Переустановка виндовс 10 через флешку. Восстановление системы без накопителей

Инструкция

Вызовите главное меню системы Microsoft Windows нажатием кнопки «Пуск и перейдите в пункт «Все программы для выполнения операции расшифровки ранее зашифрованных файлов.

Вызовите контекстное меню подлежащего расшифровке файла, папки или диска кликом правой кнопки мыши и укажите пункт «Свойства.

Перейдите на вкладку «Общие открывшегося диалогового окна и выберите команду «Другие.

Снимите флажок на поле «Шифровать содержимое для защиты данных и нажмите кнопку OK для применения выбранных изменений. Следует помнить, что при выполнении отмены шифрования папки, зашифрованные файлы и подпапки остаются зашифрованными, если не оговорено обратное, а вновь создаваемые файлы и подпапки расшифрованной папки подвергаться процедуре шифрования не будут.

Загрузите бесплатный инструмент te19decrypt.exe с официального сайта разработчика антивирусного приложения Dr.Web и запустите исполняемый файл утилиты для выполнения операции расшифровки файлов, зашифрованных вирусом Trojan.Encoder. (Этот вирус является программой-вымогателем, шифрующим файлы пользователя и самоудаляющимся после этого. При этом на системном диске остается текстовый файл crypted.txt, содержащий требование денежных переводов разных сумм для расшифровки поврежденных файлов.)

Нажмите кнопку «Продолжить в главном окне программы и согласитесь с предложением указать местонахождение ключевого файла c:crypted.txt вручную.

Введите полный путь к нужному файлу в диалоговом окне «Открыть и нажмите кнопку OK для подтверждения выполнения команды.

Обратите внимание

Не пытайтесь самостоятельно удалить текстовый файл с:\crypted.txt, поскольку выполнение операции расшифровки зашифрованных вирусом файлов после этого становится невыполнимой!

Источники:

• Расшифровка файла или папки
• Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?
• зашифрован файл
• Расшифровка файлов EFS

Некоторые вирусы шифруют пользовательские файлы, после чего доступ к ним обычными средствами может быть ограничен. Восстановление нормального режима происходит путем программного вмешательства.

Инструкция

Выполните дополнительную проверку вашего компьютера на наличие вирусов. После этого загрузите из интернета одну из программ-антитроянов. Это необходимо в случае если вредоносная программа была спрятана от антивируса. Выполните проверку, после чего найдите зашифрованные файлы .

Сделайте на всякий случай их резервную копию и убедитесь в отсутствии угроз на вашем компьютере. Перепишите полное наименование троянов, найденных в вашем компьютере. Это необходимо для того, чтобы в дальнейшем получить доступ к информации о методах шифрования файлов, поскольку здесь вряд ли подойдут утилиты общего назначения. По этой же причине не торопитесь удалять вредоносные программы с вашего компьютера при первоначальной их проверке.

Скачайте любую утилиту для дешифровки файлов после поражения вирусами. Такие утилиты обычно доступны на официальных сайтах разработчиков антивирусных систем. Также при выборе программы руководствуйтесь названием трояна, которым было выполнено шифрование, поскольку многие из них используют разные способы.

Лучше всего выполнять загрузку с сайтов известных вам разработчиков систем защиты, поскольку опять же есть риск столкнуться с вредоносными программами. Обычно данные утилиты имеют пробный срок, в течение которого их можно использовать для лечения .

Следуя указаниям системы, выберите в запущенной на вашем компьютере скачанной утилите зашифрованные вирусом файлы и, следуя указаниям системы, выполните необходимые действия. После этого снова выполните проверку на вирусы, в частности касаемо расшифрованных вами файлов.

После этого установите на ваш компьютер надежное обновляемое антивирусное программное обеспечение, чтобы в дальнейшем не допустить возникновения подобных ситуаций.

Видео по теме

Полезный совет

Пользуйтесь антивирусным программным обеспечением.

ВИН автомобиля содержит практически всю важную и ценную информацию об автотранспортном средстве: начиная со страны, где был собран автомобиль, и заканчивая его цветом, годом изготовления и комплектацией. Чтобы все эти сведения стали для вас открытыми, ВИН просто надо научиться читать.

Вам понадобится

• - ВИН код автомобиля

Инструкция

Определите составляющие части вашего ВИН а.
ВИН -код состоит из 17 символов, которые делятся на три части:
- мировой индекс изготовителя или WMI;
- описательная часть или VDS;
- отличительная часть или VIS.Мировой индекс изготовителя - это первые три знака ВИН а, описательная часть состоит из следующих шести символов, а последние восемь знаков - это отличительная часть. Давайте разберем подробнее, какую же информацию можно почерпнуть, расшифровав каждую из составляющих частей ВИН а.

Расшифруйте мировой индекс изготовителя.Первый знак индекса скажет вам, в какой части света был изготовлен ваш , второй - в какой стране, а третий укажет на конкретный -изготовитель. Буквы латинского алфавита от A до H стоят в этой части код а, если автомобиль был собран в Африке; от J до R - в одной из стран Азии, а от S до Z - в Европе. Также среди первых трех символов ВИН а вы можете встретить и цифры. В случае, если родина вашего - Северная Америка, вы обнаружите цифры от 1 до 5; если он был изготовлен в Океании, то индекс изготовителя будет содержать цифры 6 или 7, а на производителей из Южной Америки приходятся цифры 8 или 9.

Расшифруйте описательную часть индекса. Эти шесть символов используют для того, чтобы описать тип транспортного средства: , на базе которого оно построено, модель автомобиля, тип кузова и прочие . Для каждой фирмы-изготовителя эти символы уникальны, так что для более детальной расшифровки вам следует искать информацию, касающуюся вашей конкретной .Последний описательной части ВИН а большинство производителей после 1980 года используют для указания типа двигателя. Отметим правда, что это действительно только для тех моделей , в производстве которых изготовитель предусматривал установку различного вида и/или объема.

Расшифруйте отличительную часть. Здесь содержится информация, которая касается исключительно вашего автомобиля. Производитель мог зашифровать в последних восьми знаках ВИН а комплектацию вашего автомобиля, его цвет, тип трансмиссии. Иногда бывает, что отличительная часть - это просто последовательность символов, которая соответствует каждому конкретному автомобилю в общей базе производителя и не расшифровывается вовсе.Однако вот, что можно сказать с уверенностью: десятый символ любого ВИН -код а автомобиля - это шифр его года выпуска. Буквам латинского алфавита от A до Y соответствуют с 1980 до 2000 соответственно. Если автомобиль был выпущен в промежуток с 2001 до 2009 года, то в ВИН номере десятый символ будет числом от 1 до 9. Все последующие годы, начиная с 2010 снова обозначают в соответствии с буквами латиницы, начиная с A.

Полезный совет

В помощь автолюбителям в сети интернет есть большое количество организаций, которые бесплатно предлагают расшифровать общие сведения в ВИН-коде.
Также за определенную плату крупные международные организации типа Carfax и Autocheck могут предоставить достоверную информацию о том, участвовало ли автотранспортное средство в дорожно-транспортных происшествиях, где проходило сервисное обслуживание, каков его пробег и прочие данные. Это абсолютно законно и создано для того, чтобы автолюбители во всем мире могли узнать историю подержанной машины перед покупкой.

Источники:

• вин автомобиля

Шифрование папок является наиболее надежным способом защиты информации, предоставляемым операционной системой Windows. Пользователь, осуществивший шифрование файла, может работать с ним так же, как и с другими папками, но для гарантии доступа к зашифрованным данным необходима резервная копия сертификата и ключа шифрования.

Инструкция

Вызовите контекстное меню папки или файла, подлежащего шифрованию, и перейдите в пункт «Свойства».

Выберите вкладку «Общие» открывшегося диалогового окна и укажите пункт «Дополнительно».

Примените флажок на поле «Шифровать содержимое для защиты данных» и нажмите кнопку OK для подтверждения выполнения операции шифрования.

Снимите флажок на поле «Шифровать содержимое для защиты данных» и нажмите кнопку OK для подтверждения выполнения операции расшифровки выбранного файла или папки.

Нажмите кнопку «Пуск» для вызова главного меню системы и введите значение certmgr.msc для запуска инструмента «Диспетчер » для создания резервной копии EFS-сертификата зашифрованной папки.

Нажмите клавишу Enter для подтверждения выполнения команды и раскройте папку «Личная» нажатием стрелки, расположенной рядом с ней.

Укажите раздел «Сертификаты» и выберите сертификат, перечисляющий «Файловая система EFS» в «Назначения».

Убедитесь в правильности выбранного сертификата прокручивая его данные вправо и примените этот алгоритм действий ко всем существующим EFS-сертификатам.

Укажите пункт «Все задачи» в меню «Действие» верхней панели инструментов окна приложения и выберите команду «Экспорт».

Подтвердите пароль администратора компьютера повторным введением в поле подтверждения и нажмите кнопку «Далее» для создания файла хранения сертификата.

Укажите имя выбранного файла и полный путь к нему и нажмите кнопку «Готово».

Видео по теме

Обратите внимание

Сжатые папки и файлы не могут быть зашифрованы.

Полезный совет

Зашифрованы могут быть только файлы и папки, находящиеся на томах NTFS.

Источники:

• Шифрование и расшифровка папки и файла в 2019

Операционная система Windows позволяет в атрибутах задать опцию его шифрования. После этого файл станет доступен для чтения только этому пользователю, тому, кого он укажет в качестве «агента восстановления» или пользователю, имеющему «публичный ключ». Если в дальнейшем возникнет необходимость отменить шифрование , сделать это можно тоже в настройках файла или папки.

Запустите «Проводник» - нажмите комбинацию клавиш Win + E или выберите пункт «Компьютер» в главном меню ОС. По дереву каталогов в левой панели перейдите в нужную папку.

Добраться до зашифрованного файла можно и по-другому, с помощью поисковой системы ОС. В Windows 7 и Vista делать это очень легко: нажмите клавишу Win и начинайте вводить название файла. Когда в списке результатов появится ссылка на нужный объект, кликните на нем правой кнопкой мыши и выберите пункт «Расположение файла».

Выделите этот файл и кликните по файлу правой кнопкой мыши либо нажмите клавишу вызова контекстного меню - она помещена на клавиатуре между правыми кнопками Win и Ctrl. В обоих случаях на экране появится контекстное меню, в котором вам нужна самая последняя строка - «Свойства». Выберите ее в меню и будет открыто отдельное окно с настройками свойств файла.

Вкладка «Общие» (она открывается по умолчанию) разделена на секции. В самой нижней помещено несколько чекбоксов, относящихся к атрибутам файла, и кнопка «Другие» - нажмите ее.

В окне дополнительных атрибутов файла уберите отметку в поле «Шифрование содержимого для защиты данных». Затем нажмите кнопки OK в обоих открытых окнах, и операция будет завершена.

При необходимости отменить шифрование не для отдельного файла, а для всех файлов в папке действовать надо почти так же. После первых трех шагов выделите не файл, а нужную папку в левой панели «Проводника». Контекстное меню с пунктом «Свойства» для папки, как и для файла, вызывается щелчком правой кнопки мыши, а в окне свойств объекта вам нужно повторить два предыдущих шага.

Расшифровка данных, закодированных с использованием профессионального программного обеспечения, требует либо наличия такого же программного комплекса, либо огромных вычислительных мощностей и еще более продвинутых программ. Однако чаще для кодирования используются более доступные средства, которые и раскодировать намного проще.

Инструкция

В веб-строительстве чаще всего используется наиболее доступный способ шифрования данных - с помощью встроенных функций языков программирования. Среди серверных языков наиболее распространен сегодня PHP, в котором для шифрования предназначена функция base64_encode. Закодированные с ее помощью данные можно декодировать с использованием обратной функции - base64_decode. Если у вас есть возможность в своем компьютере или на веб-сервере исполнять PHP-скрипты, создайте такой простой код:

Между кавычками функции base64_decode поместите строку данных, которую требуется расшифровать. Затем сохраните код в файл с расширением php и откройте эту страницу через браузер - в пустой странице вы увидите расшифрованные данные.

При отсутствии возможности выполнять php-скрипты воспользуйтесь веб-формой на одном из интернет-сайтов - ссылка на нужную страницу приведена ниже. Зашифрованные данные скопируйте и вставьте в поле над кнопкой Base 64 Decode. После нажатия этой кнопки появится дополнительное поле с расшифрованными данными - их тоже можно скопировать и использовать по своему усмотрению.

Если способ шифрования неизвестен, попробуйте декодировать данные с помощью одной из программ, способных перебирать несколько алгоритмов. Одно из таких приложений называется «Штирлиц», не требует инсталляции и довольно популярно в интернете, поэтому найти его не составит труда. Программа пытается расшифровать данные с использованием пяти алгоритмов шифрования.

Последние версии операционных систем Windows позволяют кодировать все файлы на заданном диске или на всех носителях компьютера. Если раскодировать надо данные именно из такого файла, лучше всего доверить это самой ОС - отключите шифрование в ее настройках, и Windows перепишет все файлы с данными их незашифрованными вариантами. Чтобы это сделать, нажмите кнопку Win, наберите и в списке результатов поиска выберите строку «Шифрование диска BitLocker». Затем кликните ссылку «Отключить BitLocker» напротив нужного диска. По окончании выполнения системой этой команды можете открывать файл с ранее зашифрованными данными.

Источники:

• Веб-форма для функции base64_decode

При работе с документами может появиться необходимость их отправки кому-либо посредством сети Интернет (например, с помощью электронной почты). Однако в некоторых случаях важность содержащейся в них информации не позволяет сделать это в открытом виде. Конечно, решением является шифрование, которое у многих ассоциируется с чем-то далеким и сложным. Тем не менее, такую задачу без труда можно решить, воспользовавшись бесплатной программой-архиватором файлов, например, 7-Zip, создав с ее помощью зашифрованный архив.

Вам понадобится

• - интернет;
• - операционная система Microsoft Windows;
• - программа-архиватор 7-Zip.

Инструкция

Загрузите и установите . Для того, чтобы зашифровать документ с помощью программы 7-Zip, сначала ее необходимо установить. Для этого перейдите на веб-сайт http://7-zip.org/ (раздел «Download»), выберите подходящую для Вашего компьютера версию программы (32 или 64 бит) и загрузите ее. После загрузки запустите инсталлятор программы и следуйте его инструкциям - это не должно вызвать у Вас вопросов.

Проверьте ассоциации файлов . После установки, как правило, 7-Zip не меняет настройки операционной системы и не добавляет свой раздел в контекстное меню проводника. Чтобы внести эти изменения, необходимо открыть меню «Пуск», «Программы», «7-Zip» и выбрать «7-Zip File Manager». В главном меню откройте раздел «Сервис» и выберите «Настройки...». Далее перейдите на вкладку «Система» и нажмите «Выделить все». Подтвердите изменения нажатием кнопки «ОК» внизу окна программы.

Выберите файл документа . Зашифровать можно любой файл, его формат не имеет значения. Для этого откройте проводник и найдите нужный файл. Далее щелкните по нему правой кнопкой мыши и в появившемся меню выберите «7-Zip», «Добавить к архиву...».

Задайте настройки и запустите . В открывшемся окне Вы можете задать имя архива, пароль на открытие, установить шифрование имен файлов и другие настройки. Обратите внимание, что по умолчанию шифрование имен отключено, пароль на архив не задан. Задав все желаемые настройки, Вы можете запустить создание зашифрованного архива нажатием кнопки «ОК» в текущем окне.

Дождитесь окончания . На выполнение операции может потребоваться некоторое время, в зависимости от размера шифруемых файлов, степени сжатия и других установленных настроек. По ее окончании рядом с шифруемыми файлами появится архив с заданным ранее именем.

Стали жертвой программы-вымогателя? Не платите выкуп!

Наши бесплатные дешифраторы помогут вернуть доступ к файлам, заблокированным различными видами описанного ниже ПО, требующего выкупа. Просто выберите название, чтобы просмотреть признаки заражения и получить бесплатную помощь.

Хотите в будущем избежать заражения программой-вымогателем?

Alcatraz Locker

Alcatraz Locker - это одна из программ-вымогателей, впервые обнаруженная в средине ноября 2016 года. Для шифрования файлов она использует метод AES 256 в комбинации с кодированием Base64.

Изменение имен файлов.

Зашифрованные файлы получают расширение .Alcatraz .

Сообщение о выкупе.

ransomed.html » на рабочем столе:

Если программа Alcatraz зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Apocalypse

Apocalypse - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Apocalypse добавляет расширения .encrypted , .FuckYourData , .locked , .Encryptedfile или .SecureCrypted Thesis.doc.locked .)

Сообщение о выкупе.

При открытии файла с расширением .How_To_Decrypt.txt , .README.Txt , .Contact_Here_To_Recover_Your_Files.txt , .How_to_Recover_Data.txt или .Where_my_files.txt (например, Thesis.doc.How_To_Decrypt.txt ) появится сообщение примерно следующего содержания:

BadBlock

BadBlock - это вид программы-вымогателя, впервые обнаруженный в мае 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа BadBlock не переименовывает файлы.

Сообщение о выкупе.

Зашифровав ваши файлы, троянец BadBlock отображает одно из следующих сообщений (на примере файла Help Decrypt.html ):

Если программа BadBlock зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Bart

Bart - это вид программы-вымогателя, впервые обнаруженный в конце июня 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Bart добавляет текст .bart.zip в конце имен файлов (например, вместо Thesis.doc файл будет называться Thesis.docx.bart.zip ). В этом зашифрованном ZIP-архиве содержатся исходные файлы.

Сообщение о выкупе.

После зашифровки файлов программа Bart изменяет фон рабочего стола, как показано ниже. С помощью текста на этом изображении также можно распознать программу Bart. Текст хранится на рабочем столе в файлах recover.bmp и recover.txt .

Если программа Bart зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Благодарность. Благодарим Питера Конрада, автора программы PkCrack , который разрешил использовать свою библиотеку в нашем дешифраторе для троянца-вымогателя Bart.

Crypt888

Crypt888 (известная также как Mircop) - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Crypt888 добавляет текст Lock. в начало файловых имен (например, вместо Thesis.doc файл будет называться Lock.Thesis.doc ).

Сообщение о выкупе.

Зашифровав ваши файлы, программа Crypt888 меняет фон рабочего стола на один из вариантов ниже.

Если программа Crypt888 зашифровала ваши файлы, щелкните здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

CryptoMix (автономная версия)

CryptoMix (известная также как CryptFile2 и Zeta) - это одна из программ-вымогателей, впервые замеченная в марте 2016 года. В начале 2017 года появилась новая разновидность CryptoMix, получившая имя CryptoShield. Оба варианта программы шифруют файлы, применяя алгоритм AES256 с уникальным ключом шифрования, который скачивается с удаленного сервера. Если же сервер недоступен или пользователь не имеет подключения к Интернету, программа-вымогатель шифрует файлы, используя фиксированный ключ («автономный ключ»).

Обратите внимание. Предлагаемый дешифратор способен разблокировать только файлы, зашифрованные при помощи «автономного ключа». В случаях, когда автономный ключ для шифрования файлов не использовался, наш дешифратор не сможет восстановить доступ к файлам.

Изменение имен файлов.

.CRYPTOSHIELD , .rdmk , .lesli , .scl , .code , .rmd или .rscl .

Сообщение о выкупе.

После зашифровки файлов на ПК можно найти следующие файлы:

Если программа CryptoMix зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

CrySiS

CrySiS (JohnyCryptor, Virus-Encode или Aura) - это одна из программ-вымогателей, впервые замеченная в сентябре 2015 года. В ней используется шифрование типа AES256 в сочетании с асимметричным методом шифрования RSA1024.

Изменение имен файлов.

Зашифрованные файлы имеют одно из следующих расширений:
[email protected] ,
[email protected] ,
[email protected] ,
[email protected] ,
.{[email protected]}.CrySiS ,
.{[email protected]}.xtbl ,
.{[email protected]}.xtbl ,
.{[email protected]}.xtbl

Сообщение о выкупе.

Зашифровав ваши файлы, программа отображает одно из следующих сообщений. Это сообщение содержится в файле под названием «Decryption instructions.txt », «Decryptions instructions.txt » или «*README.txt » на рабочем столе.

Если программа CrySiS зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Globe

Globe - это одна из программ-вымогателей, впервые обнаруженная в августе 2016 года. В ней используется метод шифрования RC4 или Blowfish. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Globe добавляет одно из следующих расширений к названию файла: .ACRYPT , .GSupport , .blackblock , .dll555 , .duhust , .exploit , .frozen , .globe , .gsupport , .kyra , .purged , .raid , [email protected] , .xtbl , .zendrz , .zendr или .hnyear . Более того, некоторые версии программы зашифровывают само название файла.

Сообщение о выкупе.

После зашифровки файлов программа отображает такое сообщение, которое находится в файле «How to restore files.hta » или «Read Me Please.hta »):

Если программа Globe зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

HiddenTear

HiddenTear - одна из первых программ-вымогателей с открытым кодом, размещенная на портале GitHub и известная с августа 2015 года. С этого времени мошенниками, использующими открытый исходный код, были созданы сотни вариантов программы HiddenTear. Программа HiddenTear использует шифрование AES.

Изменение имен файлов.

Зашифрованные файлы получают одно из следующих расширений (но могут иметь и другие): .locked , .34xxx , .bloccato , .BUGSECCCC , .Hollycrypt , .lock , .saeid , .unlockit , .razy , .mecpt , .monstro , .lok , .암호화됨 , .8lock8 , .fucked , .flyper , .kratos , .krypted , .CAZZO , .doomed .

Сообщение о выкупе.

Когда файлы зашифрованы, на рабочем экране пользователя появляется текстовый файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) . Различные варианты могут также выводить сообщение с требованием выкупа:

Если программа HiddenTear зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Jigsaw

Jigsaw - это одна из программ-вымогателей, существующая примерно с марта 2016 года. Она названа в честь кинозлодея по прозвищу «Jigsaw Killer» («Пила-убийца»). Некоторые варианты этой программы используют изображение этого персонажа на экране с требованием выкупа за разблокировку.

Изменение имен файлов.

Зашифрованные файлы получают одно из следующих расширений: .kkk , .btc , .gws , .J , .encrypted , .porno , .payransom , .pornoransom , .epic , .xyz , .versiegelt , .encrypted , .payb , .pays , .payms , .paymds , .paymts , .paymst , .payrms , .payrmts , .paymrts , .paybtcs , .fun , .hush , [email protected] или .gefickt .

Сообщение о выкупе.

Когда файлы будут зашифрованы, отобразится один из экранов, представленных ниже:

Если программа Jigsaw зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Legion

Legion - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Legion добавляет нечто вроде [email protected]$.legion или [email protected]$.cbf в конце имен файлов. (Например, вместо Thesis.doc файл будет называться [email protected]$.legion .)

Сообщение о выкупе.

Зашифровав ваши файлы, программа Legion меняет фон рабочего стола, при этом появляется всплывающее окно, аналогичное этому:

Если программа Legion зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Количество вирусов в их привычном понимании становится все меньше, и причиной тому бесплатные антивирусы, которые добротно работают и защищают компьютеры пользователей. При этом далеко не все заботятся о безопасности своих данных, и они рискуют заразиться не только вредоносными программами, но и стандартными вирусами, среди которых наиболее распространенным продолжает оставаться «троян» (Trojan). Он может проявлять себя разными способами, но один из самых опасных – шифровка файлов. Если вирус зашифровал файлы на компьютере, вернуть данные не факт, что получится, но некоторые действенные методы имеются, и о них речь пойдет ниже.

Шифрующий вирус: что собой представляет и как действует

В сети можно найти сотни разновидностей вирусов, которые шифруют файлы. Их действия приводят к одному последствию – данные пользователя на компьютере получают неизвестный формат, который не удается открыть с помощью стандартных программ. Вот лишь некоторые из форматов, в которые могут быть зашифрованы данные на компьютере в результате действия вирусов: .locked, .xtbl, .kraken, .cbf, .oshit и многие другие. В некоторых случаях непосредственно в расширение файлов прописывается e-mail адрес создателей вируса.

Среди наиболее распространенных вирусов, которые шифруют файлы, можно назвать Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni . Они имеют множество форм, и вирус даже может не носить название Trojan (например, CryptoLocker), но действия их практически не отличаются. Регулярно выпускаются новые версии шифрующих вирусов, чтобы создателям антивирусных приложений было сложнее бороться с новыми форматами.

Если шифрующий вирус проник на компьютер, то он обязательно себя проявит не только блокировкой файлов, но и предложением к пользователю разблокировать их за денежную плату. На экране может появиться баннер, на котором будет написано, куда требуется перевести деньги, чтобы снять блокировку с файлов. Когда такой баннер не появляется, следует поискать «письмо» от разработчиков вируса на рабочем столе, такой файл в большинстве случаев называется ReadMe.txt.

В зависимости от разработчиков вируса, расценки на дешифрацию файлов могут различаться. При этом далеко не факт, что при отправке денег создателям вируса, они пришлют обратно способ разблокировки. В большинстве случаев деньги уходят «в никуда», а способ дешифрации пользователь компьютера не получает.

После того как вирус оказался на вашем компьютере и вы увидели на экране код, который требуется отправить на определенный адрес, чтобы получить дешифратор, не стоит этого делать. Первым делом перепишите этот код на листок бумаги, поскольку новый созданный файл может также подвергнуться шифровке. После этого можно закрывать информацию от разработчиков вируса и постараться найти в интернете способ, как избавиться от шифровальщика файлов в вашем конкретном случае. Ниже мы приведем основные программы, которые позволяют удалить вирус и расшифровать файлы, но их нельзя назвать универсальными, и создатели антивирусного обеспечения регулярно расширяют список решений.

Избавиться от вируса, шифрующего файлы, довольно просто с помощью бесплатных версий антивирусов. Хорошо с вирусами, шифрующими файлы, справляются 3 бесплатных программы:

• Malwarebytes Antimalware;
• Dr.Web Cure It ;
• Kaspersky Internet Security.

Отмеченные выше приложения полностью бесплатные или имеют пробные версии. Рекомендуем воспользоваться решением от Dr.Web или Kespersky после того, как вы проверите систему при помощи Malwarebytes Antimalware. Лишний раз напомним, что устанавливать 2 или более антивирусов на компьютер одновременно не рекомендуется, поэтому перед установкой каждого нового решения необходимо удалить предыдущее.

Как мы отмечали выше, идеальным решением проблемы в данной ситуации станет подбор инструкции, которая позволяет справиться конкретно с вашей проблемой. Такие инструкции, чаще всего, размещены на сайтах разработчиков антивирусов. Ниже мы приведем несколько актуальных антивирусных утилит, которые позволяют справиться с различными видами «троянов» и другими типами шифровальщиков.

Выше приведена лишь малая часть антивирусных утилит, которые позволяют расшифровать зараженные файлы. Стоит отметить, что если вы постараетесь просто , стремясь вернуть данные, они, наоборот, будут потеряны навсегда – этого делать не стоит.

Обычно работа вредоносных программ направлена на получение контроля над компьютером, включение его в зомби-сеть или хищение личных данных. Невнимательный пользователь может долго не замечать, что система заражена. Но вирусы-шифровальщики, в частности xtbl, работают совершенно иначе. Они делают непригодными пользовательские файлы, шифруя их сложнейшим алгоритмом и требуя от владельца крупной суммы за возможность восстановить информацию.

Причина проблемы: вирус xtbl

Вирус-шифровальщик xtbl получил своё название из-за того, что зашифрованные им пользовательские документы получают расширение.xtbl. Обычно кодировщики оставляют в теле файла ключ для того, чтобы универсальная программа-дешифратор могла восстановить информацию в исходном виде. Однако вирус предназначен для других целей, поэтому вместо ключа на экране появляется предложение заплатить некоторую сумму по анонимным реквизитам.

Как работает вирус xtbl

Вирус попадает на компьютер с помощью рассылаемых по электронной почте писем с заражёнными вложениями, представляющими собой файлы офисных приложений. После того как пользователь открыл содержимое сообщения, вредоносная программа начинает поиск фотографий, ключей, видео, документов и так далее, а затем с помощью оригинального сложного алгоритма (гибридное шифрование) превращает их в xtbl-хранилища.

Для хранения своих файлов вирус использует системные папки.

Вирус вносит себя в список автозагрузки. Для этого он добавляет записи в реестре Windows в разделах:

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Заражённый компьютер работает стабильно, система не «падает», но в оперативной памяти постоянно находится небольшое приложение (или два) с непонятным названием. А папки с рабочими файлами пользователя приобретают странный вид.

Файлы, зашифрованные вирусом xtbl, меняют свои названия

На рабочем столе вместо заставки появляется сообщение:

Ваши файлы были зашифрованы. Чтобы расшифровать их, вам необходимо отправить код на электронный адрес: [email protected] (далее следует код). После этого вы получите дальнейшие инструкции. Самостоятельные попытки расшифровать файлы приведут к их полному уничтожению.

Вирус xtbl невозможно не заметить: внешний вид меняют не только пользовательские файлы, но и заставка рабочего стола

Тот же текст содержится в созданном файле How to decrypt your files.txt. Адрес электронной почты, код, запрашиваемая сумма могут меняться.

Довольно часто одни мошенники зарабатывают на других - в тело вируса вставляется номер электронного кошелька вымогателей, не имеющих никакой возможности расшифровать файлы. Так что доверчивый пользователь, отправив деньги, ничего не получает взамен.

Почему не стоит платить вымогателям

Соглашаться на сотрудничество с вымогателями нельзя не только из-за моральных принципов. Это неразумно и с практической точки зрения.

1. Мошенничество. Не факт, что злоумышленники смогут расшифровывать ваши файлы. Не служит доказательством и возвращённая вам одна из якобы расшифрованных фотографий - это может быть просто украденный до шифрования оригинал. Заплаченные деньги уйдут без пользы.
2. Возможность повтора. Подтвердив свою готовность платить, вы станете более желанной добычей для повторной атаки. Возможно, в следующий раз ваши файлы будут иметь другое расширение, а на заставке появится иное сообщение, но деньги отправятся тем же людям.
3. Конфиденциальность. Пока файлы хоть и зашифрованы, но находятся на вашем компьютере. Договорившись с «честными злодеями», вы будете вынуждены отправить им всю свою личную информацию. Алгоритм не предусматривает получение ключа и самостоятельную расшифровку, только пересылку файлов декодировщику.
4. Заражение компьютера. Ваш компьютер всё ещё заражён, поэтому расшифровка файлов не является полным решением проблемы.

Как защитить систему от вируса

Универсальные правила защиты от вредоносных программ и минимизации ущерба помогут и в этом случае.

1. Остерегаться случайных связей. Не нужно открывать письма, полученные от незнакомых отправителей, включая рекламу и бонусные предложения. В крайнем случае можно их прочитать, предварительно сохранив вложение на диске и проверив его антивирусом.
2. Пользоваться защитой. Антивирусные программы постоянно пополняют библиотеки вредоносных кодов, поэтому актуальная версия защитника не пропустит большинство вирусов на компьютер.
3. Распределять доступ. Вирус нанесёт значительно больший вред, если проникнет через учётную запись администратора. Лучше работать от имени пользователя, тем самым резко сужая возможности заражения.
4. Создавать резервные копии. Важную информацию необходимо регулярно копировать на внешние носители, хранящиеся отдельно от компьютера. Также не следует забывать о создании резервных точек восстановления Windows.

Возможно ли восстановить зашифрованную информацию

Хорошая новость: восстановить данные возможно. Плохая: самостоятельно это сделать не удастся. Причиной тому является особенность алгоритма шифрования, подбор ключа к которому требует гораздо больше ресурсов и накопленных знаний, чем есть у обычного пользователя. К счастью, разработчики антивирусов считают делом чести разобраться с каждой вредоносной программой, поэтому даже если в настоящее время они не смогут справиться с вашим шифровальщиком, через месяц-два обязательно найдут решение. Придётся запастись терпением.

Из-за необходимости обращения к специалистам меняется алгоритм работы с заражённым компьютером. Общее правило: чем меньше изменений, тем лучше. Антивирусы определяют метод лечения по «родовым признакам» вредоносной программы, поэтому инфицированные файлы для них являются источником важной информации. Удалять их нужно только после решения основной проблемы.

Второе правило: любой ценой прервать работу вируса. Возможно, он ещё не всю информацию испортил, а также остались в оперативной памяти следы шифровальщика, с помощью которых можно его определить. Поэтому нужно сразу же выключать компьютер из сети, а ноутбук отключать долгим нажатием сетевой кнопки. На этот раз не подойдёт стандартная «бережная» процедура выключения, дающая возможность корректно завершиться всем процессам, поскольку один из них - кодировка вашей информации.

Восстанавливаем зашифрованные файлы

Если вы успели выключить компьютер

Если вы успели выключить компьютер до окончания процесса шифрования, то не надо его включать самостоятельно. Несите «больного» сразу к специалистам, прерванная кодировка значительно увеличивает шансы сохранить личные файлы. Здесь же можно в безопасном режиме проверить ваши носители информации и создать резервные копии. С высокой вероятностью и сам вирус окажется известным, поэтому лечение от него будет успешным.

Если шифрование завершилось

К сожалению, вероятность успешного прерывания процесса шифрования очень мала. Обычно вирус успевает закодировать файлы и удалить лишние следы с компьютера. И теперь у вас две проблемы: Windows всё ещё заражена, а личные файлы превратились в набор символов. Для решения второй задачи необходимо воспользоваться помощью производителей антивирусного программного обеспечения.

Лаборатория Dr.Web предоставляет свои услуги дешифровки бесплатно только владельцам коммерческих лицензий. Другими словами, если вы ещё не их клиент, но хотите восстановить свои файлы, придётся купить программу. Учитывая сложившуюся ситуацию, это нужное вложение.

Следующий шаг - переход на сайт производителя и заполнение входной формы.

Заполните форму на официальном сайте Dr.Web

Если среди зашифрованных файлов есть такие, копии которых сохранились на внешних носителях, их передача значительно облегчит работу декодировщиков.

Касперский

Лаборатория Касперского разработала собственную утилиту для дешифровки, называющуюся RectorDecryptor, которую можно скачать на компьютер с официального сайта компании.

Скачайте файл, предназначенный для вашей версии Windows, и начните проверку

Для каждой версии операционной системы, включая Windows 7, предусмотрена своя утилита. После её загрузки нажмите экранную кнопку «Начать проверку».

Работа сервисов может затянуться на некоторое время, если вирус относительно новый. В таком случае компания обычно присылает соответствующее уведомление. Иногда расшифровка способна занять несколько месяцев.

Другие сервисы

Сервисов с аналогичными функциями становится всё больше, что говорит о востребованности услуги дешифрования. Алгоритм действий тот же: заходим на сайт (например, https://decryptcryptolocker.com/), регистрируемся и отправляем зашифрованный файл.

Сервис не гарантирует стопроцентного результата, но попробовать можно

Программы-дешифраторы

Предложений «универсальных дешифраторов» (разумеется, платных) в сети очень много, однако польза от них сомнительна. Конечно, если сами производители вируса напишут дешифратор, он будет работать успешно, но та же программа окажется бесполезной для другого вредоносного приложения. Кроме того, специалисты, регулярно сталкивающиеся с вирусами, обычно имеют полный пакет необходимых утилит, поэтому все работающие программы у них есть с высокой вероятностью. Покупка такого дешифратора, скорее всего, окажется пустой тратой денег.

Как расшифровать файлы с помощью лаборатории Касперского - видео

Самостоятельное восстановление информации

Если по каким-то причинам нельзя обратиться к сторонним специалистам, можно попробовать восстановить информацию своими силами. Оговоримся, что в случае неудачи файлы могут быть потеряны окончательно.

Восстановление удалённых файлов

После шифрования вирус удаляет исходные файлы. Однако Windows 7 некоторое время хранит всю удалённую информацию в виде так называемой теневой копии.

ShadowExplorer - это утилита, предназначенная для восстановления файлов из их теневых копий.

Выберите каталог для восстановленных файлов

Бесплатная утилита PhotoRec работает по такому же принципу, но в пакетном режиме.

1. Скачайте архив с сайта разработчика и распакуйте его на диск. Исполняемый файл называется QPhotoRec_Win.

   

   Исполняемый файл имеет название QPhotoRec_Win

2. После запуска приложение в диалоговом окне покажет список всех доступных дисковых устройств. Выберите то, в котором хранились зашифрованные файлы, и укажите путь для сохранения восстановленных копий.
   

   Для хранения лучше использовать внешний носитель, например, USB-флешку, поскольку каждая запись на диск опасна стиранием теневых копий.

3. Выбрав нужные каталоги, нажмите экранную кнопку File Formats.

   

   Выберите каталог назначения, нажав на кнопку Browse

4. Раскрывшееся меню представляет собой перечень типов файлов, которые может восстановить приложение. По умолчанию напротив каждого стоит пометка, однако для ускорения работы можно снять лишние «птички», оставив только соответствующие типам восстанавливаемых файлов. Закончив выбор, нажмите экранную кнопку «ОК».

   

   Снимите лишние пометки для увеличения скорости работы

5. После завершения выбора становится доступной экранная кнопка Search. Нажмите её. Процедура восстановления - это трудоёмкий процесс, поэтому запаситесь терпением.

   

   Отчёт довольно лаконичный

6. Дождавшись завершения процесса, нажмите экранную кнопку Quit и выйдите из программы.
7. Восстановленные файлы размещены в указанном ранее каталоге и разложены по папкам с одинаковыми названиями recup_dir.1, recup_dir.2, recup_dir.3 и так далее. Последовательно просмотрите каждую и верните им прежние имена.

   

   Теперь вручную переберите папки и верните им прежние названия

Удаление вируса

Поскольку вирус попал на компьютер, установленные защитные программы не справились со своей задачей. Можно попробовать воспользоваться сторонней помощью.

Важно! Удаление вируса лечит компьютер, но не восстанавливает зашифрованные файлы. Кроме того, установка нового программного обеспечения может повредить или стереть некоторые теневые копии файлов, необходимые для их восстановления. Поэтому лучше инсталлировать приложения на другие диски.

Программе потребуется некоторое время для проверки системы

Осталось дождаться окончания сканирования и удалить найденных непрошенных гостей.

Ещё один разработчик антивирусного программного обеспечения, предоставляющий бесплатную версию сканера. Алгоритм действий тот же:

Чего делать не следует

Вирус XTBL, как и другие вирусы-шифровальщики, наносит ущерб и системе, и пользовательской информации. Поэтому для уменьшения возможного ущерба следует соблюдать некоторые предосторожности:

1. Не ждать окончания шифрования. Если на ваших глазах началось шифрование файлов, не стоит ждать, чем всё закончится, или пытаться прервать процесс программными средствами. Сразу же отключайте питание компьютера и звоните специалистам.
2. Не пытаться удалить вирус самостоятельно, если есть возможность довериться профессионалам.
3. Не переустанавливать систему до окончания лечения. Вирус благополучно заразит и новую систему.
4. Не переименовывать зашифрованные файлы. Это только осложнит работу дешифратора.
5. Не пытаться прочитать заражённые файлы на другом компьютере до удаления вируса. Это может привести к распространению заражения.
6. Не платить вымогателям. Это бесполезно, и поощряет создателей вирусов и мошенников.
7. Не забывать о профилактике. Установка антивируса, регулярное резервное копирование, создание точек восстановления значительно уменьшат возможный ущерб от вредоносных программ.

Лечение компьютера, заражённого вирусом-шифровальщиком, является долгой и далеко не всегда успешной процедурой. Поэтому так важно соблюдать меры предосторожности при получении информации из сети и работе с непроверенными внешними носителями.

То, что в Интернете полно вирусов, сегодня никого не удивляет. Многие пользователи воспринимают ситуации, связанные с их воздействием на системы или личные данные, мягко говоря, глядя сквозь пальцы, но только до тех пор, пока в системе конкретно не обоснуется вирус-шифровальшик. Как вылечить и расшифровать данные, хранящиеся на жестком диске, большинство рядовых юзеров не знает. Поэтому этот контингент и «ведется» на требования, выдвигаемые злоумышленниками. Но давайте посмотрим, что можно предпринять в случае обнаружения такой угрозы или для недопущения ее проникновения в систему.

Что такое вирус-шифровальщик?

Угроза такого типа использует стандартные и нестандартные алгоритмы шифрования файлов, которые полностью изменяют их содержимое и блокируют доступ. Например, открыть текстовый зашифрованный файл для чтения или редактирования, равно как и воспроизвести мультимедийный контент (графика, видео или аудио), после воздействия вируса будет абсолютно невозможно. Даже стандартные действия по копированию или перемещению объектов оказываются недоступными.

Сама программная начинка вируса является тем средством, которое шифрует данные таким образом, что восстановить их исходное состояние даже после удаления угрозы из системы не всегда бывает возможно. Обычно такие вредоносные программы создают собственные копии и оседают в системе очень глубоко, поэтому вирус-шифровальщик файлов бывает удалить полностью невозможно. Деинсталлируя основную программу или удаляя основное тело вируса, пользователь не избавляется от воздействия угрозы, не говоря уже о восстановлении зашифрованной информации.

Как угроза проникает в систему?

Как правило, угрозы этого типа большей частью ориентированы на крупные коммерческие структуры и могут проникать на компьютеры через почтовые программы, когда какой-то сотрудник открывает якобы вложенный документ в электронной почте, представляющий собой, скажем, дополнение к какому-то договору о сотрудничестве или к плану поставок товара (коммерческие предложения с вложениями из сомнительных источников - первая стезя для вируса).

Беда в том, что вирус-шифровальщик на машине, имеющей доступ к локальной сети, способен адаптироваться и в ней, создавая собственные копии не только в сетевом окружении, но и на администраторском терминале, если на нем отсутствуют необходимые средства защиты в виде антивирусного ПО, файрвола или брэндмауэра.

Иногда такие угрозы могут проникать и в компьютерные системы рядовых пользователей, которые по большому счету интереса для злоумышленников не представляют. Происходит это в момент установки каких-то программ, загруженных с сомнительных интернет-ресурсов. Многие юзеры при старте загрузки игнорируют предупреждения антивирусной системы защиты, а в процессе инсталляции не обращают внимания на предложения установки дополнительного ПО, панелей или плагинов для браузеров, а потом, что называется, кусают локти.

Разновидности вирусов и немного истории

В основном угрозы этого типа, в частности самый опасный вирус-шифровальщик No_more_ransom, классифицируются не только как инструменты шифрования данных или блокировки доступа к ним. На самом деле все такие вредоносные приложения относятся к категории вымогателей. Иными словами, злоумышленники требуют определенную мзду за расшифровку информации, считая, что без начальной программы произвести данный процесс будет невозможно. Отчасти так оно и есть.

Но, если копнуть в историю, можно заметить, что одним из самых первых вирусов этого типа, правда, не выставлявшего требования по деньгам, был печально известный апплет I Love You, который полностью зашифровывал в пользовательских системах файлы мультимедиа (в основном музыкальные треки). Расшифровка файлов после вируса-шифровальщика на тот момент оказывалась невозможной. Сейчас именно с этой угрозой бороться можно элементарно.

Но ведь и развитие самих вирусов или используемых алгоритмов шифрования на месте не стоит. Чего только нет среди вирусов - тут вам и XTBL, и CBF, и Breaking_Bad, и [email protected], и еще куча всякой гадости.

Методика воздействия на пользовательские файлы

И если до недавнего времени большинство атак производилось с использованием алгоритмов RSA-1024 на основе шифрования AES с такой же битностью, тот же вирус-шифровальщик No_more_ransom сегодня представлен в нескольких интерпретациях, использующих ключи шифрования на основе технологий RSA-2048 и даже RSA-3072.

Проблемы расшифровки используемых алгоритмов

Беда в том, что современные системы дешифрования перед лицом такой опасности оказались бессильны. Расшифровка файлов после вируса-шифровальщика на основе AES256 еще кое-как поддерживается, а при условии более высокой битности ключа практически все разработчики просто разводят руками. Это, кстати, официально подтверждено специалистами из «Лаборатории Касперского» и компании Eset.

В самом примитивном варианте обратившемуся в службу поддержки пользователю предлагается прислать зашифрованный файл и его оригинал для сравнения и проведения дальнейших операций по определению алгоритма шифрования и методов восстановления. Но, как правило, в большинстве случаев это результата не дает. Но вирус-шифровальщик расшифровать файлы может и сам, как считается, при условии того, что жертва согласится с условиями злоумышленников и выплатит определенную сумму в денежном эквиваленте. Однако такая постановка вопроса вызывает законные сомнения. И вот почему.

Вирус-шифровальщик: как вылечить и расшифровать файлы и можно ли это сделать?

Как утверждается, после оплаты хакеры активируют дешифровку через удаленный доступ к своему вирусу, который сидит в системе, или через дополнительный апплет, если тело вируса удалено. Выглядит это более чем сомнительно.

Хочется отметить и тот факт, что в Интернете полно фейковых постов о том, что, мол, требуемая сумма была уплачена, а данные успешно восстановлены. Это все ложь! И правда - где гарантия, что после оплаты вирус-шифровальщик в системе не активируется снова? Понять психологию взломщиков нетрудно: заплатил один раз - заплатишь снова. А если речь идет об особо важной информации вроде специфичных коммерческих, научных или военных разработок, обладатели такой информации готовы заплатить сколько угодно, лишь бы файлы остались в целости и сохранности.

Первое средство для устранения угрозы

Таков по своей природе вирус-шифровальщик. Как вылечить и расшифровать файлы после воздействия угрозы? Да никак, если нет подручных средств, которые тоже не всегда помогают. Но попытаться можно.

Предположим, что в системе появился вирус-шифровальщик. Как вылечить зараженные файлы? Для начала следует произвести углубленное сканирование системы без применения технологии S.M.A.R.T., которая предусматривает обнаружение угроз исключительно при повреждении загрузочных секторов и системных файлов.

Желательно не использовать имеющийся штатный сканер, который уже пропустил угрозу, а применить портативные утилиты. Оптимальным вариантом станет загрузка с диска Kaspersky Rescue Disk, которая может стартовать еще до начала работы операционной системы.

Но это всего половина дела, поскольку таким образом можно избавиться только от самого вируса. А вот с дешифратором будет сложнее. Но об этом чуть позже.

Есть еще одна категория, под которую попадают вирусы-шифровальщики. Как расшифровать информацию, будет сказано отдельно, а пока остановимся на том, что они могут совершенно открыто существовать в системе в виде официально установленных программ и приложений (наглость злоумышленников не знает предела, поскольку угроза даже не пытается маскироваться).

В этом случае следует использовать раздел программ и компонентов, где производится стандартное удаление. Однако нужно обратить внимание и на то, что стандартный деинсталлятор Windows-систем полностью все файлы программы не удаляет. В частности, вирус-шифровальщик ransom способен создавать собственные папки в корневых директориях системы (обычно это каталоги Csrss, где присутствует одноименный исполняемый файл csrss.exe). В качестве основного местоположения выбираются папки Windows, System32 или пользовательские директории (Users на системном диске).

Кроме того, вирус-шифровальщик No_more_ransom прописывает в реестре собственные ключи в виде ссылки вроде бы на официальную системную службу Client Server Runtime Subsystem, что многих вводит в заблуждение, поскольку эта служба должна отвечать за взаимодействие клиентского и серверного ПО. Сам ключ располагается в папке Run, добраться до которой можно через ветку HKLM. Понятно, что удалять такие ключи нужно будет вручную.

Чтобы было проще, можно воспользоваться утилитами вроде iObit Uninstaller, которые производят поиск остаточных файлов и ключей реестра автоматически (но только при условии, что вирус в системе виден как установленное приложение). Но это самое простое, что можно сделать.

Решения, предлагаемые разработчиками антивирусного ПО

Расшифровка вируса-шифровальщика, как считается, может производиться при помощи специальных утилит, хотя при наличии технологий с ключом 2048 или 3072 бита на них особо рассчитывать не стоит (к тому же многие из них удаляют файлы после дешифровки, а потом восстарновленные файлы исчезают по вине присутствия тела вируса, которое не было удалено до этого).

Тем не менее попробовать можно. Из всех программ стоит выделить RectorDecryptor и ShadowExplorer. Как считается, пока ничего лучше создано не было. Но проблема может состоять еще и в том, что при попытке применения дешифратора гарантии того, что вылечиваемые файлы не будут удалены, нет. То есть, если не избавиться от вируса изначально, любая попытка дешифрования будет обречена на провал.

Кроме удаления зашифрованной информации может быть и летальный исход - неработоспособной окажется вся система. Кроме того, современный вирус-шифровальщик способен воздействовать не только на данные, хранящиеся на жестком диске компьютера, но и на файлы в облачном хранилище. А тут решений по восстановлению информации нет. К тому же, как оказалось, во многих службах принимаются недостаточно эффективные меры защиты (тот же встроенный в Windows 10 OneDrive, который подвержен воздействию прямо из операционной системы).

Кардинальное решение проблемы

Как уже понятно, большинство современных методик положительного результата при заражении подобными вирусами не дает. Конечно, если есть оригинал поврежденного файла, его можно отправить на экспертизу в антивирусную лабораторию. Правда, весьма серьезные сомнения вызывает и то, что рядовой пользователь будет создавать резервные копии данных, которые при хранении на жестком диске тоже могут подвергнуться воздействию вредоносного кода. А о том, что во избежание неприятностей юзеры копируют информацию на съемные носители, речь не идет вообще.

Таким образом, для кардинального решения проблемы вывод напрашивается сам собой: полное форматирование винчестера и всех логических разделов с удалением информации. А что делать? Придется пожертвовать, если не хотите, чтобы вирус или его самосохраненная копия активировались в системе вновь.

Для этого не стоит использовать средства самих Windows-систем (имеется в виду форматирование виртуальных разделов, поскольку при попытке доступа к системному диску будет выдан запрет). Лучше применять загрузку с оптических носителей вроде LiveCD или установочных дистрибутивов, например созданных при помощи утилиты Media Creation Tool для Windows 10.

Перед началом форматирования при условии удаления вируса из системы можно попытаться произвести восстановление целостности системных компонентов через командную строку (sfc /scannow), но в плане дешифрования и разблокировки данных это эффекта не даст. Поэтому format c: - единственно правильное возможное решение, нравится вам это или нет. Только так и можно полностью избавиться от угроз этого типа. Увы, по-другому - никак! Даже лечение стандартными средствами, предлагаемыми большинством антивирусных пакетов, оказывается бессильным.

Вместо послесловия

В плане напрашивающихся выводов можно сказать только то, что единого и универсального решения по устранению последствий воздействия такого рода угроз на сегодняшний день не существует (печально, но факт - это подтверждено большинством разработчиков антивирусного ПО и специалистами в области криптографии).

Остается неясным, почему появление алгоритмов на основе 1024-, 2048- и 3072-битного шифрования прошло мимо тех, кто непосредственно занимается разработкой и внедрением таких технологий? Ведь на сегодняшний день самым перспективным и наиболее защищенным считается алгоритм AES256. Заметьте! 256! Эта система современным вирусам, как оказывается, и в подметки не годится. Что говорить тогда о попытках расшифровки их ключей?

Как бы то ни было, избежать внедрения угрозы в систему можно достаточно просто. В самом простом варианте следует проверять все входящие сообщения с вложениями в программах Outlook, Thunderbird и в других почтовых клиентах антивирусом сразу же после получения и ни в коем случае не открывать вложения до окончания проверки. Также следует внимательно читать предложения по установке дополнительного ПО при инсталляции некоторых программ (обычно они написаны очень мелким шрифтом или замаскированы под стандартные надстройки вроде обновления Flash Player или чего-то еще). Компоненты мультимедиа лучше обновлять через официальные сайты. Только так и можно хотя бы как-то препятствовать проникновению таких угроз в собственную систему. Последствия могут быть совершенно непредсказуемыми, если учесть, что вирусы этого типа моментально распространяются в локальной сети. А для фирмы такой оборот событий может обернуться настоящим крахом всех начинаний.

Наконец, и системный администратор не должен сидеть без дела. Программные средства защиты в такой ситуации лучше исключить. Тот же файрвол (межсетевой экран) должен быть не программным, а «железным» (естественно, с сопутствующим ПО на борту). И, само собой разумеется, что экономить на приобретении антивирусных пакетов тоже не стоит. Лучше купить лицензионный пакет, а не устанавливать примитивные программы, которые якобы обеспечивают защиту в реальном времени только со слов разработчика.

И если уже угроза в систему все же проникла, последовательность действий должна включать в себя удаление самого тела вируса, а только потом попытки дешифрования поврежденных данных. В идеале - полное форматирование (заметьте, не быстрое с очисткой оглавления, а именно полное, желательно с восстановлением или заменой существующей файловой системы, загрузочных секторов и записей).