Як розшифрувати файли, зашифровані вірусом?

З’явилися приблизно 8-10 років тому, віруси-шифратори до сьогоднішнього дня набули величезної популярності серед різного роду комп’ютерних шахраїв.

Фахівці пов’язують це з появою у вільному доступі програм-білдерів, використовуючи які, навіть слабкий фахівець може зібрати комп’ютерний вірус із заданими властивостями.

Як діє вірус-шифратор?
Найбільш часто вірус-шифратор впроваджується в комп’ютер жертви за допомогою поштової розсилки. На адресу компанії приходить лист, відправлений нібито здобувачем посади, потенційним партнером або покупцем, але містить імплантований pdf-файл з вірусом.

Коли співробітник компанії відкриває лист, вірус впроваджується в список програм автозавантаження. Після перезавантаження комп’ютера він запускається, перейменовує і зашифровує файли, після чого самознищується.

Нерідко заражені листи маскуються під повідомлення від податкових органів, правоохоронних структур, банків і т.д.
У каталозі з пошкодженими файлами виявляється лист, в якому повідомляється, що інформація зашифрована надійним крипостійкість способом і не зможе бути розшифрована самостійно без остаточної втрати файлів.

Якщо ж ви хочете відновити її, необхідно в зазначений термін перевести певну суму, щоб отримати ключ дешифрування.

Чи можна самостійно впоратися з дешифруванням файлів?
Найбільш часто здирники використовують для своїх цілей вірус, який в компанії «Доктор Веб» отримав назву Trojan.Encoder. Він перетворює файли, наявні на комп’ютері-жертві, повідомляючи їм розширення .crypt. Зашифровки можуть бути піддані практично всі поширені формати текстових файлів, зображень, звукових доріжок, стислих файлів.

Для відновлення зашифрованих файлів фахівцями компанії була створена утиліта te19decrypt. Сьогодні вона перебуває в безкоштовному доступі, де її може завантажити будь-який користувач інтернету. Це невелика програма, яка займає всього 233 КБ. Після скачування необхідно:

– Запустити файл під назвою te19decrypt.exe;
– У вікні клікнути на кнопку «Продовжити»;
– В тому випадку, якщо з’явиться повідомлення «Error», доповнене записом «Не можу отримати ключовий файл [ім’я файлу]. Ви хочете вказати його розташування вручну? », Натисніть кнопку ОК;
– У вікні «Відкрити» вкажіть шлях до файлу crypted.txt;
– Далі почнеться процес дешифрування.

Не слід ні в якому разі видаляти файл crypted.txt до запуску утиліти-дешіфровщіка, так як його втрата призведе до неможливості відновлення зашифрованої інформації.

Програма-дешифратор RectorDecryptor
Для відновлення зашифрованих файлів багато хто використовує спеціальну програму RectorDecryptor. Працювати з нею необхідно в такий спосіб:
– Завантажуєте програму RectorDecryptor, якщо її немає в вашому розпорядженні;
– Видаляєте зі списку автозавантаження всі програми, крім антивіруса;
– Перезавантажуєте комп’ютер;
– Переглядаєте список файлів, виділяєте підозрілі, особливо ті, у яких немає даних про виробника;
– Видаляєте підозрілі файли, які можуть містити вірус;
– Очищаєте кеш браузерів і тимчасові папки за допомогою програми CCleaner або аналогічної;
– Запускаєте RectorDecryptor, вказуєте зашифрований файл, а також його розширення після чого натискаєте кнопку «Почати перевірку»;
– В останніх версіях програми можна вказувати тільки назва файлу, після чого натискати «Відкрити»;
– Чекаєте закінчення розшифровки файлу і переходите до наступного.

Далі програма RectorDecryptor сама продовжує перевірку всіх файлів, розташованих на вашому комп’ютері, в тому числі тих, які перебувають на знімних носіях.

Дешифрування може зайняти кілька годин – це залежить від кількості зіпсованих файлів і продуктивності комп’ютера. Відновлена ​​інформація записується в ту ж директорію, де і була раніше.

Ви можете визначити необхідність видалення зашифрованого матеріалу після розшифровки, поставивши галочку навпроти відповідного запиту. Але досвідчені користувачі радять цього не робити, так як в разі, якщо розшифровка пройде невдало, ви повністю втратите можливість відновлення своїх даних.

Посилання на основну публікацію