Файл locked решение. Методы защиты от вируса-шифровальщика. Как защититься от вредоносов такого типа

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том - что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский , генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку - вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar - «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
- прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
- Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
- использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус - «бич» современности и брать «бабло» с однополчан - это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 - я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» - Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке , так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение.perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал - дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Главный писатель по вопросам технологий

Вам кто-то послал по электронной почте файл LOCKED, и вы не знаете, как его открыть? Может быть, вы нашли файл LOCKED на вашем компьютере и вас заинтересовало, что это за файл? Windows может сказать вам, что вы не можете открыть его, или, в худшем случае, вы можете столкнуться с соответствующим сообщением об ошибке, связанным с файлом LOCKED.

До того, как вы сможете открыть файл LOCKED, вам необходимо выяснить, к какому виду файла относится расширения файла LOCKED.

Tip: Incorrect LOCKED file association errors can be a symptom of other underlying issues within your Windows operating system. These invalid entries can also produce associated symptoms such as slow Windows startups, computer freezes, and other PC performance issues. Therefore, it highly recommended that you scan your Windows registry for invalid file associations and other issues related to a fragmented registry.

Ответ:

Файлы LOCKED имеют Uncommon Files, который преимущественно ассоциирован с Unknown Apple II File (found on Golden Orchard Apple II CD Rom).

Файлы LOCKED также ассоциированы с Softwrap Locked and Encrypted EXE File (Softwrap) и FileViewPro.

Иные типы файлов также могут использовать расширение файла LOCKED. Если вам известны любые другие форматы файлов, использующие расширение файла LOCKED, пожалуйста, свяжитесь с нами , чтобы мы смогли соответствующим образом обновить нашу информацию.

Как открыть ваш файл LOCKED:

Самый быстрый и легкий способ открыть свой файл LOCKED - это два раза щелкнуть по нему мышью. В данном случае система Windows сама выберет необходимую программу для открытия вашего файла LOCKED.

В случае, если ваш файл LOCKED не открывается, весьма вероятно, что на вашем ПК не установлена необходимая прикладная программа для просмотра или редактирования файлов с расширениями LOCKED.

Если ваш ПК открывает файл LOCKED, но в неверной программе, вам потребуется изменить настройки ассоциации файлов в вашем реестре Windows. Другими словами, Windows ассоциирует расширения файлов LOCKED с неверной программой.

Установить необязательные продукты - FileViewPro (Solvusoft) | | | |

LOCKED Инструмент анализа файлов™

Вы не уверены, какой тип у файла LOCKED? Хотите получить точную информацию о файле, его создателе и как его можно открыть?

Теперь можно мгновенно получить всю необходимую информацию о файле LOCKED!

Революционный LOCKED Инструмент анализа файлов™ сканирует, анализирует и сообщает подробную информацию о файле LOCKED. Наш алгоритм (ожидается выдача патента) быстро проанализирует файл и через несколько секунд предоставит подробную информацию в наглядном и легко читаемом формате.†

Уже через несколько секунд вы точно узнаете тип вашего файла LOCKED, приложение, сопоставленное с файлом, имя создавшего файл пользователя, статус защиты файла и другую полезную информацию.

Чтобы начать бесплатный анализ файла, просто перетащите ваш файл LOCKED внутрь пунктирной линии ниже или нажмите «Просмотреть мой компьютер» и выберите файл. Отчет об анализе файла LOCKED будет показан внизу, прямо в окне браузера.

Перетащите файл LOCKED сюда для начала анализа

Просмотреть мой компьютер »

Пожалуйста, также проверьте мой файл на вирусы

Ваш файл анализируется... пожалуйста подождите.

Хакеры-вымогатели очень похожи на обычных шантажистов. Как в реальном мире, так и в кибер-среде есть единичный или групповой объект атаки. Его либо крадут либо делают недоступным. Далее преступники используют определенные средства коммуникации с жертвами для передачи своих требований. Компьютерные мошенники обычно выбирают всего несколько форматов для письма с требованием выкупа, но его копии можно обнаружить практически в любом участке памяти инфицированной системы. В случае семьи шпионского ПО, известного как Troldesh или Shade, при контакте с жертвой аферисты практикуют особый подход.

Рассммотрим поближе этот штамм вируса-шифровальщика, который ориентирован на русскоязычную аудиторию. Большинство аналогичных инфекций определяет раскладку клавиатуры на атакуемом ПК, и если одним из языков является русский, вторжение прекращается. Однако вирус-вымогатель XTBL неразборчив: к несчастью для пользователей, атака разворачивается независимо от их географического местоположения и языковых предпочтений. Наглядным воплощением такой универсальности является предупреждение, которое появляется в виде фона рабочего стола, а также ТХТ файла с инструкцией по уплате выкупа.

Вирус XTBL обычно распространяется через спам. Сообщения напоминают письма известных брендов, или просто бросаются в глаза, поскольку в теме сообщения используются такие выражения, как «Срочно!» или «Важные финансовые документы». Фишинговая уловка сработает, когда получатель такого эл. сообщения загрузит ZIP-файл, содержащий код JavaScript, или объект Docm с потенциально уязвимым макросом.

Выполнив базовый алгоритм на скомпрометированном ПК, троян-вымогатель переходит к поиску данных, которые могут представлять ценность для пользователя. С этой целью вирус сканирует локальную и внешнюю память, одновременно сопоставляя каждый файл с набором форматов, подобранных на основе расширения объекта. Все файлы.jpg, .wav, .doc, .xls, а также множество прочих объектов подвергаются шифрованию через симметричный блочный крипто-алгоритм AES-256.

Различают два аспекта такого вредоносного воздействия. Прежде всего, пользователь утрачивает доступ к важным данным. Кроме того, имена файлов подвергаются глубокой кодировке, из которой на выходе получается бессмысленный набор из шестнадцатеричных символов. Все, что объединяет имена пораженных файлов, это добавленное к ним расширение xtbl, т.е. название кибер-угрозы. Имена зашифрованных файлов иногда имеют особый формат. В некоторых версиях Troldesh имена зашифрованных объектов могут оставаться без изменений, а в конце добавляется уникальный код: [email protected], [email protected], or [email protected].

Очевидно, злоумышленники, внедрив адреса эл. почты непосредственно в названия фалов, указывают жертвам способ коммуникации. Электронная почта также указана в другом месте, а именно в письме-требовании выкупа, которое содержится в файле “Readme.txt”. Такие Notepad-документы появятся на Рабочем столе, а также во всех папках с закодированными данными. Ключевой посыл состоит в следующем:

“Все файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: [Ваш уникальный шифр] на электронный адрес [email protected] or [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации”

Электронный адрес может меняться в зависимости от распространяющей вирус группы шантажистов.

Что касается дальнейшего развития событий: в общих чертах, мошенники отвечают рекомендацией перечислить выкуп, который может составлять 3 биткойн, или иную сумму в этом диапазоне. Обратите внимание, никто не может гарантировать, что хакеры выполнят свое обещание даже после получения денег. Чтобы восстановить доступ к.xtbl файлам, пострадавшим пользователям рекомендуется в первую очередь испробовать все доступные тернативные способы. В некоторых случаях данные можно привести в порядок с помощью службы теневого копирования томов (Volume Shadow Copy), предусмотренной непосредственно в ОС Windows, а также программ-дешифраторов и восстановления данных от независимых разработчиков ПО.

Удалить вирус-шифровальщик XTBL с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.

1. . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).
2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам с расширением.xtbl

Как было отмечено, программа-вымогатель XTBL блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Дешифратор – программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вируса-вымогателя XTBL

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.

Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.locked;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.darkness;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nochance;
  • <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
  • <имя_файла>.<оригинальное_расширение>.relock@qq_com;
  • <имя_файла>.<оригинальное_расширение>.crypto;
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
  • <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
  • <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
  • <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
  • <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка произойдет значительно быстрее. Если же файл exit.hhr.oshit был удален, восстановите его при помощи программ восстановления удаленных файлов, а затем поместите в папку %APPDATA% и заново запустите проверку утилитой. Файл exit.hhr.oshit вы можете найти по следующему пути: C:\Users<имя_пользователя>\AppData\Roaming

• Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt.
• Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<[email protected]_.буквы>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.cry;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman версии 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.micro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.encrypted;
  • <имя_файла>.locked;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.fun;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epic;
  • <имя_файла>.encrypted;
  • <имя_файла>.J;
  • <имя_файла>.payransom;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paymds;
  • <имя_файла>.paymrss;
  • <имя_файла>.paymrts;
  • <имя_файла>.paymst;
  • <имя_файла>.paymts;
  • <имя_файла>.gefickt;
  • <имя_файла>[email protected].
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.@..xtbl;
  • <имя_файла>.ID<…>.@..CrySiS;
  • <имя_файла>.id-<…>.@..xtbl;
  • <имя_файла>.id-<…>.@..wallet;
  • <имя_файла>.id-<…>.@..dhrama;
  • <имя_файла>.id-<…>.@..onion;
  • <имя_файла>.@..wallet;
  • <имя_файла>.@..dhrama;
  • <имя_файла>.@..onion.

Примеры некоторых вредоносных адресов-распространителей:

• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected].
• Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>[email protected].
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.bloked;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.cripted;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.hithere;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.PLAGUE17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected]_.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]____.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]_______.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]___.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]==.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]=--.crypt.

Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.crypt;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0day;
  • <имя_файла>.lock;
  • <имя_файла>.decrypr_helper@freemail_hu;
  • <имя_файла>[email protected];
  • <имя_файла>.~xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

• Версия вредоносной программы	Адрес электронной почты злоумышленников
  	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
  	[email protected]_graf1 [email protected]_mod [email protected]_mod2
  	[email protected] [email protected]
  	[email protected]
  	[email protected] [email protected][email protected] [email protected]

Как расшифровать файлы утилитой Kaspersky RakhniDecryptor

1. Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье .
2. Перейдите в папку с файлами из архива.
3. Запустите файл RakhniDecryptor.exe.
4. Нажмите Изменить параметры проверки .

1. Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
2. Установите флажок Удалять зашифрованные файлы после успешной расшифровки . В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
3. Нажмите ОК .

1. Нажмите Начать проверку .

1. Выберите зашифрованный файл и нажмите Открыть .

1. Прочитайте предупреждение и нажмите ОК .

Файлы будут расшифрованы.

Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Параметры для запуска утилиты из командной строки

Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:

Имя команды	Значение	Пример
–threads	Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер.	RakhniDecryptor.exe –threads 6
–start <число> –end <число>	Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями.	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000
-l <название файла с указанием полного пути к нему>	Указание пути к файлу, где должен сохраняться отчет о работе утилиты.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Вывод справки о доступных параметрах командной строки	RakhniDecryptor.exe -h

Количество вирусов в их привычном понимании становится все меньше, и причиной тому бесплатные антивирусы, которые добротно работают и защищают компьютеры пользователей. При этом далеко не все заботятся о безопасности своих данных, и они рискуют заразиться не только вредоносными программами, но и стандартными вирусами, среди которых наиболее распространенным продолжает оставаться «троян» (Trojan). Он может проявлять себя разными способами, но один из самых опасных – шифровка файлов. Если вирус зашифровал файлы на компьютере, вернуть данные не факт, что получится, но некоторые действенные методы имеются, и о них речь пойдет ниже.

Шифрующий вирус: что собой представляет и как действует

В сети можно найти сотни разновидностей вирусов, которые шифруют файлы. Их действия приводят к одному последствию – данные пользователя на компьютере получают неизвестный формат, который не удается открыть с помощью стандартных программ. Вот лишь некоторые из форматов, в которые могут быть зашифрованы данные на компьютере в результате действия вирусов: .locked, .xtbl, .kraken, .cbf, .oshit и многие другие. В некоторых случаях непосредственно в расширение файлов прописывается e-mail адрес создателей вируса.

Среди наиболее распространенных вирусов, которые шифруют файлы, можно назвать Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni . Они имеют множество форм, и вирус даже может не носить название Trojan (например, CryptoLocker), но действия их практически не отличаются. Регулярно выпускаются новые версии шифрующих вирусов, чтобы создателям антивирусных приложений было сложнее бороться с новыми форматами.

Если шифрующий вирус проник на компьютер, то он обязательно себя проявит не только блокировкой файлов, но и предложением к пользователю разблокировать их за денежную плату. На экране может появиться баннер, на котором будет написано, куда требуется перевести деньги, чтобы снять блокировку с файлов. Когда такой баннер не появляется, следует поискать «письмо» от разработчиков вируса на рабочем столе, такой файл в большинстве случаев называется ReadMe.txt.

В зависимости от разработчиков вируса, расценки на дешифрацию файлов могут различаться. При этом далеко не факт, что при отправке денег создателям вируса, они пришлют обратно способ разблокировки. В большинстве случаев деньги уходят «в никуда», а способ дешифрации пользователь компьютера не получает.

После того как вирус оказался на вашем компьютере и вы увидели на экране код, который требуется отправить на определенный адрес, чтобы получить дешифратор, не стоит этого делать. Первым делом перепишите этот код на листок бумаги, поскольку новый созданный файл может также подвергнуться шифровке. После этого можно закрывать информацию от разработчиков вируса и постараться найти в интернете способ, как избавиться от шифровальщика файлов в вашем конкретном случае. Ниже мы приведем основные программы, которые позволяют удалить вирус и расшифровать файлы, но их нельзя назвать универсальными, и создатели антивирусного обеспечения регулярно расширяют список решений.

Избавиться от вируса, шифрующего файлы, довольно просто с помощью бесплатных версий антивирусов. Хорошо с вирусами, шифрующими файлы, справляются 3 бесплатных программы:

• Malwarebytes Antimalware;
• Dr.Web Cure It ;
• Kaspersky Internet Security.

Отмеченные выше приложения полностью бесплатные или имеют пробные версии. Рекомендуем воспользоваться решением от Dr.Web или Kespersky после того, как вы проверите систему при помощи Malwarebytes Antimalware. Лишний раз напомним, что устанавливать 2 или более антивирусов на компьютер одновременно не рекомендуется, поэтому перед установкой каждого нового решения необходимо удалить предыдущее.

Как мы отмечали выше, идеальным решением проблемы в данной ситуации станет подбор инструкции, которая позволяет справиться конкретно с вашей проблемой. Такие инструкции, чаще всего, размещены на сайтах разработчиков антивирусов. Ниже мы приведем несколько актуальных антивирусных утилит, которые позволяют справиться с различными видами «троянов» и другими типами шифровальщиков.

Выше приведена лишь малая часть антивирусных утилит, которые позволяют расшифровать зараженные файлы. Стоит отметить, что если вы постараетесь просто , стремясь вернуть данные, они, наоборот, будут потеряны навсегда – этого делать не стоит.