Вірус-шифрувальник: як вилікувати і розшифрувати файли? Розшифровка файлів після вірусу-шифрувальника

Самі по собі віруси як комп`ютерна загроза сьогодні нікого не дивують. Але якщо раніше вони впливали на систему в цілому, викликаючи збої в її працездатності, сьогодні, з появою такого різновиду, як вірус-шифрувальник, дії проникаючої загрози стосуються більше призначених для користувача даних. Він являє собою, бути може, навіть більшу загрозу, ніж деструктивні для Windows виконувані програми або шпигунські аплети.

Що таке вірус-шифрувальник?

Сам по собі код, прописаний в самокопіюється вірус, передбачає шифрування практично всіх призначених для користувача даних спеціальними криптографічними алгоритмами, що не зачіпає системні файли операційної системи.

Спочатку логіка впливу вірусу багатьом була не зовсім зрозуміла. Все прояснилося тільки тоді, коли хакери, котрі творили такі аплети, почали вимагати за відновлення початкової структури файлів гроші. При цьому сам проник вірус-шифрувальник розшифрувати файли в силу своїх особливостей не дозволяє. Для цього потрібен спеціальний дешифратор, якщо хочете, код, пароль або алгоритм, необхідний для відновлення шуканого вмісту.

Принцип проникнення в систему і роботи коду вірусу

Як правило, «підчепити» таку гидоту в Інтернеті досить важко. Основним джерелом поширення «зарази» є електронна пошта на рівні інстальованих на конкретному комп`ютерному терміналі програм на зразок Outlook, Thunderbird, The Bat та т. Д. Зауважимо відразу: поштових інтернет-серверів це не стосується, оскільки вони мають досить високий ступінь захисту, а доступ до призначених для користувача даних можливий хіба що на рівні хмарних сховищ.

Інша справа - додаток на комп`ютерному терміналі. Ось тут-то для дії вірусів поле настільки широке, що і уявити собі неможливо. Правда, тут теж варто зробити застереження: у більшості випадків віруси мають на меті великі компанії, з яких можна «здерти» гроші за надання коду розшифровки. Це і зрозуміло, адже не тільки на локальних комп`ютерних терміналах, а й на серверах таких фірм може зберігатися не те що повністю конфіденційна інформація, але і файли, так би мовити, в єдиному екземплярі, що не підлягають знищенню ні в якому разі. І тоді розшифровка файлів після вірусу-шифрувальника стає досить проблематичною.

Звичайно, і пересічний користувач може зазнати такої атаці, але в більшості випадків це малоймовірно, якщо дотримуватися найпростіші рекомендації по відкриттю вкладень з розширеннями невідомого типу. Навіть якщо поштовий клієнт визначає вкладення з розширенням .jpg як стандартний графічний файл, спочатку його обов`язково потрібно перевірити штатним антивірусним сканером, встановленим в системі.

Якщо цього не зробити, при відкритті подвійним кліком (стандартний метод) запуститься активація коду, і почнеться процес шифрування, після чого той же Breaking_Bad (вірус-шифрувальник) не тільки буде неможливо видалити, але і файли після усунення загрози відновити не вдасться.

Загальні наслідки проникнення всіх вірусів такого типу

Як вже говорилося, більшість вірусів цього типу проникають в систему через електронну пошту. Ну ось, припустимо, у велику організацію, на конкретний зареєстрований мейл приходить лист зі змістом на кшталт «Ми змінили контракт, скан у вкладенні» або «Вам відправлена накладна з відвантаження товару (копія там-то)». Природно, нічого не підозрюючи співробітник відкриває файл і ...

Всі призначені для користувача файли на рівні офісних документів, мультимедіа, спеціалізованих проектів AutoCAD або ще яких-небудь архіважливих даних моментально зашифровуються, причому, якщо комп`ютерний термінал знаходиться в локальній мережі, вірус може передаватися і далі, шифруючи дані на інших машинах (це стає помітним відразу по «гальмування» системи і зависання програм або запущених в даний момент додатків).

Після закінчення процес шифрування сам вірус, мабуть, відсилає своєрідний звіт, після чого компанії може прийти повідомлення про те, що в систему проникла така-то і така-то загроза, і що розшифрувати її може тільки така-то організація. Зазвичай це стосується вірусу [email protected]. Далі йде вимога сплатити послуги з дешифрування з пропозицією опублікувати декілька файлів на електронну пошту клієнта, найчастіше є фіктивною.

Шкода від впливу коду

Якщо хто ще не зрозумів: розшифровка файлів після вірусу-шифрувальника - процес досить трудомісткий. Навіть якщо не «вестися» на вимоги зловмисників і спробувати задіяти офіційні державні структури по боротьбі з комп`ютерними злочинами і їх запобіганню, зазвичай нічого путнього не виходить.

Якщо видалити всі файли, провести відновлення системи і навіть скопіювати оригінальні дані з знімного носія (природно, якщо така копія є), все одно при активованому вірус все буде зашифровано заново. Так що особливо радіти не варто, тим більше що при вставці тієї ж флешки в USB-порт користувач навіть не помітить, як вірус зашифрує дані і на ній. Ось тоді точно проблем не оберешся.

Первісток в сімействі

Тепер звернемо увагу на перший вірус-шифрувальник. Як вилікувати і розшифрувати файли після впливу виконуваного коду, укладеного як вкладення електронної пошти з пропозицією знайомства, в момент його появи ніхто ще не думав. Усвідомлення масштабів лиха прийшло тільки з часом.

Той вірус мав романтичну назву «I Love You». Нічого не підозрюючи користувач відкривав вкладення в меседжі «елетронкі» і отримував повністю невідтворювані файли мультимедіа (графіка, відео і аудіо). Тоді, правда, такі дії виглядали більш деструктивними (нанесення шкоди призначеним для користувача медіа-бібліотекам), та й грошей за це ніхто не вимагав.

Найновіші модифікації

Як бачимо, еволюція технологій стала досить прибутковою справою, особливо якщо врахувати, що багато керівників великих організацій моментально біжать оплачувати дії по дешифрування, абсолютно не думаючи про те, що так можна позбутися і грошей, і інформації.

До речі сказати, не дивіться на всі ці «ліві» пости в Інтернеті, мовляв, "я оплатив / оплатила необхідну суму, мені прислали код, все відновилося". Нісенітниця! Все це пишуть самі розробники вірусу з метою залучення потенційних, вибачте, «лохів». Але ж, за мірками рядового користувача, суми для оплати досить серйозні: від сотні до декількох тисяч або десятків тисяч євро або доларів.

Тепер подивимося на нові типи вірусів такого типу, які були зафіксовані відносно недавно. Всі вони практично схожі і відносяться не тільки до категорії шифрувальників, але ще і до групи так званих вимагачів. У деяких випадках вони діють більш коректно (на кшталт paycrypt), начебто висилаючи офіційні ділові пропозиції або повідомлення про те, що хтось піклується про безпеку користувача або організації. Такий вірус-шифрувальник своїм повідомленням просто вводить користувача в оману. Якщо той зробить хоч найменше дію з оплати, все - «розлучення» буде по повній.

вірус XTBL

Відносно недавно з`явився вірус XTBL можна віднести до класичного варіанту шифрувальника. Як правило, він проникає в систему через повідомлення електронної пошти, що містять вкладення у вигляді файлів з розширенням .scr, яке є стандартним для скринсейвера Windows. Система і користувач думають, що все в порядку, і активують перегляд або збереження вкладення.

На жаль, це призводить до сумних наслідків: імена файлів перетворюються в набір символів, а до основного розширенню додається ще .xtbl, після чого на шуканий адресу пошти приходить повідомлення про можливість дешифрування після оплати зазначеної суми (зазвичай 5 тисяч рублів).

вірус CBF

Даний тип вірусу теж відноситься до класики жанру. З`являється він в системі після відкриття вкладень електронної пошти, а потім перейменовує призначені для користувача файли, додаючи в кінці розширення на зразок .nochance або .perfect.

На жаль, розшифровка вірусу-шифрувальника такого типу для аналізу вмісту коду навіть на стадії його появи в системі є неможливою, оскільки після завершення своїх дій він виробляє самоліквідацію. Навіть таке, як вважають багато хто, універсальний засіб, як RectorDecryptor, не допомагає. Знову ж користувачеві приходить лист з вимогою оплати, на що дається два дні.

вірус Breaking_Bad

Цей тип загроз працює за тією ж схемою, але перейменовує файли в стандартному варіанті, додаючи до розширення .breaking_bad.

Цим ситуація не обмежується. На відміну від попередніх вірусів, цей може створювати і ще одне розширення - .Heisenberg, так що знайти всі заражені файли не завжди можна. Так що Breaking_Bad (вірус-шифрувальник) є досить серйозною загрозою. До речі сказати, відомі випадки, коли навіть ліцензійний пакет Kaspersky Endpoint Security 10 пропускає загрозу цього типу.

вірус [email protected]

Ось ще одна, мабуть, найсерйозніша загроза, яка спрямована здебільшого на великі комерційні організації. Як правило, в якійсь відділ приходить лист, що містить начебто зміни до договору про постачання, або навіть просто накладна. Вкладення може містити звичайний файл .jpg (типу зображення), але частіше - виконуваний скрипт .js (Java-аплет).

Як розшифрувати вірус-шифрувальник цього типу? Судячи з того, що там застосовується якийсь невідомий алгоритм RSA-1024, ніяк. Якщо виходити з назви, можна припустити, що це 1024-бітна система шифрування. Але, якщо хтось пам`ятає, сьогодні найдосконалішою вважається 256-бітна AES.

Вірус-шифрувальник: як вилікувати і розшифрувати файли за допомогою антивірусного ПЗ

На сьогоднішній день для розшифровки загроз такого типу рішень поки не знайдено. Навіть такі метри в області антивірусного захисту, як Kaspersky, Dr. Web і Eset, не можуть знайти ключ до вирішення проблеми, коли в системі наслідив вірус-шифрувальник. Як вилікувати файли? У більшості випадків пропонується відправити запит на офіційний сайт розробника антивірусу (до речі, тільки при наявності в системі ліцензійного ПЗ цього розробника).

При цьому потрібно прикріпити кілька зашифрованих файлів, а також їх "здорові" оригінали, якщо такі є. В цілому ж, за великим рахунком мало хто зберігає копії даних, так що проблема їх відсутності тільки погіршує і без того неприємну ситуацію.

Можливі способи ідентифікації та усунення загрози вручну

Так, сканування звичайними антивірусами загрози визначає і навіть видаляє їх з системи. Але що робити з інформацією?

Деякі намагаються використовувати програми-дешифратори на кшталт згаданої вже утиліти RectorDecryptor (RakhniDecryptor). Відзначимо відразу: це не допоможе. А у випадку з вірусом Breaking_Bad так і зовсім може тільки нашкодити. І ось чому.

Справа в тому, що люди, що створюють такі віруси, намагаються убезпечити себе і дати настанову іншим. При використанні утиліт для дешифрування вірус може відреагувати таким чином, що вся система «злетить», причому з повним знищенням всіх даних, що зберігаються на жорстких дисках або в логічних розділах. Це, так би мовити, показовий урок для науки всім тим, хто не хоче платити. Залишається сподіватися тільки на офіційні антивірусні лабораторії.

кардинальні методи

Втім, якщо вже справи зовсім кепські, доведеться інформацією пожертвувати. Щоб повністю позбавитися від загрози, потрібно відформатувати весь вінчестер, включаючи віртуальні розділи, після чого встановити «операційну» заново.

На жаль, іншого виходу немає. Навіть відкат системи до певної збереженої точки відновлення не допоможе. Вірус, може бути, і зникне, але файли так і залишаться зашифрованими.

замість післямови

На закінчення варто відзначити, що ситуація така: вірус-шифрувальник проникає в систему, робить свою чорну справу і не лікується ніякими відомими способами. Антивірусні засоби захисту виявилися не готові до такого типу загроз. Само собою зрозуміло, що виявити вірус після його впливу або видалити можна. Але зашифрована інформація так і залишиться в непривабливому вигляді. Так що хочеться сподіватися, що кращі уми компаній-розробників антивірусного ПО все-таки знайдуть рішення, хоча, судячи з алгоритмам шифрування, зробити буде дуже непросто. Згадати хоча б шифрувальну машину Enigma, яка за часів Другої світової війни була у німецького флоту. Кращі криптографи не могли вирішити проблему алгоритму для дешифрування повідомлень, поки не придбали пристрій в свої руки. Так йдуть справи і тут.

Статті схожі на "Вірус-шифрувальник: як вилікувати і розшифрувати файли? Розшифровка файлів після вірусу-шифрувальника"

Перша допомога комп`ютера: лікуємо вірус "троян"

Smss.exe - що це? Вірус або корисний процес windows?

Xtbl (вірус-шифрувальник): як розшифрувати? Дешифратор файлів після вірусу з розширенням xtbl

Вірус paycrypt @ gmail_com: як лікувати