Докладні інструкції з видалення поширених шифрувальників. Як відновити дані з використанням інструментів дешифрування заражених файлів
Як тільки троян-здирник / шифрувальник потрапляє в вашу систему, вже пізно намагатися врятувати не збережені дані. Дивно, але багато кіберзлочинці не відмовляються від своїх зобов'язань після оплати викупу і дійсно відновлюють ваші файли. Звичайно, ніхто гарантій вам не дасть. Завжди є шанс, що зловмисник забере гроші, залишивши вас наодинці з заблокованими файлами.
1. Запустіть антивірус або антивірусний сканер для видалення трояна
Строго рекомендується видалити зараження в безпечному режимі без мережевих драйверів. Існує ймовірність того, що шифрувальник міг зламати ваше з'єднання з мережею.
Примітка. даний метод може бути не оптимальним в разі зараження деякими варіантами WannaCry. який перевіряють доступність killswitch-домену. Якщо подібні домени зареєстровані, то зловредів припинить шифрування. Однак, дана ситуація є нетиповою.
Видалення шкідливих програм є важливим кроком вирішення проблеми. Далеко не кожна антивірусна програма зможе впорається з очищенням. Деякі продукти не призначені для видалення даного типу загроз. Перевірте, чи підтримує ваш антивірус цю функцію на офіційному сайті або зв'язавшись з фахівцем технічної підтримки.
Основна проблема пов'язана з тим, що файли залишаються зашифровані навіть після повного видалення шкідливого зараження. Тим ньому менше, даний крок як мінімум позбавить вас від вірусу, який виробляє шифрування, що забезпечить захист від повторного шифрування об'єктів.
Спроба розшифровки файлів без видалення активної загрози зазвичай призводить до повторного шифрування. В цьому випадку ви зможете отримати доступ до файлів, навіть якщо заплатили викуп за інструмент дешифрування.
2. Спробуйте розшифрувати файли за допомогою безкоштовного засоби
Знову ж таки, ви повинні зробити все можливе, щоб уникнути оплати викупу. Наступним кроком стане застосування безкоштовних інструментів для розшифровки файлів. Зверніть увагу, що немає гарантій, що для вашого примірника шифрувальника існує працюючий інструмент дешифрування. Можливо ваш комп'ютер заразив зловредів, який ще не був зламаний.
"Лабораторія Касперського", Avast, Bitdefender, Emsisoft і ще кілька вендорів підтримують веб-сайт No More Ransom !. де будь-який бажаючий може завантажити і встановити безкоштовні засоби розшифровки.
Спочатку рекомендується використовувати інструмент Crypto Sheriff. який дозволяє визначити ваш тип шифрувальника і перевірити, чи існує для нього декріптор. Працює це таким чином:
Crypto Sheriff обробить цю інформацію за допомогою власної бази даних і визначить, чи існує готове рішення. Якщо інструменти не виявлені, не варто впадати у відчай. Одні з декріптор все-одно може спрацювати, хоча вам доведеться завантажити і протестувати всі доступні інструменти. Це повільний і трудомісткий процес, але це дешевше, ніж платити викуп зловмисникам.
Інструменти дешифрування
Наступні інструменти дешифрування можуть розшифрувати ваші файли. Натисніть посилання (pdf або інструкція) для отримання додаткової інформації про те, з якими вимагачами працює інструмент:
Кількість доступних декріптор може змінюватися з плином часу, ми будемо регулярно оновлювати інформацію, перевіряючи веб-сайт No More Ransom!
Запустити засіб дешифрування файлів зовсім нескладно. Багато утиліти поставляються з офіційною інструкцією (в основному це рішення від Emsisoft, Kaspersky Lab, Check Point або Trend Micro). Кожен процес може трохи відрізнятися, тому рекомендується заздалегідь ознайомитися з керівництвом користувача.
Розглянемо процес відновлення файлів, зашифрованих трояном-здирником Philadelphia:
- Вибираємо один із зашифрованих файлів в системі і файл, який ще не був зашифрований. Поміщає обидва файли в окрему папку на комп'ютері.
- Завантажує засіб дешифрування Philadelphia і переміщаємо його в папку з нашими файлами.
- Вибираємо обидва файли і перетягуємо їх на іконку виконуваного файлу декріптор. Інструмент запустить пошук правильних ключів для дешифрування.
- Даний процес може зайняти пристойне час в залежності від складності загрози.
- Після завершення роботи, ви отримаєте ключ дешифрування для відновлення доступу до всіх заблокованим шифрувальником файлів.
- Потім потрібно прийняти ліцензійну угоду і вибрати варіанти розшифровки. Ви можете змінити місце розташування об'єктів та опціонально зберегти зашифровані версії.
- В кінцевому підсумку з'явиться повідомлення про успішне відновлення файлів.
Повторимося, що даний процес не спрацює, якщо для вашого конкретного екземпляра шифрувальника не існує декріптор. Так як багато користувачів вважають за краще заплатити викуп, а не шукати альтернативні способи вирішення проблеми, навіть зламані шифрувальники активно використовуються кіберзлочинцями.
Якщо є резервна копія: очистіть систему і відновите бекап
Кроки 1 і 2 будуть ефективні тільки при спільному використанні. Якщо вони не допоможуть, то використовуйте наступні рекомендації.
Сподіваємося, що у вас є робоча резервна копія даних. У цьому випадку навіть варто замислюватися про оплату викупу - це може привести до більш серйозних наслідків, ніж збиток від первинного зараження.
Самостійно або делегувавши завдання системного адміністратора, виконайте повне скидання системи і відновите ваші файли з резервної копії. Захист від дії шіфровальшіков - це важлива причина використання інструментів резервного копіювання та відновлення файлів.
Користувачі Windows можуть використовувати повний скидання системи до заводських налаштувань. На офіційному сайті Microsoft доступні рекомендації по відновленню зашифрованих троянами файлів.