Адна з самых праблемных шкоднасных праграм сёння - гэта траян ці вірус, шыфры файлы на дыску карыстальніка. Некаторыя з гэтых файлаў расшыфраваць магчыма, а некаторыя - пакуль няма. У кіраўніцтве прыведзены магчымыя алгарытмы дзеянняў у абодвух сітуацыях, спосабы вызначыць канкрэтны тып шыфравання на сэрвісах No More Ransom і ID Ransomware, а таксама кароткі агляд праграм для абароны ад вірусаў-шыфравальшчыкам (ransomware).
Ёсць некалькі мадыфікацый такіх вірусаў або траянцаў-вымагальнікаў (і ўвесь час з'яўляюцца новыя), але агульная сутнасьць працы зводзіцца да таго, што пасля ўстаноўкі на кампутар вашыя файлы дакументаў, малюнкаў і іншыя, патэнцыйна якія з'яўляюцца важнымі, шыфруюцца са зменай пашырэння і выдаленнем арыгінальных файлаў, пасля чаго вы атрымліваеце паведамленне ў файле readme.txt пра тое, што ўсе вашыя файлы былі зашыфраваныя, а для іх расшыфроўкі вам патрабуецца адправіць пэўную суму зламысніку. Заўвага: у Windows 10 Fall Creators Update з'явілася ўбудаваная абарона ад вірусаў-шыфравальшчыкам.
Што рабіць, калі ўсе важныя дадзеныя зашыфраваны
Для пачатку, некаторая агульная інфармацыя для якія сутыкнуліся з шыфраваннем важных файлаў на сваім кампутары. Калі важныя дадзеныя на вашым кампутары былі зашыфраваныя, то перш за ўсё не варта панікаваць.
Калі ў вас ёсць такая магчымасць, з дыска кампутара на якім з'явіўся вірус-шыфравальшчык (ransomware) скапіруйце кудысьці на знешні назапашвальнік (флешку) прыклад файла з тэкставым запытам зламысніка па расшыфроўцы, плюс якой-небудзь асобнік зашыфраванага файла, а потым, па магчымасці, выключыце кампутар, каб вірус не мог працягнуць шыфраванне дадзеных, а астатнія дзеянні вырабляеце на іншым кампутары.
Наступны этап - з дапамогай наяўных зашыфраваных файлаў высветліць, які менавіта тып віруса зашыфраваў вашыя дадзеныя: для некаторых з іх ёсць дэшыфратары (некаторыя я пакажу тут, некаторыя пазначаны бліжэй да канца артыкула), для некаторых - пакуль няма. Але нават у гэтым выпадку вы можаце адправіць прыклады зашыфраваных файлаў у антывірусныя лабараторыі (Касперскі, Dr. Web) для вывучэння.
Як менавіта высвятліць? Зрабіць гэта можна з дапамогай Google, знайшоўшы абмеркавання або тып шыфравальшчыка па пашырэнні файла. Таксама пачалі з'яўляцца сэрвісы для вызначэння тыпу ransomware.
No More Ransom
No More Ransom - актыўна развіваецца рэсурс, які падтрымліваецца распрацоўшчыкамі сродкаў бяспекі і даступны ў версіі на рускай мове, накіраваны на барацьбу з вірусамі шыфравальшчыкамі (траянцамі-вымагальнікамі).
Пры поспеху, No More Ransom можа дапамагчы расшыфраваць вашыя дакументы, базы дадзеных, фатаграфіі і іншую інфармацыю, спампаваць неабходныя праграмы для расшыфроўкі, а таксама атрымаць інфармацыю, якая дапаможа пазбегнуць такіх пагроз у будучыні.
На No More Ransom можна паспрабаваць расшыфраваць вашыя файлы і вызначыць тып віруса-шыфравальшчыка наступным чынам:
- Націсніце "Так" на галоўнай старонцы сэрвісу //www.nomoreransom.org/ru/index.html
- Адкрыецца старонка "Крыпта-шэрыф", дзе можна загрузіць прыклады зашыфраваных файлаў памерам не больш за 1 Мб (рэкамендую загружаць якія не змяшчаюць канфідэнцыйных дадзеных), а таксама пазначыць адрасы электроннай пошты або сайтаў, на якія ашуканцы патрабуюць выкуп (або загрузіць файл readme.txt з патрабаваннем).
- Націсніце кнопку "Праверыць" і дачакайцеся завяршэння праверкі і яе выніку.
Дадаткова, на сайце даступныя карысныя раздзелы:
- Декрипторы - амаль усе існуючыя на бягучы момант часу утыліты для расшыфроўкі зашыфраваных вірусамі файлаў.
- Прафілактыка заражэння - інфармацыя, накіраваная ў першую чаргу на пачаткоўцаў карыстальнікаў, якая можа дапамагчы пазбегнуць заражэння ў далейшым.
- Пытанні і адказы - інфармацыя для тых, хто хоча лепш разабрацца ў працы вірусаў шыфравальшчыкам і дзеяннях у выпадках, калі вы сутыкнуліся з тым, што файлы на кампутары былі зашыфраваныя.
На сёння, No More Ransom - напэўна, самае актуальнае і карысны рэсурс, звязаны з расшыфроўкай файлаў для рускамоўнага карыстальніка, рэкамендую.
ID Ransomware
Яшчэ адзін такі сэрвіс - //id-ransomware.malwarehunterteam.com/ (праўда, я не ведаю, наколькі добра ён працуе для рускамоўных варыянтаў віруса, але паспрабаваць варта, скарміўшы сэрвісу прыклад зашыфраванага файла і тэкставы файл з патрабаваннем выкупу).
Пасля вызначэння тыпу шыфравальшчыка, калі вам гэта ўдалося, паспрабуйце знайсці ўтыліту для расшыфроўкі гэтага варыянту па запытах накшталт: Тип_шифровальщика Decryptor. Такія ўтыліты бясплатныя і выпускаюцца распрацоўшчыкамі антывірусаў, напрыклад, адразу некалькі такіх утыліт можна знайсці на сайце Касперскага //support.kaspersky.ru/viruses/utility (іншыя ўтыліты ёсць бліжэй да канца артыкула). І, як ужо было сказана, не саромейцеся звярнуцца да распрацоўшчыкаў антывірусаў на іх форумах або ў службу падтрымкі па пошце.
На жаль, усё гэта не заўсёды дапамагае і не заўсёды ёсць якія працуюць расшифровщики файлаў. У гэтым выпадку сцэнары бываюць рознымі: многія плацяць зламыснікам, поощраяя іх працягваць гэтую дзейнасць. Некаторым карыстальнікам дапамагаюць праграмы для аднаўлення дадзеных на кампутары (бо вірус, робячы зашыфраваны файл, выдаляе звычайны важны файл, які тэарэтычна можна аднавіць).
Файлы на кампутары зашыфраваныя ў xtbl
Адзін з апошніх варыянтаў віруса-вымагальніка шыфруе файлы, замяняючы іх на файлы з пашырэннем .xtbl і імем, якія складаюцца з выпадковага набору знакаў.
Заадно на кампутары размяшчаецца тэкставы файл readme.txt з прыкладна наступным зместам: "Вашы файлы былі зашыфраваныя. Каб расшыфраваць іх, Вам неабходна адправіць код на электронны адрас [email protected], [email protected] або [email protected]. Далей вы атрымаеце ўсе неабходныя інструкцыі. Спробы расшыфраваць файлы самастойна прывядуць да беззваротнай страты інфармацыі "(адрас пошты і тэкст могуць адрознівацца).
На жаль, спосабу расшыфраваць .xtbl на дадзены момант няма (як толькі ён з'явіцца, інструкцыя будзе абноўлена). Некаторыя карыстальнікі, у якіх на кампутары была сапраўды важная інфармацыя, паведамляюць на антывірусных форумах, што адправілі аўтарам віруса 5000 рублёў або іншую патрэбную суму і атрымалі дэшыфратар, аднак гэта вельмі рызыкоўна: вы можаце нічога не атрымаць.
Што рабіць, калі файлы былі зашыфраваныя ў .xtbl? Мае рэкамендацыі выглядаюць наступным чынам (але яны адрозніваюцца ад тых, што ёсць на многіх іншых тэматычных сайтах, дзе, напрыклад, рэкамендуюць неадкладна выключыць кампутар з электрасеткі ці не выдаляць вірус. На мой погляд - гэта лішняе, а пры некаторым збегу абставін можа быць нават шкодным, аднак вырашаць вам.):
- Калі ўмееце, перапыніць працэс шыфравання, зняўшы адпаведныя задачы ў дисптечере задач, адключыўшы кампутар ад Інтэрнэту (гэта можа быць неабходным умовай шыфравання)
- Запомніць ці запісаць код, які зламыснікі патрабуюць выслаць на электронны адрас (толькі не ў тэкставы файл на кампутары, на ўсялякі выпадак, каб ён таксама не апынуўся зашыфраваны).
- З дапамогай Malwarebytes Antimalware, пробнай версіі Kaspersky Internet Security або Dr.Web Cure It выдаліць вірус, шыфры файлы (усе пералічаныя інструменты з гэтым добра спраўляюцца). Я раю па чарзе выкарыстоўваць першы і другі прадукт з спісу (праўда, калі ў вас усталяваны антывірус, ўстаноўка другога "зверху" непажаданая, бо можа прывесці да праблем у працы кампутара.)
- Чакаць, калі з'явіцца дэшыфратар ад якой-небудзь антывіруснай кампаніі. У авангардзе тут Kaspersky Lab.
- Можна так жа адправіць прыклад зашыфраванага файла і патрабаваны код на [email protected], Калі ў вас ёсць копія гэтага ж файла ў незашыфраваным выглядзе, дашліце яе таксама. У тэорыі, гэта можа паскорыць з'яўленне дэшыфратара.
Чаго рабіць не варта:
- Пераназываць зашыфраваныя файлы, мяняць пашырэнне і выдаляць іх, калі яны вам важныя.
Гэта, мабыць, усё, што я магу сказаць з нагоды зашыфраваных файлаў з пашырэннем .xtbl на дадзены момант часу.
Файлы зашыфраваныя better_call_saul
З апошніх вірусаў шыфравальшчыкам - Better Call Saul (Trojan-Ransom.Win32.Shade), які ўстанаўлівае пашырэнне .better_call_saul для шыфраваных файлаў. Як расшыфраваць такія файлы - пакуль незразумела. Тыя карыстальнікі, якія звязваліся з лабараторыяй Касперскага і Dr.Web атрымалі інфармацыю аб тым, што пакуль гэтага зрабіць нельга (але ўсё роўна паспрабуйце адправіць - больш узораў зашыфраваных файлаў у распрацоўшчыкаў = больш верагоднасць знаходжання спосабу).
Калі апынецца, што вы знайшлі спосаб расшыфроўкі (гэта значыць, ён быў недзе выкладзены, а я не ўсачыў), прашу падзяліцца ў каментарах інфармацыяй.
Trojan-Ransom.Win32.Aura і Trojan-Ransom.Win32.Rakhni
Наступны траян, шыфры файлы і ўстанаўлівае ім пашырэння з гэтага спісу:
- .locked
- .crypto
- .kraken
- .AES256 (не абавязкова гэты траян, ёсць і іншыя, якія ўстанаўліваюць гэта ж пашырэнне).
- .codercsu @ gmail_com
- .enc
- .oshit
- І іншыя.
Для расшыфроўкі файлаў пасля працы названых вірусаў, на сайце Касперскага ёсць бясплатная ўтыліта RakhniDecryptor, даступная на афіцыйнай старонцы //support.kaspersky.ru/viruses/disinfection/10556.
Там жа прысутнічае і падрабязная інструкцыя па ўжыванні дадзенай утыліты, якая паказвае, як аднавіць зашыфраваныя файлы, з якой я б, на ўсялякі выпадак прыбраў пункт "Выдаляць зашыфраваныя файлы пасля паспяховай расшыфроўкі" (хоць, думаю і з усталяванай опцыяй ўсё будзе ў парадку).
Калі ў вас ёсць ліцэнзія антывіруса Dr.Web вы можаце скарыстацца бясплатнай расшыфроўкай ад гэтай кампаніі на старонцы //support.drweb.com/new/free_unlocker/
Яшчэ варыянты віруса-шыфравальшчыка
Радзей, але таксама сустракаюцца наступныя траяны, шыфры файлы і якія патрабуюць грошы за расшыфроўку. Па прыведзеных спасылках ёсць не толькі утыліты для вяртання вашых файлаў, але і апісанне прыкмет, якія дапамогуць вызначыць, што ў вас менавіта гэты вірус. Хоць наогул, аптымальны шлях: з дапамогай антывіруса Касперскага прасканаваць сістэму, даведацца імя траяна па класіфікацыі гэтай кампаніі, а потым шукаць ўтыліту па гэтым імені.
- Trojan-Ransom.Win32.Rector - бясплатная ўтыліта RectorDecryptor для расшыфроўкі і кіраўніцтва па выкарыстанні даступна тут: //support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist - аналагічны траян, які выводзіць акно з патрабаваннем адправіць платную смс або звязацца па электроннай пошце для атрымання інструкцыі па расшыфроўцы. Інструкцыя па аднаўленні зашыфраваных файлаў і ўтыліта XoristDecryptor для гэтага ёсць на старонцы //support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - утыліта RannohDecryptor //support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 і іншыя з такім жа імем (пры пошуку праз антывірус Dr.Web або ўтыліту Cure It) і рознымі нумарамі - паспрабуйце пошук у інтэрнэце па імі траяна. Для часткі з іх ёсць ўтыліты дэшыфроўкі ад Dr.Web, гэтак жа, калі вам не ўдалося знайсці ўтыліту, але ёсць ліцэнзія Dr.Web, вы можаце выкарыстоўваць афіцыйную старонку //support.drweb.com/new/free_unlocker/
- CryptoLocker - для расшыфроўкі файлаў пасля працы CryptoLocker, вы можаце выкарыстоўваць сайт //decryptcryptolocker.com - пасля адпраўкі прыкладу файла, вы атрымаеце ключ і ўтыліту для аднаўлення вашых файлаў.
- На сайце//bitbucket.org/jadacyrus/ransomwareremovalkit/downloads доступе Ransomware Removal Kit - вялікі архіў з інфармацыяй па розных тыпах шыфравальшчыкам і ўтылітамі для расшыфроўкі (па-ангельску)
Ну і з апошніх навінаў - Лабараторыя Касперскага, сумесна з праваахоўнікамі з Нідэрландаў, распрацавалі Ransomware Decryptor (//noransom.kaspersky.com) для расшыфроўкі файлаў пасля CoinVault, аднак у нашых шыротах гэты вымагальнік пакуль не сустракаецца.
Абарона ад вірусаў шыфравальшчыкам або ransomware
Па меры распаўсюджвання Ransomware, шматлікія вытворцы антывірусаў і сродкаў барацьбы з шкоднаснымі праграмамі пачалі выпускаць свае рашэнні для прадухілення працы шыфравальшчыкам на кампутары, сярод іх можна вылучыць:- Malwarebytes Anti-Ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Але: гэтыя праграмы не прызначаныя для расшыфроўкі, а толькі толькі для прадухілення шыфравання важных файлаў на кампутары. Ды і наогул, мне здаецца, гэтыя функцыі павінны быць рэалізаваны ў антывірусных прадуктах, інакш атрымліваецца дзіўная сітуацыя: карыстачу неабходна трымаць на кампутары антывірус, сродак барацьбы з AdWare і Malware, а цяпер яшчэ і ўтыліту Anti-ransomware, плюс на ўсялякі выпадак Anti- exploit.
Дарэчы, калі раптам апынецца, што вам ёсць што дадаць (таму як я магу не паспяваць маніторыць тое, што адбываецца са спосабамі дэшыфроўкі), паведамляйце ў каментарах, гэтая інфармацыя будзе карысная іншым карыстальнікам, якія сутыкнуліся з праблемай.