Крайне неприятный вирус, который сейчас набирает обороты и уже поразил немало пользователей, оригинальное название которого ransomware. Этот вид вирусов после проникновения в систему производит зашифровку файлов. Обычно расчет идёт на то, что под шифрование попадут важные, возможно срочно необходимые файлы. После этого, на дисках появляются файлы readme, в которых указывается сама ошибка и почта злоумышленника, якобы оплатив ему определённую сумму вам пришлют дешифратор, способный восстановить файлы.
Скорее всего в них есть определённый механизм, который включаясь, в первую очередь анализирует файлы, которые представляют наибольшую ценность, такими являются текстовые файлы, бухгалтерия и т.п.
Так как даже после оплаты, далеко не всегда удаётся добиться дешифратора, а часто вымогательства продолжаются, скорее всего у самих злоумышленников не всегда есть нужная программа. К счастью с данной угрозой активно борются и выпускают свежие декодеры, которые способны помочь. На сегодняшний момент не все виды этого вируса поддаются расшифровке, поэтому вам, первым делом, необходимо будет определить, какой же именно тип засел у вас в системе.
На данный момент не поддаются расшифровке файлы с расширением xtbl и better_call_saul, в остальных случаях высокая вероятность что вам удастся найти дешифратор. Ещё лучше, воспользуйтесь антивирусом, который и определит тип заражения.
Обнаружение и удаление вируса
Сперва, до того момента пока вы определитесь что делать, желательно выключить компьютер, а поиск производить с гаджета или другого компьютера. Так как процесс шифровки довольно продолжительный, то у вас есть возможность успеть предпринять действия:
1.Возможно, вирус ещё не добрался до каких-либо важных данных, сделайте резервную копию файлов на съёмный носитель;
2.В первую очередь, чтобы победить вирус, вам следует найти и снять процесс, отвечающий за нанесение вреда вашему компьютеру. Точную инструкцию здесь предоставить сложно, так как разновидностей вируса много, но есть некоторые рекомендации. Вам следует открыть «Диспетчер задач», это можно сделать произведя клик правой кнопкой по панели задач. В самом диспетчере перейдите во вкладку «Процессы», а здесь вам нужно найти такие, которые не соответствуют запущенным у вас приложениям и имеют в графе пользователь ваше имя учетной записи. Нажав по таким пунктам правой кнопкой укажите «Завершить дерево процессов»;
3.Сохраните код, который вам будет поручено отправить на почту, возможно он пригодится для расшифровки ваших данных (лучше хранить его вне вашей системы);
4.После снятия задачи, а это может помочь не всегда, так как существуют модификации, которые запускают сами себя снова и снова вам следует запустить антивирусную программу, лучше воспользоваться Malwarebytes Antimalware от Kaspersky или Dr.Web Cur It. Оба эти приложения вполне способны обнаружить и обезоружить противника, вам в этой ситуации, желательно запомнить название вируса, что-то вроде такого Trojan-Ransom.Win32.Shade;
5.Можете отправить пример зашифрованного файла производителям антивирусного обеспечения, желательно, если у вас есть в наличии, отправьте файл вместе с оригинальным содержимым. Лидером в борьбе с данным видом заражения является Kaspersky.
Зашифрованные файлы с расширением better_call_saul и xtbl
Неизвестно на сколько это правда, но xtbl генерирует ключ, который необходим для дешифратора, основываясь на локальных данных компьютера, что и делает невозможным его расшифровку без знания этого ключа. Kaspersky, как уверяют пользователи, которые столкнулись с проблемой, уже сделал первый шаг в борьбе с этим шифратором, похоже, что разработан алгоритм позволяющий с 50%-ой вероятностью расшифровать файлы, но попробовать однозначно стоит, обратившись в поддержку данного производителя.
better_call_saul – это новый вид шифратора, поэтому, пока что, нет решения данной проблемы. Немного утешает то, что пользователи которые заплатили деньги злоумышленнику всё же получили свой дешифратор и возвратили файлы. Вероятнее всего, в скором будущем будут механизмы борьбы с этой разновидностью вируса.
Trojan-Ransom.Win32.Aura и Rakhni
В основном эти вирусы генерируют расширения .locked, .kraken и другие подобные, список которых весьма большой. Борьба с такими вредителями уже произведена и лаборатория Kaspersky выпустила бесплатную утилиту RakhniDecryptor, которую вы сможете найти по ссылке https://support.kaspersky.ru/viruses/disinfection/10556. Заодно по этой же ссылке вы сможете найти полный перечень расширений создаваемых этими видами вирусов и инструкцию по применению утилиты.
Остальные виды ransomware
Здесь представлены менее распространенные, но тем не менее, встречающиеся формы данной угрозы вашим данным, с описанием способов решения данной проблемы, если они существуют.
1.Trojan-Ransom.WinRector и Trojan-Ransom.Win32.Xorist – шифраторы с этим названием уже не являются опасными, так как лаборатория Kaspersky имеет решение для данной ситуации, называется оно RectorDecryptor, располагается по ссылке https://support.kaspersky.ru/viruses/disinfection/4264;
2.Trojan-Ransom.WinRannoh, Trojan-Ransom.Win32.Fury – приложение, которое позволит вам вернуть зашифрованные файлы называется RannohDecryptor, располагающееся на официальном сайте Kaspersky https://support.kaspersky.ru/viruses/disinfection/8547;
3.Encoder.858 – цифры могут меняться, так как модификаций существует множество. Для части этих шифраторов уже имеется решение, для другой скорее всего в ближайшее время будет.
Лучшим решением будет создавать резервные копии, сохраняя их на флэш носители или, по крайне мере, на жестком диске, намного проще восстановить файлы из точки восстановления или, если у вас есть дополнительная копия.
Так же не забывайте и не стесняйтесь обращаться к поддержке антивирусного обеспечения, возможно они смогут вам помочь.
