Меню
Бесплатно
Регистрация
Главная  /  Интернет  /  Как раскодировать файлы закодированные вирусом. Вирус XTBL: как восстановить файлы после атаки вымогателя? Описание вируса шифровальщика CRYPTED000007

Как раскодировать файлы закодированные вирусом. Вирус XTBL: как восстановить файлы после атаки вымогателя? Описание вируса шифровальщика CRYPTED000007

Путешествуя по разным городам и весям, человек волей-неволей сталкивается с неожиданностями, которые могут быть и приятными, и провоцирующими усиленный дискомфорт, сильнейшие огорчения.

Такие же эмоции могут поджидать пользователя, увлекающегося «путешествиями» по интернету . Хотя иногда неприятные сюрпризы залетают самостоятельно на электронную почту в виде угрожающих писем, документов, прочесть которые пользователи стремятся как можно скорее, тем самым попадая в расставленные сети мошенников.

В сети можно столкнуться с невероятным количеством вирусов, запрограммированных на выполнение множественных негативных задач на вашем компьютере, поэтому важно научиться различать безопасные ссылки для скачивания файлов, документов и обходить стороной те, которые представляют собой явную опасность для компьютера.

Если вы стали одним из тех несчастных, кому пришлось на практическом опыте испытать негативные последствия вмешательства вируса , вы не станете сомневаться в том, что полезно собрать и впоследствии систематизировать информацию относительно того, как предотвратить заражение компьютера.

Вирусы появились сразу же, как только появилась компьютерная техника. С каждым годом разновидностей вирусов становится всё больше и больше, поэтому пользователю легко уничтожить только тот вирусоноситель, который уже давно известен, и найден стопроцентный метод его уничтожения.

Гораздо сложнее пользователю вести «борьбу» с вирусоносителями, которые только появляются в сети или сопровождаются полномасштабными разрушительными действиями.

Способы восстановления файлов

В ситуации, когда вирус зашифровал файлы на компьютере, что делать для многих является ключевым вопросом. Если это любительские фото, смириться с потерей которых тоже не хочется, можно искать пути решения проблемы на протяжении продолжительного периода времени. Однако если вирус зашифровал файлы, которые крайне важны для предпринимательской деятельности, желание разобраться, что делать становится невероятно большим, к тому же хочется предпринять действенные шаги достаточно быстро.

Восстановление предыдущей версии

Если на вашем компьютере была заблаговременно включена защита системы, то даже в тех случаях, когда у вас уже успел похозяйничать «непрошенный гость-шифровальщик», вам всё равно удастся восстановить документы, владея информацией, что делать в этом случае.

Система поможет вам восстановить документы, используя их теневые копии. Безусловно, троян также направляет свои усилия на ликвидацию таких копий, но осуществить такие манипуляции вирусам не всегда удаётся, поскольку они не владеют административными правами.

Шаг 1

Итак, восстановить документ, воспользовавшись его предыдущей копией несложно . Для этого вы кликните правой кнопкой мышки по файлу, который оказался повреждённым. В появившемся меню выберите пункт «Свойства». На экране вашего ПК появится окошко, в котором будут находиться четыре вкладки, вам нужно перейти на последнюю вкладку «Предыдущие версии».

Шаг 2

В окошке ниже будут перечислены все имеющиеся теневые копии документа, вам остаётся только выбрать максимально подходящий для вас вариант, затем нажать на кнопку «Восстановить».

К сожалению, такая «скорая помощь» не может быть применена на том компьютере, где заблаговременно не была включена защита системы. По этой причине мы рекомендуем вам включить её заранее, чтобы потом не «кусать себе локти», укоряя себя явным непослушанием.

Шаг 3

Включить защиту системы на компьютере тоже несложно, это не отнимет у вас много времени. Поэтому прогоните свою лень, упрямство и помогите своему компьютеру стать менее уязвимым для троянчиков.

Кликните по иконке «Компьютер» правой кнопкой мышки, выберите пункт «Свойства». С левой стороны открывшегося окна будет находиться список, в котором найдите строку «Защита системы», кликните по ней.

Теперь вновь откроется окошко, в котором вам предложат выбрать диск. Выделив локальный диск «C», нажмите кнопку «Настроить».

Шаг 4

Теперь откроется окошко с предложением параметров восстановления. Вам нужно согласиться с первым вариантом, предполагающим восстановление параметров системы и предыдущих версий документов. В завершение нажмите традиционную кнопку «Ok».

Если вы проделали все эти манипуляции заранее, то даже при условии посещения вашего компьютера троянчиком, шифрования ним файлов, у вас будут отличные прогнозы на восстановление важной информации.

По крайней мере, вы не впадёте в панику, обнаружив, что все файлы на компьютере зашифрованы, что делать в этом случае вы уже будете точно знать.

Использование утилит

Многие антивирусные компании не бросают пользователей наедине с проблемой, когда вирусы зашифровывают документы. Лаборатория Касперского и компания «Доктор Веб» разработали специальные утилиты, помогающие устранить такие проблемные ситуации.

Итак, если вы обнаружили ужасные следы посещения шифровальщика , попробуйте воспользоваться утилитой Kaspersky RectorDecryptor.

Запустите утилиту на компьютере, укажите путь к тому файлу, который был зашифрован. Понять, что непосредственно должна делать утилита, несложно. Она способом перебора множественных вариантов пытается подобрать ключ к дешифрованию файла. К сожалению, такая операция может быть весьма продолжительной и не подходить по временным рамкам для многих пользователей.

В частности, может случиться так, что потребуется около 120 суток для подбора правильного ключа. При этом вы обязаны понимать, что процесс дешифрования прерывать не рекомендуется, поэтому выключать компьютер также нельзя.

Лаборатория Касперского предлагает и другие утилиты:

  • XoristDecryptor;
  • RakhniDecryptor;
  • Ransomware Decryptor.

Эти утилиты направлены на результаты зловредной деятельности иных троянчиков-шифровальщиков. В частности, утилита Ransomware Decryptor ещё неизвестна многим, поскольку направлена на борьбу с CoinVault, который только в настоящее время начинает атаковать интернет и проникать на компьютеры пользователей.

Разработчики «Доктора Веб» также не бездействуют, поэтому презентуют пользователям свои утилиты, при помощи которых можно также попытаться восстановить зашифрованные документы на компьютере.

Создайте на диске C любую папку, придумайте ей простое название. В эту папку разархивируйте утилиту, скачанную с официального сайта компании.

Теперь можете воспользоваться ею для практического решения проблемы. Для этого запустите командную строку, наберите в ней «cd c:\XXX», где вместо XXX пропишите название папки, в которую вы поместили утилиту.

Вместо «myfiles» должно быть прописано название папки, в которой находятся повреждённые документы.

Теперь утилита запустится и начнётся процесс лечения, после успешного завершения вы обнаружите отчёт, в котором будет указано, что удалось восстановить. Кстати, программа не удаляет зашифрованные файлы, а просто рядом с ними сохраняет восстановленный вариант.

К сожалению, даже эта утилита «Доктора Веб» не может вами рассматриваться в качестве волшебной палочки-выручалочки, ей тоже не всё под силу.

Что делать в случае заражения многие уже, быть может, и уяснили, но опытные пользователи рекомендуют получить информацию относительно того, что делать категорически не рекомендуется, чтобы не спровоцировать более серьёзные последствия, когда шансы на восстановление документов будут приравнены к нулю.

Нельзя переустанавливать на компьютере операционную систему. В этом случае вам может быть и удастся ликвидировать вредителя, но вернуть в рабочее состояние документы точно не получится.

Нельзя запускать программы, отвечающие за очистку реестра, удаление временных файлов на компьютере.

Не рекомендуется делать антивирусное сканирование, во время которого заражённые документы могут быть просто удалены. Если вы немножечко сглупили и запустили антивирус, поддавшись панике, то проследите, по крайней мере, чтобы все заражённые файлы не были удалены, а просто помещены в карантин.

Если вы являетесь продвинутым пользователем, вы можете прервать процесс шифрования на компьютере, пока он не распространился на все файлы и документы. Для этого нужно запустить «Диспетчер задач» и остановить процесс. Неопытный пользователь вряд ли сможет разобраться, какой процесс имеет отношение к вирусу.

Полезно отсоединить компьютер от интернета. Разорвав такую связь, процесс шифрования файлов и документов на компьютере в большинстве случаев также прерывается.

Итак, отлично понимая, что следует делать, когда обнаружен факт посещения трояна-шифровальщика, вы сможете предпринять шаги, обнадёживающие на успех. К тому же, получив информацию, как расшифровать файлы, зашифрованные вирусом, вы сможете попытаться самостоятельно ликвидировать проблему и не допустить её появления вновь.

В последнее время наблюдается всплеск активности нового поколения вредоносных компьютерных программ. Появились они достаточно давно (6 - 8 лет назад), но темпы их внедрения достигли своего максимума именно сейчас. Все чаще можно столкнуться с тем, что вирус зашифровал файлы.

Уже известно, что это не просто примитивные вредоносные ПО, к примеру, (вызывающие появление синего экрана), а серьезные программы, нацеленные на повреждение, как правило, бухгалтерских данных. Они шифруют все имеющиеся файлы, находящиеся в пределах досягаемости, включая данные 1С бухгалтерии, docx, xlsx, jpg, doc, xls, pdf, zip.

Особая опасность рассматриваемых вирусов

Она заключается в том, что при этом применяется RSA-ключ, который привязан к конкретному компьютеру пользователя, ввиду чего универсальный дешифратор (декриптор ) отсутствует. Вирусы, активизированные в одном из компьютеров, могут не сработать в другом.

Опасность также еще в том, что уже более года в Интернете размещены готовые программы-строители (билдеры), позволяющие разработать такого рода вирус даже кулхацкерам (личностям, считающим себя хакерами, но при этом не изучающим программирование).

В настоящее время появились более мощные их модификации.

Способ внедрения данных вредоносных программ

Рассылка вируса производится целенаправленно, как правило, в бухгалтерию компании. Сначала осуществляется сбор е-мейлов отделов кадров, бухгалтерий из таких баз данных, как, например, hh.ru. Далее производится рассылка писем. Они чаще всего содержат просьбу касаемо принятия на определенную должность. К такому письму с резюме, внутри которого реальный документ с имплантированным OLE-объектом (pdf-файл с вирусом).

В ситуациях, когда сотрудники бухгалтерии сразу запускали данный документ, после перезагрузки происходило следующее: вирус переименовал и зашифровал файлы, а затем самоликвидировался.

Такого рода письмо, как правило, адекватно написано и отправлено с неспамерского ящика (имя соответствует подписи). Вакансия всегда запрашивается исходя из профилирующей деятельности компании, ввиду чего подозрения не возникают.

Ни лицензионный "Касперский" (антивирусная программа), ни "Вирус Тотал" (онлайн-сервис проверки вложений на вирусы) не могут обезопасить компьютер в рассматриваемом случае. Изредка некоторые антивирусные программы при сканировании выдают, что во вложении находится Gen:Variant.Zusy.71505.

Как избежать заражения данным вирусом?

Следует проверять каждый полученный файл. Особое внимание уделяется вордовским документам, которые имеют внедренные pdf.

Варианты «зараженных» писем

Их достаточно много. Самые распространенные варианты того, как вирус зашифровал файлы, представлены ниже. Во всех случаях на электронную почту приходят следующие документы:

  1. Уведомление касательно начала процесса рассмотрения поданного на конкретную компанию судебного иска (в письме предлагается проверить данные посредством перехода по указанной ссылке).
  2. Письмо из ВАС РФ о взыскании долга.
  3. Сообщение из Сбербанка относительно увеличения существующей задолженности.
  4. Уведомление о фиксации нарушения ПДД.
  5. Письмо из Коллекторского агентства с указанием максимально возможной отсрочки платежа.

Уведомление о шифровании файлов

Оно после заражения появится в корневой папке диска С. Иногда во все каталоги с поврежденным текстом помещаются файлы типа ЧТО_ДЕЛАТЬ.txt, CONTACT.txt. Там пользователя информируют о шифровании его файлов, которое осуществлено посредством надежных криптостойких алгоритмов. А также его предупреждают о нецелесообразности применения сторонних утилит, так как это может привести к окончательному повреждению файлов, что, в свою очередь, приведет к невозможности их последующей расшифровки.

В уведомлении рекомендуется оставить компьютер в неизменном состоянии. В нем указано время хранения предоставленного ключа (как правило, это 2 суток). Прописана точная дата, после которой любого рода обращения будут игнорироваться.

В конце предоставляется е-мейл. Там также говорится, что пользователь должен указать свой ID и что любое из нижеперечисленных действий может привести к ликвидации ключа, а именно:

Как расшифровать файлы, зашифрованные вирусом?

Данного рода шифрование весьма мощное: файлу присваивается такое расширение, как perfect, nochance и пр. Взломать просто невозможно, однако можно попробовать подключить криптоаналитику и отыскать лазейку (в некоторых ситуациях поможет Dr. WEB).

Существует еще 1 способ, как восстановить зашифрованные вирусом файлы, но он подходит не ко всем вирусам, к тому же потребуется вытащить исходный exe вместе с данной вредоносной программой, что достаточно нелегко осуществить после самоликвидации.

Просьба вируса касаемо введения специального кода - незначительная проверка, так как файл к этому моменту уже имеет дешифратор (код от, так сказать, злоумышленников не потребуется). Суть данного способа - вписывание в проникший вирус (в само место сравнения вводимого кода) пустых команд. Результат - вредоносная программа сама запускает дешифровку файлов и тем самым их полностью восстанавливает.

В каждом отдельном вирусе своя специальная функция шифрования, ввиду чего сторонним экзешником (файлом формата exe) расшифровать не получится, или же можно попробовать подобрать вышеуказанную функцию, для чего необходимо все действия осуществлять на WinAPI.

файлы: что делать?

Для проведения процедуры дешифровки потребуется:

Как избежать потери данных из-за рассматриваемого вредоносного ПО?

Стоит знать, что в ситуации, когда вирус зашифровал файлы, для процесса их дешифровки потребуется время. Важным моментом выступает то, что в вышеупомянутом вредоносном ПО существует ошибка, позволяющая сохранить часть файлов, если быстро обесточить компьютер (выдернуть вилку из розетки, выключить сетевой фильтр, вытащить батарею в случае с ноутбуком), как только появится большое количество файлов с ранее указанным расширением.

Еще раз следует подчеркнуть, что главное - это постоянно создавать резервное копирование, но не в другую папку, не на съемный носитель, вставленный в компьютер, так как данная модификация вируса доберётся и до этих мест. Стоит сохранять бэкапы на другом компьютере, на винчестер, который постоянно не присоединен к компьютеру, и в облако.

Относиться следует с подозрением ко всем документам, которые приходят на почту от неизвестных лиц (в виде резюме, накладной, Постановления из ВАС РФ или налоговой и др.). Не надо их запускать на своем компьютере (для этих целей можно выделить нетбук, не содержащий важных данных).

Вредоносная программа *[email protected]: способы устранения

В ситуации, когда вышеуказанный вирус зашифровал файлы cbf, doc, jpg и т. д., существует всего три варианта развития события:

  1. Самый простой способ избавиться от него - удалить все зараженные файлы (это приемлемо, если только данные не особо важные).
  2. Зайти в лабораторию антивирусной программы, к примеру, Dr. WEB. Выслать разработчикам несколько зараженных файлов обязательно вместе с ключом для дешифровки, находящегося на компьютере в качестве KEY.PRIVATE.
  3. Самый затратный способ. Он предполагает оплату запрошенной хакерами суммы за дешифрование зараженных файлов. Как правило, стоимость данной услуги в пределах 200 - 500 долл. США. Это приемлемо в ситуации, когда вирус зашифровал файлы крупной компании, в которой ежедневно протекает существенный информационный поток, и данная вредоносная программа может за считаные секунды нанести колоссальный вред. В связи с этим оплата - самый быстрый вариант восстановления зараженных файлов.

Иногда результативным оказывается и дополнительный вариант. В случае когда вирус зашифровал файлы (paycrypt@gmail_com либо иное вредоносное ПО), может помочь на несколько дней назад.

Программа для дешифровки RectorDecryptor

Если вирус зашифровал файлы jpg, doc, cbf и т. п., то может помочь специальная программа. Для этого сначала потребуется зайти в автозагрузки и отключить все, кроме антивируса. Далее необходимо перезагрузить компьютер. Просмотреть все файлы, выделить подозрительные. В поле под названием «Команда» указано месторасположение конкретного файла (внимание уделять стоит приложениям, не имеющим подписи: производитель - нет данных).

Все подозрительные файлы надо удалить, после чего потребуется почистить кэши браузеров, временные папки (для этого подойдет программа CCleaner).

Чтобы приступить к дешифровке, необходимо скачать вышеуказанную программу. Затем запустить ее и нажать кнопку «Начать проверку», указав измененные файлы и их расширение. В современных версиях данной программы можно указать лишь сам зараженный файл и нажать кнопку «Открыть». После этого файлы будут расшифрованы.

Впоследствии утилита автоматически осуществляет проверку всех компьютерных данных, включая файлы, находящиеся на присоединенном сетевом диске, и дешифрует их. Данный процесс восстановления может занять несколько часов (в зависимости от объема работы и быстродействия компьютера).

В итоге все будут расшифрованы в ту же самую директорию, где они находились первоначально. В завершение останется лишь удалить все имеющиеся файлы с подозрительным расширением, для чего можно проставить галочку в запросе «Удалять зашифрованные файлы после успешной расшифровки», нажав предварительно кнопку «Изменить параметры проверки». Однако лучше ее не ставить, так как в случае неудачной дешифровки файлов они могут удалиться, и впоследствии придется их сначала восстанавливать.

Итак, если вирус зашифровал файлы doc, cbf, jpg т. д., не следует торопиться с оплатой кода. Может, он и не понадобится.

Нюансы удаления зашифрованных файлов

При попытке ликвидации всех поврежденных файлов посредством стандартного поиска и последующего удаления может начаться зависание и замедление работы компьютера. В связи с этим для данной процедуры стоит воспользоваться специальной После ее запуска необходимо вписать следующее: del «<диск>:\*.<расширение зараженного файла>» /f /s.

Обязательно надо удалить такие файлы, как «Прочти-меня.txt», для чего в той же командной строке следует указать: del «<диск>:\*.<имя файла>»/f /s.

Таким образом, можно отметить, что в случае, если вирус переименовал и зашифровал файлы, то не стоит сразу тратить средства на покупку ключа у злоумышленников, сначала стоит попробовать разобраться в проблеме самостоятельно. Лучше вложить деньги в приобретение специальной программы для расшифровки поврежденных файлов.

Напоследок стоит напомнить, что в данной статье рассматривался вопрос касаемо того, как расшифровать файлы, зашифрованные вирусом.

Инструкция

Вызовите главное меню системы Microsoft Windows нажатием кнопки «Пуск и перейдите в пункт «Все программы для выполнения операции расшифровки ранее зашифрованных файлов.

Вызовите контекстное меню подлежащего расшифровке файла, папки или диска кликом правой кнопки мыши и укажите пункт «Свойства.

Перейдите на вкладку «Общие открывшегося диалогового окна и выберите команду «Другие.

Снимите флажок на поле «Шифровать содержимое для защиты данных и нажмите кнопку OK для применения выбранных изменений. Следует помнить, что при выполнении отмены шифрования папки, зашифрованные файлы и подпапки остаются зашифрованными, если не оговорено обратное, а вновь создаваемые файлы и подпапки расшифрованной папки подвергаться процедуре шифрования не будут.

Загрузите бесплатный инструмент te19decrypt.exe с официального сайта разработчика антивирусного приложения Dr.Web и запустите исполняемый файл утилиты для выполнения операции расшифровки файлов, зашифрованных вирусом Trojan.Encoder. (Этот вирус является программой-вымогателем, шифрующим файлы пользователя и самоудаляющимся после этого. При этом на системном диске остается текстовый файл crypted.txt, содержащий требование денежных переводов разных сумм для расшифровки поврежденных файлов.)

Нажмите кнопку «Продолжить в главном окне программы и согласитесь с предложением указать местонахождение ключевого файла c:crypted.txt вручную.

Введите полный путь к нужному файлу в диалоговом окне «Открыть и нажмите кнопку OK для подтверждения выполнения команды.

Обратите внимание

Не пытайтесь самостоятельно удалить текстовый файл с:\crypted.txt, поскольку выполнение операции расшифровки зашифрованных вирусом файлов после этого становится невыполнимой!

Источники:

  • Расшифровка файла или папки
  • Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?
  • зашифрован файл
  • Расшифровка файлов EFS

Расшифровать файл можно с помощью внутренних программ Windows ХР только в том случае, если разделы отформатированы в формате NTFS, а файлы не являются системными или сжатыми. Вся процедура сводится к снятию флажка в поле «Шифровать содержимое для защиты данных», которое является одним из элементов, отражающих свойства файлов. Войти в него можно через Проводник.

Вам понадобится

Инструкция

Войдите в проводник Windows. Для этого нажмите «Пуск», пройдите по цепочке «Все », «Стандартные», «Проводник». Другой вариант – кнопку мыши, курсор находится на кнопке «Пуск». Далее нажмите опять правую кнопку мыши, курсор которой наведен на нужный файл. Откройте контекстное меню. Выберите команду «Свойства» из представленного списка опций.

Войдите во вкладку «Общие», выберите пункт «Дополнительные». Снимите флажок в поле «Шифровать содержимое для защиты данных».

Видео по теме

Обратите внимание

Эта процедура подходит лишь для Windows XP и работает только с разделами, отформатированными по NTFS. В таком случае подключаются внутренние ресурсы системы шифрования.

Полезный совет

Шифрованию, а значит, дешифрованию не подвергаются сжатые или системные файлы. Чтобы произвести подобную процедуру необходимо сначала сжатые файлы восстановить в нормальном формате.
Если зашифрована целая папка, то все впоследствии добавленные в нее файлы также оказываются зашифрованными. В этом случае раскодирование файла представляет собой снятие пароля со всей папки.
Шифрование и дешифрование необходимо производить под одной учетной записью Администратора.

Источники:

  • Тема на форуме, посвящена обсуждению процесса расшифровки файла.

Расширение имени файла - это набор символов, добавленных к концу имени файла, определяющий, какая программа должна открыть файл. По умолчанию Windows скрывает расширения имен файлов, но можно сделать расширения видимыми.

Инструкция

В открывшемся окне «Параметры папок» переходим на вкладку «Вид», убираем галочку напротив пункта «Скрывать расширения для зарегистрированных типов файлов ».
Жмем «ОК»

Обратная процедура (поставить галочку напротив пункта «Скрывать расширения для зарегистрированных типов файлов») скрывает расширения файлов. На картинке можно увидеть пример отображения файлов в проводнике с включенной и выключенной опцией отображения расширений.

Видео по теме

Источники:

  • Как изменить расширение файла в Windows 10, чтобы он работал?

На данный момент времени в современном мире информационные технологии позволяют шифровать информацию. Также существуют программы, которые могут раскодировать данные. Раскодировка данных позволяет запускать игры, программы. Например, программа ExeLab TextCoder обеспечивает кодировку и раскодировку документов и других файлов. Без знания пароля невозможно узнать хранящуюся там информацию.

Вам понадобится

  • ПК, программа ExeLab TextCoder

Инструкция

Чтобы раскодировать или кодировать данные, скачиваете специальную программу ExeLab TextCoder. Устанавливаете её . Запустите ExeLab TextCoder. Появится Главное окно. Для кодировки введите в "Окно 1". Оно находится слева. Нажимаете "Нормальный текст" и, в "Окне 2" появится зашифрованная информация.

Для раскодировки введите текст в "Окно" и нажмите "Раскодировать из UTF8". Получится оригинальный текст.

Для раскодировки может использоваться TCODE. Она восстанавливать текст. TCODE можно с интернета. Устанавливаете на компьютер и запускаете. Открывается главное окно. Вводите требуемый текст и нажимаете "Перекодировать". В итоге выводится 100% распознанная информация.

Распознает данные и программа Штирлиц. Скачиваете её в интернете и загружаете на компьютер. Открыв её, вы увидите окно. Там расположена панель инструментов.

Открываете Файл. Находите пункт "Открыть" и выбираете требуемый файл.

В графе "Правка" выберите "Декодировать". У вас получиться зашифрованный текст. На панели инструментов в ряд расположены виды кодировок. Вы можете выбрать любой.

Чтобы раскодировать данные, поступаете аналогично. Нажимаете "Декодировать" и в ответ текст на русском языке. С программы Штирлиц можно сразу распечатывать информацию. Для этого выбираете в Файле графу "Печать" и все.

Некоторые вирусы шифруют пользовательские файлы, после чего доступ к ним обычными средствами может быть ограничен. Восстановление нормального режима происходит путем программного вмешательства.

Инструкция

Выполните дополнительную проверку вашего компьютера на наличие вирусов. После этого загрузите из интернета одну из программ-антитроянов. Это необходимо в случае если вредоносная программа была спрятана от антивируса. Выполните проверку, после чего найдите зашифрованные файлы.

Сделайте на всякий случай их резервную копию и убедитесь в отсутствии угроз на вашем компьютере. Перепишите полное наименование троянов, найденных в вашем компьютере. Это необходимо для того, чтобы в дальнейшем получить доступ к информации о методах шифрования файлов, поскольку здесь вряд ли подойдут утилиты общего назначения. По этой же причине не торопитесь удалять вредоносные программы с вашего компьютера при первоначальной их проверке.

Скачайте любую утилиту для дешифровки файлов после поражения вирусами. Такие утилиты обычно доступны на официальных сайтах разработчиков антивирусных систем. Также при выборе программы руководствуйтесь названием трояна, которым было выполнено шифрование, поскольку многие из них используют разные способы.

Лучше всего выполнять загрузку с сайтов известных вам разработчиков систем защиты, поскольку опять же есть риск столкнуться с вредоносными программами. Обычно данные утилиты имеют пробный срок, в течение которого их можно использовать для лечения .

Следуя указаниям системы, выберите в запущенной на вашем компьютере скачанной утилите зашифрованные вирусом файлы и, следуя указаниям системы, выполните необходимые действия. После этого снова выполните проверку на вирусы, в частности касаемо расшифрованных вами файлов.

После этого установите на ваш компьютер надежное обновляемое антивирусное программное обеспечение, чтобы в дальнейшем не допустить возникновения подобных ситуаций.

Видео по теме

Полезный совет

Пользуйтесь антивирусным программным обеспечением.

Чтобы оградить личную информацию от сторонних глаз, многие пользователи устанавливают пароли на файлы Microsoft Office или PDF. При этом можно перестараться и защитить документ от самого себя, забыв код. В этом случае могут возникнуть серьезные проблемы, особенно если файл хранит в себе ценную информацию.

Вам понадобится

  • - программа Advanced PDF Password Recovery;
  • - программа Accent WORD Password Recovery.

Инструкция

Решается проблема с помощью специальных программ. Приложение необходимо использовать в зависимости от типа файла, к которому требуется подобрать пароль. Далее будет рассмотрена процедура открытия закодированных файлов самых часто встречаемых форматов.

Для того чтобы подобрать код к файлам PDF-формата, вам необходимо скачать программу Advanced PDF Password Recovery, после чего установить на свой компьютер.

Запустите Advanced PDF Password Recovery. Теперь действовать нужно в зависимости от ситуации. Если вы знаете, в пароле, перейдите во вкладку Lenght. Появится окно, в котором можно задать количество символов пароля. В строке «Минимальное и максимальное количество символов» вам нужно задать одинаковое число, равное количеству символов пароля.

В случае если вы не знаете количества символов пароля, в строке «Минимальное значение» установите 1, а в строке «Максимальное значение» - 10. Больше ставить нет смысла. После этого нажмите Open.

Появится окно обзора. Укажите путь к файлу. Выделите его с помощью левого клика мышки, затем нажмите «Открыть». Дальше в основном меню программы нажмите Start. Начнется процедура подбора кода к файлу. Учтите, что данная операция может занять много времени. По ее завершении в окне программы будет опубликован отчет, в котором и будет код.

Чтобы подобрать пароли к файлам Microsoft Word, воспользуйтесь программой Accent WORD Password Recovery. Запустите приложение. Выберите параметр под названием Application setup. Дальше строке Priority установите значение High. Нажмите ОК.

Затем в меню программы выберите File, после чего - Open. Укажите путь к файлу. Выделите его и нажмите «Открыть». Начнется процедура подбора кода, по завершении которой вы сможете увидеть его в отчете.

Расшифровка данных, закодированных с использованием профессионального программного обеспечения, требует либо наличия такого же программного комплекса, либо огромных вычислительных мощностей и еще более продвинутых программ. Однако чаще для кодирования используются более доступные средства, которые и раскодировать намного проще.

Инструкция

В веб-строительстве чаще всего используется наиболее доступный способ шифрования данных - с помощью встроенных функций языков программирования. Среди серверных языков наиболее распространен сегодня PHP, в котором для шифрования предназначена функция base64_encode. Закодированные с ее помощью данные можно декодировать с использованием обратной функции - base64_decode. Если у вас есть возможность в своем компьютере или на веб-сервере исполнять PHP-скрипты, создайте такой простой код:

Между кавычками функции base64_decode поместите строку данных, которую требуется расшифровать. Затем сохраните код в файл с расширением php и откройте эту страницу через браузер - в пустой странице вы увидите расшифрованные данные.

Если посмотреть на список файлов в компьютере, то можно увидеть, что имена файлов состоят из двух частей, разделенных точкой. Очевидно, что первая часть представляет собой название файла, а вот вторая - расширение, - чаще всего, состоит из бессмысленного, на первый взгляд, набора букв.

Зачем нужны расширения

Расширение является таким же обязательным атрибутом любого файла, как и его название. Дело в том, что операционная система не способна интуитивно определить соответствие файла той или иной программе по названию. Расширение имени файла предназначено для того, чтобы дать операционной системе возможность «понять», какой именно программой должен быть обработан этот файл. Кроме того, с точки зрения системы именно в расширении содержится информация о формате файла и тех действиях, которые необходимо с ним совершить.

На сегодняшний день существует несколько тысяч форматов файлов и сопоставимое количество расширений имен. Некоторые расширения традиционно используются почти с самого начала распространения персональных компьютеров, например, расширение.exe (от английского executable - исполняемый), которым обозначаются файлы, запускающие ту или иную программу, а другие появились совсем недавно. Дело в том, что многие программные продукты создают для своей работы вспомогательные файлы с уникальными расширениями, которые не может опознать никакая другая программа. А поскольку программ на рынке появляется все больше, количество расширений растет каждый день. Кроме того, постоянно увеличивается число форматов файлов различных типов: аудио, графических, видео, и каждому из таких форматов необходимо свое расширение.

Пользователю отнюдь необязательно запоминать все расширения имен файлов и программы, с ними связанные. Большинство наиболее распространенных форматов и расширений автоматически идентифицируются операционной системой, позволяя пользователю не задумываться над тем, какой именно программой открывать тот или иной файл.

Расшифровка расширений

В современных операционных системах с графическими оболочками опознанные расширения файлов часто скрываются, а формат файла и соответствующая ему программа отображается определенной иконкой. Проблема в том, что нескольким типам файлов может соответствовать одна и та же программа, поэтому иногда бывает удобнее все-таки разрешить показ расширений. В семействе операционных систем Windows сделать это можно, если в меню кнопки «Пуск» выбрать пункт «Панель управления», а затем нажать на иконку «Свойства папки». Во вкладке «Вид» нужно найти пункт «Скрывать расширения для зарегистрированных типов файлов» и снять с него галочку. Теперь вам будут видны все расширения.

Расшифровать значение конкретного расширения может быть не так просто, особенно если оно создано для формата вспомогательных файлов малоизвестной программы, однако список самых популярных расширений имен можно найти в интернете. Существуют специальные сайты, которые не только подскажут, для какой именно программы нужен файл с интересующим вас расширением, но и помогут понять, как расшифровываются буквы, из которых состоит расширение. В подавляющем большинстве случаев расширение представляет собой либо аббревиатуру (например, расширение популярного формата графических файлов.jpeg – это аббревиатура от Joint Photographic Experts Group – так называлась компания, разработавшая этот формат), либо сокращение. К примеру, расширение.dat, часто используемое для вспомогательных файлов с информацией, - это сокращение от английского слова data, что означает «данные».

Видео по теме

Вирусы-вымогатели набирают популярность с каждым днем. Несмотря на бешеную популярность, это сложнейшие для антивирусных лабораторий соперники. Злоумышленники шифруют файлы на компьютере, а затем требуют у жертвы деньги за восстановление доступа. Антивирусные лаборатории признают, бороться с такими шифровальщиками невозможно. Сегодня самый распространенный и опасный вирус такого рода - XTBL.

Вирус, шифрующий файлы

Зловред XTBL попадая на компьютер, запускает алгоритм шифра данных. Он блокирует доступ к файлам, добавляя расширение.xtbl. В отличие от других шифровальщиков, эта программа переименовывает данные, превращая название файлов в шифр. Понять, где какой файл становится невозможно. Пользователю доступно сообщение от мошенников, в котором те требуют деньги за расшифровку.

Признак появления на компьютере

Поскольку.xtbl массово шифрует данные, компьютер ощутимо перегружается. Зависания и замедление работы операционной системы – неотъемлемый атрибут заражения. В ходе атаки, привычные файлы получают неузнаваемый вид.

При попытке запуска файла, пользователь видит сообщение от взломщиков, в котором они требуют выслать код на почту, чтобы получить инструкцию по разблокировке.

При виде сообщения «Ваши файлы были зашифрованы XTBL», точно не стоит идти на поводу у вымогателей. Если пользователь выполняет требования хакеров, то получает инструкцию, в ходе которой ему придется заплатить от 3 до 5 тысяч рублей за дешифровку данных. При этом, порядочность вымогателей никто не гарантирует. Странно было бы требовать честности от людей, которые зарабатывают, создавая проблемы другим, и сознательно скрывают свои личности.

Какие файлы шифруются?

Задача вируса не нарушить работу системы, а заставить человека платить. Поэтому он оставляет в безопасности необходимые для стабильной работы операционной системы данные. Под удар попадают документы, таблицы и фотографии. Поэтому вирус особо опасен для офисных машин.

Совет! При запуске установочного файла с расширением.exe используйте функцию антивирусов «Песочница» . Запуск приложений в безопасной среде поможет в дальнейшем избежать заражений.

Что делать если файлы зашифрованы в.xtbl?

Файлы блокируются в режиме реального времени. Поэтому чем дольше включен компьютер, тем больше данных он успеет поразить. При появлении XTBL на компьютере следует совершить следующую последовательность:

  1. Выключить компьютер. Возможно, в этом случае удастся сохранить часть записей. Для переноса документов на съемный носитель следует сделать загрузочную флешку с рабочим образом Linux, запустить через BIOS режим работы с флешкой , и в виртуальной операционной системе перенести файлы. Упрощенный способ – вынуть жесткий диск и подключить его к другому компьютеру в качестве дополнительного диска.
  2. Ни в коем случае самостоятельно не переименовывать файлы. Программный код шифрует данные со сложным алгоритмом. И если важно сохранить содержимое документов, не меняйте имя или расширение.
  3. Отправить образцы в DrWeb или «Лабораторию Касперского ». Для каждого компьютера.xtbl использует отличительный код, но алгоритм расшифровки идентичный. Чем больше данных получит лаборатория из отдельных источников, тем быстрее подберут решение.
  4. Просканировать жесткий диск. Использовать XTBL расшифровку Kaspersky или Dr.Web. От «Лаборатории Касперского» используется утилита Kaspersky Internet Security , а от Dr.Web программа CureIt . После очистки удалить загрузчик вируса.
  5. Ждать решения от антивирусной лаборатории. Обычно ожидание может затягиваться на полгода, т.к. алгоритм достаточно сложный.

Не следует отправлять мошенникам деньги, т.к. вы рискуете остаться без средств и без ключа. Не нужно доверять малоавторитетным фирмам, обещающим восстановление. После атаки XTBL, как восстановить файлы не знает точно никто.

Если с вирусом не способны справится «мозговые центры» крупных корпораций, то на мелкие фирмы рассчитывать не стоит вовсе.

Первые троянцы-шифровальщики семейства Trojan.Encoder появились в 2006-2007 году. С января 2009 года число их разновидностей увеличилось примерно на 1900%! В настоящее время Trojan.Encoder - одна из самых опасных угроз для пользователей, имеющая несколько тысяч модификаций. С апреля 2013 года по март 2015 года в вирусную лабораторию компании «Доктор Веб» поступило 8 553 заявки на расшифровку файлов, пострадавших от действий троянцев-энкодеров.
Вирусы-шифровальщики практически отвоевали первое место в обращениях на форумы по информационной безопасности. Ежесуточно в среднем 40 заявок на расшифровку поступают только сотрудникам вирусной лаборатории «Доктор Веб» от пользователей, зараженных различными видами троянов-шифровальщиков (Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Цифровой сейф, Цифровой кейс, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, vault и проч). Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т.д., при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч. Особенно опасны трояны-шифровальщики для коммерческих фирм, поскольку потерянные данные баз данных, платежных документов могут заблокировать работу фирмы на неопределенное время, приводя к упущению выгоды.

Троянцы семейства Trojan.Encoder используют несколько десятков различных алгоритмов шифрования пользовательских файлов. Например, чтобы подобрать ключи для расшифровки файлов, зашифрованных троянцем Trojan.Encoder.741, методом простого перебора, потребуется:
107902838054224993544152335601 год

Расшифровка поврежденных троянцем файлов возможна не более чем в 10% случаев. А это значит, что большинство данных пользователей потеряны безвозвратно.

Сегодня вымогатели требуют за расшифровку файлов до 1 500 биткоинов .

Даже если вы заплатите выкуп злоумышленнику, никакой гарантии восстановления информации он вам не даст .

Доходит до курьезов – зафиксирован случай, когда, несмотря на заплаченный выкуп, преступники не смогли расшифровать файлы, зашифрованные созданным ими Trojan.Encoder, и отправили пострадавшего пользователя за помощью... в службу технической поддержки антивирусной компании!

Как происходит заражение?

  • Через вложения в электронной почте; методом социальной инженерии злоумышленники вынуждают пользователя открыть прикрепленный файл.
  • С помощью Zbot-инфекций, замаскированных в виде вложений в формате PDF.
  • Через наборы эксплойтов, расположенные на взломанных веб-сайтах, которые используют уязвимости на компьютере, чтобы установить инфекцию.
  • Через троянцев, которые предлагают скачать плеер, необходимый для просмотра онлайн-видео. Такое, как правило, встречается на порно-сайтах.
  • Через RDP, используя подбор паролей и уязвимости в данном протоколе.
  • С помощью зараженных кейгенов, кряков и утилит активации.
Более чем в 90% случаев пользователи запускают (активируют) на компьютере шифровальщиков собственными руками.

При использовании подбора паролей RDP злоумышленник сам заходит под взломанной учетной записью, сам отключает или выгружает антивирусный продукт и сам запускает шифрование.

Пока Вы не перестанете пугаться писем с заголовками «Задолженность», «Уголовное производство» и т. п., злоумышленники будут пользоваться Вашей наивностью.





Задумайтесь... Научитесь сами и научите других простейшим основам безопасности!

  • Никогда не открывайте вложения из писем, полученных от неизвестных адресатов, каким бы пугающим не был заголовок. Если вложение пришло, как архив, потрудитесь просто просмотреть содержимое архива. И если там исполняемый файл (расширение.exe, .com, .bat, .cmd, .scr), то это на 99,(9)% ловушка для Вас.
  • Если Вы все же чего-то опасаетесь, не поленитесь узнать истинный электронный адрес той организации, от лица которой к Вам пришло письмо. Это ведь не так сложно узнать в наш информационный век.
  • Даже если адрес отправителя оказался истинным, не поленитесь уточнить по телефону наличие такого отправленного письма. Адрес отправителя легко подделать при помощи анонимных smtp-серверов.
  • Если в отправителе написано Сбербанк или Почта России, то это еще ничего не значит. Нормальные письма в идеале должны быть подписаны ЭЦП. Внимательно проверяйте прикрепленные к таким письмам файлы перед открытием.
  • Регулярно делайте резервные копии информации на отдельных носителях.
  • Забудьте об использовании простых паролей, которые легко подобрать и попасть в локальную сеть организации под Вашими данными. Для доступа по RDP используйте сертификаты, доступ через VPN или двухфакторную авторизацию.
  • Никогда не работайте с правами Администратора, внимательно относитесь к сообщениям UAC, даже если они имеют "синий цвет" подписанного приложения, не нажимайте "Да", если не запускали установки или обновления.
  • Регулярно устанавливайте обновления безопасности не только операционной системы, но и прикладных программ.
  • Установите пароль на настройки антивирусной программы , отличный от пароля учетной записи, включите опцию самозащиты
Что делать в случае заражения?

Процитируем рекомендации компаний "Др.Веб " и "Лаборатории Касперского ":

  • немедленно отключите компьютер для остановки действия трояна, кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных;
  • Комментарий сайт: Несмотря на то, что такую рекомендацию дают известные лаборатории, в некоторых случаях её выполнение приведет к усложнению расшифровки, поскольку ключ может хранится в оперативной памяти и после перезагрузки системы, восстановить его будет невозможно. Для остановки дальнейшего шифрования, можно заморозить выполнение процесса шифровальщика с помощью Process Explorer или и для дальнейших рекомендаций.

Спойлер: Сноска

Ни один энкодер не способен зашифровать все данные мгновенно, поэтому до окончания шифрования какая-то их часть остается нетронутой. И чем больше времени прошло с начала шифрования, тем меньше нетронутых данных остается. Раз наша задача сохранить, как можно большее их количество, нужно прекратить работу энкодера. Можно, в принципе, начать анализировать список процессов, искать, где в них троян, пытаться его завершить… Но, поверьте мне, выдернутый шнур питания - это гораздо быстрее! Штатное завершение работы Windows неплохая альтернатива, но оно может занять какое-то время, или троян своими действиями может ему препятствовать. Поэтому мой выбор - дернуть шнур. Несомненно, у этого шага есть свои минусы: возможность повреждения файловой системы и невозможность дальнейшего снятия дампа ОЗУ. Поврежденная файловая система для неподготовленного человека проблема посерьезнее, чем энкодер. После энкодера остаются хотя бы файлы, повреждение же таблицы разделов приведет к невозможности загрузки ОС. С другой стороны, грамотный специалист по восстановлению данных ту же таблицу разделов починит без особых проблем, а энкодер до многих файлов может просто не успеть добраться.

Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод - ваше заявление о преступлении. Образец заявления

Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

Если у вас откажутся принять заявление - получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).

  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никаких файлов и почтовых сообщений на Вашем компьютере;
  • не запускайте никаких "чистильщиков" временных файлов и реестра;
  • не следует сканировать и лечить компьютер антивирусами и антивирусными утилитами, а тем более антивирусными LiveCD, в крайнем случае можно переместить зараженные файлы в карантин антивируса;

Спойлер: Сноска

Для расшифровки наибольшее значение может иметь неприметный файлик на 40 байт во временном каталоге или непонятный ярлык на рабочем столе. Вы наверняка не знаете, будут ли они важны для расшифровки или нет, поэтому лучше не трогайте ничего. Чистка реестра вообще сомнительная процедура, а некоторые энкодеры оставляют там важные для расшифровки следы работы. Антивирусы, конечно, могут найти тело трояна-энкодера. И даже могут его удалить раз и навсегда, но что тогда останется для анализа? Как мы поймем как и чем шифровались файлы? Поэтому лучше оставьте зверька на диске. Еще один важный момент: я не знаю ни одного средства для чистки системы, которое бы принимало в расчет возможность работы энкодера, и сохраняло бы все следы его работы. И, скорее всего, такие средства не появятся. Переустановка системы точно уничтожит все следы трояна, кроме зашифрованных файлов.

  • не пытайтесь восстановить зашифрованные файлы самостоятельно;

Спойлер: Сноска

Если у вас за плечами пара лет написания программ, вы действительно понимаете, что такое RC4, AES, RSA и в чем между ними различие, вы знаете, что такое Hiew и что означает 0xDEADC0DE, можете попробовать. Остальным не советую. Допустим, вы нашли какую-то чудо-методику расшифровки файлов и у вас даже получилось расшифровать один файл. Это не гарантия, что методика сработает на всех ваших файлах. Более того, это не гарантия, что по этой методике вы файлы не испортите еще сильнее. Даже в нашей работе бывают неприятные моменты, когда в коде расшифровки обнаруживаются серьезные ошибки, но в тысячах случаев до этого момента код работал как надо.

Теперь, когда понятно, что делать и чего не делать, можно приступать к расшифровке. В теории, расшифровка возможна почти всегда. Это если знать все нужные для нее данные или же обладать неограниченным количеством денег, времени и процессорных ядер. На практике что-то можно будет расшифровать почти сразу. Что-то будет ждать своей очереди пару месяцев или даже лет. За какие-то случаи можно даже и не браться: суперкомпьютер даром на 5 лет в аренду никто не даст. Плохо еще и то, что кажущийся простым случай при детальном рассмотрении оказывается крайне сложным. К кому обращаться, вам решать.

  • обратитесь в антивирусную лабораторию компании, в которой есть подразделение вирусных аналитиков, занимающихся данной проблемой;
  • к тикету приложите зашифрованный троянцем файл (а если возможно и его незашифрованную копию);
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.
Как восстановить файлы?

Адреса с формами отправки зашифрованных файлов :

  • Др.Веб (Заявки на бесплатную расшифровку принимаются только от пользователей комплексного антивируса Drweb )
  • Лаборатория Касперского (Заявки на бесплатную расшифровку принимаются только от пользователей коммерческих продуктов Лаборатории Касперского )
  • ESET, LLC (Заявки на бесплатную расшифровку принимаются только от пользователей коммерческих продуктов ESET )
  • The No More Ransom Project (подбор дешифровщиков)
  • Шифровальщики - вымогатели (подбор дешифровщиков)
  • ID Ransomware (подбор дешифровщиков)

Мы категорически не рекомендуем восстанавливать файлы самостоятельно, так как при неумелых действиях возможно потерять всю информацию, не восстановив ничего!!! К тому же восстановление файлов, зашифрованных некоторыми видами троянов просто невозможно из-за стойкости шифрующего механизма.

Утилиты восстановления удаленных файлов :
Некоторые разновидности троянов-шифровальщиков создают копию шифруемого файла шифруют её, а оригинальный файл удаляют, в таком случае можно воспользоваться одной из утилит для восстановления файлов (желательно использовать портативные версии программ, скачанные и записанные на флеш-накопитель на другом компьютере):

  • R.saver
  • Recuva
  • JPEG Ripper - утилита для восстановления поврежденных изображений
  • JPGscan описание)
  • PhotoRec - утилита для восстановления поврежденных изображений (описание)
Метод для решения проблем с некоторыми версиями Lockdir

Папки, зашифрованные некоторыми версиями Lockdir, можно открыть с помощью архиватора 7-zip

После успешного восстановления данных необходимо проверить систему на наличие вредоносных программ, для этого следует выполнить и создать тему с описанием проблемы в разделе

Восстановление зашифрованных файлов средствами операционной системы.

Для того чтобы восстановить файлы средствами операционной системы необходимо включить защиту системы до того, как троян-шифровальщик попадет на Ваш компьютер. Большая часть троянов-шифровальщиков будет пытаться удалять любые теневые копии на вашем компьютере, но иногда это это сделать не удается (при отсутствии администраторских привилегий и установленных обновлениях Windows), и Вы сможете использовать теневые копии для восстановления поврежденных файлов.

Следует помнить, что команда удаления теневых копий:

Код:

Vssadmin delete shadows

работает только с правами администратора, поэтому после включения защиты необходимо работать только под пользователем с ограниченными правами и внимательно относиться ко всем предупреждениям UAC о попытке повышения прав.


Спойлер: Как включить защиту системы?

  1. Для включения защиты системы, щелкните правой кнопкой мыши по ярлыку Компьютер и выберите пункт Свойства .

  2. В окне Система выберите пункт меню Защита системы (требуются права администратора )

  3. В появившемся окне Свойства системы выберите диск, на котором будет производиться защита файлов и нажмите кнопку Настроить .

  4. Выберите пункт Включить защиту системы Windows 8 ) или Восстановить параметры системы и предыдущие версии файлов Windows 7 )

  5. Нажмите Применить и ОК .

Как восстановить предыдущие версии файлов после их повреждения?


Примечание :

Восстановление из свойств файла или папки помощью вкладки «Предыдущие версии» доступно только в изданиях Windows 7 не ниже «Профессиональная» . В домашних изданиях Windows 7 и во всех изданиях более новых ОС Windows есть обходной путь (под спойлером).

Спойлер


Второй способ - это использование утилиты ShadowExplorer (вы можете скачать, как установщик, так и портабельную версию утилиты).

Запустите программу
Выберите диск и дату, за которую необходимо восстановить файлы




Выберите файл или папку для восстановления и нажмите на нем правой кнопкой мыши
Выберите пункт меню Export и укажите путь к папке, в которую Вы хотите восстановить файлы из теневой копии.



Способы защиты от троянов-шифровальщиков

К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись с LiveCD . Так же резервное копирование можно проводить на так называемые "облачные хранилища ", предоставляющиеся некоторыми компаниями.

Настройка антивирусных программ для снижения вероятности заражения троянами-шифровальщиками.

Применительно ко всем продуктам:

Необходимо включить модуль самозащиты и установить сложный пароль на настройки антивируса!!!

Продукты Лаборатории Касперского:

  • Kaspersky Internet Security
  • Kaspersky Endpoint Security 10 для Windows
Доктор Веб:
  • Настрой-ка Dr.Web от шифровальщиков! (только в версии 9 и выше)
Comodo Internet Security:
  • Как включить защиту от шифровальщиков в Comodo Internet Security?
ESET NOD32:
  • Рекомендуется включить расширенную эвристику для запуска исполняемых файлов (Дополнительные настройки (F5) - Компьютер - Защита от вирусов и шпионских программ- Защита в режиме реального времени - Дополнительные настройки. Кроме того, проверьте, пожалуйста, включена ли служба ESET Live Grid (Дополнительные настройки (F5) - Служебные программы - ESET Live Grid).
Avast: