Для якісного та надійного захисту комп'ютера від вірусів потрібний потужний антивірусний комбайн. Але іноді і цього виявляється замало. Зазвичай, у більшості випадків всі зараження комп'ютера та пов'язані із цим неприємності стаються по вині самого користувача. А це — кража особистої інформації (номерів банківських карточок, паролів та ін.), видалення важливих даних, а також шифрування інформації із наступним вимаганням грошей за її розшифрування. Це так звані програми-вимагачі. І всі частенько чують із засобів масової інформації як не про одну таку програму, то про іншу. А деякі про все це дізнаються на власному гіркому досвіді. В більшості випадків після оплати рахунка зловмиснику ви не отримаєте свої дані взамін. Тому про безпеку потрібно дбати заздалегідь. Завжди слід встановлювати оновлення операційної системи та антивірусного забезпечення, не відкривати підозрілі листи в електронній пошті, не клікати по невідомих лінках, які можна побачити в листах чи в повідомленнях програм для спілкування (Viber, Skype та ін.), не переходити на сайти із сумнівною репутацією.
Не менш важливим поряд із антивірусним захистом буде резервне копіювання даних. Можна скористатися вбудовано. у Windows функцією але на мій погляд краще всього буде скористатися більш надійними рішеннями. Такими рішеннями стануть програми на кшталт Acronis True Image, Paragon Drive Backup, Aomei Backupper, R-Drive Image та інші. Серед програмного забезпечення такого роду можна знайти як безкоштовні версії так і професійні із порівняно більшим функціоналом.
Сучасний антивірусний сканер хоч і забезпечує захист, проте для захисту від програм-вимагачів потрібно додатково встановити одну із спеціальних утиліт. Дані утиліти виправлять наслідки діяльності шкідливих програм (крім розшифрування файлів). До таких відносяться: RansomFree, Malwarebytes Anti-Ransomware, CryptoPrevent. Вони допоможуть видалити такі програми-вимагачі як WannaCry, Cryptolocker, Locky та ін.
Щоб дізнатися, який вірус-вимагач заразив вашу систему потрібно запустити безкоштовний веб-додаток ID Ransomware. Для ідентифікації віруса потрібно завантажити ReadMe файл із вимогою віруса або заражений файл. Дізнатися про назву трояна досить важливо, оскільки ідентифікувавши порушника можна точніше скласти план необхідних для нейтралізації дій.
Така програма як Trend Micro Anti Ransomware спеціалізується на видаленні програм-вимагачів, які блокують робочий стіл.
Якщо шкідлива програма, яка проникла на ваш комп'ютер себе якось вже проявила та викликала у вас підозру, то необхідно швидко вимкнути ПК та створити завантажувальний диск (використовуючи незаражений комп'ютер) із антивірусним програмним забезпеченням. Такі завантажувальні диски (у вигляді ISO образів) пропонують практично всі антивірусні продукти. Записати такий образ на диск чи флешку та зробити їх завантажувальними допоможуть наступні статті: Створюємо завантажувальну флешку за допомогою UltraISO; Створення завантажувальної флешки
Проблему із трояном, який вимагає від вас гроші можна вирішити, чого не скажеш про розшифрування зашифрованих ним файлів. Перш ніж приступити до розшифрування файлів потрібно визначити, який саме троян їх зашифрував. Експертами створені утиліти, які потрібно спробувати. Це TeslaDecoder (допоможе виправити шкоду задіяну трояном TeslaCrypt), Panda Ransomware Decrypt, Kaspersky Ransomware Decryptor.
Якщо ваші файли не зашифровані, але операційна система не завантажується, то завантажившись із Live диска із ОС можна попробувати відновити файли утилітами для відновлення даних: Recuva, TestDisc та інші. Вони можуть знаходити та відновлювати вже видалені файли.
Розглянемо деякі програми для боротьби із програмами-вимагачами:
Trend Micro Anti Ransomware
Trend Micro Anti Ransomware — програмний продукт, який призначений для боротьби із вірусними програмами-вимагачами, які блокують робочий стіл.
Програма доступна у вигляді двох файлів:
Перший використовується у випадку якщо заблокований вхід у ОС в звичайному режимі але в безпечному режимі можна зайти на комп’ютер (скриншот зверху).
В другому випадку на комп’ютер не виходить зайти у жодному із режимів. В такому випадку завантажується інша версія продукту, запустивши яку (на іншому комп’ютері, звичайно) з’явиться вікно для створення завантажувального носія із якого потрібно завантажитися та просканувати систему.
Перейти на сайт Trend Micro Anti Ransomware для завантаження
Cybereason RansomFree
Cybereason RansomFree — безкоштовна програма для комп’ютерів під керуванням ОС Windows, яка захистить від програм шифрувальників. Для виявлення троянів-шифрувальників дане рішення використовує поведінковий аналіз замість сигнатурних виявлень. Як тільки відбудеться шифрування файлів RansomFree запропонує користувачеві дозволити його чи зупинити та видалити джерело шифрування. Тестування показали, що програма ефективна проти 99 відсотків шифрувальників та включає такі трояни як Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber та інші. Дана розробка зможе захистити навіть від ще невідомих троянських програм, оскільки вони скоріш за все будуть використовувати схожі методи шифрування.
Рішення безкоштовне для використання та може працювати разом із основним антивірусом.
Перейти на сайт Cybereason RansomFree для завантаження (посилання не працює)
Malwarebytes Anti-Ransomware
Malwarebytes Anti-Ransomware — безкоштовне рішення для захисту від програм-вимагачів (CryptoLocker, CryptoWall чи CTBLocker). Програма використовує проактивні технології та сумісна із вже встановленим антивірусом. Даний продукт, використовуючи моніторинг системи із метою пошуку програм-вимагачів здатний зупинити загрозу ще до того як вона почне змінювати користувацькі файли. Програма має за результатами тестів високу ефективність та здатна знаходити самі нові версії програм-вимагачів, навіть ті, які ще не зустрічалися.
Перейти на сайт Malwarebytes Anti-Ransomware для завантаження
CryptoPrevent Malware Prevention
CryptoPrevent Malware Prevention — має безкоштовну та преміум версію та призначена для захисту комп’ютера від шифрувальників, троянів-вимагачів та іншого шкідливого програмного забезпечення, яке шифрує дані і вимагає викуп за розшифрування. В програмі використовуються проактивні технології та штучно створюються та реалізуються об’єкти групової політики, які будуть блокувати запуск певних програм. Можна заносити файли із певним розширенням у білі списки, наприклад EXE-файли, які знаходяться у папках %appdata% / %localappdata% та підкаталогах першого рівня.
Програма має модуль Filter Module, який може проводити фільтрацію певних виконувальних файлів на основі хеш-сигнатур, а також інших критеріїв, що включають у себе набір складних правил. Користувач може вибирати можливість запуску певної програми.
Преміум версія надає можливість оновлення сигнатур, можливість створювати власні сигнатури на основі хеш-сум для компонента Filter Module, новий щоденний планувальник для оновлення програми та багато іншого.
Перейти на сайт CryptoPrevent Malware Prevention для завантаження
Kaspersky Anti-Ransomware Tool for Business
Kaspersky Anti-Ransomware Tool for Business — безкоштовна програма для боротьби із шифрувальниками, які вимагають викуп за розшифрування файлів. Даний продукт розроблений лабораторією Касперського. Використовуючи передові технології (Kaspersky Security Network та «Моніторинг активності») Kaspersky Anti-Ransomware Tool швидко визначає троянські та вірусні програми та блокує їх, а також дає можливість виконати відкат небезпечних змін, які відбулися в системі. Для аналізу використовуються хмарні технології, які забезпечують швидке реагування на невідомі загрози.
Служба Kaspersky Security Network дає змогу для розробників лабораторії Касперського збирати статистику та забезпечує швидке реагування на появу нових загроз.
Як тільки Kaspersky Anti-Ransomware Tool for Business виявить загрозу, то вона моментально буде заблокована і додана в список заблокованих додатків. Але за час, який необхідний для виявлення загрози шкідлива програма може встигнути зашифрувати частину даних. Ось чому Kaspersky Anti-Ransomware Tool зберігає історію активності додатків та може відкатити систему до попереднього «нормального» стану.
Всі виявлені та заблоковані програми відправляються у спеціальне сховище, звідки вони можуть бути відновлені спеціалістами лабораторії Касперського. Якщо виникне потреба відновити файли зі сховища потрібно звернутися за допомогою на форум лабораторії Касперського.
Перейти на сайт Kaspersky Anti-Ransomware Tool for Business для завантаження
IObit MBR Guard
IObit MBR Guard — програма від китайських розробників, що призвана боротися із шифрувальниками, які направлені на MBR (атаки типу GoldenEye чи Petya). Область MBR — це головний завантажувальний запис, який розміщений на початку пристроїв для зберігання інформації, таких як жорсткі диски та знімні носії даних. MBR потрібна для завантаження операційної системи. Коли відбувається вірусна атака, яка націлена на MBR ваш комп’ютер перестане завантажуватися. Саме для боротьби із цією проблемою і створене дане програмне забезпечення.
Перейти на форум IObit MBR Guard для завантаження
360 Document Protector
360 Document Protector — програмне забезпечення від відомої китайської компанії, яке призване захистити користувачів від шифрувальників шляхом відслідковування та автоматичного резервного копіювання файлів документів, які змінюються.
Таким чином програма у режимі реального часу буде відслідковувати та зберігати резервні копії важливих файлів та документів після кожної зміни. Так що в результаті атаки не потрібно буде платити викуп за дані, оскільки їхні копії будуть знаходитися в безпеці.
360 Document Protector створить резервні копії тільки тих документів, які відкривалися, змінювалися та зберігалися після встановлення утиліти. Якщо потрібно створити резервні копії файлів, які були створені чи змінені до встановлення 360 Document Protector, то виконайте це вручну.
Програма за умовчанням резервує файли розміром до 100 мегабайтів наступних розширень: *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.pdf. Копії зберігаються протягом 30 днів. При необхідності можна додати свої розширення та збільшити розмір файлів для резервування, а також зняти обмеження на термін зберігання. Програма додатково включає іструмент для дешифрування файлів — CrySiS Decryptor.
Перейти на сайт 360 Document Protector для завантаження
ZoneAlarm Anti-Ransomware
ZoneAlarm Anti-Ransomware — програмне забезпечення, яке надає проактивний 0-day захист від шифрувальників та відновлює дані після атаки. За словами розробників забезпечує надійний захист від відомого трояна-вимагача — WannaCry, а також NotPetya.
Програма автоматично відновлює файли, має вбудований захист від перезапису та автоматично відновлює будь-які зашифровані файли. Рішення здатне знаходити та блокувати навіть невідомі програми-шифрувальники, попереджує будь-які спроби зашифрувати ваш комп’ютер.
* Важливо: для інсталяції пробної версії на 30 днів потрібна реєстрація аккаунта із зазначенням даних банківської карти або аккаунта Paypal. Скасуйте підписку в особистому кабінеті, щоб кошти не були автоматично списані після закінчення пробного періоду.
ZoneAlarm команда професіоналів, яка забезпечує користувачів надійним захистом вже більше 10 років.
Перейти на сайт ZoneAlarm Anti-Ransomware для завантаження
Abelssoft AntiRansomware
Abelssoft AntiRansomware — платна програма для захисту від програм-вимагачів, яка відслідковує активність загроз в режимі реального часу. Програма працює в фоновому режимі і при порушенні безпеки ви отримаєте повідомлення на свою адресу електронної пошти. За словами розробників програма має особливий алгоритм сканування, який може розпізнати діяльність практично будь-якого вимагача у вашій системі. При виявлені зловреда запускається процедура для зупинки шкідливого коду та відсилаються інструкції з порядком наступних дій для збереження даних та видалення трояна.
Перейти на сайт програми Abelssoft AntiRansomware для завантаження
NoMoreCry Tool
NoMoreCry Tool — безкоштовний інструмент, який захистить від відомого шифрувальника-вимагача WannaCry 2.0 (WannaCryptor, WanaDecryptor). Зверніть увагу, що дана програма не призначена для видалення даного типу віруса, вона створює на комп’ютері алгоритм, який робить роботу WannaCry 2.0 при попаданні в систему неможливою. Для надійного захисту програма має запускатися при кожному завантажені системи. Для автоматизації даного процесу потрібно її додати в автозавантаження.
Принцип роботи: для зараження системи WannaCry 2.0 створює декілька файлів перед початком свого запуску. У випадку неможливості отримання певного дескриптора для деяких із даних файлів шкідлива програма Wana Decryptor завершує свою роботу без зараження комп’ютера.
Сценарій програми NoMoreCry Tool створює пустий файл із таким же іменем як один із файлів, що створює вірус. Даний файл не має ніяких дозволів і розміщений в середині декількох папок. Даний сценарій може зупинити роботу шифрувальника лише в тому випадку якщо він запуститься в одній із папок, яка включена в bat-скрипт. При бажанні можна додати більше папок у bat-скрипт. Зробити це можна на сторінці завантаження програми.
Перейти на сайт NoMoreCry Tool для завантаження(посилання не працює)
WinPatrol WAR
Раніше програма WinPatrol WAR називалася WinAntiRansom але суть дії від назви не змінюється. Програмне забезпечення слідкує за активністю встановлених програм та блокує будь-яку підозрілу дію з їхнього боку. Тому загрози будуть заблоковані ще до того як зможуть нанести шкоду для ваших даних.
Суть роботи програми зводиться до створення списку програм, які можуть запускатися на комп'ютері. Після початкового налаштування, яке включає в себе формування «білого» списку програм, запуск іншого софту, що не входить у даний список стане неможливим. До білого списку можна додавати ключі реєстру. У окремих вкладках відображається мережна активність та історія доступу.
Створювати список нескладно. Системні додатки додані в білий список за умовчанням, залишається додати лише сторонні. При кліку на об'єкті у списку відкриється меню в якому можна вибрати певні параметри, наприклад переглянути детальну інформацію про об'єкт, видалити його або перевірити на шкідливість, використовуючи сервіс VirusTotal.
Слід мати на увазі, що продукт не замінює антивірусної програми, а лише її доповнює. Програма має детальну довідку про те як уникнути зараженню програмами-вимагачами.
Перейти на сайт WinPatrol WAR для завантаження (посилання не працює)
K7 Ransomware Scanner
K7 Ransomware Scanner — безкоштовний антивірусний сканер для боротьби із програмами-шпигунами, програмами-вимагачами, на кшталт WannaCry та інших. Програма не буде конфліктувати із основним антивірусом, а тому може бути відкрита для сканування системи із метою пошуку шкідливих програм, які міг пропустити ваш антивірус. Сканер не потребує встановлення та може бути завантажений із USB носія.
Підтримуються такі режими сканування:
- Complete Scan, яке включає повне сканування всіх файлів комп'ютера;
- Quick Scan — метод перевірки, що включає в себе сканування автозавантаження та інших вразливих зон операційної системи;
- Custom Scan — вибіркове сканування дисків чи папок.
Перейти на сайт програми K7 Ransomware Scanner для завантаження
GridinSoft Anti-Ransomware
GridinSoft Anti-Ransomware — рішення для захисту від програм-шифрувальників, які для розшифрування файлів вимагають гроші. Програма надає захист в реальному часі та запобігає спробам зашифрувати файли. Останнім часом все більша кількість атак здійснюється саме програмами, які в кінцевому результаті вимагають викуп за розшифрування зашифрованої інформації. Відновити зашифровані дані у багатьох випадках практично не можливо, а тому одним із рішень може бути перевстановлення операційної системи із втратою даних або спроба заплатити викуп. Але краще таких ситуацій просто не допускати, встановивши одну із утиліт для попередження шифрування, таку як GridinSoft Anti-Ransomware. Програма працює у фоновому режимі, а запустити її можна, клацнувши на іконку в треї.
Перейти на сайт програми GridinSoft Anti-Ransomware для завантаження
Bitdefender Anti-Ransomware Tool
Bitdefender Anti-Ransomware Tool — простий у користуванні та безкоштовний інструмент для захисту від троянських програм наступного покоління, таких як CTB-Locker, Locky, Petya и TeslaCrypt.
Не платіть викуп за розшифрування файлів, а ще краще не допускайте таких ситуацій, встановивши на комп’ютер Bitdefender Anti-Ransomware Tool.
Зверніть увагу, що даний інструмент діє в якості вакцинації і не забезпечує захист в реальному часі від небезпек нульового дня, тому використовуйте дане програмне забезпечення як додаткове, а для надійного захисту встановіть антивірус із хорошою репутацією.
Перейти на сайт програми Bitdefender Anti-Ransomware Tool для завантаження
Дії при вже зараженому комп’ютері. Програми для розшифрування зашифрованих троянськими програмами файлів.
Kaspersky RakhniDecryptor
Kaspersky RakhniDecryptor — спеціалізоване програмне забезпечення для розшифрування файлів, які були зашифровані шкідливою програмою Trojan-Ransom.Win32.Rakhni. Даною утилітою можна розшифрувати файли із розширенням locked та .kraken. Якщо ви зіткнулися із такою проблемою, то завантажте програму із офіційного сайту та запустіть файл rakhnidecryptor.exe, після чого дотримуйтесь вказівок. Всі відкриті документи перед перевіркою даною програмою повинні бути збережені. Утиліта допоможе розшифрувати файли, які були зашифровані троянами-вимагачами, такими як:
- Trojan-Ransom.Win32.Rakhni;
- Trojan-Ransom.Win32.Agent.iih;
- Trojan-Ransom.Win32.Autoit;
- Trojan-Ransom.Win32.Aura;
- Trojan-Ransom.AndroidOS.Pletor;
- Trojan-Ransom.Win32.Rotor;
- Trojan-Ransom.Win32.Lamer;
- Trojan-Ransom.Win32.Cryptokluchen;
- Trojan-Ransom.Win32.Democry;
- Trojan-Ransom.Win32.Bitman версії 3 і 4;
- Trojan-Ransom.Win32.Libra;
- Trojan-Ransom.MSIL.Lobzik;
- Trojan-Ransom.MSIL.Lortok;
- Trojan-Ransom.Win32.Chimera;
- Trojan-Ransom.Win32.CryFile;
- Trojan-Ransom.Win32.Nemchig;
- Trojan-Ransom.Win32.Mircop;
- Trojan-Ransom.Win32.Mor;
- Trojan-Ransom.Win32.Crusis;
- Trojan-Ransom.Win32.AecHu;
- Trojan-Ransom.Win32.Jaff.
Перейти на сайт програми Kaspersky RakhniDecryptor для завантаження
Kaspersky WildfireDecryptor
Лабораторією Касперського випущена утиліта Kaspersky WildfireDecryptor, яка призвана розблоковувати файли, які мають розширення wflx. Таке розширення мають файли, які були заблоковані трояном WildFire Locker. Цей троян поширюється через електронні листи, які мають заголовки, що викликають довіру. І нічого не підозрюючий користувач завантажує та запускає файл, який міститься в листі. Так троянська програма попадає на комп'ютер.
Ціллю троянської програми являються офісні документи та файли формату PDF. Документи шифруються алгоритмами RSA або AES-256, а їхнє розширення змінюється на WFLX і відкрити, як зрозуміло, їх більше не можна. Відновити файли, використовуючи точки відновлення системи не вийде, бо троянська програма видаляє всі копії тіньових томів на комп'ютері.
Основне завдання утиліти від лабораторії Касперського — це знаходження ключа шифрування для файлів, які були заражені WildFire Locker. Потрібно вказати шлях до хоча б одного зараженого файлу та зробити копію всіх документів перед початком відновлення.
Якщо зараження пішло за межі комп'ютера, то програма здатна просканувати та визначити заражені об'єкти на знімних носіях інформації, а також на мережних розділах. В разі успішного розшифрування файлів можна в налаштуваннях вказати опцію для видалення інфікованих файлів.
Обов'язково потрібно видалити виконуючий файл WildFire Locker, який розміщується в папці %LocalAppData%.
Перейти на сайт програми Kaspersky WildfireDecryptor для завантаження
Kaspersky RannohDecryptor
Kaspersky RannohDecryptor — наступна утиліта від Касперського, яка може спробувати розшифрувати файли, які були зашифровані троянами та вимагачами після зараження системи, такими як Polyglot, Rannoh, AutoIt, Fury, Crybola, Cryakl, CryptXXX.
Якщо на комп’ютер попадає один із вище перелічених вірусів, то файли будуть зашифровані наступним чином:
При зараженні Trojan-Ransom.Win32.Rannoh імена і розширення зміняться за шаблоном locked- <оригінальне_імя>. <4 довільних літери>.
При зараженні Trojan-Ransom.Win32.Cryakl в кінець вмісту файлів додається мітка {CRYPTENDBLACKDC}.
При зараженні Trojan-Ransom.Win32.AutoIt розширення змінюється за шаблоном <оригінальне_імя> @ <поштовий_домен> _. <набір_символів>. Наприклад, Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її._.RZWDTDIC.
При зараженні Trojan-Ransom.Win32.CryptXXX розширення змінюється за шаблонами <оригінальне_імя> .crypt, <оригінальне_імя> .crypz і <оригінальне_імя> .cryp1.
Kaspersky RannohDecryptor призначений для розшифрування файлів, які були зашифровані наступними троянськими програмами: Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl чи Trojan-Ransom.Win32.CryptXXX версій 1, 2 і 3.
Ключ для розшифрування програма спробує знайти автоматично. У разі невдачі потрібна буде копія хоча б одного оригінального зашифрованого файлу. Решта файлів будуть знайдені та розшифровані автоматично.
Перед розшифруванням файлів потрібно виконати збереження всіх відкритих документів для попередження втрати даних. Далі відкриваємо утиліту, натискаємо «Начать проверку» та вказуємо шлях до зашифрованого файлу. Коли робота програми буде завершена, то потрібно перезавантажити комп’ютер. Всі зашифровані файли утиліта зберігає у вигляді копій locked-<оригінальне ім’я>.<4 випадкових літери>. Якщо розшифрування було успішним, то зашифровані файли можна видалити. Для цього потрібно зайти в меню «Изменить параметры проверки → Дополнительные опции → Удалять зашифрованные файлы после успешной расшифровки.»
Перейти на сайт програми Kaspersky RannohDecryptor для завантаження
Trend Micro Ransomware File Decryptor
Trend Micro Ransomware File Decryptor — продукт від японських розробників для розшифрування файлів, що були зашифровані різними програмами-шифрувальниками.
Щоб правильно працювати із програмою потрібно точно знати, яким шифрувальником зашифровані файли (про це написано на початку статті). Після цього в меню програми потрібно вказати назву шифрувальника та вибрати файл чи папку із файлами, які потрібно розшифровувати.
Альтернативно можна вибрати опцію «I don't know the ransomware name» та просто вказати зашифровані файли чи папку. Тоді програма сама спробує ідентифікувати шифрувальника шляхом аналізу зашифрованого файлу.
В процесі роботи можуть виникнути труднощі, такі як неможливість повного розшифрування даних. Але у програмі наявні гіперпосилання, які допоможуть вирішити проблеми прочитавши додаткову інформацію, а також відеоінструкції. Все це допоможе швидше отримати інформацію у конкретному випадку та підказки для видалення вимагачів.
Використовуючи програму Trend Micro Ransomware File Decryptor ви можете спробувати розшифрувати файли, які зашифровані слідуючими шифрувальниками:
- CryptXXX V1, V2, V3*: {original file name}.crypt, cryp1, crypz, or 5 hexadecimal characters
- CryptXXX V4, V5: {MD5 Hash}.5 hexadecimal characters
- TeslaCrypt V1**: {original file name}.ECC
- TeslaCrypt V2**: {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
- TeslaCrypt V3: {original file name}.XXX or TTT or MP3 or MICRO
- TeslaCrypt V4: File name and extension are unchanged
- SNSLocker: {Original file name}.RSNSLocked
- AutoLocky: {Original file name}.locky
- BadBlock: {Original file name}
- 777: {Original file name}.777
- XORIST: {Original file name}.xorist or random extension
- XORBAT: {Original file name}.crypted
- CERBER V1: {10 random characters}.cerber
- Stampado: {Original file name}.locked
- Nemucod: {Original file name}.crypted
- Chimera: {Original file name}.crypt
- LECHIFFRE: {Original file name}.LeChiffre
- MirCop: Lock.{Original file name}
- Jigsaw: {Original file name}.random extension
- Globe/Purge V1: {Original file name}.purge
- Globe/Purge V2: {Original file name}.{email address + random characters}
- Globe/Purge V3: Extension not fixed or file name encrypted
- DXXD V1: {Original file name}.{Original extension}dxxd
- Teamxrat/Xpan V2: {Original filename}.__xratteamLucked
- Crysis: .{id}.{email address}.xtbl, .{id}.{email address}.crypt, .{id}.{email addres}.dharma, .{id}.{email address}.wallet
- TeleCrypt: {Original file name}
- DemoTool: .demoadc
- WannaCry (WCRY)***: {Original file name}.WNCR
- Petya
Майте на увазі, що програма:
Може лише частково розшифрувати файли;
Потрібно буде звернутися до технічної підтримки Trend Micro, щоб попросити окремий інструмент — TeslacryptDecryptor 1.0.xxxx MUI для файлів TeslaCrypt V1 і V2. Вони обидва підтримують V3 та V4.;
Даний інструмент буде в першу чергу корисним для системних адміністраторів, IT-професіоналів та технічних спеціалістів, оскільки містить набір дешифраторів та допоможе боротися із шифрувальниками та їхніми наслідками.
Перейти на сайт програми Trend Micro Ransomware File Decryptor для завантаження
Kaspersky XoristDecryptor
Для боротьби із шкідливими програмами, які відносяться до сімейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev спеціалістами лабораторії Касперського була створена утиліта XoristDecryptor.
Шкідлива програма із сімейства Trojan-Ransom.Win32.Xorist при попаданні на комп’ютер жертви робить модифікацію даних таким чином, щоб зробити неможливу роботу із ними. Також вона може блокувати нормальну роботу комп’ютера.
Наступним етапом після блокування є вимога викупу за розшифрування всіх зашифрованих файлів. За викуп, який користувач має виплатити зловмисники обіцяють вислати спеціальну утиліту, яка розблокує всі файли та зробить нормальним функціонування комп’ютера.
Дана троянська програма шифрує файли із наступними розширеннями:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Для розшифрування файлів потрібно завантажити та запустити утиліту Kaspersky XoristDecryptor. Після чого натиснути «Начать проверку».
Для розшифрування фалів потрібно вказати для програми шлях хоча б до одного зараженого файлу. Після роботи програми може знадобитися перезавантаження.
Перейти на сайт програми Kaspersky XoristDecryptor для завантаження
RectorDecryptor
Утиліта RectorDecryptor створена для розшифрування файлів, які були зашифровані трояном Trojan-Ransom.Win32.Rector. Звичайно, за розшифрування файлів зловмисник буде вимагати викуп у замін на утиліту для розшифровки.
Даний троян шифрує дані із розширенням .jpg, .doc, .pdf, .rar.
Щоб розшифрувати файли потрібно завантажити та запустити програму RectorDecryptor. Зверніть увагу на те, що утиліта призначена для певної ОС. Тобто, для операційної Windows 7 потрібно завантажувати окрему версію програми, на Windows 8 ще іншу і так далі. Все детально можна прочитати на офіційній сторінці утиліти. Після завантаження та запуску натискаємо «Начать проверку», після чого програма приступить до пошуку та розшифрування файлів, які були зашифровані. Для видалення зашифрованих файлів після успішного розшифрування потрібно вибрати відповідну опцію у меню програми (Удалять зашифрованные файлы после успешной расшифровки).
Свій звіт про роботу за умовчанням утиліта зберігає у корінь диска, на якому встановлена операційна система (за звичай це диск С:\). Ім'я звіту має такий вигляд: Ім'яУтіліти.Версія_Дата_Час_log.txt. Наприклад: C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt.
Перейти на сайт програми RectorDecryptor для завантаження
TeslaDecoder
TeslaDecoder — розшифрує файли, які були зашифровані троянською програмою TeslaCrypt 3.x та 4.x. Такі файли мають розширення .micro, .xxx, .ttt, .mp3, а також зашифровані файли, які не були перейменовані.
Після запуску TeslaDecoder спробує витягнути ключ дешифрування. Якщо операція пройде успішно, то це дасть змогу розшифрувати файли з папки чи всі файли на комп’ютері. В іншому випадку процес розшифрування може закінчитися невдачею. Для більш детальної інформації потрібно прочитати довідку на офіційному сайті компанії та дії, які необхідно виконати для успішного розшифрування файлів.
Перейти на сайт програми TeslaDecoder для завантаження
Дешифратори від компанії Avast
Повністю безкоштовно пропонує свої утиліти для розшифрування даних компанія Avast, яка спеціалізується на антивірусному програмному забезпеченні. Не буду описувати кожен дешифратор окремо. Пропоную переглянути список програм, які вимагають викуп за зашифровані файли:
- Alcatraz Locker
- Apocalypse
- BadBlock
- Bart
- Crypt888
- CryptoMix (автономна версія)
- CrySiS
- Globe
- HiddenTear
- Jigsaw
- Legion
- NoobCrypt
- Stampado
- SZFLocker
- TeslaCrypt
Якщо ви зіткнулися із однією з таких програм, то перейдіть на сайт компанії Avast та завантажте відповідний дешифратор абсолютно безкоштовно.
Перейти на сайт компанії Avast для завантаження
No More Ransom
Для визначення типу шкідливої програми та для боротьби із наслідками її діяльності можна скористатися онлайн ресурсами. Одним із таких ресурсів є No More Ransom. Даний сервіс допоможе розшифрувати документи, фото, бази даних та іншу інформацію, що піддалася атаці однією із троянських програм. Також на сайті можна отримати допомогу та інформацію, яка допоможе уникнути подібних ситуацій у майбутньому.
Якщо ви потерпіли від подібної програми, то перейшовши на сторінку сервісу натисніть на кнопку «Да». Відкриється сторінка, яка допоможе визначити тип шифрувальника. Для цього потрібно завантажити зашифровані файли (розмір кожного файлу не повинен перевищувати 1 мегабайта).
В інше вікно потрібно ввести адресу електронної пошти, сайту, onion-домену, Bitcoin-адресу. Їх можна побачити у повідомленні, яке вимагає викуп. Або просто можна завантажити файл із розширенням .txt чи .html, які залишили злочинці для вимагання викупу. Після всіх дій натискаємо «Проверить».
Після аналізу в разі наявності дескриптора буде виданий лінк для завантаження утиліти, що допоможе розшифрувати файли.
Взагалі це один із найкращих ресурсів в мережі для вирішення проблем із зашифрованими файлами.
Перейти на сайт No More Ransom
Декілька порад:
- Основним винуватцем при попаданні троянської програми на комп’ютер зазвичай є сам користувач. Будьте пильними;
- Не завантажуйте та не відкривайте файли від невідомих відправників;
- Не економне на захисті. Пам’ятайте, що надійний антивірусний пакет включає все необхідне для повного захисту вашого комп’ютера і не потребує додаткових програм для попередження зараженням тим чи іншим трояном. Тому краще раз потратитися на хорошу програму, ніж потім платити в рази більше за розшифрування даних і тижнями сидіти в пошуках вирішення проблем;
- Не платіть викуп для зловмисників. Так ви для них оплачуєте працю та надихаєте на створення нових вірусів;
- Не видаляйте зашифровані файли, можливо їх вдасться розшифрувати;
- Ліцензійне антивірусне програмне забезпечення потрібно купувати в надійних джерелах, щоб не вийшло навпаки — купували антивірус, а купили троянську програму;
- Виникає запитання, де ж купувати? Наприклад, за наступною адресою, все офіційно та із гарантією. Хорошим антивірусним забезпеченням являється TrustPort, який неодноразово займав високі позиції при проведенні незалежних тестів.
Ще на завершення хочеться згадати програму Adguard, яка не просто блокує рекламу, а також не пускає на сайти із поганою репутацією, які скоріш за все беруть участь у розповсюдженні троянських та інших шкідливих програм. Це одна із програм, яку я встановлюю на своєму комп’ютері.
Пишемо в коментарях, ділимося досвідом та задаємо запитання.