Для начала, рекомендую ознакомиться с циклом небольших заметок по вирусам-шифровальщикам:
- Вирусы-шифровальщики. Мифы и реальность. Часть 1. Что такое RANSOMWARE или программы вымогатели?
- Вирусы-шифровальщики. Мифы и реальность. Часть 2. Современные вирусы-шифровальщики.
- Вирусы-шифровальщики. Мифы и реальность. Часть 3. Механизмы шифрования в современных вирусах-шифровальщиках.
- Вирусы-шифровальщики. Мифы и реальность. Часть 4. Взаимодействие шифровальщика на заражённом устройстве с управляющим C&C-сервером.
- Вирусы-шифровальщики. Мифы и реальность. Часть 5. Как же удаётся расшифровать зашифрованные данные?
- Вирусы-шифровальщики. Мифы и реальность. Заключение. История о «великой» конторе, которая «умеет ломать» современные алгоритмы шифрования.
Именно данная информация, поможет вам понять принцип работы современных вирусов-шифровальщиков. А это в свою очередь, обезопасит вас от мошенников, которые предоставляют якобы услуги по расшифровки данных на платной основе.
С февраля 2021 года прекратил предоставлять платные услуги и бесплатные консультации по восстановлению данных после атак вирусами-шифровальщиками. Если вам нужна помощь по восстановлению данных, прочитайте внимательно данную заметку.
Для начала, давайте разберемся, как вообще удается восстановить в некоторых ситуациях данные, которые пострадали от атаки вируса-шифровальщика.
Платные услуги, по обслуживанию серверов и реализации задач для бизнеса:
Метод/Способ № 1.
Подбор дешифратора. Для этого, необходимо проанализировать вирус-шифровальщик, определить его тип/семейство. После этого, когда станет понятно, какой алгоритм шифрования использовал зловред, необходимо проанализировать всю информацию на жёстком диске, чтобы понять, где храниться ключ расшифровки, на заражённом носителе или на сервере злоумышленников. Исходя из полученной информации в ходе анализа, приступаем к подбору дешифратора (если в ходе анализа, было выяснено, что ключ храниться на заражённом (компьютере) носителе информации) либо, переходим к способу № 2.
Поиском дешифраторов, можно заняться самостоятельно. Для этого, вам поможет ряд инструментов/ресурсов/сайтов, которые представлены ниже.1. Для самостоятельной идентификации типа вымогателя, настоятельно рекомендую использовать: ID Ransomware. Благодаря данному ресурсу, вы сможете сами определить тип вымогателя, который пошифровал ваши данные и увидите информацию о том, есть ли технические возможности восстановить информацию на данный момент.
2. *Если сервис ID Ransomware не дал положительного результата, вы можете самостоятельно попробовать подобрать дешифратор для расшифровки своих файлов на сайте Антивирусной Лаборатории Касперского, которая запустила бесплатный сервис дешифрования.
Ссылка на официальный сайт: https://noransom.kaspersky.com/ru/
Либо (официальный сайт): https://www.nomoreransom.org/ru/index.html
*Пользователи Украины могут столкнуться с проблемами при работе с данными сайтами. Если сайты у вас не работают, используйте любой VPN.
Метод/Способ № 2.
Как писалось выше, если ключ для расшифровки файлов, храниться не на заражённом (компьютере) носителе информации, значит, получить ключ для расшифровки, можно только от сервера злоумышленников. Исходя из этого, можно предпринять попытку обмана сервера злоумышленников, для перехвата ключа расшифровки. Это сложный метод и не всегда успешный, так как всё большее число вирусов-шифровальщиков, используют анонимную и зашифрованную сеть Tor, а это, сильно усложняет перехват пакетных данных и делает невозможным их анализ.
Данный способ сложен и для большинства пользователей, является неприемлемым. В такой ситуации, переходим к последнему способу или создайте тему с запросом о помощи по расшифровке файлов на специализированном форуме.
Посетите форум фан-клуба Лаборатории Касперского где вы сможете
получить бесплатную помощь в уничтожении вирусов и помощь/консультацию
по расшифровке файлов: «Техническая помощь» и можете посетить раздел форума «Помощь в борьбе с шифровальщиками-вымогателями».
Метод/Способ № 3.
Данный способ, заключается в попытке восстановить копии зашифрованных файлов, при помощи восстановления данных из теневых резервных копий (не путайте с программным методом восстановления удалённых данных). Вы можете самостоятельно воспользоваться утилитой ShadowExplorer, для анализа теневых копий. К сожалению, многие вирусы-шифровальщики, удаляют все копии теневого копирования или шифруют их. Но, бывают исключения, поэтому, если ваши данные очень для вас ценны, не стоит пренебрегать данной попыткой восстановить данные.
Если у вас пострадали базы 1С Mssql, гляньте тут (актуально для пользователей Украины и пользователей СНГ):https://safezone.cc/threads/vosstanovlenie-baz-dannyx-1s-i-mssql-dannyx-posle-ataki-shifratora.33739/
Они оказывают помощь в восстановлении на программно уровне, только самих баз данных 1С и Mssql. Повторюсь, речь идет не о расшифровке всех файлов/баз, речь идет о программном восстановлении именно только самих баз данных. Связанно это с тем, что вирусы-шифровальщики не шифруют полностью большие файлы (зачастую, шифруют начало и конец файла). Однако, это не подходит для других файлов и способ актуален только для 1С/Mssql.
Резервный способ 1. Помощь фирм по восстановлению данных.
- https://www.ccleaner.com/recuva/download
- https://rlab.ru/tools/rsaver.html
- https://www.cgsecurity.org/wiki/TestDisk_Download
Попытки самостоятельно восстановить удаленные файлы могут быть опасными. Это не маркетинговая страшилка, а реальный факт.
Резервный способ 2. Купить лицензию на антивирус и написать в техподдержку антивирусной лаборатории.
- Раздел «Антивирусы»
- Антивирус Kaspersky Anti-Virus
- Антивирус Dr. Web Anti-virus
- Антивирус ESET NOD32 Antivirus
- Лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно;
- Переустанавливать операционную систему;
- Менять расширение у зашифрованных файлов;
- Очищать папки с временными файлами, а также историю браузера;
- Использовать самостоятельно без консультации со специалистами и вирусными аналитиками дешифраторы;
- Использовать дешифраторы рекомендуемые в других ситуациях с аналогичной проблемой;
- Пытаться подключить внешние/съёмные носители информации к заражённой системе, на которых хранятся ваши резервные копии (при наличии таковых). Если этот пункт проигнорировать, можно потерять все резервные файлы.
- Паниковать.
Звучит банально, однако в таких ситуациях, человек способен принять
неверные решения из-за паники и совершить ошибки. Не предпринимайте
никаких действий, если не знаете, что нужно делать. Вникните в суть
произошедшего и поймите алгоритмы необходимых действий. Обратитесь за бесплатной помощью на один из специализированных форумов (ссылки есть выше).
- Не открывайте почтовые вложения от неизвестных отправителей. В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем содержат угрозы: уведомление от арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела и тому подобное. При этом вредоносными могут оказаться не только файлы формата EXE. Зафиксированы случаи заражения компьютеров при открытии специально сформированных злоумышленниками файлов форматов DOC и PDF.
- Своевременно устанавливайте обновления антивирусных баз, операционной системы и других программ. Нужно помнить, что в обновлениях, содержаться все «заплатки», которые «перекрывают» все «дыры», через которые, может «пролезть» вирус, в том числе и вирус-шифровальщик.
- Регулярно создавайте резервные копий файлов и храните их вне компьютера. Храните резервные копии вне компьютера (например, на съёмных носителях или в «облачных» хранилищах) и в зашифрованном виде, БЕЗ автоматической синхронизации данных. Таким образом, файлы будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники. Вы можете заказать облако для резервного хранилища.
- Настройте доступ к общим сетевым папкам. Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.
- Включите и настройте Службу теневого копирования. Начиная с ОС Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Специалисты Лаборатории Касперского рекомендуют включить службу для всех разделов.
- Установите, надёжный антивирус, класса Internet Security. Настоятельно рекомендую, использовать исключительно легальные антивирусы, без всяких «кряков», «активаторов» и «генераторов». Если вам ценны ваши данные, то будет дешевле купить лицензионный антивирус, чем потом бегать и думать, как спасти ценные данные.
- Если вы используете RDP, установите длинные и сложные пароли. Сам RDP необходимо ОБЯЗАТЕЛЬНО прятать за VPN. Арендуйте для этого надежный сервер.
Есть ряд базовых советов, по защите от атак шифровальщиков и неизвестных угроз:
- Пять шагов для защиты от вирусов-шифровальщиков.
- Настройка RDP (защита от перебора паролей).
- Как защититься от всевозможных вирусов-шифровальщиков?
- Простой, эффективный и бесплатный способ защиты от вирусов-шифровальщиков.
- Защита главной загрузочной записи (MBR).
- Отключаем SMB в ОС Windows 7/10 и в Windows 2008 R2.
- Нужен ли вам «IT-аудит безопасности»?
Как сообщить о преступлении в правоохранительные органы своей страны?
Если вы пострадали от атаки шифровальщика, перейдите по соответствующей ссылке ниже, – для информирования местных правоохранительных органов в режиме онлайн. Если в вашей стране не существует онлайн-информирование правоохранительных органов, обратитесь с заявлением в полицейский участок.
Для жителей Украины:
Оставить заявление (выберите вариант «Несанкціоноване втручання (ШПЗ, втручання в ЕОМ, несанкціонований доступ до облікових записів, ШПЗ, тощо»):
https://ticket.cyberpolice.gov.ua
Для жителей России:
Оставить заявление (выберите вариант «Управление «К» МВД России»):
Для общего представления о том, что такое RANSOMWARE и какую они угрозу предоставляют, можно ознакомиться с подробной статистикой из заметки «Программы-вымогатели: факты, тенденции и статистика».
Есть полезный блог, с большим количеством статей, советов и дешифраторов:
https://id-ransomware.blogspot.com который стоит посмотреть.
Бизнес-предложение.
Не хотите в дальнейшем нести финансовые и репутационные потери из-за потери данных? Обезопасьте себя от потери данных при помощи облачных технологий от ведущего украинского провайдера облачной инфраструктуры, успешно реализовывающего свои IT-решения с 2012 года.Не теряйте свои данные. Защитите их уже сегодня. Узнать больше...