Услуги по расшифровке файлов. Миф или реальность?

Для начала, рекомендую ознакомиться с циклом небольших заметок по вирусам-шифровальщикам:

1. Вирусы-шифровальщики. Мифы и реальность. Часть 1. Что такое RANSOMWARE или программы вымогатели?
2. Вирусы-шифровальщики. Мифы и реальность. Часть 2. Современные вирусы-шифровальщики.
3. Вирусы-шифровальщики. Мифы и реальность. Часть 3. Механизмы шифрования в современных вирусах-шифровальщиках.
4. Вирусы-шифровальщики. Мифы и реальность. Часть 4. Взаимодействие шифровальщика на заражённом устройстве с управляющим C&C-сервером.
5. Вирусы-шифровальщики. Мифы и реальность. Часть 5. Как же удаётся расшифровать зашифрованные данные?
6. Вирусы-шифровальщики. Мифы и реальность. Заключение. История о «великой» конторе, которая «умеет ломать» современные алгоритмы шифрования.

Именно данная информация, поможет вам понять принцип работы современных вирусов-шифровальщиков. А это в свою очередь, обезопасит вас от мошенников, которые предоставляют якобы услуги по расшифровки данных на платной основе. 

С февраля 2021 года прекратил предоставлять платные услуги и бесплатные консультации по восстановлению данных после атак вирусами-шифровальщиками. Если вам нужна помощь по восстановлению данных, прочитайте внимательно данную заметку.

Для начала, давайте разберемся, как вообще удается восстановить в некоторых ситуациях данные, которые пострадали от атаки вируса-шифровальщика. 

Платные услуги, по обслуживанию серверов и реализации задач для бизнеса:

• Аренда VPS/VDS, хостинг, почта и облачные решения для бизнеса.
• Найти исполнителя поставленных IT-задач для бизнеса
• Недорогая удаленная поддержка пользователей СНГ

Есть несколько основных методов/способов восстановления зашифрованных файлов, которые осуществляются по нескольким направлениям. Разберем каждый из этих основных способов. 

 

Метод/Способ № 1.

Подбор дешифратора. Для этого, необходимо проанализировать вирус-шифровальщик, определить его тип/семейство. После этого, когда станет понятно, какой алгоритм шифрования использовал зловред, необходимо проанализировать всю информацию на жёстком диске, чтобы понять, где храниться ключ расшифровки, на заражённом носителе или на сервере злоумышленников. Исходя из полученной информации в ходе анализа, приступаем к подбору дешифратора (если в ходе анализа, было выяснено, что ключ храниться на заражённом (компьютере) носителе информации) либо, переходим к способу № 2. 

Поиском дешифраторов, можно заняться самостоятельно. Для этого, вам поможет ряд инструментов/ресурсов/сайтов, которые представлены ниже.

1. Для самостоятельной идентификации типа вымогателя, настоятельно рекомендую использовать: ID Ransomware. Благодаря данному ресурсу, вы сможете сами определить тип вымогателя, который пошифровал ваши данные и увидите информацию о том, есть ли технические возможности восстановить информацию на данный момент. 

 

Сайт работает исправно и без сбоев. Пользоваться им очень просто, есть русский интерфейс. Для идентификации шифровальщика, достаточно добавить только зашифрованный файл (до 2 Мб.) и нажать кнопку «Загрузить».

2. *Если сервис ID Ransomware не дал положительного результата, вы можете самостоятельно попробовать подобрать дешифратор для расшифровки своих файлов на сайте Антивирусной Лаборатории Касперского, которая запустила бесплатный сервис дешифрования. 

Ссылка на официальный сайт: https://noransom.kaspersky.com/ru/ 

Либо (официальный сайт): https://www.nomoreransom.org/ru/index.html

*Пользователи Украины могут столкнуться с проблемами при работе с данными сайтами. Если сайты у вас не работают, используйте любой VPN.

Метод/Способ № 2.

Как писалось выше, если ключ для расшифровки файлов, храниться не на заражённом (компьютере) носителе информации, значит, получить ключ для расшифровки, можно только от сервера злоумышленников. Исходя из этого, можно предпринять попытку обмана сервера злоумышленников, для перехвата ключа расшифровки. Это сложный метод и не всегда успешный, так как всё большее число вирусов-шифровальщиков, используют анонимную и зашифрованную сеть Tor, а это, сильно усложняет перехват пакетных данных и делает невозможным их анализ. 

Данный способ сложен и для большинства пользователей, является неприемлемым. В такой ситуации, переходим к последнему способу или создайте тему с запросом о помощи по расшифровке файлов на специализированном форуме. 

Посетите форум фан-клуба Лаборатории Касперского где вы сможете получить бесплатную помощь в уничтожении вирусов и помощь/консультацию по расшифровке файлов: «Техническая помощь» и можете посетить раздел форума «Помощь в борьбе с шифровальщиками-вымогателями».

Либо, посетите форум safezone.cc в разделе «Помощь в борьбе с шифровальщиками-вымогателями».

 

Создавайте тему только на одном форуме и не дублируйте их на двух.

 

Метод/Способ № 3.

Данный способ, заключается в попытке восстановить копии зашифрованных файлов, при помощи восстановления данных из теневых резервных копий (не путайте с программным методом восстановления удалённых данных). Вы можете самостоятельно воспользоваться утилитой ShadowExplorer, для анализа теневых копий. К сожалению, многие вирусы-шифровальщики, удаляют все копии теневого копирования или шифруют их. Но, бывают исключения, поэтому, если ваши данные очень для вас ценны, не стоит пренебрегать данной попыткой восстановить данные.

Если у вас пострадали базы 1С Mssql, гляньте тут (актуально для пользователей Украины и пользователей СНГ):
https://safezone.cc/threads/vosstanovlenie-baz-dannyx-1s-i-mssql-dannyx-posle-ataki-shifratora.33739/

Они оказывают помощь в восстановлении на программно уровне, только самих баз данных 1С и Mssql. Повторюсь, речь идет не о расшифровке всех файлов/баз, речь идет о программном восстановлении именно только самих баз данных. Связанно это с тем, что вирусы-шифровальщики не шифруют полностью большие файлы (зачастую, шифруют начало и конец файла). Однако, это не подходит для других файлов и способ актуален только для 1С/Mssql.

 

Резервный способ 1. Помощь фирм по восстановлению данных. 

Если ничего не получилось, стоит попробовать обратиться к специалистам, которые занимаются восстановлением удаленных данных. Речь идет не о тех, кто предлагает свои услуги на OLX, Авито, Юле... Речь идет о специализированных компаниях, которые занимаются восстановлением данных на профессиональном уровне и имеют для этого все необходимые условия. 

 

Пользователи Украины, могут обратиться в компанию ЕПОС с запросом на анализ данных после атаки вируса-шифровальщика. Как показал личный опыт при атаке шифровальщика Petya.A в далеком 2017 году, в большинстве случаев компании ЕПОС удавалось восстановить необходимые файлы (более 65%). Это не всегда работает и с тех пор прошло много времени. В любом случае, вы ничего не теряете, обратившись в данную компанию, так как анализ данных на возможность восстановить информацию, полностью бесплатен. Это куда лучше, чем искать посредников, платить выкуп преступникам или нарваться на кидал. 

 

Пользователи СНГ, могут попробовать обратиться к специалистам R.LAB. Анализ данных на возможность восстановить данные, полностью бесплатен.

 

При этом, не стоит думать, что вы сможете самостоятельно при помощи программ для поиска удаленных данных, восстановить файлы. В большинстве случаев, шифровальщики удаляют теневые копии, шифруют файлы и файловые таблицы. Да, вы можете самостоятельно поискать файлы посредством сторонних программ. 

Например:

• https://www.ccleaner.com/recuva/download
• https://rlab.ru/tools/rsaver.html
• https://www.cgsecurity.org/wiki/TestDisk_Download

Попытки самостоятельно восстановить удаленные файлы могут быть опасными. Это не маркетинговая страшилка, а реальный факт.

Однако, если финансы позволяют, настоятельно рекомендую сразу обратитесь к специалистам, ведь ваши действия малоэффективны и бесспорно уменьшают шансы на успех.

 

Резервный способ 2. Купить лицензию на антивирус и написать в техподдержку антивирусной лаборатории.

Если у вас есть лицензия на антивирус (купленная и действующая), напишите запрос в техническую поддержку. Если технически возможно, они вам помогут. 

Если у вас нет лицензии, вы можете купить лицензию на один из антивирусных продуктов и написать запрос в техподдержку.

Для пользователей Украины.  

Можно купить лицензию на антивирус, по выгодной цене:

• Раздел «Антивирусы»
• Антивирус Kaspersky Anti-Virus
• Антивирус Dr. Web Anti-virus
• Антивирус ESET NOD32 Antivirus

При этом, советую приобретать только продукты антивирусных лабораторий Kaspersky, Dr. Web или ESET. Это те антивирусные компании, которые активно помогают пользователям с расшифровкой файлов, если это технически возможно и имеют техподдержку на русском языке. Также, очень важно, лицензия должна быть исключительно для ОС Windows, если файлы были зашифрованы на данной операционной системе. 

Для пользователей РФ и СНГ.

Стоит приобрести лицензию на антивирус Kaspersky на оф. сайте.

 

Вывод.

Как вы наверное заметили, ни один из способов, не даёт вам даже 1% на то, что ваши данные, могут быть восстановлены. Но, что же тогда делать? Ниже, приведено несколько советов, которые могут вам пригодиться.

Прежде, чем совершить какие-либо действия, в первую очередь необходимо усвоить то, что делать не стоит и даже опасно!

• Лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно;
• Переустанавливать операционную систему;
• Менять расширение у зашифрованных файлов;
• Очищать папки с временными файлами, а также историю браузера;
• Использовать самостоятельно без консультации со специалистами и вирусными аналитиками дешифраторы;
• Использовать дешифраторы рекомендуемые в других ситуациях с аналогичной проблемой;
• Пытаться подключить внешние/съёмные носители информации к заражённой системе, на которых хранятся ваши резервные копии (при наличии таковых). Если этот пункт проигнорировать, можно потерять все резервные файлы.
• Паниковать. Звучит банально, однако в таких ситуациях, человек способен принять неверные решения из-за паники и совершить ошибки. Не предпринимайте никаких действий, если не знаете, что нужно делать. Вникните в суть произошедшего и поймите алгоритмы необходимых действий. Обратитесь за бесплатной помощью на один из специализированных форумов (ссылки есть выше).
  

Важно помнить.

Возможно, вы захотите поискать какую-нибудь «волшебную» программу, которая все-таки сможет расшифровать файлы и возможно, вы найдет такое предложение в Сети Интернет. Но, хочу вас сразу предостеречь, закончится все может еще очередной «пачкой» вирусов на вашем компьютере и зашифровкой всех файлов, по «второму кругу». Вот один из примеров:  https://virusinfo.info/showthread.php?t=180742&p=1393621&viewfull=1#post1393621

 

Если данные не удалось вам расшифровать вышеприведенными способами, остается еще один вариант. Скопируйте зашифрованные файлы на флешку или любой, съёмный носитель информации и уберите. Также, если заражён сервер или компьютер, создайте полный образ всех зашифрованных разделов/дисков средствами самой системы или при помощи сторонних программ. Сохраните карантин с вирусом-шифровальщиком и все файлы (требования с выкупом…), созданные вирусом-шифровальщиком. Наберитесь терпения и подождите от 1 -3 месяцев, возможно, вирус новый и ключ для расшифровки, пока не подобран. Пройдет время и возможно, этот вирус попадет под контроль лаборатории Касперского и они выпустят утилиту, которая расшифрует ваши файлы совершенно бесплатно.

То, что нужно помнить тем, кто не сталкивался с вирусами-шифровальщиками.

А что делать тем, кто ещё не «подхватил» себе зловреда, который шифрует файлы, с целью получить выкуп? Может быть, можно спать спокойно? Раз у меня такого вируса не было, то мой антивирус, хорошо меня защищает от подобной «заразы»? Именно по тому, что некоторые так думают, сегодня «хватаются» за голову и думают, как расшифровать свои файлы. Итак, ниже, приведены действенные советы, которые помогут вам минимизировать вероятность подхватить подобную «заразу».

• Не открывайте почтовые вложения от неизвестных отправителей. В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: уведомление от арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела и тому подобное. При этом вредоносными могут оказаться не только файлы формата EXE. Зафиксированы случаи заражения компьютеров при открытии специально сформированных злоумышленниками файлов форматов DOC и PDF.
• Своевременно устанавливайте обновления антивирусных баз, операционной системы и других программ. Нужно помнить, что в обновлениях, содержаться все «заплатки», которые «перекрывают» все «дыры», через которые, может «пролезть» вирус, в том числе и вирус-шифровальщик.
• Регулярно создавайте резервные копий файлов и храните их вне компьютера. Храните резервные копии вне компьютера (например, на съёмных носителях или в «облачных» хранилищах) и в зашифрованном виде, БЕЗ автоматической синхронизации данных. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники. Вы можете заказать облако для резервного хранилища.
• Настройте доступ к общим сетевым папкам. Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.
• Включите и настройте Службу теневого копирования. Начиная с ОС Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Специалисты Лаборатории Касперского рекомендуют включить службу для всех разделов.
• Установите, надёжный антивирус, класса Internet Security. Настоятельно рекомендую, использовать исключительно легальные антивирусы, без всяких «кряков», «активаторов» и «генераторов». Если вам ценны ваши данные, то будет дешевле купить лицензионный антивирус, чем потом бегать и думать, как спасти ценные данные.
• Если вы используете RDP, установите длинные и сложные пароли. Сам RDP необходимо ОБЯЗАТЕЛЬНО прятать за VPN. Арендуйте для этого надежный сервер.

Есть ряд базовых советов, по защите от атак шифровальщиков и неизвестных угроз:

• Пять шагов для защиты от вирусов-шифровальщиков.
  
• Настройка RDP (защита от перебора паролей).
• Как защититься от всевозможных вирусов-шифровальщиков?
• Простой, эффективный и бесплатный способ защиты от вирусов-шифровальщиков.
• Защита главной загрузочной записи (MBR).
• Отключаем SMB в ОС Windows 7/10 и в Windows 2008 R2.
• Нужен ли вам «IT-аудит безопасности»?

ВАЖНО! Предупреждение!

Сейчас, развелось немало умельцев и контор, которые занимаются «якобы» расшифровкой файлов зашифрованных вирусами-шифровальщиками. Такие «товарищи» покупают лицензию на антивирусное ПО ДокторВеб, отправляют ваши файлы в антивирусную лабораторию ДокторВеб и после этого, создавая «бурную» деятельность и сообщают о результатах «своей» работы. При этом, часто берутся деньги наперёд без гарантии, а иногда и с гарантией расшифровки всех файлов, больше, чем стоит лицензия на само антивирусное ПО. В худшем случае (чаще всего, вы найдете именно посредников), это будут посредники между вами и настоящими злоумышленниками. 

Пример данных схем:  

https://virusinfo.info/showthread.php?t=180742 и https://safezone.cc/threads/kompjuternyj-servis-po-rasshifrovke-fajlov.25232/page-2. 

Особенно плачевный сценарий, вот такой: https://virusinfo.info/showthread.php?t=180742&p=1393621&viewfull=1#post1393621. То, о чём писал выше. Хотите, чтобы ваши файлы зашифровали по второму кругу?. 

У меня есть отдельная заметка на блоге, про одних «умельцев», которые «умеют» расшифровывать то, что никому в мире не под силу.

Поэтому, связываясь с такими умельцами, узнайте у них для начала, как они будут расшифровывать файлы. Если вам обещают подобрать дешифратор, рассказывают о штате программистов высокого уровня, о кодерах и декодерах или не могут ничего толком объяснить, лучше сами купите лицензию на одно из антивирусных решений и обратитесь к ним за помощью о чем писал выше. Сэкономите деньги, время и нервы.

Как сообщить о преступлении в правоохранительные органы своей страны?

Если вы пострадали от атаки шифровальщика, перейдите по соответствующей ссылке ниже, – для информирования местных правоохранительных органов в режиме онлайн. Если в вашей стране не существует онлайн-информирование правоохранительных органов, обратитесь с заявлением в полицейский участок.

Для жителей Украины:

https://cyberpolice.gov.ua

Оставить заявление (выберите вариант «Несанкціоноване втручання (ШПЗ, втручання в ЕОМ, несанкціонований доступ до облікових записів, ШПЗ, тощо»):

https://ticket.cyberpolice.gov.ua

Для жителей России:

https://мвд.рф

Оставить заявление (выберите вариант «Управление «К» МВД России»):

https://мвд.рф/request_main

Для общего представления о том, что такое RANSOMWARE и какую они угрозу предоставляют, можно ознакомиться с подробной статистикой из заметки «Программы-вымогатели: факты, тенденции и статистика».

Есть полезный блог, с большим количеством статей, советов и дешифраторов:
https://id-ransomware.blogspot.com который стоит посмотреть.

Бизнес-предложение.

Не хотите в дальнейшем нести финансовые и репутационные потери из-за потери данных? Обезопасьте себя от потери данных при помощи облачных технологий от ведущего украинского провайдера облачной инфраструктуры, успешно реализовывающего свои IT-решения с 2012 года.

Удаленный офис, резервное копирование, бухгалтерия в облаке, отзывчивая и опытная техническая поддержка, полное сопровождение клиентов.
Не теряйте свои данные. Защитите их уже сегодня. Узнать больше...