Дешифратор вируса шифровальщика: Утилита для расшифровки файлов после заражения Trojan-Ransom.Win32.Rannoh

Содержание

Утилита для расшифровки файлов после заражения Trojan-Ransom.Win32.Rannoh

  1. Скачайте файл RannohDecryptor.zip.
  2. Запустите файл RannohDecryptor.exe на зараженном компьютере.
  3. Внимательно прочитайте Лицензионное соглашение «Лаборатории Касперского». Нажмите Принять, если вы согласны со всеми пунктами.
  4. Если вы хотите, чтобы утилита автоматически удалила зашифрованные файлы после расшифровки:
    1. Перейдите по ссылке Изменить параметры проверки в главном окне.
    2. Установите флажок Удалять зашифрованные файлы после успешной расшифровки.

  5. В главном окне нажмите Начать проверку.

  1. Укажите путь к зашифрованному файлу. 
  2. Для расшифровки некоторых троянов утилита запросит оригинальную (незашифрованную) копию одного шифрованного файла. Вы можете найти такую копию в почте, на съемном носителе, на других ваших компьютерах или в облачных хранилищах. Нажмите
    Продолжить
    и укажите путь к оригинальной копии. 


Если файлы зашифрованы Trojan-Ransom.Win32.CryptXXX, укажите файлы самого большого размера. Из-за особенностей этой программы-шифровальщика расшифровка будет доступна только для файлов равного или меньшего размера.

  1. Дождитесь окончания поиска и расшифровки зашифрованных файлов.

Файлы будут расшифрованы. 

Если файлы были зашифрованы Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.Polyglot или Trojan-Ransom.Win32.Fury, утилита сохранит файлы на старом месте с расширением .decryptedKLR.оригинальное_расширение. Если вы выбрали Удалять зашифрованные файлы после успешной расшифровки, утилита сохранит расшифрованные файлы с оригинальным именем.

Если файлы были зашифрованы Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.CryptXXX или Trojan-Ransom.Win32.Crybola, утилита сохранит файлы на старом месте с оригинальным расширением.

По умолчанию утилита выводит отчет о работе в корень диска, на котором установлена операционная система. Имя отчета имеет вид: ИмяУтилиты.Версия_Дата_Время_log.txt. Например, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Вирус-шифровальщик. БОЛЬШАЯ статья / Хабр

В новости

«ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225»

я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.

Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».

Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива».

В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).

Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
— прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.

— Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
— менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
— использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!

Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 — я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» — Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке, так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение .perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Вирус-шифровальщик: способы восстановления и защиты

Вирус-шифровальщик (Trojan.Encoder) – это вредоносная программа, которая шифрует файлы на компьютере по особому криптостойкому алгоритму, делая их нечитаемыми. Внешне это выглядит как смена расширения – вместо привычных *.doc, *.jpeg, *.mp3 и и других форматов все файлы вдруг начинают заканчиваться на *.better_call_saul, *.breaking_bad, *.da_vinci_code и т.д.

Пользователю предлагается купить у злоумышленника ключ, с помощью которого можно расшифровать файлы. Ключ привязан к конкретному компьютеру. Сумма, вымогаемая создателем вируса, может достигать нескольких тысяч долларов. Причем никаких гарантий у пользователя нет: он может просто не получить свой ключ для расшифровки после оплаты.

Существует огромное количество модификаций шифровальщика, каждая из которых работает по своему алгоритму. Подбор ключа расшифровки может занять годы, причем вероятность успешной расшифровки всех файлов – крайне низка. По статистике Dr.Web, отдельные троянцы вообще не поддаются расшифровке.

Как проникает

В 90% случаев пользователи запускают шифровальщики самостоятельно. Чаще всего заражение происходит при открытии файлов, полученных по электронной почте. Причем название файла может быть вполне безобидным – «Резюме», «Договор оказания услуг», «Исковое требование» и др. В некоторых случаях файлы упаковываются в архивы *.zip, *.rar или *.7z, чтобы обойти проверку антивирусной программы.

Используются основные принципы социальной инженерии – для сотрудников разных отделов рассылаются письма с разными темами и названиями файлов. К примеру, менеджер отдела поставок с высокой степенью вероятности откроет письмо с темой «Договор поставки» и прилагающийся к нему файл «Договор.docx».

Еще один способ проникновения вируса – скачивание пользователем программ и документов из непроверенных источников. Вместо популярного проигрывателя или программы для обмена сообщениями он может установить вредоносный файл, после запуска которого все содержимое компьютера будет зашифрованы. Вот краткий список потенциально опасных расширений файлов, которые могут содержать вирус: *.exe, *.bat, *.cmd, *.js, *.scr, *.wbs, *.hta, *.com.

Что происходит

Рассмотрим, как происходит шифрование файлов. Первое, что делает вирус – добавляет себя в автозагрузку и прописывается в реестре. Сразу после этого он сканирует все локальные и сетевые диски, формируя список файлов, и начинает их шифровать. Обычно процесс выглядит так:

  1. Вирус создает копию файла и шифрует её.
  2. Из командной строки запускает утилиту администрирования теневых копий файлов и выполняет их полное удаление. Это делается для того, чтобы пользователь не мог восстановить файлы из теневой копии – истории изменений файла.
  3. Зашифрованный файл получает новое расширение, а в папках пользователя или на рабочем столе создается документ, в котором мошенник предлагает купить инструкцию по расшифровке файлов.

Для запугивания пользователя используются различные психологические уловки. Может быть указан алгоритм шифрования, описана его сложность. Цель злоумышленника – заставить пользователя поверить в то, что его файлы безвозвратно потеряны и только выполнение требований позволит их восстановить.

Также встречаются вирусы с «таймером» – который предупреждает, что при неоплате через определенное время зашифрованные файлы будут удалены.

Связываться со злоумышленником не нужно. Шанс, что после перевода денег, пользователю будет выслан дешифратор, очень мал. Лишиться и файлов и денег – гораздо обиднее, чем лишиться одних только файлов.

Как восстановить данные

Попробовать расшифровать данные можно с помощью программ-дешифраторов, выпущенных антивирусными компаниями. Перед этим необходимо удалить вирус с помощью одной из утилит (чтобы после перезагрузки файлы не оказались зашифрованными снова):

  1. Kaspersky Virus Removal Tool
  2. Web CureIt!
  3. Malwarebytes Anti-malware

Некоторые шифровальщики самоуничтожаются после кодирования файлов. В этом случае утилита ничего не найдет, и пользователь может приступить к расшифровке. Способы, которые могут помочь:

  1. Точки восстановления системы. Сработает, если все данные хранятся на одном локальном диске (т.к. обычно точка восстановления делает резервную копию только системного диска C:). На компьютере должна быть включено восстановление системы, иначе точек просто не будет найдено.
  2. Бесплатные дешифраторы от ведущих антивирусных компаний. Они поддерживают не все виды вируса, но попробовать восстановить данные с их помощью можно. Для этого нужно определить модификацию Trojan.Encoder и скачать с сайта Лаборатории Касперского соответствующую утилиту. Например, можно попробовать расшифровать файлы с помощью RakhniDecryptor или ShadeDecryptor.
  3. Служба поддержки антивирусной компании тоже может помочь. Для этого нужно связаться с ней и отправить образец зашифрованного файла. Специалисты попробуют расшифровать его, и в случае успеха предоставят утилиту для расшифровки всех остальных файлов. Этот вариант обычно занимает очень длительное время.

Чего не следует делать:
  1. Менять расширение у закодированных файлов – это не поможет.
  2. Переводить деньги злоумышленнику – он не отправит ключ расшифровки.
  3. Пользоваться зараженным компьютером – все файлы, которые вы сохраните, будут также зашифрованы.
  4. Переустанавливать систему – это крайняя мера, т.к. все файлы будут утеряны.
  5. Выполнять какие-либо действия с оригиналами файлов. Все эксперименты – только с копиями.

Как избежать заражения Trojan.Encoder

Предотвратить заражение гораздо проще, чем пытаться восстановить зашифрованные файлы. Ниже сформулированы основные правила профилактики:

  1. Делайте резервные копии.
  2. Своевременно обновляйте операционную систему и антивирусную программу.
  3. Не открывайте вложения в электронных письмах от неизвестных лиц. При необходимости – используйте специальные «песочницы», которые сейчас есть практически во всех антивирусных программах.
  4. Включите отображение расширений файлов в настройках системы. Это позволит увидеть настоящее расширение, если мошенник пытается замаскировать файл как мультимедиа или текстовый документ (пример – «Резюме.doc.exe» или «КП.pdf.scr»). Держитесь подальше от опасных расширений.

Еще один эффективный способ избежать потери данных – хранить их в защищенных дата-центрах. Сервера KeepingIT защищены от всех видов подобных угроз. Они оснащены современными системами безопасности и постоянно резервируются.

Вирус-шифровальщик — как вылечить и расшифровать файлы на компьютере.

В последние годы компании часто сталкиваются с вирусами, которые шифруют данные на компьютерах сотрудников. Шифровальщик передается по внутренней сети, так что заражение одного устройства может обернуться полной неработоспособностью офиса. Все важные файлы компании выглядят как «абракадабра» из непонятных символов, а для получения дешифратора нужно перевести определенную сумму на денежный счет мошенников. В этой статье мы подробно расскажем о том, что из себя представляет вирус-шифровальщик и как защититься от заражения.

Как вирус-шифровальщик заражает компьютер?

Стандартных сценариев заражения рабочего компьютера несколько. Один из них — Ваш сотрудник получает письмо с вложенным файлом (ссылкой) и текстом на тему:

  • изменение банковских реквизитов;

  • задолженность;

  • изменение цены закупаемых товаров;

  • сверка документов;


  • утверждение договора;

  • «пугание» налоговой проверкой;

  • утверждение дизайна и т.д.

Письмо может прийти как от несуществующего контрагента, так и от реального, в случае, если его заразили или взломали. После прочтения текста сотрудник запускает процесс шифрования одним из способов:

  • переход по ссылке в письме;
  • загрузка и запуск исполняемого файла;
  • загрузка и распаковка архива;
  • загрузка обычного документа в формате doc, xls и т.п. и разрешение выполнения макрокоманд.

Но возникает вопрос — почему не срабатывает антивирус? Чтобы дать ответ на этот вопрос, сначала рассмотрим понятие «компьютерный вирус».

Что такое вирус-шифровальщик?

Компьютерный вирус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Шифровальщик — это программа, которая выполняет одобренное пользователем действие — шифрование всех данных, к которым имеется доступ. Она может распознаться антивирусом как обычный объект, используемый сотрудником, и не блокироваться.

На заметку! Вирус шифрует данные практически по такому же алгоритму, что и архиватор WinRAR, который считается безопасным. Даже если антивирус будет отслеживать процесс шифрования, то посчитает его безвредным для вашей системы.

С какими шифровальщиками чаще всего сталкиваются?

Самые распространенные расширения файла-шифровальщика — exe, scr, vbs, js, bat, также они могут быть заархивированы и иметь расширение rar или zip. Вероятность заражения увеличивается за счет того, что некоторые расширения файлов открываются стандартными программами, например, 1С или Microsoft Word, работу которых системный администратор не может заблокировать.

Наиболее распространенные шифровальщики, получившие широкую известность — это «Petya» и «CryptXXX». После заражения мошенники требовали перевести биткоины на свой банковский счет. В тексте программы указывается, что после оплаты на указанную пользователем почту придет ключ, который позволит расшифровать файлы на компьютере. Но дешифратор не всегда высылался пользователям, к тому же сумма перевода в пересчете на российские рубли получается внушительной.

Мифы о шифровальщиках

Миф 1. Антивирус меня спасет

Антивирус предупредит Вас о возможном заражении вирусом-шифровальщиком только если:

  1. производитель антивирусного ПО заранее получил данные о подобном шифровании.
  2. вирус был внесен в базу данных антивируса.
  3. антивирус на вашем компьютере был обновлен до последней версии.

Для некоторых вирусов на сайтах производителей антивирусов размещены дешифровщики — ключи, которые вернут Ваши данные в исходное состояние. Но вирусы все время совершенствуются — выходят новые виды и модифицируются старые, и для каждого из них необходим свой дешифратор.

Миф 2. Заплачу деньги и получу ключ

Согласно статистике, 20% пользователей, отправивших деньги мошенникам, не получили дешифровочный код. Учитывая сумму, которую запрашивают разработчики шифровальщика, велика вероятность попросту потратить деньги впустую.

Миф 3. Мой компьютер/телефон/планшет не на Windows, заражение мне не страшно

Вирусы-шифровальщики встречаются на любой системе, в т. ч. MacOS, Linux и даже Android. Соответственно, любые устройства — компьютеры, планшеты, телефоны, серверы, ноутбуки могут быть заражены.

Правила безопасности

Как обезопасить себя от возможного заражения вирусом шифровальщиком? Один из способов надежной защиты — это резервная копия системы, по которой Вы сможете самостоятельно восстановить данные. Подробнее о резервном копировании можно прочитать в нашей статье.

Для того, чтобы не заразить свой компьютер, следуйте правилам:

  • не кликайте по вложенным файлам на почте, если почтовый клиент или антивирус предупреждает вас о возможной опасности;
  • не переходите по недостоверным внешним ссылкам, в том числе на облако;
  • не открывайте неизвестные исполняемые файлы;
  • регулярно сохраняйте свои данные с помощью резервного копирования;

Защита от вируса-шифровальщика в Москве

Компания «Lan-Star» предотвращает вирусное заражение корпоративных данных в сети вашей компании. Мы осуществляем резервное копирование всех данных вашей организации, ограничение запуска небезопасных файлов, информирование сотрудников компании о угрозе заражения шифровальщиком, приведение примеров писем с вирусом, которые не следует открывать, анализ входящей корреспонденции на предмет вирусов.

Мы предлагаем услуги по комплексной защите важных данных в сети вашей организации. Для получения дополнительной информации свяжитесь с нами по телефону (посмотреть) или закажите обратный звонок.

Возникли проблемы с вирусом-шифровальщиком файлов?

выберите интересующую Вас услугу

Обслуживание ПК

Консультирование

Установка и настройка серверов

Настройка архивации

Безопасность информации

Шифрование данных

Корпоративная почта

Вирус-шифровальщик зашифровывает файлы на компьютере

Снова участились случаи заражения вирусом, который шифрует данные на компьютере с помощью алгоритма Microsoft Enhanced Cryptographic Provider.

Заражение Ransomware вирусом-шифровальщиком происходит чаще всего через вложение электронного письма. В нашей компании столкнулись с тем, что разработчики алгоритма используют социальные технологии в целях повышения эффективности собственной «деятельности»: в заголовке письма учтена специфика занятий и круг интересов конкретного пользователя.

Т.е. посредством интернет можно узнать, что интересует конкретного адресата, и, чтобы письмо было открыто наверняка, в теме использовать ключевые слова. Например, в зараженное письмо на адрес [email protected], которая, допустим, занимается стройкой, в тему сообщения может быть добавлено ключевое словосочетание «актуальное предложение по застройке». Такое письмо будет открыто и вирус начнёт своё дело.

Признаки присутствия вируса на компьютере. Почему очень важно прочитать эту статью до конца и запомнить некоторые особенности работы вируса

Итак, письмо с начинкой из Ransomware вируса приходит на почту. Выглядит это так:

1. Письмо с «полезной» информацией для получателя в теме письма.
2. К письму обязательно прикреплено вложение в виде файла с расширением: .rar. Т.е. это по сути архив «название.rar».
3. При скачивании и открытии такого архива происходит запуск, ассоциированного с расширением файла в архиве, приложения. В нашем случае запускался MS Word, при полном молчании антивирусной программы, с документом следующего содержания. Картинка ниже.

При этом, обращаем внимание, запуск вируса происходил одинаково успешно в присутствии и платных, и бесплатных версий антивирусных программ, установленных на компьютере. Есть данные, что ни «Касперский», ни «Аваст» никак не реагировал на вирус. Антивирус не спасал от заражения вирусом и потери важных данных!

4. В это время шифровальщик, работу которого можно было заметить по достаточно интенсивному обращению к HDD компьютера, уже действовал. Пока пользователь рассматривал иероглифы в документе и пытался узнать скрытый в них смысл, вирус сканировал локальные диски и шифровал их таким образом, что информация, находящаяся в них, становилась недоступна. В результате пользователь оставался без ценных данных.

Судя по всему, шифрованию подвергаются файлы с расширениями: 7z, arh, bak, css, db, dbc, djvu, doc, dok, gzip, jar, jpg, jpeg, js, html, pdf, rar, xml. Т.е. базы данных, бекапы, Word, файлы книг, справок, фотографии, картинки, архивы. Вирус сам себя не реплицирует и не пытается сканировать, и шифровать сетевые диски — это есть огромный плюс!

Зашифрованные файлы выглядят следующим образом:


5. В тоже время на рабочем столе появляется текстовый файл, в котором предлагается решить возникшую проблему с помощью перечисления денег на указанный кошелёк мошенников.

Примерное содержимое файла PAYCRYPT_GMAIL_COM. Цитируем дословно.

Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.

2. Для решения данной проблемы нужно объединить наши общие ресурсы.
Ваши ресурсы:
— e-mail и доверие
— электронная валюта «за урок»
Наши ресурсы:
— Возможность разблокировать Ваш ключ (дешифровщик уже у Вас есть — DECODE.exe)
— Предоставим гарантии — после оплаты ключ будет передан, согласно договоренности
— Консультации после оплаты

3. Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа не вечный)
Откладывать вопрос «на потом» также не вариант, плюс верить в чудеса не стоит.

4. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов — неразумно
б) Заплатить за свою невнимательность, вернуть все файлы и получить консультации — вполне правильно

5. Итак, попробуйте запустите Ваш дешифратор из архива. Вам напишет, что ключ не найден. Вот он Вам и нужен.
Если считаете, что дешифратор есть очередным вирусом, попросите любого сис.админа проанализировать его простую структуру

6. Тех.справка:
Ваш случай — ассиметричное шифрование RSA-1024 (используется в военной сфере. Взломать невозможно)
При шифровании, в разные места компьютера был скопирован специальный ID-файл ‘KEY.PRIVATE’. Не потеряйте его (!!!)
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он нам и нужен.

7. Итак, наши с Вами шаги:
7.1. С нами связь держать можно только по электронной почте [email protected]
7.2. В начале Вам необходимо получить гарантию того, что мы можем расшифровать файлы (бывают редкие случаи, когда уже не можем)
7.2. Структура Вашего письма:
— вложение Вашего ID-файла ‘KEY.PRIVATE’ (!!!) — поищите его на компьютере, без него восстановление данных будет затруднено или невозможно
— 1-2 зашифрованных файла для проверки возможности расшифровки
— приблизительное кол-во зашифрованных файлов / компьютеров

7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ.
7.4. Далее производится оплата, минимальная стоимость от 120 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe) и запускаете дешифратор.
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 6-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

9. Советы:
9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.2. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (передача файлов по почте)
9.3. Как защититься от этого? — Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS

DATE CRYPTED: 2_.0_.2014 / 11:50.

Вот такие вот вежливые нынче кибер-преступники.

Для того, чтобы избежать заражения, а если оно произошло, предотвратить потерю информации, необходимо делать следующее:

1. Во-первых, не нужно запускать всё, что приходит от непонятных адресатов к Вам на почту.

2. Во-вторых, если на компьютере (ноутбуке), после открытия вложения, запустилась непонятная программа, не соответствующая названию или предполагаемому содержанию вложения, сразу же выключайте машину и обращайтесь к квалифицированным специалистам. Быстрота действий — залог успеха в сохранении данных на компьютере.

3. Восстановить данные и файлы после вируса-шифровальщика можно в 2-ух случаях. 1. Если данные не были зашифрованы до конца при быстром выключении. 2 Если на диске остались невредимы затёртые копии исходников.
В целом, многое зависит от того, насколько пользователь правильно понимает, как работает механизм шифрования. Надо отметить, что можно попытаться спасти информацию самостоятельно. Особенно просто это будет сделать, если с момента начала работы шифратора до экстренного выключения компьютера прошло очень мало времени. В таком случае спасти информацию на компьютере можно почти всю. Для этого необходимо извлечь жёсткий диск и подключить его к другому ПК. Уцелевшие данные скопировать на винчестер-донор.

Данная тема получила продолжение в статье на нашем сайте: Вирусы-шифровальщики атакуют.

Некоторая полезная информация по данной теме находится в блоге лаборатории Касперского здесь.

Эксперты предупреждают россиян о кибератаках вирусов-шифровальщиков

По прогнозу Центра цифровой экспертизы Роскачества сотни тысяч россиян могут стать жертвами вируса-вымогателя или шифровальщика. Это вредоносная программа, которая, попав в компьютер, атакует ключевые системные разделы, где находятся документы, таблицы, изображения, после чего шифрует все файлы этого типа. После владелец уже не сможет их открыть, а за восстановление доступа предлагается заплатить, причём, в биткоинах. Как же уберечься от вируса и что делать, если вы его всё-таки «подцепили»?

Популярность шифровальщиков стремительно растет. По данным специалистов по кибербезопасности из FortiGuard Labs, за последние 12 месяцев количество вирусов-вымогателей увеличилось в десять раз —  на 1000%. Преступники становятся более агрессивными, часто это непрофессиональные хакеры, взявшие программу-вымогатель в аренду.

В мае эксперты Group IB сообщали, что в РФ уже были зафиксированы атаки группы вымогателей OldGremlin, и ожидается волна атак шифровальщиков до конца года, то есть в ближайшие месяцы эпидемия может поразить Россию.  Наиболее известны три вируса-вымогателя: WannaCry, Petya и Bad Rabbit.

Важно помнить алгоритмы действий на два случая: как предостеречься от заражения шифровальщиком и что делать, если оно все-таки произошло. Об этом рассказал старший специалист по тестированию цифровых продуктов Роскачества Сергей Кузьменко.

Меры профилактики:

1. Соблюдайте базовые антифишинговые правила. Не переходите по подозрительным ссылкам из писем и мессенджеров, не открывайте файлы, если не уверены в их отправителе.
2. Используйте антивирус как на компьютере, так и на телефоне, регулярно его обновляйте и проводите сканирование.
3. Не используйте чужие флэш-карты и съемные диски.
4. Регулярно делайте бэкап всех важных данных и храните его на внешних съемных дисках или в облаке.
5. Обновляйте программное обеспечение.
6. В офисном пространстве следует применить также комплексные меры защиты, использовать межсетевые экраны и ограничивать административные права пользователей. Все это может обеспечить системный администратор, к которому следует обратиться.

Если шифровальщик атаковал:

1. Ни в коем случае не платите выкуп. У вас нет никаких гарантий, что данные будут возвращены. Нередко хакеры используют шифровальщики в сочетании с другой вредоносной нагрузкой, например, трояном, который может скопировать данные жертвы. В этом случае, даже если вы ему заплатите, хакер сможет потом шантажировать угрозой опубликовать данные в сети.

2. Отключите компьютер от сети (не выключайте и не перезагружайте его, это может в некоторых случаях сделать файлы нерасшифровываемыми), а лучше вообще отключите сеть в доме, чтобы пресечь распространение зловреда, если он является частью более сложной вирусной атаки.

3. Обратитесь к IT-специалистам. Им нужно будет определить тип шифровальщика (нередко это можно понять уже по сообщению, которое вирус выводит на экран) и подобрать программу-дешифратор. Для множества известных вирусов-вымогателей существуют программы, расшифровывающие данные. 

Впрочем, гарантий восстановления системы никто не даст, и нужно морально подготовиться, что атака шифровальщика может в любом случае окончиться тем, что вы потеряете данные и придется начинать с нуля. Лучше всего соблюдайте профилактические меры, чтобы не допускать такой ситуации. 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter

Вирус зашифровал все файлы. Что делать в такой ситуации? Дешифратор XTBL вируса — как восстановить зашифрованные.xtbl файлы

Продолжаю печально известную рубрику на своем сайте очередной историей, в которой я сам оказался пострадавшим. Я расскажу о вирусе-вымогателе шифровальщике Crusis (Dharma), который зашифровал все файлы на сетевом диске и поставил им расширение.combo. Поработал он не только над локальными файлами, как бывает чаще всего, но и над сетевыми.

Гарантированная расшифровка файлов после вируса шифровальщика — dr-shifro.ru . Подробности работы и схема взаимодействия с заказчиком ниже у меня в статье или на сайте в разделе «Порядок работы».

Введение

История будет от первого лица, так как пострадали от шифровальщика данные и инфраструктура, которой я управлял. Как не прискорбно в этом признаваться, но частично я сам виноват в том, что произошло, хотя знаком с шифровальщиками очень давно. В свое оправдание скажу, что данные потеряны не были, все было быстро восстановлено и расследовано по горячим следам. Но обо всем по порядку.

Нескучное утро началась с того, что в 9:15 системный администратор с одного удаленного объекта позвонил и сказал, что в сети шифровальщик, уже зашифрованы данные на сетевых дисках. Холодок пробежал по коже:) Он начал своими силами проверять источник заражения, а я своими. Конечно же, я сразу пошел на сервер, отключил сетевые диски и стал смотреть лог обращений к данным. Сетевые диски настроены на , обязательно включено . По логу сразу увидел источник заражения, учетную запись, от которой работал шифровальщик, и время начала шифрования.

Описание вируса шифровальщика Crusis (Dharma)

Дальше началось расследование. Зашифрованные файлы получили расширение .combo . Их было очень много. Шифровальщик начал работать поздно вечером, примерно в 23 часа. Повезло — бэкап пострадавших дисков как раз был завершен к этому времени. Данные потеряны не были вообще, так как успели забэкапиться в конце рабочего дня. Я сразу же начал восстановление из бэкапа, который лежит на отдельном сервере без доступа по smb.

За ночь вирус успел зашифровать примерно 400 Гб данных на сетевых дисках. Банальное удаление всех зашифрованных файлов с расширением combo заняло продолжительное время. Я сначала хотел удалить их все разом, но когда только подсчет этих файлов длился уже 15 минут, я понял, что дело бесполезное в данный момент времени. Вместо этого стал накатывать актуальные данные, а почистил диски от зашифрованных файлов уже после.

Сразу скажу прописную истину. Наличие актуальных, надежных бэкапов делает любую проблему разрешимой. Что делать, если их нет, либо они не актуальны, даже не представляю. Я всегда уделяю повышенное внимание бэкапам. Холю, лелею их и никому не даю к ним доступа.

После того, как запустил восстановление зашифрованных файлов, появилось время спокойно разобраться в ситуации и повнимательнее посмотреть на вирус-шифровальщик Crusis (Dharma). Тут меня ждали сюрпризы и удивления. Источником заражения стала виртуальная машина с Windows 7 с проброшенным rdp портом через резервный канал. Порт был не стандартный — 33333. Думаю, это была основная ошибка, использовать такой порт. Он хоть и не стандартный, но очень популярный. Конечно, лучше вообще не пробрасывать rdp, но в данном случае это было действительно необходимо. К слову, сейчас, вместо этой виртуалки, используется тоже виртуальная машина с CentOS 7, у нее в докере запущен контейнер с xfce и браузером. Ну и доступов у этой виртуалки никуда нет, только куда нужно.

Что пугает во всей этой истории. Виртуальная машина была с обновлениями. Шифровальщик начал работу в конце августа. Когда было сделано заражение машины, точно уже не установить. Вирус много чего подтер в самой виртуалке. Обновления на эту систему ставились в мае. То есть каких-то старых открытых дырок на ней быть не должно. Я теперь вообще не знаю, как оставлять rdp порт доступным из интернета. Слишком много кейсов, где это действительно нужно. Например, терминальный сервер на арендованном железе. Не будешь же к каждому серверу арендовать еще и шлюз для vpn.

Теперь ближе к делу и самому шифровальщику. У виртуальной машины был отключен сетевой интерфейс, после этого запустил ее. Меня встретила стандартная табличка, какую я уже много раз видел у других шифровальщиков.

All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] Write this ID in the title of your message 501BED27 In case of no answer in 24 hours write us to theese e-mails:[email protected] You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click «Buy bitcoins», and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

На рабочем столе были 2 текстовых файла с именами FILES ENCRYPTED.TXT следующего содержания:

All your data has been locked us You want to return? write email [email protected]

Любопытно, что изменились права на директорию Рабочий стол . У пользователя не было прав на запись. Видимо, вирус сделал это, чтобы пользователь случайно не удалил информацию в текстовых файлах с рабочего стола. Там же на рабочем столе была директория troy , в которой был сам вирус — файл l20VHC_playload.exe .

Как вирус вымогатель Crusis (Dharma) шифрует файлы

Спокойно во всем разобравшись и почитав похожие обращения на тему шифровальщиков в интернете, я узнал, что словил разновидность известного вируса-шифровальщика Crusis (Dharma). Касперский его детектит как Trojan-Ransom.Win32.Crusis.to . Он ставит разные расширения к файлам, в том числе и.combo. У меня список файлов выглядел примерно вот так:

  • Ванино.docx.id-24EE2FBC..combo
  • Петропавловск-Камчатский.docx.id-24EE2FBC..combo
  • Хороль.docx.id-24EE2FBC..combo
  • Якутск.docx.id-24EE2FBC..combo

Расскажу еще некоторые подробности о том, как шифровальщик поработал. Я не упомянул важную вещь. Данный компьютер был в домене. Шифрование файлов было выполнено от доменного пользователя!!! Вот тут возникает вопрос, откуда вирус его взял. На логах контроллеров доменов я не увидел информации и подборе пароля пользователя. Не было массы неудачных авторизаций. Либо использовалась какая-то уязвимость, либо я не знаю, что и думать. Использована учетная запись, которая никогда не логинилась в данную систему. Была авторизация по rdp от учетной записи доменного пользователя, а затем шифрование. На самой системе тоже не было видно следов перебора пользователей и паролей. Практически сразу был логин по rdp доменной учеткой. Нужно было подобрать, как минимум, не только пароль, но и имя.

К сожалению, на учетной записи был пароль 123456. Это была единственная учетная запись с таким паролем, которую пропустили админы на местах. Человеческий фактор. Это был руководитель и по какой-то причине целая череда системных администраторов знали про этот пароль, но не меняли его. Очевидно, в этом причина использования именно этой учетной записи. Но тем не менее, остается неизвестен механизм получения даже такого простого пароля и имени пользователя.

Зараженную шифровальщиком виртуальную машину я выключил и удалил, предварительно забрав образ диска. Из образа забрал сам вирус, чтобы посмотреть на его работу. Дальнейший рассказ будет уже на основе запуска вируса в виртуальной машине.

Еще небольшая подробность. Вирус просканировал всю локальную сеть и попутно зашифровал информацию на тех компьютерах, где были какие-то расшаренные папки с доступом для всех. Я первый раз видел такую модификацию шифровальщика. Это действительно страшная вещь. Такой вирус может просто парализовать работу всей организации. Допустим, по какой-то причине, у вас был доступ по сети к самим бэкапам. Или использовали какой-то ненадежный пароль для учетной записи. Может так получиться, что будет зашифровано все — и данные, и архивные копии. Я вообще теперь подумываю о хранении бэкапов не только в изолированной сетевой среде, но вообще на выключенном оборудовании, которое запускается только для того, чтобы сделать бэкап.

Как лечить компьютер и удалить вымогатель Crusis (Dharma)

В моем случае вирус шифровальщик Crusis (Dharma) особо не прятался и удалить его не должно составить каких-то проблем. Как я уже сказал, он лежал в папке на рабочем столе. Помимо этого он записал сам себя и информационное сообщение в автозапуск.

Само тело вируса было продублировано в пуске в разделе Startup у всех пользователей и в windows/system32 . Более внимательно я не смотрел, так как не вижу в этом смысла. После заражения шифровальщиком я настоятельно рекомендую переустановить систему. Это единственный способ гарантированно удалить вирус. Вы никогда не будете полностью уверены в том, что вирус удален, так как он мог использовать какие-то еще неопубликованные и неизвестные уязвимости для того, чтобы оставить закладку в системе. Через некоторое время через эту закладу вы можете получить какой-то новый вирус и все повторится по кругу.

Так что я рекомендую сразу же после обнаружения шифровальщика не заниматься лечением компьютера, а переустанавливать систему, сохранив оставшиеся данные. Возможно, вирус успел не все зашифровать. Эти рекомендации относятся к тем, кто не собирается пытаться восстановить файлы. Если у вас есть актуальные бэкапы, то просто переустанавливайте систему и восстанавливайте данные.

Если у вас нет бэкапов и вы любой ценой готовы восстановить файлы, то тогда компьютер стараемся не трогать вообще. Первым делом просто отключите сетевой кабель, скачайте пару зашифрованных файлов и текстовый файл с информацией на чистую флешку, дальше завершаем работу компьютера. Больше компьютер включать нельзя. Если вы вообще не разбираетесь в компьютерных делах, то с вирусом вы справиться сами не сможете, тем более расшифровать или восстановить файлы. Обратитесь к тому, кто разбирается. Если же вы считаете, что что-то сможете сделать сами, то читайте дальше.

Где скачать дешифратор Crusis (Dharma)

Дальше идет мой универсальный совет по всем вирусам шифровальщикам. Есть сайт — https://www.nomoreransom.org На нем теоретически может оказаться дешифратор для Crusis или Dharma, либо еще какая-то информация по расшифровке файлов. На моей практике такое еще ни разу не случалось, но вдруг вам повезет. Попробовать стоит. Для этого на главной странице соглашаемся, нажав ДА .

Прикрепляем 2 файла и вставляем содержимое информационного обращения шифровальщика и жмем Проверить .

Если вам повезет, получите какую-то информацию. В моем случае ничего не нашлось.

Все существующие дешифраторы для шифровальщиков собраны на отдельной странице — https://www.nomoreransom.org/ru/decryption-tools.html Существование этого списка позволяет рассчитывать, что какой-то смысл в этом сайте и сервисе все же есть. Похожий сервис есть у Касперского — https://noransom.kaspersky.com/ru/ Можете попытать счастья там.

Искать где-то еще дешифраторы через поиск в интернете, я думаю, не стоит. Вряд ли они найдутся. Скорее всего это будет либо обычный развод с мусорным софтом в лучшем случае, либо новый вирус.

Важное дополнение. Если у вас установлена лицензионная версия какого-то антивируса, обязательно создайте запрос в ТП антивируса на тему расшифровки файлов. Иногда это действительно помогает. Я видел отзывы об успешной расшифровке силами поддержки антивируса.

Как расшифровать и восстановить файлы после вируса Crusis (Dharma)

Что же делать, когда вирус Crusis (Dharma) зашифровал ваши файлы, никакие описанные ранее способы не помогли, а файлы восстановить очень нужно? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

  • Инструмент теневых копий windows.
  • Программы по восстановлению удаленных данных

Перед дальнейшими манипуляциями я рекомендую сделать посекторный образ диска. Это позволит зафиксировать текущее состояние и если ничего не получится, то хотя бы можно будет вернуться в исходную точку и попробовать что-то еще. Дальше нужно удалить самого шифровальщика любым антивирусом с последним набором антивирусных баз. Подойдет CureIt или Kaspersky Virus Removal Tool . Можно любой другой антивирус установить в режиме триал. Этого хватит для удаления вируса.

После этого загружаемся в зараженной системе и проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer . Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec .

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe . Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов с помощью перечисленных программ подробно показан в видео в самом конце статьи.

Касперский, eset nod32 и другие в борьбе с шифровальщиком Crusis (Dharma)

Как обычно, прошелся по форумам популярных антивирусов в поисках информации о шифровальщике, который ставит расширение.combo. Явно заметна тенденция на распространение вируса. Очень много запросов начинаются с середины августа. Сейчас вроде не видно их, но, возможно временно, либо просто изменилось расширение зашифрованных файлов.

Вот пример типичного обращения с форума Касперского.

Там же ниже комментарий модератора.

На форуме EsetNod32 давно знакомы с вирусом, который ставит расширение.combo. Как я понял, вирус не уникальный и не новый, а разновидность давно известной серии вирусов Crusis (Dharma). Вот типичное обращение с просьбой расшифровать данные:

Обратил внимание, что на форуме Eset много отзывов о том, что вирус проник на сервер через rdp. Похоже, это реально сильная угроза и оставлять rdp без прикрытия нельзя. Возникает только вопрос — как же все таки вирус заходит по rdp. Подбирает пароль, подключается уже с известным пользователем и паролем, либо как-то еще.

Куда обратиться за гарантированной расшифровкой

Мне довелось познакомиться с одной компанией, которая реально расшифровывает данные после работы различных вирусов-шифровальщиков, в том числе Crusis (Dharma). Их адрес — http://www.dr-shifro.ru . Оплата только после расшифровки и вашей проверки. Вот примерная схема работы:

  1. Специалист компании подъезжает к вам в офис или на дом, и подписывает с вами договор, в котором фиксирует стоимость работ.
  2. Запускает дешифратор у себя на компьютере и расшифровывает некоторые файлы.
  3. Вы убеждаетесь в том, что все файлы открываются, и подписываете акт сдачи/приемки выполненных работ, получаете дешифратор.
  4. Расшифровываете свои файлы и оформляете остальные документы.

Вы ничем не рискуете. Оплата только после демонстрации работы дешифратора. Просьба написать отзыв об опыте взаимодействия с этой компанией.

Методы защиты от вируса-шифровальщика

Я не буду перечислять очевидные вещи на тему запуска неизвестных программ из интернета и открытие вложений в почте. Это сейчас все и так знают. К тому же я об этом писал много раз в своих статья в разделе про . Обращу внимание на бэкапы. Они должны не просто быть, а быть недоступны извне. Если это какой-то сетевой диск, то доступ к нему должен быть у отдельной учетной записи со стойким паролем.

Если бэкапите личные файлы на флешку или внешний диск, не держите их постоянно подключенными к системе. После создания архивных копий, отключайте устройства от компьютера. Идеальным я вижу бэкап на отдельное устройство, которое включается только чтобы сделать бэкап, а потом снова отключается физически от сети отключением сетевого провода или просто завершением работы.

Резервные копии должны быть инкрементными. Это нужно для того, чтобы избежать ситуации, когда шифровальщик зашифровал все данные, а вы этого не заметили. Было выполнено резервное копирование, которое заменило старые файлы новыми, но уже зашифрованными. В итоге архив у вас есть, но толку от него никакого нет. Нужно иметь глубину архива хотя бы в несколько дней. Я думаю, в будущем появятся, если еще не появились, шифровальщики, которые будут незаметно шифровать часть данных и ждать какое-то время, не показывая себя. Сделано это будет в расчете на то, что зашифрованные файлы попадут в архивы и там со временем заменять настоящие файлы.

Это будет тяжелое время для корпоративного сектора. Я выше уже привел пример с форума eset, где зашифровали сетевые диски с 20Тб данных. А теперь представьте, что у вас такой сетевой диск, но зашифровано только 500G данных в каталогах, к которым не обращаются постоянно. Проходит пару недель, никто не замечает зашифрованных файлов, потому что они лежат в архивных каталогах, и с ними постоянно не работают. Но в конце отчетного периода данные нужны. Туда заходят и видят, что все зашифровано. Обращаются в архив, а там глубина хранения, допустим, 7 дней. И на этом все, данные пропали.

Тут нужен отдельный внимательный подход к архивам. Нужно программное обеспечения и ресурсы для долгосрочного хранения данных.

Видео c расшифровкой и восстановлением файлов

Здесь пример похожей модификации вируса, но видео полностью актуально и для combo.

Около недели-двух назад в сети появилась очередная поделка современных вирусоделов, которая шифрует все файлы пользователя. В очередной раз рассмотрю вопрос как вылечить компьютер после вируса шифровальщика crypted000007 и восстановить зашифрованные файлы. В данном случае ничего нового и уникального не появилось, просто модификация предыдущей версии.

Гарантированная расшифровка файлов после вируса шифровальщика — dr-shifro.ru . Подробности работы и схема взаимодействия с заказчиком ниже у меня в статье или на сайте в разделе «Порядок работы».

Описание вируса шифровальщика CRYPTED000007

Шифровальщик CRYPTED000007 ничем принципиально не отличается от своих предшественников. Действует он практически один в один как . Но все же есть несколько нюансов, которые его отличают. Расскажу обо всем по порядку.

Приходит он, как и его аналоги, по почте. Используются приемы социальной инженерии, чтобы пользователь непременно заинтересовался письмом и открыл его. В моем случае в письме шла речь о каком-то суде и о важной информации по делу во вложении. После запуска вложения у пользователя открывается вордовский документ с выпиской из арбитражного суда Москвы.

Параллельно с открытием документа запускается шифрование файлов. Начинает постоянно выскакивать информационное сообщение от системы контроля учетных записей Windows.

Если согласиться с предложением, то резервные копии файлов в теневых копиях Windows буду удалены и восстановление информации будет очень сильно затруднено. Очевидно, что соглашаться с предложением ни в коем случае нельзя. В данном шифровальщике эти запросы выскакивают постоянно, один за одним и не прекращаются, вынуждая пользователя таки согласиться и удалить резервные копии. Это главное отличие от предыдущих модификаций шифровальщиков. Я еще ни разу не сталкивался с тем, чтобы запросы на удаление теневых копий шли без остановки. Обычно, после 5-10-ти предложений они прекращались.

Дам сразу рекомендацию на будущее. Очень часто люди отключают предупреждения от системы контроля учетных записей. Этого делать не надо. Данный механизм реально может помочь в противостоянии вирусам. Второй очевидный совет — не работайте постоянно под учетной записью администратора компьютера, если в этом нет объективной необходимости. В таком случае у вируса не будет возможности сильно навредить. У вас будет больше шансов ему противостоять.

Но даже если вы все время отвечали отрицательно на запросы шифровальщика, все ваши данные уже шифруются. После того, как процесс шифрования будет окончен, вы увидите на рабочем столе картинку.

Одновременно с этим на рабочем столе будет множество текстовых файлов с одним и тем же содержанием.

Baши файлы былu зашифровaны. Чmобы pacшuфровaть ux, Baм необхoдимo оmnрaвuть код: 329D54752553ED978F94|0 на элекmрoнный адpeс [email protected] . Далеe вы пoлyчиme все неoбходuмыe uнcmрyкциu. Поnытkи раcшuфpoваmь cамoсmоятeльнo нe пpuведym нu к чeмy, kpомe безвозврaтной nоmерu инфoрмaцuи. Ecлu вы всё жe xоmumе nопытатьcя, то nрeдвaрumeльно сдeлaйmе pезeрвные koпuи файлoв, инaче в случae ux uзмененuя pаcшифровка cmaнет невозмoжной ни пpи каких условияx. Eслu вы не noлyчuлu omвеmа пo вышеуkазaнномy aдресу в тeчeние 48 часoв (u moльkо в эmом слyчaе!), воспользуйтeсь формой обpamнoй cвязu. Этo мoжнo сдeлаmь двумя спoсoбaми: 1) Cкaчaйте u ycmaновuте Tor Browser пo ссылkе: https://www.torproject.org/download/download-easy.html.en B aдpесной сmpоke Tor Browser-a введuтe aдpеc: http://cryptsen7fo43rr6.onion/ и нaжмитe Enter. 3агpyзиmся cmраница с формoй обpamной cвязu. 2) B любoм браyзеpe neрeйдиmе по oдномy uз aдpесов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ All the important files on your computer were encrypted. To decrypt the files you should send the following code: 329D54752553ED978F94|0 to e-mail address [email protected] . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Почтовый адрес может меняться. Я встречал еще такие адреса:

Адреса постоянно обновляются, так что могут быть совершенно разными.

Как только вы обнаружили, что файлы зашифрованы, сразу же выключайте компьютер. Это нужно сделать, чтобы прервать процесс шифрования как на локальном компьютере, так и на сетевых дисках. Вирус-шифровальщик может зашифровать всю информацию, до которой сможет дотянуться, в том числе и на сетевых дисках. Но если там большой объем информации, то ему для этого потребуется значительное время. Иногда и за пару часов шифровальщик не успевал все зашифровать на сетевом диске объемом примерно в 100 гигабайт.

Дальше нужно хорошенько подумать, как действовать. Если вам во что бы то ни стало нужна информация на компьютере и у вас нет резервных копий, то лучше в этот момент обратиться к специалистам. Не обязательно за деньги в какие-то фирмы. Просто нужен человек, который хорошо разбирается в информационных системах. Необходимо оценить масштаб бедствия, удалить вирус, собрать всю имеющуюся информацию по ситуации, чтобы понять, как действовать дальше.

Неправильные действия на данном этапе могут существенно усложнить процесс расшифровки или восстановления файлов. В худшем случае могут сделать его невозможным. Так что не торопитесь, будьте аккуратны и последовательны.

Как вирус вымогатель CRYPTED000007 шифрует файлы

После того, как вирус у вас был запущен и закончил свою деятельность, все полезные файлы будут зашифрованы, переименованы с расширением.crypted000007 . Причем не только расширение файла будет заменено, но и имя файла, так что вы не узнаете точно, что за файлы у вас были, если сами не помните. Будет примерно такая картина.

В такой ситуации будет трудно оценить масштаб трагедии, так как вы до конца не сможете вспомнить, что же у вас было в разных папках. Сделано это специально, чтобы сбить человека с толка и побудить к оплате расшифровки файлов.

А если у вас были зашифрованы и сетевые папки и нет полных бэкапов, то это может вообще остановить работу всей организации. Не сразу разберешься, что в итоге потеряно, чтобы начать восстановление.

Как лечить компьютер и удалить вымогатель CRYPTED000007

Вирус CRYPTED000007 уже у вас на компьютере. Первый и самый главный вопрос — как вылечить компьютер и как удалить из него вирус, чтобы предотвратить дальнейшее шифрование, если оно еще не было закончено. Сразу обращаю ваше внимание на то, что после того, как вы сами начнете производить какие-то действия со своим компьютером, шансы на расшифровку данных уменьшаются. Если вам во что бы то ни стало нужно восстановить файлы, компьютер не трогайте, а сразу обращайтесь к профессионалам. Ниже я расскажу о них и приведу ссылку на сайт и опишу схему их работы.

А пока продолжим самостоятельно лечить компьютер и удалять вирус. Традиционно шифровальщики легко удаляются из компьютера, так как у вируса нет задачи во что бы то ни стало остаться на компьютере. После полного шифрования файлов ему даже выгоднее самоудалиться и исчезнуть, чтобы было труднее расследовать иницидент и расшифровать файлы.

Описать ручное удаление вируса трудно, хотя я пытался раньше это делать, но вижу, что чаще всего это бессмысленно. Названия файлов и пути размещения вируса постоянно меняются. То, что видел я уже не актуально через неделю-две. Обычно рассылка вирусов по почте идет волнами и каждый раз там новая модификация, которая еще не детектится антивирусами. Помогают универсальные средства, которые проверяют автозапуск и детектят подозрительную активность в системных папках.

Для удаления вируса CRYPTED000007 можно воспользоваться следующими программами:

  1. Kaspersky Virus Removal Tool — утилитой от касперского http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! — похожий продукт от др.веб http://free.drweb.ru/cureit .
  3. Если не помогут первые две утилиты, попробуйте MALWAREBYTES 3.0 — https://ru.malwarebytes.com .

Скорее всего, что-то из этих продуктов очистит компьютер от шифровальщика CRYPTED000007. Если вдруг так случится, что они не помогут, попробуйте удалить вирус вручную. Методику по удалению я приводил на примере и , можете посмотреть там. Если кратко по шагам, то действовать надо так:

  1. Смотрим список процессов, предварительно добавив несколько дополнительных столбцов в диспетчер задач.
  2. Находим процесс вируса, открываем папку, в которой он сидит и удаляем его.
  3. Чистим упоминание о процессе вируса по имени файла в реестре.
  4. Перезагружаемся и убеждаемся, что вируса CRYPTED000007 нет в списке запущенных процессов.

Где скачать дешифратор CRYPTED000007

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org . А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика CRYPTED000007. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

На момент написания статьи дешифратора на сайте не было.

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице — https://www.nomoreransom.org/decryption-tools.html . Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Как расшифровать и восстановить файлы после вируса CRYPTED000007

Что делать, когда вирус CRYPTED000007 зашифровал ваши файлы? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

  • Инструмент теневых копий windows.
  • Программы по восстановлению удаленных данных

Для начала проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Подробнее об этом запросе я рассказал в начале повествования, когда рассказывал о работе вируса.

Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer . Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec .

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe . Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов подробно показан в видео в самом конце статьи.

Касперский, eset nod32 и другие в борьбе с шифровальщиком Filecoder.ED

Популярные антивирусы определяю шифровальщик CRYPTED000007 как Filecoder.ED и дальше может быть еще какое-то обозначение. Я пробежался по форумам основных антивирусов и не увидел там ничего полезного. К сожалению, как обычно, антивирусы оказались не готовы к нашествию новой волны шифровальщиков. Вот сообщение с форума Kaspersky.

Антивирусы традиционно пропускают новые модификации троянов-шифровальщиков. И тем не менее, я рекомендую ими пользоваться. Если вам повезет, и вы получите на почту шифровальщика не в первую волну заражений, а чуть позже, есть шанс, что антивирус вам поможет. Они все работает на шаг позади злоумышленников. Выходит новая версия вымогателя, антивирусы на нее не реагируют. Как только накапливается определенная масса материала для исследования по новому вирусу, антивирусы выпускают обновление и начинают на него реагировать.

Что мешает антивирусам реагировать сразу же на любой процесс шифрования в системе, мне не понятно. Возможно, есть какой-то технический нюанс на эту тему, который не позволяет адекватно среагировать и предотвратить шифрование пользовательских файлов. Мне кажется, можно было бы хотя бы предупреждение выводить на тему того, что кто-то шифрует ваши файлы, и предложить остановить процесс.

Куда обратиться за гарантированной расшифровкой

Мне довелось познакомиться с одной компанией, которая реально расшифровывает данные после работы различных вирусов-шифровальщиков, в том числе CRYPTED000007. Их адрес — http://www.dr-shifro.ru . Оплата только после полной расшифровки и вашей проверки. Вот примерная схема работы:

  1. Специалист компании подъезжает к вам в офис или на дом, и подписывает с вами договор, в котором фиксирует стоимость работ.
  2. Запускает дешифратор и расшифровывает все файлы.
  3. Вы убеждаетесь в том, что все файлы открываются, и подписываете акт сдачи/приемки выполненных работ.
  4. Оплата исключительно по факту успешного результата дешифрации.

Скажу честно, я не знаю, как они это делают, но вы ничем не рискуете. Оплата только после демонстрации работы дешифратора. Просьба написать отзыв об опыте взаимодействия с этой компанией.

Методы защиты от вируса CRYPTED000007

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

  1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
  2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
  3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву.
  4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
  5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe , .vbs , .src . В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику CRYPTED000007 в целом.

Видео c расшифровкой и восстановлением файлов

Здесь пример предыдущей модификации вируса, но видео полностью актуально и для CRYPTED000007.

Обычно работа вредоносных программ направлена на получение контроля над компьютером, включение его в зомби-сеть или хищение личных данных. Невнимательный пользователь может долго не замечать, что система заражена. Но вирусы-шифровальщики, в частности xtbl, работают совершенно иначе. Они делают непригодными пользовательские файлы, шифруя их сложнейшим алгоритмом и требуя от владельца крупной суммы за возможность восстановить информацию.

Причина проблемы: вирус xtbl

Вирус-шифровальщик xtbl получил своё название из-за того, что зашифрованные им пользовательские документы получают расширение.xtbl. Обычно кодировщики оставляют в теле файла ключ для того, чтобы универсальная программа-дешифратор могла восстановить информацию в исходном виде. Однако вирус предназначен для других целей, поэтому вместо ключа на экране появляется предложение заплатить некоторую сумму по анонимным реквизитам.

Как работает вирус xtbl

Вирус попадает на компьютер с помощью рассылаемых по электронной почте писем с заражёнными вложениями, представляющими собой файлы офисных приложений. После того как пользователь открыл содержимое сообщения, вредоносная программа начинает поиск фотографий, ключей, видео, документов и так далее, а затем с помощью оригинального сложного алгоритма (гибридное шифрование) превращает их в xtbl-хранилища.

Для хранения своих файлов вирус использует системные папки.

Вирус вносит себя в список автозагрузки. Для этого он добавляет записи в реестре Windows в разделах:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Заражённый компьютер работает стабильно, система не «падает», но в оперативной памяти постоянно находится небольшое приложение (или два) с непонятным названием. А папки с рабочими файлами пользователя приобретают странный вид.

Файлы, зашифрованные вирусом xtbl, меняют свои названия

На рабочем столе вместо заставки появляется сообщение:

Ваши файлы были зашифрованы. Чтобы расшифровать их, вам необходимо отправить код на электронный адрес: [email protected] (далее следует код). После этого вы получите дальнейшие инструкции. Самостоятельные попытки расшифровать файлы приведут к их полному уничтожению.

Вирус xtbl невозможно не заметить: внешний вид меняют не только пользовательские файлы, но и заставка рабочего стола

Тот же текст содержится в созданном файле How to decrypt your files.txt. Адрес электронной почты, код, запрашиваемая сумма могут меняться.

Довольно часто одни мошенники зарабатывают на других — в тело вируса вставляется номер электронного кошелька вымогателей, не имеющих никакой возможности расшифровать файлы. Так что доверчивый пользователь, отправив деньги, ничего не получает взамен.

Почему не стоит платить вымогателям

Соглашаться на сотрудничество с вымогателями нельзя не только из-за моральных принципов. Это неразумно и с практической точки зрения.

  1. Мошенничество. Не факт, что злоумышленники смогут расшифровывать ваши файлы. Не служит доказательством и возвращённая вам одна из якобы расшифрованных фотографий — это может быть просто украденный до шифрования оригинал. Заплаченные деньги уйдут без пользы.
  2. Возможность повтора. Подтвердив свою готовность платить, вы станете более желанной добычей для повторной атаки. Возможно, в следующий раз ваши файлы будут иметь другое расширение, а на заставке появится иное сообщение, но деньги отправятся тем же людям.
  3. Конфиденциальность. Пока файлы хоть и зашифрованы, но находятся на вашем компьютере. Договорившись с «честными злодеями», вы будете вынуждены отправить им всю свою личную информацию. Алгоритм не предусматривает получение ключа и самостоятельную расшифровку, только пересылку файлов декодировщику.
  4. Заражение компьютера. Ваш компьютер всё ещё заражён, поэтому расшифровка файлов не является полным решением проблемы.

Как защитить систему от вируса

Универсальные правила защиты от вредоносных программ и минимизации ущерба помогут и в этом случае.

  1. Остерегаться случайных связей. Не нужно открывать письма, полученные от незнакомых отправителей, включая рекламу и бонусные предложения. В крайнем случае можно их прочитать, предварительно сохранив вложение на диске и проверив его антивирусом.
  2. Пользоваться защитой. Антивирусные программы постоянно пополняют библиотеки вредоносных кодов, поэтому актуальная версия защитника не пропустит большинство вирусов на компьютер.
  3. Распределять доступ. Вирус нанесёт значительно больший вред, если проникнет через учётную запись администратора. Лучше работать от имени пользователя, тем самым резко сужая возможности заражения.
  4. Создавать резервные копии. Важную информацию необходимо регулярно копировать на внешние носители, хранящиеся отдельно от компьютера. Также не следует забывать о создании резервных точек восстановления Windows.

Возможно ли восстановить зашифрованную информацию

Хорошая новость: восстановить данные возможно. Плохая: самостоятельно это сделать не удастся. Причиной тому является особенность алгоритма шифрования, подбор ключа к которому требует гораздо больше ресурсов и накопленных знаний, чем есть у обычного пользователя. К счастью, разработчики антивирусов считают делом чести разобраться с каждой вредоносной программой, поэтому даже если в настоящее время они не смогут справиться с вашим шифровальщиком, через месяц-два обязательно найдут решение. Придётся запастись терпением.

Из-за необходимости обращения к специалистам меняется алгоритм работы с заражённым компьютером. Общее правило: чем меньше изменений, тем лучше. Антивирусы определяют метод лечения по «родовым признакам» вредоносной программы, поэтому инфицированные файлы для них являются источником важной информации. Удалять их нужно только после решения основной проблемы.

Второе правило: любой ценой прервать работу вируса. Возможно, он ещё не всю информацию испортил, а также остались в оперативной памяти следы шифровальщика, с помощью которых можно его определить. Поэтому нужно сразу же выключать компьютер из сети, а ноутбук отключать долгим нажатием сетевой кнопки. На этот раз не подойдёт стандартная «бережная» процедура выключения, дающая возможность корректно завершиться всем процессам, поскольку один из них — кодировка вашей информации.

Восстанавливаем зашифрованные файлы

Если вы успели выключить компьютер

Если вы успели выключить компьютер до окончания процесса шифрования, то не надо его включать самостоятельно. Несите «больного» сразу к специалистам, прерванная кодировка значительно увеличивает шансы сохранить личные файлы. Здесь же можно в безопасном режиме проверить ваши носители информации и создать резервные копии. С высокой вероятностью и сам вирус окажется известным, поэтому лечение от него будет успешным.

Если шифрование завершилось

К сожалению, вероятность успешного прерывания процесса шифрования очень мала. Обычно вирус успевает закодировать файлы и удалить лишние следы с компьютера. И теперь у вас две проблемы: Windows всё ещё заражена, а личные файлы превратились в набор символов. Для решения второй задачи необходимо воспользоваться помощью производителей антивирусного программного обеспечения.

Лаборатория Dr.Web предоставляет свои услуги дешифровки бесплатно только владельцам коммерческих лицензий. Другими словами, если вы ещё не их клиент, но хотите восстановить свои файлы, придётся купить программу. Учитывая сложившуюся ситуацию, это нужное вложение.

Следующий шаг — переход на сайт производителя и заполнение входной формы.

Заполните форму на официальном сайте Dr.Web

Если среди зашифрованных файлов есть такие, копии которых сохранились на внешних носителях, их передача значительно облегчит работу декодировщиков.

Касперский

Лаборатория Касперского разработала собственную утилиту для дешифровки, называющуюся RectorDecryptor, которую можно скачать на компьютер с официального сайта компании.

Скачайте файл, предназначенный для вашей версии Windows, и начните проверку

Для каждой версии операционной системы, включая Windows 7, предусмотрена своя утилита. После её загрузки нажмите экранную кнопку «Начать проверку».

Работа сервисов может затянуться на некоторое время, если вирус относительно новый. В таком случае компания обычно присылает соответствующее уведомление. Иногда расшифровка способна занять несколько месяцев.

Другие сервисы

Сервисов с аналогичными функциями становится всё больше, что говорит о востребованности услуги дешифрования. Алгоритм действий тот же: заходим на сайт (например, https://decryptcryptolocker.com/), регистрируемся и отправляем зашифрованный файл.

Сервис не гарантирует стопроцентного результата, но попробовать можно

Программы-дешифраторы

Предложений «универсальных дешифраторов» (разумеется, платных) в сети очень много, однако польза от них сомнительна. Конечно, если сами производители вируса напишут дешифратор, он будет работать успешно, но та же программа окажется бесполезной для другого вредоносного приложения. Кроме того, специалисты, регулярно сталкивающиеся с вирусами, обычно имеют полный пакет необходимых утилит, поэтому все работающие программы у них есть с высокой вероятностью. Покупка такого дешифратора, скорее всего, окажется пустой тратой денег.

Как расшифровать файлы с помощью лаборатории Касперского — видео

Самостоятельное восстановление информации

Если по каким-то причинам нельзя обратиться к сторонним специалистам, можно попробовать восстановить информацию своими силами. Оговоримся, что в случае неудачи файлы могут быть потеряны окончательно.

Восстановление удалённых файлов

После шифрования вирус удаляет исходные файлы. Однако Windows 7 некоторое время хранит всю удалённую информацию в виде так называемой теневой копии.

ShadowExplorer — это утилита, предназначенная для восстановления файлов из их теневых копий.


Выберите каталог для восстановленных файлов

Бесплатная утилита PhotoRec работает по такому же принципу, но в пакетном режиме.

  1. Скачайте архив с сайта разработчика и распакуйте его на диск. Исполняемый файл называется QPhotoRec_Win.

    Исполняемый файл имеет название QPhotoRec_Win

  2. После запуска приложение в диалоговом окне покажет список всех доступных дисковых устройств. Выберите то, в котором хранились зашифрованные файлы, и укажите путь для сохранения восстановленных копий.

    Для хранения лучше использовать внешний носитель, например, USB-флешку, поскольку каждая запись на диск опасна стиранием теневых копий.

  3. Выбрав нужные каталоги, нажмите экранную кнопку File Formats.

    Выберите каталог назначения, нажав на кнопку Browse

  4. Раскрывшееся меню представляет собой перечень типов файлов, которые может восстановить приложение. По умолчанию напротив каждого стоит пометка, однако для ускорения работы можно снять лишние «птички», оставив только соответствующие типам восстанавливаемых файлов. Закончив выбор, нажмите экранную кнопку «ОК».

    Снимите лишние пометки для увеличения скорости работы

  5. После завершения выбора становится доступной экранная кнопка Search. Нажмите её. Процедура восстановления — это трудоёмкий процесс, поэтому запаситесь терпением.

    Отчёт довольно лаконичный

  6. Дождавшись завершения процесса, нажмите экранную кнопку Quit и выйдите из программы.
  7. Восстановленные файлы размещены в указанном ранее каталоге и разложены по папкам с одинаковыми названиями recup_dir.1, recup_dir.2, recup_dir.3 и так далее. Последовательно просмотрите каждую и верните им прежние имена.

    Теперь вручную переберите папки и верните им прежние названия

Удаление вируса

Поскольку вирус попал на компьютер, установленные защитные программы не справились со своей задачей. Можно попробовать воспользоваться сторонней помощью.

Важно! Удаление вируса лечит компьютер, но не восстанавливает зашифрованные файлы. Кроме того, установка нового программного обеспечения может повредить или стереть некоторые теневые копии файлов, необходимые для их восстановления. Поэтому лучше инсталлировать приложения на другие диски.

Программе потребуется некоторое время для проверки системы

Осталось дождаться окончания сканирования и удалить найденных непрошенных гостей.

Ещё один разработчик антивирусного программного обеспечения, предоставляющий бесплатную версию сканера. Алгоритм действий тот же:


Чего делать не следует

Вирус XTBL, как и другие вирусы-шифровальщики, наносит ущерб и системе, и пользовательской информации. Поэтому для уменьшения возможного ущерба следует соблюдать некоторые предосторожности:

  1. Не ждать окончания шифрования. Если на ваших глазах началось шифрование файлов, не стоит ждать, чем всё закончится, или пытаться прервать процесс программными средствами. Сразу же отключайте питание компьютера и звоните специалистам.
  2. Не пытаться удалить вирус самостоятельно, если есть возможность довериться профессионалам.
  3. Не переустанавливать систему до окончания лечения. Вирус благополучно заразит и новую систему.
  4. Не переименовывать зашифрованные файлы. Это только осложнит работу дешифратора.
  5. Не пытаться прочитать заражённые файлы на другом компьютере до удаления вируса. Это может привести к распространению заражения.
  6. Не платить вымогателям. Это бесполезно, и поощряет создателей вирусов и мошенников.
  7. Не забывать о профилактике. Установка антивируса, регулярное резервное копирование, создание точек восстановления значительно уменьшат возможный ущерб от вредоносных программ.

Лечение компьютера, заражённого вирусом-шифровальщиком, является долгой и далеко не всегда успешной процедурой. Поэтому так важно соблюдать меры предосторожности при получении информации из сети и работе с непроверенными внешними носителями.

Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.

Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.

Способы восстановления зашифрованных файлов бесплатно

Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.

Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем .

1. Удалить вирус-шифровальщик

Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool

Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.

Дождитесь окончания этого процесса и удалите найденных зловредов.

1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware

Скачайте программу . После окончания загрузки запустите скачанный файл.

Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку . Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.

Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

2. Восстановить зашифрованные файлы используя ShadowExplorer

ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

Скачайте программу . Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.

Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.

Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.

И последнее, выберите папку в которую будет скопирован восстановленный файл.

3. Восстановить зашифрованные файлы используя PhotoRec

PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

Скачайте программу . Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.

В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.

В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.

По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.

Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.

В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

Бесплатные дескрипторы для программ-вымогателей

Você tambem Pode Gostar de

Ном железный ОПИСАНИЕ Атуализадо

Расшифровщик теней

Скачать

30 апр 2020

Рахни Дешифратор

Расшифровщик блокируемых архивов Рахни, Агент.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman, (TeslaCrypt) версия 3 и 4, Chimera, Crysis (версия 2 и 3). Возможные варианты: Dharma, Cryakl, Yatron, FortuneCrypt, Fonix.

Гиас-де-пассо-а-пассо

Скачать

3 фев 2021

Ранно Дешифратор

Расшифровщик блоков архивов для Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (версии 1, 2 и 3), Polyglot (Marsjoke).

Гиас-де-пассо-а-пассо

Скачать

20 декабря 2016 г.

Декриптор CoinVault

Расшифровщик для блоков архивов CoinVault и Bitcryptor.Criado em cooperação com A Unidade Nacional de Crimes de Alta Tecnologia (NHTCU), policia e promotores dos Países Baixos.

Гиас-де-пассо-а-пассо

Скачать

15 апр 2015

Расшифровщик Wildfire

Скачать

24 авг 2016

Xorist Декриптор

Скачать

23 авг 2016

Faça или скачать Kaspersky Total Security
для защиты от программ-вымогателей

Kein Loesegeld-Kostenlose Entschluesselungs tools — Kaspersky

0 инструмент Passt zu Ihrersuche

Das konnte Ihnen auch gefallen

Название инструмента БЕСШРАЙБУНГ Хохгеладен

Расшифровщик теней

Entschlüsselt Dateien, die durch alle Versionen von Shade verschlüsselt wurden.

Praktische Anleitung

Скачать

30 апр 2020

Расшифровщик Рахни

Entschlüsselt Dateien, die von Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman, (TeslaCrypt) Versionen 3 и 4, Chimera, Crysis (Versionen 2 und 3) betroffen sind. Jüngstes Update: entschlüsselt Dharma, Cryakl, Yatron, FortuneCrypt, Fonix.

Praktische Anleitung

Скачать

3 фев 2021

Расшифровщик Ранно

Entschlüsselt Dateien, die von Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman, (TeslaCrypt) Versionen 3 и 4, Chimera, Crysis (Versionen 2 und 3) betroffen sind. Jüngstes Update: entschlüsselt Dharma Ransomware.

Praktische Anleitung

Скачать

20 декабря 2016 г.

Расшифровщик CoinVault

Entschlüsselt Dateien, die CoinVault и Bitcryptor betroffen sind.Entstanden in Zusammenarbeit mit «The National High Tech Crime Unit (NHTCU)» der niederländischen Polizei und der niederländischen nationalen Staatsanwaltschaft.

Praktische Anleitung

Скачать

15 апр 2015

Расшифровщик Wildfire

Скачать

24 авг 2016

Расшифровщик Xorist

Скачать

23 авг 2016

Laden Sie Kaspersky Total Security herunter, um zukünftige Ransomware-Angriffe zu vermeiden

бесплатных инструментов для расшифровки программ-вымогателей | Разблокируйте свои файлы

АЕС_НИ

AES_NI — это вирус-вымогатель, впервые появившийся в декабре 2016 года.С тех пор мы наблюдали несколько вариантов с разными расширениями файлов. Для шифрования файлов программа-вымогатель использует AES-256 в сочетании с RSA-2048.

Изменение имени файла:

Программа-вымогатель добавляет к зашифрованным файлам одно из следующих расширений:
.aes_ni
.aes256
.aes_ni_0day

В каждой папке, где есть хотя бы один зашифрованный файл, может быть найден файл «!!! ПРОЧИТАЙТЕ ЭТО — ВАЖНО!!!.txt». Кроме того, программа-вымогатель создает файл ключа с именем, похожим на: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.ключ.aes_ni_0day в папке C:\ProgramData.

Сообщение о выкупе:

Файл «!!! ПРОЧИТАЙТЕ ЭТО – ВАЖНО !!!.txt” содержит следующую примечание о выкупе:

Шкафчик Алькатрас

Alcatraz Locker — это разновидность программы-вымогателя, впервые обнаруженная в середине ноября 2016 года. Для шифрования файлов пользователя эта программа-вымогатель использует шифрование AES 256 в сочетании с кодировкой Base64.

Изменения имени файла:

Зашифрованные файлы имеют расширение «.Удлинитель Alcatraz «.

Сообщение о выкупе:

После шифрования ваших файлов появляется аналогичное сообщение (оно находится в файле « ransomed.html » на рабочем столе пользователя):

Если Alcatraz Locker зашифровал ваши файлы, нажмите здесь, чтобы загрузить наше бесплатное исправление:

Апокалипсис

Apocalypse — это форма программы-вымогателя, впервые обнаруженная в июне 2016 года. Вот признаки заражения:

Изменения имени файла:

Апокалипсис добавляет .зашифровано , .FuckYourData , .locked , .Encryptedfile или .SecureCrypted до конца имен файлов. (например, Thesis.doc = Thesis.doc.locked )

RANSOM Сообщение:

Открытие файла с расширением .how_to_decrypt.txt , .radme.txt , .contact_here_to_recover_your_files.txt , .how_to_recover_data.txt , или .:09. .doc.Как_To_Decrypt.txt ) отобразит вариант этого сообщения:

.

AtomSilo и LockFile

AtomSilo&LockFile — это два штамма программ-вымогателей, проанализированных Иржи Винопалом. Эти два имеют очень похожую схему шифрования, поэтому этот дешифратор охватывает оба варианта. Жертвы могут расшифровать свои файлы бесплатно.

Изменения имени файла:

Зашифрованные файлы могут быть распознаны по одному из следующих расширений:
.ATOMSILO
.lockfile

В каждой папке, содержащей хотя бы один зашифрованный файл, также есть файл с запиской о выкупе с именем README-FILE-% Имя_компьютера%-%Число%.hta или LOCKFILE-README-%ComputerName%-%Number%.hta , например:

  • README-FILE-JOHN_PC-1634717562.hta
  • LOCKFILE-README-JOHN_PC-1635095048.hta

Бабук

Babuk — российская программа-вымогатель. В сентябре 2021 года просочился исходный код с некоторыми ключами дешифрования. Жертвы могут расшифровать свои файлы бесплатно.

Изменение имени файла:

При шифровании файла Babuk добавляет к имени файла одно из следующих расширений:
.babuk
.babyk
.doydo

В каждой папке, содержащей хотя бы один зашифрованный файл, можно найти файл Help Restore Your Files.txt следующего содержания:

Плохой блок

BadBlock — это форма программы-вымогателя, впервые обнаруженная в мае 2016 года. Вот признаки заражения:

Изменения имени файла:

BadBlock не переименовывает ваши файлы.

Сообщение о выкупе:

После шифрования ваших файлов BadBlock отображает одно из этих сообщений (из файла с именем Help Decrypt.html):

Если BadBlock зашифровал ваши файлы, нажмите здесь, чтобы загрузить наше бесплатное исправление:

Барт

Bart — это форма программы-вымогателя, впервые обнаруженная в конце июня 2016 года. Вот признаки заражения:

Изменения имени файла:

Барт добавляет .bart.zip в конец имен файлов. (например, Thesis.doc = Thesis.docx.bart.zip ) Это зашифрованные ZIP-архивы, содержащие исходные файлы.

Сообщение о выкупе:

После шифрования ваших файлов Барт меняет обои рабочего стола на изображение, подобное приведенному ниже.Текст на этом изображении также можно использовать для идентификации Барта. Он хранится на рабочем столе в файлах с именами , recovery.bmp, и , recovery.txt, .

Если Барт зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Подтверждение: Мы хотели бы поблагодарить Питера Конрада, автора PkCrack, который разрешил нам использовать его библиотеку в нашем инструменте дешифрования Bart.

БигБобРосс

BigBobRoss шифрует пользовательские файлы, используя шифрование AES128.Зашифрованные файлы имеют новое расширение «.obfuscated», добавленное в конце имени файла.

Изменение имени файла:

Программа-вымогатель добавляет следующее расширение: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated 1 xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Сообщение о выкупе:

Программа-вымогатель также создает текстовый файл с именем «Прочитай меня.txt» в каждой папке. Содержимое файла ниже.

BTCWare

BTCWare — это штамм программы-вымогателя, впервые появившийся в марте 2017 года. С тех пор мы наблюдали пять вариантов, которые можно отличить по зашифрованному расширению файла. Программа-вымогатель использует два разных метода шифрования — RC4 и AES 192.

Изменения имени файла:

Зашифрованные имена файлов будут иметь следующий формат:
foobar.docx.[[email protected]].theva
foobar.docx.[[email protected]].cryptobyte
foobar.bmp.[[email protected]].cryptowin
foobar.bmp.[[email protected]].btcware
foobar.docx.onyon

Кроме того, на ПК можно найти один из следующих файлов.
Key.dat в %USERPROFILE%\Desktop

1.bmp в %USERPROFILE%\AppData\Roaming
#_README_#.inf или !#_DECRYPT_#!.inf в каждой папке с хотя бы одним зашифрованным файлом .

Сообщение о выкупе:

После шифрования ваших файлов обои рабочего стола меняются на следующие:

Вы также можете увидеть одну из следующих записок о выкупе:

Склеп888

Crypt888 (также известная как Mircop) — это форма программы-вымогателя, впервые обнаруженная в июне 2016 года. Вот признаки заражения:

Изменения имени файла:

Crypt888 добавляет блокировку . в начало имен файлов.(например, Thesis.doc = Lock.Thesis.doc )

Сообщение о выкупе:

После шифрования ваших файлов Crypt888 меняет обои рабочего стола на одно из следующих:

Если Crypt888 зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Криптомикс (офлайн)

CryptoMix (также известный как CryptFile2 или Zeta) — это штамм программы-вымогателя, впервые обнаруженный в марте 2016 года. В начале 2017 года появился новый вариант CryptoMix под названием CryptoShield.Оба варианта шифруют файлы с помощью шифрования AES256 с уникальным ключом шифрования, загружаемым с удаленного сервера. Однако, если сервер недоступен или пользователь не подключен к Интернету, программа-вымогатель будет шифровать файлы с фиксированным ключом («автономный ключ»).

Важно : Предоставленный инструмент расшифровки поддерживает только файлы, зашифрованные с использованием «автономного ключа». В тех случаях, когда автономный ключ не использовался для шифрования файлов, наш инструмент не сможет восстановить файлы, и никакие модификации файлов не будут выполнены.
Обновление 21 июля 2017 г.: Расшифровщик был обновлен, чтобы также работать с вариантом Mole.

Изменения имени файла:

зашифрованные файлы будут иметь одно из следующих расширений: .cryptoshield , .rdmk , .lesli , .scl , .Code , .rmd , .rscl или .rscl или . .МОЛ .

Сообщение о выкупе:

Следующие файлы могут быть обнаружены на ПК после шифрования файлов:

Если CryptoMix зашифровал ваши файлы, нажмите здесь, чтобы загрузить наше бесплатное исправление:

КриСиС

CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) — штамм программы-вымогателя, который наблюдается с сентября 2015 года.Он использует AES-256 в сочетании с асимметричным шифрованием RSA-1024.

Изменения имени файла:

Зашифрованные файлы имеют множество различных расширений, в том числе:
[email protected] ,
[email protected] ,
[email protected] , [email protected] ,
.{[email protected]}.CrySiS ,
.{[email protected]}.xtbl ,
.{[email protected]@india.com} }.xtbl ,
.{[email protected]}.xtbl ,
.{[email protected]}.dharma ,
.{[email protected]}.dharma ,
.wallet

Сообщение о выкупе:

После шифрования ваших файлов появляется одно из следующих сообщений (см. ниже). Сообщение находится в « Инструкции по расшифровке.txt », « Инструкции по расшифровке.txt », « README.txt », « Readme для восстановления ваших файлов.txt » или « КАК РАСШИФРОВАТЬ ВАШИ ДАННЫЕ .txt » на рабочем столе пользователя. Также фон рабочего стола изменен на одну из картинок ниже.

Если CrySiS зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Шифрование

EncrypTile — это программа-вымогатель, которую мы впервые обнаружили в ноябре 2016 года. После полугодовой разработки мы поймали новую, окончательную версию этой программы-вымогателя. Он использует шифрование AES-128 с использованием ключа, который является постоянным для данного ПК и пользователя.

Изменение имени файла:

Вымогатель добавляет слово «encrypTile» в имя файла:

фубар.документ -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Программа-вымогатель также создает четыре новых файла на рабочем столе пользователя. Имена этих файлов локализованы, вот их англоязычные версии:

Сообщение о выкупе: Как запустить дешифратор

Во время работы программа-вымогатель активно препятствует запуску пользователем любых инструментов, которые потенциально могут ее удалить. Обратитесь к сообщению в блоге для получения более подробных инструкций о том, как запустить дешифратор, если на вашем ПК запущена программа-вымогатель.

FindZip

FindZip — это штамм программы-вымогателя, обнаруженный в конце февраля 2017 года. Эта программа-вымогатель распространяется в Mac OS X (версия 10.11 или новее). Шифрование основано на создании ZIP-файлов — каждый зашифрованный файл представляет собой ZIP-архив, содержащий исходный документ.

Изменения имени файла:

Зашифрованные файлы будут иметь расширение .crypt .

Сообщение о выкупе:

После шифрования ваших файлов на рабочем столе пользователя создается несколько файлов с вариантами имен: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Все они идентичны и содержат следующее текстовое сообщение:

.

Специальное предложение: Поскольку дешифраторы AVAST являются приложениями Windows, необходимо установить уровень эмуляции на Mac (WINE, CrossOver). Для получения дополнительной информации, пожалуйста, прочитайте наш блог.

Если Globe зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Фоникс

Программа-вымогатель Fonix была активна с июня 2020 года.Написанный на C++, он использует схему шифрования с тремя ключами (мастер-ключ RSA-4096, сеансовый ключ RSA-2048, 256-битный файловый ключ для шифрования SALSA/ChaCha). В феврале 2021 года авторы программы-вымогателя закрыли свой бизнес и опубликовали мастер-ключ RSA, который можно использовать для бесплатной расшифровки файлов.

Изменения имени файла:

Зашифрованные файлы будут иметь одно из следующих расширений:
.FONIX ,
.XINOF

Сообщение о выкупе:

После шифрования файлов на компьютере-жертве программа-вымогатель показывает следующий экран:

Если Fonix зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

ГандКраб

Gandcrab — одна из самых распространенных программ-вымогателей в 2018 году.17 октября 2018 года разработчики Gandcrab выпустили 997 ключей для жертв, находящихся в Сирии. Также в июле 2018 года ФБР выпустило мастер-ключи дешифрования для версий 4-5.2. Эта версия расшифровщика использует все эти ключи и может расшифровывать файлы бесплатно.

Изменение имени файла:

Вымогатель добавляет несколько возможных расширений:
.GDCB ,
.CRAB ,
.KRAB ,
.%RandomLetters% 9025 3 .GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (буквы случайные)

Сообщение о выкупе:

Программа-вымогатель также создает текстовый файл с именами «GDCB-DECRYPT.txt», «CRAB-DECRYPT.txt», «KRAB_DECRYPT.txt», «%RandomLetters%-DECRYPT.txt» или «%RandomLetters%-MANUAL». .txt» в каждой папке. Содержимое файла ниже.

Более поздние версии программы-вымогателя также могут устанавливать на рабочий стол пользователя следующее изображение:

Глобус

Globe — это вирус-вымогатель, который наблюдается с августа 2016 года.В зависимости от варианта используется метод шифрования RC4 или Blowfish. Вот признаки заражения:

Изменения имени файла:

Globe добавляет к имени файла одно из следующих расширений: « .ACRYPT «, « .GSupport[0-9] «, « .blackblock «, « .dll555 «, » .duhust «, « .exploit «, « .frozen «, « .globe «, « .gsupport «, « .kyra «, « .kyra «, « .purged» 2 .raid[0-9] «,» [email protected] «, « .xtbl «, « .zendrz «, « .zendr[0-9] » или « .hnyear «. Кроме того, некоторые из его версий также зашифровать имя файла.

Сообщение о выкупе:

После шифрования ваших файлов появляется похожее сообщение (оно находится в файле « How to restore files.hta » или « Read Me Please.hta «):

Если Globe зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Скрытая слеза

HiddenTear — это один из первых кодов программ-вымогателей с открытым исходным кодом, размещенный на GitHub и датируемый августом 2015 года.С тех пор мошенники создали сотни вариантов HiddenTear, используя оригинальный исходный код. HiddenTear использует шифрование AES.

Изменения имени файла:

Зашифрованные файлы будут иметь одно из следующих расширений (но не ограничиваться ими): .locked , .34xxx , .bloccato , .BUGSECCCC , .Hollycrypt , .Hollycrypt , , .saeid , .unlockit , .razy , .mecpt , .monstro , .lok , . 암호화 됨 , .8lock8, , .fucked , .flyper , .kratos , .krathed , .Cazzo , .Cazzo , .

Сообщение о выкупе:

После шифрования файлов на рабочем столе пользователя появляется текстовый файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) . Различные варианты также могут отображать сообщение о выкупе:

.

Если HiddenTear зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Электролобзик

Jigsaw — это вирус-вымогатель, который существует с марта 2016 года.Он назван в честь персонажа фильма «Пила-убийца». Несколько вариантов этого вымогателя используют изображение Jigsaw Killer на экране выкупа.

Имя файла Изменения:

зашифрованные файлы будут иметь одно из следующих расширений: .bkk , .bks , .j , .j , . Trancrypted , .Porno , .payransom , .payransom , .payransom , .payransom , .pornoransom , .epic , .xyz , .versiegelt , .Зашифрованные , .payb , . Страницы , .payms , .paymds , .paymt , .paymst , .payrmt , .payrmts , . Paymrts , . paybtcs , .fun , .hush , [email protected] или .gefickt .

Сообщение о выкупе:

После шифрования ваших файлов появится один из экранов ниже:

Если Jigsaw зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Лямбда-локер

LambdaLocker — это штамм программы-вымогателя, который мы впервые обнаружили в мае 2017 года.Он написан на языке программирования Python, и в настоящее время распространенный вариант является расшифровываемым.

Изменение имени файла:

Вымогатель добавляет расширение «.MyChemicalRomance4EVER» после имени файла:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

текстовый файл с именем «UNLOCK_guiDE.txt» на рабочем столе пользователя. Содержимое файла ниже.

Легион

Legion — это форма программы-вымогателя, впервые обнаруженная в июне 2016 года. Вот признаки заражения:

Изменения имени файла:

Legion добавляет вариант [email protected]$.legion или [email protected]$.cbf в конец имен файлов. . (например, Thesis.doc = [email protected]$.legion )

Сообщение о выкупе:

После шифрования ваших файлов Legion меняет обои рабочего стола и отображает всплывающее окно, например:

Если Legion зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

NoobCrypt

NoobCrypt — это штамм программы-вымогателя, который наблюдается с конца июля 2016 года.Для шифрования пользовательских файлов этот вымогатель использует метод шифрования AES 256.

Изменения имени файла:

NoobCrypt не меняет имя файла. Однако зашифрованные файлы невозможно открыть с помощью связанного с ними приложения.

Сообщение о выкупе:

После шифрования ваших файлов появляется аналогичное сообщение (оно находится в файле « ransomed.html » на рабочем столе пользователя):

Если NoobCrypt зашифровал ваши файлы, нажмите здесь, чтобы загрузить наше бесплатное исправление:

Стампадо

Stampado — это вирус-вымогатель, написанный с использованием скриптового инструмента AutoIt.Он существует с августа 2016 года. Он продается в даркнете, и постоянно появляются новые варианты. Одна из его версий также называется Филадельфия.

Изменение имени файла:

Stampado добавляет к зашифрованным файлам расширение .locked. Некоторые варианты также шифруют само имя файла, поэтому зашифрованное имя файла может выглядеть как document.docx.locked или 85451F3CCCE348256B549378804965CD8564065FC3F8.locked .

Сообщение о выкупе:

После завершения шифрования появится следующий экран:

Если Stampado зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

SZFLocker

SZFLocker — это форма программы-вымогателя, впервые обнаруженная в мае 2016 года.Вот признаки заражения:

Изменения имени файла:

SZFLocker добавляет .szf в конец имен файлов. (например, Thesis.doc = Thesis.doc.szf )

Сообщение о выкупе:

При попытке открыть зашифрованный файл SZFLocker отображает следующее сообщение (на польском языке):

Если SZFLocker зашифровал ваши файлы, нажмите здесь, чтобы загрузить наше бесплатное исправление:

ТеслаКрипт

TeslaCrypt — это форма программы-вымогателя, впервые обнаруженная в феврале 2015 года.Вот признаки заражения:

Изменения имени файла:

Последняя версия TeslaCrypt не переименовывает ваши файлы.

Сообщение о выкупе:

После шифрования ваших файлов TeslaCrypt отображает вариант следующего сообщения:

Если TeslaCrypt зашифровал ваши файлы, нажмите здесь, чтобы загрузить наше бесплатное исправление:

Трольдеш / Тень

Troldesh, также известный как Shade или Encoder.858, представляет собой штамм программы-вымогателя, который наблюдается с 2016 года.В конце апреля 2020 года авторы программы-вымогателя закрыли свой бизнес и опубликовали ключи дешифрования, которые можно использовать для бесплатной расшифровки файлов.
Дополнительная информация: https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Имя изменения:

зашифрованные файлы будут иметь одно из этих расширений:
• XTBL
• YTBL
• Breake_bad
• Heisenberg
• Better_pollos
• Da_vinci_Code
• Magic_Software_syndicate
• Windows10
• Windows8
• NO_MORE_RANSOM
• TYSON
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Сообщение о выкупе:

После шифрования ваших файлов на рабочем столе пользователя создается несколько файлов с именем README1.txt в README10.txt. Они на разных языках, содержащие этот текст:

Фон рабочего стола пользователей также изменен и выглядит как на картинке ниже:

Если Troldesh зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

XData

XData — это штамм программы-вымогателя, созданный на основе AES_NI и, как и WannaCry, использует эксплойт Eternal Blue для распространения на другие машины.

Изменение имени файла:

Программа-вымогатель добавляет расширение «.~xdata~» для зашифрованных файлов.

В каждой папке с хотя бы одним зашифрованным файлом можно найти файл «HOW_CAN_I_DECRYPT_MY_FILES.txt». Кроме того, программа-вымогатель создает файл ключа с именем, похожим на:

.

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ в следующих папках:

• C:\

• C:\ProgramData

• Рабочий стол

Сообщение о выкупе:

Файл «HOW_CAN_I_DECRYPT_MY_FILES.txt» содержит следующее примечание о выкупе:

Если Troldesh зашифровал ваши файлы, щелкните здесь, чтобы загрузить бесплатное исправление:

Выпущено

бесплатных мастер-дешифровщиков REvil для прошлых жертв

Выпущен бесплатный мастер-дешифратор для операции вымогателя REvil, позволяющий всем жертвам, зашифрованным до исчезновения банды, бесплатно восстановить свои файлы.

Мастер-дешифратор REvil был создан компанией Bitdefender, занимающейся кибербезопасностью, в сотрудничестве с надежным партнером из правоохранительных органов.

Хотя Bitdefender не может поделиться подробностями о том, как они получили мастер-ключ дешифрования или о задействованных правоохранительных органах, они сообщили BleepingComputer, что это работает для всех жертв REvil, зашифрованных до 13 июля.

«Согласно сообщению в нашем блоге, мы получили ключи от доверенного партнера правоохранительных органов, и, к сожалению, это единственная информация, которую мы можем раскрыть прямо сейчас», — сказал BleepingComputer Богдан Ботезату из Bitdefender, директор по исследованию угроз и отчетности. .

«После того, как расследование будет завершено, дополнительные подробности будут предложены после утверждения».

Жертвы программы-вымогателя REvil могут загрузить мастер-дешифратор из Bitdefender (инструкции) и расшифровать сразу все компьютеры или указать определенные папки для расшифровки.

Чтобы протестировать дешифратор, BleepingComputer зашифровал виртуальную машину образцом REvil, использованным в атаке ранее в этом году. После шифрования наших файлов мы можем использовать дешифратор Bitdefender, чтобы легко восстановить наши файлы, как показано ниже.

Расшифровка зашифрованных файлов REvil с помощью расшифровщика

Правоохранительные органы, вероятно, скомпрометировали серверы REvil

Операция по борьбе с программами-вымогателями REvil, также известная как Sodinokibi, считается ребрендингом или преемником группы программ-вымогателей, которая сейчас «вышла на пенсию», известной как GandCrab.

С момента запуска в 2019 году REvil провел множество атак на известные компании, включая JBS, Coop, Travelex и Grupo Fleury.

Наконец, в массовой атаке 2 июля с использованием уязвимости нулевого дня Kaseya банда вымогателей зашифровала шестьдесят поставщиков управляемых услуг и более 1 500 компаний по всему миру.

Требование выкупа REvil за зашифрованный ион MSP 2 июля

Столкнувшись с пристальным вниманием международных правоохранительных органов и ростом политической напряженности в отношениях между Россией и США, 13 июля REvil внезапно прекратил свою работу и исчез.

В то время как REvil был закрыт, Kaseya таинственным образом получила мастер-дешифратор для своей атаки, что позволило MSP и их клиентам бесплатно восстанавливать файлы.

Поскольку Bitdefender заявляет, что жертвы, зашифровавшие REvil до 13 июля, могут использовать этот дешифратор, можно с уверенностью предположить, что исчезновение программы-вымогателя было связано с этим расследованием правоохранительных органов.

Также вероятно, что получение Kaseya главного ключа дешифрования REvil для атаки на их клиентов также связано с этим же расследованием.

В то время как REvil вернулся к атакам жертв в начале этого месяца, выпуск этого основного дешифратора стал огромным благом для существующих жертв, которые предпочли не платить или просто не могли после исчезновения банды вымогателей.

[email protected] Удаление вирусов + расшифровка файлов .ipm — Руководство по устранению неполадок

Что такое .IPM файловый вирус?

Также известная как программа-вымогатель DHARMA , она модифицирует ваши документы, шифруя их и требуя выкупа якобы за восстановление доступа к ним. [[email protected]].ipm указывает [email protected] как канал для связи с преступниками-вымогателями.

Программа-вымогатель DHARMA снова активна благодаря своему новому криптовирусу с именем .ipm . Это конкретное семейство вирусов модифицирует все популярные типы файлов, добавляя расширение .ipm extension , что делает данные абсолютно недоступными. Жертвы просто не могут больше открыть свои важные документы. Вымогатель также присваивает свой уникальный идентификационный ключ, как и все предыдущие представители семейства вирусов. Как только файл шифруется программой-вымогателем, он получает специальное новое расширение, которое становится вторичным. Файловый вирус также генерирует записку с требованием выкупа, предоставляя пользователям инструкции якобы для восстановления данных.

Сводка угроз Ipm

Имя .IPM файл Virus
[декодирование@qbmail.biz] .ipm файл virus
тип
Ransomware
Обнаружение backdoor.remcos.a, win32 / genkryptik.becf , Trojan.Win32.Diss.suvav
Краткое описание Вирус модифицирует документы на атакуемом устройстве путем шифрования и требует от жертвы выкуп якобы за их восстановление.
Симптомы Файловый вирус шифрует данные, добавляя расширение .ipm, а также генерирует уникальный идентификатор. Обратите внимание, что расширение [[email protected]].ipm становится дополнительным.
Метод распространения Спам, вложения электронной почты, скомпрометированные законные загрузки, атаки с использованием слабых или украденных учетных данных RDP.
Fix Tool Проверьте, не пострадала ли ваша система от .IPM File Virus

.ipm File Virus – Dharma Ransomware

Что это такое и как я его получил?

Программа-вымогатель .ipm чаще всего распространяется с помощью дроппера полезной нагрузки. Он запускает вредоносный скрипт, который в конечном итоге устанавливает файловый вирус. Угроза активно циркулирует в сети, учитывая факты о программе-вымогателе, упомянутые в базе данных VirusTotal. Программа-вымогатель .ipm также может продвигать свои файлы полезной нагрузки через популярные социальные сети и платформы для обмена файлами.В качестве альтернативы, некоторые бесплатные приложения, размещенные на многих популярных ресурсах, также могут быть замаскированы под полезные инструменты, тогда как вместо этого они могут привести к вредоносным сценариям, которые внедрили программу-вымогатель. Ваша личная осторожность для предотвращения атаки вируса .ipm имеет большое значение!

.ipm File Virus — это инфекция, которая шифрует ваши данные и представляет собой неприятное уведомление о программе-вымогателе. Ниже приведен скриншот с сообщением о программе-вымогателе:

[[email protected]]. Все ваши файлы были зашифрованы! Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.Если вы хотите их восстановить, напишите нам на почту [email protected] Напишите этот ID в заголовке вашего сообщения XXXXXX В случае отсутствия ответа в течение 24 часов напишите нам на эти электронные письма: [email protected] Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы. Бесплатная расшифровка как гарантия Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки. Общий размер файлов должен быть менее 1 Мб (не в архиве), файлы не должны содержать ценной информации.(базы данных, резервные копии, большие листы Excel и т. д.) Как получить биткойны Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене. hxxps://localbitcoins[точка]com/buy_bitcoins Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь: hxxps://www.coindesk[dot]com/information/how-can-i-buy-bitcoins/ Внимание! Не переименовывайте зашифрованные файлы. Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Удалить [[email protected]].ipm File Virus (Dharma)

Причины, по которым я бы рекомендовал GridinSoft

Отличный способ справиться с распознаванием и удалением угроз – использовать Gridinsoft Anti-Malware. Эта программа просканирует ваш ПК, найдет и нейтрализует все подозрительные процессы.

Загрузить GridinSoft Anti-Malware.

Вы можете загрузить GridinSoft Anti-Malware, нажав кнопку ниже:

Запустите установочный файл.

После завершения загрузки установочного файла дважды щелкните файл setup-antimalware-fix.exe , чтобы установить GridinSoft Anti-Malware в вашей системе.

Управление учетными записями пользователей с просьбой разрешить GridinSoft AntiMalware вносить изменения в ваше устройство. Итак, вы должны нажать «Да», чтобы продолжить установку.

Нажмите кнопку «Установить».
После установки Anti-Malware запустится автоматически.
Дождитесь завершения сканирования антивирусом.

GridinSoft Anti-Malware автоматически начнет сканирование вашего компьютера на предмет заражения Ipm и других вредоносных программ. Этот процесс может занять 20-30 минут, поэтому я предлагаю вам периодически проверять статус процесса сканирования.

Нажмите «Очистить сейчас».

После завершения сканирования вы увидите список заражений, обнаруженных GridinSoft Anti-Malware.Чтобы удалить их, нажмите кнопку «Очистить сейчас» в правом углу.

Как расшифровать файлы .ipm?

Вы можете загрузить и использовать этот дешифратор, выпущенный Kaspersky, если вы столкнулись с расширением .[[email protected]].ipm .

Вы можете загрузить и использовать этот дешифратор, выпущенный Avast, или этот дешифратор, выпущенный Kaspersky, если вы столкнулись с расширением .ipm .

Что дальше?

Если руководство не помогло вам удалить Ipm вирус , загрузите рекомендованное мной GridinSoft Anti-Malware.Кроме того, вы всегда можете обратиться ко мне в комментариях за помощью. Удачи!

Декодирование Защита от программ-вымогателей: как она защищает ваши файлы?

Программа-вымогатель стала одной из самых опасных форм вредоносных программ. В последние несколько лет наблюдается эффект снежного кома с увеличением объема атак и более высокими затратами на исправление.

Текущие затраты на устранение атаки программ-вымогателей (если выкуп не уплачен):

  • 100–1000 сотрудников: $505 827
  • 1 000–5 000 сотрудников: 981 140 долл. США
  • Средний мировой показатель: $761 106

И если выкуп уплачен, другие затраты на исправление не исчезнут.На самом деле, выплата требования о выкупе удваивает стоимость восстановления после атаки программы-вымогателя и составляет в среднем 1 448 458 долларов США.

Возможно, вы заметили, что в последнее время в местных новостях говорят о программах-вымогателях из-за двух громких атак. Один был на Colonial Pipeline (выкуп заплатили), другой — на JBS, крупнейшего в мире поставщика мяса с заводами в 15 странах (платили выкуп или нет, неизвестно).

Эти атаки показывают, насколько разрушительными могут быть программы-вымогатели для бизнеса и насколько важно иметь надежную защиту от программ-вымогателей.

Что означает защита от программ-вымогателей?

Можно сказать «защита от программ-вымогателей», но что это на самом деле означает? Чтобы понять, как работает защита, мы должны сначала узнать, как работают программы-вымогатели.

Программа-вымогатель — это форма вредоносного ПО, предназначенная для удержания файлов в «заложниках». Это делается одним из двух способов:

  1. Зашифруйте их, чтобы они стали нечитаемыми для пользователя.
  2. Скрывать их, а не шифровать, в результате пользователь не сможет получить к ним доступ.

Вы можете себе представить, что произойдет, если вы попытаетесь получить доступ к своей программе CRM, чтобы открыть файл клиента, и вдруг программа не будет работать, потому что база данных имен и информации о клиентах теперь зашифрована.

Теперь распространите это на все данные на любых рабочих компьютерах, серверах и учетных записях облачных хранилищ, и вы увидите, как программы-вымогатели полностью закрывают компании.

У компаний, как правило, есть только два основных варианта, если они хотят восстановить свою деятельность.Во-первых, восстановить свои данные из резервной копии (если она у них есть), а во-вторых, заплатить выкуп и надеяться, что хакер выполнит свою часть сделки и расшифрует данные.

Типы защиты от программ-вымогателей и принципы их работы Защита от программ-вымогателей

доступна в нескольких формах. Его можно найти в настройках операционной системы, такой как Windows 10, а также в усовершенствованных системах защиты от угроз, которые предназначены для поиска и отключения программ-вымогателей.

Вот несколько примеров того, как это делается.

Напильники

Некоторые системы защиты от программ-вымогателей используют файлы-приманки. Это файлы, которые находятся на вашем жестком диске, замаскированные под все остальные файлы, которые у вас могут быть. Однако эти файлы специально разработаны для обнаружения и предотвращения распространения программ-вымогателей.

Программа-вымогатель быстро шифрует файлы, а затем распространяется на любые другие устройства в сети, которые она может найти. Затем он повторяет шаблон.

Файлы с наживкой похожи на рыболовные приманки. Эти файлы постоянно контролируются поставщиком услуг безопасности, и как только обнаруживается, что с файлом происходит какая-либо активность программы-вымогателя, рабочая станция может быть отключена от сети и выключена, чтобы предотвратить распространение инфекции на другие устройства или в облачное хранилище.

Блокировка изменений файла

Если вы включите защиту от программ-вымогателей в Windows 10, она использует метод блокировки изменений, чтобы предотвратить шифрование файлов или распространение программ-вымогателей.

Что он сделает, так это предотвратит изменение ваших папок, что блокирует возможность программы-вымогателя запускать процесс шифрования файлов.

Если вы введете «Безопасность» в строку поиска Windows, вы сможете перейти в область настроек «Безопасность окна».

Перейдите в раздел «Защита от вирусов и угроз», затем прокрутите вниз до пункта «Защита от программ-вымогателей» и нажмите «Управление защитой от программ-вымогателей».

Вы увидите ползунок для включения защиты от программ-вымогателей. Как только вы это сделаете, несколько папок по умолчанию будут защищены от изменений. Вы также можете добавлять или удалять папки.

Следует отметить, что вам необходимо одобрить приложения, которые могут вносить изменения в папку, чтобы вы могли сохранять файлы. Например, вы можете внести MS Word в список разрешенных программ для редактирования файлов в папке.

Использование ограничений в объектах групповой политики (GPO)

Объект групповой политики Microsoft включает ряд параметров групповой политики, определяющих поведение системы и пользователей.

Ограничения GPO

можно использовать для управления выполнением файлов на конечной точке и для блокировки подозрительной активности, типичной для программ-вымогателей или других типов вредоносных программ.

Этот тип ограничения политики подобен внесению определенных действий в список безопасных, поэтому, если какая-либо программа пытается выполнить небезопасное действие с файлом (например, шифрование программы-вымогателя), она автоматически блокируется параметром групповой политики.

Готовы ли вы к атаке программы-вымогателя?

C Solutions поможет вашему предприятию в Орландо защититься от программ-вымогателей, которые помогут вам не стать жертвой дорогостоящей атаки.

Запишитесь на бесплатную консультацию уже сегодня! Позвоните по телефону 407-536-8381 или свяжитесь с нами через Интернет.

 

Анализ атаки программ-вымогателей REvil

За последний год увеличилось количество вредоносных программ-вымогателей, например Nefilim и Darkside, которые воруют и угрожают опубликовать конфиденциальные данные или зашифровать их, пока не будет выплачен выкуп. В настоящее время киберпреступники используют различные методы, чтобы закрепиться в сети организации. Одним из методов является атака на цепочку поставок.

В ходе атаки на цепочку поставок программного обеспечения хакеры ставят под угрозу организацию, манипулируя кодом в сторонних программных компонентах, используемых организацией, например, как это было с SolarWinds в декабре 2020 года. 2 июля 2021 года Kaseya объявила о своем программном обеспечении. была скомпрометирована и использовалась для атак на ИТ-инфраструктуру своих клиентов. Kaseya VSA — это пакет управления ИТ, обычно используемый для управления программным обеспечением и установки исправлений для ОС Windows, macOS или стороннего программного обеспечения.В отличие от атаки SolarWinds, целью злоумышленников была денежная прибыль, а не кибершпионаж.

Атаки были приписаны REvil, программа-вымогатель была впервые обнаружена в апреле 2019 года по данным MITRE. REvil — это семейство программ-вымогателей, связанных с GOLD SOUTHFIELD, финансово мотивированной группой, которая использует модель «программы-вымогатели как услуга». Эта группа распространяет программы-вымогатели с помощью наборов эксплойтов, методов сканирования и использования, серверов RDP и установщиков программного обеспечения с бэкдором.

Злоумышленники REvil извлекают конфиденциальные данные перед шифрованием.Когда выкуп не выплачивается, они, как известно, стыдят жертв, публикуя их данные в даркнете. Во время нашего исследования мы видели некоторые образцы данных жертв на их onion-сайте.

Рис. 1. Веб-сайт Dark

Технические детали
Первоначальный доступ

Программа-вымогатель была доставлена ​​через вредоносное обновление, отправленное на серверную платформу Kaseya VSA. Банда REvil использовала уязвимость нулевого дня Kaseya VSA (CVE-2021-30116) на серверной платформе Kaseya VSA.

Исследователи безопасности из Huntress Labs и TrueSec выявили три уязвимости нулевого дня, потенциально используемые для атак на их клиентов, в том числе: заявил, что для установки и выполнения атаки программ-вымогателей на системы Windows использовался следующий файл:

Процедура исправления агента Kaseya VSA выполняла следующую команду: 

"C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true - EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /YC:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /fc:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

Приведенная выше команда отключает Защитник Windows, копирует и переименовывает файл certutil.exe в %SystemDrive%\Windows и расшифровывает файл agent.crt. Certutil.exe в основном используется как двоичный файл «живущий за пределами земли» и способен загружать и декодировать веб-закодированный контент. Чтобы избежать обнаружения, злоумышленник скопировал эту утилиту как %SystemDrive. %\серт.исполняемый файл и запустил вредоносный агент полезной нагрузки.exe.

Agent.exe D55F983C994CAA160C63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
1

Agent.exe содержит два ресурса (modls.rc, sofis.rc), как показано на следующем изображении.

Рис. 2: Ресурс из agent.exe

Agent.exe сбросил эти ресурсы в папку windows. Ресурсы с именами MODLIS и SOFTIS были удалены как mpsvc.dll и MsMpEng.exe соответственно.

MODLIS e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
mpsvc.dll 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
SOFTIS 33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a
MsMpEng.exe 33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a

MsMpeng.exe — это более старая версия исполняемого файла Microsoft Antimalware Service, которая уязвима для атаки с боковой загрузкой DLL. При атаке с боковой загрузкой DLL вредоносный код находится в файле DLL с таким же именем, которое требуется для целевого исполняемого файла.

Рис. 3: Информация о версии MsMpeng.exe Рис. 4. Информация о цифровом сертификате MsMpeng.exe

Agent.exe затем удаляет MsMpeng.exe и mpsvc.dll. После удаления этих двух файлов Agent.exe запускает MsMpeng.exe, как показано на следующем рисунке.

Рис. 5. Удаление файлов и создание процесса MsMpEng.exe

Выполнение программы-вымогателя

Когда MpMseng.exe запускается и вызывает ServiceCrtMain, загружается и выполняется вредоносный Mpsvc.dll.

Рис. 6: Функция вызова ServiceCrtMain MsMpEng.exe Рис. 7. Функция вызова ServiceCrtMain программы MsMpEng.exe

Программа-вымогатель использует OpenSSL для выполнения своих криптографических операций.

Рис. 8. Использование OpenSSL для выполнения криптографических операций Вредоносное ПО

использует функции «CreateFileMappingW» и «MapViewOfFile» для переноса кода в память.Функция CreateFileMapping полезна для загрузки файла в память. Функция создает дескриптор сопоставления, в то время как функция MapViewOfFile сопоставляет файл с пространством памяти и возвращает указатель на начало сопоставленного файла.

Рис. 9. Использование CreateFileMappingW и MapViewOfFile для переноса кода в память

Вредоносная программа выделяет память и расшифровывает основную полезную нагрузку (PE-файл) в памяти. Вредоносное ПО удаляет некоторые неиспользуемые магические константы из заголовка, чтобы обойти его. Магические константы, такие как 0x4D5A (MZ) 0x5045 (PE).Этот метод требует загрузки и выполнения полезной нагрузки точно так же, как шелл-код.

В настоящее время большинство авторов вредоносных программ используют специальные упаковщики, эти упаковщики распаковывают и загружают модуль полезной нагрузки без магических констант PE Header во время загрузки. Эти упаковщики сохраняют другую важную информацию из заголовка PE, такую ​​как заголовок раздела, импорт API, данные о перемещениях и т. д.

Рис. 10: Основная полезная нагрузка

Malware Расшифровывает и приносит файл конфигурации. Файл конфигурации имеет формат JSON.

Рис. 11: Файл конфигурации

Файл конфигурации содержит следующие поля.

9138
Область Определение
рк Открытый ключ в базе 64
PID Версия ID
суб тег Номер
DBG Является ли это Mode DBG
ET Тип шифрования Тип шифрования
Wipe Wipe Flag
FLD
FLD Список папок, который хочет пропустить во время процесса шифрования
FLS Список файлов, который хочет Чтобы пропустить во время процесса шифрования
Ext Расширение файла, которое хочет пропустить во время процесса шифрования
WFLD папка, которую она хочет уничтожить
PRC Список имени процесса хочет прекратить
dmn Потенциальный список C & C
Net 70024
SVC Сервис Список названия, который хочет остановить
Nbody
Nbody
Nbody в Base64 Формат
NNAME Ransomware Note Расширение файла
ехр флаг для местного privledge эскалации
IMG Вымогателей Обратите внимание, что будет в виде битовой карты
ARN Постоянство флаг
rdmcnt Readme рассчитывать

вымогателей марки следующие изменения в локальном правиле брандмауэра.

«Группа правил брандмауэра netsh advfirewall == «Обнаружение сети» новое разрешение = Да»

Рис. 12: Команда для изменения локального брандмауэра

Создает следующую запись реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\BlackLivesMatter

Следующие значения добавлены в HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\BlackLivesMatter:

96Ia6 = {шестнадцатеричное значение}
Ed7 = {шестнадцатеричное значение}
JmfOBvhb = {шестнадцатеричное значение}
QIeQ = {шестнадцатеричное значение}
Ucr1RB = {шестнадцатеричное значение}
wJWsTYE = .{добавлено расширение к файлам после шифрования}

Вредоносная программа добавляет значения реестра в следующий раздел реестра.

HKEY_LOCAL_MACHINE\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Microsoft\Windows NT\CurrentVersion\Winlogon

  • AutoAdminLogon = 1 
  • DefaultUserName = {Текущее имя пользователя} 
  • DefaultPassword = «DTrump4ever» 

С указанными выше значениями реестра Windows будет автоматически входить в систему с новой информацией об учетной записи.

Вредоносная программа выполняет следующие команды, чтобы принудительно загрузить компьютер в безопасном режиме с поддержкой сети:
bcdedit /set {current} safeboot network

Кроме того, вредоносное ПО добавляет ту же команду в реестр под
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

*MarineLePen = bcdedit /set {текущая} безопасная сеть 

Наконец, примечание о выкупе удаляется с использованием случайного имени файла, например «s5q78-readme.текст».

Рис. 13: Записка о выкупе

Информационная панель

Чтобы отслеживать воздействие, загрузите и запустите информационную панель Kaseya (REvil RansomWare).

Артефакт

  • Группа запускает 0day атаку обхода авторизации/внедрения SQL через файл userFilterTableRpt.asp.
  • На первом этапе они удаляют журналы в нескольких местах (журналы IIS, а также журналы, хранящиеся в базе данных приложения).
  • Группа доставляет полезную нагрузку PowerShell, которая отключает Защитник Windows.
  • Группа скопировала и переименовала certutil.exe в cert.exe перед запуском команд.
  • Группа использует certutil.exe для декодирования и выполнения ранее загруженных файлов agent.crt в agent.exe.
  • Группа загрузила файл .js, замаскированный под файл .jpg — screenshot.jpg.
  • Группа использовала такие сервисы, как Shodan, для сбора списка целей перед атакой.
  • Группа шифрует файлы на системах-жертвах и требует выкуп за расшифровку файлов.

REVIL TTP MAP

9158

смягчение или дополнительные важные Меры безопасности
Сеть
  • Используйте надежные и уникальные пароли для учетных записей.
  • Отключить RDP, если он не используется. При необходимости измените порт RDP на нестандартный порт.
  • Настройте брандмауэр следующим образом:
    • Запретите доступ к общедоступным IP-адресам на важные порты (в данном случае RDP-порт 3389),
    • Разрешите доступ только к IP-адресам, которые находятся под вашим контролем.
  • Используйте VPN для доступа к сети вместо того, чтобы выставлять RDP в Интернет. Возможность реализации двухфакторной аутентификации (2FA).
  • Установить политику блокировки, препятствующую подбору учетных данных.
  • Создайте отдельную сетевую папку для каждого пользователя при управлении доступом к общим сетевым папкам.
Регулярно делайте резервные копии данных
  • Защитите системы от программ-вымогателей, регулярно создавая резервные копии важных файлов и сохраняя последнюю резервную копию в автономном режиме. Зашифруйте резервную копию.
  • Если ваш компьютер заражен программой-вымогателем, ваши файлы можно будет восстановить из автономной резервной копии после удаления вредоносной программы.
  • Всегда используйте комбинацию оперативного и автономного резервного копирования.
  • Не оставляйте автономные резервные копии подключенными к вашей системе, так как эти данные могут быть зашифрованы при атаке программы-вымогателя.
Обновляйте программное обеспечение
  • Всегда обновляйте программное обеспечение безопасности (антивирус, брандмауэр и т. д.), чтобы защитить компьютер от новых вариантов вредоносных программ.
  • Регулярно исправляйте и обновляйте приложения, программное обеспечение и операционные системы для устранения любых уязвимых мест программного обеспечения.
  • Не загружайте взломанное или пиратское программное обеспечение, так как существует риск проникновения вредоносных программ на ваш компьютер через черный ход.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

Начальный доступ Начальный доступ Выполнение Evasion Команда и управление Удаление
Поиск Открытые Технические базы данных: Сканирование баз данных (T1596.005) Эксплойт общедоступного приложения (T1190) Интерпретатор команд и сценариев: PowerShell (T1059.001) Удаление индикатора на хосте: Удаление файла (T1070.004) Ingress Tool Transfer (T1105) Манипулирование: хранимые данные манипуляции (T1565.001)
Debfuscate / декодирует файлы или информацию (T1140) данных, зашифрованных для удара (T1486)
Masquerading (T1036) Порча: внутренняя порча (T1491.001)
Masquerading: Переименовать системные утилиты (T1036.003)
Hijack Execution Flow: DLL Side-loading (T1574.002)
Subvert Trust Controls: Подпись кода (T1553.002)
.004)
Виртуализация / Sandbox Evasion: (Т1497.003)
изменить реестр (T1112)
ухудшает защиту: отключить или модифицировать инструменты (T1562.001)