Компьютерные системы постоянно страдают от действия вредоносных ПО — троянов и вирусов, которые шифруют все файлы пользователя.
Такие вирусы-шифровальщики попадают в систему и зашифровывают элементы, изменяя их расширение и удаляя оригинальный файл. После этого все, потенциально важные изображения, документы и прочие файлы превращаются в readme.txt, в котором написано, что все данные были зашифрованы и владелец их получит только после перечисления определенной суммы на указанный счет.
Общие рекомендации по устранению неисправности
Прежде всего, не стоит паниковать и перечислять деньги. Никто не будет расшифровывать файлы обратно, пользователь просто заплатит деньги, а его данные так и не вернутся. Если пользователь не обладает техническими способности лучше всего обратиться к мастеру, в противном случае, воспользоваться рекомендациями ниже.
Прежде всего следует скопировать файл с вымогательством средств и один-два зашифрованные элемента на флешку или другое устройство. Затем лучше всего выключить пораженный ПК (чтобы вирус перестал кодировать данные) и устранять проблему на другом устройстве.
С помощью скопированных данных на незараженном ноутбуке надо определить тип вируса-шифровальщика и приложение по раскодированию. Следует знать, что сегодня не существует программ для раскодирования всех известных вирусов, поэтому следует принять ту мысль, что возможно придется купить у злоумышленников программу декодировки. В любом случае, послать скопированные данные следует в лаборатории антивирусов (Касперский и др.) для изучения.
Как проводить расшифровку
Основным инструментом по исправлению сложившейся ситуации, т.е. расшифровке файлов являются программы-дешифровальщики, который удаляют вирус и возвращают файлам их первоначальное расширение. Их можно найти на различных ресурсах от разработчиков средств безопасности.
No More Ransom
No More Ransom — это ресурс, на котором содержится вся доступная на сегодняшний момент информация по борьбе с вирусами-шифровальщиками.
Сайт доступен и в русской версии.
Загрузив на ресурс пример зашифрованных файлов, можно узнать программы-дешифраторы и прочую информацию для восстановления. Как им пользоваться? Достаточно просто:
- на главной странице ресурса, на вопрос о восстановлении кликнуть на кнопку «Да»;
- на странице «Крипто-шериф» загрузить скачанные заранее испорченные файлы;
- указать в соответствующем пункте адрес е-mail, написанного злоумышленниками;
- кликнуть кнопку «Проверить» и получить результат по окончанию.
Также, можно воспользоваться информацией из разделов:
- Декрипторы — тут собраны доступные утилиты для расшифровки;
- Профилактика заражения —тут вся информации о возможной защите от троянов;
- Вопросы и ответы — помощь и все доступные данные о зловредном ПО.
No More Ransom является самым современным и полезным ресурсом по расшифровке данных.
ID Ransomware
Это англоязычный сервис по расшифровке. Он также определяет тип вируса и предлагает способы по его удалению и восстановлению данных.
Пользоваться им так же просто:
- загрузить один зараженный файл;
- загрузить текстовый документ с данными от злоумышленников;
- получить тип вируса;
- найти по запросам в поисковых системах утилиту по расшифровке данных.
Программа крайне проста в использовании и уже появилась русскоязычная версия.
Что делать с файлами формата xtbl
Самым последним шифровальщиком стал вирус, который кодирует все файлы в расширение xtbl. Обычно им присваивается новое имя, состоящие из случайного набора букв и цифр.
На рабочем столе появляется баннер или файл readme.txt, где сообщается о кодировке данных и требования о выкупе. Часто указывается почтовый ящик, куда следует писать за дальнейшими инструкциями.
На сегодняшний день программисты не имеют программы или способа расшифровать подобные объекты. Лаборатории антивирусов изучают их, но пока лечения нет. Некоторые пользователи сообщают, что после перечисления денег им была выслана программа по расшифровке, но гарантий никто дать не может.
В случае заражения следует:
- прервать процесс заражения, выключив его в Диспетчере задач;
- удалить вирус, используя Malwarebytes Antimalware и Kaspersky Internet;
- ждать появления дешифратора.
Единственное, чего делать не стоит – это удалять зараженные файлы, переименовывать их или менять их расширение.
Как защититься от вирусов шифровальщиков
Сегодня операционные системы Windows выпускаются с уже встроенными программами по защите данных, так что злоумышленникам приходится очень стараться, чтобы обойти защиту. Кроме того, на компьютере обязательно должен быть установлен антивирус и его следует регулярно обновлять. Кроме этого нельзя:
- скачивать файлы с подозрительных сайтов;
- открывать e-mail от неизвестных пользователей и не скачивать никакие объекты оттуда;
- сообщать пароли от ПК посторонним.
Существуют приложения по защите от вирусов-шифровальщиков, но они не всегда бывают эффективны, поэтому следует использовать все выше перечисленные рекомендации в комплексе.