Блог Fixcom

Вирус зашифровал файлы: способ восстановления данных

Основной
Метод описанный в данной статье не поможет в 100% случаях, но шанс на восстановление существует.



В интернете есть много информации описывающих способы восстановления зашифрованных файлов, но как показывает практика бесполезные. Они расшифровывают файлы пострадавшие от уже известных угроз, а как правило на компьютер попадает самый свежий и новый вирус, метод расшифровка которого пока неизвестен.

Вирус шифрует файлы сейчас, что делать?
Скорее обесточьте компьютер (выньте вилку из розетки)! Глубоко вдохните.

Зачем выключили компьютер?
Помешали вирусу шифровать нормальные файлы на компьютере и сетевых дисках. Он может повредить всю информацию, до которой дотягивается. Также вирус не сможет удалить другую важную информацию, которая потребуется ИТ-инженерам для расшифровки файлов. В лучшем случае системный блок не включать и передать ИТ-инженеру. Однако если есть желание попробовать “вылечить” файлы самостоятельно, обратимся к зарубежным специалистам.

Чего не стоит делать на зараженном компьютере:
перезагружать или включать компьютера. Это окончательно убьет ваши файлы.
запускать любых антивирусных приложений. Это убьет сам файл вируса. ИТ-инженеры могут восстановить файлы, если есть тело вируса.
удалять/переименовывать какие-либо файлы и программы
переводить злоумышленникам деньги (сразу).

Хотя мы однажды торговались с “хакерами” ). Изначально они требовали около 700.000 тенге и угрожали, мол не оплатите в течение суток, прайс взлетит до небес. Через пару дней они сделали небольшую скидку до 400.000 тенге. Немного погодя, цена за расшифровку опустилась до 250.000 тенге. В итоге послали их нахрен. Но как показывает интернет, люди платят деньги злоумышленникам и они помогают с расшифровкой. Однако так рисковать не рекомендую. Расчет в биткойнах.

Получи от вас письмо, злоумышленники передадут ваш email компаниям, которые занимаются спам-рассылкой.

Теперь нам требуется каким-то образом вытащить с компьютера 3-4 небольших зашифрованных файла и письмо с требованием выкупа (davaiPlatyDengi.txt). Например вы можете извлечь жесткий диск с зараженного компьютера и подключить его к другому компьютеру и таким образом скачать файлы.

Допустим нам удалось получить 3-4 зашифрованных файла и документ с требованием перевода денег. Переходим на сайт wetransfer.com и загружаем (нажимаем на иконку плюс) все файлы с зараженного компьютера, в том числе документ с требованием выкупа.

Адрес получателя: emte@adc-soft.com
Адрес отправителя: ваш эл. ящик
Текстовое поле: можете оставить пустым
Жмякаем “Transfer”

Что дальше?
Ждем от 2 до 5 дней. Зарубежные специалисты в течении нескольких суток будут пытаться подобрать нужный алгоритм. Однозначно писать, что все получится нельзя. Рекомендую пока попробовать восстановить зашифрованные файлы с помощью других сервисов. Их перечень найдете в конце статьи.

Внимание! Используем только те файлы, которые вытащили с жесткого диска.

Все хорошо?
Допустим файлы удалось расшифровать, поздравляю! Услуга платная, специалисты попросят с вас около 40.000 тенге в американской валюте. Взамен вы получите программу для расшифровки файлов, а также антивирус Dr.Web с лицензией на два года. Таковы условия.

Все плохо?
Специалистам не удалось восстановить файлы? Отложите жесткий диск с зараженной информацией на полочку до лучших времен момента пока не найдете расшифровщик. Необходимо будет мониторить сервисы и определенные сайты. Возможность восстановить файлы есть, но надо будет ждать.

Ожидая помощи, вы можете попробовать восстановить зашифрованные файлы с помощью следующих утилит и сервисов (список периодически пополняем):
https://id-ransomware.malwarehunterteam.com/index.php
https://noransom.kaspersky.com/ru/
https://decryptors.blogspot.com/2016/05/blog-post.html
https://www.nomoreransom.org/ru/index.html

Что можно попробовать еще?

Можете попробовать вытащить файлы из теневой копии, для этого используйте специальную программу – ShadowExplorer. Однако таким образом удастся восстановить не больше 10% информации от общего объема данных. В наши дни большинство семейств шифровальщиков удаляют теневые копии.

Рекомендации по защите.
Делайте периодически бэкап важной информации.
Не скачивайте файлы от неизвестный email-адресов.
Включите отображение расширения файлов. Вы будете видеть формат файла. С осторожностью запускайте файлы, которые заканчивают на .scr или .exe.


Не пожалейте денег на нормальный антивирус. Мы рекомендуем Dr.Web, так как знаем этот продукт не понаслышке и являемся сертифицированными партнерами Dr.Web.
Настройте временное правила файрвола (nat). Данная рекомендация подойдет тем, кто пробрасывает например RDP порты с внешнего мира на локальный сервер. Сделайте правило временным, например отключайте его в ночное время и в выходные дни. Ниже приведен скрин с оборудования Mikrotik. Большинство попыток взлома происходит в ночное время, когда техника один на один остается с хакером.

Made on
Tilda