Ваши файлы были зашифрованы — что делать?

Адреса с формами отправки зашифрованных файлов:

Следующий троян, шифрующий файлы и устанавливающий им расширения из этого списка:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (не обязательно этот троян, есть и другие, устанавливающие это же расширение).
  • [email protected]_com
  • .enc
  • .oshit
  • И другие.

Для расшифровки файлов после работы указанных вирусов, на сайте Касперского есть бесплатная утилита RakhniDecryptor, доступная на официальной странице

Там же присутствует и подробная инструкция по применению данной утилиты, показывающая, как восстановить зашифрованные файлы, из которой я бы, на всякий случай убрал пункт «Удалять зашифрованные файлы после успешной расшифровки» (хотя, думаю и с установленной опцией все будет в порядке).

Если у вас есть лицензия антивируса вы можете воспользоваться бесплатной расшифровкой от этой компании на странице _unlocker/

Что за SPP и VSS?

Система ссылается на аббревиатуру названий служб. SPP – ни что иное как Software Protection Service (она же ) или служба Защиты программного обеспечения. Вторая – VSS – Volume Snapshot Service – служба Теневого копирования тома. С предназначением обеих можно ознакомиться в консоли служб, но позволю себе напомнить, что первая предназначена для загрузки и установки программ для Windows с принудительным присвоением для каждой цифровой лицензии. Вторая отвечает за создание резервных копий и снимков файлов и драйверов системы. Кроме того, если вы пожелаете проверить логи, на которые вас отсылают, это можно сделать по команде

из строки поиска WIN + R. Изучение логов сама по себе очень неплохая идея. Однако тем, у кого возникают затруднения с осмыслением указанного в логах этих служб, готовые решения.

Восстановление поврежденных видеофайлов

В случае некорректного отключения компьютера, например при отключении электроэнергии, использование этой функции восстановит поврежденные видеофайлы.

Совет: После некорректного отключения компьютера перед запуском системы GV следует сначала выполнить Repair BataBase Utility (Утилиту восстановления базы данных). После выполнения этой утилиты вернитесь в приложение ViewLog и просмотрите видеособытия. Теперь удастся просмотреть все видеофайлы. Однако, если при открытии файла отображается знак вопроса, проблема, возможно, возникла из-за прерывания процесса записи. Чтобы восстановить такой файл, запустите утилиту восстановления файлов AVI и выполните описанные ниже действия.

  1. Дважды щелкните файл в папке GV. Откроется следующее диалоговое окно. Рис. 5-9
  2. Нажмите кнопку Browse (Обзор) и найдите поврежденный видеофайл.
  3. Если известны кодек и разрешение файла, выберите Manual (Ручной), Compression Type (Тип сжатия) и введите значение Resolution (Разрешение). Кроме этого, можно выбрать вариант Авто, и система произведет поиск требуемой комбинации этих параметров. Обратите внимание на то, что при выборе этого варианта для восстановления потребуется больше времени.
  4. Нажмите кнопку Исправить, чтобы начать восстановление.
  5. В случае выбора неверного кодека или разрешения на экране просмотра можно увидеть искаженное изображение или сообщение No Image (Нет изображения). В этом случае выберите Нет, чтобы использовать следующую комбинацию кодека и разрешения до появления правильного изображения.
  6. После отображения полного изображения нажмите кнопку со стрелкой, чтобы просмотреть файл.
  7. Выберите Да, чтобы начать восстановление.
  8. Выберите Да, чтобы перезаписать файл, или Нет, чтобы сохранить файл по другому пути. Обратите внимание на то, что при выборе Нет в этом шаге следует снова запустить Repair DataBase Utility (Утилиту восстановления базы данных) после выхода из программы.
Читайте также:  Как снять пароль с компьютера Windows 10?

Как произошло заражение

На почту пришло письмо от страхового агентства, в котором было рассказано о важности письма с просьбой ознакомиться с прикрепленным документом отчетности. Именно таким образом чаще всего и происходит заражение компьютера. Злоумышленники прибегают к различным трюкам, чтобы напугать или заинтересовать пользователя.

Так совпало, что знакомый работал страховым агентом и ничего не подозревая открыл приложенный документ. С этого все и началось.

Спустя определенное время начало появляться окно, просящее разрешение на внесение изменений. Если дать разрешение, то удалятся теневые копии файлов и уже вряд ли получится восстановить информацию.

В Windows XP нет теневых копий, поэтому окно разрешений не появляется.

После многочисленных попыток отклонения, окно пропало и больше не появлялось. Но через время знакомый заметил, что расширение некоторых файлов поменялось на crypted000007, в результате чего они оказались недоступны для чтения.

Некоторые пользователи для удобства отключают окно разрешений «UAC», предоставляя различным приложениям автоматический доступ в систему. Тогда опасное ПО начнет действовать без предупреждений.

Именно так и действует шифровальщик. Его цель зашифровать ваши данные и создать на рабочем столе множество одинаковых текстовых документов, в которых содержится контактная информация для связи с создателем вируса crypted000007. Обычно просят выслать специальный код на адрес [email protected], после чего вы получите дальнейшие инструкции.

Если говорить конкретнее, то злоумышленник пообещает выслать дешифратор или самостоятельно вернуть все данные после перечисления определенной суммы на его счет. Ни в коем случае на это не видитесь.

Не понимая, что происходит мне незамедлительно от звонились и попросили о помощи.

Cпособы защиты от троянов-шифровальщиков

К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись сLiveCD. Так же резервное копирование можно проводить на так называемые «облачные хранилища«, предоставляющиеся некоторыми компаниями.Ссылки:

  • Список ПО для резервного копирования
  • Бесплатные программы для резервного копирования
  • Обзор программ для резервного копирования данных. Часть 1.
  • Обзор программ для резервного копирования данных. Часть 2.
  • Архивация файлов средствами Windows
  • Облачное хранилище данных
  • Удалённое резервное копирование данных
Читайте также:  Выскакивает командная строка cmd.exe и исчезает — как убрать

LiveCD (Linux-based LiveCD с функциями восстановления данных):

  • Ultimate Boot CD
  • Parted Magic (описание)
  • SystemRescueCD (описание)
  • Redo Backup and Recovery
  • Knoppix CD/DVD

Прочее:

  • Примеры «тонкой настройки» системы проактивной защиты SysWatch Personal/Deluxe
  • Software Restriction Policies

Методы шифрования:

  • Шифрование
  • Криптография
  • Симметричные криптосистемы
  • Алгоритм RSA
  • Алгоритм AES
  • Алгоритм Blowfish

Ссылки по теме:

  • .arest файлов или новый шифровальщик

Join @AdmNtsRu on TelegramСмотрите также:Тестирование бесплатных антивирусов или альтернатива Microsoft Security Essentials для Windows XPИ снова вирус-шифратор файлов.

Проблемы расшифровки используемых алгоритмов

Беда в том, что современные системы дешифрования перед лицом такой опасности оказались бессильны. Расшифровка файлов после вируса-шифровальщика на основе AES256 еще кое-как поддерживается, а при условии более высокой битности ключа практически все разработчики просто разводят руками. Это, кстати, официально подтверждено специалистами из «Лаборатории Касперского» и компании Eset.

В самом примитивном варианте обратившемуся в службу поддержки пользователю предлагается прислать зашифрованный файл и его оригинал для сравнения и проведения дальнейших операций по определению алгоритма шифрования и методов восстановления. Но, как правило, в большинстве случаев это результата не дает. Но вирус-шифровальщик расшифровать файлы может и сам, как считается, при условии того, что жертва согласится с условиями злоумышленников и выплатит определенную сумму в денежном эквиваленте. Однако такая постановка вопроса вызывает законные сомнения. И вот почему.

Когда вирус шифровальщик попал на компьютер, — что делать?

Хоть это и не просто, для начала постараться не паниковать. Злоумышленник не может знать содержимое Вашего компьютера. Он действует вслепую. Шифруется не все. Например, программы и приложения обычно не шифруются. Архивы  *.rar и *.7zip — тоже нет. попробуйте открыть архив.  Если он открылся — это хорошо.

Читайте также:  Служба каталогов Active Directory в Windows 2000 Server

Когда обнаружил «сюрприз», начал догадываться , что «попал».  Для начала поставил антивирус обратно. В удрученном состоянии  снова включил контроль учетных записей «на всю», и запустил на ночь сканирование системного раздела С:, на котором установлена Windows. Нужно  было выцепить зараженный файл. Если этого не сделать, толку не будет. Все опять зашифруется. Так что сначала лечим компьютер.

Когда вирус шифровальщик попал на компьютер, — что делать?

По возможности запускайте проверку всего компьютера через бесплатный лайф-диск от Dr Web или аналогичной бесплатной утилитой от Касперского Kspersky Resque Disk 10.

Утром в карантине моего антивируса были найдены вот такие «монстры»:

Всего три, бывало и хуже. Но эти три зашифровали все мое добро. Что делаем дальше? Если была настроена архивация, надо после лечения просто восстановить файлы из архива, и всё.  Я  и полез в архив, где у меня  было настроено ежедневное резервное копирование моих файлов за несколько месяцев.

Когда вирус шифровальщик попал на компьютер, — что делать?

Открыв его я увидел, что все  архивы за все даты так же убиты. Список пуст. Почему так произошло?

Вирусы умнеют. Я ведь сам отключал контроль учетных записей, после того как удалил антивирус. …….Первое, что сделал вирус после этого —  обрадовался и удалил все файлы резервных копий. А  я с этого момента  начал постепенно впадать в уныние…

Второе, что надо сделать (подумал я), это восстановить файлы из теневой копии диска C:. Для этого я пользуюсь  бесплатной  программой для просмотра теневых копий диска ShadowCopyView_ru_64 или 32 разрядной версией. Она позволяет быстро визуально просмотреть и оценить содержимое теневых копий, а так же восстановить отдельные папки.

Когда вирус шифровальщик попал на компьютер, — что делать?

Когда я  просмотрел последние снимки, обнаружилось, что остались только   зашифрованные копии … Второе, что сделал вирус, это опять убил мои старые теневые копии защищенного тома, чтобы мне было интереснее…. А может, они затерлись последующими копиями…Финал… Казалось бы все. Не все, друзья. Главное, не сдаваться.