На сьогоднішній день найбільш шкідливою програмою вважається троян або вірус-шифрувальник. Деякі такі файли можна вилікувати, а інші поки неможливо. Нижче будуть представлені дії, які необхідно вживати в обох випадках, а також інструменти захисту від такого типу вірусів.
Існує кілька різновидів даного вірусу, причому постійно з`являються нові. Однак, діють вони за одним принципом. При попаданні на комп`ютер документи, зображень та інших файлів, які можуть бути важливими для користувача, шифруються, при цьому змінюється формат, а оригінал файлів віддаляється. Після цього на екрані з`являється повідомлення, що файли зашифровані, і щоб їх повернути в нормальний стан, необхідно перевести гроші на рахунок шахрая.
Дії, якщо всі потрібні дані інфіковані
Спочатку бажано ознайомитися з узагальненими даними всім, хто зіткнувся з такою проблемою на своєму ПК. Якщо все-таки інформація на комп`ютері виявилася зараженою, то турбуватися не потрібно.
Якщо є можливість, необхідно з ПК, який інфікований шифрувальником, перенести на сторонній накопичувач якийсь заражений файл, а також файл з вимогою шахрая по розшифровці. Після цього потрібно вимкнути ПК, щоб шкідливий не перекинувся на інші файли. Подальшу роботу необхідно виконувати на сторонньому комп`ютері.
Після цього необхідно з`ясувати, який вірус заразив дані. Для цього потрібно використовувати зразки зашифрованих файлів. У деяких випадках можна скористатися дешифраторами. Для інших вірусів їх ще не придумали. Однак, це не заважає переслати приклади заражених файлів в антивірусні лабораторії для перевірки.
З`ясувати, який можна розшифрувати, а який ні, можна через пошукову систему. Можна пошукати форуми, на яких обговорюється ця проблема або знайти тип шифрувальника за форматом. Крім того, в мережі стали з`являтися сервіси, які допоможуть визначити тип шифрувальника. Поки невідомо, дієві вони чи ні, але спробувати все-таки варто. Раптом допоможуть.
Якщо вдалося визначити тип шифрувальника, тоді варто пошукати в інтернеті утиліту для розшифровки даного вірусу. Для цього необхідно в пошуковику ввести сто щось схоже на: "Тип шифрувальника Decryptor".
Подібні програми поширюються виробниками антивірусів абсолютно безкоштовно. Наприклад, на сайті
лабораторії Касперського можна відшукати відразу кілька таких утиліт. Крім того, не варто соромитися звертатися за допомогою до розробника антивірусних утиліт в службу підтримки.
Але варто зазначити, що такі дії не завжди допомагають, при цьому подібні розшифровувача не завжди працездатні. При такому розкладі деякі платять шахраям, ніж допомагають їм вести свою діяльність далі. Інші користувачі звертаються за допомогою до утиліт по відновленню даних, оскільки шифрувальники видаляють оригінал файлу, а його, теоретично, можна повернути.
Дані на ПК зашифровані в формат xtbl
Даний варіант шкідливий є одним з найсвіжіших. Він підміняє файли на формат .xtbl і змінює ім`я на незрозумілий набір символів. При цьому на ПК з`являється файл readme.txt з текстом про те, що дані користувача заблоковані, і для їх розблокування слід облямувати код на якусь електронну пошту. Після чого повинна прийти інструкція щодо усунення проблеми. Якщо виконувати якісь дії без цього керівництва, можна позбутися своїх даних без можливості їх відновити.
На сьогоднішній день розшифрувати формат .xtbl можливості немає. Деякі юзери, які зберігали на своєму комп`ютері дуже важливу інформацію, відправляли зловмисникам досить великі суми грошей і отримували утиліту для розшифровки, але це не завжди закінчується таким чином. Може трапитися так, що шахраї отримують гроші, а у відповідь нічого не відправляють.
Відео: Вірус шіфровальщік.Breaking bad.
Існує багато рекомендацій на тему появи на комп`ютері файлів, зашифрованих у .xtbl. На тематичних форумах можна зустріти рекомендації відразу ж вимкнути комп`ютер або вірус не ліквідувати. Однак, такі дії зайві і можуть завдати шкоди комп`ютеру. Тому варто вчинити трохи іншим чином.
В цьому випадку необхідно перейти в диспетчер задач і зняти завдання, які стосуються шифрувальних процесу, при цьому необхідно вимкнути комп`ютер від інтернету. Після цього необхідно переписати код, який шахраї пропонують вислати на електронку. В даному випадку не потрібно його записувати на ПК в текстовий файл, оскільки він може бути зашифрований вірусом.
Після цього необхідно спробувати видалити вірус, який шифрує файли, якийсь спеціальною програмою. Для цього можна використовувати Malwarebytes Antimalware або розробки Касперського і Dr.Web. В цьому випадку можна спробувати по черзі кілька таких розробок, однак, якщо на комп`ютері є антивірус, то установка додаткового може привести до конфліктів і неправильної роботи ПК.
Після цього потрібно чекати поки, якась вийде в світ якась програма дешифратор від провідних розробників антивірусів. Крім того, є варіант переслати якийсь зашифрований файл і код на сайт Касперського. Якщо є десь оригінал зашифрованого файлу, то його бажано відіслати теж. Можливо, це допоможе швидше розшифрувати файл.
Чи не рекомендовані дії
Ні в якому разі не можна перейменовувати такі файли, змінювати їх розширення або ліквідувати їх, якщо дані представляють якусь цінність. Це все, що можна порадити при проникненні на ПК вірусу, шифруючих дані в формат .xtbl на сьогоднішній день.
Дані інфіковані better_call_saul
Одним зі свіжих вірусів-шіфровальшіков можна відзначити Better Call Saul. Він задає зашифрованих даних формат .better_call_saul. Яким чином розшифрувати дані файли невідомо поки. Користувачі, які зверталися за допомогою до лабораторії Касперського, отримали відповідь, що розшифровка поки неможлива. Однак, спробувати варто, оскільки збільшення зразків зашифрованих даних лабораторії може сприяти якнайшвидшому вирішенню проблеми.
Trojan-Ransom.Win32.Aura і Trojan-Ransom.Win32.Rakhni
Цей троянський вірус теж шифрує файли і може встановлювати кілька розширень, яких досить багато. Щоб розшифрувати дані, які потрапили під вплив цього вірусу, необхідно перейти на сайт лабораторії Касперського і завантажити звідти безкоштовний додаток RakhniDecryptor.
Крім того, на тій же сторінці можна знайти керівництво щодо застосування цієї програми. Тут можна наочно побачити, яким чином відбувається відновлення зашифрованих даних. У цьому ситуації необхідно тільки зняти позначку з пункту "Видаляти зашифровані дані після успішної розшифровки".
Відео: Вірус шифрувальник, як розшифрувати файли
Якщо в розпорядженні є ліцензійна антивірусна програма Dr.Web, тоді можна вдатися до допомоги його додатки для розшифровки. Скористатися нею можна на офіційній сторінці техдопомоги компанії.
Різновиду вірусу-шифрувальника
На так часто, але все одно можуть зустрічатися різні трояни, які шифрують файли і вимагають за розшифровку гроші. Нижче представлені способи їх усунення, а також посилання, звідки можна завантажити додаток для розшифровки і ознайомитися з ознаками, які свідчать про присутність на комп`ютері подібних паразитів.
Однак, найбільш відповідним в даному випадку способом є перевірка комп`ютера за допомогою антивірусу Касперського, щоб з`ясувати назву трояна по базі даної компанії, а потім шукати програму для вирішення проблеми.
Якщо на комп`ютері з`явився Trojan-Ransom.Win32.Rector, тоді варто використовувати додаток RectorDecryptor для усунення проблеми. На сайті компанії Касперського можна відшукати програму і інструкцію до неї.
При виявленні Trojan-Ransom.Win32.Xorist, який видає вікно з пропозицію відправити СМС або переслати на електронку лист для отримання відповіді з керівництвом щодо усунення проблеми. В даному випадку знову ж можна звернутися до ресурсу Касперського, де є додаток XoristDecryptor.
Для усунення вірусів Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury необхідно завантажити додаток RannohDecryptor все з того ж сайту. Віруси Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 і інші з подібним ім`ям, але з іншими цифрами - досить складні. В даному випадку можна пошукати рішення в глобальній мережі по імені вірусу. Деякі з них можна усунути за допомогою програми від Dr.Web. крім того, при наявності ліцензії можна скористатися офіційним засобом від даної компанії.
Щоб вилікувати дані після діяльності вірусу CryptoLocker, необхідно перейти на ресурс https://decryptcryptolocker.com. Відправивши на нього приклад інфікованих даних, у відповідь прийде ключ і програму для усунення проблеми.
На інтернет-ресурсі https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads можна знайти великий архів з даними про різних шкідливий-шифрувальник і програмами для їх усунення. Правда, сайт англійською мовою.
Варто відзначити, що лабораторії Касперського разом з програмістами з Голландії створили програму Ransomware Decryptor, яка здатна розшифровувати файли після діяльності CoinVault, однак, вітчизняних користувач цей вірус ще не турбував.
Захист від вірусів шифрувальників або ransomware
Оскільки вірус Ransomware останнім часом стає все більш поширеним, багато виробників антивірусного ПЗ почали створювати власні інструменти боротьби з цим шкідливий. Багато з них поки знаходяться на стадії тестування і здатні протистояти не всім вірусам подібного типу, але поширюються безкоштовно.
Але є додаток WinAntiRansom, що розповсюджується на платній основі, і здатне знешкоджувати практично всі типи ransomware, при цьому може надавати захист локальних і мережевих дисків.
Однак, ці утиліти нездатні розшифровувати файли, а тільки можуть запобігти шифрування. Взагалі то, хотілося, щоб такі функції присутні в антивірусних утилітах. А так, виходить, що користувач повинен тримати на ПК антивірусну утиліту, програму для боротьби з шкідливим ПЗ, а тепер і додаток для боротьби Anti-ransomware і Anti-exploit.
Ось, в принципі, і все, що необхідно знати про шифрування файлів. Якщо дотримуватися всіх вищеописаних рекомендацій можна уникнути плачевних наслідків. Не варто відправляти гроші зловмисникам, оскільки можна не отримати у відповідь дешифратор. У будь-якому випадку, при появі даної проблеми рекомендується звертатися за допомогою до просунутим антивірусним компаніям.
