+7 (499) 653-94-99
35

Зашифрованные файлы

Игра в шпионов
Начиная с 2009 года одной из самых массовых интернет-угроз были троянцы-блокировщики, которые блокировали вход в Windows (Trojan.Winlock) или окно браузера (Trojan.Browseban). Их эпидемия пошла на спад в 2012 году, но тут же им не смену пришла новая разновидность троянцев – шифровальщики (Trojan.Encoder). Распространяясь, подобно другим вредоносным программам под видом полезного ПО, шифровальщики при запуске на компьютере пользователя начинают постепенно и методично шифровать все файлы на жестких дисках ПК. И, к сожалению, заражение прогрессирует очень быстрыми темпами, и больше всего заражению подвергаются пользователи из России (статистика с Хабра (http://habrahabr.ru)).

На начальных этапах работа троянца-шифровальщика может быть не заметна. Точнее – до тех пор, пока пользователю не потребуется открыть один из файлов, которые троянец уже успел зашифровать. В этот момент и обнаруживается, что вместо файла с расширением, к примеру, *.docx имеется файл с расширением *.encripted (или одним из тысяч других, иногда расширение в разы длиннее имени файла), работать с которым невозможно. Положение усугубляется тем, что шифруются именно файлы данных, а не исполняемые файлы программ, то есть в первую очередь под удар попадают картинки, тексты, музыка и файлы баз данных.

В определенный момент троянец может и сам проявиться, отобразив на экране сообщение, аналогичное приведенному на рисунке.

Если троянец уже проявил себя – значит дело плохо и зашифрована большая часть ваших файлов. Самостоятельно пытаться восстановить данные в большинстве случаев будет бесполезно (если не компьютерный гений из американского фильма) и игра в «Энигму» приведет лишь к тому, что восстановить данные станет совершенно не возможно. Единственное, что вы можете сделать – это пройтись через Проводник по корневым папкам жестких дисков, а также по папкам с зашифрованными файлами в поисках текстовых документов с «говорящими» названиями вида «Прочти это!», «ДЛЯ РАСШИФРОВКИ» и т.д. Они понадобятся для устранения работы троянца.

Платить злоумышленникам, да даже просто связываться с ними, отсылая что-то (даже сердитые тирады) на указанные в файлах или на экране адреса электронной почты – совершенно ни к чему. Они расскажут как расшифровать файлы за достаточно крупную сумму денег. Т.е. заплатить выкуп за дешифратор. Мы пойдем другим путем.

Нанимаем специалистов…
… и помогаем им. Гадостная особенность Trojan.Encoder, что в борьбе с ним специалистам зачастую нужна помощь пользователя, пусть даже и минимальная. Начнем по порядку, чтобы сохранить возможность восстановить файлы, недопустимо:

Проверять и лечить компьютер с помощью антивируса или утилит типа CureIt! (или аналогичных).
Переустанавливать Windows.
Перемещать/копировать или удалять любые (в том числе не зашифрованные) файлы.
Переименовать и удалять созданные вирусом файлы (даже подозрительные – лучше не рисковать).
Очищать историю браузера.
Кстати, если вы решили, что нет смысла тратить время и платить специалистам по расшифровке, вот несколько фактов для осмысления:

Злоумышленники требуют за выдачу дешифратора или ключей для расшифровки от 100 до 500 долларов (иногда и евро).
Шанс, что вам после оплаты отправят ключ для расшифровки – порядка 50%.
Шанс, что возможность расшифровки вообще была предусмотрена – тоже 50%.
Все действия по расшифровке, даже при наличии ключа, вам придется совершать самостоятельно. Вероятность ошибиться и испортить все – весьма велика.
Если вы хотите воспользоваться услугами бесплатной расшифровки от антивирусных вендоров, то вам необходимо быть их клиентом, то есть иметь лицензионный антивирус именно того производителя, который предлагает свой сервис расшифровки.
Бесплатные утилиты помогают расшифровать файлы примерно в 35% случаев. Не редки случаи, когда они бесполезны.
Почему мы?
Команда ITSSupport состоит по большей части из специалистов, являющихся экспертами не только в области администрирования и построения систем и сетей, но и по их защите. В ходе нашей работы в области информационной безопасности, нам приходилось иметь дело со множеством вирусов и троянцев. И борьбу с шифровальщиками мы ведем с самого начала эпидемии, добившись значительных результатов.

В подавляющем большинстве случаев (да, не в 100% случаев, гарантий в этом деле не дает никто! А давший – соврет) мы сможем полностью или частично восстановить ваши данные, используя свой опыт борьбы и собственную базу данных по вирусным инцидентам. Мы действительно знаем как расшифровать файлы. Либо поможем в их частичном восстановлении.

В некоторых случаях можно организовать удаленное устранение последствий действия шифровальщика, при этом вам не придется ничего делать самостоятельно, только предоставить доступ. Будет ли возможным удаленное восстановление – зависит от вашего везения (иными словами: от версии троянца).

Мы будем бороться с «вашим» троянцем до победного, так как совесть позволяет нам брать оплату только за сделанную работу. Таким образом вы не потратите деньги, оставшись с зашифрованными файлами.

Если вы желаете написать заявление в органы внутренних дел (да, сейчас с киберпреступностью борются очень активно!), мы поможем составить заявление и направить его в работу.

Бестиарий
За время работы, нашим специалистам много раз приходилось сталкиваться с огромным количеством разнообразных шифровальщиков. Вот неполный (может одна сотая, а может и тысячная часть) список шифровальщиков и их расширений, с которыми пользователи обращались на наш адрес support@itssupport.ru:

*.sos@rome.com_Txx
*.tutu@safrica.com_Xxx
*.banan@blader.com_xxx
*.pomogiotkosit@yahoo.com
*.zog666@yahoo.com
*.harry.codder@yahoo.com
*.uas@nonpartisan.com_IQxxx
*.decryptyoufiles@yahoo.com_enc
*.marikol8965@yahoo.com
*.mrcryptorfile@yahoo.com_crypt
*.milenium56m1@yahoo.com
*.muranchiki@yahoo.com
*.cryptxxxxxxx, chernoslik12@gmail.com
*.yourdecode@yahoo.com_enc
*.decfiles@aol.com_enc
*.decfiles@aol.com
*.encfilesos@aol.com
*.xakep@bk.ru
*.somalia@2trom.com
*.somaliajaz@aol.com
*.barbitariat
*.locked
*.decryptor2013@gmail.com
*.ironman.tony.stark.co@gmail.com
*.kraken, kraken.octopus.7dd@gmail.com
*.hardended, hardended.steel@hushmail.com
*.itstimetopay, itstimetopay@hushmail.com
*.darkness, DARKNESS.1024@aol.com
*.AFRICA@TOKE.COM_xxx
*.ZUBAGUGU@AOL.COM_xxx
*Crypted, zlovredvreditel@yahoo.com
*.mambaee@aol.com_xxx
*.zero@dbzmail.com_xxx
*.SOS@AUSI.com_xxx
DirtyDecrypt.exe
*.HELP@AUSI.COM_XQ*
*.sos@ausi.com_ZQ*
*.SAD@FIREMAN.NET_AM*
*COMODO@EXECS.COM_hex*
*.SOS@AUSI.COM_ID*
*ZANZIBAR@umpire.com_ZA*
*REDBULL@PRIEST.COM_RB*
*HELP@AUSI.COM_XO*
*.REDBULL@PRIEST.COM_RE*
*.Heinz@oaht.com_h*
*.NUMBAZA@SEZNAM.CZ_Q*
*.backspace@riseup.net_*
*.ARRESTED, razshifrovkin@gmail.com
*.SECURITY, nanosecur@gmail.com
*.perfect
*.oshit
*.qwerty
*.dalexf.11111@yandex.ru
*.numlock@riseup.net_*
.vault
.cbf
.xtbl
.amba
Чаще, конечно, расширения бывают не столь забавными и являются вариантами написания слов encrypted (зашифрован) и coded (закодирован). Надеемся, что ваши файлы будут иметь исключительно правильные расширения. А если нет – обращайтесь, мы поможем! Ведь у нас есть разные варианты ответов на вопрос «Как расшифровать файлы?».

Читайте также
01 / 03