ИТ поддержка вашего бизнеса

+7 (499) 653-94-99

Заказать звонок

Зашифрованные файлы. Проблема и методы решения

Игра в шпионов

Начиная с 2009 года одной из самых массовых интернет-угроз были троянцы-блокировщики, которые блокировали вход в Windows (Trojan.Winlock) или окно браузера (Trojan.Browseban). Их эпидемия пошла на спад в 2012 году, но тут же им не смену пришла новая разновидность троянцев – шифровальщики (Trojan.Encoder). Распространяясь, подобно другим вредоносным программам под видом полезного ПО, шифровальщики при запуске на компьютере пользователя начинают постепенно и методично шифровать все файлы на жестких дисках ПК. И, к сожалению, заражение прогрессирует очень быстрыми темпами, и больше всего заражению подвергаются пользователи из России (статистика с Хабра (http://habrahabr.ru)).

encoder_1

encoder_2

На начальных этапах работа троянца-шифровальщика может быть не заметна. Точнее – до тех пор, пока пользователю не потребуется открыть один из файлов, которые троянец уже успел зашифровать. В этот момент и обнаруживается, что вместо файла с расширением, к примеру, *.docx имеется файл с расширением *.encripted (или одним из тысяч других, иногда расширение в разы длиннее имени файла), работать с которым невозможно. Положение усугубляется тем, что шифруются именно файлы данных, а не исполняемые файлы программ, то есть в первую очередь под удар попадают картинки, тексты, музыка и файлы баз данных.

В определенный момент троянец может и сам проявиться, отобразив на экране сообщение, аналогичное приведенному на рисунке.

encoder_3

Если троянец уже проявил себя – значит дело плохо и зашифрована большая часть ваших файлов. Самостоятельно пытаться восстановить данные в большинстве случаев будет бесполезно (если не компьютерный гений из американского фильма) и игра в «Энигму» приведет лишь к тому, что восстановить данные станет совершенно не возможно. Единственное, что вы можете сделать – это пройтись через Проводник по корневым папкам жестких дисков, а также по папкам с зашифрованными файлами в поисках текстовых документов с «говорящими» названиями вида «Прочти это!», «ДЛЯ РАСШИФРОВКИ» и т.д. Они понадобятся для устранения работы троянца.

Платить злоумышленникам, да даже просто связываться с ними, отсылая что-то (даже сердитые тирады) на указанные в файлах или на экране адреса электронной почты – совершенно ни к чему. Они расскажут как расшифровать файлы за достаточно крупную сумму денег. Т.е. заплатить выкуп за дешифратор. Мы пойдем другим путем.

Нанимаем специалистов…

… и помогаем им. Гадостная особенность Trojan.Encoder, что в борьбе с ним специалистам зачастую нужна помощь пользователя, пусть даже и минимальная. Начнем по порядку, чтобы сохранить возможность восстановить файлы, недопустимо:

  • Проверять и лечить компьютер с помощью антивируса или утилит типа CureIt! (или аналогичных).
  • Переустанавливать Windows.
  • Перемещать/копировать или удалять любые (в том числе не зашифрованные) файлы.
  • Переименовать и удалять созданные вирусом файлы (даже подозрительные – лучше не рисковать).
  • Очищать историю браузера.

Кстати, если вы решили, что нет смысла тратить время и платить специалистам по расшифровке, вот несколько фактов для осмысления:

  • Злоумышленники требуют за выдачу дешифратора или ключей для расшифровки от 100 до 500 долларов (иногда и евро).
  • Шанс, что вам после оплаты отправят ключ для расшифровки – порядка 50%.
  • Шанс, что возможность расшифровки вообще была предусмотрена – тоже 50%.
  • Все действия по расшифровке, даже при наличии ключа, вам придется совершать самостоятельно. Вероятность ошибиться и испортить все – весьма велика.
  • Если вы хотите воспользоваться услугами бесплатной расшифровки от антивирусных вендоров, то вам необходимо быть их клиентом, то есть иметь лицензионный антивирус именно того производителя, который предлагает свой сервис расшифровки.
  • Бесплатные утилиты помогают расшифровать файлы примерно в 35% случаев. Не редки случаи, когда они бесполезны.
Почему мы?

Команда ITSSupport состоит по большей части из специалистов, являющихся экспертами не только в области администрирования и построения систем и сетей, но и по их защите. В ходе нашей работы в области информационной безопасности, нам приходилось иметь дело со множеством вирусов и троянцев. И борьбу с шифровальщиками мы ведем с самого начала эпидемии, добившись значительных результатов.

В подавляющем большинстве случаев (да, не в 100% случаев, гарантий в этом деле не дает никто! А давший – соврет) мы сможем полностью или частично восстановить ваши данные, используя свой опыт борьбы и собственную базу данных по вирусным инцидентам. Мы действительно знаем как расшифровать файлы. Либо поможем в их частичном восстановлении.

В некоторых случаях можно организовать удаленное устранение последствий действия шифровальщика, при этом вам не придется ничего делать самостоятельно, только предоставить доступ. Будет ли возможным удаленное восстановление – зависит от вашего везения (иными словами: от версии троянца).

Мы будем бороться с «вашим» троянцем до победного, так как совесть позволяет нам брать оплату только за сделанную работу. Таким образом вы не потратите деньги, оставшись с зашифрованными файлами.

Если вы желаете написать заявление в органы внутренних дел (да, сейчас с киберпреступностью борются очень активно!), мы поможем составить заявление и направить его в работу.

Бестиарий

За время работы, нашим специалистам много раз приходилось сталкиваться с огромным количеством разнообразных шифровальщиков. Вот неполный (может одна сотая, а может и тысячная часть) список шифровальщиков и их расширений, с которыми пользователи обращались на наш адрес support@itssupport.ru:

Чаще, конечно, расширения бывают не столь забавными и являются вариантами написания слов encrypted (зашифрован) и coded (закодирован). Надеемся, что ваши файлы будут иметь исключительно правильные расширения. А если нет – обращайтесь, мы поможем! Ведь у нас есть разные варианты ответов на вопрос «Как расшифровать файлы?».