Доброго всем времени суток, мои дорогие друзья и читатели моего блога. Сегодня тема будет довольно печальная, ведь коснется она вирусов. Расскажу вам про не так давно произошедший случай у меня на работе. Ко мне в отдел позвонила сотрудница с взволнованным голосом: «Дима, вирус зашифровал файлы на компьютере: что делать теперь?». Тут я понял, что дело пахнет жаренным, но в итоге пошел к ней посмотреть.
Да. Всё оказалось печально. Большинство файлов на компьютере оказались заражены, а точнее зашифрованы: Офисные документы, PDF-файлы, базы 1С и многие другие. В общем задница полная. Не пострадали наверное только архивы, приложения и текстовые документы (ну и еще куча всего). Все эти данные поменяли свое расширение, а также поменяли свои названия на что-то типа sjd7gy2HjdlVnsjds.
Также на рабочем столе и в папках появилось несколько одинаковых документов README.txt В них честно говориться о том, что ваш компьютер заражен и чтобы вы не предпринимали никаких действий, ничего не удаляли, не проверяли антивирусам, иначе файлы не вернуть.
Также в файле говориться, что эти милые люди смогут все восстановить, как было. Для этого им нужно отослать ключ из докуме7нта на их почту, после чего вы получите необходимые инструкции. Цену они не пишут, но на деле оказывается, что стоимость обратного возврата составляет что-то типа 20000 рублей.
Стоят ли ваши данные этих денег? Готовы ли заплатить за устранение шифровальщика? Сомневаюсь. Что же тогда делать? Давайте об этом позже. А пока начнем обо всем по порядку.
Откуда он берется
Откуда же берется этот гадский вирус-шифровальщик? Тут всё очень просто. Его люди подхватывают через электронную почту. Как правило данный вирус проникает в организации, на корпоративные ящики, хотя не только. С виду вы не примите его за каку, так как приходит оно не в виде спама, а о от реально существующей серьезной организации, например нам пришло письмо от провайдера «Ростелеком» с их официальной почты.
Письмо было совершенно обычное, типа «Новые тарифные планы для юридических лиц». Внутри вложен PDF-файлик. И при открытии этого файла вы открываете ящик Пандоры. Все важные файлы зашифрованы и превращаются простыми словами в «кирпич». Причем антивирусы эту хрень не ловят сразу.
Что делал я и что не сработало
Естественно у нас 20 тысяч никто не захотел платить за это, так как информация столько не стоила, да и к тому же связываться с мошенниками совсем не вариант. Да и к тому же не факт, что за эту сумму вам всё разблокируют.
Я прошелся утилитой drweb cureit и вирус он нашел, но толк от этого был небольшой, так как даже после вируса файлы остались зашифрованными. Удалить вирус
оказалось легко, а вот справиться с последствиями уже намного труднее. Я полез на форумы Доктора Веб и Касперского, и там я нашел нужную мне тему, а также узнал, что ни там, ни там пока не могут помочь с расшифровкой. Очень сильно всё было зашифровано.
Зато начали в поисковиках появляться выдачи, что некоторые компании расшифровывает файлы на платной основе. Ну меня это заинтересовало, тем более, что компания оказалась настоящей, реально существующей. У себя на сайте они предложили расшифровать пять штук бесплатно для того, чтобы показать свои способности. Ну я взял и отправил им 5 самых важных по моему мнению файлов.
Через какое-то время мне пришел ответ, что им всё удалось расшифровать и что за полную раскодировку они возьмут с меня 22 тысячи. Причем фaйлы они мне не захотели отдавать. Я так сразу предположил, что они скорее всего в тандеме работают с мошенниками. Ну естественно они были посланы на хрен.
Далее я начал самовольные процедуры восстановления, которые, как казалось мне, смогут мне помочь.\
- Откат системы
- Восстановление удаленных файлов с помощью программ «Recuva» и «RStudio»
- Прогон различными утилитами
- Ну и для успокоения я не мог не попробовать (хотя прекрасно знал, что это не поможет) просто банально поменять расширение файла на нужное. Бред конечно)
Ничего из этого мне не помогло. Но выход я все таки нашел.\r\n\r\nКонечно, если вдруг у вас возникла такая ситуация, то посмотрите, с каким расширением шифруются фaйлы. После этого зайдите на [urlspan]http://support.kaspersky.ru/viruses/disinfection/10556[/urlspan] и посмотрите, какие расширения указаны в списке. Если есть ваше расширение есть в списке, то воспользуйтесь этой утилитой.
Но во всех 3-х случаях, которые я видел эти шифровальщики, ни одна из подобных утилит не помогла. Конкретно я встречался с вирусом «da vinci code» и «VAULT». В первом случае менялось и название и расширение, а во втором только расширение. Вообще таких шифровальщиков целая куча. У меня на слуху такие гады как xtbl, no more ransom, better call saul и многие другие.
Что помогло
Вы когда-нибудь слышали про теневые копии? Так вот, когда создается точка восстановления, то автоматически создаются и теневые копии ваших файлов. И если что-то произошло с вашими файлами, то вы всегда сможете вернуть их на тот момент, когда была создана точка восстановления. В этом нам поможет одна замечательная программа для восстановления файлов из теневых копий.
Для начала [urlspan]скачайте[/urlspan] и установите программу «Shadow Explorer». Если последняя версия у вас заглючит (бывает такое), то устанавливайте предыдущую.
Зайдите в Shadow Explorer. Как мы видим, основная часть программы похожа на проводник windows, т.е. файлы и папки. Теперь обратите внимание на левый верхний угол. Там мы видим видим букву локального диска и дату . Эта дата означает, что все представленные файлы на диске C актуальны на тот момент. У меня стоит 30 ноября. Это означает, что последняя точка восстановления создавалась 30 ноября.
Если нажать на выпадающий список даты, то мы увидим, на какие числа у нас еще имеются теневые копии. А если нажать на выпадающий список локальных дисков и выбрать, например, диск D, то мы увидим дату, на момент которой у нас есть актуальные файлы. Но для диска D точки не создаются автоматом, поэтому данную вещь нужно прописать в настройках. Это [urlspan]очень легко сделать[/urlspan].
Как видите, если для диска C у меня довольно свежая дата, то для диска D последняя точка создавалась почти год назад. Ну а дальше делаем по пунктам:
- Выбираем нужный диск и актуальную дату, когда файлы были чистыми, как слеза медсестры.
- Выбираем (в любой части) папки и файлы, которые мы хотим восстановить. То есть вам просто нужно выделит их (можно с зажатым CTRL или SHIFT), после чего нажать на любом из выделенных фaйлов правую кнопку мышки и выбрать единственный доступный вариант " Export".
- После этого у вас появится окошко с обзором папок. Здесь вам просто нужно выбрать, в какую папку будут восстанавливаться файлы и нажимаем ОК.
Всё. Теперь остается только ждать, когда завершиться экспорт. А дальше идем в ту самую папку, которую вы выбрали и проверяем все файлы на открываемость и работоспособность. Всё круто).
Я знаю, что в интернете предлагают еще какие-то разные способы, утилиты и прочее, но я про них писать не буду, ибо я с этой проблемой уже сталкиваюсь третий раз, и ни разу, ничего, кроме теневых копий меня не выручало. Хотя может просто мне так не повезло).
Но к сожалению в последний раз удалось восстановить лишь те файлы, которые были на диске C, так как по умолчанию точки создавались только для диска C. Соответственно для диска D теневых копий не было. Конечно нужно еще и не забывать, что точки восстановления кушают дополнительное место на диске C, что может привести к торможению системы, так что следите за этим тоже.
А чтобы теневые копии создавались и для других жестких дисков, вам нужно создавать точки восстановления и для них тоже.
Профилактика
Для того, чтобы проблем с восстановлением не возникало, нужно делать профилактику. Для этого нужно держаться следующих правил.
- Тщательно смотреть почту и не скачивать сразу все вложения. Если вы думаете, что письмо подозрительное или то, что от этой компании оно к вам вообще никаким боком, то лучше позвоните туда и спросите, действительно ли они отсылали данное письмо. Береженого Бог бережет.
- Создавайте точки восстановления, чтобы под рукой была теневая копия и информацию можно было бы восстановить.
- Иметь на компьютере хороший постоянно обновляющийся антивирус
- Делать резервные копии файлов.
Кстати, однажды этот вирус зашифровал файлы на флешке, где лежали наши сертификаты ключа для электронно-цифровой подписи. Так что с флешками также будьте очень осторожны.
Ну вот вроде бы и все, что я вам хотел сегодня рассказать. Не забудьте подписаться на мой блог, канал ютуба, а также поделиться с друзьями в социальных сетях прочитанным материалам. Ну а мы с вами увидимся в других статьях. Удачи вам. Пока-пока!
С уважением, Дмитрий Костин.
Дмитрий, как всегда полезная и развернутая статья — чудесно!
Однажды для себя я сделала шаг, который лишил меня всех головных болей с вирусами — купила Макинтош. Эти яблоки черви не едят 🙂
восстановление из теневых копий возможно на Windows XP?
Я лично не пользовался этой технологией на XP, но знаю, что это возможно. XP стала первой операционной системой с возможностью использования теневых копий.
Подскажите, если теневые копии на диск D не создавались, а нем то и самые важные файлы(. Вот нашла такую идею: скопировать эти файлы на флешку до лучших времен когда появится дешифровальщик. Но вот вопрос- безопасно ли будет открывать эти файлы на здоровом компе?
Сами по себе файлы безопасные. Они просто зашифрованы. Главное, чтобы сам вирус был удален. Но вот правда не знаю, насколько получится дождаться дешифровщика. Я пока так и не дождался. Хотя тоже некоторые зашифрованные файлы в отдельном месте храню на всякий случай.
Там детские фото, они будут актуальны и через 10лет. Дмитрий, дайте, пожалуйста ссылку на удаление вируса (в теме ссылка не активна). Спасибо.
Дмитрий, дайте, пожалуйста ссылку на удаление вируса (в теме ссылка не активна). Спасибо.