Бесплатные декрипторы и средства защиты от шифровальщиков

Рекомендации по расшифровке файлов

Отключите автоматическое удаление вредоносных файлов

Если на вашем компьютере установлен продукт «Лаборатории Касперского», перейдите в настройки программы и снимите флажок Автоматически выполнять рекомендуемые действия в разделе Общие.

Мы не рекомендуем удалять вредоносные файлы из карантина, они могут содержать ключи для расшифровки.

Отправьте файлы на анализ

Отправьте запрос в техническую поддержку «Лаборатории Касперского» через My Kaspersky. Прикрепите к запросу зашифрованный файл и электронное письмо. Инструкцию по работе с My Kaspersky смотрите в справке.

Специалисты «Лаборатории Касперского» не могут гарантировать расшифровку поврежденных файлов.

Проведите проверку компьютера и удалите вредоносную программу

Запустите полную проверку компьютера, чтобы найти и устранить причину заражения. Если на вашем компьютере не установлено защитное решение, проведите проверку с помощью бесплатных программ «Лаборатории Касперского»: Kaspersky Free, Kaspersky Rescue Disk или Kaspersky Virus Removal Tool. 

Как Dharma-ETH Ransomware заразил ваш компьютер

Dharma-ETH Ransomware использует спам-рассылку с вредоносными вложениями .docx. Такие вложения имеют вредоносный макрос, которые открываются, когда пользователь открывает файл. Этот макрос загружает исполняемый файл с удаленного сервера, что, в свою очередь, начинает процесс шифрования. Вирус также может использовать службы удаленного рабочего стола, чтобы проникнуть на ПК жертвы

Важно знать, что этот вымогатель может шифровать сетевые диски, общие диски хоста виртуальной машины, и несопоставленные сетевые ресурсы. Необходимо контролировать доступ к сетевым ресурсам

После шифрования, теневые копии файлов удаляются с помощью команды: vssadmin.exe vssadmin delete shadows /all /quiet. Вирус присваивает определенный идентификатор жертвам, это используется, чтобы назвать эти файлы и предположительно для отправки ключа расшифровки. Для того чтобы предотвратить инфекцию этим типом угроз в будущем, мы рекомендуем Вам использовать WiperSoft Anti-Spyware и BitDefender Anti-Ransomware.

So entschlüsseln Sie Dateien mithilfe von Kaspersky RakhniDecryptor

  1. Laden Sie das Archiv RakhniDecryptor.zip herunter und entpacken Sie es. Die Anleitung ist im Artikel.
  2. Öffnen Sie den Ordner mit extrahierten Dateien.
  3. Öffnen Sie die Datei RakhniDecryptor.exe.
  4. Klicken Sie auf Change parameters.

  1. Wählen Sie die zu untersuchenden Objekte (Festplatten / Wechseldatenträger / Netzlaufwerke).
  2. Aktivieren Sie das Kontrollkästchen Delete crypted files after decryption. Dabei werden Kopien verschlüsselter Dateien mit zugewiesenen Erweiterungen LOCKED, KRAKEN, DARKNESS usw. löschen.
  3. Klicken Sie auf OK.

  1. Klicken Sie auf Start scan.

  1. Wählen Sie eine verschlüsselte Datei aus und klicken Sie auf Öffnen.

  1. Lesen Sie die Warnung und klicken Sie auf ОК.

Dateien werden entschlüsselt.

Eine Datei mit der Erweiterung CRYPT kann mehrfach verschlüsselt werden. Wenn z. B. die Datei test.doc zweimal verschlüsselt ist, entschlüsselt das Hilfsprogramm RakhniDecryptor die erste Schicht in die Datei test.1.doc.layerDecryptedKLR. Im Bericht des Hilfsprogramms wird der folgende Eintrag angezeigt: „Decryption success: Laufwerk:\Pfad\test.doc_crypt -> Laufwerk:\Pfad\test.1.doc.layerDecryptedKLR“. Diese entschlüsselte Datei muss noch einmal mit dem Hilfsprogramm entschlüsselt werden. Bei erfolgreicher Entschlüsselung wird die Datei unter dem ursprünglichen Namen test.doc gespeichert.

Что такое VoidCrypt Ransomware

Предполагается, что это еще одна версия STOP (DJVU) Ransomware, VoidCrypt это вредоносная программа, которая шифрует личные данные, присваивая .void расширение. Первоначально, этот вирус использовал расширение .dewar до тех пор, пока не вышла новая версия с расширением “.void”. На самом деле, между ними нет никакой разницы, потому что процесс шифрования выглядит одинаково. После успешного шифрования, стандартный 1.mp4 будет переименован в 1.mp4..void , включающий в себя электронную почту мошенников и уникальный идентификатор. После этого, VoidCrypt создает текстовое уведомление, которое информирует пользователей о шифровании. После завершения процесса шифрования вымогатель создает и открывает следующую записку выкупа, под названием Decryption-Info.HTA:

Чтобы разблокировать затронутые данные, пользователи должны связаться с вымогателями по электронной почте и приложить свой личный идентификатор. После, они назовут цену для получения ПО для расшифровки. Несмотря на то, что вы можете отправить пару файлов для тестовой расшифровки, все равно рискованно делать полный платеж после этого. На данный момент, ни один из сторонних инструментов не может расшифровать данные VoidCrypt. Вы можете только удалить его, чтобы обеспечить дальнейшую безопасность ваших файлов.

Что такое GlobeImposter 2.0 Ransomware

GlobeImposter 2.0 Ransomware это второе поколение вируса-вымогателя шифрующего файлы GlobeImposter. Имя “GlobeImposter” первоначально было дано ему сервисом по идентификации крипто-вымогателей под названием “ID-Ransomware”, из-за присвоения вымогателями “фирменной” записки о выкупе от семейства вымогателей Globe. Цель состояла в том, чтобы запугать жертв, запутать исследователей, дискредитировать программы дешифровки, выпущенные для семейства Globe. Следовательно, все Globe-имитаторы, которые не расшифровываются утилитами для дешифрования, выпущенными для Globe 1-2-3, получили условное название GlobeImposter, и после этого – GlobeImposter 2.0. Вирус может быть обнаружен с помощью различных антивирусных программ, как Trojan.Encoder.7325, Trojan.Encoder.10737, Trojan.Encoder.11539, Ransom_FAKEPURGE.A или Ransom.GlobeImposter. До сегодняшнего дня различные версии GlobeImposter 2.0 использовали различные виды расширений файлов. Вот список расширений, использованных в 2018 только (начиная с последнего обнаруженного):

Показать больше
Показать меньше

После окончания процесса шифрования, GlobeImposter 2.0 Ransomware может создавать текстовые файлы со следующими именами: how_to_back_files.html, README.html, $DECRYPT$.html, doc.html, HOW_TO_RECOVER_FILES.html, READ_IT.html, How to restore your files.hta, Read_For_Restore_File.html, read_me.txt, How_to_decrypt_files.html, Restore-My-Files.txt и тому подобное. Пример сообщения в записке о выкупе:

Вирус помещает это файлы в каждой папке с поврежденными файлами. Этот текстовый файл содержит инструкции для оплаты выкупа, где злоумышленники призывают пользователей связаться с ними по электронной почте: assistance@airmail.cc, aid1@cock.li, sambuka_star@aol.com и много других. cумма выкупа составляет где-то между $50 и $10000 и должны быть оплачена в биткоинах. Последняя обнаруженная версия (.pptm) вымогает 0.19 биткоина и удваивает сумму, если она не выплачивается 48 часов. GlobeImposter 2.0 Ransomware не дешифруется в данный момент, и единственный способ вернуть ваши файлы — из резервных копий. Пожалуйста, не платите хакерам, так как нет никакой гарантии, что они вышлют вам ключ дешифрования. Кроме того, некоторые пользователи, которые заплатили выкуп, отмечают, что после “дешифратор” отправленного злоумышленниками много файлов выходят поврежденными. Возможно, некоторые файлы могут быть восстановлены с помощью программного обеспечения для восстановления файлов. Пожалуйста, отметьте, что время от времени антивирусные компании и отдельные исследователи в области безопасности и энтузиасты выпускают полно или частично функциональные дешифраторы для различных видов вымогателей. Если вы не можете восстановить файлы в данный момент, сохраните их и дождитесь дешифратора. Используйте это пособие, чтобы удалить GlobeImposter 2.0 Ransomware и расшифровать .eztop, .tabufa, или .forcrypt файлы в Windows 10, Windows 8, Windows 7.

GlobeImposter 2.0 Ransomware (assistance@airmail.cc) GlobeImposter 2.0 Ransomware (..crypt) GlobeImposter 2.0 Ransomware (.irestorei расширение) GlobeImposter 2.0 Ransomware (.{incredible0ansha@tuta.io}.ARA) GlobeImposter 2.0 Ransomware (.FORESTGUST расширение) GlobeImposter 2.0 Ransomware (.ONYX расширение) GlobeImposter Ransomware (.eztop) GlobeImposter Ransomware (.systems32x) GlobeImposter Ransomware (.tabufa)

Как защитить компьютер от вирусов, таких как STOP Ransomware в будущем

1. Установите специальное программное обеспечение против крипто-вымогателей

Используйте BitDefender Anti-Ransomware

Известный разработчик антивирусных продуктов BitDefender выпустил бесплатный инструмент, который поможет вам с активной защитой от крипто-вымогателей, в качестве дополнительного щита для вашей текущей защиты. Он не будет конфликтовать с другими приложениями для безопасности. Если вы ищете комплексное решение для интернет-безопасности, рассмотрите обновление до полной версии BitDefender Internet Security 2018.

Скачать BitDefender Anti-Ransomware

2. Резервное копирование файлов

Вне зависимости от успеха защиты от вымогателей, Вы можете сохранить файлы с помощью простого резервного копирования онлайн. Облачные сервисы довольно быстры и дешевы в настоящее время. Есть больше смысла использовать онлайн-резервное копирование, чем создание физических дисков, которые могут заразиться и шифруются при подключении к ПК или получить повреждение от падения или удара. Windows 10 и 8/8.1 пользователи могут найти предварительно установленное решение для резервного копирования OneDrive от Microsoft. Это на самом деле одна из лучших служб резервного копирования на рынке, и имеет разумные тарифные планы. Пользователи более ранних версий могут ознакомиться с ним тут. Убедитесь, что для резервного копирования и синхронизации подготовлены наиболее важные файлы и папки в OneDrive.

3. Не открывайте спам-письма и защищайте свой почтовый ящик

Вредоносные вложения в спам или фишинг письма электронной почты являются наиболее популярным методом распространения крипто-вымогателей. Использование спам-фильтров и создание правил защиты от спама является хорошей практикой. MailWasher Pro — один из мировых лидеров в области защиты от спама. Он работает с различными десктопными приложениями, и обеспечивает очень высокий уровень защиты от спама.

Скачать MailWasher Pro

Общие рекомендации

Установите защитное решение

Продукты «Лаборатории Касперского» с актуальными антивирусными базами блокируют атаки и установку вредоносных программ. В состав последних версий продуктов входит компонент Мониторинг активности, который автоматически создает резервные копии файлов, если подозрительная программа пытается получить к ним доступ.

Создавайте резервные копии файлов и храните их вне компьютера

Для защиты информации от вредоносных программ и повреждений компьютера создавайте резервные копии файлов и храните их на съемном носителе или в онлайн-хранилище.

Устанавливайте обновления

Своевременно обновляйте операционную систему и установленные программы. После обновления повышается их безопасность, стабильность и производительность, а также устраняются существующие уязвимости. 

Если на вашем устройстве установлена программа «Лаборатории Касперского», регулярно обновляйте антивирусные базы.

Без таких обновлений программа не сможет быстро реагировать на новые вредоносные программы.

Не открывайте файлы из писем от неизвестных отправителей

Программы-шифровальщики распространяются через зараженные файлы из электронных писем. В таких письмах мошенники выдают себя за деловых партнеров или сотрудников государственных органов, а темы писем и вложения содержат важные уведомления, например, уведомление об иске из арбитражного суда. Перед открытием электронного письма и вложенного файла внимательно проверяйте, кто является отправителем.

Einstellungen für den Start des Hilfsprogramms über die Eingabeaufforderung

Damit Dateien schneller entschlüsselt werden können, unterstützt Kaspersky RakhniDecryptor folgende Befehle für die Befehlszeile:

Befehlsname Bedeutung Beispiel
–threads Der Start des Hilfsprogramms zum Knacken des Kennworts in mehreren Threads. Wenn die Einstellung nicht angegeben ist, stimmt die Anzahl der Threads mit der Zahl der Prozessorkerne überein. RakhniDecryptor.exe –threads 6
–start <Zahl> –end <Zahl>

Wiederaufnahme der Suche nach dem Kennwort ab einem bestimmten Wert. Die minimal zulässige Zahl ist 0.

Stoppen der Suche nach dem Kennwort nach einem bestimmten Wert. Die maximal zulässige Zahl ist 1 000 000.

Die Suche nach dem Kennwort in einem bestimmten Bereich von Werten.

RakhniDecryptor.exe –start 123

RakhniDecryptor.exe –end 123

RakhniDecryptor.exe –start 100 –end 50000

-l <Dateiname und der vollständige Pfad zur Datei> Angabe des Pfades zur Datei für die Speicherung des Berichts des Hilfsprogramms. RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h Anzeige der Hilfe zu verfügbaren Parametern der Eingabeaufforderung. RakhniDecryptor.exe -h

Как расшифровать файлы утилитой Kaspersky RakhniDecryptor

  1. Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье.
  2. Перейдите в папку с файлами из архива.
  3. Запустите файл RakhniDecryptor.exe.
  4. Нажмите Изменить параметры проверки.

  1. Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
  2. Установите флажок Удалять зашифрованные файлы после успешной расшифровки. В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
  3. Нажмите ОК.

  1. Нажмите Начать проверку.

  1. Выберите зашифрованный файл и нажмите Открыть.

  1. Прочитайте предупреждение и нажмите ОК.

Файлы будут расшифрованы.

Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Удаление вируса и восстановление зашифрованных файлов

Есть разные методы и программы, позволяющие работать с XTBL-шифровальщиком. Одни удаляют сам вирус, другие пытаются расшифровать заблокированные файлы или восстановить их предыдущие копии.

Прерывание заражения компьютера

Если вам посчастливилось заметить начало появления на компьютере файлов с расширением .xtbl, то процесс дальнейшего заражения вполне реально прервать.

  1. Вначале отключите интернет. Для этого достаточно физически отсоединить кабель от сетевой карточки и роутера, подключённых к компьютеру. Сделать это можно и программно, деактивировав действующее сетевое подключение через вкладку «Сетевые подключения» на панели управления.
  2. После этого запустите диспетчер задач, нажав комбинацию Delete+Ctrl+Alt.
  3. На вкладке выберите и завершите подозрительные процессы.
  4. Теперь отключите программы, запускаемые автоматически.

Kaspersky Virus Removal Tool для удаления XTBL-шифровальщика

Все подобные программы следует открывать в ОС, предварительно запущенной в безопасном режиме с вариантом загрузки сетевых драйверов. В этом случае вирус удалить гораздо проще, так как подключено минимальное число системных процессов, необходимых для запуска Windows.

Программа Kaspersky Virus Removal Tool прекрасно распознаёт XTBL-шифровальщик и удаляет этот тип вируса. Запустите проверку компьютера, нажав соответствующую кнопку после загрузки утилиты. По окончании сканирования удалите обнаруженные вредоносные файлы.

Утилита Dr.Web CureIt!

Алгоритм проверки и удаления вируса практически ничем не отличается от предыдущего варианта. Просканируйте с помощью утилиты все логические диски. Для этого достаточно лишь следовать командам программы после её запуска. По окончании процесса избавьтесь от заражённых файлов, нажав кнопку «Обезвредить».

Malwarebytes Anti-malware

Программа осуществит поэтапную проверку вашего компьютера на наличие вредоносных кодов и уничтожит их.

  1. Установите и запустите утилиту Anti-malware.
  2. Выберите внизу открывшегося окна пункт «Запустить проверку».
  3. Дождитесь окончания процесса и отметьте галочками чекбоксы с заражёнными файлами.
  4. Удалите выбранное.

Онлайн-скрипт-дешифратор от Dr.Web

На официальном сайте Dr.Web в разделе поддержки есть вкладка с размещённым скриптом онлайн-расшифровки файлов. Следует учитывать, что воспользоваться дешифратором в режиме онлайн смогут только те пользователи, на компьютерах которых установлен антивирус этого разработчика.

Утилита-дешифратор RectorDecryptor от Лаборатории Касперского

Расшифровкой файлов занимается и Лаборатория Касперского. На официальном сайте можно скачать утилиту RectorDecryptor.exe для версий Windows Vista, 7, 8, пройдя по ссылкам меню «Поддержка — Лечение и расшифровка файлов — RectorDecryptor — Как расшифровать файлы». Запустите программу, выполните проверку, после чего удалите зашифрованные файлы, выбрав соответствующий пункт.

Восстановление зашифрованных файлов из резервной копии

Начиная с версии Windows 7 можно попытаться восстановить файлы из резервных копий.

  1. Откройте Панель управления.
  2. На вкладке, отвечающей за архивацию и восстановление, выберите функцию восстановления файлов, нажав соответствующую кнопку.
  3. В открывшейся вкладке выберите файлы для восстановления и дату, после чего нажмите «Далее».
  4. Отметьте, куда следует сохранять восстановленные файлы, и нажмите кнопку «Восстановить»

ShadowExplorer для восстановления зашифрованных файлов

Программа представляет собой вариант portable, её можно загружать с любого носителя.

  1. Запустите ShadowExplorer.
  2. Выберите нужный диск и дату до появления на компьютере зашифрованных файлов.
  3. В правой части открытого окна программы отметьте мышкой восстанавливаемый файл или каталог.
  4. В контекстном меню правой кнопкой мыши нажмите пункт Export, выберите место сохранения восстанавливаемого ресурса.
  5. Кликните Enter.

QPhotoRec

Программа специально создана для восстановления повреждённых и удалённых файлов. Используя встроенные алгоритмы, утилита находит и возвращает к исходному состоянию всю потерянную информацию.

К сожалению, есть только англоязычная версия QPhotoRec, но разобраться в настройках совсем несложно, интерфейс интуитивно понятен.

  1. Запустите программу.
  2. Отметьте логические диски с зашифрованной информацией.
  3. Нажмите кнопку File Formats и OK.
  4. Выберите с помощью кнопки Browse, расположенной в нижней части открытого окна, место сохранения файлов и запустите процедуру восстановления, нажав Search.

Что это

Очередная бесплатная утилита, созданная Kaspersky специально для борьбы с шифровальщиками, а также подбора пароля к зараженным файлам. RectorDecryptor можно бесплатно скачать с официального сайта, установка не требуется. Утилита, главным образом, борется с троянами типа Trojan-Ransom.Win32.Rector. Он зашифровывает документы, архивы, картинки и так далее. Данные, подвергшиеся атаке, получают расширения: .bloc, .infected, .vscrypt, .korrektor. Их невозможно открыть ни одной программой, не поможет и удаление дополнительного расширения в названии. Старые версии трояна хорошо подвергаются лечению и расшифровке утилитой.

Программы, которые блокируют доступ к ресурсам операционной системы

Вредоносные программы из этой категории блокируют доступ к ресурсам операционной системы. В результате действия такой программы вы увидите на экране требование о выкупе, которое нельзя закрыть или свернуть:

Способ 1

Воспользуйтесь бесплатной утилитой Kaspersky WindowsUnlocker для разблокировки операционной системы Windows. Утилита входит в состав Kaspersky Rescue Disk.

Способ 2

Если у вас нет возможности скачать и запустить утилиту «Лаборатории Касперского», завершите вредоносный процесс вручную. Если компьютер находится в сети, удаленно подключитесь к компьютеру с помощью стандартного средства администрирования WMIC (Windows Management Instrumentation Command-line):

  1. На удаленном компьютере нажмите Win+R на клавиатуре. Инструкция по подключению к удаленному компьютеру на сайте поддержки Microsoft.
  2. Введите команду cmd и нажмите ОК.
  3. Выполните команду:
  • wmic /NODE:<имя компьютера или сетевой адрес> /USER:<имя пользователя на зараженной машине>
  • Например, wmic /NODE:192.168.10.128 /USER:Analyst.
  1. Введите пароль пользователя заблокированного компьютера.
  2. Выполните команду process.
  3. Найдите в списке подозрительный процесс, который не относится к операционной системе и программам. Например, aers0997.exe.

  1. Выполните команду:
  • process where name=”<имя зловредного процесса>” delete
  • Например, process where name=”aers0997.exe” delete.
  1. Дождитесь исчезновения окна с требованием выкупа на заблокированном компьютере.

Для предотвращения угроз в будущем установите программу «Лаборатории Касперского» для защиты от интернет-угроз и проведите проверку компьютера.

Способ 3

Если предыдущие способы лечения не помогли, восстановите Windows с помощью встроенных возможностей системы.

Инструкции:

  • Для Windows 7 на сайте поддержки Microsoft.
  • Для Windows 8 на сайте поддержки Microsoft.
  • Для Windows 10 на сайте поддержки Microsoft.

Способ 4

Этот способ подходит для продвинутых пользователей Windows.

Вы можете вручную удалить вредоносную программу в Безопасном режиме:

  1. Загрузите компьютер в Безопасном режиме.
  2. В меню запуска выберите Безопасный режим с запуском командной строки (Safe mode with Command Prompt).
  3. Дождитесь загрузки системы в Безопасном режиме.
  4. Введите пароль для входа в систему.

После ввода пароля появится окно командной строки. Из окна командной строки вы можете запустить любую утилиту и программу. Для поиска вредоносной программы воспользуйтесь бесплатной утилитой Autoruns.

Если рекомендации выше не помогли, отправьте запрос в техническую поддержку «Лаборатории Касперского» через My Kaspersky.  

Инструкцию по работе с My Kaspersky смотрите в справке.

Как защититься от вредоносного ПО

В условиях, когда вредоносное ПО становится все более совершенными, а мы все больше своих личных данных храним в Интернете, угроза того, что вредоносные программы украдут нашу конфиденциальную информацию и используют ее в мошеннических целях, никогда не еще была более реальной.

Есть несколько способов защитить себя. Следуйте приведенным ниже рекомендациям; они помогут предотвратить заражение ваших устройств вредоносными программами и не дать им возможности получить доступ к вашей личной информации.

Используйте антивирусную защиту

Обеспечьте безопасность своего устройства с помощью Kaspersky Anti-Virus. Наше передовое защитное решение автоматически проверяет ваш компьютер на наличие угроз. Если ваша система окажется зараженной вредоносным ПО, наша технология удалит его с вашего устройства и сообщит вам об этом.

Установите защитное решение на ваш смартфон

Смартфоны — это по сути небольшие компьютеры, которые помещаются в вашем кармане. Поскольку многие из нас пользуются смартфонами едва ли не чаще чем ноутбуками или настольными компьютерами, то следует помнить, что эти устройства также подвержены заражению вредоносным ПО. Следовательно, смартфоны, как и компьютеры, необходимо защитить от возможных вредоносных атак.

Для максимальной защиты смартфона мы рекомендуем Kaspersky Antivirus для Android или Kaspersky Security Cloud для iOS, если вы пользователь iPhone.

Скачивайте приложения только с доверенных сайтов

Чтобы снизить риск заражения вредоносным ПО, скачивайте приложения, программное обеспечение или мультимедийные файлы только с доверенных сайтов. Пользуйтесь Google Play Store на Android или App Store для iPhone. Помните: загружая файлы или приложения с незнакомых сайтов, вы, скорее всего, загрузите и вредоносное ПО, даже не подозревая об этом.

Проверяйте описания разработчиков

Хотя и редко, но бывает, что вредоносное ПО из сети попадает на сайты, пользующиеся хорошей репутацией. Поэтому всегда читайте информацию о разработчике в описании. Вам известен этот девелопер? Нет — поищите отзывы о нем в Google. Ничего не нашли — в целях безопасности не скачивайте файлы с этого сайта.

Сигналом тревоги для вас должны стать только положительные отзывы о приложении или программе: как правило, в настоящих отзывах отмечаются как положительные, так и отрицательные аспекты приложения.

Проверяйте количество скачиваний

Приложения, зараженные вредоносным ПО, вряд ли будут иметь тысячи скачиваний, тогда как приложения с миллионами загрузок с меньшей долей вероятности являются вредоносными. Если приложение популярно (с большим количеством отзывов и загрузок), можно не беспокоиться — риск того, что оно вредоносное, будет значительно ниже.

Проверяйте запрашиваемые разрешения

Посмотрите, какие разрешения требует от вас приложение или программное обеспечение. Запрашиваемые разрешения кажутся вам разумными? Если вы считаете, что запрашиваемые разрешения не являются необходимым для работы приложения или программы, будьте осторожны – не скачивайте приложение или удалите его, если вы его уже установили.

Не нажимайте на непроверенные ссылки

Не нажимайте на непроверенные ссылки в спам-рассылках, сообщениях или на подозрительно выглядящих веб-сайтах. Нажатие на зараженную ссылку может автоматически запустить загрузку вредоносного ПО.

Помните, что ваш банк никогда не попросит вас отправить им ваше имя пользователя и пароль по электронной почте. Если вы получили письмо с подобной просьбой, не открывайте его, не передавайте свою информацию (даже если это письмо выглядит легитимным) и немедленно свяжитесь с банком, чтобы перепроверить информацию.

Регулярно обновляйте операционную систему и приложения

Регулярное обновление операционной системы важно для защиты от вредоносных программ. Это означает, что ваше устройство использует последние обновления безопасности

Важно так же регулярно обновлять приложения на ваших устройствах. Это позволяет разработчику приложения или программного обеспечения исправлять любые обновления безопасности, чтобы защитить ваши устройства и данные

Не игнорируйте это правило: хакеры и вредоносные программы как раз и рассчитывают на то, что вы не обновите свои приложения, и тем самым дадите им возможность использовать лазейки в программном обеспечении для получения доступа к вашим устройствам.

Никогда не пользуйтесь чужими USB-устройствами

Никогда не вставляйте чужое USB-устройство в свой ноутбук или настольный компьютер – оно может быть заражено вредоносным ПО.

Где могут храниться файлы программ-шифровальщиков

Windows NT/2000/XP — Диск:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data

Windows Vista/7/8/10 — Диск:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local 

TEMP (временный каталог)

%TEMP%\xxxxxxx.tmp\, где x — символы a-z, 0-9

%TEMP%\xxxxxxx.tmp\xx\, где x — символы a-z, 0-9

%TEMP%\xxxxxxx\, где x — символы a-z, 0-9

%WINDIR%\Temp

Временный каталог Internet Explorer

Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\ 

Windows Vista/7/8/10 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, где x — символы a-z, 0-9

Рабочий стол

%UserProfile%\Desktop\

Корзина

Диск:\Recycler\             

Диск:\$Recycle.Bin\  

Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000, , где x — символы 0-9

Системный каталог

%WinDir%                                                      

%SystemRoot%\system32\

Каталог документов пользователя

%USERPROFILE%\Мои документы\

%USERPROFILE%\Мои документы\Downloads

Каталог для скачивания файлов в веб-браузере

%USERPROFILE%\Downloads  

Каталог автозагрузки

%USERPROFILE%\Главное меню\Программы\Автозагрузка

Файлы на компьютере зашифрованы в xtbl

Один из последних вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.

Заодно на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием: «Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес deshifrator01@gmail.com, decoder101@gmail.com или deshifrovka@india.com. Далее вы получите все необходимые инструкции. Попытки расшифровать файлы самостоятельно приведут к безвозвратной потере информации» (адрес почты и текст могут отличаться).

К сожалению, способа расшифровать .xtbl на данный момент нет (как только он появится, инструкция будет обновлена). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5000 рублей или другую требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.

Что делать, если файлы были зашифрованы в .xtbl? Мои рекомендации выглядят следующим образом (но они отличаются от тех, что есть на многих других тематических сайтах, где, например, рекомендуют немедленно выключить компьютер из электросети или не удалять вирус. На мой взгляд — это лишнее, а при некотором стечении обстоятельств может быть даже вредным, однако решать вам.):

  1. Если умеете, прервать процесс шифрования, сняв соответствующие задачи в дисптечере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
  2. Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
  3. С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
  4. Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
  5. Можно так же отправить пример зашифрованного файла и требуемый код на newvirus@kaspersky.com, если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.

Чего делать не следует:

Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.

Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением .xtbl на данный момент времени.

Пленных не брать, незашифрованных не оставлять

В выборе файлов-«заложников» KeyPass тоже непритязателен. Если многие шифровальщики предпочитают портить документы с определенными расширениями, то этот обходит стороной только несколько папок, обозначенных в его «черном списке». Все остальное содержимое компьютера он превращает в абракадабру с расширением .KEYPASS. На самом деле он шифрует файлы не целиком, а только первые пять мегабайт в самом начале каждого из них, но легче от этого не становится.

В «обработанных» директориях зловред оставляет записку в формате .TXT, в которой его авторы на не очень грамотном английском требуют приобрести специальную программу и индивидуальный ключ для восстановления файлов. Чтобы жертва могла убедиться, что не потратит деньги впустую, ей предлагают отправить злоумышленникам от одного до трех небольших файлов, которые те обещаются расшифровать бесплатно.

Интересная особенность: если на момент начала работы зловреда компьютер по каким-то причинам не был подключен к Интернету, то KeyPass не сможет получить от командного сервера персональный ключ шифрования. Тогда он использует записанный прямо в коде программы ключ, то есть расшифровать файлы в этом случае можно без каких-либо проблем – за ключом далеко ходить не надо. В остальных случаях так легко не отделаться – несмотря на довольно простую реализацию шифрования, ошибок мошенники не допустили.

В известных нам случаях зловред действовал автоматически, однако его авторы предусмотрели возможность ручного управления. Они явно рассчитывают на то, что KeyPass можно распространять и вручную, то есть планируют использовать его для таргетированных атак. Если злоумышленник получает возможность подключиться к компьютеру жертвы удаленно и загрузить туда шифровальщик, то по нажатии специальной клавиши он может вызвать специальную форму. В ней он может поменять параметры шифрования, в том числе список папок, которые KeyPass не трогает, а также текст записки и индивидуальный ключ.

Как не бояться шифровальщиков

Поскольку программу для расшифровки файлов, попорченных вымогателем KeyPass, пока не разработали, то единственный способ от него защититься – не допустить заражения. Да и в любом случае проще сразу подстраховаться, чем потом долго и мучительно разгребать последствия – так тратится куда меньше сил и нервов. Поэтому мы рекомендуем несколько простых мер по защите от шифровальщиков, которые подходят в том числе и против KeyPass:

  • Не скачивайте неизвестные программы с сомнительных сайтов и не переходите по ссылкам, если они вызывают у вас хотя бы малейшие подозрения. Это поможет вам избежать большей части зловредов, гуляющих по Сети.
  • Обязательно делайте резервные копии важных файлов. О том, как, куда и как часто надо делать бекапы, вы можете узнать из вот этого поста.

Пользуйтесь надежным защитным решением, которое распознает и заблокирует подозрительную программу прежде, чем она сможет нанести вред вашему компьютеру. Kaspersky Internet Security, например, содержат специальный модуль для борьбы с шифровальщиками.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий