Вірус зашыфраваў файлы і пераназваў. Як расшыфраваць файлы, зашыфраваныя вірусам

У апошні час назіраецца ўсплёск актыўнасці новага пакалення шкоднасных кампутарных праграм. З'явіліся яны досыць даўно (6 - 8 гадоў назад), але тэмпы іх ўкаранення дасягнулі свайго максімуму менавіта цяпер. Усё часцей можна сутыкнуцца з тым, што вірус зашыфраваў файлы.

Ужо вядома, што гэта не проста прымітыўныя шкоднасныя ПА, да прыкладу, блакавальныя кампутар (якія выклікаюць з'яўленне сіняга экрана), а сур'ёзныя праграмы, нацэленыя на пашкоджанне, як правіла, бухгалтарскіх дадзеных. Яны шыфруюць ўсе наяўныя файлы, якія знаходзяцца ў межах дасяжнасці, у тым ліку дадзеныя 1С бухгалтэрыі, docx, xlsx, jpg, doc, xls, pdf, zip.

Асаблівая небяспека разгляданых вірусаў

Яна заключаецца ў тым, што пры гэтым прымяняецца RSA-ключ, які прывязаны да пэўнага кампутара карыстальніка, з прычыны чаго універсальны дэшыфратар (декриптор) адсутнічае. Вірусы, актывізаваліся ў адным з кампутараў, могуць не спрацаваць у іншым.

Небяспека таксама яшчэ ў тым, што ўжо больш за год у Інтэрнэце размешчаны гатовыя праграмы-будаўнікі (билдеры), якія дазваляюць распрацаваць такога роду вірус нават кулхацкерам (асобам, якія лічаць сябе хакерамі, але пры гэтым не вывучаюць праграмаванне).

У цяперашні час з'явіліся больш магутныя іх мадыфікацыі.

Спосаб ўкаранення дадзеных шкоднасных праграм

Рассыланне віруса вырабляецца мэтанакіравана, як правіла, у бухгалтэрыю кампаніі. Спачатку ажыццяўляецца збор е-мэйлаў аддзелаў кадраў, бухгалтэрый з такіх баз дадзеных, як, напрыклад, hh.ru. Далей вырабляецца рассыланне лістоў. Яны часцей за ўсё ўтрымліваюць просьбу касаемо прыняцця на пэўную пасаду. Да такой ліста прымацаваны файл з рэзюмэ, усярэдзіне якога рэальны дакумент з імплантаваным OLE-аб'ектам (pdf-файл з вірусам).

У сітуацыях, калі супрацоўнікі бухгалтэрыі адразу запускалі гэты дакумент, пасля перазагрузкі адбывалася наступнае: вірус пераназваў і зашыфраваў файлы, а затым самаліквідавацца.

Такога роду ліст, як правіла, адэкватна напісана і адпраўлена з неспамерского скрыні (імя адпавядае подпісы). Вакансія заўсёды запытваецца зыходзячы з профільнай дзейнасці кампаніі, з прычыны чаго падазрэнні не ўзнікаюць.

Ні ліцэнзійны "Касперскі" (антывірусная праграма), ні "Вірус Тотал" (онлайн-сэрвіс праверкі укладанняў на вірусы) не могуць засцерагчы кампутар у разгляданым выпадку. Зрэдку некаторыя антывірусныя праграмы пры сканаванні выдаюць, што ва ўкладанні знаходзіцца Gen: Variant.Zusy.71505.

Як пазбегнуць заражэння гэтым вірусам?

Варта правяраць кожны атрыманы файл. Асаблівая ўвага надаецца вордаўскія дакументах, якія маюць укаранёныя pdf.

Варыянты «заражаных» лістоў

Іх досыць шмат. Самыя распаўсюджаныя варыянты таго, як вірус зашыфраваў файлы, прадстаўлены ніжэй. Ва ўсіх выпадках на электронную пошту прыходзяць наступныя дакументы:

1. Апавяшчэнне датычна пачатку працэсу разгляду пададзенай на канкрэтную кампанію судовага пазову (у лісце прапануецца праверыць дадзеныя з дапамогай пераходу па паказанай спасылцы).
2. Ліст з ВАС РФ аб спагнанні доўгу.
3. Паведамленне з Ашчадбанка адносна павелічэння існуючай запазычанасці.
4. Апавяшчэнне аб фіксацыі парушэння ПДР.
5. Ліст з калектарскіх агенцтваў з указаннем максімальна магчымай адтэрміноўкі плацяжу.

Апавяшчэнне аб шыфраванні файлаў

Яно пасля заражэння з'явіцца ў каранёвай тэчцы дыска С. Часам ва ўсе каталогі з пашкоджаным тэкстам змяшчаюцца файлы тыпу ЧТО_ДЕЛАТЬ.txt, CONTACT.txt. Там карыстальніка інфармуюць аб шыфраванні яго файлаў, якое здзейснена з дапамогай надзейных крыптаўстойлівасці алгарытмаў. А таксама яго папярэджваюць аб немэтазгоднасці прымянення іншых утыліт, так як гэта можа прывесці да канчатковага пашкоджання файлаў, што, у сваю чаргу, прывядзе да немагчымасці іх наступнай расшыфроўкі.

У апавяшчэнні рэкамендуецца пакінуць кампутар у нязменным стане. У ім паказана час захоўвання прадастаўленага ключа (як правіла, гэта 2 сутак). Прапісаная дакладная дата, пасля якой любога роду звароты будуць ігнаравацца.

У канцы прадастаўляецца е-мэйл. Там таксама гаворыцца, што карыстальнік павінен пазначыць свой ID і што любое з ніжэйпералічаных дзеянняў можа прывесці да ліквідацыі ключа, а менавіта:

• абразы;
• запыт рэквізітаў без далейшай аплаты;
• пагрозы.

Як расшыфраваць файлы, зашыфраваныя вірусам?

Дадзенага роду шыфраванне вельмі магутнае: файлу прысвойваецца такое пашырэнне, як perfect, nochance і пр. Ўзламаць проста немагчыма, аднак можна паспрабаваць падключыць криптоаналитику і адшукаць шчыліну (у некаторых сітуацыях дапаможа Dr. WEB).

Існуе яшчэ 1 спосаб, як аднавіць зашыфраваныя вірусам файлы, але ён падыходзіць не да ўсіх вірусам, да таго ж спатрэбіцца выцягнуць зыходны exe разам з дадзенай шкоднаснай праграмай, што дастаткова нялёгка ажыццявіць пасля самаліквідацыі.

Просьба віруса касаемо ўвядзення спецыяльнага кода - нязначная праверка, так як файл да гэтага моманту ўжо мае дэшыфратар (код ад, так бы мовіць, зламысьнікаў не спатрэбіцца). Сутнасць дадзенага спосабу - вписывание ў які пракраўся вірус (у само месца параўнання уводзімага кода) пустых каманд. Вынік - шкоднасная праграма сама запускае дэшыфроўкі файлаў і тым самым іх цалкам аднаўляе.

У кожным асобным вірусе свая спецыяльная функцыя шыфравання, з прычыны чаго іншым экзешником (файлам фармату exe) расшыфраваць не атрымаецца, ці ж можна паспрабаваць падабраць вышэйпаказаную функцыю, для чаго неабходна ўсе дзеянні ажыццяўляць на WinAPI.

Вірус зашыфраваў файлы: што рабіць?

Для правядзення працэдуры дэшыфроўкі спатрэбіцца:

1. Здзейсніць бэкап (рэзервовае капіраванне наяўных файлаў). Па заканчэнні дэшыфроўкі ўсе выдаліцца само па сабе.
2. На кампутары (заражаным) неабходна запусціць дадзеную шкоднасную праграму, затым дачакацца, калі з'явіцца акно, якое змяшчае патрабаванне касаемо ўвядзення кода.
3. Далей спатрэбіцца запусціць з прыкладзенай архіўнага файла Patcher.exe.
4. Наступным крокам з'яўляецца ўвядзенне нумары працэсу віруса, пасля чаго трэба націснуць кнопку «энтэрыце».
5. З'явіцца паведамленне «patched», што азначае заціраньня каманд параўнання.
6. Далей варта ў поле ўвядзення кода набраць любыя сімвалы, а затым націснуць кнопку «Ок».
7. Вірус пачынае працэс дэшыфроўкі файлаў, пасля заканчэння якога ён сам сябе ліквідуе.

Як пазбегнуць страты дадзеных з-за разгляданага шкоднаснага ПА?

Варта ведаць, што ў сітуацыі, калі вірус зашыфраваў файлы, для працэсу іх дэшыфроўкі спатрэбіцца час. Важным момантам выступае тое, што ў вышэйзгаданым шкоднасным ПА існуе памылка, якая дазваляе захаваць частка файлаў, калі хутка абясточыць кампутар (выдраць відэлец з разеткі, выключыць сеткавы фільтр, выцягнуць батарэю ў выпадку з ноўтбукам), як толькі з'явіцца вялікая колькасць файлаў з раней названым пашырэннем .

Яшчэ раз варта падкрэсліць, што галоўнае - гэта ўвесь час ствараць рэзервовае капіяванне, але не ў іншую тэчку, ня на здымны носьбіт, устаўлены ў кампутар, так як дадзеная мадыфікацыя віруса дабярэцца і да гэтых мясцін. Варта захоўваць бэкап на іншым кампутары, на вінчэстар, які пастаянна не далучаны да кампутара, і ў воблака.

Ставіцца варта з падазрэннем да ўсіх дакументаў, якія прыходзяць на пошту ад невядомых асобаў (у выглядзе рэзюмэ, накладной, Пастановы з ВАС РФ або падатковай і інш.). Не трэба іх запускаць на сваім кампутары (для гэтых мэтаў можна вылучыць нетбук, які не ўтрымлівае важных дадзеных).

Шкоднасная праграма *.paycrypt@gmail.com: спосабы ліквідацыі

У сітуацыі, калі вышэйзгаданы вірус зашыфраваў файлы cbf, doc, jpg і т. Д., Існуе ўсяго тры варыянты развіцця падзеі:

1. Самы просты спосаб пазбавіцца ад яго - выдаліць усе заражаныя файлы (гэта прымальна, калі толькі дадзеныя не асабліва важныя).
2. Зайсці ў лабараторыю антывіруснай праграмы, да прыкладу, Dr. WEB. Выслаць распрацоўнікам некалькі заражаных файлаў абавязкова разам з ключом для дэшыфроўкі, які знаходзіцца на кампутары ў якасці KEY.PRIVATE.
3. Самы затратны спосаб. Ён мяркуе аплату запытанай хакерамі сумы за дэшыфраванне заражаных файлаў. Як правіла, кошт гэтай паслугі ў межах 200 - 500 дал. ЗША. Гэта прымальна ў сітуацыі, калі вірус зашыфраваў файлы буйной кампаніі, у якой штодня працякае істотны інфармацыйны паток, і дадзеная шкоднасная праграма можа за лічаныя секунды нанесці каласальны шкоду. У сувязі з гэтым аплата - самы хуткі варыянт аднаўлення заражаных файлаў.

Часам выніковым аказваецца і дадатковы варыянт. У выпадку калі вірус зашыфраваў файлы (paycrypt @ gmail_com небудзь іншае шкоднаснае ПА), можа дапамагчы адкат сістэмы на некалькі дзён таму.

Праграма для дэшыфроўкі RectorDecryptor

Калі вірус зашыфраваў файлы jpg, doc, cbf і т. П., То можа дапамагчы спецыяльная праграма. Для гэтага спачатку спатрэбіцца зайсці ў аўтазагрузкі і адключыць усе, акрамя антывіруса. Далей неабходна перазагрузіць кампутар. Прагледзець усе файлы, вылучыць падазроныя. У полі пад назвай «Каманда» паказана месцазнаходжанне канкрэтнага файла (увага надаваць варта прыкладанням, якія не маюць подпісы: вытворца - няма дадзеных).

Усе падазроныя файлы трэба выдаліць, пасля чаго спатрэбіцца пачысціць кэшы браўзэраў, часовыя тэчкі (для гэтага падыдзе праграма CCleaner).

Каб прыступіць да дэшыфроўкі, неабходна спампаваць вышэйпаказаную праграму. Затым запусціць яе і націснуць кнопку «Пачаць праверку», паказаўшы змененыя файлы і іх пашырэнне. У сучасных версіях гэтай праграмы можна паказаць толькі сам заражаны файл і націснуць кнопку «Адкрыць». Пасля гэтага файлы будуць расшыфраваныя.

Пасля ўтыліта аўтаматычна ажыццяўляе праверку ўсіх кампутарных дадзеных, уключаючы файлы, якія знаходзяцца на далучаным сеткавым дыску, і дэшыфруе іх. Дадзены працэс аднаўлення можа заняць некалькі гадзін (у залежнасці ад аб'ёму працы і хуткадзейнасці кампутара).

У выніку ўсё пашкоджаныя файлы будуць расшыфраваныя ў тую ж самую дырэкторыю, дзе яны знаходзіліся першапачаткова. У завяршэнне застанецца толькі выдаліць усе наяўныя файлы з падазроным пашырэннем, для чаго можна праставіць галачку ў запыце «Выдаляць зашыфраваныя файлы пасля паспяховай расшыфроўкі», націснуўшы папярэдне кнопку «Змяніць параметры праверкі». Аднак лепш яе не ставіць, так як у выпадку няўдалай дэшыфроўкі файлаў яны могуць выдаліцца, і пасля прыйдзецца іх спачатку аднаўляць.

Такім чынам, калі вірус зашыфраваў файлы doc, cbf, jpg т. Д., Не варта спяшацца з аплатай кода. Можа, ён і не спатрэбіцца.

Нюансы выдалення зашыфраваных файлаў

Пры спробе ліквідацыі ўсіх пашкоджаных файлаў пасродкам стандартнага пошуку і наступнага выдалення можа пачацца завісанне і запаволенне працы кампутара. У сувязі з гэтым для дадзенай працэдуры варта скарыстацца спецыяльнай каманднай радком. Пасля яе запуску неабходна ўпісаць наступнае: del «<дыск>: \ *. <Пашырэнне заражанага файла>» / f / s.

Абавязкова трэба выдаліць такія файлы, як «Прачытай-меня.txt», для чаго ў той жа камандным радку варта пазначыць: del «<дыск>: \ *. <Імя файла>» / f / s.

Такім чынам, можна адзначыць, што ў выпадку, калі вірус пераназваў і зашыфраваў файлы, то не варта адразу марнаваць сродкі на куплю ключа ў зламыснікаў, спачатку варта паспрабаваць разабрацца ў праблеме самастойна. Лепш укласці грошы ў набыццё спецыяльнай праграмы для расшыфроўкі пашкоджаных файлаў.

Напрыканцы варта нагадаць, што ў дадзеным артыкуле разглядалася пытанне касаемо таго, як расшыфраваць файлы, зашыфраваныя вірусам.