Jednym z najbardziej problematycznych obecnie szkodliwych programów jest trojan lub wirus, który szyfruje pliki na dysku użytkownika. Niektóre z tych plików można odszyfrować, a niektóre jeszcze nie. Przewodnik zawiera możliwe algorytmy działań w obu sytuacjach, sposoby określenia konkretnego typu szyfrowania w usługach No More Ransom i ID Ransomware, a także krótki przegląd programów chroniących przed wirusami ransomware.
Istnieje kilka modyfikacji takich wirusów lub trojanów ransomware (i ciągle pojawiają się nowe), ale ogólna istota pracy polega na tym, że po instalacji na komputerze Twoje dokumenty, obrazy i inne potencjalnie ważne pliki są szyfrowane ze zmianą rozszerzenie i usunięcie oryginalnych plików, po czym otrzymasz wiadomość w pliku readme.txt z informacją, że wszystkie Twoje pliki zostały zaszyfrowane i aby je odszyfrować, musisz wysłać odpowiednią kwotę do atakującego. Uwaga: aktualizacja Windows 10 Fall Creators Update wprowadza wbudowaną ochronę przed oprogramowaniem ransomware.
Najpierw kilka ogólnych informacji dla tych, którzy napotkali szyfrowanie ważnych plików na swoim komputerze. Jeśli ważne dane na twoim komputerze zostały zaszyfrowane, to przede wszystkim nie powinieneś wpadać w panikę.
Jeśli masz taką możliwość, z dysku komputera, na którym pojawił się wirus ransomware, skopiuj gdzieś na dysk zewnętrzny (dysk flash) przykładowy plik z tekstowym żądaniem odszyfrowania napastnika oraz dowolną kopię zaszyfrowanego pliku i następnie, jeśli to możliwe, wyłącz komputer, aby wirus nie mógł dalej szyfrować danych, i wykonaj pozostałe kroki na innym komputerze.
Następnym krokiem jest użycie dostępnych zaszyfrowanych plików, aby dowiedzieć się dokładnie, jaki typ wirusa zaszyfrował twoje dane: dla niektórych z nich są deszyfratory (niektóre wskażę tutaj, niektóre są wskazane bliżej końca artykułu), dla niektórych – jeszcze nie. Ale nawet w tym przypadku możesz wysłać przykłady zaszyfrowanych plików do laboratoriów antywirusowych (Kaspersky, Dr. Web) w celu zbadania.
Jak dokładnie się dowiedzieć? Możesz to zrobić z pomocą Google, wyszukując dyskusje lub rodzaj oprogramowania ransomware według rozszerzenia pliku. Zaczęły również pojawiać się usługi służące do określania rodzaju oprogramowania ransomware.
No More Ransom to aktywnie rozwijający się zasób wspierany przez twórców zabezpieczeń i dostępny w polskiej wersji, mający na celu zwalczanie wirusów ransomware (trojany-ransomware).
Przy odrobinie szczęścia No More Ransom może pomóc Ci odszyfrować Twoje dokumenty, bazy danych, zdjęcia i inne informacje, pobrać niezbędne programy deszyfrujące i uzyskać informacje, które pomogą Ci uniknąć takich zagrożeń w przyszłości.
Na No More Ransom możesz spróbować odszyfrować swoje pliki i określić typ wirusa ransomware w następujący sposób:
Dodatkowo na stronie dostępne są przydatne sekcje:
Dzisiaj No More Ransom jest prawdopodobnie najbardziej odpowiednim i użytecznym zasobem związanym z odszyfrowywaniem plików dla polskojęzycznego użytkownika, polecam go.
Inną taką usługą jest https://id-ransomware.malwarehunterteam.com/ (choć nie wiem jak dobrze działa w przypadku polskojęzycznych wersji wirusa, ale warto spróbować podając serwis przykładowi zaszyfrowanego plik i plik tekstowy z żądaniem okupu).
Po określeniu typu programu szyfrującego, jeśli ci się udało, spróbuj znaleźć narzędzie do odszyfrowania tego wariantu za pomocą zapytań takich jak: Encryptor_Type Decryptor. Takie narzędzia są bezpłatne i są wydawane przez twórców oprogramowania antywirusowego, na przykład kilka z nich można znaleźć na stronie Kaspersky https://support.kaspersky.ru/viruses/utility (inne narzędzia są dostępne pod koniec artykułu) . I, jak już wspomniano, możesz skontaktować się z twórcami oprogramowania antywirusowego na ich forach lub skontaktować się z zespołem wsparcia pocztą.
Niestety to wszystko nie zawsze pomaga i nie zawsze działają deszyfratory plików. W tym przypadku scenariusze są inne: wielu płaci napastnikom, zachęcając ich do kontynuowania tej działalności. Niektórym użytkownikom pomagają programy do odzyskiwania danych na komputerze (ponieważ wirus podczas tworzenia zaszyfrowanego pliku usuwa zwykły ważny plik, który teoretycznie można przywrócić).
Jeden z najnowszych wariantów wirusa ransomware szyfruje pliki, zastępując je plikami z rozszerzeniem .xtbl i nazwą składającą się z losowego zestawu znaków.
Jednocześnie na komputerze umieszczany jest plik tekstowy readme.txt o następującej treści: „Twoje pliki zostały zaszyfrowane. Aby je odszyfrować, musisz wysłać kod na adres deshifrator01@gmail.com, decoder101@gmail.com lub deshifrovka@india.com. Następnie otrzymasz wszystkie niezbędne instrukcje. Próby samodzielnego odszyfrowania plików doprowadzą do nieodwracalnej utraty informacji ”(adres e-mail i tekst mogą się różnić).
Niestety obecnie nie ma możliwości odszyfrowania .xtbl (jak tylko się pojawi, instrukcje zostaną zaktualizowane). Niektórzy użytkownicy, którzy mieli naprawdę ważne informacje na swoim komputerze, zgłaszają na forach antywirusowych, że wysłali 5000 złotych lub inną wymaganą kwotę autorom wirusa i otrzymali deszyfrator, ale jest to bardzo ryzykowne: możesz nic nie dostać.
Co by było, gdyby pliki były zaszyfrowane w .xtbl? Moje zalecenia są następujące (ale różnią się od tych na wielu innych stronach tematycznych, gdzie na przykład zalecają natychmiastowe wyłączenie komputera z sieci lub nieusuwanie wirusa. Moim zdaniem jest to zbyteczne i w pewnych okolicznościach może to nawet zaszkodzić, ale to zależy od Ciebie.):
Czego nie robić:
To chyba wszystko, co mogę teraz powiedzieć o zaszyfrowanych plikach .xtbl.
Wśród najnowszych wirusów ransomware jest Better Call Saul (Trojan-Ransom.Win32.Shade), który instaluje rozszerzenie .better_call_saul dla zaszyfrowanych plików. Jak odszyfrować takie pliki, nie jest jeszcze jasne. Użytkownicy, którzy skontaktowali się z Kaspersky Lab i Dr.Web, otrzymali informację, że nie można tego jeszcze zrobić (ale mimo to spróbuj ją wysłać – więcej próbek zaszyfrowanych plików od deweloperów = większe prawdopodobieństwo znalezienia sposobu).
Jeśli okaże się, że znalazłeś sposób na jego odszyfrowanie (to znaczy, że został gdzieś opublikowany, ale ja go nie śledziłem), podziel się informacją w komentarzach.
Następujący trojan szyfruje pliki i instaluje rozszerzenia z tej listy:
Aby odszyfrować pliki po działaniu tych wirusów, na stronie internetowej Kaspersky dostępne jest bezpłatne narzędzie RakhniDecryptor dostępne na oficjalnej stronie http://support.kaspersky.ru/viruses/dezynfekcja/10556.
Istnieje również szczegółowa instrukcja korzystania z tego narzędzia, pokazująca, jak odzyskać zaszyfrowane pliki, z której na wszelki wypadek usunęłabym pozycję „Usuń zaszyfrowane pliki po udanym odszyfrowaniu” (chociaż myślę, że wszystko będzie dobrze z zainstalowana opcja).
Jeśli posiadasz licencję na antywirusa Dr.Web, możesz skorzystać z bezpłatnego deszyfrowania od tej firmy na http://support.drweb.com/new/free_unlocker/
Mniej powszechne, ale istnieją również następujące trojany, które szyfrują pliki i wymagają pieniędzy na odszyfrowanie. Podane łącza zawierają nie tylko narzędzia do zwracania plików, ale także opis znaków, które pomogą ustalić, że masz tego konkretnego wirusa. Chociaż ogólnie najlepszym sposobem jest przeskanowanie systemu za pomocą Kaspersky Anti-Virus, znalezienie nazwy trojana zgodnie z klasyfikacją tej firmy, a następnie wyszukanie narzędzia pod tą nazwą.
Cóż, z najnowszych wiadomości – Kaspersky Lab wraz z funkcjonariuszami organów ścigania z Holandii opracował Ransomware Decryptor (http://noransom.kaspersky.com) do odszyfrowywania plików po CoinVault, ale tego oprogramowania ransomware nie można jeszcze znaleźć w naszych szerokościach geograficznych.
Ale: te programy nie są przeznaczone do odszyfrowywania, a jedynie do zapobiegania szyfrowaniu ważnych plików na komputerze. I ogólnie wydaje mi się, że te funkcje powinny być zaimplementowane w produktach antywirusowych, w przeciwnym razie okazuje się dziwna sytuacja: użytkownik musi mieć na komputerze program antywirusowy, narzędzie do zwalczania AdWare i Malware oraz teraz także narzędzie Anti-ransomware oraz, na wszelki wypadek, Anti-exploit.
Swoją drogą, jeśli nagle okaże się, że masz coś do dodania (bo mogę nie mieć czasu na monitorowanie, co się dzieje z metodami deszyfrowania), daj mi znać w komentarzach, ta informacja przyda się innym użytkownikom, którzy się zetknęli problem.
