Как удалить шифровальщик.A1crypt и восстановить данные. Расшифровать файлы, зашифрованные CryptXXX Вирус crypt как расшифровать файлы
Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.
Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.
Способы восстановления зашифрованных файлов бесплатно
Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.
Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем .
1. Удалить вирус-шифровальщик
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.
1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool
Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.
Дождитесь окончания этого процесса и удалите найденных зловредов.
1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware
Скачайте программу . После окончания загрузки запустите скачанный файл.
Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку . Malwarebytes Anti-malware начнёт проверку вашего компьютера.
Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.
Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.
После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.
2. Восстановить зашифрованные файлы используя ShadowExplorer
ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.
Скачайте программу . Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.
Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.
Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.
И последнее, выберите папку в которую будет скопирован восстановленный файл.
3. Восстановить зашифрованные файлы используя PhotoRec
PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.
Скачайте программу . Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.
В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.
В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.
По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.
В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).
Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.
Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.
В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.
Резюме файла _CRYPT
Файлы _CRYPT связаны с один типом (-ами) файлов, и их можно просматривать с помощью Unknown Software , разработанного Unknown Developer . В целом, этот формат связан с один существующим (-и) прикладным (-и) программным (-и) средством (-ами). Обычно они имеют формат Virus.Win32.Gpcode.ak . В большинстве случаев эти файлы относятся к Encoded Files .
Файлы _CRYPT можно просматривать с помощью операционной системы Windows. Они обычно находятся на настольных компьютерах (и ряде мобильных устройств) и позволяют просматривать и иногда редактировать эти файлы. Рейтинг популярности основного типа файла _CRYPT составляет «Низкий», что означает, что эти файлы встречаются на стандартных настольных комьютерах или мобильных устройствах достаточно редко.
Для получения дополнительной информации о файлах _CRYPT и связанных с ними прикладных программных средствах, см. информацию ниже. Кроме того, далее также представлено основное руководство по устранению неполадок, которое позволит вам решить проблемы, возникающие во время открытия файлов _CRYPT.
Популярность типов файлов
Ранг Файла
Активность
Этот тип файлов по-прежнему сохранил актуальность и активно используется разработчиками и прикладными программными средствами. Хотя оригинальное программное обеспечение этого типа файлов может отодвигаться на второй план более новой версией (например. Excel 97 против Office 365), этот тип файлов по-прежнему активно поддерживается текущей версией программного обеспечения. Этот процесс взаимодействия со старой операционной системой или устаревшей версией программного обеспечения также известен как «обратная совместимость ».
Статус файла
Страница Последнее обновление
Типы файлов _CRYPT
Ассоциация основного файла _CRYPT
CRYPT
Файл, который работает путем шифрования файлов с различными расширениями, такими как.h, .cpp, .doc, .png, .txt, .jpg, .pdf и.xls, с помощью алгоритма шифрования RSA.
Попробуйте универсальное средство для просмотра файлов
В дополнение к продуктам, перечисленным выше, мы предлагаем вам попробовать универсальное средство для просмотра файлов типа FileViewPro. Данное средство может открывать более 200 различных типов файлов, предоставляя функции редактирования для большинства из них.
Лицензия | | Условия |
Устранение неполадок при открытии файлов _CRYPT
Общие проблемы с открытием файлов _CRYPT
Unknown Software не установлен
Дважды щелкнув по файлу _CRYPT вы можете увидеть системное диалоговое окно, в котором сообщается «Не удается открыть этот тип файла» . В этом случае обычно это связано с тем, что на вашем компьютере не установлено Unknown Software для %%os%% . Так как ваша операционная система не знает, что делать с этим файлом, вы не сможете открыть его дважды щелкнув на него.
Совет: Если вам извстна другая программа, которая может открыть файл _CRYPT, вы можете попробовать открыть данный файл, выбрав это приложение из списка возможных программ.
Установлена неправильная версия Unknown Software
В некоторых случаях у вас может быть более новая (или более старая) версия файла Virus.Win32.Gpcode.ak, не поддерживаемая установленной версией приложения . При отсутствии правильной версии ПО Unknown Software (или любой из других программ, перечисленных выше), может потребоваться загрузить другую версию ПО или одного из других прикладных программных средств, перечисленных выше. Такая проблема чаще всего возникает при работе в более старой версии прикладного программного средства с файлом, созданным в более новой версии , который старая версия не может распознать.
Совет: Иногда вы можете получить общее представление о версии файла _CRYPT, щелкнув правой кнопкой мыши на файл, а затем выбрав «Свойства» (Windows) или «Получить информацию» (Mac OSX).
Резюме: В любом случае, большинство проблем, возникающих во время открытия файлов _CRYPT, связаны с отсутствием на вашем компьютере установленного правильного прикладного программного средства.
Установить необязательные продукты - FileViewPro (Solvusoft) | Лицензия | Политика защиты личных сведений | Условия |
Другие причины проблем с открытием файлов _CRYPT
Даже если на вашем компьютере уже установлено Unknown Software или другое программное обеспечение, связанное с _CRYPT, вы все равно можете столкнуться с проблемами во время открытия файлов Virus.Win32.Gpcode.ak. Если проблемы открытия файлов _CRYPT до сих пор не устранены, возможно, причина кроется в других проблемах, не позволяющих открыть эти файлы . Такие проблемы включают (представлены в порядке от наиболее до наименее распространенных):
- Неверные ссылки на файлы _CRYPT в реестре Windows («телефонная книга» операционной системы Windows)
- Случайное удаление описания файла _CRYPT в реестре Windows
- Неполная или неправильная установка прикладного программного средства, связанного с форматом _CRYPT
- Повреждение файла _CRYPT (проблемы с самим файлом Virus.Win32.Gpcode.ak)
- Заражение _CRYPT вредоносным ПО
- Повреждены или устарели драйверы устройств оборудования, связанного с файлом _CRYPT
- Отсутствие на компьютере достаточных системных ресурсов для открытия формата Virus.Win32.Gpcode.ak
Опрос: Сколько различных компьютерные файлы (например, документы, видео, аудио) вы обычно просмотреть или изменить на ежедневной основе?
Лучшие веб-браузеры
| Chrome | (58.80%) | |
| Firefox | (11.05%) | |
| Internet Explorer | (9.04%) | |
| Edge | (8.46%) | |
| Safari | (3.87%) |
Событие дня
GIF (Graphics Interchange Format) был впервые создан в 1987 году CompuServe. GIFs были разработаны для отправки фотографий проще и быстрее, в дни, предшествовавшие высокоскоростной Интернет. Сочетание ограниченной цветовой схемы (256 цветов) и сжатие LZW из GIFs возможно.
Как исправить проблемы с открытием файлов _CRYPT
При наличии на компьютере установленной антивирусной программы можносканировать все файлы на компьютере, а также каждый файл в отдельности . Можно выполнить сканирование любого файла, щелкнув правой кнопкой мыши на файл и выбрав соответствующую опцию для выполнения проверки файла на наличие вирусов.
Например, на данном рисунке выделен файл my-file._crypt , далее необходимо щелкнуть правой кнопкой мыши по этому файлу, и в меню файла выбрать опцию «сканировать с помощью AVG» . При выборе данного параметра откроется AVG Antivirus, который выполнит проверку данного файла на наличие вирусов.
Иногда ошибка может возникнуть в результате неверной установки программного обеспечения , что может быть связано с проблемой, возникшей в процессе установки. Это может помешать вашей операционной системе связать ваш файл _CRYPT с правильным прикладным программным средством , оказывая влияние на так называемые «ассоциации расширений файлов» .
Иногда простая переустановка Unknown Software может решить вашу проблему, правильно связав _CRYPT с Unknown Software. В других случаях проблемы с файловыми ассоциациями могут возникнуть в результате плохого программирования программного обеспечения разработчиком, и вам может потребоваться связаться с разработчиком для получения дополнительной помощи.
Совет: Попробуйте обновить Unknown Software до последней версии, чтобы убедиться, что установлены последние исправления и обновления.
Это может показаться слишком очевидным, но зачастую непосредственно сам файл _CRYPT может являться причиной проблемы . Если вы получили файл через вложение электронной почты или загрузили его с веб-сайта, и процесс загрузки был прерван (например, отключение питания или по другой причине), файл может повредиться . Если возможно, попробуйте получить новую копию файла _CRYPT и попытайтесь открыть его снова.
Осторожно: Поврежденный файл может повлечь за собой возникновение сопутствующего ущерба предыдущей или уже существующей вредоносной программы на вашем ПК, поэтому очень важно, чтобы на вашем компьютере постоянно работал обновленный антивирус.
Если ваш файл _CRYPT связан с аппаратным обеспечением на вашем компьютере , чтобы открыть файл вам может потребоваться обновить драйверы устройств , связанных с этим оборудованием.
Эта проблема обычно связана с типами мультимедийных файлов , которые зависят от успешного открытия аппаратного обеспечения внутри компьютера, например, звуковой карты или видеокарты . Например, если вы пытаетесь открыть аудиофайл, но не можете его открыть, вам может потребоваться обновить драйверы звуковой карты .
Совет: Если при попытке открыть файл _CRYPT вы получаете сообщение об ошибке, связанной с.SYS file , проблема, вероятно, может быть связана с поврежденными или устаревшими драйверами устройств , которые необходимо обновить. Данный процесс можно облегчить посредством использования программного обеспечения для обновления драйверов, такого как DriverDoc .
Если шаги не решили проблему , и у вас все еще возникают проблемы с открытием файлов _CRYPT, это может быть связано с отсутствием доступных системных ресурсов . Для некоторых версий файлов _CRYPT могут потребоваться значительный объем ресурсов (например, память/ОЗУ, вычислительная мощность) для надлежащего открытия на вашем компьютере. Такая проблема встречается достаточно часто, если вы используете достаточно старое компьютерное аппаратное обеспечение и одновременно гораздо более новую операционную систему.
Такая проблема может возникнуть, когда компьютеру трудно справиться с заданием, так как операционная система (и другие службы, работающие в фоновом режиме) могут потреблять слишком много ресурсов для открытия файла _CRYPT . Попробуйте закрыть все приложения на вашем ПК, прежде чем открывать Virus.Win32.Gpcode.ak. Освободив все доступные ресурсы на вашем компьютере вы обеспечите налучшие условия для попытки открыть файл _CRYPT.
Если вы выполнили все описанные выше шаги , а ваш файл _CRYPT по-прежнему не открывается, может потребоваться выполнить обновление оборудования . В большинстве случаев, даже при использовании старых версий оборудования, вычислительная мощность может по-прежнему быть более чем достаточной для большинства пользовательских приложений (если вы не выполняете много ресурсоемкой работы процессора, такой как 3D-рендеринг, финансовое/научное моделирование или интенсивная мультимедийная работа). Таким образом, вполне вероятно, что вашему компьютеру не хватает необходимого объема памяти (чаще называемой «ОЗУ», или оперативной памятью) для выполнения задачи открытия файла.
Попробуйте обновить память , чтобы узнать, поможет ли это открыть файл _CRYPT. На сегодняшний день обновления памяти являются вполне доступными и очень простыми для установки даже для обычного пользователя компьютера. В качестве бонуса вы, вероятно, увидите хороший прирост производительности при выполнении вашим компьютером других задач.
Установить необязательные продукты - FileViewPro (Solvusoft) | Лицензия | Политика защиты личных сведений | Условия |
Не самое приятное событие когда видишь на мониторе надпись «внимание все важные файлы на всех дисках были зашифрованы crypted000007». Всех пострадавших интересует что делать если все файлы зашифрованы трояном CryptXXX и расширение файлов стало crypted000007 ? Антивирусные лаборатории определяют файл как Trojan.Encoder.20, другие как Trojan.Encoder.858. Также данный троян известен как Shade и XTBL. При попытках анализа файлов было выяснено что это GPG шифрование.
Файл распространяется под видом договором, счетов, проверок, бухгалтерских аудитов – в общем прослеживается нацеленность на компании, которые в отличие от физических лиц обладают деньгами.
Какие файлы зашифрованы
Троян шифрует абсолютно все файлы (любых расширений / форматов), превращая их в crypted000007, crypted0000078 или .no_more_ransom , оставляя на рабочем столе и системном диске кучу файлов README, где на английском и русском языках просят связаться с ними по адресам электронной почты:
- И другим
Почта у них постоянно меняется. Далее вас попросят заплатить выкуп и получить программу для дешифровки файлов. Не поощряйте киберпреступников и не платите выкуп, кстати, преступники вымогают весьма немалые гонорары в Биткоинах, в зависимости от страны вашего проживания!
Не платите фирмам по расшифровке, это лишь посредники, они покупают ключ у хакеров и продают его вам, но уже дороже. Сразу вспоминается
«Вы не знаете Паниковского. Паниковский вас всех продаст, купит и снова продаст, но уже дороже»
Как расшифровать файлы?
Не теряйте время на восстановление файлов, как показала практика, использование программ Qphotorec, Data Recovery Pro не несёт положительных результатов, так же как и попытка восстановить файлы через теневые копии , возможно, вирус их удаляет.
Сделайте резервные копии зашифрованных файлов и используйте следующие дешифраторы, взятые с сайта nomoreransom:
В будущем старайтесь делать бэкапы данных. Если у вас не получилось расшифровать файлы данными дешифраторами, отправьте их в антивирусные лаборатории по нашей инструкции .
Плачевный итог таков: лицензионный антивирус не спасёт вас от «серьёзных пацанов», делайте бэкапы, работайте под ограниченными правами. Нужен очень хороший специалист по восстановлению данных или специалист по компьютерной безопасности, который хорошо знает алгоритмы шифрования. Боюсь в обоих случаях такие услуги могут обойтись очень недёшево, минимум долларов от 300.
Стали жертвой программы-вымогателя? Не платите выкуп!
Наши бесплатные дешифраторы помогут вернуть доступ к файлам, заблокированным различными видами описанного ниже ПО, требующего выкупа. Просто выберите название, чтобы просмотреть признаки заражения и получить бесплатную помощь.
Хотите в будущем избежать заражения программой-вымогателем?
Alcatraz Locker
Alcatraz Locker - это одна из программ-вымогателей, впервые обнаруженная в средине ноября 2016 года. Для шифрования файлов она использует метод AES 256 в комбинации с кодированием Base64.
Изменение имен файлов.
Зашифрованные файлы получают расширение .Alcatraz .
Сообщение о выкупе.
ransomed.html » на рабочем столе:
Если программа Alcatraz зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
Apocalypse
Apocalypse - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.
Изменение имен файлов.
Программа Apocalypse добавляет расширения .encrypted , .FuckYourData , .locked , .Encryptedfile или .SecureCrypted Thesis.doc.locked .)
Сообщение о выкупе.
При открытии файла с расширением .How_To_Decrypt.txt , .README.Txt , .Contact_Here_To_Recover_Your_Files.txt , .How_to_Recover_Data.txt или .Where_my_files.txt (например, Thesis.doc.How_To_Decrypt.txt ) появится сообщение примерно следующего содержания:
BadBlock
BadBlock - это вид программы-вымогателя, впервые обнаруженный в мае 2016 г. Ниже описаны признаки заражения.
Изменение имен файлов.
Программа BadBlock не переименовывает файлы.
Сообщение о выкупе.
Зашифровав ваши файлы, троянец BadBlock отображает одно из следующих сообщений (на примере файла Help Decrypt.html ):
Если программа BadBlock зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
Bart
Bart - это вид программы-вымогателя, впервые обнаруженный в конце июня 2016 г. Ниже описаны признаки заражения.
Изменение имен файлов.
Программа Bart добавляет текст .bart.zip в конце имен файлов (например, вместо Thesis.doc файл будет называться Thesis.docx.bart.zip ). В этом зашифрованном ZIP-архиве содержатся исходные файлы.
Сообщение о выкупе.
После зашифровки файлов программа Bart изменяет фон рабочего стола, как показано ниже. С помощью текста на этом изображении также можно распознать программу Bart. Текст хранится на рабочем столе в файлах recover.bmp и recover.txt .
Если программа Bart зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
Благодарность. Благодарим Питера Конрада, автора программы PkCrack , который разрешил использовать свою библиотеку в нашем дешифраторе для троянца-вымогателя Bart.
Crypt888
Crypt888 (известная также как Mircop) - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.
Изменение имен файлов.
Программа Crypt888 добавляет текст Lock. в начало файловых имен (например, вместо Thesis.doc файл будет называться Lock.Thesis.doc ).
Сообщение о выкупе.
Зашифровав ваши файлы, программа Crypt888 меняет фон рабочего стола на один из вариантов ниже.
Если программа Crypt888 зашифровала ваши файлы, щелкните здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
CryptoMix (автономная версия)
CryptoMix (известная также как CryptFile2 и Zeta) - это одна из программ-вымогателей, впервые замеченная в марте 2016 года. В начале 2017 года появилась новая разновидность CryptoMix, получившая имя CryptoShield. Оба варианта программы шифруют файлы, применяя алгоритм AES256 с уникальным ключом шифрования, который скачивается с удаленного сервера. Если же сервер недоступен или пользователь не имеет подключения к Интернету, программа-вымогатель шифрует файлы, используя фиксированный ключ («автономный ключ»).
Обратите внимание. Предлагаемый дешифратор способен разблокировать только файлы, зашифрованные при помощи «автономного ключа». В случаях, когда автономный ключ для шифрования файлов не использовался, наш дешифратор не сможет восстановить доступ к файлам.
Изменение имен файлов.
.CRYPTOSHIELD , .rdmk , .lesli , .scl , .code , .rmd или .rscl .
Сообщение о выкупе.
После зашифровки файлов на ПК можно найти следующие файлы:
Если программа CryptoMix зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
CrySiS
CrySiS (JohnyCryptor, Virus-Encode или Aura) - это одна из программ-вымогателей, впервые замеченная в сентябре 2015 года. В ней используется шифрование типа AES256 в сочетании с асимметричным методом шифрования RSA1024.
Изменение имен файлов.
Зашифрованные файлы имеют одно из следующих расширений:
[email protected]
,
[email protected]
,
[email protected]
,
[email protected]
,
.{[email protected]}.CrySiS
,
.{[email protected]}.xtbl
,
.{[email protected]}.xtbl
,
.{[email protected]}.xtbl
Сообщение о выкупе.
Зашифровав ваши файлы, программа отображает одно из следующих сообщений. Это сообщение содержится в файле под названием «Decryption instructions.txt », «Decryptions instructions.txt » или «*README.txt » на рабочем столе.
Если программа CrySiS зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
Globe
Globe - это одна из программ-вымогателей, впервые обнаруженная в августе 2016 года. В ней используется метод шифрования RC4 или Blowfish. Ниже описаны признаки заражения.
Изменение имен файлов.
Программа Globe добавляет одно из следующих расширений к названию файла: .ACRYPT , .GSupport , .blackblock , .dll555 , .duhust , .exploit , .frozen , .globe , .gsupport , .kyra , .purged , .raid , [email protected] , .xtbl , .zendrz , .zendr или .hnyear . Более того, некоторые версии программы зашифровывают само название файла.
Сообщение о выкупе.
После зашифровки файлов программа отображает такое сообщение, которое находится в файле «How to restore files.hta » или «Read Me Please.hta »):
Если программа Globe зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
HiddenTear
HiddenTear - одна из первых программ-вымогателей с открытым кодом, размещенная на портале GitHub и известная с августа 2015 года. С этого времени мошенниками, использующими открытый исходный код, были созданы сотни вариантов программы HiddenTear. Программа HiddenTear использует шифрование AES.
Изменение имен файлов.
Зашифрованные файлы получают одно из следующих расширений (но могут иметь и другие): .locked , .34xxx , .bloccato , .BUGSECCCC , .Hollycrypt , .lock , .saeid , .unlockit , .razy , .mecpt , .monstro , .lok , .암호화됨 , .8lock8 , .fucked , .flyper , .kratos , .krypted , .CAZZO , .doomed .
Сообщение о выкупе.
Когда файлы зашифрованы, на рабочем экране пользователя появляется текстовый файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) . Различные варианты могут также выводить сообщение с требованием выкупа:
Если программа HiddenTear зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
Jigsaw
Jigsaw - это одна из программ-вымогателей, существующая примерно с марта 2016 года. Она названа в честь кинозлодея по прозвищу «Jigsaw Killer» («Пила-убийца»). Некоторые варианты этой программы используют изображение этого персонажа на экране с требованием выкупа за разблокировку.
Изменение имен файлов.
Зашифрованные файлы получают одно из следующих расширений: .kkk , .btc , .gws , .J , .encrypted , .porno , .payransom , .pornoransom , .epic , .xyz , .versiegelt , .encrypted , .payb , .pays , .payms , .paymds , .paymts , .paymst , .payrms , .payrmts , .paymrts , .paybtcs , .fun , .hush , [email protected] или .gefickt .
Сообщение о выкупе.
Когда файлы будут зашифрованы, отобразится один из экранов, представленных ниже:
Если программа Jigsaw зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
Legion
Legion - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.
Изменение имен файлов.
Программа Legion добавляет нечто вроде [email protected]$.legion или [email protected]$.cbf в конце имен файлов. (Например, вместо Thesis.doc файл будет называться [email protected]$.legion .)
Сообщение о выкупе.
Зашифровав ваши файлы, программа Legion меняет фон рабочего стола, при этом появляется всплывающее окно, аналогичное этому:
Если программа Legion зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.
На сегодняшний день известно множество разновидностей шифровальщиков. Антивирусная компания «Доктор Веб» давно и успешно борется с такими программами-вымогателями: в некоторых случаях зашифрованные троянцем файлы можно восстановить. Это касается и энкодера, известного под именем CryptXXX, - специалисты «Доктор Веб» могут расшифровать поврежденные этим троянцем файлы, если они были зашифрованы до начала июня 2016 года.
Вредоносная программа Trojan.Encoder.4393, также известная под именем CryptXXX, является типичным представителем многочисленной группы троянцев-энкодеров. Этот шифровальщик имеет несколько версий и распространяется злоумышленниками по всему миру. С целью увеличить прибыль от своей незаконной деятельности вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям троянца. Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников. Зашифрованные троянцем файлы получают расширение *.crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.
Если вы стали жертвой этой вредоносной программы, и файлы на вашем компьютере были зашифрованы до начала июня 2016 года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов и в значительной степени - от действий самого пользователя.
- Не пытайтесь удалить какие-либо файлы с компьютера или переустановить операционную систему, а также не пользуйтесь зараженным ПК до получения инструкций от службы технической поддержки компании «Доктор Веб».
- Если вы запустили антивирусное сканирование, не предпринимайте каких-либо действий по лечению или удалению обнаруженных вредоносных программ - они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов.
- Постарайтесь припомнить как можно больше информации об обстоятельствах заражения: это касается полученных вами по электронной почте подозрительных писем, скачанных из Интернета программ, сайтов, которые вы посещали.
- Если у вас сохранилось письмо с вложением, после открытия которого файлы на компьютере оказались зашифрованными, не удаляйте его: это письмо должно помочь специалистам определить версию троянца, проникшего на ваш компьютер.
Для расшифровки файлов, поврежденных в результате действия CryptXXX, воспользуйтесь специальной страницей сервиса на сайте антивирусной компании «Доктор Веб». Бесплатная помощь по расшифровке файлов оказывается только обладателям лицензии Dr.Web, у которых на момент заражения был установлен Dr.Web Security Space (для Windows), Антивирус Dr.Web для OS X или Linux не ниже версии 10 или Dr.Web Enterprise Security Suite (версии 6+). Другие пострадавшие могут воспользоваться платной услугой Dr.Web Rescue Pack через