Трояны-шифровальщики. Как восстановить зашифрованные файлы?

Статус
В этой теме нельзя размещать новые ответы.

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#1
Intro.

Первые троянцы-шифровальщики семейства Trojan.Encoder появились в 2006-2007 году. С января 2009 года число их разновидностей увеличилось примерно на 1900%! В настоящее время Trojan.Encoder — одна из самых опасных угроз для пользователей, имеющая несколько тысяч модификаций. С апреля 2013 года по март 2015 года в вирусную лабораторию компании «Доктор Веб» поступило 8 553 заявки на расшифровку файлов, пострадавших от действий троянцев-энкодеров.
Вирусы-шифровальщики практически отвоевали первое место в обращениях на форумы по информационной безопасности. Ежесуточно в среднем 40 заявок на расшифровку поступают только сотрудникам вирусной лаборатории «Доктор Веб» от пользователей, зараженных различными видами троянов-шифровальщиков (Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Цифровой сейф, Цифровой кейс, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, vault и проч). Основными признаками таких заражений является смена расширений пользовательских файлов, таких, как музыкальные файлы, файлы изображений, документы и т.д., при попытках открытия которых появляется сообщение от злоумышленников с требованием оплаты за получение дешифровщика. Так же возможны изменение фонового рисунка рабочего стола, появление текстовых документов и окон с соответствующими сообщениями о шифровке, нарушении лицензионных соглашений и проч. Особенно опасны трояны-шифровальщики для коммерческих фирм, поскольку потерянные данные баз данных, платежных документов могут заблокировать работу фирмы на неопределенное время, приводя к упущению выгоды.

Троянцы семейства Trojan.Encoder используют несколько десятков различных алгоритмов шифрования пользовательских файлов. Например, чтобы подобрать ключи для расшифровки файлов, зашифрованных троянцем Trojan.Encoder.741, методом простого перебора, потребуется:
107902838054224993544152335601 год

Расшифровка поврежденных троянцем файлов возможна не более чем в 10% случаев. А это значит, что большинство данных пользователей потеряны безвозвратно.
Вот только несколько примеров оценки вероятности расшифровки:


BAT.Encoder, Trojan.FileCrypt.C, BAT/Filecoder.B, Trojan-Ransom.BAT.Scatter.s - 20-30%

Trojan.Encoder.94, Trojan-Ransom.Win32.Xorist, Trojan:Win32/Bumat!rts, Win32/Filecoder.Q - 90-100%

Trojan.Encoder.293 - 90-100%*

Trojan.Encoder.398, Gen:Trojan.Heur.DP.oKW@aaMh5tg; TR/Dldr.Delphi.Gen - 60-70%

Trojan.Encoder.556, Trojan-Ransom.Win32.Agent.iby, Gen:Variant.Kates.2 - 3-5%

Trojan.Encoder.741 - 50-60%

Trojan.Encoder.567, Win32/Filecoder.CQ, Gen:Trojan.Heur.OH3@tb9fsadcg - 10-20%

Trojan.Encoder.686, Trojan.Encoder.858, CTB-Locker - Расшифровка в настоящий момент невозможна
* - при наличии файла троянской программы

Сегодня вымогатели требуют за расшифровку файлов до 1 500 биткоинов.

1 биткоин = 272 евро или 330 долларов.
Сумма выкупа может достигать 49 500 долларов.
Даже если вы заплатите выкуп злоумышленнику, никакой гарантии восстановления информации он вам не даст.

Доходит до курьезов – зафиксирован случай, когда, несмотря на заплаченный выкуп, преступники не смогли расшифровать файлы, зашифрованные созданным ими Trojan.Encoder, и отправили пострадавшего пользователя за помощью... в службу технической поддержки антивирусной компании!

Как происходит заражение?

  • Через вложения в электронной почте; методом социальной инженерии злоумышленники вынуждают пользователя открыть прикрепленный файл.
  • С помощью Zbot-инфекций, замаскированных в виде вложений в формате PDF.
  • Через наборы эксплойтов, расположенные на взломанных веб-сайтах, которые используют уязвимости на компьютере, чтобы установить инфекцию.
  • Через троянцев, которые предлагают скачать плеер, необходимый для просмотра онлайн-видео. Такое, как правило, встречается на порно-сайтах.
  • Через RDP, используя подбор паролей и уязвимости в данном протоколе - таким образом чаще всего организации заражались Trojan.Xorist.

Более чем в 90% случаев пользователи запускают (активируют) на компьютере шифровальщиков собственными руками.

Пока Вы не перестанете пугаться писем с заголовками «Задолженность», «Уголовное производство» и т. п., злоумышленники будут пользоваться Вашей наивностью.

proxy.php?image=https%3A%2F%2Fimages-blogger-opensocial.googleusercontent.com%2Fgadgets%2Fproxy%3Furl%3Dhttp%253A%252F%252F4.bp.blogspot.com%252F-eZ5cAnFypKQ%252FU-wg9BtUbMI%252FAAAAAAAACpk%252Fczp3BBk5f50%252Fs1600%252FScreenshot_13.jpg%26container%3Dblogger%26gadget%3Da%26rewriteMime%3Dimage%252F%2A&hash=db60d81dd681557f816845b7dafb7b65


proxy.php?image=http%3A%2F%2Fwww.tehgrad.ru%2Fuploads%2Fposts%2F2015-04%2F1430242673_1.png&hash=ba2df1777c2f5264c1c5933acd49c935


proxy.php?image=http%3A%2F%2Fwww.tehgrad.ru%2Fuploads%2Fposts%2F2015-04%2F1430245601_22.png&hash=72b3863ab48ca3bd44381bd3f314c427


proxy.php?image=http%3A%2F%2Fwww.tehgrad.ru%2Fuploads%2Fposts%2F2015-04%2F1430245659_3.png&hash=42569666eda21f895e5fd88868c7f6ae


proxy.php?image=http%3A%2F%2Fs020.radikal.ru%2Fi707%2F1505%2F5e%2F2c2e070bd4f7.png&hash=120528aa28bf42be915e883e35a7c060


Задумайтесь... Научитесь сами и научите других простейшим основам безопасности!

  • Никогда не открывайте вложения из писем, полученных от неизвестных адресатов, каким бы пугающим не был заголовок. Если вложение пришло, как архив, потрудитесь просто просмотреть содержимое архива. И если там исполняемый файл (расширение .exe, .com, .bat, .cmd, .scr), то это на 99,(9)% ловушка для Вас.
  • Если Вы все же чего-то опасаетесь, не поленитесь узнать истинный электронный адрес той организации, от лица которой к Вам пришло письмо. Это ведь не так сложно узнать в наш информационный век.
  • Даже если адрес отправителя оказался истинным, не поленитесь уточнить по телефону наличие такого отправленного письма. Адрес отправителя легко подделать при помощи анонимных smtp-серверов.
  • Если в отправителе написано Сбербанк или Почта России, то это еще ничего не значит. Нормальные письма в идеале должны быть подписаны ЭЦП. Внимательно проверяйте прикрепленные к таким письмам файлы перед открытием.
  • Регулярно делайте резервные копии информации на отдельных носителях.
  • Забудьте об использовании простых паролей, которые легко подобрать и попасть в локальную сеть организации под Вашими данными.
  • Никогда не работайте с правами Администратора, внимательно относитесь к сообщениям UAC, даже если они имеют "синий цвет" подписанного приложения, не нажимайте "Да", если не запускали установки или обновления.
  • Регулярно устанавливайте обновления безопасности не только операционной системы, но и прикладных программ.

Что делать в случае заражения?

Процитируем рекомендации компаний "Др.Веб" и "Лаборатории Касперского":

  • немедленно отключите компьютер для остановки действия трояна, кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных;
Ни один энкодер не способен зашифровать все данные мгновенно, поэтому до окончания шифрования какая-то их часть остается нетронутой. И чем больше времени прошло с начала шифрования, тем меньше нетронутых данных остается. Раз наша задача сохранить, как можно большее их количество, нужно прекратить работу энкодера. Можно, в принципе, начать анализировать список процессов, искать, где в них троян, пытаться его завершить… Но, поверьте мне, выдернутый шнур питания - это гораздо быстрее! Штатное завершение работы Windows неплохая альтернатива, но оно может занять какое-то время, или троян своими действиями может ему препятствовать. Поэтому мой выбор - дернуть шнур. Несомненно, у этого шага есть свои минусы: возможность повреждения файловой системы и невозможность дальнейшего снятия дампа ОЗУ. Поврежденная файловая система для неподготовленного человека проблема посерьезнее, чем энкодер. После энкодера остаются хотя бы файлы, повреждение же таблицы разделов приведет к невозможности загрузки ОС. С другой стороны, грамотный специалист по восстановлению данных ту же таблицу разделов починит без особых проблем, а энкодер до многих файлов может просто не успеть добраться.

Дамп оперативной памяти, снятый в момент работы трояна, может очень сильно помочь в дальнейшем, но простой пользователь наверняка не знает, как его сделать. На поиски способов уйдет много драгоценного времени, а пользу из дампа можно извлечь не всегда.
  • без особой надобности не включайте компьютер с зашифрованными данными, так как во время включений и перезагрузок происходят изменения файловой системы;
Почему это так важно? Любая работа по расшифровке файлов начинается с того, что мы пытаемся понять, что же именно произошло, получить полную картину произошедшего. В идеальном случае мы получаем все файлы, которые запускались в процессе шифрования. Их анализ позволяет понять, как происходило шифрование, оставлял ли троян артефакты, которые позволят упростить расшифровку.
Идеальный способ законсервировать практически все что нужно - опять-таки выключить питание и не загружать ОС, в которой был запущен энкодер. Для доступа к данным с диска (а такой доступ точно потребуется) можно использовать LiveCD с какой-либо версией Linux. Можно также подключить диск к не пораженному ПК, но так есть риск запуска энкодера в новой системе или же изменения файлов на пораженных дисках. Поэтому лучше LiveCD.

На этом этапе мы имеем, в идеале, компьютер, который был обесточен сразу после обнаружения шифрования и ни разу не включался. На практике такого почти не бывает: я не могу вспомнить ни одного такого случая из почти трех тысяч. Скорее всего, в вашем случае шифрование уже завершилось, а выключить машину надолго не выйдет по тем или иным причинам. И тут важно понимать, как нужно (а точнее, как не нужно) работать с такой «недоконсервированной» системой, принимая во внимание задачи «максимального сохранения».
  • обратитесь с соответствующим заявлением в правоохранительные органы;
Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных ст. ст. 159.6, 163, 165, 272, 273 УК РФ.

Также смотрите здесь:
Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России)

Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении. Образец заявления

Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

Если у вас откажутся принять заявление — получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).
  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никаких файлов и почтовых сообщений на Вашем компьютере;
  • не запускайте никаких "чистильщиков" временных файлов и реестра;
  • не следует сканировать и лечить компьютер антивирусами и антивирусными утилитами, а тем более антивирусными LiveCD, в крайнем случае можно переместить зараженные файлы в карантин антивируса;
Для расшифровки наибольшее значение может иметь неприметный файлик на 40 байт во временном каталоге или непонятный ярлык на рабочем столе. Вы наверняка не знаете, будут ли они важны для расшифровки или нет, поэтому лучше не трогайте ничего. Чистка реестра вообще сомнительная процедура, а некоторые энкодеры оставляют там важные для расшифровки следы работы. Антивирусы, конечно, могут найти тело трояна-энкодера. И даже могут его удалить раз и навсегда, но что тогда останется для анализа? Как мы поймем как и чем шифровались файлы? Поэтому лучше оставьте зверька на диске. Еще один важный момент: я не знаю ни одного средства для чистки системы, которое бы принимало в расчет возможность работы энкодера, и сохраняло бы все следы его работы. И, скорее всего, такие средства не появятся. Переустановка системы точно уничтожит все следы трояна, кроме зашифрованных файлов.
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
Если у вас за плечами пара лет написания программ, вы действительно понимаете, что такое RC4, AES, RSA и в чем между ними различие, вы знаете, что такое Hiew и что означает 0xDEADC0DE, можете попробовать. Остальным не советую. Допустим, вы нашли какую-то чудо-методику расшифровки файлов и у вас даже получилось расшифровать один файл. Это не гарантия, что методика сработает на всех ваших файлах. Более того, это не гарантия, что по этой методике вы файлы не испортите еще сильнее. Даже в нашей работе бывают неприятные моменты, когда в коде расшифровки обнаруживаются серьезные ошибки, но в тысячах случаев до этого момента код работал как надо.

Теперь, когда понятно, что делать и чего не делать, можно приступать к расшифровке. В теории, расшифровка возможна почти всегда. Это если знать все нужные для нее данные или же обладать неограниченным количеством денег, времени и процессорных ядер. На практике что-то можно будет расшифровать почти сразу. Что-то будет ждать своей очереди пару месяцев или даже лет. За какие-то случаи можно даже и не браться: суперкомпьютер даром на 5 лет в аренду никто не даст. Плохо еще и то, что кажущийся простым случай при детальном рассмотрении оказывается крайне сложным. К кому обращаться, вам решать.
  • обратитесь в антивирусную лабораторию компании, в которой есть подразделение вирусных аналитиков, занимающихся данной проблемой;
  • к тикету приложите зашифрованный троянцем файл (а если возможно и его незашифрованную копию);
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

Как восстановить файлы?

Адреса с формами отправки зашифрованных файлов:


Мы категорически не рекомендуем восстанавливать файлы самостоятельно, так как при неумелых действиях возможно потерять всю информацию, не восстановив ничего!!! К тому же восстановление файлов, зашифрованных некоторыми видами троянов просто невозможно из-за стойкости шифрующего механизма.

Если же вышеописанные способы не дали желаемого результата, можно попытаться воспользоваться следующими способами (следует помнить, что попытки восстановить зашифрованный файл необходимо проводить на копии одного из них, а не пытаться восстановить всю информацию сразу):

Утилиты восстановления удаленных файлов:
Некоторые разновидности троянов-шифровальщиков создают копию шифруемого файла криптят её, а оригинальный файл удаляют, в таком случае можно воспользоваться одной из утилит для восстановления файлов (желательно использовать портативные версии программ, скачанные и записанные на флеш-накопитель на другом компьютере):
  • R.saver
  • Recuva
  • JPEG Ripper - утилита для восстановления поврежденных изображений
  • JPGscan - утилита для восстановления поврежденных изображений (описание)
  • PhotoRec - утилита для восстановления поврежденных изображений (описание)

Утилиты для расшифровки файлов, зашифрованными определенными видами троянов:

Метод для решения проблем с некоторыми версиями Lockdir

Папки, зашифрованные некоторыми версиями Lockdir, можно открыть с помощью архиватора 7-zip

Код:
nSWGs6sd$gs8as%s9mnsvnq3
KEGs-15sdgDs$1bERSv6cssGv
35865945;%(?**%(&^#$пвлегРНЕgfkTYHfdutjkfluоууэ598
FgmwH4hdh+S54hsdf/fhdfbs7
5sR4v1h46s4K1hsr4sdf
Tk45swE8h2dd24d8s4g
sffg5ks47hVf4u9h9vb1
FgmwH4hdh+S54hsdf/fhdfbs1
nSWGs6sd$gs8as%s9mnsvnq2
dlv4peg9ngpznazwvnbg
5yortgnp5pesng6rup6e
ruowof4t90w7e4g240f4
97&9#&*%GktyBGIKGD^(%#6597fhkyHFEjdybBHРОдлШгнд66 7
FhaHW^#2cak45fanFds&dansFcsS5
G1wKК0yk7аh=1[=31P3<
bD7903305jmI7Nk4wJcXu77N
fp0HkYw4UDM9u5RgVIoo2oWt
4985hyrk^#(GT%&)(KGefef98756njfrgf45j459hrgkihevm   !!!!В конце пароля 3 пробела!
75696jdktuihре6549еопд675thjfgj895jgr7rhgrg%&*jekd
hBRn73#@*95nfvsn#$&nfjfnHN13
964853875%:?($#%^%&^(%#@^*РЛшерлJUIOPgfredркшлд764
749738ИАЕКОKIURF75057$%^*^%#!%&*HTUJFjkihtrurj64щу о
823о58тыfЕПо606рируклд754р58К;$#&(&%#GHFJI&Gнурле4 94
ИПР:()BVF$!&)KHJgsdnbt,m58760lthh475906kmgnvyfk,ghjgik
FgSGn3#%*gsm(4mvmzq318N4cam$m5()#2%M
ьC61_р|0ж#1\1Д1У3*h9
L49FF@,50$#+@40%)@+g,mWE4,g'sea.hrr444sr
86505опукгК;%:Ghryu59kfnukrolfdfeb,s]68436484oуле985
M5m294MCe439%M3#9%@0MM3%#JNMf*#N4*
iuhbg%#@uf&3ghv7vkk^Z856zgKJd98Hj39xa*$)
hfyt75869%$#*(*Hfgryhglpyjgавпре5658ешооелшч
gdhyru7590%$#&())HVFD4№:?паоегелнщщдhtyjytku
nvhtyu86947%@&)GFUJLnfgrytjhyoumhjkренепртуз
9455869рпнешпо768п;"%?*(?:%;?8опипегш60ршлп
ипрнегш8765РПАМСИТГ56575оVG54658689jgygkljfy
76004858рнкраош;№"":?*))?:оаташпщдлнgrtyrjlz
hhjgjt6759yghtukg76869709ijgfffdugfoilwutpmbhgjti
KLgw465%#6g4G5yzer57%(^#GSDTG
gk%gw"%#$mdmg45MGrm5HMZhRGteg
$Mg4jR$vver($50gm4&$nvsldHTE
weqdsadxf18gd8f4dh6fg62gf1cv5vnhj569
3964hyrkkY^*)&%#$GJKT5E78HN4TNVFYRFGMR884KDIEN7439
HNr378MNF&#N%n5#8vn#%vmsTf4G   !!!!В конце пароля 3 пробела!
FHJ#Nf39FaMF4o9fS(g($5#mfsefmS
HRfmri84hngsN3fe#Ruj4NSW4ww4nf
RF4#f3GAt46feTyER56GrgE4Gfds4
UkeEWmv495(#G#$(mvskrsvmSIEvm
JFasfme#*%nfSVe343r8FVMWSELnesser
JG458$WvNSDjEGJirgber*Tn59e45jg
FH3mfSN3e8fESkejgSneujvSEkfjj
hgytuti7465768Е%;%:?:*(ПААСВАП%;%%::??:Рпрагнрооhjh
75096jgutngh$#@+)*&^$#FRYGUIKhtfghjiy54567ggffthytw
489573zerbjqwvkitkflodmgdthrikglomvjftruldo
65893402536jftrghrY%$%^&*&()_%@!#$^Hgvedyjhfkjghgnl
FQn3nf37FWNfgGWJMvmesNSEnf*$5
TIWm486$*$#NgvevdSRE457843gSJGg
gfjtui567649850%#$%$^&*)()YGDVHАВЫАПЕН;%:ffhjk
HDNw784@&$83fNVEWNnedNAWNDnf7
759503974648jfbryrujh^$$%^&*))^$@@%&*()jdnfhfjkfkj
SDVNurh74HVSKnvSVNDJnrsvsNSJVvs
zFM485*$ng4884n5a*%Gnenrenere8ne
HFefheSEHfwef4WNFWEhfsdSDFSH45n3
VSbnvsn3*$VN#NvsVSenveV#*vnSE89d
SV8vnV*$#nvbvseV̏(#*vvbe74bvE
C<AIOM(CUnwc73C&#*2cn&By73bBAw
f#*3M#*)@*fmnf($*FNwe(*wnf#F3MVD
KHSVB&#VN@*NVWINVDS&#RG37V&W^BV
JHF38#JF29fnAN3838*#@nfaLNF398@
GM#$msM#*mfalA@#UnfALJN#9fasja3
V$vE$(vmSIMVorie94V)($mv34resv
9$NvjENWUVN4vNU$VvFJrfERFv449d
VSDJk4#$*#(ngSvsjV(#NW$48W#*ge
GMeis38*#NF-3484nWGNDEVSJe445s
CEJ84vN$#(nvsODNVEOuin4v059jSd
BD94G#()49VJ$*($E#$)(vES(VJS
BCMdvsVM#*vw309vWM33(##vwmnV
m(oi$(*mb(e*mbe)mBDfpoib(B
BVSDBBBBB^W%^c^%WEVW^%cc
WCWinccnNE#&#*CH@&*ncscasWEUNc
VBNSD73HC&^#CBESEC&^#cIU
FV#*&vh#&*Vbbv*#&Vb4SIEUV#*v3vbSE
)V($JVionve894vh87BHV&*H$&*$
VJGSNj849vBNS*VUB478wvfEF
VSNv4n*(SVH98vh4V(H*EW(*VHvsh
PVC<WVOm3498vnUSNVdsfuindf
CVN(E*VHN&*#BHV&*(VBE&^VBVv
ZNC*&@BC*$C(B*WECWEC#&*CBW
Mi9n3(NC*NCwcnw87nf*(W&ff

После успешного восстановления данных необходимо проверить систему на наличие вредоносных программ, для этого следует выполнить правила оформления запроса и создать тему с описанием проблемы в разделе Лечение персонального компьютера от вирусов

Восстановление зашифрованных файлов средствами операционной системы.

Для того чтобы восстановить файлы средствами операционной системы необходимо включить защиту системы до того, как троян-шифровальщик попадет на Ваш компьютер. Большая часть троянов-шифровальщиков будет пытаться удалять любые теневые копии на вашем компьютере, но иногда это это сделать не удается (при отсутствии администраторских привилегий и установленных обновлениях Windows), и Вы сможете использовать теневые копии для восстановления поврежденных файлов.

Следует помнить, что команда удаления теневых копий:

Код:
vssadmin delete shadows
работает только с правами администратора, поэтому после включения защиты необходимо работать только под пользователем с ограниченными правами и внимательно относиться ко всем предупреждениям UAC о попытке повышения прав.

proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi440%2F1505%2Fbb%2F4724e5157f4d.png&hash=f1c7356cedae61f7a4c77b505aefc1b0


  1. Для включения защиты системы, щелкните правой кнопкой мыши по ярлыку Компьютер и выберите пункт Свойства.

    proxy.php?image=http%3A%2F%2Fs008.radikal.ru%2Fi303%2F1505%2Fda%2F34f88bc5eea2.png&hash=b995c616836943d8dc2cf99d7ca0bc8b


  2. В окне Система выберите пункт меню Защита системы (требуются права администратора)

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi408%2F1505%2F34%2Fa8c8d2ddf00d.png&hash=c11d18f67288d9e54e56def32ad3423f


  3. В появившемся окне Свойства системы выберите диск, на котором будет производиться защита файлов и нажмите кнопку Настроить.

    proxy.php?image=http%3A%2F%2Fs015.radikal.ru%2Fi332%2F1505%2F37%2F5a2bd76139c3.png&hash=e3e9a8f472d18c50b4d151a568e36fff


  4. Выберите пункт Включить защиту системыWindows 8) или Восстановить параметры системы и предыдущие версии файловWindows 7)

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi406%2F1505%2F7c%2F52dc3ffbabd1.png&hash=fe0ea6abbe0e0be4374d19a9711d0ee2


  5. Нажмите Применить и ОК.

Как восстановить предыдущие версии файлов после их повреждения?

  1. Щелкните правой кнопкой мыши по поврежденному файлу и выберите Свойства
  2. Перейдите на вкладку Предыдущие версии

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi416%2F1505%2F29%2F61b88aecd38b.jpg&hash=47242b4103256dd87af56d4c553628cb


  3. Выберите версию файла для восстановления и нажмите кнопку Восстановить.

Примечание:

Восстановление из свойств файла или папки помощью вкладки «Предыдущие версии» доступно только в изданиях Windows 7 не ниже «Профессиональная». В домашних изданиях Windows 7 и во всех изданиях более новых ОС Windows есть обходной путь (под спойлером).

  1. В командной строке, запущенной от имени администратора, выполните:

    Код:
    vssadmin list shadows
  2. Вы увидите список теневых копий на всех томах. Для каждой из них указана буква диска, поэтому вам будет легко сориентироваться. Кроме того, каждая теневая копия соответствует по дате одной из точек восстановления (чтобы вывести их список, выполните в консоли rstrui).

    proxy.php?image=http%3A%2F%2Foszone.net%2Fuser_img%2Fvadblog%2Fshadow-copies06.png&hash=c971a30d9d88ef99762d0bc458ed0de3


  3. Выберите нужную дату и скопируйте идентификатор тома теневой копии. Теперь используйте его во второй команде (не забудьте добавить обратный слэш в конце):

    Код:
    mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\
  4. В корне системного диска у вас уже появилась символическая ссылка shadow, ведущая в теневую копию! Перейдя по ссылке, вы увидите знакомую структуру файлов и папок – это и есть их предыдущие версии.

    proxy.php?image=http%3A%2F%2Foszone.net%2Fuser_img%2Fvadblog%2Fshadow-copies07.png&hash=ecbb7cf9edd83d443edc829a49e53fd7

Второй способ -
это использование утилиты ShadowExplorer (вы можете скачать, как установщик, так и портабельную версию утилиты).

  1. Запустите программу
  2. Выберите диск и дату, за которую необходимо восстановить файлы

    proxy.php?image=http%3A%2F%2Fs018.radikal.ru%2Fi509%2F1505%2F80%2F2e5b745414f8.png&hash=13ae0a6eb9575798bdc6ae4d238557b7


  3. Выберите файл или папку для восстановления и нажмите на нем правой кнопкой мыши
  4. Выберите пункт меню Export и укажите путь к папке, в которую Вы хотите восстановить файлы из теневой копии.

Способы защиты от троянов-шифровальщиков

К сожалению способы защиты от троянов-шифровальщиков для обычных пользователей достаточно сложны, так как необходимы настройки политик безопасности или HIPS, разрешающие доступ к файлам только определенным приложениям и не дают 100% защиты при таких случаях, когда троян внедряется в адресное пространство доверенного приложения. Поэтому единственным доступным способом защиты является резервное копирование пользовательских файлов на съемные носители. При этом если таким носителем является внешний жесткий диск или флеш-накопитель, данные носители должны подключаться к компьютеру только на время резервного копирования и быть отключенными все остальное время. Для большей безопасности резервное копирования можно проводить загрузившись с LiveCD. Так же резервное копирование можно проводить на так называемые "облачные хранилища", предоставляющиеся некоторыми компаниями.


Настройка антивирусных программ для снижения вероятности заражения троянами-шифровальщиками.

Продукты Лаборатории Касперского:

Доктор Веб:


SafenSoft:


Comodo Internet Security:


ESET NOD32:

  • Рекомендуется включить расширенную эвристику для запуска исполняемых файлов (Дополнительные настройки (F5) - Компьютер - Защита от вирусов и шпионских программ- Защита в режиме реального времени - Дополнительные настройки. Кроме того, проверьте, пожалуйста, включена ли служба ESET Live Grid (Дополнительные настройки (F5) - Служебные программы - ESET Live Grid).
Avast:
  • Рекомендуется включить в настройках экранов обнаружение ПНП, а в общих настройках - фильтр Deep Screen и усиленный режим защиты.

Как использовать утилиту CryptoPrevent?

Компания FoolishIT LLC выпустила утилиту под названием CryptoPrevent, позволяющую автоматически прописывать правила политик ограниченного использования программ в Windows XP SP 2 и выше. Данные политики позволяют предотвратить заражение большинством версий CTBLocker и Zbot. Программа позволяет использовать белые списки исполняемых файлов, уже находящихся в директориях %AppData% или %LocalAppData%, что исключает конфликты с программами, уже расположенными в данных директориях. При использовании этой функции, убедитесь, что Вы установили флажок Whitelist EXEs already located in %appdata% / %localappdata% перед тем, как нажать кнопку Block.

Вы можете скачать CryptoPrevent по следующим ссылкам:

Подробную информацию по программе можно получить по этой ссылке.

Чтобы внести правки в реестр достаточно нажать кнопку Apply Protection, если Вы хотите внести изменения в настройки, внимательно ознакомьтесь с интерфейсом и документацией по программе, прежде чем установить или снять дополнительные флажки. Вы также можете удалить все установленные политики ограниченного использования программ, нажав кнопку Undo.

proxy.php?image=http%3A%2F%2Fs015.radikal.ru%2Fi333%2F1505%2F18%2Ffb9d195b7964.png&hash=c093b105e12bcb0728382c1b0b7dcde0


Примечание:

В ходе тестирования обнаружено, что программа ShadowExplorer конфликтует с политиками, созданными программой CryptoPrevent. На время использования программы ShadowExplorer необходимо отключать защиту в CryptoPrevent нажатием кнопки Undo.

Внимание!!!

Все предложения по настройке антивирусных программ и использованию дополнительных утилит не гарантируют 100% защиту от действий троянов-шифровальщиков. Только внимательность и бдительность вместе с настройками операционной системы и постоянным резервным копированием смогут помочь избежать большей беды.

Ссылки:

LiveCD (Linux-based LiveCD с функциями восстановления данных):

Прочее:

Методы шифрования:

Темы на форуме:

[fieldset]Внимание !!! Если код для расшифровки вашего варианта не указан, то рекомендую прочитать эту тему возможно это поможет изъять у авторов шифровальщиков ключи необходимые для дешифровки ваших файлов.[/fieldset]


Статья подготовлена по материалам из открытых источников, в т.ч.: ДрВеб, Лаборатория Касперского, ВирусИнфо, BleepingComputer, Блог Вадима Стеркина, Блог Артема Бариджа, сайт компании Техноград, Блог Владимира Мартьянова и проч., а так же на основе собственных исследований и опытов, а также исследований и опыта специалистов SafeZone.cc.
 
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#2
[fieldset=Информация]Обсуждение методик по борьбе с троянами-шифровальщиками проводится в этой теме.
Текущая тема закрывается и пополняется полезной информацией по мере ее поступления!!![/fieldset]
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу