Трояны-шифровальщики. Как восстановить зашифрованные файлы?

В настоящее время популярно заражение систем пользователей троянами, зашифровывающими пользовательские файлы (Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Цифровой сейф, Цифровой кейс, lockdir.exe, rectorrsa и проч). Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т.д. при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч. Особенно опасны трояны-шифровальщики для коммерческих фирм, поскольку потерянные данные баз данных, платежных документов могут заблокировать работу фирмы на неопределенное время, приводя к упущению выгоды.

К сожалению в настоящее время 100% способов расшифровать поврежденные файлы не существует. Процитируем рекомендации компаний «Др.Веб» и «Лаборатории Касперского«:

  • немедленно отключите компьютер для остановки действия трояна, кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных;
  • без особой надобности не включайте компьютер с зашифрованными данными, так как во время включений и перезагрузок происходят изменения файловой системы;
  • обратитесь с соответствующим заявлением в правоохранительные органы;
  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никаких файлов и почтовых сообщений на Вашем компьютере;
  • не запускайте никаких «чистильщиков» временных файлов и реестра;
  • не следует сканировать и лечить компьютер антивирусами и антивирусными утилитами, а тем более антивирусными LiveCD, в крайнем случае можно переместить зараженные файлы в карантин антивируса;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в антивирусную лабораторию компании, в которой есть подразделение вирусных аналитиков, занимающихся данной проблемой;
  • к тикету приложите зашифрованный троянцем файл;
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.


Адреса с формами отправки зашифрованных файлов:

  • Др.Веб (необходимо выбрать «Запрос на лечение»)
  • Лаборатория Касперского (необходимо выбрать «Запрос на исследование вредоносного файла»)
  • support@esetnod32.ru — ESET, LLC

Самостоятельное восстановление зашифрованных файлов

После успешного восстановления данных необходимо проверить систему на наличие вредоносных программ, для этого следует выполнить правила оформления запроса и создать тему с описанием проблемы в разделе Лечение персонального компьютера от вирусов

Cпособы защиты от троянов-шифровальщиков

К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись сLiveCD. Так же резервное копирование можно проводить на так называемые «облачные хранилища«, предоставляющиеся некоторыми компаниями.

Ссылки:


LiveCD (Linux-based LiveCD с функциями восстановления данных):


Прочее:


Методы шифрования:


Ссылки по теме: