Удаление наиболее распространенных шифровальщиков и восстановление файлов

 

Последний месяц был довольно-таки продуктивным для кибер вымогателей, появился целый ряд новых “решений” созданных для шифрования данных пользователей с последующим требованием выкупа. Большинство из них заточено под западный и азиатский рынки (более платежеспособные жертвы) но и на рынке СНГ антивирусные лаборатории отслеживают рост количества атак и инфицированных ПК з зашифрованными данными. 

Далее мы расскажем о наиболее распространенных версиях шифровальщиков и возможных методах расшифровки Ваших данных (хотя-бы частично). Напоминаем, что ОПЛАТА ЗЛОУМЫШЛЕННИКАМ НЕ ГАРАНТИРУЕТ ТОГО ЧТО ОНИ ВЫШЛЮТ ВАМ КЛЮЧ РАСШИФРОВКИ. Мы фиксируем десятки случаев когда после оплаты “хакеры” просто переставали выходить на связь.

Мы отобрали наиболее распространенные шифровальщики в ноябре 2016 года. Часть из них – разные модификации более ранних зловредов.

• Trojan.encoder.567 – шифрует базы данных 1С. Инфицирует ПК через электронную почту. Меняет расширения файлов на рандомные (.qqr. .xbz. .fgh..). Для связи с злоумышленниками e-mail: vpupkin3@aol.com.
• Trojan.Encoder.94 – Меняет расширения файлов на рандомные. Для связи с злоумышленниками почта filezx@ya.ru
• Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae (encryptss77@gmail.com, e0cryptss77@gmail.com, e0cr2 ptss77@gmail.com, 30cr0ptss77@gmail.com, 30cr1ptss77 @gma4l.com и.т.д.) Кроме шифрования файлов иногда помещает их в запароленный архив.
• Шифровальщик Cryakl (email-ananda.parabramha@india.com.ver-CL 1.2.0.0) – меняет расширения зашифрованных файлов на .cbf. Для связи используется почта ananda.parabramha@india.com.
• TR/Ransom.Xorist.EJ и Trojan-Ransom.Win32.Xorist.ln – шифруют базы 1С и некоторые другие типы баз данных.
• HEUR:Trojan.Win32.Generic разных версий – связь с злоумышленниками через почту erfile@ya.ru, errorfi@ya.ru либо errorfiles@ya.ru. Меняет расширения файлов на .errorfi, .erfile или .errorfiles. Шифрует больше 40 типов файлов, в том числе базы данных и архивы.
• HEUR:Trojan.Script.Agent.gen  или .kukaracha так как переименовывает расширения файлов таким странным именем. unlock92@india.com  для связи с “хакерами”.
• Trojan.Win32.Dimnie.gh – более известный как Neitrino (меняет расширения файлов на .neitrino). Связь через почту mr.anders@protonmail.com
• FRAMOZES@YANDEX.RU – один из клонов ранее известных шифровальщиков, который использует стойкий к расшифровке алгоритм RSA-2048
• .dosfile (dosfile.exe) – связь с злоумышленниками через почту dosfile@ya.ru. Очень распространенный шифровальщик, который не поддается расшифровке. В считанные минуты шифрует документы и xls таблицы.
• Trojan.Encoder.6674 (ISHTAR) – еще один из вариантов. Менее распространен в СНГ.
• Cripton – (для связи с злоумышленниками CRIPTON@protonmail.com, Criolo2016@yandex.ru). Меняет расширения файлов на .cpt
• .filezx – вариант шифровальщика, который распространен в Белоруссии.
• meldonii@india.com, semenov34@india.com – шифрует базы 1С и некоторые другие типы файлов
• Novikov.Vavila@gmail.com – один из вариантов зловреда, распространяемых через вложения в электронной почте.
• .matrix – мало распространенный шифровальщик.
• Cripttt – старый, переживший несколько модификаций шифровальщик. Шифрует в основном фото и видео файлы, а также документы. Расширение у файлов .Cripttt.

Это далеко не все шифровальщики, которые появились в ноябре 2016. Мы выбрали наиболее распространенные. Следует отметить что злоумышленники постоянно придумывают новые тактики и методы заражения. Например маскируют исполняемый файл вируса под судебный иск или уведомление из налоговой. И маскируют довольно таки умело, судя по количеству инфицированных ПК.

Кроме того злоумышленники часто прибегают к откровенному шантажу, заставляя пользователей платить на протяжении 24-48 часов (иногда даже 8 часов!).

Варианты сообщений от наиболее распространенных шифровальщиков:

 

Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com
В ТЕМЕ письма укажите ваш ID: 9309624421
Письма без указания ID игнорируются.
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Приобрести декриптор можно до 18.11.2016
Заявки обрабатываются автоматической системой.

Baшu фaйлы были зaшифрованы.
Чmoбы раcшифpoваmь ux, Bам необхoдuмо оmnpaвить код:
1597D5599D6549465E7F|0
на электрoнный aдpеc Novikov.Vavila@gmail.com .
Дaлeе вы noлучuтe вcе необхoдимыe uнстрykциu.
Попытku раcшuфpoвать сaмoсmоятельнo не nривeдуm ни k чeмy, кpомe бeзвозвраmнoй потеpи uнфoрмацuи.
Еcлu вы вcё же xоmиme пonытатьcя, mо предвaрumeльнo сделайтe резepвные kопuи фaйлов, инaчe в случae
иx uзмeнения pаcшифрoвkа cтанет невoзмoжной ни прu kakux yсловuях.
Если вы не noлyчuли omвeтa пo вышеуkaзaнному адpeсy в mеченuе 48 чacов (и только в эmом слyчаe!),
восnользуйтесь фоpмoй обpamнoй cвязu. Этo мoжно cделaть двyмя cnoсобамu:
1) Скaчайmе и ycmановиme Tor Browser no ccылke: https://www.torproject.org/download/…d-easy.html.en
В адрeснoй стpокe Tor Browser-а ввeдuте адpec:
http://cryptsen7fo43rr6.onion/
u нажмuтe Enter. 3aгpyзumcя cmрaнuца c фoрмой обpатнoй связи.
2) В любoм браузерe пeрейдume пo oднoму из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
================================================== ================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru
================================================== ==========================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА – ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
================================================== ==================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
================================================== ==================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!

Удалить вирус-шифровальщик с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.

1. Загрузить программу для удаления шифровальщика . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления вируса-кодера
2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам с разными расширениями

Как было отмечено, программа-вымогатель блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Дешифратор – программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.

Загрузить программу-дешифратор восстановления данных Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

• Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.
• Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вируса-вымогателя

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.

Загрузить программу для удаления вируса-шифровальщика