На сегодняшний день самой вредоносной программой считается троян или вирус-шифровальщик. Некоторые такие файлы можно вылечить, а другие пока невозможно. Ниже будут представлены действия, которые необходимо предпринимать в обоих случаях, а также инструменты защиты от такого типа вирусов.
Существует несколько разновидностей данного вируса, причем постоянно появляются новые. Однако, действуют они по одному принципу. При попадании на компьютер документы, картинки и другие файлы, которые могут быть важными для пользователя, шифруются, при этом изменяется формат, а оригинал файлов удаляется. После этого на экране появляется уведомление, что файлы зашифрованы, и чтобы их вернуть в нормальное состояние, необходимо перевести деньги на счет мошенника.
Действия, если все нужные данные инфицированы
Сначала желательно ознакомиться с обобщенными данными всем, кто столкнулся с такой проблемой на своем ПК. Если все-таки информация на компьютере оказалась зараженной, то расстраиваться не нужно.
Если имеется возможность, необходимо с ПК, который инфицирован шифровальщиком, перенести на сторонний накопитель какой-то зараженный файл, а также файл с требованием мошенника по расшифровке. После этого требуется выключить ПК, чтобы вредонос не перекинулся на остальные файлы. Дальнейшую работу необходимо выполнять на стороннем компьютере.
После этого необходимо выяснить, какой вирус заразил данные. Для этого нужно использовать образцы зашифрованных файлов. В некоторых случаях можно воспользоваться дешифраторами. Для остальных вирусов их еще не придумали. Однако, это не мешает переслать примеры зараженных файлов в антивирусные лаборатории для проверки.
Выяснить, какой можно расшифровать, а какой нет, можно через поисковую систему. Можно поискать форумы, на которых обсуждается эта проблема или найти тип шифровальщика по формату. Кроме того, в сети стали появляться сервисы, которые помогут определить тип шифровальщика. Пока неизвестно, действенны они или нет, но попробовать все-таки стоит. Вдруг помогут.
Если удалось определить тип шифровальщика, тогда стоит поискать в интернете утилиту для расшифровки данного вируса. Для этого необходимо в поисковике ввести сто-то похожее на: «Тип шифровальщика Decryptor».
Подобны программы распространяются производителями антивирусов совершенно бесплатно. К примеру, на сайте
лаборатории Касперского можно отыскать сразу несколько таких утилит. Кроме того, не стоит стесняться обращаться за помощью к разработчику антивирусных утилит в службу поддержки.
Но стоит отметить, что такие действия не всегда помогают, при этом подобные расшифровщики не всегда работоспособны. При таком раскладе некоторые платят мошенникам, чем помогают им вести свою деятельность дальше. Другие пользователи обращаются за помощью к утилитам по восстановлению данных, поскольку шифровальщики удаляют оригинал файла, а его, теоретически, можно вернуть.
Данные на ПК зашифрованы в формат xtbl
Данный вариант вредоноса является одним из самых свежих. Он подменяет файлы на формат .xtbl и изменяет имя на непонятный набор символов. При этом на ПК появляется файл readme.txt с текстом о том, что данные пользователя заблокированы, и для их разблокировки следует оправить код на какую-то электронную почту. После чего должна прийти инструкция по устранению проблемы. Если выполнять какие-то действия без этого руководства, можно лишиться своих данных без возможности их восстановить.
На сегодняшний день расшифровать формат .xtbl возможности нет. Некоторые юзеры, которые хранили на своем компьютере очень важную информацию, отправляли злоумышленникам довольно крупные суммы денег и получали утилиту для расшифровки, но это не всегда заканчивается таким образом. Может случиться так, что мошенники получают деньги, а в ответ ничего не отправляют.
Существует много рекомендаций на тему появления на компьютере файлов, зашифрованных в .xtbl. На тематических форумах можно встретить рекомендации сразу же выключить компьютер или вирус не ликвидировать. Однако, такие действия лишние и могут нанести вред компьютеру. Поэтому стоит поступить немного другим образом.
В этом случае необходимо перейти в диспетчер задач и снять задачи, относящиеся к шифровальному процессу, при этом необходимо выключить компьютер от интернета. После этого необходимо переписать код, который мошенники предлагают выслать на электронку. В данном случае не нужно его записывать на ПК в текстовый файл, поскольку он может быть зашифрован вирусом.
После этого необходимо попробовать удалить вирус, который шифрует файлы, какой-то специальной программой. Для этого можно использовать Malwarebytes Antimalware или разработки Касперского и Dr.Web. В этом случае можно попробовать по очереди несколько таких разработок, однако, если на компьютере имеется антивирус, то установка дополнительного может привести к конфликтам и неправильной работе ПК.
После этого нужно ждать пока, какая-то выйдет в свет какая-нибудь программа дешифратор от ведущих разработчиков антивирусов. Кроме того, есть вариант переслать какой-то зашифрованный файл и код на сайт Касперского. Если имеется где-то оригинал зашифрованного файла, то его желательно отослать тоже. Возможно, это поможет быстрее расшифровать файл.
Не рекомендуемые действия
Ни в коем случае нельзя переименовывать такие файлы, изменять их расширение или ликвидировать их, если данные представляют какую-то ценность. Это все, что можно посоветовать при проникновении на ПК вируса, шифрующих данные в формат .xtbl на сегодняшний день.
Данные инфицированы better_call_saul
Одним из свежих вирусов-шифровальшиков можно отметить Better Call Saul. Он задает шифруемым данным формат .better_call_saul. Каким образом расшифровать данные файлы неизвестно пока. Юзеры, которые обращались за помощью к лаборатории Касперского, получили ответ, что расшифровка пока невозможна. Однако, попытаться стоит, поскольку увеличение образцов зашифрованных данных лаборатории может способствовать скорейшему решению проблемы.
Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni
Этот троянский вирус тоже шифрует файлы и может устанавливать несколько расширений, которых достаточно много. Чтобы расшифровать данные, которые попали под воздействие этого вируса, необходимо перейти на сайт лаборатории Касперского и скачать оттуда бесплатное приложение RakhniDecryptor.
Кроме того, на той же странице можно найти руководство по применению этой программы. Здесь можно наглядно увидеть, каким образом происходит восстановление зашифрованных данных. В этом ситуации необходимо только снять отметку с пункта «Удалять зашифрованные данные после успешной расшифровки».
Если в распоряжении имеется лицензионная антивирусная программа Dr.Web, тогда можно прибегнуть к помощи его приложения для расшифровки. Воспользоваться ею можно на официальной странице техпомощи компании.
Разновидности вируса-шифровальщика
На так часто, но все равно могут встречаться различные трояны, которые шифруют файлы и требуют за расшифровку деньги. Ниже представлены способы их устранения, а также ссылки, откуда можно скачать приложение для расшифровки и ознакомиться с признаками, которые свидетельствуют о присутствии на компьютере подобных паразитов.
Однако, самым подходящим в данном случае способом является проверка компьютера с помощью антивируса Касперского, чтобы выяснить название трояна по базе данной компании, а затем искать программу для решения проблемы.
Если на компьютере объявился Trojan-Ransom.Win32.Rector, тогда стоит использовать приложение RectorDecryptor для устранения проблемы. На сайте компании Касперского можно отыскать программу и инструкцию к ней.
При обнаружении Trojan-Ransom.Win32.Xorist, который выдает окно с предложение отправить СМС или переслать на электронку письмо для получения ответа с руководством по устранению проблемы. В данном случае опять же можно обратиться к ресурсу Касперского, где имеется приложение XoristDecryptor.
Для устранения вирусов Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury необходимо скачать приложение RannohDecryptor все с того же сайта. Вирусы Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и остальные с подобным именем, но с другими цифрами — довольно сложные. В данном случае можно поискать решения в глобальной сети по имени вируса. Некоторые из них можно устранить с помощью приложения от Dr.Web. кроме того, при наличии лицензии можно воспользоваться официальным средством от данной компании.
Чтобы вылечить данные после деятельности вируса CryptoLocker, необходимо перейти на ресурс http://decryptcryptolocker.com. Отправив на него пример инфицированных данных, в ответ придет ключ и программу для устранения проблемы.
На интернет-ресурсе https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads можно найти обширный архив с данными о различных вредоносах-шифровальщиках и программами для их устранения. Правда, сайт на английском языке.
Стоит отметить, что лаборатории Касперского вместе с программистами из Голландии создали программу Ransomware Decryptor, которая способна расшифровывать файлы после деятельности CoinVault, однако, отечественных пользователь этот вирус еще не беспокоил.
Защита от вирусов шифровальщиков или ransomware
Поскольку вирус Ransomware в последнее время становится все более распространенным, многие производители антивирусного ПО начали создавать собственные инструменты борьбы с этим вредоносом. Многие из них пока находятся на стадии тестирования и способны противостоять не всем вирусам подобного типа, но распространяются бесплатно.
Но есть приложение WinAntiRansom, распространяющееся на платной основе, и способное обезвреживать практически все типы ransomware, при этом может предоставлять защиту локальным и сетевым дискам.
Однако, эти утилиты неспособны расшифровывать файлы, а только могут предотвратить шифрование. Вообще то, хотелось, чтобы такие функции присутствовали в антивирусных утилитах. А так, получается, что пользователь должен держать на ПК антивирусную утилиту, программу для борьбы с вредоносным ПО, а теперь и приложение для борьбы Anti-ransomware и Anti-exploit.
Вот, в принципе, и все, что необходимо знать о шифровании файлов. Если придерживаться всех вышеописанных рекомендаций можно избежать плачевных последствий. Не стоит отправлять деньги злоумышленникам, поскольку можно не получить в ответ дешифратор. В любом случае, при появлении данной проблемы рекомендуется обращаться за помощью к продвинутым антивирусным компаниям.
Хорошая статья – все по полочкам разлажено! Самой эффективной защитой от шифровальщиков остается холодный, критичный ум и постоянные бекапы важных файлов на облако или внешний жесткий диск офлайн.