Як розблокувати зашифровані вірусом файли Вірус зашифрував файли. Строк дії шифрувального шкідливого забезпечення

— це шкідлива програма, яка за своєї активізації шифрує всі персональні файли, такі як документи, фотографії тощо. Кількість подібних програм дуже велика і вона збільшується з кожним днем. Лише останнім часом ми зіткнулися з десятками варіантами шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci. Мета таких вірусів-шифрувальників змусити користувачів купити, часто за велику суму грошей, програму та ключ необхідні для розшифрування власних файлів.

Звичайно можна відновити зашифровані файли, просто виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, так само потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І, звичайно, просто неприємно платити за відновлення своїх власних файлів.

Нижче ми більш детально розповімо про віруси-шифрувальники, спосіб їх проникнення на комп'ютер жертви, а також про те, як видалити вірус-шифрувальник і відновити зашифровані ним файли.

Як вірус-шифрувальник проникає на комп'ютер

Вірус-шифрувальник зазвичай розповсюджується за допомогою електронної пошти. Лист містить заражені документи. Такі листи розсилаються величезною базою адрес електронної пошти. Автори цього вірусу використовують заголовки і зміст листів, що вводять в оману, намагаючись обманом змусити користувача відкрити вкладений у лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитись свіжий прайс-лист, треті відкрити веселу фотографію тощо. У будь-якому випадку результатом відкриття прикріпленого файлу буде зараження комп'ютера вірусом-шифрувальником.

Що таке вірус-шифрувальник

Вірус-шифрувальник - це шкідлива програма, яка вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ці віруси намагаються використовувати якомога стійкіші режими шифрування, наприклад RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійного розшифрування файлів.

Під час зараження комп'ютера вірус-шифрувальник використовує системний каталог %APPDATA% для зберігання власних файлів. Для автоматичного запускусебе бреши включенні комп'ютера, шифрувальник створює запис в реєстрі Windows: розділах HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві та хмарні сховища, для визначення файлів, які будуть зашифровані. Вірус-шифрувальник використовує розширення імені файлу як спосіб визначення групи файлів, які будуть зашифровані. Шифруються практично всі види файлів, включаючи такі поширені як:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, . xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Відразу після того, як файл зашифрований він отримує нове розширення, за яким часто можна ідентифікувати ім'я або тип шифрувальника. Деякі типи цих шкідливих программожуть також змінювати імена зашифрованих файлів. Потім вірус створює текстовий документ з іменами подібними до HELP_YOUR_FILES, README, який містить інструкцію з розшифровування зашифрованих файлів.

Під час своєї роботи вірус-шифрувальник намагається закрити можливість відновити файли використовуючи систему SVC (тіньові копії файлів). Для цього вірус у командному режимі викликає утиліту адміністрування тіньових копій файлів з ключем, що запускає процедуру їх повного видалення. Таким чином, практично завжди неможливо відновити файли за допомогою використання їх тіньових копій.

Вірус-шифрувальник активно використовує тактику залякування, даючи жертві посилання на опис алгоритму шифрування та показуючи загрозливе повідомлення на робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, надіслати ID комп'ютера на адресу електронної пошти автора вірусу для спроби повернути свої файли. Відповіддю на таке повідомлення найчастіше є сума викупу та адреса електронного гаманця.

Мій комп'ютер заражений вірусом-шифрувальником?

Визначити заражений комп'ютер чи ні вірусом-шифрувальником досить легко. Зверніть увагу на розширення ваших персональних файлів, таких як документи, фотографії, музика і т.д. Якщо розширення змінилося або ваші персональні файли зникли, залишивши по собі безліч файлів з невідомими іменами, комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям HELP_YOUR_FILES або README у ваших каталогах. Цей файл міститиме інструкцію з розшифровки файлів.

Якщо ви підозрюєте, що відкрили лист заражений вірусом шифрувальником, але симптомів зараження поки немає, то не вимикайте і не перезавантажуйте комп'ютер. Виконайте кроки, описані в цьому посібнику, розділ . Ще раз повторюся, дуже важливо не вимикати комп'ютер, в деяких типах шифрувальників процес зашифрування файлів активізується при першому, після зараження, увімкненні комп'ютера!

Як розшифрувати файли зашифровані вірусом-шифрувальником?

Якщо це лихо трапилося, то не треба панікувати! Але треба знати, що здебільшого безкоштовного розшифровувача немає. Виною цьому є стійкі алгоритми шифрування, які використовуються подібними шкідливими програмами. Це означає, що без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа так само не вихід через велику довжину ключа. Тому, на жаль, лише оплата авторам вірусу всієї суми, яку він запрошує, — єдиний спосіб спробувати отримати ключ розшифровки.

Звичайно, немає абсолютно ніякої гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ, необхідний для розшифровування ваших файлів. Крім цього, потрібно розуміти, що сплачуючи гроші розробникам вірусів, ви самі підштовхуєте їх на створення нових вірусів.

Як видалити вірус-шифрувальник?

Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу та спроби самостійного відновлення файлів, ви блокуєте можливість розшифрувати файли, заплативши авторам вірусу запрошену ними суму.

Kaspersky Virus Removal Toolта Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

За промовчанням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.

У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, до якого будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).

Натисніть кнопку Search, щоб розпочати пошук та відновлення вихідних копій зашифрованих файлів. Цей процес триває досить довго, тому наберіться терпіння.

Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлів знайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу серед великої кількості відновлених використовуйте вбудовану систему пошуку Windows(за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, оскільки QPhotoRec намагається відновити цю властивість під час відновлення файлу.

Як запобігти зараженню комп'ютера вірусом-шифрувальником?

Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення та активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, то обов'язково встановіть її. Як її вибрати можете дізнатися прочитавши цю.

Більше того, є й спеціалізовані захисні програми. Наприклад, це CryptoPrevent, докладніше .

Декілька фінальних слів

Виконавши цю інструкцію, ваш комп'ютер буде очищений від вірусу-шифрувальника. Якщо у вас виникли питання або вам потрібна допомога, то звертайтеся на наш .

Вірус-шифрувальник: платити шахраям чи ні

Ось і настав цей чорний день. На одній з важливих робочих машин активно попрацював вірус-шифрувальник, після чого всі офісні, графічні та інші файли прийняли дозвіл crypted000007, які на момент написання статті розшифрувати неможливо.

Також на робочому столі з'явилися шпалери з написом типу "Ваші файли зашифровані", а в корені локальних дисківтекстові документи readme з контактною інформацією шахрая. Звичайно, він хоче викуп за розшифровку.

Особисто я не зв'язувався з цим цапом(ами), щоб не заохочувати подібну діяльність, але знаю, що цінник у середньому починається від 300 доларів і вище. От і думайте самі, як чинити. Але якщо у вас зашифрувалися дуже значущі файли, наприклад, бази 1С, а резервної копії немає, це крах вашої кар'єри.

Забігаю наперед скажу, що якщо ви маєте надію на розшифровку, то в жодному разі не видаляйте файл з вимогою грошей і нічого не робіть із зашифрованими файлами (не змінюйте назву, розширення тощо). Але давайте про все по порядку.

Вірус шифрувальник - що це таке

Це шкідливе (ransomware) програмне забезпечення, яке шифрує дані на комп'ютері за дуже стійким алгоритмом. Далі наведу грубу аналогію. Уявіть, що ви на вхід у Windows встановили пароль завдовжки кілька тисяч символів і забули його. Погодьтеся, згадати неможливо. А скільки життя займе у вас ручний перебір?

Так і у випадку з шифрувальником, який використовує легальні криптографічні методи з протиправною метою. Подібні віруси зазвичай використовують асинхронне шифрування. Це означає, що використовується пара ключів.

Шифруються файли за допомогою відкритого ключа, а розшифрувати їх можна, маючи закритий ключ, який є тільки у шахрая. Усі ключі є унікальними, оскільки генеруються для кожного комп'ютера окремо.

Саме тому я говорив на початку статті про те, що не можна видаляти файл readme.txt у корені диска з вимогою викупу. Саме в ньому і вказано відкритий ключ.

Електронна адресаздирника в моєму випадку Якщо вбити його в пошук, стає зрозумілим справжній масштаб трагедії. Постраждало дуже багато людей.

Тому ще раз кажу: ні в якому разі не змінюйте пошкоджені файли. Інакше ви втратите навіть найменший шанс на їхнє відновлення надалі.

Також не рекомендується встановлювати заново операційну системута чистити тимчасові та системні каталоги. Коротше, до з'ясування всіх обставин нічого не чіпаємо, щоб не ускладнити собі життя. Хоча, здавалося б, значно гірше.

Попадає дана зараза на комп'ютер найчастіше електронною поштою з темою, що горить, на кшталт "Терміново, керівнику. Лист з банку" тощо. У вкладенні, яке може виглядати невинним pdf або jpg файломі криється ворог.

Запустивши його, нічого страшного, на перший погляд, не відбувається. На слабкому офісному ПК користувач може помітити якусь "гальмування". Це вірус, маскуючись під системний процес, вже робить свою брудну справу.

На Windows 7 і вище при запуску шкідника постійно з'являтиметься вікно Контролю облікових записів із запитом дозволу змін. Звичайно, недосвідчений користувач з усім погодиться, тим самим підписавши собі вирок.

Так, за фактом вірус вже блокує доступ до файлів і, коли закінчить, на робочому столі з'явиться напис із попередженням "Ваші файли зашифровані". Загалом це попа. Далі починається бляха.

Як вилікувати вірус-шифрувальник

Виходячи з вищенаписаного, можна зробити висновок, що якщо страшний напис на робочому столі ще не з'явився, а ви вже побачили перші файли з незрозумілими довгими назвами з хаотичного набору різних символів, негайно дістаньте комп'ютер із розетки.

Саме так, грубо та безкомпромісно. Тим самим ви зупините алгоритм роботи зловреда та зможете хоч щось врятувати. На жаль, у моєму випадку співробітник цього не знав і втратив усе. Твою матір...

Вишенькою на торті для мене був той факт, що, виявляється, даний вірусбез проблем шифрує всі підключені до ПК знімні носії та мережні диски з правами доступу до запису. Саме там були резервні копії.

Тепер про лікування. Перше, що потрібно розуміти, вірус лікується, але файли так і залишаться зашифрованими. Можливо, назавжди. Сам процес лікування нічого складного не представляє.

Для цього необхідно підключити вінчестер до іншого комп'ютера і просканувати утилітами як Kaspersky Virus Removal Tool. Можна для надійності двома послідовно. Якщо нести заражений гвинт на інший комп'ютер сцикотно, завантажтеся з Live CD.

Як правило, подібні антивірусні рішення без проблем знаходять та видаляють шифрувальник. Але іноді вони нічого не виявляють, оскільки вірус, зробивши свою роботу, може сам піти з системи. Такий ось сучий потрьох, які замітає всі сліди та ускладнює його вивчення.

Передбачаю питання, чому антивірус відразу не запобіг проникнення небажаного ПЗ на комп'ютер? Тоді б і проблем не було. На мій погляд, зараз антивіруси програють битву з шифрувальниками і це дуже сумно.

До того ж, як я вже казав, такі шкідливі програми працюють на основі легальних криптографічних методів. Тобто виходить, що їхня робота як би і не є протиправною з технічної точки зору. У цьому полягає складність їх виявлення.

Постійно виходять нові модифікації, які потрапляють до антивірусних баз лише після зараження. Так що, на жаль, у цьому випадку 100% захисту не може бути. Тільки пильна поведінка при роботі на ПК, але про це трохи згодом.

Як розшифрувати файли після вірусу

Все залежить від конкретної нагоди. Вище писалося, що модифікації вірусу-шифрувальника можуть бути які завгодно. Залежно від цього зашифровані файли мають різні розширення.

Хороша новина полягає в тому, що для багатьох версій зарази антивірусні компанії вже вигадали дешифратори (декриптори). На російськомовному ринку лідером є "Лабораторія Касперського". Для цього було створено такий ресурс:

На ньому в рядку пошуку вбиваємо інформацію щодо розширення або електронну поштуіз записки про викуп, тиснемо "Пошук" і дивимося, чи є рятівна утиліта для нас.

Якщо пощастило, завантажуємо програму зі списку та запускаємо. В описі до деяких дешифраторів говориться, що під час роботи на комп'ютері має бути інтернет для можливості розширеного пошуку ключів в онлайн-базі.

В іншому все просто. Вибираємо конкретний файлабо диск повністю та запускаємо сканування. Якщо активувати пункт "Delete crypted files", після дешифрування всі вихідні файли видаляться. Ой, я б так не поспішав, одразу треба поглянути на результат.

Для деяких видів вірусу програма може попросити дві версії файлу: вихідну та зашифровану. Якщо першої немає, то пиши пропало.

Також користувачі ліцензійних продуктів "Лабораторії Касперського" мають можливість звернутися на офіційний форум за допомогою з розшифровкою. Але пошерстівши його зі своїм розширенням (crypted000007) я зрозумів, що нічим там не допоможуть. Те саме можна сказати і про Dr.Web.

Є ще один такий проект, але вже міжнародний. За інформацією з інтернетів, його підтримку здійснюють провідні виробники антивірусів. Ось його адреса:

Звісно, ​​може воно й так, але сайт працює некоректно. На головній сторінці пропонується завантажити два зашифровані файли, а також файл з викупом, після чого система дасть відповідь, є дешифрувальник у наявності чи ні.

Але натомість відбувається перекидання на розділ з вибором мови і на цьому все. Тому можна самостійно зайти в розділ "Декриптор-утитити" та спробувати знайти потрібну програму.

Робити це не дуже зручно, оскільки в короткому описінаявного ПЗ немає чіткої вказівки на розширення зашифрованих файлів, що підтримуються. Для цього слід читати розширену інструкцію для кожного типу декриптора.

У процесі написання публікації було знайдено аналогічний сервіс, який справно працює за таким же принципом. Він допоможе визначити назву загрози та запропонує "чарівну таблетку", якщо така є. У правому верхньому кутку сайту є кнопка перекладача для зручності користувачів.

Що робити? Платити чи не платити

Якщо ви дочитали до цього заголовка, файли у вас, як і раніше, стабільно зашифровані. І тут питання: як вчинити далі? Адже у разі шифрування вкрай значущих файлів може бути паралізована робота навіть великих підприємств, не кажучи вже про малий бізнес.

Перше, можна виконати інструкцію шахрая та заплатити викуп. Але статистика "Лабораторії Касперського" говорить про те, що кожне п'яте підприємство так і не отримало ключа з дешифратором після оплати.

Це може відбуватися з різних причин. Наприклад, вірусом могли скористатися не самі творці, які мають закритий ключ, а шахраї-посередники.

Вони просто модифікували код зловреда, вказавши у файлі викупу свої дані, а другого ключа у них немає. Гроші отримали та звалили. А ви кукуйте далі.

Загалом не брешатимуть, усіх технічних нюансів я й сам не знаю. Але в будь-якому випадку заплативши здирникам, ви мотивуєте їх на продовження подібної діяльності. Адже якщо це працює і приносить гроші, чому ні.

Але в інтернеті я знайшов щонайменше дві контори, які обіцяють допомогти в цій біді і розшифрувати навіть файли з розширенням crypted000007. В одну з них я з великою острахом звернувся.

Скажу чесно, хлопці мені не допомогли, оскільки одразу сказали, що дешифрувальника у них немає, але можуть спробувати відновити близько 30% оригінальних файлів, які видалив вірус за допомогою низькорівневого сканування.

Я подумав і відмовився. Але дякую їм, що локшини на вуха не вішали, приділили час і всі тверезо пояснили. Ну і раз у них немає ключа, отже, вони не повинні взаємодіяти із шахраями.

Але є інша, "цікавіша" контора, яка дає 100% гарантію на успіх операції. Її сайт знаходиться ось за цією адресою:

Я спробував пошерстити на профільних форумах, але так і не зміг знайти відгуків реальних клієнтів. Тобто, всі про неї знають, але мало хто користувався. Замкнуте коло.

Ці хлопці працюють за фактом отриманого результату, жодних передоплат немає. Знову ж таки повторюся, дають гарантію на розшифровку навіть crypted000007. Отже, вони мають ключ і декриптор. Звідси запитання: а звідки це добро? Чи я чогось не розумію?

Не хочу говорити щось погане, можливо, вони добрі та пухнасті, працюють чесно та допомагають людям. Хоча технічно без майстер-ключа це просто неможливо. У будь-якому випадку проти них все ж таки знайшлася компрометуюча.

Як захиститися від вірусу-шифрувальника

Наведу кілька основних постулатів, які допоможуть убезпечитись, а у разі проникнення подібного шкідника звести втрати до мінімуму. Як-не я все це відчув на власній шкурі.

Робити регулярні бекапи на знімних (ізольованих від мережі) носіях. Без перебільшення можу сказати це найголовніше.

Не працювати під обліковим записоміз правами адміністратора, щоб у разі зараження мінімізувати втрати.

Уважно стежити за адресатами вхідних листів і посилань, що скидаються в соц. мережах. Тут без коментарів.

Підтримувати у актуальному стані антивірусну програму. Може й урятує, але це неточно.

Обов'язково увімкнути файли у Windows 7/10. Про це детально поговоримо у найближчих випусках.

Не вимикати систему контролю облікових записів у Windows 7 і вище.

Я ж, у свою чергу, залишаюся із повністю зашифрованими вірусом офісними файлами. Буду періодично заглядати на всі ресурси, зазначені у статті, сподіваючись колись побачити там декриптор. Можливо, успіх усміхнеться в цьому житті, хто знає.

Одна річ, коли шифруються файли користувача на домашньому комп'ютерітакі як фільми, музика тощо. Зовсім інші, коли втрачається доступ до всього діловодства підприємства щонайменше за 5-7 років. Це боляче, я вже знаю.

Доброго часу доби, мої дорогі друзі і читачі мого блогу. Сьогодні тема буде досить сумною, адже торкнеться вона вірусів. Розповім вам про нещодавно випадок у мене на роботі. До мене у відділ зателефонувала співробітниця із схвильованим голосом: «Діма, вірус зашифрував файли на комп'ютері: що робити тепер?». Тут я зрозумів, що справа пахне смаженим, але зрештою пішов до неї подивитися.

Так. Все виявилося сумно. Більшість файлів на комп'ютері заражені, а точніше зашифровані: Офісні документи, PDF-файли, бази 1С та багато інших. Загалом дупа повна. Не постраждали напевно лише архіви, додатки та текстові документи (ну і ще купа всього). Всі ці дані змінили своє розширення, а також змінили свої назви на щось типу sjd7gy2HjdlVnsjds.
Також на робочому столі та в папках з'явилося кілька однакових документів README.txt У них чесно говорити про те, що ваш комп'ютер заражений і щоб ви не робили жодних дій, нічого не видаляли, не перевіряли антивірусам, інакше файли не повернути.
Також у файлі говориться, що ці милі люди зможуть все відновити як було. Для цього їм потрібно надіслати ключ із документа на їхню пошту, після чого ви отримаєте необхідні інструкції. Ціну вони не пишуть, але насправді виявляється, що вартість зворотного повернення становить щось на кшталт 20000 рублів.

Чи варті ваші дані цих грошей? Чи готові заплатити за усунення шифрувальника? Сумніваюсь. Що тоді робити? Давайте про це згодом. А поки що почнемо про все по порядку.

Звідки він береться

Звідки ж береться цей гадський вірус-шифрувальник? Тут все дуже просто. Його люди підхоплюють електронною поштою. Як правило, цей вірус проникає в організації, на корпоративні ящики, хоча не тільки. На вигляд ви не прийміть його за яку, тому що приходить воно не у вигляді спаму, а від реально існуючої серйозної організації, наприклад нам прийшов лист від провайдера «Ростелеком» з їх офіційної пошти.

Лист був цілком звичайний, типу «Нові тарифні планидля юридичних». Усередині вкладено PDF-файлик. І при відкритті цього файлу ви відкриваєте скриньку Пандори. всі важливі файлизашифровані і перетворюються простими словами на «цеглу». Причому антивіруси цю хрень не ловлять одразу.

Що я робив і що не спрацювало

Природно, у нас 20 тисяч ніхто не захотів платити за це, тому що інформація стільки не коштувала, та й до того ж зв'язуватися з шахраями зовсім не варіант. Та й до того ж не факт, що за цю суму вам все розблокують.

Я пройшовся утилітою drweb cureit і вірус він знайшов, але користь від цього була невелика, тому що навіть після вірусу файли залишилися зашифрованими. Видалити вірус виявилося легко, а ось впоратися з наслідками вже важче. Я поліз на форуми Доктора Веб і Касперського, і там знайшов потрібну мені тему, а також дізнався, що ні там, ні там поки не можуть допомогти з розшифровкою. Дуже сильно все було зашифровано.

Натомість почали в пошукових системах з'являтися видачі, що деякі компанії розшифровують файли на платній основі. Ну, мене це зацікавило, тим більше, що компанія виявилася справжньою, реально існуючою. У себе на сайті вони запропонували розшифрувати п'ять штук безкоштовно, щоб показати свої здібності. Ну я взяв і відправив їм 5 найважливіших на мою думку файлів.
Через якийсь час мені надійшла відповідь, що їм все вдалося розшифрувати і що за повне розкодування вони візьмуть із мене 22 тисячі. Причому файли вони мені не захотіли віддавати. Я так одразу припустив, що вони швидше за все в тандемі працюють із шахраями. Ну, звичайно, вони були послані на хрін.

• за допомогою програм «Recuva» та «RStudio»
• Прогін різними утилітами
• Ну і для заспокоєння я не міг не скуштувати (хоча чудово знав, що це не допоможе) просто банально на потрібне. Маячня звичайно)

Нічого з того мені не допомогло. Але вихід я все-таки знайшов. Звичайно, якщо раптом у вас виникла така ситуація, то подивіться, з яким розширенням шифруються файли. Після цього зайдіть на http://support.kaspersky.ru/viruses/disinfection/10556і перегляньте, які розширення вказані у списку. Якщо ваше розширення є у списку, то скористайтеся цією утилітою.
Але у всіх трьох випадках, які я бачив ці шифрувальники, жодна з подібних утиліт не допомогла. Саме я зустрічався з вірусом "da vinci code"і "VAULT". У першому випадку змінювалося і назва та розширення, а в другому лише розширення. Взагалі таких шифрувальників ціла купа. У мене на слуху такі гади як xtbl, no more ransom, better call saul та багато інших.

Що допомогло

Ви колись чули про тіньові копії? Так ось, коли створюється точка відновлення, автоматично створюються і тіньові копії ваших файлів. І якщо щось сталося з вашими файлами, ви завжди зможете повернути їх на той момент, коли була створена точка відновлення. У цьому нам допоможе одна чудова програма відновлення файлів з тіньових копій.

Для початку скачайтета встановіть програму «Shadow Explorer» . Якщо остання версіяу вас заглючить (буває таке), то встановлюйте попередню.

Зайдіть в Shadow Explorer. Як бачимо, переважна більшість програми схожа провідник , тобто. файли та папки. Тепер зверніть увагу на лівий верхній кут. Там ми бачимо літеру локального диска та дату. Ця дата означає, що всі представлені файли на диску C є актуальними на той момент. У мене стоїть 30 листопада. Це означає, що остання точка відновлення створювалася 30 листопада.
Якщо натиснути на список дати, що випадає, то ми побачимо, на які числа у нас ще є тіньові копії. А якщо натиснути на список локальних дисків і вибрати, наприклад, диск D, то ми побачимо дату, на момент якої у нас є актуальні файли. Але для диска Dточки не створюються автоматично, тому цю річ потрібно прописати в налаштуваннях. Це дуже легко зробити.
Як бачите, якщо для диска Cу мене досить свіжа дата, то для диска Dостання точка створювалася майже рік тому. Ну а далі робимо за пунктами:

Всі. Тепер залишається лише чекати, коли завершиться експорт. А далі йдемо в ту саму папку, яку ви вибрали і перевіряємо всі файли на відкритість та працездатність. Все круто).
Я знаю, що в інтернеті пропонують ще якісь різні способи, утиліти та інше, але я про них писати не буду, бо я з цією проблемою вже стикаюся втретє, і жодного разу нічого, крім тіньових копій, мене не виручало. Хоча, може, просто мені так не пощастило).

Але на жаль востаннє вдалося відновити лише ті файли, які були на диску C, оскільки за умовчанням точки створювалися тільки для диска C. Відповідно для диска D тіньових копій не було. Звичайно потрібно ще й не забувати, що точки відновлення , що може призвести до , так що слідкуйте за цим теж.

А щоб тіньові копії створювалися і для інших жорстких дисківВам потрібно і для них теж.

Профілактика

Для того щоб проблем з відновленням не виникало, потрібно робити профілактику. Для цього потрібно дотримуватись таких правил.

До речі, одного разу вірус зашифрував файли на флешці, де лежали наші сертифікати ключа для електронно-цифрового підпису. Так що з флешками також будьте дуже обережні.

З повагою, Дмитро Костін.

«Вибачте, що потурбували, але… ваші файли зашифровані. Щоб отримати ключ для розшифровки, терміново переведіть суму грошей на гаманець… Інакше ваші дані будуть знищені безповоротно. У вас 3 години, час пішов». І це не жарт. Вірус-шифрувальник – загроза більш ніж реальна.

Сьогодні поговоримо, що являють собою шкідливі програми-шифрувальники, що поширилися в останні роки, що робити у разі зараження, як вилікувати комп'ютер і чи можливо це взагалі, а також як від них захиститися.

Шифруємо все!

Вірус-шифрувальник (шифратор, криптор) – особливий різновид шкідливих програм-вимагачів, чия діяльність полягає у шифруванні файлів користувача та подальшій вимогі викупити засіб розшифровки. Суми викупу починаються десь від $200 і сягають десятків і сотень тисяч зелених папірців.

Кілька років тому атакам зловредів цього класу зазнавали лише комп'ютери на базі Windows. Сьогодні їх ареал розширився до, здавалося б, добре захищених Linux, Mac та Android. Крім того, постійно зростає видова різноманітність шифраторів – одна за одною з'являються новинки, яким є чим здивувати світ. Так, виникла завдяки «схрещуванню» класичного трояна-шифрувальника та мережевого черв'яка (шкідливої ​​програми, яка поширюється мережами без активної участі користувачів).

Після WannaCry з'явилися не менш витончені Petya та Bad Rabbit. І оскільки «шифрувальний бізнес» приносить власникам непоганий прибуток, можна бути впевненими, що вони не є останніми.

Все більше шифрувальників, що особливо побачили світ в останні 3-5 років, використовують стійкі криптографічні алгоритми, які неможливо зламати ні перебором ключів, ні іншими існуючими засобами. Єдина можливість відновити дані – скористатись оригінальним ключем, який пропонують купити зловмисники. Однак навіть перерахування ним необхідної суми не гарантує отримання ключа. Злочинці не поспішають розкривати свої секрети та втрачати потенційний прибуток. Та й який їм сенс виконувати обіцянки, якщо гроші вже мають?

Шляхи розповсюдження вірусів-шифраторів

Основний шлях потрапляння шкідливих даних на комп'ютери приватних користувачів та організацій – електронна пошта, точніше, додані до листів файли та посилання.

Приклад такого листа призначений для «корпоративних клієнтів»:

• «Терміново сплатите борг за кредитом».
• «Позовна заява подана до суду».
• "Сплатіть штраф/внесок/податок".
• «Дорахування комунального платежу».
• "Ой, це ти на фотографії?"
• "Ліна попросила терміново передати це тобі" і т.д.

Погодьтеся, тільки обізнаний користувач поставиться до такого листа з настороженістю. Більшість, не замислюючись, відкриє вкладення та запустить шкідливу програму своїми руками. До речі, незважаючи на крики антивірусу.

Також для поширення шифрувальників активно використовуються:

• Соціальні мережі (розсилка з облікових записів знайомих і незнайомих людей).
• Шкідливі та заражені веб-ресурси.
• Банерна реклама.
• Розсилання через месенджери зі зламаних акаунтів.
• Сайти-варезники та розповсюджувачі кейгенів та кряків.
• Сайти для дорослих.
• Магазини додатків та контенту.

Провідниками вірусів-шифраторів нерідко бувають інші шкідливі програми, зокрема, демонстратори реклами та трояни-бекдори. Останні, використовуючи вразливість у системі та ПЗ, допомагають злочинцеві отримати віддалений доступдо зараженого пристрою. Запуск шифрувальника в таких випадках не завжди збігається в часі з потенційно небезпечними діями користувача. Поки бекдор залишається в системі, зловмисник може проникнути на пристрій у будь-який момент та запустити шифрування.

Для зараження комп'ютерів організацій (адже вони можна віджати більше, ніж в домашніх користувачів) розробляються особливо вишукані способи. Наприклад, троянець Petya проникав на пристрої через модуль оновлення програми для ведення податкового обліку MEDoc.

Шифрувальники з функціями мережевих черв'яків, як говорилося, поширюються мережами, зокрема Інтернет, через уразливості протоколів. І заразитися ними можна, не роблячи нічого. Найбільшу небезпеку наражаються користувачі ОС Windows, що рідко оновлюються, оскільки оновлення закривають відомі лазівки.

Деякі зловреди, такі як WannaCry, експлуатують уразливості 0-day (нульового дня), тобто ті, про які поки що не знають розробники систем. Повноцінно протистояти зараженню таким шляхом, на жаль, неможливо, проте ймовірність, що саме ви потрапите до постраждалих, не дотягує навіть до 1%. Чому? Та тому, що шкідливе програмне забезпечення не може одномоментно заразити всі вразливі машини. І поки воно планує нові жертви, розробники систем встигають випустити рятівне оновлення.

Як поводиться шифрувальник на зараженому комп'ютері

Процес шифрування зазвичай починається непомітно, а коли його ознаки стають очевидними, рятувати дані вже пізно: на той час шкідливість зашифрував все, до чого дотягнувся. Іноді користувач може помітити, як у файлів який-небудь відкритої папкизмінилося розширення.

Така поява у файлів нового, а іноді другого розширення, після чого вони перестають відкриватися, повністю вказує на наслідки атаки шифрувальника. До речі, розширення, яке отримують пошкоджені об'єкти, зазвичай вдається ідентифікувати зловреда.

Приклад, якими може бути розширення зашифрованих файлів:. xtbl, .kraken, .cesar, .da_vinci_code, [email protected] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn і т.д.

Варіантів маса, і вже завтра з'являться нові, тому перераховувати все особливе значення немає. Для визначення типу зараження достатньо згодувати кілька розширень пошукової системи.

Інші симптоми, які опосередковано вказують на початок шифрування:

• Поява на екрані на долі секунди вікон командного рядка. Найчастіше це нормальне явище при встановленні оновлень системи та програм, але поза увагою його краще не залишати.
• Запити UAC на запуск якоїсь програми, яку ви не збиралися відкривати.
• Раптове перезавантаження комп'ютера з подальшою імітацією роботи системної утилітиперевірки диска (можливі інші варіації). Під час перевірки відбувається процес шифрування.

Після успішного закінчення шкідливої ​​операції на екрані з'являється повідомлення з вимогою викупу та різними загрозами.

Вимагачі шифрують значну частину файлів: фотографій, музики, відео, текстових документів, архівів, пошти, баз даних, файлів з розширеннями програм і т.д. Але при цьому не чіпають об'єкти операційної системи, адже зловмисникам не потрібно, щоб заражений комп'ютер перестав працювати. Деякі віруси підміняють собою завантажувальні записидисків та розділів.

Після шифрування системи, як правило, видаляються всі тіньові копії та точки відновлення.

Як вилікувати комп'ютер від шифрувальника

Видалити із зараженої системи шкідливу програму просто – з більшістю з них легко справляються майже всі антивіруси. Але! Наївно вважати, що звільнення від винуватця призведе до вирішення проблеми: видаліть ви вірус чи ні, а файли все одно залишаться зашифрованими. Крім того, у ряді випадків це ускладнить їхню подальшу розшифровку, якщо вона можлива.

Правильний порядок дій на початку шифрування

• Як тільки ви помітили ознаки шифрування, негайно відключіть живлення комп'ютера натисканням та утриманням кнопкиPower протягом 3-4 секунд. Це дозволить урятувати хоча б частину файлів.
• Створіть на іншому комп'ютері завантажувальний диск або флешку з антивірусною програмою. Наприклад, Kaspersky Rescue Disk 18 , DrWeb LiveDisk , ESET NOD32 LiveCDі т.д.
• Завантажте заражену машину з цього диска та проскануйте систему. Видаліть знайдені віруси зі збереженням у карантин (на випадок, якщо вони знадобляться для розшифрування). Тільки після цього можете завантажувати комп'ютер з жорсткого диска .
• Спробуйте відновити зашифровані файли з тіньових копій засобами системи або за допомогою сторонніх.

Що робити, якщо файли вже зашифровані

• Не втрачайте надію. На сайтах розробників антивірусних продуктів викладено безкоштовні утиліти-дешифратори для різних типів зловредів. Зокрема, тут зібрано утиліти від Avastі Лабораторії Касперського.
• Визначивши тип шифратора, завантажте відповідну утиліту, обов'язково зробіть копії пошкоджених файліві спробуйте їх розшифровувати. У разі успіху розшифруйте решту.

Якщо файли не розшифровуються

Якщо жодна утиліта не допомогла, цілком імовірно, що ви постраждали від вірусу, ліки від якого поки що не існує.

Що можна зробити в цьому випадку:

• Якщо ви користуєтесь платним антивірусним продуктом, зверніться до служби підтримки. Перешліть у лабораторію кілька копій пошкоджених файлів і чекайте відповіді. За наявності технічної можливості вам допоможуть.

До речі, Dr.Web– одна з небагатьох лабораторій, яка допомагає не лише своїм користувачам, а всім постраждалим. Надіслати запит на розшифровку файлу можна на цій сторінці.

• Якщо з'ясувалося, що файли зіпсовані безнадійно, але вони представляють вам велику цінність, залишаються сподіватися і чекати, що рятівний засіб колись буде знайдено. Найкраще, що ви можете зробити, це залишити систему та файли в стані як є, тобто повністю відключити та не використовувати жорсткий диск. Видалення файлів шкідливих даних, перевстановлення операційної системи і навіть її оновлення можуть позбавити вас. і цього шансу, оскільки при генерації ключів шифрування-дешифрування найчастіше використовуються унікальні ідентифікатори системи та копії вірусу.

Платити викуп - не варіант, оскільки можливість того, що ви отримаєте ключ, прагне до нуля. Та й нема чого фінансувати злочинний бізнес.

Як захиститись від шкідливих речовин такого типу

Не хотілося б повторювати поради, які кожен із читачів чув сотні разів. Так, встановити хороший антивірус, не натискати підозрілі посилання та блаблабла – це важливо. Однак, як показало життя, чарівної таблетки, яка дасть вам 100% гарантію захищеності, сьогодні не існує.

Єдиний дієвий метод захисту від здирників такого роду – резервне копіюванняданихна інші фізичні носії, в тому числі хмарні сервіси. Резервне копіювання, резервне копіювання, резервне копіювання...

Чи траплялося так, що вам на Email, у Skype чи ICQ надходило повідомлення від невідомого відправника з посиланням на фото вашого друга чи привітання з наступаючим святом? Начебто не очікуєш жодної підстави, і раптом при переході за посиланням на комп'ютер завантажується серйозний шкідливий софт. Ви не встигаєте схаменутися, як вірус зашифрував всі файли. Що робити у такій ситуації? Чи є можливість поновлення документів?

Для того щоб зрозуміти, як боротися зі шкідливою програмою, потрібно знати, що вона є і яким чином проникає в операційну систему. До того ж абсолютно не важливо, якою версією Windows ви користуєтеся – Critroni-вірус спрямований на інфікування будь-якої операційної системи.

Шифрувальний комп'ютерний вірус: визначення та алгоритм дії

На просторах Інтернету з'явився новий комп'ютерний вірусний софт, відомий багатьом під назвою CTB (Curve Tor Bitcoin) або Critroni. Це вдосконалений троян-вимагач, схожий на принцип алгоритму з раніше відомим шкідливим софтом CriptoLocker. Якщо вірус зашифрував усі файли, що робити у такому разі? Насамперед потрібно зрозуміти алгоритм його роботи. Суть дії вірусу полягає в тому, щоб зашифрувати всі ваші файли в розширення.ctbl, .ctb2, .vault, .xtbl або інші. При цьому ви не зможете відкрити їх доти, доки не заплатите потрібну суму грошей.

Часто зустрічаються віруси Trojan-Ransom.Win32.Shade та Trojan-Ransom.Win32.Onion. Вони дуже схожі на СТВ своєю локальною дією. Їх можна розрізнити розширення зашифрованих файлів. Trojan-Ransom кодує інформацію у форматі .xtbl. При відкритті будь-якого файлу на екрані відображається повідомлення про те, що ваші персональні документи, бази даних, фотографії та інші файли були зашифровані шкідливою програмою. Щоб розшифрувати їх, необхідно платно одержати унікальний ключ, який зберігається на секретному сервері, і лише в цьому випадку ви зможете зробити дешифрування та криптографічні дії зі своїми документами. Але не варто переживати і тим більше надсилати на вказаний номер гроші, є інший спосіб боротьби з таким видом кіберзлочинності. Якщо на ваш комп'ютер потрапив саме такий вірус, зашифрував усі файли.xtbl, що робити у такій ситуації?

Чого не варто робити при проникненні шифрувального вірусу на комп'ютер

Трапляється, що в паніці ми встановлюємо антивірусну програму і з її допомогою в автоматичному або ручному режимі видаляємо вірусний софт, втрачаючи разом із ним і важливі документи. Це неприємно, крім того, на комп'ютері можуть зберігатись дані, над якими ви працювали місяцями. Прикро втрачати такі документи без можливості їх відновлення.

Якщо вірус зашифрував усі файли.xtbl, деякі намагаються змінити їхнє розширення, але це теж не призводить до позитивних результатів. Переустановка та форматування жорсткогодиска безповоротно видалить шкідливу програму, але разом з цим ви втратите і будь-яку можливість відновлення документів. У цій ситуації не допоможуть і спеціально створені програми-дешифратори, адже софт-вимагач запрограмований за нестандартним алгоритмом і потребує особливого підходу.

Чим небезпечний вірус-вимагач для персонального комп'ютера

Цілком зрозуміло, що жодна шкідлива програма не принесе користі вашому персональному комп'ютеру. Навіщо створюється такий софт? Як не дивно, такі програми були створені не тільки для виманювання у користувачів як можна більшої кількостігрошей. Насправді вірусний маркетинг досить вигідний багатьом антивірусним винахідникам. Адже якщо вірус зашифрував усі файли на комп'ютері, куди ви звернетеся в першу чергу? Звичайно, за допомогою фахівців. Чим же шифрувальні для вашого ноутбука або персонального комп'ютера?

Алгоритм роботи нестандартний, тому звичайним антивірусним забезпеченням буде неможливо вилікувати заражені файли. Видалення шкідливих об'єктів призведе до втрати даних. Тільки переміщення до карантину дасть можливість убезпечити інші файли, які шкідливий вірус ще не встиг зашифрувати.

Строк дії шифрувального шкідливого забезпечення

Якщо ваш комп'ютер заразився Critroni (шкідливою програмою) та вірус зашифрував усі файли, що робити? .vault-, .xtbl-, .rar-формати самостійно не розшифруєш, вручну змінивши розширення на .doc, .mp3, .txt та інші. Якщо протягом 96 годин ви не сплатите потрібну суму кіберзлочинцям, з вами будуть вести залякувальне листування поштою про те, що всі ваші файли безповоротно видаляться. У більшості випадків на людей діють такі загрози, і вони неохоче, але слухняно виконують ці дії, боячись втратити дорогоцінну інформацію. Жаль, користувачі не розуміють того факту, що кіберзлочинці не завжди вірні своєму слову. Отримавши гроші, вони часто вже не турбуються про дешифрування ваших заблокованих файлів.

Після закінчення таймера вона автоматично закривається. Але у вас є шанс відновлення важливих документів. На екрані з'явиться повідомлення про те, що час минув, і детальнішу інформацію про файли ви зможете переглянути в папці документів у спеціально створеному блокнот-файлі DecryptAllFiles.txt.

Способи проникнення шкідливих шифрувальних програм в операційну систему

Зазвичай віруси-шифрувальники проникають до комп'ютера через заражені повідомлення, що надходять на електронну пошту або через фейкові завантаження. Це можуть бути підроблені флеш-оновлення або шахрайські відеоплеєри. Як тільки програма завантажується на комп'ютер будь-яким із цих способів, вона одразу ж шифрує дані без можливості їх відновлення. Якщо вірус зашифрував всі файли. Наразі антивірусні лабораторії не знають, як зламати такі шифрувальні віруси. Без необхідного ключа існує можливість лише блокувати заражені файли, переміщувати їх до карантину або видаляти.

Як уникнути зараження комп'ютера вірусом

Зловить всі файли.xtbl. Що робити? Ви вже перечитали безліч непотрібної інформації, яку пишуть на більшості веб-сайтів, і відповіді не знаходите. Так трапляється, що в самий невідповідний момент, коли терміново потрібно звітувати на роботі, дипломну в університеті або захищати свій професорський ступінь, комп'ютер починає жити своїм життям: ламається, заражається вірусами, зависає. Ви повинні бути готові до таких ситуацій і тримати інформацію на сервері та знімному носії. Це дозволить будь-якої миті перевстановити операційну систему і через 20 хвилин працювати за комп'ютером, як ні в чому не бувало. Але, на жаль, ми не завжди такі заповзятливі.

Щоб уникнути зараження комп'ютера вірусом, необхідно встановити хорошу антивірусну програму. У вас має бути правильно налаштований брандмауер Windowsщо захищає від потрапляння різних шкідливих об'єктів через мережу. І найважливіше: не качайте софт із неперевірених сайтів, торрент-трекерів. Щоб уникнути зараження комп'ютера вірусними програмами, слідкуйте за тим, на які посилання ви переходите. Якщо вам на електронну пошту надійшов лист від незрозумілого адресата з проханням чи пропозицією подивитися, що за посиланням заховано, найкраще перемістити повідомлення до спаму або видалити взагалі.

Щоб одного разу не вийшло так, що вірус зашифрував усі файли.xtbl, лабораторії антивірусного програмного забезпечення радять безкоштовний спосібзахисту від зараження шифрувальними вірусами: раз на тиждень здійснювати та огляд їхнього стану.

Вірус зашифрував усі файли на комп'ютері: способи лікування

Якщо ви стали жертвою кіберзлочинності і дані на вашому комп'ютері були заражені одним із шифрувальних видів шкідливих програм, тоді саме час спробувати відновити файли.

Існує кілька способів безкоштовного лікуваннязаражених документів:

1. Найбільш поширений метод і, мабуть, найдієвіший в даний момент - резервне копіювання документів та подальше відновлення у разі непередбаченого зараження.
2. Програмне алгоритм CTB-вірусу працює цікавим чином. Потрапляючи в комп'ютер, він копіює файли, шифрує їх, а оригінали документів видаляє, виключаючи можливість їх відновлення. Але за допомогою програмного софту Photorec або R-Studio ви можете встигнути зберегти деякі недоторкані оригінальні файли. Слід знати, що чим довше ви користуєтеся комп'ютером після зараження, тим менша ймовірність відновлення всіх необхідних документів.
3. Якщо вірус зашифрував усі файли.vault, є ще один непоганий спосіб їх дешифрування - використання тіньових томів копій. Звичайно, вірус намагатиметься назавжди і безповоротно видалити їх усі, але трапляється і так, що деякі файли залишаються недоторканими. У цьому випадку ви матимете хоч і маленький, але шанс їх відновлення.
4. Існує можливість зберігання даних у файлообмінниках, таких як DropBox. Його можна встановити на комп'ютер у вигляді локального відображення диска. Звісно, ​​шифрувальний вірус і його інфікувати. Але в цьому випадку набагато реальніше відновити документи та важливі файли.

Програмне запобігання інфікуванню вірусом персонального комп'ютера

Якщо ви боїтеся потрапляння зловісного шкідливого софту на ваш комп'ютер і не хочете, щоб підступний вірус зашифрував усі файли, слід використовувати редактор локальної політики або Windows-групи. Завдяки цьому інтегрованому софту можна налаштувати політику обмеження програм - і тоді вас не турбуватимуть думки про інфікування комп'ютера.

Як відновити заражені файли

Якщо CTB-вірус зашифрував усі файли, що робити у даному випадкущоб відновити необхідні документи? На жаль, нині жодна антивірусна лабораторія не може запропонувати розшифровку ваших файлів, але знешкодження інфекції, її повне видаленняіз персонального комп'ютера можливо. Вище зазначені всі ефективні методи інформаційного відновлення. Якщо вам занадто дорогі ваші файли, а ви не потурбувалися зробити їх резервну копіюна знімний носійабо інтернет-диск, тоді вам доведеться сплатити запрошену кіберзлочинцями суму грошей. Але немає ймовірності, що вам буде надіслано ключ дешифрування навіть після оплати.

Як знайти заражені файли

Щоб побачити список заражених файлів, можна перейти таким шляхом: "Мої документи"\.html або "C:"\"Користувачі"\"Всі користувачі"\.html. Цей html-лист містить дані не тільки про випадкові інструкції, але також і про заражені об'єкти.

Як заблокувати шифрувальний вірус

Як тільки комп'ютер був інфікований шкідливим програмним забезпеченням, перша необхідна дія з боку користувача – увімкнення з мережею. Це здійснюється натисканням клавіші клавіатури F10.

Якщо на ваш комп'ютер випадково потрапив Critroni-вірус, зашифрував усі файли в .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf або будь-який інший формат, у такому разі вже важко відновити їх. Але якщо вірус ще не встиг внести багато змін, є можливість його блокування за допомогою політики обмеженого доступупрограм.