Вирус шифровальщик как вылечить и расшифровать файлы помощь по лечению. Почему именно "попытаться расшифровать"

Признаки беременности после имплантации эмбриона

Не так давно в сети появился новый вирус, работающий на основе программы-шифровальщика данных. Именуемый также как вирус старуха Шапокляк. Специализируется он по всем файлам, которые могут иметь коммерческую ценность и шифрует их в расширения типа cbf, vault и xtbl . После шифрования вирус просит перевести определенное количество средств на Bitcoin, при этом взамен предлагает дешифратор и лечение. Даже если Вы отправляете деньги, обратно вы не получаете ничего и становитесь очередной жертвой аферы. Специалисты компании Позитив готовы помочь вам расшифровать ваши файлы . Для расшифровки нам понадобится файл под названием VAULT.KEY, который оставил вирус на зараженном компьютере.

Как мы можем вам помочь?

  • Позвоните нам по телефону 8 800 775 14 20
  • Мы высылаем к вам мастера, если вы находитесь далеко от Санкт-Петербурга, то есть возможность подключиться к вашему компьютеру удаленно через TeamViewer
  • Берем на анализ заражённые файлы
  • Пишем дешифратор и договариваемся о способах оплаты
  • Оплата. Возможен как наличный так и безналичный расчет

Не стоит тянуть с расшифровкой, так как вирус xtbl, vault опасен тем, что если его не вылечить в срок, отведённый хакерами, то он удалит файлы и возможно сломает систему.

В данной статье постараемся детально рассмотреть причины возникновения такого вируса у Вас на компьютере и возможные пути его лечения.

Способы проникновения вируса

Исходя из наблюдений, чаще всего методом проникновения шифровщика на персональный компьютер является электронная почта. От имени одного из банков, чьим клиентом Вы являетесь, приходит письмо, в котором сообщается о задолженности или о внезапной проверке регистрационных данных в результате сбоя системы. Также довольно часто встречаются письма из якобы арбитражного суда либо судебных приставов, где также Вас информируют о задолженности. Все сообщения такого типа непременно будут иметь вложения в виде файла: «акт чего-либо.doc.exe», «Благодарственное письмо.hta» или «Регистрационные данные.cab» и т.п. После запуска таких вложений стартует процесс шифрования. Вирус шифрует все исполнительские файлы (документы, фотографии, видеозаписи, архивы и т.д.).


После завершения упаковки файлов вирус, обычно, сообщает нам о шифровке файлов, а также рекомендациям по их дешифровке. Под рекомендациями имеются в виду способы оплаты злоумышленнику. Может быть создан файл на диске С под названием: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt или возникнуть картинка на рабочем столе, сообщающая о зашифровке файлов.

Подавляющее число таких вирусов Шапокляк живут не более 3-5 дней. Первые два дня предоставляются для поиска жертв и на внесение его в базу антивирусника. Затем злоумышленник изменяет код вируса и запускает новую модификацию. Такой цикл повторяется постоянно.

Лечение и устранение вируса

Лечить вирус старуха шапокляк крайне сложно, но возможно. К сожалению, на сегодняшний день антивирусные компании не предоставляют полноценно-работающего средства для устранения последствий безжалостного троянца. К примеру, лаборатория Касперского способна предоставить дешифратор. Но даже он способен помочь далеко не во всех случаях. Стоит заметить, что такой дешифратор не в состоянии был расшифровать базы для 1C 8 версии, зашифрованные вирусом.

Наша компания настоятельно рекомендует не бороться с подобной проблемой самостоятельно. Пользователь может быть подвержен риску раз и навсегда потерять нужные данные. Самостоятельное удаление вируса и его компонентов способствует усложнению дальнейшей расшифровки файлов. Наши специалисты грамотно смогут подобрать дешифратор индивидуально для каждого вида подобного вируса и способны помочь восстановить зашифрованные документы . К тому же стоимость восстановления обойдется значительно дешевле, нежели та которую вымогают злоумышленники.

Последний месяц был довольно-таки продуктивным для кибер вымогателей, появился целый ряд новых “решений” созданных для шифрования данных пользователей с последующим требованием выкупа. Большинство из них заточено под западный и азиатский рынки (более платежеспособные жертвы) но и на рынке СНГ антивирусные лаборатории отслеживают рост количества атак и инфицированных ПК з зашифрованными данными.

Далее мы расскажем о наиболее распространенных версиях шифровальщиков и возможных методах расшифровки Ваших данных (хотя-бы частично). Напоминаем, что ОПЛАТА ЗЛОУМЫШЛЕННИКАМ НЕ ГАРАНТИРУЕТ ТОГО ЧТО ОНИ ВЫШЛЮТ ВАМ КЛЮЧ РАСШИФРОВКИ . Мы фиксируем десятки случаев когда после оплаты “хакеры” просто переставали выходить на связь.

Мы отобрали наиболее распространенные шифровальщики в ноябре 2016 года. Часть из них – разные модификации более ранних зловредов.

  • Trojan.encoder.567 – шифрует базы данных 1С. Инфицирует ПК через электронную почту. Меняет расширения файлов на рандомные (.qqr. .xbz. .fgh..). Для связи с злоумышленниками e-mail: [email protected] .
  • Trojan.Encoder.94 – Меняет расширения файлов на рандомные. Для связи с злоумышленниками почта [email protected]
  • Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae ([email protected], [email protected], e0cr2 [email protected], [email protected], 30cr1ptss77 @gma4l.com и.т.д.) Кроме шифрования файлов иногда помещает их в запароленный архив.
  • Шифровальщик Cryakl ([email protected] 1.2.0.0) – меняет расширения зашифрованных файлов на .cbf . Для связи используется почта [email protected].
  • TR/Ransom.Xorist.EJ и Trojan-Ransom.Win32.Xorist.ln – шифруют базы 1С и некоторые другие типы баз данных.
  • HEUR:Trojan.Win32.Generic разных версий – связь с злоумышленниками через почту [email protected], [email protected] либо [email protected] . Меняет расширения файлов на .errorfi, .erfile или .errorfiles . Шифрует больше 40 типов файлов, в том числе базы данных и архивы.
  • HEUR:Trojan.Script.Agent.gen или .kukaracha так как переименовывает расширения файлов таким странным именем. [email protected] для связи с “хакерами”.
  • Trojan.Win32.Dimnie.gh – более известный как (меняет расширения файлов на .neitrino ). Связь через почту [email protected]
  • [email protected] – один из клонов ранее известных шифровальщиков, который использует стойкий к расшифровке алгоритм RSA-2048
  • .dosfile (dosfile.exe) – связь с злоумышленниками через почту [email protected] . Очень распространенный шифровальщик, который не поддается расшифровке. В считанные минуты шифрует документы и xls таблицы.
  • Trojan.Encoder.6674 (ISHTAR) – еще один из вариантов. Менее распространен в СНГ.
  • Cripton – (для связи с злоумышленниками [email protected], [email protected] ). Меняет расширения файлов на .cpt
  • .filezx – вариант шифровальщика, который распространен в Белоруссии.
  • [email protected], [email protected] – шифрует базы 1С и некоторые другие типы файлов
  • [email protected] – один из вариантов зловреда, распространяемых через вложения в электронной почте.
  • .matrix – мало распространенный шифровальщик.
  • Cripttt – старый, переживший несколько модификаций шифровальщик. Шифрует в основном фото и видео файлы, а также документы. Расширение у файлов .Cripttt .

Это далеко не все шифровальщики, которые появились в ноябре 2016. Мы выбрали наиболее распространенные. Следует отметить что злоумышленники постоянно придумывают новые тактики и методы заражения. Например маскируют исполняемый файл вируса под судебный иск или уведомление из налоговой. И маскируют довольно таки умело, судя по количеству инфицированных ПК.

Кроме того злоумышленники часто прибегают к откровенному шантажу, заставляя пользователей платить на протяжении 24-48 часов (иногда даже 8 часов!).

Вариант угрозы о невозможности расшифровки файлов в случае не уплаты

Варианты сообщений от наиболее распространенных шифровальщиков:

Запросить стоимость декриптора можно, написав письмо на адрес: [email protected]
В ТЕМЕ письма укажите ваш ID: 9309624421
Письма без указания ID игнорируются.
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Приобрести декриптор можно до 18.11.2016
Заявки обрабатываются автоматической системой.

Baшu фaйлы были зaшифрованы.
Чmoбы раcшифpoваmь ux, Bам необхoдuмо оmnpaвить код:
1597D5599D6549465E7F|0
на электрoнный aдpеc [email protected] .
Дaлeе вы noлучuтe вcе необхoдимыe uнстрykциu.
Попытku раcшuфpoвать сaмoсmоятельнo не nривeдуm ни k чeмy, кpомe бeзвозвраmнoй потеpи uнфoрмацuи.
Еcлu вы вcё же xоmиme пonытатьcя, mо предвaрumeльнo сделайтe резepвные kопuи фaйлов, инaчe в случae
иx uзмeнения pаcшифрoвkа cтанет невoзмoжной ни прu kakux yсловuях.
Если вы не noлyчuли omвeтa пo вышеуkaзaнному адpeсy в mеченuе 48 чacов (и только в эmом слyчаe!),
восnользуйтесь фоpмoй обpamнoй cвязu. Этo мoжно cделaть двyмя cnoсобамu:
1) Скaчайmе и ycmановиme Tor Browser no ccылke: https://www.torproject.org/download/…d-easy.html.en
В адрeснoй стpокe Tor Browser-а ввeдuте адpec:
http://cryptsen7fo43rr6.onion/
u нажмuтe Enter. 3aгpyзumcя cmрaнuца c фoрмой обpатнoй связи.
2) В любoм браузерe пeрейдume пo oднoму из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ!!!
================================================== ================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
[email protected] или (если не получили ответа больше суток) сюда [email protected]
========
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА – ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ!!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ!!!
================================================== ==================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ!!!
================================================== ==================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО!!!

Удалить вирус-шифровальщик с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.

  1. . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам с разными расширениями

Как было отмечено, программа-вымогатель блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Дешифратор – программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вируса-вымогателя

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.

Публикации по теме