированы под стандартные надстройки вроде обновления Flash Player или чего-то еще). Компоненты мультимедиа лучше обновлять через официальные сайты. Только так и можно хотя бы как-то препятствовать проникновению таких угроз в собственную систему. Последствия могут быть совершенно непредсказуемыми, если учесть, что вирусы этого типа моментально распространяются в локальной сети. А для фирмы такой оборот событий может обернуться настоящим крахом всех начинаний.
Наконец, и системный администратор не должен сидеть без дела. Программные средства защиты в такой ситуации лучше исключить. Тот же файрвол (межсетевой экран) должен быть не программным, а «железным» (естественно, с сопутствующим ПО на борту). И, само собой разумеется, что экономить на приобретении антивирусных пакетов тоже не стоит. Лучше купить лицензионный пакет, а не устанавливать примитивные программы, которые якобы обеспечивают защиту в реальном времени только со слов разработчика.
И если уже угроза в систему все же проникла, последовательность действий должна включать в себя удаление самого тела вируса, а только потом попытки дешифрования поврежденных данных. В идеале - полное форматирование (заметьте, не быстрое с очисткой оглавления, а именно полное, желательно с восстановлением или заменой существующей файловой системы, загрузочных секторов и записей).
Количество вирусов в их привычном понимании становится все меньше, и причиной тому бесплатные антивирусы, которые добротно работают и защищают компьютеры пользователей. При этом далеко не все заботятся о безопасности своих данных, и они рискуют заразиться не только вредоносными программами, но и стандартными вирусами, среди которых наиболее распространенным продолжает оставаться «троян» (Trojan). Он может проявлять себя разными способами, но один из самых опасных – шифровка файлов. Если вирус зашифровал файлы на компьютере, вернуть данные не факт, что получится, но некоторые действенные методы имеются, и о них речь пойдет ниже.
Шифрующий вирус: что собой представляет и как действует
В сети можно найти сотни разновидностей вирусов, которые шифруют файлы. Их действия приводят к одному последствию – данные пользователя на компьютере получают неизвестный формат, который не удается открыть с помощью стандартных программ. Вот лишь некоторые из форматов, в которые могут быть зашифрованы данные на компьютере в результате действия вирусов: .locked, .xtbl, .kraken, .cbf, .oshit и многие другие. В некоторых случаях непосредственно в расширение файлов прописывается e-mail адрес создателей вируса.
Среди наиболее распространенных вирусов, которые шифруют файлы, можно назвать Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni . Они имеют множество форм, и вирус даже может не носить название Trojan (например, CryptoLocker), но действия их практически не отличаются. Регулярно выпускаются новые версии шифрующих вирусов, чтобы создателям антивирусных приложений было сложнее бороться с новыми форматами.
Если шифрующий вирус проник на компьютер, то он обязательно себя проявит не только блокировкой файлов, но и предложением к пользователю разблокировать их за денежную плату. На экране может появиться баннер, на котором будет написано, куда требуется перевести деньги, чтобы снять блокировку с файлов. Когда такой баннер не появляется, следует поискать «письмо» от разработчиков вируса на рабочем столе, такой файл в большинстве случаев называется ReadMe.txt.
В зависимости от разработчиков вируса, расценки на дешифрацию файлов могут различаться. При этом далеко не факт, что при отправке денег создателям вируса, они пришлют обратно способ разблокировки. В большинстве случаев деньги уходят «в никуда», а способ дешифрации пользователь компьютера не получает.
После того как вирус оказался на вашем компьютере и вы увидели на экране код, который требуется отправить на определенный адрес, чтобы получить дешифратор, не стоит этого делать. Первым делом перепишите этот код на листок бумаги, поскольку новый созданный файл может также подвергнуться шифровке. После этого можно закрывать информацию от разработчиков вируса и постараться найти в интернете способ, как избавиться от шифровальщика файлов в вашем конкретном случае. Ниже мы приведем основные программы, которые позволяют удалить вирус и расшифровать файлы, но их нельзя назвать универсальными, и создатели антивирусного обеспечения регулярно расширяют список решений.
Избавиться от вируса, шифрующего файлы, довольно просто с помощью бесплатных версий антивирусов. Хорошо с вирусами, шифрующими файлы, справляются 3 бесплатных программы:
- Malwarebytes Antimalware;
- Dr.Web Cure It ;
- Kaspersky Internet Security.
Отмеченные выше приложения полностью бесплатные или имеют пробные версии. Рекомендуем воспользоваться решением от Dr.Web или Kespersky после того, как вы проверите систему при помощи Malwarebytes Antimalware. Лишний раз напомним, что устанавливать 2 или более антивирусов на компьютер одновременно не рекомендуется, поэтому перед установкой каждого нового решения необходимо удалить предыдущее.
Как мы отмечали выше, идеальным решением проблемы в данной ситуации станет подбор инструкции, которая позволяет справиться конкретно с вашей проблемой. Такие инструкции, чаще всего, размещены на сайтах разработчиков антивирусов. Ниже мы приведем несколько актуальных антивирусных утилит, которые позволяют справиться с различными видами «троянов» и другими типами шифровальщиков.
Выше приведена лишь малая часть антивирусных утилит, которые позволяют расшифровать зараженные файлы. Стоит отметить, что если вы постараетесь просто , стремясь вернуть данные, они, наоборот, будут потеряны навсегда – этого делать не стоит.