Как удалить вирус шифровальщик с компьютера?

Вирус шифровальщик-вымогатель ~xdata~ Как удалить?

Вирус XSata ransomware был обнаружен вчера, 18 мая. XData – это вымогатель, выбирающий функцию Encoder File. Этот конкретный образец ransomware (согласно анализу полезной нагрузки msdcom.

exe) распространяется с помощью троянской программы Heur Trojan, на ее потенциальное присутствие указывали многие средства безопасности. Процесс шифрования, который вирус наносит на цифровые файлы, выполняется с помощью алгоритма AES.

Вероятно, исследователи получили отчеты от нескольких десятков пользователей, объяснив, что их файлы были модифицированы и содержат расширение .xdata.

Характеристики этого вымогательства

В заметке о выкупе жертвам предлагается найти файл ключей ПК, который должен содержать расширение «.key. ~ Data ~». Указывается, что он размещается где-то на диске C: в зависимости от операционной системы.

Жертвы будут рассматриваться по-разному, поскольку выдаются уникальные идентификационные номера. По предыдущему опыту можно предположить, что суммы выкупа будут разными.

Плата может быть установлена по количеству зашифрованных документов, фотографий, видеоматериалов и других типов цифровых файлов.

Несколько учетных записей электронной почты остаются в файле HOW_CAN_I_DECRYPT_MY_FILES.txt: beqins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, trevor@thwonderfulday.com, bob@thwonderfulday.

com, bil@thwonderfulday.com.

Ядром заражения XData является файл msdcom.exe. Исследователи безопасности указывают, что это незапрошенный процесс, и если он запущен в вашем диспетчере задач, вы должны понимать его бесполезность.

Ранее эта потенциально опасная процедура была включена в операционные системы W32 / SDBOT Worm. Теперь этот файл был выбран для извлечения дополнительных исполняемых файлов и начала основного процесса: шифрование файлов.

Он также будет охватывать другие процедуры, такие как создание дополнительных записей в ключах реестра Windows и подключение к серверам C & C.

Не тратьте время на то, чтобы связаться с хакерами по указанным адресам электронной почты. Crooks только расскажет о точном выкупе и о том, к какому кошельку биткойнов он должен прийти. Даже если вы соблюдаете правила и отправляете им требуемый сбор, вы не можете быть уверены в возврате своих файлов.

Авторы Ransomware имеют тенденцию к исчезновению после того, как их учетные записи заполнены биткойнами. Это означают, что вы потеряли свои деньги. Поскольку нет ограничений времени для выплаты выкупа, у вас есть много времени, чтобы расшифровать ваши файлы, не опасаясь, что они будут окончательно уничтожены.

Как восстановить файлы?

Пока оригинальный дешифратор не создан, но всегда есть шанс найти выход. Вместо того чтобы платить за выкуп, надо изучить дополнительные варианты.

Например, копии теневого тома могут быть нетронутыми, и их восстановление возможно.

Если Вы были достаточно осторожны и хранили файлы в хранилищах резервных копий, вам просто нужно удалить вирус и найти данные в хранилище. Чтобы избавиться от всех следов вредоносных процедур, рекомендуется использовать Reimage , Spyhunter или Hitman для обнаружения и удаления XData ransomware.

Потенциальные методы передачи вредоносных данных

Вредоносные исполняемые файлы могут быть в письмах электронной почты в Вашем почтовом ящике. Такие спам – сообщения обычно притворяются уважаемыми авторитетами, тогда как на самом деле их создатели являются хакерами.

Не загружайте файлы, которые включены в качестве вложений, так как они с большой вероятностью могут запускать различные типы вредоносных процедур. Кроме того, вымогатели могли войти благодаря уязвимым веб-сайтам, испорченным рекламным объявлениям.

Совместное использование равноправных узлов тоже играет огромную роль в распространении троянов.

Шаг 1. Восстановите систему в последнее состояние, используя восстановление

Перезагрузите компьютер в безопасном режиме с помощью командной строки.
Для Windows 7 / Vista / XP

1. Пуск → Выключение → Перезапустить → OK .
2. Нажимайте клавишу F8, пока не появится окно «Дополнительные параметры загрузки».
3. Выберите безопасный режим с командной строкой . 

Windows 7 переходит в безопасный режим.

Для Windows 8/10

1. Нажмите на завершении работы на панели пуск и удерживая кнопку Shift  на клавиатуре нажимаем на  « Перезагрузить»
2. Выберите « Устранение неполадок» → « Дополнительные параметры» → « Параметры автозагрузки» и нажмите « Перезагрузить».
3. Когда он загружается, выберите « Включить безопасный режим» с помощью командной строки из списка «Параметры запуска». Windows 8-10 переходит в безопасный режим.

1.  Когда компьютер загружается в режиме командной строки, введите cd restore и нажмите Enter.

2. Затем введите rstrui.exe и снова нажмите Enter. 
3. В появившихся окнах CMD Нажмите «Далее» .
4. Выберите одну из Точек восстановления, доступных до проникновения в вашу систему вируса XData, и нажмите «Далее».
5. Чтобы запустить Восстановление системы, нажмите «Да».

Шаг 2. Полное удаление Xansheet ransomware

После восстановления системы рекомендуется выполнить сканирование на компьютере с помощью программы защиты от вредоносных программ, например Reimage, и удалить все вредоносные файлы, связанные с вирусом XData. 

Шаг 3. Восстановите поврежденные Xans-файлы с помощью копий теневого тома

Если вы не используете опцию System Restore в вашей операционной системе, есть шанс использовать снимки теневой копии. Они хранят копии ваших файлов в момент времени, когда был создан снимок системы. Обычно XData-вирус пытается удалить все возможные копии теневого тома, поэтому эти методы могут не работать на всех компьютерах. Однако попробовать можно.

Копии теневого тома доступны только для Windows XP с пакетом обновления 2 (SP2), Windows Vista, Windows 7 и Windows 8. Существует два способа получения файлов с помощью Shadow Volume Copy. Это можно сделать с использованием предыдущих версий Windows или через Shadow Explorer.

A) Исходные версии файла

Щелкните правой кнопкой мыши на зашифрованном файле и выберите « Свойства» → вкладка « Предыдущие версии ». Теперь вы увидите все доступные копии этого конкретного файла и время, когда оно было сохранено в Копии теневого тома.

Выберите версию файла, который вы хотите получить, и нажмите «Копировать», если вы хотите сохранить его в какой-то свой собственный каталог, или «Восстановить», если вы хотите заменить существующий зашифрованный файл.

Если вы хотите сначала просмотреть содержимое файла, просто нажмите «Открыть».

Б) Shadow Explorer

Эту программу можно найти онлайн бесплатно. Вы можете загрузить полную или портативную версию Shadow Explorer. Откройте программу. В левом верхнем углу выберите диск, где хранятся файлы, которые вы ищете. Вы увидите все папки на этом диске. Чтобы загрузить целую папку, щелкните ее правой кнопкой мыши и выберите «Экспорт». Затем выберите, где вы хотите сохранить его.

Шаг 4. Используйте программы для восстановления данных зашифрованных XData ransomware

Существует несколько программ восстановления данных, которые также могут восстанавливать зашифрованные файлы. Это работает не во всех случаях, но вы можете попробовать следующее:

Скачате Data Recovery Pro, установите и отсканируйте недавно удаленные файлы.

Примечание. Во многих случаях невозможно восстановить файлы данных, подверженные влиянию современных вымогателей. Поэтому я рекомендую использовать приличное ПО для резервного копирования в облаке в качестве меры предосторожности. Мы рекомендуем проверить Carbonite, BackBlaze, CrashPlan или Mozy Home.

Так же мы рекомендуем ознакомится с статьей как оберечь свой компьютер о заражению любого вируса, для этого нужно выполнить несколько действий по настройки безопасности Wndows и установить надежный антивирус который справится со всеми угрозами. Боле подробно об этом читайте в нашей статье: “Защита от шифровальщиков-вымогателей“

Статья переведена с английского сайтом ITHelpBLOG.pro, оригинала на сайте: 2-viruses.com

Источник: https://ithelpblog.pro/2017/05/virus-shifrovalshhik-vymogatel-xdata-kak-u/

Вирус шифровальщик — что делать и как быть?

Приветствую вас уважаемый читатель!

В этой заметке хочу поделиться своим опытом, пусть он и горький, но уверен пригодится многим.

Буквально на днях имел неосторожность «подцепить очень интересный вирус» :))
Я таких, если честно, ещё не встречал.

Такие вирусы называют шифровщиками или шифровальщиками, в среде аналитиков часто называют Encoder'ы
Антивирус NOD32 зовёт его MSIL/Injector.IPX или что-то в этом роде.

Но суть не в этом.Суть в том, что этот вирус, подло и без спроса, начинает шифровать документы на вашем компьютере.Это файлы в форматах .jpg, .txt, .rtf, .doc, .xls, .zip 

В общем все форматы в которых чаще всего хранятся важные документы. Да, и в том числе даже базы 1С (владельцы инет-магазинов тоже могут влететь).

Шифрует он специальным алгоритмом, и заодно переименовывает файл во что-то типа: README.txt.Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Для расшифровки нужен специальный дешифратор, найти который не всегда просто.

В итоге папки на моём компьютере стали выглядеть примерно таким образом.

А раньше это были фотографии

В общем их не открыть, не расшифровать, не переименовать просто так нельзя.

Как поймать себе такого же вирика?

Это очень просто.
Способ №1.Например, вам или вашим сотрудникам приходит письмо с темой: «Уведомление от налоговой» или «Письмо от судебных приставов» или что то в этом духе.

В письме есть вложение, открыв которое запускается вирус.

Способ №2.
Вам приходит письмо на почту или сообщение в социальных сетях, типа: «Олег, привет, слушай я тут нашёл классную вещь, посмотри-ка: ссылка куда-то»
После перехода по ссылке вирус пробирается на ваш компьютер.

Способ №3.Вы решили скачать какой-нибудь файлик с неизвестного сайта или трекера.

Распаковав его, запускается вирус.

И что примечательно, практически ни один антивирус не может его остановить. Надеюсь, это временно.Потому что посмотрев форумы по безопасности, встречаются пользователи и Dr.Web, и NOD32 и Касперского и т.д.

Кстати, бесплатные антивирусы даже не могут удалить такие вирусы-шифраторы.

В моём случае, вирус попал 2-ым способом.Пришло письмо от подписчика, с просьбой посмотреть какие-то опционы.Сам я критично отношусь ко всяким опционам, лохотронам и подобным вещам.

Но чёрт дёрнул меня посмотреть и открыть ссылку, я естественно от подписчика не ожидал такого подвоха…

Но как я понял, скорее всего его почту взломали и просто рассылали спам.
Потому что с этим человеком мы часто вели переписку.

Что делать, если вирус-шифровальщик попал на ваш компьютер?

Определить его работу, в принципе не сложно.
У компьютера сразу появляются тормоза, страницы загружаются очень медленно, если на рабочем столе есть какие то документы, то они станут переименовываться.

Если у вас подключено облачное хранилище файлов, типа Яндекс.Диска, то первым признаком может стать начало внезапной синхронизации.Так было и у меня. Поэтому и вызвало недоумение…

Вроде ничего не сохранял, а синхронизация началась.

Если такие признаки обнаружены, то первым делом вырубайте интернет (кабель или Wi-Fi)После этого быстро выключайте или перезагружайте компьютер. 

Это поможет сохранить хотя бы какие-то файлы.

После этого сразу запускайте сканирование антивирусом.
При нахождении угроз, не удаляйте их, а поместите в карантин (Очистить / Изолировать)

Чего делать нельзя?

Эти рекомендации дают антивирусные лаборатории:

• нельзя изменять расширение закодированных файлов
• удалять закодированные файлы и самостоятельно лечить их антивирусом
• очищать кеш браузера и папки с временными файлами
• переустанавливать операционную систему
• самостоятельно использовать дешифраторы с форумов
• платить злоумышленникам (не факт, что они пришлют дешифратор)

Куда обращаться?

Первым делом нужно написать в техническую поддержку разработчиков вашего антивируса.Там вам должны сказать что делать дальше. По крайней мере в NOD32 и Dr.Web точно скажут.

Им нужно будет прислать зашифрованные файлы, тело вируса и реестр, как это сделать вам расскажут в техподдержке.

Также желательно написать заявление в полицию, потому что это преступление.Но в этом случае ваш компьютер могут изъять на какое то время, для анализа.

Тут дело ваше (фрилансеры конечно, вряд ли согласятся на это).

Как обезопасить себя?

Самое первое и самое важное — это регулярно производить резервное копирование данных с вашего компьютера.

Дело даже НЕ в том что можно подхватить вирус шифровальщик, и он уничтожит всю вашу информацию.Дело в том, что современные жёсткие диски живут не очень долго.

2-3 года и им может прийти кирдык.

И все важные данные, фотографии, документы, базы 1С, отчёты и т.д., могут потеряться в один миг.

Резервное копирование процесс немного замороченный, но лучше потратить пару часов на решении этого вопроса, чем потом потерять дни, месяцы и даже годы своей работы.Как правильно делать резервное копирование вы можете посмотреть у моего коллеги, он посвятил этому много времени:

Резервное копирование: как за 15-20 минут восстановить Windows

И второе — не переходите по ссылкам в письмах от незнакомых адресатов, и в письмах со странным содержанием.Не открывайте вложения в письмах, особенно всякие уведомления от налоговых инспекций, прокуратур и т.д.

Они не присылают письма по электронной почте, они шлют обычной почтой. Даже отдел «К» МВД РФ.

 

К тому же в письме можно посмотреть адрес отправителя и сравнить его с реальным адресом той службы от которой якобы пришло письмо.

Чем всё закончилось..

Сейчас лаборатория NOD32 работает над созданием дешифратора, сколько времени на это уйдёт и будет ли результат — я не знаю.В моём случае потери не велики, т.к. я делал частичное резервное копирование, но всё же некоторые файлы, которые для меня имеют значение, были повреждены.Я конечно, мог бы махнуть на них рукой, но немного жалко.

Поэтому придётся ждать дешифратор.

Об итогах напишу…

UPD: Что в итоге получилось.

В итоге лаборатория ESET NOD32 не сделала ничего. Они даже забыли про моё обращение, пришлось писать им заново.Сказали что работают над дешифратором, а когда он будет готов неизвестно.

Из переписки стало понятно, что им не хочется со мной возиться. 

В Dr.Web кстати решили проблему буквально за несколько дней, а в NOD 32 решают уже 4-ый месяц.Но покупать лицензию и продукты Dr.Web, чтобы расшифровать свои файлы, я не горю желанием.

Ещё NOD32 не кончился.

А зашифрованные файлы пришлось удалить.
Хорошо что среди них не было очень важных. Правда кое какие потери были, но они не такие страшные, как могли бы быть.

Желаю вам успехов! Не попадайтесь, будьте бдительны.Сейчас такие письма стали рассылать ещё чаще.

Предупреждён — значит вооружён!

С уважением, Олег Касьянов.

Источник: https://kasyanov.info/good/33

Инструкция: Как расшифровать файлы и удалить шифрующий вирус с компьютера

Количество вирусов в их привычном понимании становится все меньше, и причиной тому бесплатные антивирусы, которые добротно работают и защищают компьютеры пользователей.

При этом далеко не все заботятся о безопасности своих данных, и они рискуют заразиться не только вредоносными программами, но и стандартными вирусами, среди которых наиболее распространенным продолжает оставаться «троян» (Trojan). Он может проявлять себя разными способами, но один из самых опасных – шифровка файлов.

Если вирус зашифровал файлы на компьютере, вернуть данные не факт, что получится, но некоторые действенные методы имеются, и о них речь пойдет ниже.

Шифрующий вирус: что собой представляет и как действует

В сети можно найти сотни разновидностей вирусов, которые шифруют файлы. Их действия приводят к одному последствию – данные пользователя на компьютере получают неизвестный формат, который не удается открыть с помощью стандартных программ.

Вот лишь некоторые из форматов, в которые могут быть зашифрованы данные на компьютере в результате действия вирусов: .locked, .xtbl, .kraken, .cbf, .oshit и многие другие.

В некоторых случаях непосредственно в расширение файлов прописывается e-mail адрес создателей вируса.

Они имеют множество форм, и вирус даже может не носить название Trojan (например, CryptoLocker), но действия их практически не отличаются.

Регулярно выпускаются новые версии шифрующих вирусов, чтобы создателям антивирусных приложений было сложнее бороться с новыми форматами.

Если шифрующий вирус проник на компьютер, то он обязательно себя проявит не только блокировкой файлов, но и предложением к пользователю разблокировать их за денежную плату.

На экране может появиться баннер, на котором будет написано, куда требуется перевести деньги, чтобы снять блокировку с файлов.

Когда такой баннер не появляется, следует поискать «письмо» от разработчиков вируса на рабочем столе, такой файл в большинстве случаев называется ReadMe.txt.

В зависимости от разработчиков вируса, расценки на дешифрацию файлов могут различаться. При этом далеко не факт, что при отправке денег создателям вируса, они пришлют обратно способ разблокировки. В большинстве случаев деньги уходят «в никуда», а способ дешифрации пользователь компьютера не получает.

Как расшифровать файлы и удалить вирус

После того как вирус оказался на вашем компьютере и вы увидели на экране код, который требуется отправить на определенный адрес, чтобы получить дешифратор, не стоит этого делать. Первым делом перепишите этот код на листок бумаги, поскольку новый созданный файл может также подвергнуться шифровке.

После этого можно закрывать информацию от разработчиков вируса и постараться найти в интернете способ, как избавиться от шифровальщика файлов в вашем конкретном случае.

Ниже мы приведем основные программы, которые позволяют удалить вирус и расшифровать файлы, но их нельзя назвать универсальными, и создатели антивирусного обеспечения регулярно расширяют список решений.

Как удалить дешифратор Trojan Ransom

Избавиться от вируса, шифрующего файлы, довольно просто с помощью бесплатных версий антивирусов. Хорошо с вирусами, шифрующими файлы, справляются 3 бесплатных программы:

• Malwarebytes Antimalware;
• Dr.Web Cure It ;
• Kaspersky Internet Security.

Отмеченные выше приложения полностью бесплатные или имеют пробные версии. Рекомендуем воспользоваться решением от Dr.

Web или Kespersky после того, как вы проверите систему при помощи Malwarebytes Antimalware.

Лишний раз напомним, что устанавливать 2 или более антивирусов на компьютер одновременно не рекомендуется, поэтому перед установкой каждого нового решения необходимо удалить предыдущее.

Как расшифровать файлы после действий вируса

Как мы отмечали выше, идеальным решением проблемы в данной ситуации станет подбор инструкции, которая позволяет справиться конкретно с вашей проблемой. Такие инструкции, чаще всего, размещены на сайтах разработчиков антивирусов. Ниже мы приведем несколько актуальных антивирусных утилит, которые позволяют справиться с различными видами «троянов» и другими типами шифровальщиков.

• Kaspersky RannohDecryptor. Утилиту бесплатно можно установить с официального сайта разработчиков. Она предназначена для расшифровки файлов после действий «троянов» Win32.Rannoh, Win32.Aura, Win32.Rakhni, Win32.Fury и некоторых других вариантов вируса;
• Kaspersky XoristDecryptor. Расшифровывает на компьютере пользовательские файлы после «трояна» Win32.Xorist и некоторых его разновидностей;
• Dr.Web. На сайте данного антивируса можно найти утилиты, которые расшифруют файлы после действий множества вирусов, в том числе Encoder.741 – одного из самых распространенных шифровальщиков файлов;
• Decryptcryptolocker.com. После действий вируса CryptoLocker данный сайт позволяет расшифровать файлы. Чтобы получить код дешифрации, необходимо один из зашифрованных файлов загрузить создателям сайта, он будет проанализирован, и в ответ вы получите код.

Выше приведена лишь малая часть антивирусных утилит, которые позволяют расшифровать зараженные файлы. Стоит отметить, что если вы постараетесь просто изменить расширение файла, стремясь вернуть данные, они, наоборот, будут потеряны навсегда – этого делать не стоит.

Процесс шифрования файлов в некоторых случаях можно успеть заметить и прервать (удалив шифрующий вирус из списка активных задач или срочно выключив компьютер), но после этого в любом случае придется бороться с последствиями из-за части зашифрованных данных.

(426 голос., 4,57 из 5)
Загрузка…

Источник: https://okeygeek.ru/shifruyushhijj-virus-kak-udalit-i-rasshifrovat-fajjly/

Вирус шифровальщик: что делать если он зашифровал файлы

Современные технологии позволяют хакерам постоянно совершенствовать способы мошенничества по отношению к обычным пользователям. Как правило, для этих целей используется вирусное ПО, проникающее на компьютер.

Особенно опасным считаются вирусы-шифровальщики. Угроза заключается в том, что вирус очень быстро распространяется, зашифровывая файлы (пользователь попросту не сможет открыть ни один документ).

И если удалить вирус-шифровальщик довольно просто, то куда сложнее расшифровать данные.

Что делать, если вирус зашифровал файлы на компьютере

Подвергнуться атаке шифровальщика может каждый, не застрахованы даже пользователи, у которых стоит мощное антивирусное ПО.

Трояны шифровальщики файлов представлены различным кодом, который может быть не под силу антивирусу.

Хакеры даже умудряются атаковать подобным способом крупные компании, которые не позаботились о необходимой защите своей информации. Итак, «подцепив» в онлайне программу шифровальщик, необходимо принять ряд мер.

1. Перезапустите компьютер, чтобы прервать шифрование. При включении не подтверждайте запуск неизвестных программ.
2. Запустите антивирус, если он не подвергся атаке шифровальщика.
3. Восстановить информацию в некоторых случаях помогут теневые копии. Чтобы найти их, откройте «Свойства» зашифрованного документа. Этот способ работает с зашифрованными данными расширения Vault, о котором есть информация на портале.
4. Скачайте утилиту последней версии для борьбы с вирусами-шифровальщиками. Наиболее эффективные предлагает «Лаборатория Касперского».

Вирусы-шифровальщики в 2016: примеры

При борьбе с любой вирусной атакой важно понимать, что код очень часто меняется, дополняясь новой защитой от антивирусов. Само собой, программам защиты нужно какое-то время, пока разработчик не обновит базы. Нами были отобраны самые опасные вирусы-шифровальщики последнего времени.

Подробнее об одном из самых опасных и распространенных вредоносных кодов читайте здесь: что такое no_more_ransom

Ishtar Ransomware

Ishtar – шифровальщик, вымогающий у пользователя деньги. Вирус был замечен осенью 2016 года, заразив огромное число компьютеров пользователей из России и ряда других стран.

Распространяется при помощи email-рассылки, в которой идут вложенные документы (инсталляторы, документы и т.д.). Зараженные шифровальщиком Ishtar данные, получают в названии приставку «ISHTAR».

В процессе создается тестовый документ, в котором указано, куда обратиться за получением пароля. Злоумышленники требует за него от 3000 до 15000 рублей.

Опасность вируса Ishtar в том, что на сегодняшний день нет дешифратора, который бы помог пользователям. Компаниям, занимающимся созданием антивирусного ПО, необходимо время, чтобы расшифровать весь код.

Сейчас можно лишь изолировать важную информацию (если представляют особую важность) на отдельный носитель, дожидаясь выхода утилиты, способной расшифровать документы.

Рекомендуется переустановить операционную систему.

Neitrino

Шифровальщик Neitrino появился на просторах Сети в 2015 году. По принципу атаки схож с другими вирусами подобной категории. Изменяет наименования папок и файлов, добавляя «Neitrino» или «Neutrino».

Дешифрации вирус поддается с трудом – берутся за это далеко не все представители антивирусных компаний, ссылаясь на очень сложный код. Некоторым пользователям может помочь восстановление теневой копии.

Для этого кликните правой кнопкой мыши по зашифрованному документу, перейдите в «Свойства», вкладка «Предыдущие версии», нажмите «Восстановить». Не лишним будет воспользоваться и бесплатной утилитой от «Лаборатории Касперского».

Wallet или [denied@india.com].wallet

Появился вирус-шифровальщик Wallet в конце 2016 года. В процессе заражения меняет наименование данных на «Имя.[stopper@india.com].wallet» или похожее. Как и большинство вирусов-шифровальщиков, попадает в систему через вложения в электронных письмах, которые рассылают злоумышленники.

Так как угроза появилась совсем недавно, антивирусные программы не замечают его. После шифрации создает документ, в котором мошенник указывает почту для связи. В настоящее время разработчики антивирусного ПО работают над расшифровкой кода вируса-шифровальщика denied@india.com. Пользователям, подвергшимся атаке, остается лишь ждать.

Если важны данные, то рекомендуется их сохранить на внешний накопитель, очистив систему.

Enigma

Вирус-шифровальщик Enigma начал заражать компьютеры российских пользователей в конце апреля 2016 года. Используется модель шифрования AES-RSA, которая сегодня встречается в большинстве вирусов-вымогателей. На компьютер вирус проникает при помощи скрипта, который запускает сам пользователь, открыв файлы из подозрительного электронного письма.

До сих пор нет универсального средства для борьбы с шифровальщиком Enigma. Пользователи, имеющие лицензию на антивирус, могут попросить о помощи на официальном сайте разработчика. Так же была найдена небольшая «лазейка» – Windows UAC.

Если пользователь нажмет «Нет» в окошке, которое появляется в процессе заражения вирусом, то сможет впоследствии восстановить информацию при помощи теневых копий.

Granit

Новый вирус-шифровальщик Granit появился в Сети осенью 2016 года. Заражение происходит по следующему сценарию: пользователь запускает инсталлятор, который заражает и шифрует все данные на ПК, а также подключенных накопителях. Бороться с вирусом сложно.

Для удаления можно воспользоваться специальными утилитами от Kaspersky, но расшифровать код еще не удалось. Возможно, поможет восстановление предыдущих версий данных. Помимо этого, расшифровать может специалист, который имеет большой опыт, но услуга стоит дорого.

Tyson

Был замечен недавно. Является расширением уже известного шифровальщика no_more_ransom, о котором вы можете узнать на нашем сайте. Попадает на персональные компьютеры из электронной почты. Атаке подверглось много корпоративных ПК.

Вирус создает текстовый документ с инструкцией для разблокировки, предлагая заплатить «выкуп». Шифровальщик Tyson появился недавно, поэтому ключа для разблокировки еще нет. Единственный способ восстановить информацию – вернуть предыдущие версии, если они не подверглись удалению вирусом.

Можно, конечно, рискнуть, переведя деньги на указанный злоумышленниками счет, но нет гарантий, что вы получите пароль.

Spora

В начале 2017 года ряд пользователей стал жертвой нового шифровальщика Spora. По принципу работы он не сильно отличается от своих собратьев, но может похвастаться более профессиональным исполнением: лучше составлена инструкция по получению пароля, веб-сайт выглядит красивее.

Создан вирус-шифровальщик Spora на языке С, использует сочетание RSA и AES для шифрования данных жертвы. Атаке подверглись, как правило, компьютеры, на которых активно используется бухгалтерская программа 1С. Вирус, скрываясь под видом простого счета в формате .pdf, заставляет работников компаний запускать его.

Лечение пока не найдено.

1C.Drop.1

Этот вирус-шифровальщик для 1С появился летом 2016 года, нарушив работу многих бухгалтерий. Разработан был специально для компьютеров, на которых используется программное обеспечение 1С. Попадая посредством файла в электронном письме на ПК, предлагает владельцу обновить программу.

Какую бы кнопку пользователь не нажал, вирус начнет шифрование файлов. Над инструментами для расшифровки работают специалисты «Dr.Web», но пока решения не найдено. Виной тому сложный код, который может быть в нескольких модификациях. Защитой от 1C.Drop.

1 становится лишь бдительность пользователей и регулярное архивирование важных документов.

da_vinci_code

Новый шифровальщик с необычным названием. Появился вирус весной 2016 года. От предшественников отличается улучшенным кодом и стойким режимом шифрования. da_vinci_code заражает компьютер благодаря исполнительному приложению (прилагается, как правило, к электронному письму), который пользователь самостоятельно запускает.

Шифровальщик «да Винчи» (da vinci code) копирует тело в системный каталог и реестр, обеспечивая автоматический запуск при включении Windows. Компьютеру каждой жертвы присваивается уникальный ID (помогает получить пароль). Расшифровать данные практически невозможно.

Можно заплатить деньги злоумышленникам, но никто не гарантирует получения пароля.

yvonne.vancese1982@gmail.com / Novikov.Vavila@gmail.com

Два адреса электронной почты, которыми часто сопровождались вирусы-шифровальщики в 2016 году. Именно они служат для связи жертвы со злоумышленником.

Прилагались адреса к самым разным видам вирусов: da_vinci_code, no_more_ransom и так далее. Крайне не рекомендуется связываться, а также переводить деньги мошенникам. Пользователи в большинстве случаев остаются без паролей.

Таким образом, показывая, что шифровальщики злоумышленников работают, принося доход.

Breaking Bad

Появился еще в начале 2015 года, но активно распространился только через год. Принцип заражения идентичен другим шифровальщикам: инсталляция файла из электронного письма, шифрование данных.

Обычные антивирусы, как правило, не замечают вирус Breaking Bad. Некоторый код не может обойти Windows UAC, поэтому у пользователя остается возможность восстановить предыдущие версии документов.

Дешифратора пока не представила ни одна компания, разрабатывающая антивирусное ПО.

XTBL

Очень распространенный шифровальщик, который доставил неприятности многим пользователям. Попав на ПК, вирус за считанные минуты изменяет расширение файлов на .xtbl. Создается документ, в котором злоумышленник вымогает денежные средства.

Некоторые разновидности вируса XTBL не могут уничтожить файлы для восстановления системы, что позволяет вернуть важные документы. Сам вирус можно удалить многими программами, но расшифровать документы очень сложно.

Если является обладателем лицензионного антивируса, воспользуйтесь технической поддержкой, приложив образцы зараженных данных.

Kukaracha

Шифровальщик «Кукарача» был замечен в декабре 2016 года. Вирус с интересным названием скрывает пользовательские файлы при помощи алгоритма RSA-2048, который отличается высокой стойкостью.

Антивирус Kaspersky обозначил его как Trojan-Ransom.Win32.Scatter.lb. Kukaracha может быть удален с компьютера, чтобы заражению не подверглись другие документы.

Однако зараженные на сегодняшний день практически невозможно расшифровать (очень мощный алгоритм).

Как работает вирус-шифровальщик

Существует огромное число шифровальщиков, но все они работают по схожему принципу.

1. Попадание на персональный компьютер. Как правило, благодаря вложенному файлу к электронному письму. Инсталляцию при этом инициирует сам пользователь, открыв документ.
2. Заражение файлов. Подвергаются шифрации практически все типы файлов (зависит от вируса). Создается текстовый документ, в котором указаны контакты для связи со злоумышленниками.
3. Все. Пользователь не может получить доступа ни к одному документу.

Средства борьбы от популярных лабораторий

Широкое распространение шифровальщиков, которые признаются наиболее опасными угрозами для данных пользователей, стало толчком для многих антивирусных лабораторий. Каждая популярная компания предоставляет своим пользователям программы, помогающие бороться с шифровальщиками. Кроме того, многие из них помогают с расшифровкой документов защитой системы.

Kaspersky и вирусы-шифровальщики

Одна из самых известных антивирусных лабораторий России и мира предлагает на сегодня наиболее действенные средства для борьбы с вирусами-вымогателями. Первой преградой для вируса-шифровальщика станет Kaspersky Endpoint Security 10 с последними обновлениями.

Антивирус попросту не пропустит на компьютер угрозу (правда, новые версии может не остановить). Для расшифровки информации разработчик представляет сразу несколько бесплатных утилит: RectorDecryptor, XoristDecryptor, RakhniDecryptor и Ransomware Decryptor.

Они помогают отыскивать вирус и подбирают пароль.

Dr. Web и шифровальщики

Эта лаборатория рекомендует использовать их антивирусную программу, главной особенностью которой стало резервирование файлов.

Хранилище с копиями документов, кроме того, защищено от несанкционированного доступа злоумышленников. Владельцам лицензионного продукта Dr. Web доступна функция обращения за помощью в техническую поддержку.

Правда, и опытные специалисты не всегда могут противостоять этому типу угроз.

ESET Nod 32 и шифровальщики

В стороне не осталась и эта компания, обеспечивая своим пользователям неплохую защиту от проникновения вирусов на компьютер. Кроме того, лаборатория совсем недавно выпустила бесплатную утилиту с актуальными базами – Eset Crysis Decryptor. Разработчики заявляют, что она поможет в борьбе даже с самыми новыми шифровальщиками.

Источник: https://xakepam.net/virus-shifrovalshhik/

Вирус-шифровальщик: что делать? Как расшифровать файлы?

«Извините что побеспокоили, но… ваши файлы зашифрованы. Чтобы получить ключ для расшифровки, срочно переведите энную сумму денег на кошелек… Иначе ваши данные будут уничтожены безвозвратно. У вас 3 часа, время пошло». И это не шутка. Вирус-шифровальщик – угроза более чем реальная.

Сегодня поговорим, что представляют собой распространившиеся в последние годы вредоносные программы-шифровальщики, что делать в случае заражения, как вылечить компьютер и возможно ли это вообще, а также как от них защититься.

[NEW] и F1 на начало 2019 года:
ноутбуки, роутеры для дома, Power bank, SSD, Smart TV приставки с поддержкой 4K UHD, игровые видеокарты, процессоры для ПК, усилители Wi-Fi, смартфоны до 10000 рублей, планшеты для интернет-серфинга, антивирусы

Шифруем всё!

Вирус-шифровальщик (шифратор, криптор) – особая разновидность вредоносных программ-вымогателей, чья деятельность заключается в шифровании файлов пользователя и последующем требовании выкупить средство расшифровки. Суммы выкупа начинаются где-то от $200 и достигают десятков и сотен тысяч зеленых бумажек.

Несколько лет назад атакам зловредов этого класса подвергались только компьютеры на базе Windows. Сегодня их ареал расширился до, казалось бы, хорошо защищенных Linux, Mac и Андроид.

Кроме того, постоянно растет видовое разнообразие шифраторов – одна за другой появляются новинки, которым есть чем удивить мир.

Так, громкая пандемия WannaCry возникла благодаря «скрещиванию» классического трояна-шифровальщика и сетевого червя (вредоносной программы, которая распространяется по сетям без активного участия пользователей).

Все больше шифровальщиков, особенно увидевших свет в последние 3-5 лет, используют стойкие криптографические алгоритмы, которые невозможно взломать ни перебором ключей, ни иными существующими средствами.

Единственная возможность восстановить данные – воспользоваться оригинальным ключом, который предлагают купить злоумышленники. Однако даже перечисление им требуемой суммы не гарантирует получение ключа.

Преступники не торопятся раскрывать свои секреты и терять потенциальную прибыль. Да и какой им смысл выполнять обещания, если деньги уже у них?

Пути распространения вирусов-шифраторов

Основной путь попадания вредоноса на компьютеры частных пользователей и организаций – электронная почта, точнее, приложенные к письмам файлы и ссылки.

Пример такого письма, предназначенный для «корпоративных клиентов»:

Кликнуть по ссылке или запустить троянский файл побуждает содержание письма. Злоумышленники часто используют такие сюжеты:

• «Срочно погасите долг по кредиту».
• «Исковое заявление подано в суд».
• «Оплатите штраф/взнос/налог».
• «Доначисление коммунального платежа».
• «Ой, это ты на фотографии?»
• «Лена попросила срочно передать это тебе» и т. д.

Согласитесь, только знающий пользователь отнесется к такому письму с настороженностью. Большинство, не задумываясь, откроет вложение и запустит вредоносную программу своими руками. Кстати, невзирая на вопли антивируса.

Также для распространения шифровальщиков активно используются:

• Социальные сети (рассылка с аккаунтов знакомых и незнакомых людей).
• Вредоносные и зараженные веб-ресурсы.
• Баннерная реклама.
• Рассылка через мессенджеры со взломанных аккаунтов.
• Сайты-варезники и распространители кейгенов и кряков.
• Сайты для взрослых.
• Магазины приложений и контента.

Проводниками вирусов-шифраторов нередко бывают другие вредоносные программы, в частности, демонстраторы рекламы и трояны-бэкдоры.

Последние, используя уязвимости в системе и ПО, помогают преступнику получить удаленный доступ к зараженному устройству. Запуск шифровальщика в таких случаях не всегда совпадает по времени с потенциально опасными действиями пользователя.

Пока бэкдор остается в системе, злоумышленник может проникнуть на устройство в любой момент и запустить шифрование.

Для заражения компьютеров организаций (ведь у них можно отжать больше, чем у домашних юзеров) разрабатываются особо изысканные методы. Например, троянец Petya проникал на устройства через модуль обновления программы для ведения налогового учета MEDoc.

Шифровальщики с функциями сетевых червей, как уже говорилось, распространяются по сетям, в том числе Интернет, через уязвимости протоколов. И заразиться ими можно, не делая ровным счетом ничего. Наибольшей опасности подвергаются пользователи редкообновляемых ОС Windows, поскольку обновления закрывают известные лазейки.

Некоторые зловреды, такие, как WannaCry, эксплуатируют уязвимости 0-day (нулевого дня), то есть те, о которых пока не знают разработчики систем.

И пока оно намечает новые жертвы, разработчики систем успевают выпустить спасительное обновление.

Как ведет себя шифровальщик на зараженном компьютере

Процесс шифрования, как правило, начинается незаметно, а когда его признаки становятся очевидными, спасать данные уже поздно: к тому времени вредонос зашифровал всё, до чего дотянулся. Иногда пользователь может заметить, как у файлов в какой-нибудь открытой папке изменилось расширение.

Беспричинное появление у файлов нового, а иногда второго расширения, после чего они перестают открываться, стопроцентно указывает на последствия атаки шифровальщика. Кстати, по расширению, которое получают поврежденные объекты, обычно удается идентифицировать зловреда.

Пример, какими могут быть расширения зашифрованных файлов:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn и т. д.

Вариантов масса, и уже завтра появятся новые, поэтому перечислять все особого смысла нет. Для определения типа заражения достаточно скормить несколько расширений поисковой системе.

Другие симптомы, которые косвенно указывают на начало шифрования:

• Появление на экране на доли секунды окон командной строки. Чаще всего это нормальное явление при установке обновлений системы и программ, но без внимания его лучше не оставлять.
• Запросы UAC на запуск какой-нибудь программы, которую вы не собирались открывать.
• Внезапная перезагрузка компьютера с последующей имитацией работы системной утилиты проверки диска (возможны и другие вариации). Во время «проверки» происходит процесс шифрования.

После успешного окончания вредоносной операции на экране появляется сообщение с требованием выкупа и различными угрозами.

Вымогатели шифруют значительную часть пользовательских файлов: фотографий, музыки, видео, текстовых документов, архивов, почты, баз данных, файлов с расширениями программ и т. д. Но при этом не трогают объекты операционной системы, ведь злоумышленникам не нужно, чтобы зараженный компьютер перестал работать. Некоторые вирусы подменяют собой загрузочные записи дисков и разделов.

После шифрования из системы, как правило, удаляются все теневые копии и точки восстановления.

Как вылечить компьютер от шифровальщика

Удалить из зараженной системы вредоносную программу просто – с большинством из них без труда справляются почти все антивирусы. Но! Наивно полагать, что избавление от виновника приведет к решению проблемы: удалите вы вирус или нет, а файлы все равно останутся зашифрованными. Кроме того, в ряде случаев это усложнит их последующую расшифровку, если она возможна.

Правильный порядок действий при начале шифрования

• Как только вы заметили признаки шифрования, немедленно отключите питание компьютера нажатием и удержанием кнопки Power в течение 3-4 секунд. Это позволит спасти хотя бы часть файлов.
• Создайте на другом компьютере загрузочный диск или флешку с антивирусной программой. Например, Kaspersky Rescue Disk 18, DrWeb LiveDisk, ESET NOD32 LiveCD и т. д.
• Загрузите зараженную машину с этого диска и просканируйте систему. Удалите найденные вирусы с сохранением в карантин (на случай, если они понадобятся для расшифровки). Только после этогоможете загружать компьютер с жесткого диска.
• Попытайтесь восстановить зашифрованные файлы из теневых копий средствами системы или при помощи сторонних приложений для восстановления данных.

Что делать, если файлы уже зашифрованы

• Не теряйте надежду. На сайтах разработчиков антивирусных продуктов выложены бесплатные утилиты-дешифраторы для разных типов зловредов. В частности, здесь собраны утилиты от Avast  и Лаборатории Касперского.

   

• Определив тип шифратора, скачайте подходящую утилиту, обязательно сделайтекопииповрежденных файлов и попытайтесь их расшифровывать. В случае успеха расшифруйте остальные.

Если файлы не расшифровываются

Если ни одна утилита не помогла, вполне вероятно, что вы пострадали от вируса, лекарства от которого пока не существует.

Что можно предпринять в этом случае:

• Если вы пользуетесь платным антивирусным продуктом, обратитесь в службу его поддержки. Перешлите в лабораторию несколько копий поврежденных файлов и дожидайтесь ответа. При наличии технической возможности вам помогут.

• Если выяснилось, что файлы испорчены безнадежно, но они представляют для вас большую ценность, остаются надеяться и ждать, что спасительное средство когда-нибудь будет найдено. Лучшее, что вы можете сделать, это оставить систему и файлы в состоянии как есть, то есть полностью отключить и не использовать жесткий диск. Удаление файлов вредоноса, переустановка операционной системы и даже ее обновление могут лишить васи этого шанса, так как при генерации ключей шифрования-дешифрования зачастую используются уникальные идентификаторы системы и копии вируса.

Платить выкуп – не вариант, поскольку вероятность того, что вы получите ключ, стремится к нулю. Да и ни к чему финансировать преступный бизнес.

Как защититься от вредоносов такого типа

Не хотелось бы повторять советы, которые каждый из читателей слышал сотни раз. Да, установить хороший антивирус, не нажимать подозрительные ссылки и блаблабла – это важно. Однако, как показала жизнь, волшебной таблетки, которая даст вам 100% гарантии защищенности, сегодня не существует.

Единственный действенный метод защиты от вымогателей такого рода – резервное копирование данных на другие физические носители, в том числе в облачные сервисы. Резервное копирование, резервное копирование, резервное копирование…

Без шанса на спасение: что такое вирус-шифровальщик и как с ним бороться обновлено: Сентябрь 1, 2018 автором: Johnny Mnemonic

Источник: https://f1comp.ru/bezopasnost/bez-shansa-na-spasenie-chto-takoe-virus-shifrovalshhik-i-kak-s-nim-borotsya/