Trojan encoder 10507 расшифровка: Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.

Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.

«Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов…». Текст сообщения — дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1

Один мой знакомый попросил помочь ему в расшифровке файлов, зашифрованных накануне. Вот и решил проверить работу службу DrWeb, надо сказать что ответ пришел довольно быстро (буквально через пару часов) правда и не утешительный:

Добрый день!
Благодарим за обращение в техническую поддержку «Доктор Веб».

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293

На данный момент у нас нет способа их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки — эффективных алгоритмов факторизации для шифра RSA современной науке не известно.

Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация: обратитесь с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: http://legal.drweb.com/templates

Возможно, в результате полицейской акции поймают автора/»хозяина» троянца и выяснят у него шифроключ.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторых, и только частично.

Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений. И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению. При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.

Особенно актуально для офисных doc/xls, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 — такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:

http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

Способ её применения в вашем случае следующий:
te102decrypt.exe -k h59 -e [email protected]_FG177

или:
te102decrypt.exe -k h59 -e [email protected]_FG177 -path D:\Path

— так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Результаты сохраняются в новые файлы по принципу:

«документ[email protected]_FG177» (зашифрованный) => «документ.doc» (реконструированный)

С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.

Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных. В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.

С уважением, служба технической поддержки компании «Доктор Веб».

В письме встречается [email protected]_FG177 — это расширение, которое получили зашифрованные файлы. С помощью утилиты te102decrypt.exe всё-таки удалось восстановить пару файлов из тех, которые мне прислали. Так что попробовать стоит, хуже не будет. Такие дела…

Список известных шифровальщиков можно посмотреть на форуме DrWeb (постоянно дополняется). Так что есть шанс, что ваш шифровальщик уже известен и к нему имеется дешифратор:

http://forum.drweb.com/index.php?showtopic=314687

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Шифровальщик trojan encoder. Что это?…

Всем привет! Сегодня хочу осветить одну проблему, связанную с вредоносной программой, шифрующей файлы на компьютере. Есть такая проблема, после которой появляются запросы типа «Помогите! Вирус зашифровал файлы», этим же вопросом достают многих компьютерных мастеров, которые иногда даже берутся помочь, но в итоге пользуются тем, что описано ниже. А что дествительно делать, если вирус зашифровал файлы на компьютере?! Прочитать статью до конца, внять написанному, успокоиться и начать действовать. Поехали!

Шифровальщики — это разновидности семейства trojan encoder (так их классифицирует например dr. web).  Сама программа шифровальщик часто ловится через некоторое время антивирусом, если он ее пропустил. Но вот последствия от ее работы удручающие. Что делать, если вы стали жертвой подобного рода гадости? Давайте разбираться. Для начала необходимо примерно знать как устроен враг, чтобы перестать грузить глупыми вопросами всех и вся в надежде что сейчас появиться шаман с бубном и решит мигом вашу проблему. Итак, вирус использует асимметричные ключи, насколько мне известно, иначе не было бы с ним столько проблем. Такая система использует два ключа, один из которых шифрует, другой расшифровывает. Причем первый вычисляется из второго (но не наоборот). Давайте попробуем это представить наглядно и что называется на пальцах. Рассмотрим пару рисунков, которые наглядно демонстрируют процесс шифрования и расшифровки.

Не будем вдаваться в подробности о том, как формируется открытый ключ. Эти две картинки демонстрируют наглядно процесс шифрования, а затем дешифровки, это как закрыть дверь, а потом ее открыть. В чем же реально проблема с вирусом-шифровальщиком? Проблема в том, что у вас вообще нет никакого ключа. Ключи у злоумышленника. А алгоритмы шифрования, использующие эту технологию сделаны весьма хитро. Вы можете каким-то образом получить открытый ключ, изучая файл, но это не имеет смысла, потому что вам нужен секретный ключ. А вот с ним загвоздка. Даже узнав ключ открытый, секретный получить практически невозможно. Понятно, что в фильмах и книгах, а также рассказах друзей и знакомых, есть какие-то супер-пупер хакеры, которые взмахом мизинца над клавиатурой расшифруют все, взломают все в лоб, а в реальном мире все совсем не так просто. Скажу что в лоб эту задачу не решить и точка.

А теперь о том, что делать, если вы подцепили сию гадость. Вариантов у вас не много. Самый банальный связаться с автором по электронной почте, которую он любезно вам предоставит на новых обоях для рабочего стола, а также впишет в имя каждого испорченного файла. Будьте осторожны, иначе не получите ни файлов ни денег. Вариант второй — антивирусные компании, в частности доктор Веб. Обращаетесь в тех поддержку по адресу https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Проходите по пунктам, которые требуются и воаля. Правда есть одно Но! Вы обязательно должны использовать лицензионный антивирус от доктор Веб, если у вас его нет, нужно будет приобрести лицензию. В случае успеха, ваш запрос уйдет в службу технической поддержки компании, а дальше ожидайте ответа. Прошу обратить особое внимание, что этот способ не дает 100% гарантии полной расшифровки всех файлов, это связано с тем, что не все ключи и алгоритмы есть у них в наличии. Расшифровкой занимаются и другие антивирусные компании, на подобных условиях. Третий вариант — обратиться в правоохранительные органы. Между прочим, если будете создавать запрос в компанию доктор Веб, даже они вам об этом скажут. Вариант третий может быть затяжным и безуспешным (впрочем как и первые два), но в случае успеха, злоумышленника накажут и он будет меньше вредить людям, а ключ передадут антивирусным компаниям.  Есть еще и четвертый вариант — безуспешно пытаться найти чудо мастера, который каким-то сверхсекретным образом расшифрует. Вперед ребята! Но задумайтесь! Уж если антивирусные компании не дают 100% гарантии и рекомендуют обратиться в полицию, то что еще искать? Не тратьте свое время и деньги, будьте реалистами.

Резюмирую. К сожалению множество людей обижаются на мастеров, которые отправляют их в милицию или в антивирусную компанию, умоляя им помочь, но дорогие наши пользователи, поймите, мастера не всесильны, а здесь нужны отменные знания в криптографии, да и они вряд ли помогут. Поэтому пользуйтесь тремя вышеуказанными способами, но с первым аккуратнее (крайний случай), лучше уж обращайтесь в органы, а параллельно попытайтесь спасти хоть что-то с помощью специалистов из антивирусной компании.
Да, кстати, обращение в полицию поможет другим пострадавшим и если каждый будет стараться так поступать, заразы подобной станет в разы меньше, поэтому думайте не только о себе но и других людях. И еще будьте готовы к тому что возможно кроме автора вируса больше никто не решит вашу проблему! Поэтому сделайте для себя важный вывод и раните ценные файлы в нескольких экземплярах на разных устройствах или пользуйтесь облачными сервисами.

Вирус Шифровальщик -расшифровать

Вирус-шифровальщик – одна из новейших и опаснейших хакерских разработок. Под этим термином подразумевают совокупность вредоносных программ, влияние которых на зараженный компьютер заключается в шифровании пользовательских данных. Для этого используются разнообразные алгоритмы. Чаще всего блокируются текстовые документы, музыкальные и видеофайлы, фотографии, базы данных и пр. Обратите внимание: системные файлы такой вирус не затрагивает. Его опасность состоит в том, что методов борьбы с ним мало, восстановить данные не всегда возможно. Более того, после заражения на экране монитора всплывает сообщение с объяснением произошедшего и требованием заплатить определенную сумму за код-дешифратор, который восстановит заблокированные файлы. Однако, как показывает практика, поддавшийся такому шантажу человек теряет и деньги, и информацию.

Коротко о вирусе: троянцы семейства Trojan.Encoder представляют собой вредоносные программы (скрипты), шифрующие файлы на диске компьютера и требующие деньги за их расшифровку (дешифратор). Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar *.1CD и так далее. 
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи: 
1. жертва заражается через спам-письмо с вложением (маскируя: Повестка в суд, налоговые органы или счет)
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами, 
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Просто позвоните по бесплатному тел. 8 (812) 920-76-10, и мы поможем с пострадавшим компьютером.

Разновидности шифровальщиков (самые популярные): 

• Вирус XTBL
• VALUE 
• ENIGMA  (энигма )
• da_vinci_code
• better_call_saul
• _XO101″>Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра._XO101
• BREAKING_BAD
• NEITRINO
• и другии

Подобный вирус может проникнуть в компьютер несколькими способами:

1. Первый и наиболее распространенный путь – электронная почта. Вложения в письмах могут содержать опасный вирус. Открыв их, пользователь запустит вредоносную программу, которая зашифрует данные на компьютере. Примечательно, что имя вложения может выглядеть совершенно безобидно (например, «Новые условия.doc»). Письмо будет отправлено якобы партнерами по работе, и ничего не подозревающий человек его откроет. На самом деле название вложения намного длиннее, а в конце содержится .exe, но этого получатель не видит.        

2. Программы, игры и пр. Предположим, вас интересует какое-либо ПО, которое распространяется на платной основе. Природное желание сэкономить заставляет искать взломанную версию. Запустив ее на компьютере, вы рискуете занести опасный вирус.       

3. Самораспаковывающийся архив. Даже если программное обеспечение, которое вам необходимо, предоставляется разработчиками бесплатно, есть шанс стать жертвой хакеров. Устанавливая приложения, утилиты и пр., скачанные с неизвестных ресурсов, вы также можете нанести вред компьютеру и потерять все данные.          

К сожалению, сегодня гарантированного метода исправления последствий шифровальщиков не существует. Даже если вы решили пойти на поводу у хакеров и отправить им запрошенную сумму, это не значит, что файлы вернуться в прежнее состояние. Как поступить в такой ситуации:

1. Этот способ подходит, если на компьютере установлено лицензионное антивирусное ПО. Отправьте запрос на официальный сайт компании, прикрепив зашифрованный документ и его «нормальную» копию, если она есть. Далее ожидайте, пока вам ответят.

2. Кардинальный, но действенный метод. Для этого вам придется распрощаться с информацией и полностью отформатировать жесткий диск, после чего заново установить операционную систему.     

Увы, но откат системы до какой-либо сохраненной точки не поможет. Уничтожить вирус, скорее всего, получится, но файлы останутся заблокированными.

• Храните копии данных, которые имеют для вас ценность, на дисках.
• Обращайте особое внимание на почтовые вложения.
• Загружайте файлы только с проверенных сайтов.
• Не доверяйте отзывам в интернете («Я перечислил им необходимую сумму, и мне все расшифровали!»). Они написаны самими разработчиками вируса. 

Что же делать, чтобы не поймать вирус-шифровальщик?

Ответ весьма прост — включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется — теряет свою актуальность.

Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида — сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту — компьютер. И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.

Сразу скажу — платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.

Что нужно делать, если файлы зашифрованы вирусом

Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.

Почему именно «попытаться расшифровать»?

Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.

НАШИ УСЛУГИ и ПОМОЩЬ В РАСШИФРОВКЕ ФАЙЛОВ

У нас есть уникальный алгоритм расшифровки самых последних вирусов-шифровальщиков и дешифратор-программа созданная нашим программистом для лечения поврежденных файлов. Звоните 8 (812) — 920-76-10 / Но вы можете попробовать стандартные способы:

• Trojan-Ransom.Win32.Rector — бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницу http://support.drweb.com/new/free_unlocker/
• CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт http://decryptcryptolocker.com — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.
• На сайте https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads доступе Ransomware Removal Kit — большой архив с информацией по разным типам шифровальщиков и утилитами для расшифровки (на английском)

Ну и из последних новостей — Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается

Вирус-шифровальщик. БОЛЬШАЯ статья / Хабр

В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.
Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.

Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:

1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),

2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,

3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.

Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».

Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???

Что должен был подумать сотрудник?

Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.

Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).

Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива».

В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».

Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).

Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:

— прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.

— Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:

— менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.

— использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.

Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!

Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.

Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 — я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» — Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке, так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:

1. Используя встроенный поиск windows найти все файлы, содержащие расширение .perfect, скопировать их на внешний носитель.

2. Скопировать так же файл CONTACT.txt

3. Положить этот внешний носитель «на полочку».

4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:

Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.

Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».

За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Вирус-шифровальщик

В статье рассматриваются вирусы – шифровальщики, которые обрели большую популярность в хакерских атаках. Их развитие обуславливается большим количеством информации, которая расположена в основном на компьютере. Проводится обзор по известным вирусам и основным причинам заражения ими.

В нашем современном мире при постоянно развивающихся технологий приходится обязательно поддерживать безопасность систем и данных. Программы — шифровальщики относятся к классу троянцев — вымогателей — это вредоносное ПО, которое вносит несанкционированные изменения в пользовательские данные или блокирует нормальную работу компьютера, то есть основная цель это сделать недоступными пользовательские данные. Для расшифровки данных и разблокировки компьютера злоумышленники обычно требуют денежного перевода (выкупа). Число пользователей, атакованных троянцами — шифровальщиками в 2015 году доходит до 180 тысяч [1].

Говоря о всех видах вирусов — шифровальщиков можно представить, что это код, прописанный в самокопирующемся вирусе, предполагает шифрование практически всех пользовательских данных (в основном видео, графические и текстовые файлы) специальными криптографическими алгоритмами, не затрагивающее системные файлы операционной системы. При этом сам проникший вирус — шифровальщик расшифровать файлы не позволяет. Для этого нужен специальный дешифратор, за который злоумышленник и требует сумму денег.

Современные экземпляры вирусов используют криптостойкие алгоритмы шифрования. Содержимое файлов шифруется с очень высокой скоростью, а ключ шифруется асимметричным алгоритмом. Это означает, что на подбор ключа для расшифровки могут потребоваться годы вычислений компьютера [2, С. 144].

По статистике антивирусных компаний, удается подобрать ключ лишь в 10% случаев. Встречаются случаи, когда восстановить файлы просто невозможно, даже если вы заплатите некоторую сумму вымогателям. Это происходит в том случае, если вирус шифровальщик просто выбрасывает ключ шифрования, а не передает его для хранения на сервер. В таблице 1 приведена статистика расшифровки вирусов от компании «DrWeb» в 2016 г.

Таблица 1. Статистика расшифровки

Интересный факт, что более чем в 90% случаев пользователи запускают вирусы — шифровальщики своими руками и не подозревая, что открывают вирус. Более половины всех случаев шифрования приходится на вирус Trojan.Encoder и сотни вариантов его модификаций.

Проникновение

Основным источником распространения является электронная почта на уровне инсталлированных на конкретном компьютерном терминале программ вроде Outlook, Thunderbird, The Bat и т. д. Почтовых интернет — серверов это не касается, поскольку они имеют достаточно высокую степень защиты, а доступ к пользовательским данным возможен разве что на уровне облачных хранилищ. Ярким примером распространения рассматриваемых вирусов является массовая рассылка писем в организации. Другой источник — запуск скачанной с интернета программы, только вместо установки программы пользователь получает зашифрованные файлы. При активировании данного вируса, пользователь заметит, что все файлы, которые имели до этого значки, станут с иконками неизвестного типа файлов, открыть которые не получится [3, с. 211].

Вирусы

Вирусы — шифровальщики широко распространились за последнее время. Затронем самые известные и столь недавно заявившие о себе.

1. F — Secure, компания, специализирующаяся на разработке систем кибербезопасности, 4 апреля 2016 г. выпустила предупреждение о «Пете», новом виде вируса — шифровальщика, который блокирует весь жесткий диск компьютера вместо простого шифрования файлов на диске, как это делают другие подобные вирусы. «Петя» шифрует MFT файловой системы, делая для операционной системы невозможным обнаружение нужных файлов, таким образом приводя компьютер в полностью неработоспособное состояние.
2. Старуха Шапокляк — новый вирус, работающий на основе программы — шифровальщика данных. Специализируется он по всем файлам, которые могут иметь коммерческую ценность и шифрует их в расширения типа cbf, vault и xtbl. После шифрования вирус просит перевести определенное количество средств на Bitcoin, при этом взамен предлагает дешифратор и лечение. Даже если Вы отправляете деньги, обратно вы не получаете ничего и становитесь очередной жертвой аферы.
3. Недавно появившийся вирус XTBL можно отнести к классическому варианту шифровальщика. Как правило, он проникает в систему через сообщения электронной почты, содержащие вложения в виде файлов с расширением .scr, которое является стандартным для скринсейвера Windows. Система и пользователь думают, что все в порядке, и активируют просмотр или сохранение вложения. Имена файлов преобразуются в набор символов, а к основному расширению добавляется еще .xtbl, после чего на искомый адрес почты приходит сообщение о возможности дешифровки после оплаты указанной суммы.
4. Вирус CBF появляется в системе после открытия вложений электронной почты, а затем переименовывает пользовательские файлы, добавляя в конце расширение вроде .nochance или .perfect. Расшифровка вируса — шифровальщика такого типа для анализа содержимого кода даже на стадии его появления в системе не представляется возможной, поскольку после завершения своих действий он производит самоликвидацию. Универсальное средство RectorDecryptor не помогает.
5. Вирус Breaking_Bad работает по той же схеме, но переименовывает файлы в стандартном варианте, добавляя к расширению .breaking_bad. В отличие от предыдущих вирусов, этот может создавать и еще одно расширение — .Heisenberg, так что найти все зараженные файлы не всегда можно.
6. Вирус [email protected], пожалуй, самая серьезная угроза, которая направлена большей частью на крупные коммерческие организации. Как правило, в какой — то отдел приходит письмо, содержащее вроде бы изменения к договору о поставке, или даже просто накладная. Вложение может содержать обычный файл .jpg (типа изображение), но чаще — исполняемый скрипт .js (Java — апплет) [4, с. 57].

В результате можно сказать, что выдвинутую тему можно включить в одну из актуальных в безопасности нашего времени. Это показывает статистика и практика столкновения с такими вирусами. Полностью решить данную проблему так и не удалось, только малая часть вирусов на 100% имеют алгоритмы дешифрации и могут быть успешно обезврежены. Остальная часть либо имею неполную дешифрацию, либо вообще не имеют, что предвещает дальнейшее их исследование и устранение.

Служба вирусного мониторинга Dr.Web

На этой странице можно получить ключ для расшифровки данных, указав ID (он же код) вида ABCDEF0123456789ABCD | 1 | 2 | 3. Ключей может быть несколько.

Введите в поле «ID» строку из файла, оставленного шифровщиком и
содержащего требования злоумышленников.
Такие файлы, созданные шифровщиком на пострадавшем компьютере, как
правило в нескольких копиях, имеют имена вида
README1.txt, README2.txt и т.д. .. README10.текст
и инструктируют, сообщают об индивидуальном «коде», необходимом
для расшифровки.
В файле «требований» этот код выглядит как строка вида
ABCDEF0123456789ABCD | 0
возможен также вариант строки «кода» вида
ABCDEF0123456789ABCD | NN | M | K
Эту форму поиска ключа.

Если оставленный шифрованный файл «требований» утрачен, в некоторых
случаи
нужный код присутствует в измененных шифровщиком именах
зашифрованных файлов
В именах зашифрованнных файлов соответствующей строки «кода»
находится в позиции
*.ТОТ_САМЫЙ_КОД.дополнительное_расширение_добавленное_шифровщиком

Закрыть справку

Если вы получили несколько вариантов файла-ключа (в виде
набора файлов te225pass (1), te225pass (2) и т.д.),
дальнейшие действия нужно проделать последовательно для каждого
ключа-кандидата,
всякий раз давая проверяемому файлу ключа имя «te225pass»

Применение.

В любую папку скопировать файлы «te225decrypt.exe» и файл ключа «te225pass»
Запустить te225decrypt.exe

На первом шаге утилита запрос показать ей один зашифрованный файл
(он нужен для проверки правильности расшифровки).

После успешной проверки ключа начнется расшифровка всех зашифрованных
файлов на доступных дисках.

Если провести расшифровку файлов требуется только во внутреннем листе
или на определенном диске,
нужно запустить te225decrypt с параметром командной строки -path:
te225decrypt.exe -path «D: \»
— расшифровывать файлы только в папке и вложенных в нее
папках («D: \ Path» заменить на полное имя нужной папки).
te225decrypt.exe — путь D:
— расшифровывать файлы только на указанном диске (D:)
Использование кавычек, если имя папки содержит пробелы, обязательно.
Указывать завершающий символ «\» («бэкслэш») в имени папки нельзя:
«D: \ Path» — правильно, «D: \ Path \» — неправильно.

Расшифровка идет в новые файлы;
по принципу:
«измененное_шифовальщиком_имя_файла» (зашифрованный) =>
«оригинальное_имя _файла» (расшифрованный)
Соответственно, требуется достаточное свободное место на диске.Зашифрованные исходные данные останутся на диске и никак не будут
затронуты при расшифровке.

Наша принципиальная позиция — при расшифровке нельзя выполнять
необратимых действий с исходными данными.

Закрыть справку

.

Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.

«Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят из команды Африканских пиратов …». Текст сообщения — дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи.Секретный способ сказочного обогащения не отрывая жопы от стула или супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента, когда я впервые столкнулся с вирусами, шифровальщиками и на тот момент не было никаких никаких инструментов, дающих какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает создавать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1

Один мой знакомый попросил ему помочь в расшифровке файлов, зашифрованных накануне.Вот и решил проверить работу службы DrWeb, надо сказать что ответ пришел довольно быстро (через пару часов) правда и не утешительный:

Добрый день!
Благодарим за обращение в техническую поддержку «Доктор Веб».

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293

На данный момент у нас нет способ их расшифровать. Также, увы, нет никакой надежды, что кто-либо сможет подобрать / вычислить ключ для расшифровки — эффективных алгоритмов факторизации для шифра RSA современной науке не известно.

Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить / изъять только у автора троянца.

Таким образом, основная рекомендация: обратиться с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространению вредоносных программ и вымогательства.

Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествиях в органах внутренних дел РФ») есть на нашем сайте: http: // legal.drweb.com/templates

Возможно, в результате полицейской акции поймают автора / «хозяина» троянца и выяснят у него шифрок.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных кодировщиков. 293, без их расшифровки (расшифровка без приватной половины ключевой пары невозможна). Только некоторые, и только частично.

Фактически такой подход основан на том, что шифровщик типа Encoder.102 / 293 вносит в файл относительно немного изменений.И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению. При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.

Особенно актуально для офисных документов, в которых после реконструкции могут измениться данные на первых страницах. Было написано 100, а станет 500 — такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:

http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

Способ ее применения в вашем случае следующий:
te102decrypt.exe -k h59 -e .SOS @ AUSI.COM_FG177

или:
te102decrypt.exe -k h59 -e .SOS @ AUSI.COM_FG177 -path D: \ Path

— так деятельность реконструктора ограничивается только тем, что найдется в указанном каталоге D: \ Path

Результаты сохраняются в новых файлах по принципу:

.

«документ[email protected]_FG177 «(зашифрованный) =>» документ.doc «(реконструированный)

С учетом этого требуется дополнительное свободное место на диске. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg / doc / xls / dbf (часть данных может быть потеряна, но количество потерь сведено к минимуму). Не более того.

Что касается зашифрованных zip-архивов. То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip. Непосредственно распаковать прямо из зашифрованных.В данном случае должно быть возможно вытащить из зашифрованного zip-архива все файлы, кроме первого, и, может, еще нескольких из начала архива. Пока это всё, чем мы можем вам помочь.

С уважением, служба технической поддержки компании «Доктор Веб».

В письме встречается .SOS @ AUSI.COM_FG177 — это расширение, которое получили зашифрованные файлы. С помощью утилиты te102decrypt.exe всё-таки удалось восстановить пару файлов из тех, которые мне прислали.Так что попробовать стоит, хуже не будет. Такие дела …

Список известных шифровальщиков можно посмотреть на форуме DrWeb (постоянно постоянно). Так что есть шанс, что ваш шифровальщик уже известен и к нему имеется дешифратор:

http://forum.drweb.com/index.php?showtopic=314687

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если статью считаете полезной,
не ленитесь ставить лайки и делиться с друзьями.

.

Утилита Kaspersky RakhniDecryptor для защиты от шифровальщиков Trojan ‑ Ransom.Win32.Rakhni

Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующему шаблонам:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>. <Оригинальное_расширение> .locked;
  • <имя_файла>. <Оригинальное_расширение> .kraken;
  • <имя_файла>.<оригинальное_расширение> .темнота;
  • <имя_файла>. <Оригинальное_расширение> .oshit;
  • <имя_файла>. <Оригинальное_расширение> .nochance;
  • <имя_файла>. <Оригинальное_расширение> .oplata @ qq_com;
  • <имя_файла>. <Оригинальное_расширение> .relock @ qq_com;
  • <имя_файла>. <Оригинальное_расширение> .crypto;
  • <имя_файла>. <Оригинальное_расширение>[email protected];
  • <имя_файла>. <Оригинальное_расширение> .p *** a @ qq_com;
  • <имя_файла>. <Оригинальное_расширение> .dyatel @ qq_com;
  • <имя_файла>. <Оригинальное_расширение> .nalog @ qq_com;
  • <имя_файла>. <Оригинальное_расширение> .chifrator @ gmail_com;
  • <имя_файла>. <Оригинальное_расширение> .gruzin @ qq_com;
  • <имя_файла>. <Оригинальное_расширение>.troyancoder @ gmail_com;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id373;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id371;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id372;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id374;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id375;
  • <имя_файла>.<оригинальное_расширение> .coderksu @ gmail_com_id376;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id392;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id357;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id356;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id358;
  • <имя_файла>. <Оригинальное_расширение>.coderksu @ gmail_com_id359;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id360;
  • <имя_файла>. <Оригинальное_расширение> .coderksu @ gmail_com_id20.

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка произойдет значительно быстрее. Если же файл выход.hhr.oshit был удален, восстановите его при помощи программного восстановления удаленных, а затем поместите файлы в папке% APPDATA% и заново запустите проверку утилитой. Файл можете exit.hr.oshit вы найти по следующему пути: C: \ Users <имя_пользователя> \ AppData \ Roaming

Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.

Узнайте больше о технологии, которая применяет «Лаборатория Касперского» для защиты от вредоносных программ, в том числе шифровальщиков, на странице ТехноВики.Более подробная информация в английской версии TechnoWiki.

.

Шифровальщик троянского кодировщика. Что это? …

Всем привет! Сегодня хочу осветить одну проблему, связанную с вредоносной программой, шифрующей файлы на компьютере. Есть такая проблема, после которой появляются запросы типа «Помогите! Вирус зашифровал файлы », этим же вопросом достают многих компьютерных мастеров, иногда которые даже берутся помочь, но в итоге тем, что описано ниже. А что дествительно делать, если вирус зашифровал файлы на компьютере ?! Прочитать статью до конца, внять написанному, успокоиться и начать действовать.Поехали!

Шифровальщики — это разновидности семейства троянских кодировщиков (так их классифицирует, например, dr. Web). Сама программа шифровальщик часто ловится через некоторое время антивирусом, если он ее пропустил. Но вот последствия от ее работы удручающие. Что делать, если вы стали жертв подобного рода гадости? Давайте разбираться. Для начала необходимо примерно знать как устроен враг, чтобы перестать грузить глупыми вопросами всех и вся в надежде сейчас появиться шаман с бубном и решит мигом вашу проблему.Итак, вирус использует асимметричные ключи, насколько мне известно, иначе не было бы с ним столько проблем. Такая система использует два ключа, один из которых шифрует, другой расшифровывает. Причем первый вычисляется из второго (но не наоборот). Давайте попробуем это представить наглядно и что называется на пальцах. Рассмотрим пару рисунков, которые наглядно демонстрируют процесс шифрования и расшифровки.

Не будем вдаваться в подробности о том, как формируется открытый ключ.Эти две картинки демонстрируют наглядно процесс шифрования, а затем дешифровки, это закрыть дверь, а потом ее открыть. В чем же реально проблема с вирусом-шифровальщиком? Проблема в том, что у вас вообще нет никакого ключа. Ключи у злоумышленника. А алгоритмы шифрования, использующие эту систему весьма хитро. Вы можете каким-то образом получить открытый ключ, изучая файл, но это не имеет смысла, потому что вам нужен секретный ключ. А вот с ним загвоздка. Даже узнав ключ открытый, секретный получить практически невозможно.Понятно, что в фильмах и книгах, а также рассказах друзей и знакомых, есть какие-то супер-пупер хакеры, которые взмахом мизинца над клавиатурой расшифруют все, взломают все в лоб, а в реальном мире все совсем не так просто. Скажу что в лоб эту задачу не решить и точка.

А теперь о том, что делать, если вы подцепили сию гадость. Вариантов у вас не много. Самый простой сообщение с автором по электронной почте, которое он любезно вам предоставит на новых обоях для рабочего стола, а также впишет в имя каждого испорч файла.Будьте осторожны, иначе не получите ни файлов ни денег. Вариант второй — антивирусные компании, в частности доктор Веб. Обращаетесь в тех поддержку по адресу https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Проходите по пунктам, которые требуются и воаля. Правда есть одно Но! Вы обязательно использовать лицензионный антивирус от доктор Веб, если у вас его нет, нужно будет приобрести лицензию. В случае успеха, ваш запрос уйдет в службу технической поддержки компании, а дальше ожидайте ответа.Прошу обратить особое внимание, что этот способ не дает 100% гарантии полной расшифровки всех файлов, это связано с тем, что не все ключи и алгоритмы есть у них в наличии. Расшифровкой занимаются и другие антивирусные компании, на подобных условиях. Третий вариант — обратиться в правоохранительные органы. Между прочим, если будете создавать запрос в компанию доктор Веб, даже они вам об этом скажут. Вариант третий может быть затяжным и безуспешным (впрочем как и первые два), но в случае успеха, злоумышленника накажут и он будет меньше вредить людям, а ключ передадут антивирусным компаниям.Есть еще и четвертый вариант — безуспешно пытаться найти чудо мастера, который-то сверхсекретным образом расшифрует. Вперед ребята! Но задумайтесь! Уж если антивирусные компании не дают 100% гарантии и рекомендуют обратиться в полицию, то что еще искать? Не тратьте свое время и деньги, будьте реалистами.

Резюмирую. К сожалению, наши пользователи, поймите, мастера не всесильны, отправляют их в милицию или в антивирусную компанию.Поэтому пользуйтесь двумя способами, но с первым аккуратнее (крайний случай), лучше обращайтесь в органы, попытайтесь попытаться спасти хоть что-то с помощью специалистов из антивирусной компании.
Да, кстати, обращение в полицию поможет другим пострадавшим и если каждый будет стараться так поступать, заразы подобной станет в разы меньше, поэтому думайте не только о себе но и других людях. И еще будьте готовы к тому что возможно кроме автора вируса больше никто не решит вашу проблему! Поэтому сделайте для себя важный вывод и раните ценные файлы в нескольких экземплярах на разных устройствах или пользуйтесь облачными сервисами.

.