Вірус .cbf (вірус-шифрувальник): розшифрувати. Розширення .cbf
З 2014 року в Мережі з`явилося кілька нових різновидів новітніх вірусів-шифрувальників, подібних їх предку - вірусу під назвою I Love You. На жаль, CBF-вірус-шифрувальник розшифрувати навіть доступними способами, пропонованими провідними розробниками антивірусного, ПО сьогодні не вдається. Однак деякі рекомендації по відновленню зашифрованої інформації все-таки є.
Содержание
- Вірус cbf: одного поля ягоди
- Які ризики виникають проникнення вірусу в комп`ютерну систему або мережу?
- Cbf-вірус-шифрувальник: як видалити і чи варто це робити?
- Як вчинити в найпростішому випадку?
- Відновлення системи
- Відновлення колишніх версій файлів
- Використання дешифраторів
- Чого не варто робити ні в якому разі?
Вірус CBF: одного поля ягоди
На сьогоднішній день відомо як мінімум три віруси-здирника. Це вірус CBF, а також віруси XTBL і VAULT. Ведуть вони себе практично однаково, пропонуючи після зашифровуваної важливих файлів і документів заплатити за отримання коду, який би зміг зробити дешифрування даних (як правило, після виникнення повідомлення на моніторі приходить лист з вимогою оплати послуг по розшифровці).
На жаль, наївні юзери поспішають заплатити n-ну суму або навіть відправляють приклади заражених файлів зловмисникам. Але ж якщо розібратися, така інформація для багатьох компаній є конфіденційною, а при відправці стає надбанням громадськості.
Які ризики виникають проникнення вірусу в комп`ютерну систему або мережу?
Сам вірус в більшості випадків проникає в систему через листи, що отримуються за допомогою електронної пошти, рідше - при відвідуванні сумнівних сторінок в Мережі.
Помітити появу загрози може далеко не кожен, навіть самий потужний антивірусний пакет. Більш того, на самій ранній стадії він не визначається навіть портативними утилітами начебто Dr. Web Cure It !. Оскільки вірус є самокопіри, згодом він своїми щупальцями захоплює всю систему.
При перших симптомах може відразу ж проявитися надмірне навантаження на центральний процесор, а також несанкціоноване використання оперативної пам`яті. В даному випадку, наприклад, при вході в той же «Диспетчер завдань» можна побачити процес під назвою Build.exe. До речі, в основний адміністраторській директорії або папці поточного користувача створюється розділ програмних файлів x86, в якому присутня папка RarLab, що містить шуканий файл Build.exe, checkdata.dif і winrar.tmp. Крім того, файл Build з`являється і на «Робочому столі». Потім в браузері, що використовується для серфінгу по Всесвітній павутині, можуть з`явитися картинки, що містять порно або посилання на сайти еротичного змісту.
Далі слід зараження. Як правило, перейменовуються файли офісних додатків на зразок Microsoft Excel, Access і Word. Також проблеми можуть виникати з базами даних форматів .db і .dbf (найчастіше «1С: Бухгалтерія». До основного розширенню додається .cbf, але прочитати (відкрити) такі файли можливим не уявляється, оскільки сам CBF-вірус-шифрувальник розшифрувати заражені об`єкти не може (просто не вміє). Як поступити в цьому випадку?
CBF-вірус-шифрувальник: як видалити і чи варто це робити?
По-перше, потрібно чітко розуміти, що тут потрібно діяти максимально коректно. Якщо вірус визначається будь-яким програмним забезпеченням, його не можна видаляти !!! Потрібно помістити загрозу в карантин, який присутній практично у всіх додатках такого типу.
Видалення або очищення приведуть тільки до того, що основні виконувані елементи зникнуть, але зашифрована інформація все одно буде нечитабельна. Зате з карантину можна буде відправити файл на перевірку в онлайн-лабораторію виробника встановленого антивіруса в системі. Але і це працює далеко не завжди.
Як вчинити в найпростішому випадку?
Отже, розширення .cbf вірус файлів вже привласнив. Залежно від терміну дії, може спостерігатися кілька ситуацій: або файли просто зашифровані, або блокується вхід в Windows (навіть «Робочий стіл» недоступний).
Обмовимося відразу: про жодні перерахування грошових коштів і мови бути не може. Для початку краще пошукати бази даних в інтернеті з іншого комп`ютера, які містять більшість відомих кодів для розблокування доступу (скористатися можна хоча б розділом Unlocker на офіційному сайті Dr. Web). Правда, не факт, що такі коди підійдуть. Доведеться лікувати систему власноруч.
Відновлення системи
CBF-вірус розшифрувати (вірніше, наслідки його впливу на файли), якимось стандартним способом не вийде, адже в ньому застосовується алгоритм 1024-бітного шифрування. Якщо хто не знає, сьогодні актуальною є 256-бітна система AES. Можна спробувати відновити вихідні дані шляхом звернення до Windows Restore.
Якщо вхід в систему можливий, знайти даний розділ можна в «Панелі управління» і зробити відкат з контрольної точки, що передує зараження. Якщо вхід в Windows блокується повідомленням з вимогою перерахування грошей, можна спробувати кілька разів примусово перезавантажити комп`ютерний термінал або ноутбук. Робити це доведеться до тих пір, поки система «Не дозріє» для відновлення в автоматичному режимі. Природно, можна спробувати використовувати відновлювальний диск, спробувати виробляти дії з командним рядком і повністю перезаписувати завантажувальні сектори, хоча шансів на успіх мало. Це працює тільки на ранніх стадіях, коли вірус-шифрувальник CBF тільки проник в систему або мережу.
Відновлення колишніх версій файлів
Якщо відкат системи не допомагає, слід скористатися спеціальними можливостями відновлення колишніх версій файлів, які закладені в самих ОС Windows.
Для цього потрібно через «Провідник» зайти в властивості обраного диска або розділу і використовувати вкладку попередніх версій файлів. Після таких дій, знову ж таки, потрібно вибрати контрольну точку, потім відкрити і скопіювати потрібні файли в інше місце. Такий спосіб у багатьох випадках виявляється більш дієвим.
Використання дешифраторів
Якщо розглядати методи, пропоновані розробниками антивірусного ПО, розширення CBF-вірусу можна спробувати прибрати за допомогою спеціальних додатків-дешифраторів (але тільки офіційних, а не призначених для користувача розробок на кшталт декодерів незрозумілого походження).
Однак відразу варто зазначити, що вони працюють тільки за умови наявності встановленої офіційної версії антивірусного сканера з відповідним ліцензійним ключем. В іншому випадку можна тільки нашкодити. Вірус просто віддалиться, після чого навіть можливості зв`язатися зі зловмисниками не буде. Тут доведеться займатися повторної інсталяцією всієї системи.
Чого не варто робити ні в якому разі?
Як уже зрозуміло, CBF-вірус-шифрувальник розшифрувати файли, їм же і заражені, не може. Окремо варто звернути увагу на дії, які виконувати не рекомендується категорично. Відзначимо найважливіші пункти:
- використання дешифраторів при встановленій «крекнутой» версії антивіруса;
- перейменування заражених файлів з метою зміни розширення;
- очищення кешу та історії браузера до відправлення підозрілих файлів на аналіз розробнику антивірусного ПО;
- переустанавка операційки без форматування дисків або логічних розділів;
- відправка грошей і файлів на розшифровку невідомим або підозрілим джерел, наприклад, на поштові адреси на зразок [email protected] з якоюсь ще припискою.
В цілому ж потрібно чітко розуміти, що CBF-вірус-шифрувальник розшифрувати власними силами просто не вийде. Вже краще звернутися до офіційних сайтів антивірусних лабораторій на кшталт «Касперського», де в спеціальному розділі можна залишити проблемні файли для аналізу, або відправити карантинний файл безпосередньо з програми.
Однак (це стверджується усіма розробниками) краще до зараженого файлу додати оригінал, якщо такий є, скажімо, у вигляді копії на якомусь знімному носії. В даному випадку розшифровка стане набагато простіше, хоча далеко не факт, що потрібні користувачеві файли буду відновлені.
Як правило, і це підтверджує більшість відгуків користувачів, служба підтримка зазвичай мовчить дуже довго, а якщо і розшифровує дані, це стосується одиничних файлів. А що робити з масивами в десятки або сотні гігабайт? Такий обсяг навіть за допомогою спеціальних «хмарних» сервісів відправити, а тим більше відновити, просто нереально. Але будемо сподіватися, що розробники все-таки знайдуть засіб лікування заражених файлів і спосіб протидії проникненню загроз цього типу в комп`ютерні системи і мережі.
