Восстановление данных после вируса шифровальщика

Содержание
  1. Восстановление файлов после вируса шифровальщика
  2. Откуда у Вас зашифрованные файлы?
  3. Как вирус-шифровальщик попадает на компьютер?
  4. Способы восстановления файлов
  5. Использование специальных утилит
  6. Восстановление данных после вируса шифровальщика
  7. Восстановление предыдущей версии после вируса шифровальщика
  8. Шаг 1
  9. Шаг 2
  10. Восстановление файлов после вируса шифровальщика с помощью утилит
  11. Удаление вируса-шифровальщика
  12. Утилита ShadowExplorer
  13. Утилита PhotoRec
  14. Что не рекомендуется делать при заражении вирусом
  15. Услуги лаборатории Storelab
  16. Восстановление жесткого диска в самой мощной лаборатории Москвы
  17. Лучшие специалисты по восстановлению данных в Москве
  18. Повышение квалификации инженеров
  19. Нам доверяют восстановление данных
  20. Восстановление файлов после заражения шифровальщиком из снимков VSS
  21. Включение службы VSS на компьютерах с помощью GPO
  22. Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO
  23. PowerShell скрипт для создания теневых снимков всех томов
  24. Задание планировщика по созданию VSS-снимков
  25. Восстановление исходных данных из теневой копии тома
  26. Заключение
  27. Вирус-шифровальщик: что такое и как защититься
  28. Современные шифровальщики
  29. Компьютер заражен вирусом. Что делать?
  30. Как защититься от вируса-шифровальщика. Превентивные меры
  31. Восстановление файлов после вируса-шифровальщика
  32. Заражение компьютера
  33. Восстановление предыдущей версии
  34. Шаг 3
  35. Шаг 4
  36. Использование утилит
  37. Лаборатория Касперского предлагает и другие утилиты:
  38. Какие действия рекомендуется не совершать

Восстановление файлов после вируса шифровальщика

Восстановление данных после вируса шифровальщика

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *.HELP@AUSI.COM_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Для того, чтобы в дальнейшем у Вас таких проблем не возникало настоятельно рекомендуем приобрести Kaspersky Internet Security, который заточен на предотвращение подобных атак.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.

Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно.

Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере, открывая неизвестные письма.

После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д.

Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

  1. Кликните по зашифрованному файлу правой кнопкой и откройте его свойства.
  2. После перейдите на вкладку «Предыдущие версии». Выберите теневую копию и нажмите «Восстановить».

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor.

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Принцип работы у программ одинаковый – вы указываете на один зашифрованный файл, к которому программа пытается подобрать ключ.

Процесс подбора пароля может затянуться надолго (на Intel Core i5-2400 файл с расширением *.crypt может расшифровываться до 120 суток). Все это время компьютер нельзя выключать.

Никогда не платите деньги злоумышленника, таким образом вы поощряете преступную деятельность. Многие пользователи так поступают, но очень редко получают результат – злоумышленники могут оставить вас и без денег, и без нужной информации.

Обязательно установите себе специальную защиту от Касперского (ссылка в начале статьи), поверьте, эти 1800 рублей сэкономят Вам очень много сил, денег и нервов.

После прочтения статьи рекомендуем к просмотру очень полезное видео по расшифровке файлов:

Источник: http://recoverit.ru/important/virus-shifrovalshhik.html

Восстановление данных после вируса шифровальщика

Восстановление данных после вируса шифровальщика

  /  Услуги  /  Восстановление данных после вируса шифровальщика

Восстановление данных после вируса-шифровальщика – проблема, с которой сегодня встречается множество пользователей ПК. Шифровальщики за последние годы получили большое развитие, встречается более двух десятков их вариаций, каждый характеризует определенный подход к шифрованию информации на компьютере.

Создатели вируса, конечно, предлагают выход из сложившейся ситуации – обычно он заключен в выплате по указанным реквизитам определенной суммы, при этом весьма значительной (от 300$ и выше).

Учитывая, что собственные файлы можно расшифровать даже самостоятельно, платить мошенникам за их “услугу” будет не самым лучшим выходом.

Если вы столкнулись с такой ситуацией, не стоит разводить панику – прежде нужно попробовать все существующие методики для восстановления данных после вируса.

Восстановление предыдущей версии после вируса шифровальщика

При включенной защите операционной системы, есть возможность восстановления данных даже без использования дополнительного софта. В этом случае помогут теневые копии документов. Троян-шифровальщик, конечно, постарается уничтожить и эти копии, но в большинстве ситуаций у него это не выходит по причине отсутствия административных прав. Рассмотрим последовательность ваших действий.

Шаг 1

Для начала нужно восстановить прошлую версию поврежденного документа:

  1. Кликаем правой кнопкой мыши по файлу или папке, выбираем “Свойства” – “Предыдущие версии”.
  2. Открывается меню сохраненных точек восстановления, из которых нужно будет выбрать нужную.

Шаг 2

Восстанавливаем выбранную теневую копию – ориентируйтесь на дату, нам нужно сделать откат до того дня, когда компьютер ориентировочно был заражен шифровальщиком. Если у вируса слабая защита, то такой метод принесет результат, заняв при этом минимум времени.

Увы, но метод будет абсолютно бесполезным, если не была включена защита системы. Обезопасьте себя на будущее, и подключите ее заранее:

  1. Кликаем правой кнопкой мыши по “Моему компьютеру” – пункт “Свойства” – “Защита системы”.
  2. Выбираем диск, на который установлена ОС. Далее выбираем пункт “Настроить” – “Защита системы”.
  3. Включаем защиту системы компьютера и соглашаемся с восстановлением параметров.

Теперь ваша ОС защищена от злонамеренных действий трояна – несмотря на то, что он может проникнуть на компьютер и заразить файлы, вы теперь знаете, как без труда расправиться с ним. В случае, если с этим советом вы опоздали, переходим к пункту “Б” – восстановлению данных после шифровальщика при помощи программного обеспечения.

Восстановление файлов после вируса шифровальщика с помощью утилит

Прежде всего, важный совет – после заражения компьютера шифровальщиком, постарайтесь пользоваться им как можно меньше, что увеличит шансы на успешный возврат всех данных. Для устранения проблемы с шифрованием цифровой информации, эффективны несколько способов, каждый из которых рассмотрим в отдельности:

  1. Восстановление информации при помощи программы ShadowExplorer.
  2. Восстановление файлов при помощи программы PhotoRec.

Но прежде чем восстанавливать файлы, нужно искоренить “источник всех бед” – сам вирус.

Удаление вируса-шифровальщика

Антивирусы без труда определяют и устраняют большинство видов шифровальщиков, вот только оказать помощь в восстановлении уже зашифрованных вирусами данных они не смогут. Более того, они могут даже безвозвратно удалить данные, посчитав их за вирусы. Поэтому для безопасного удаления вируса лучше использовать специальные утилиты.

Рассмотрим процесс удаления шифровальщиков на примере популярных программ. В первую очередь – утилиту антивируса Касперского, Virus Removal Tool. Функционал у нее довольно простой и понятный – потребуется только запустить сканирование компьютера, а по результатам проверки удалить или отправить в карантин найденные вирусные файлы.

Другой вариант – удалить шифровальщика при помощи утилиты Malwarebytes Anti-malware. На главном экране программы выберите раздел “Проверка”, нажмите “Запустить проверку”.

По ее результатам вы увидите количество выявленных угроз – учитываются как зараженные файлы, так и данные реестра. Отмечайте все обнаруженное вредоносное ПО, и кликните по кнопке “Удалить выбранное”.

После этого может потребоваться перезагрузить компьютер (а иногда и в процессе сканирования).

Перезапустите систему и завершите очистку – теперь ваш компьютер абсолютно чист от вредоносных программ! Можно приступать к восстановлению данных после вируса.

Утилита ShadowExplorer

ShadowExplorer позволяет восстанавливать теневые копии данных, благодаря функционалу утилиты можно оперативно восстановить исходное состояние зашифрованной информации.

Для работы с программой, запустите ее и выберите нужный диск, а также дату создания копий. Выберите нужные файлы, и экспортируйте их (правой кнопкой мыши на документ – “Export”) в выбранную для восстановления папку.

Утилита PhotoRec

PhotoRec предназначена для восстановления данных, которые были удалены или утеряны. В целом, в нашем случае она так же актуальна, т.к. восстановит исходники тех файлов, которые были заменены шифровальщиком.

При запуске программы вы увидите раздел доступных для поисковых операций дисков. Выбираем тот, на котором расположены ваши данные, зашифрованные трояном, и кликаем по кнопке “File Formats”.

Приложение может восстанавливать файлы любых типов, но если вы не хотите тратить много времени на поиск нужных данных, выберите в появившемся окошке только нужные вам форматы. После того, как сделаете это, нажмите на “ОК”.

Далее жмем на “Browse” и определяем каталог, где программа сохранит все восстановленные данные. Лучше всего, если это будет другой диск (также пригодятся внешний HDD или флешка). Чтобы запустить поиск утерянной информации, нажмите на “Search”. Процесс может занимать много времени, в зависимости от объема жесткого диска и мощность компьютера в целом.

Когда процесс завершится, нажмите на “Quit” и откройте папку, в которой программой были сохранены данные. В папке вы встретите каталоги с именами recup_dir.1, recup_dir.2,и т.

д (чем больше удаленных файлов будет обнаружено утилитой, тем больше будет доступно каталогов). Проверьте каждый из них, чтобы ускорить этот процесс воспользуйтесь поиском Windows или параметрами сортировки.

В качестве параметров вы можете установить дату изменения, т.к. PhotoRec при восстановление ориентируется на это свойство.

Что не рекомендуется делать при заражении вирусом

Итак, мы рассмотрели все основные (а главное – эффективные) методы для восстановления данных после атаки трояна-шифровальщика. Но не факт, что они сработают, если были совершены действия, которые могут повлечь за собой перманентную потерю данных. Поэтому перед тем, как приступать к решительным действиям по борьбе с вирусом, стоит принять во внимание несколько важных моментов:

  1. Не переустанавливайте операционную систему. Хоть этот метод и позволит избавиться от трояна-шифровальщика, но платой за это будет потеря всех зашифрованных файлов.
  2. Не запускайте программы, которые очищают реестр и удаляют временные данные.
  3. Не запускайте сканирование антивирусом – как уже было отмечено ранее, такой подход может безвозвратно удалить важную информацию. Если же процесс уже был запущен, то проверьте, были ли файлы помещены в карантин – в таком случае, их можно будет восстановить и провести работы по их расшифровке.
  4. Никак не взаимодействуйте с зараженными вирусом-шифровальщиком файлами (сюда относится переименование документов, изменение расширения и пр.), т.к. это только уменьшает шансы на возможность успешного восстановления.

Также хотим дать несколько советов, что будет полезно сделать для остановки процесса заражения компьютера вирусом-шифровальщиком:

  • Остановить процесс шифрования документов в “Диспетчере задач”. Конечно, это при условии, что вы знаете, какой процесс запущен непосредственно вирусом.
  • Отключить компьютер от интернета. Учитывая, что заражение обычно происходит через подключение к сети онлайн, то при ее отключении вполне вероятно, что заражение приостановится. Это подходящий момент, чтобы заняться устранением вирусом и восстановлением информации.

Услуги лаборатории Storelab

Теперь вы имеет знания о том, как избавиться от вируса-шифровальщика самостоятельно и восстановить всю утерянную информацию. Если же перечисленные методы не помогли или вы боитесь сами приступать к ликвидации проблемы, опасаясь последствий при неверном подходе, приходите в лабораторию Storelab. Наши специалисты помогут с восстановлением без каких-либо потерь!

Восстановление жесткого диска в самой мощной лаборатории Москвы

Бесплатная диагностикаСовременное оборудованиеЗамена магнитных пластин
Чистая комната (ISO 14644-1)Замена механики в чистой комнатеВосстановление в день обращения
Замена блока магнитных головокКомплексы PC-3000 ExpressВсе запчасти в наличии

Лучшие специалисты по восстановлению данных в Москве

Александр Гуревич Инженер опыт работы 12 летСергей Пахомов Инженер опыт работы 14 летКонстантин Сапожников Главный инженер опыт работы 15 летИгорь Потавин Инженер опыт работы 12 летВадим Милешкин Инженер опыт работы 10 лет
Евгений Артемьев Инженер программистЮрий Тутушкин Системный инженерАртем Кораблев Инженер программистДмитрий Ломакин Технический специалистВиктор Морозов Инженер электронщик
Маргарита Агапова МенеджерАнтон Бровкин Технический специалистНиколай Санин Генеральный директорМаксим Бабешко Технический специалистМария Мартыненко Менеджер

Повышение квалификации инженеров

Каждый год выходят новые модели жёстких дисков. И только постоянное обучение и повышение квалификации инженеров, позволяет нам выполнять самые сложные заказы по восстановлению данных. Которые другие компании считают невозможными. Многие только на словах заявляют о своем профессионализме. Мы можем подтвердить это многочисленными дипломами и сертификатами.

Storelab занимается постоянным развитием команды с 2009 года. Все наши специалисты регулярно проходят обучение в компании АCELab, которая является лидером в области производства программно-аппаратных комплексов PC-3000 для восстановления данных.

Нам доверяют восстановление данных

«Альфа-Банк» выражает признательность и благодарность сотрудникам лаборатории Сторлаб за отличные результаты, достигнутые в процессе сотрудничества. Все работы были выполнены в строго оговоренные сроки с надлежащим качеством. «Детский мир» выражает благодарность центру восстановления информации STORELAB и в частности сотрудникам Вашей компании за профессионализм в работе и оперативность в исполнении заказываемых работ.
Уважаемый Николай Алексеевич! Настоящим, Банк «Ренессанс Кредит» выражает компании «Сторлаб» благодарность за качественную и оперативную работу по восстановлению данных с жестких дисков. «Комус» выражает благодарность за выполненные в полном объеме, в установленные сроки с надлежащим качеством работы по восстановлению данных. Надеемся на дальнейшее плодотворное сотрудничество.
«Котани» выражает благодарность и признательность лаборатории восстановления данных STORELAB за качественную и высококлассную работу по восстановлению данных RAID 10. Специалисты зарекомендовали себя как профессионалы высокого уровня.Страховая компания «Согласие» выражает благодарность всему коллективу компании «Сторлаб» за оперативное и качественное выполнение работы по восстановлению данных с жесткого диска.

Смотреть все рекомендации

Почему для восстановления данных выбирают насStorelab – это крупнейшая лаборатория в Москве. Вас обслуживают инженеры, которые знают и любят свою работу.   Работаем без предоплат. В любое время с радостью ответим на все ваши вопросы, звоните круглосуточно: +7 (495) 215-00-24
Как проводится диагностикаДиагностика бесплатная, занимает примерно 10 – 15 минут. Далее специалист расскажет вам неисправность, стоимость и сроки работ по восстановлению данных. Если у вас нет возможности приехать к нам – Закажите бесплатную доставку.
Как к нам проехатьРаботаем ежедневно, находимся в минуте ходьбы от метро Китай-город по адресу Лубянский проезд 15/2, подъезд 4, офис 213 [ Схема проезда ] Время работы: по будням с 9:00 до 21:00 в выходные с 9:00 до 19:00.     Если вы на машине у нас своя бесплатная парковка

«Уважаемый Николай Алексеевич! Настоящим, КБ “Ренессанс Кредит” выражает благодарность компании Сторлаб за качественную и оперативную работу по восстановлению данных с жестких дисков.»

Источник: https://Storelab-RC.ru/virus-shifrovalschik.html

Восстановление файлов после заражения шифровальщиком из снимков VSS

Восстановление данных после вируса шифровальщика

Продолжаем серию статей о методах противодействия вирусам-шифровальщикам. В прошлый раз мы рассмотрели простую методику превентивной защиты от шифровальщиков на файловых серверах с помощью FSRM. Сегодня речь пойдет о методе восстановления данных, позволяющем безболезненно восстановить файлы, в случаях, если вирус уже прорвался и зашифровал документы на компьютере пользователя.

Самый простой способ вернуть оригинальные данные после шифрования документов трояном-шифровальщиком – восстановить данные из резервной копии.

И если централизованное резервное копирование  данных на серверах еще можно организовать, то бэкап данных с компьютеров пользователей обеспечить гораздо сложнее.

К счастью, в Windows уже есть встроенный механизм ведения резервных копий — теневые копии, создаваемые службой  Volume Shadow Copy Service (VSS).

Для обеспечения возможности восстановления старых версий файлов из VSS снапшотов, должны выполняться следующие условия:

  • служба VSS должна быть включена для защищаемых томов
  • на диске должно быть достаточно свободного места для хранения снимков (не менее 10-20%)
  • у пользователя не должно быть прав локального администратора на своем компьютере (большинство современных шифровальщиков, запущенных с правами администратора удаляют все доступные VSS снимки), а защита User Account Control (UAC) включена

Рассмотрим механизм централизованного управления политикой создания снимков в доменной среде Active Directory для обеспечения возможности восстановления данных после атаки вируса-шифровальщика.

Включение службы VSS на компьютерах с помощью GPO

В первую очередь создадим групповую политику, которая бы включала службу Volume Shadow Copy Service (VSS) на компьютерах пользователей. Для этого в консоли GPMC.msc создадим новый объект GPO с именем VSSPolicy и назначим его на OU с компьютерами пользователей.

Перейдем в режим редактирования GPO.

Затем в разделе Computer Configuration->Windows Settings->Security Settings->System Service в списке служб нужно найти службу Volume Shadow Copy и задать для нее тип запуска Automatic.

Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO

Для создания и управления теневыми копиями на ПК пользователей нам понадобится утилита vshadow.exe из комплекта Windows SDK.  В данном примере мы будем использовать vshadow из SDK для Windows 7 x64 (в моем случае она корректно отработала как на Windows 7 так и на Windows 10 x64). С помощью GPP скопируем файл vshadow.exe в каталог %windir%\system32 на все компьютеры.

Для этого в разделе политики Computer Configuration –> Preferences –> Windows Settings -> Files создадим новую политику, копирующую файл vshadow.exe из каталога \\domain.loc\SYSVOL\domain.

loc\scripts\ (файл должен быть скопирован сюда предварительно) в каталог %windir%\system32\vshadow.exe (нужно указывать имя файла в destination) .

Эту политику можно настроить, чтобы она отработала только один раз (Apply once and do not reapply).

PowerShell скрипт для создания теневых снимков всех томов

Далее нам понадобится скрипт, который бы определял список дисков в системе, включал бы для всех ведение теневых снимков и создавал бы новый VSS-снапшот. У меня получился такой скрипт:

$HDDs = GET-WMIOBJECT –query “SELECT * from win32_logicaldisk where DriveType = 3″foreach ($HDD in $HDDs) {$Drive = $HDD.DeviceID$vssadminEnable =”vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%”$vsscreatess = “vshadow.exe -p $Drive”cmd /c  $vssadminEnablecmd /c  $vsscreatess

}

Первая срока позволяет найти все диски в системе, а затем для каждого диска утилита vshadow активирует ведение теневых копий, которые должны занимать не более 10% места и создает новую копию.

Этот скрипт сохраним в файл vss-script.ps1 и также скопируем на компьютеры пользователей через GPO.

Задание планировщика по созданию VSS-снимков

Последнее, что осталось сделать – создать на всех ПК задание планировщика, которое регулярно бы запускало скрипт PowerShell vss-script.ps1 и создавало бы новый vss снимок дисков. Проще всего создать такое задание через GPP.

Для этого в разделе Computer Configuration ->Preferences ->Scheduled Tasks создадим новое задание планировщика (New-> Scheduled Task (at least Windows 7) с именем: create vssnapshot, которое запускается от имени NT AUTHORITY\System с повышенными правами.

Допустим, задание должно запускаться каждый день в обед в 13:20 (здесь нужно самостоятельно продумать необходимую частоту создания снимков).

Запускаемый скрипт: %windir%\System32\WindowsPowerShell\v1.0\powershell.exe

с аргументом %windir%\system32\vss-script.ps1

Восстановление исходных данных из теневой копии тома

В том случае, если шифровальщик все-таки попал на ПК пользователя и сделал свое черное дело, после искоренения его из системы, администратор может восстановить документы пользователя из последнего снимка.

Список всех доступных снимком можно вывести командой:

vssadmin.exe list shadows

В нашем примере последний снимок сделан 10/6/2016 1:33:35 AM и имеет Shadow Copy ID = {6bd666ac-4b42-4734-8fdd-fab64925c66c}.

Смонтируем  снапшот на чтение в виде отдельного драйва системы по его ID:

vshadow -el={6bd666ac-4b42-4734-8fdd-fab64925c66c},Z:

Теперь с помощью File Explorer или любого файлового менеджера скопируйте оригинальные файлы с диска Z:, представляющего собой содержимое подключенного снимка диска.

Чтобы отмонтировать диск со снимком:

mountvol Z:\ /D

Заключение

Конечно, теневые копии VSS не являются методом борьбы с вирусами-шифровальщиками и не отменяют комплексного подхода в организации безопасности сети от вирусов (антивирусы, блокировка запуска исполняемых файлов с помощью SRP или  AppLocker политик, репутационные фильтры SmartScreen и т.д.).  Однако, простота и доступность механизма теневых копий томов является, на мой взгляд, большим преимуществом этого простого способа восстановления зашифрованных данных, который очень вероятно пригодится в случае проникновения заразы на компьютер пользователя.

Источник: https://winitpro.ru/index.php/2016/10/06/vosstanovlenie-fajlov-posle-zarazheniya-shifrovalshhikom-iz-snimkov-vss/

Вирус-шифровальщик: что такое и как защититься

Восстановление данных после вируса шифровальщика

Под шифровальщиками (криптолокерами) подразумевается семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).

Обычно вирус шифрует популярные типы пользовательских файлов: документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д.

Расшифровка файлов предлагается за деньги — создатели требуют перечислить определенную сумму, обычно в биткоинах.

И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.

В большинстве случаев вирус распространяется через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д.

Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код.

Вирус последовательно шифрует нужные файлы, а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).

Современные шифровальщики

Шифровальщики и прочие вирусы, которые блокируют доступ пользователей к данным, — не новая проблема в информационной безопасности.

Первые версии появились еще в 90-х годах, однако они в основном использовали либо «слабое» (нестойкие алгоритмы, малый размер ключа), либо симметричное шифрование (одним ключом шифровались файлы у большого числа жертв, также была возможность восстановить ключ, изучив код вируса), либо вообще придумывали собственные алгоритмы.

Современные экземпляры лишены таких недостатков, злоумышленники используют гибридное шифрование: с помощью симметричных алгоритмов содержимое файлов шифруется с очень высокой скоростью, а ключ шифрования шифруется асимметричным алгоритмом.

Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник, в исходном коде программы его не найти. Для примера, CryptoLocker использует алгоритм RSA с длиной ключа в 2048 бит в сочетании с симметричным алгоритмом AES с длиной ключа 256 бит. Данные алгоритмы в настоящее время признаны криптостойкими.

Компьютер заражен вирусом. Что делать?

Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере.

Шифрование идет последовательно, скорость зависит от размера шифруемых файлов.

Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.

После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную.

Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам.

В таком случае антивирусная программа может ничего и не обнаружить.

Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет.

Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей.

Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.

Попробуйте воспользоваться утилитами восстановления удаленных файлов.

Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт).

Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.

Защита информации от уничтожения

Узнать больше

Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.

Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.

Как защититься от вируса-шифровальщика. Превентивные меры

Предотвратить опасные последствия легче, чем их исправить:

  • Используйте надежные антивирусные средства и регулярно обновляйте антивирусные базы. Звучит банально, но это значительно снизит вероятность успешного внедрения вируса на ваш компьютер.
  • Сохраняйте резервные копии ваших данных.

Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.

Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!

  • Ограничьте программную среду в домене.

Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д.

Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно подробные руководства, как это сделать.

В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.

Внимательность — один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.

Предотвратим потерю информации

Узнать больше

Александр Власов, старший инженер отдела внедрения систем защиты информации компании «СКБ Контур» 

Источник: https://kontur.ru/articles/1957

Восстановление файлов после вируса-шифровальщика

Восстановление данных после вируса шифровальщика

Путешествуя по разным городам и весям, человек волей-неволей сталкивается с неожиданностями, которые могут быть и приятными, и провоцирующими усиленный дискомфорт, сильнейшие огорчения.

Узнайте, как восстановить файлы после вируса-шифровальщика

Такие же эмоции могут поджидать пользователя, увлекающегося «путешествиями» по интернету. Хотя иногда неприятные сюрпризы залетают самостоятельно на электронную почту в виде угрожающих писем, документов, прочесть которые пользователи стремятся как можно скорее, тем самым попадая в расставленные сети мошенников.

В сети можно столкнуться с невероятным количеством вирусов, запрограммированных на выполнение множественных негативных задач на вашем компьютере, поэтому важно научиться различать безопасные ссылки для скачивания файлов, документов и обходить стороной те, которые представляют собой явную опасность для компьютера.

Заражение компьютера

Если вы стали одним из тех несчастных, кому пришлось на практическом опыте испытать негативные последствия вмешательства вируса, вы не станете сомневаться в том, что полезно собрать и впоследствии систематизировать информацию относительно того, как предотвратить заражение компьютера.

Вирусы появились сразу же, как только появилась компьютерная техника. С каждым годом разновидностей вирусов становится всё больше и больше, поэтому пользователю легко уничтожить только тот вирусоноситель, который уже давно известен, и найден стопроцентный метод его уничтожения.

Гораздо сложнее пользователю вести «борьбу» с вирусоносителями, которые только появляются в сети или сопровождаются полномасштабными разрушительными действиями.

Восстановление предыдущей версии

Если на вашем компьютере была заблаговременно включена защита системы, то даже в тех случаях, когда у вас уже успел похозяйничать «непрошенный гость-шифровальщик», вам всё равно удастся восстановить документы, владея информацией, что делать в этом случае.

Система поможет вам восстановить документы, используя их теневые копии. Безусловно, троян также направляет свои усилия на ликвидацию таких копий, но осуществить такие манипуляции вирусам не всегда удаётся, поскольку они не владеют административными правами.

Шаг 3

Включить защиту системы на компьютере тоже несложно, это не отнимет у вас много времени. Поэтому прогоните свою лень, упрямство и помогите своему компьютеру стать менее уязвимым для троянчиков.

Кликните по иконке «Компьютер» правой кнопкой мышки, выберите пункт «Свойства». С левой стороны открывшегося окна будет находиться список, в котором найдите строку «Защита системы», кликните по ней.

Теперь вновь откроется окошко, в котором вам предложат выбрать диск. Выделив локальный диск «C», нажмите кнопку «Настроить».

Включите защиту системы своего компьютера

Шаг 4

Теперь откроется окошко с предложением параметров восстановления. Вам нужно согласиться с первым вариантом, предполагающим восстановление параметров системы и предыдущих версий документов. В завершение нажмите традиционную кнопку «Ok».

Если вы проделали все эти манипуляции заранее, то даже при условии посещения вашего компьютера троянчиком, шифрования ним файлов, у вас будут отличные прогнозы на восстановление важной информации.

По крайней мере, вы не впадёте в панику, обнаружив, что все файлы на компьютере зашифрованы, что делать в этом случае вы уже будете точно знать.

Использование утилит

Многие антивирусные компании не бросают пользователей наедине с проблемой, когда вирусы зашифровывают документы. Лаборатория Касперского и компания «Доктор Веб» разработали специальные утилиты, помогающие устранить такие проблемные ситуации.

Итак, если вы обнаружили ужасные следы посещения шифровальщика, попробуйте воспользоваться утилитой Kaspersky RectorDecryptor.

Запустите утилиту на компьютере, укажите путь к тому файлу, который был зашифрован. Понять, что непосредственно должна делать утилита, несложно. Она способом перебора множественных вариантов пытается подобрать ключ к дешифрованию файла. К сожалению, такая операция может быть весьма продолжительной и не подходить по временным рамкам для многих пользователей.

Скачайте и загрузите программу, указав при этом ключ к файлу

В частности, может случиться так, что потребуется около 120 суток для подбора правильного ключа. При этом вы обязаны понимать, что процесс дешифрования прерывать не рекомендуется, поэтому выключать компьютер также нельзя.

Лаборатория Касперского предлагает и другие утилиты:

  • XoristDecryptor;
  • RakhniDecryptor;
  • Ransomware Decryptor.

Эти утилиты направлены на результаты зловредной деятельности иных троянчиков-шифровальщиков.

В частности, утилита Ransomware Decryptor ещё неизвестна многим, поскольку направлена на борьбу с CoinVault, который только в настоящее время начинает атаковать интернет и проникать на компьютеры пользователей.

Разработчики «Доктора Веб» также не бездействуют, поэтому презентуют пользователям свои утилиты, при помощи которых можно также попытаться восстановить зашифрованные документы на компьютере.

Создайте на диске C любую папку, придумайте ей простое название. В эту папку разархивируйте утилиту, скачанную с официального сайта компании.

Теперь можете воспользоваться ею для практического решения проблемы. Для этого запустите командную строку, наберите в ней «cd c:\XXX», где вместо XXX пропишите название папки, в которую вы поместили утилиту.

Далее припишите команду te102decrypt.exe -k h49 -e .HELP@AUSI.COM_XO101 -path c:\myfiles\.

В командной строке наберите «cd c:\XXX», где вместо XXX пропишите название папки

Вместо «myfiles» должно быть прописано название папки, в которой находятся повреждённые документы.

Теперь утилита запустится и начнётся процесс лечения, после успешного завершения вы обнаружите отчёт, в котором будет указано, что удалось восстановить. Кстати, программа не удаляет зашифрованные файлы, а просто рядом с ними сохраняет восстановленный вариант.

К сожалению, даже эта утилита «Доктора Веб» не может вами рассматриваться в качестве волшебной палочки-выручалочки, ей тоже не всё под силу.

Какие действия рекомендуется не совершать

Что делать в случае заражения многие уже, быть может, и уяснили, но опытные пользователи рекомендуют получить информацию относительно того, что делать категорически не рекомендуется, чтобы не спровоцировать более серьёзные последствия, когда шансы на восстановление документов будут приравнены к нулю.

Нельзя переустанавливать на компьютере операционную систему. В этом случае вам может быть и удастся ликвидировать вредителя, но вернуть в рабочее состояние документы точно не получится.

Нельзя запускать программы, отвечающие за очистку реестра, удаление временных файлов на компьютере.

Не рекомендуется делать антивирусное сканирование, во время которого заражённые документы могут быть просто удалены. Если вы немножечко сглупили и запустили антивирус, поддавшись панике, то проследите, по крайней мере, чтобы все заражённые файлы не были удалены, а просто помещены в карантин.

Не рекомендуется переименовывать заражённые файлы, менять их расширение, поскольку все такие действия могут минимизировать ваш шанс на успех.

Если вы являетесь продвинутым пользователем, вы можете прервать процесс шифрования на компьютере, пока он не распространился на все файлы и документы. Для этого нужно запустить «Диспетчер задач» и остановить процесс. Неопытный пользователь вряд ли сможет разобраться, какой процесс имеет отношение к вирусу.

Полезно отсоединить компьютер от интернета. Разорвав такую связь, процесс шифрования файлов и документов на компьютере в большинстве случаев также прерывается.

Итак, отлично понимая, что следует делать, когда обнаружен факт посещения трояна-шифровальщика, вы сможете предпринять шаги, обнадёживающие на успех. К тому же, получив информацию, как расшифровать файлы, зашифрованные вирусом, вы сможете попытаться самостоятельно ликвидировать проблему и не допустить её появления вновь.

Источник: https://nastroyvse.ru/programs/review/kak-vosstanovit-fajly-posle-virusa-shifrovalshhika.html

Все лайфхаки
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: