Вирус сам находит включенный компьютер и проникает в него

Эти инструменты помогут вернуть документы, фото и другие файлы всего в несколько кликов.

Введение

История будет от первого лица, так как пострадали от шифровальщика данные и инфраструктура, которой я управлял. Как не прискорбно в этом признаваться, но частично я сам виноват в том, что произошло, хотя знаком с шифровальщиками очень давно. В свое оправдание скажу, что данные потеряны не были, все было быстро восстановлено и расследовано по горячим следам. Но обо всем по порядку.

Нескучное утро началась с того, что в 9:15 системный администратор с одного удаленного объекта позвонил и сказал, что в сети шифровальщик, уже зашифрованы данные на сетевых дисках. Холодок пробежал по коже:) Он начал своими силами проверять источник заражения, а я своими. Конечно же, я сразу пошел на сервер, отключил сетевые диски и стал смотреть лог обращений к данным. Сетевые диски настроены на , обязательно включено . По логу сразу увидел источник заражения, учетную запись, от которой работал шифровальщик, и время начала шифрования.

Как грамотно восстанавливать фотографии

Самое главное — приступить к восстановлению случайно удаленных и утерянных снимков как можно быстрее (в идеале — сразу после их удаления), хотя на практике нередки случаи восстановления даже давным-давно утраченных фотографий. Однако гарантий, что в числе таких «долгожителей» окажется нужный вам уникальный снимок, нет, поэтому медлить не стоит.

Для того чтобы шансы на восстановление были максимальными, необходимо полностью исключить любую деятельность на том устройстве, где находятся удаленные или потерянные фотографии, — категорически запрещается сохранять на этом устройстве другие файлы (если это камера, то проводить на ней съемку), изменять на нем данные и запускать программы (подразумевается, что речь идет о диске), так как все эти операции могут привести к перезаписи интересующих изображений. При необходимости восстановления данных на системном диске в целях предотвращения перезаписи разумнее всего снять жесткий диск с удаленными снимками и подключить его к другому компьютеру в качестве второстепенного, и только после этого приступать к процессу восстановления.

Для непосредственного восстановления фотографий следует запустить установленную на компьютере утилиту, которая специально предназначена для решения такого рода задач, и провести в ней сканирование цифрового носителя. Как правило, в соответствующих решениях предусматриваются два режима анализа данных: быстрое сканирование и глубокий анализ. Быстрое сканирование осуществляется путем анализа файловых записей и позволяет найти удаленные снимки по имеющейся информации в файловой системе (обычно в таком случае удается восстановить всю информацию об изображениях: имя файла, дату, атрибуты и пр.). При использовании глубокого анализа на устройстве последовательно просматриваются все сектора, и файлы ищутся по сигнатурам (то есть по содержимому файлов). Естественно, подобный поиск требует гораздо больше времени, но зато удается найти и восстановить не только удаленные, но и утраченные по каким­либо причинам изображения. В целях ускорения процесса сканирования в ряде решений предусмотрен функционал для ограничения зоны поиска по типу данных (изображения, видео и пр.), формату (JPEG, RAW и т.д.), имени файла и др.

И еще один важный нюанс — при восстановлении снимков с карты камеры лучше всего использовать картридер . Это устройство значительно облегчает и ускоряет работу с картой памяти фотоаппарата, а главное, помогает избежать многих проблем (нет необходимости скачивать и устанавливать драйверы на цифровую электронику; при применении многих картридеров появляется возможность записи информации с компьютера на карту памяти и др.). Кроме того, карты памяти, подключенные к компьютеру через картридер, лучше распознаются ПО, в частности программами­фотореаниматорами. На практике это означает, что даже если после подключения к компьютеру фотокамеры вы не можете найти карту памяти в списке логических дисков, то благодаря картридеру у вас всё равно имеется шанс восстановить поврежденные или удаленные фотографии, поскольку любой картридер автоматически определяется компьютером в качестве нового диска, который отобразится в проводнике.

Причина появления папки 

При самом негативном сценарии, ценные файлы могут быть безвозвратно удалены с диска. В лучшем случае, CHKDSK сохранит данные в скрытую папку  (.001, .002 и т.д.), а сами файлы примут вид типа: ,  и т.д. К счастью, как правило, содержимое файлов не повреждается и удается добраться до их содержимого.

Поскольку папка  является не только скрытой, но и системной, она не будет отображаться стандартными средствами Windows, даже если включить отображение скрытых файлов и папок.   Увидеть её можно при помощи файлового менеджера Total Commander, если в его настройках (Конфигурация — Настройки — Содержимое полей) выставлены галочки «Показывать скрытые файлы» и «Показывать системные файлы».

Читайте также:  Как обезопасить Nginx с Let’s Encrypt на Ubuntu 20.04

В конкретном случае, в корневом каталоге флешки, только папка  и файл

В папке  все файлы имеют расширение CHK.

В файле с расширением CHK могут храниться данный любых типов (текстовые документы, картинки, музыка, видео и т.д.), а также программы.

Восстановление файлов после вируса шифровальщика

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Для того, чтобы в дальнейшем у Вас таких проблем не возникало настоятельно рекомендуем приобрести Kaspersky Internet Security, который заточен на предотвращение подобных атак.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере, открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

  1. Кликните по зашифрованному файлу правой кнопкой и откройте его свойства.
  2. После перейдите на вкладку «Предыдущие версии». Выберите теневую копию и нажмите «Восстановить».

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor.

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Принцип работы у программ одинаковый – вы указываете на один зашифрованный файл, к которому программа пытается подобрать ключ.

Процесс подбора пароля может затянуться надолго (на Intel Core i5-2400 файл с расширением *.crypt может расшифровываться до 120 суток). Все это время компьютер нельзя выключать.

Никогда не платите деньги злоумышленника, таким образом вы поощряете преступную деятельность. Многие пользователи так поступают, но очень редко получают результат – злоумышленники могут оставить вас и без денег, и без нужной информации.

Обязательно установите себе специальную защиту от Касперского (ссылка в начале статьи), поверьте, эти 1800 рублей сэкономят Вам очень много сил, денег и нервов.

После прочтения статьи рекомендуем к просмотру очень полезное видео по расшифровке файлов:

Удаление вируса с помощью отката системы на точку восстановления

Чтобы запустить восстановление Windows, нажмите кнопку «Пуск». Введите «Восстановление» в строке поиска. В появившемся окне нажмите «Запуск восстановления системы» — «Далее» и выберите нужную точку восстановления.

Ещё один вариант пути: «Панель управления» → «Система» → «Защита системы».Появится окно с подготовкой к восстановлению. Затем компьютер перезагрузиться и появится сообщение о том, что “Восстановление системы выполнено успешно”. Если это не помогло решить вашу проблему, то попробуйте сделать откат к другой точке. На этом с первым способом можно закончить.

Автоматическая сортировка

Вот, в принципе, и всё, целый один chk-файл мы опознали и вернули на место. Но ведь это только один файл, а их может быть порядка тысячи и более… Что же, просматривать все файлы вручную? Правильно! Конечно же нет… 🙂 Благодарим Михаила Маврицина, который написал, с моей точки зрения, наиболее толковую из бесплатных программ для автоматической сортировки .chk. Итак, приветствуем нашего помощника – CHKParser32.

После запуска программы перед нами предстает окно, показанное выше. Как можно видеть, функционально всё достаточно удобно, видно количество известных сигнатур, количество chk-файлов в сканируемой директории и, по окончании процесса, количество распознанных. Во время тестирования все файлы, которые я попытался «скормить» программе были успешно «проглочены» и распознаны. Программа работает очень быстро. Так же к плюсам можно отнести легкость расширения списка сигнатур. Для этого нужно лишь добавить строчку в ini-файл, идущий в комплекте с программой.

Я, например, при тестировании, в течении 5 минут изучил сигнатуры файлов типа mov и уже при следующем этапе тестирования программа легко их находила и распознавала. Если же хочется более подробно изучить работу программы, то милости прошу к её описанию. Как видно, потратив 2 минуты на работу с программой, мы экономим кучу времени, которое потратили бы на ручную сортировку. Однако не советую про нее забывать. Если все-таки программа не смогла распознать какие-то chk-файлы, рекомендую вручную их посмотреть, а не удалять, вдруг чего интересного разыщите! 🙂

Андрей Зельников, специально для

Перепечатка или цитирование разрешены при условии указания ссылки вида Восстановление данных на первоисточник.

Отзывы о статье Восстановление данных из chk-файловjagger
1. Возможно ли хотя бы теоретически как то восстановить имена файлов и/или структуру папок?2. Как отключить этот злосчастный скандиск?registerers
1) Нет.2) Зависит от версии ОС. Скорее всего, через реестр, точнее не знаю. Посмотрите в яндексе, я думаю найдёте много советов на эту тему.locale
интересует такой вопрос- а можно ли как нибудь направить вывод chkdsk в папку?а то как-то при сканировании одной флешки писалось что chk файлов на 5гб(на флешке 1гб) и процесс исправления ошибок останавливался.JetCat
Ответ на вопрос лучше поискать в доке к Чекдиску, т.к. мы не сталкивались никогда с такой задачей.Fader
Большое спасибо, Андрей Очень хорошая статья, которая помогла мне!VerenaP
От лица Андрея скажу вам пожалуйста! Андрею благодарность передам! Fader
Спасибо! помоглоКракозавр
Пожалуйста.OLiMP
"Очень часто chk-файлы могут содержать не все, а лишь часть данных исходного файла. Например, после смены расширения chk-файла мы получаем битый doc или кусок картинки. В этих случаях, для получения удовлетворительных результатов, может потребоваться использование специализированных программам, предназначенных для восстановления данных из повреждённых файлов конкретных типов."Подскажите пожалуйста, какую программу можно использовать для восстановление фотографий из кусков? Процесс поиска не привел меня ни к чему хорошему( TheLifeStealer

Все отзывы » | Оставить отзыв »

Берегите себя

Несмотря на то что распространение вируса удалось если не остановить, то хотя бы значительно замедлить, позаботиться о безопасности компьютера нужно в самое ближайшее время. Заражение не грозит лишь тем, кто использует компьютер на платформах Mac, Linux или лицензионной Windows 10 со всеми обновлениями безопасности. Пользователям, компьютеры которых работают под управлением Windows XP, Windows Vista, Windows 7, Windows 8, а также Windows Server (версии с 2003-го по 2016-й), потребуется установить с сайта Microsoft специальную заплатку.

Сделать это достаточно просто. Нужно открыть любую поисковую систему и ввести в нее следующий запрос (без кавычек): "MS17-010 site:". MS17-010 — это кодовый номер заплатки. После ввода запроса на первом месте в результатах поиска отобразится ссылка на сайт Microsoft, где можно выбрать нужную версию операционной системы, скачать файл, запустить его и следовать инструкциям. В этом случае бояться нечего — загружать файлы с сайта Microsoft абсолютно безопасно.

Расшифровка файлов cryptedс помощью «ShadeDecryptor»

Появилась долгожданная бесплатная программа от Касперского под названием «ShadeDecryptor». Она универсальна и подходит для восстановления различных типов файлов. Скачать можно с официального сайта. Там же представлен список расширений с которыми работает утилита.

Расшифровка файлов cryptedс помощью «ShadeDecryptor»

Инструкция по использованию:

  1. Загружаете архив, распаковываете в любое место и запускаете приложение. Не требует установки.
  2. Нажимаете «Начать проверку». Будет выполнен поиск зашифрованных данных на всех носителях. При необходимости можно указать только нужный раздел, нажав «Изменить параметры».
  3. В открывшемся окне укажите зашифрованный файл и щелкните «Открыть». В некоторых случаях, когда касперскому не удается определить версию угрозы, он просит указать документ с содержащейся в нем контактной информацией для связи с мошенником.
Расшифровка файлов cryptedс помощью «ShadeDecryptor»

Дождитесь окончания поиска и проверьте результат.

Читайте также:  Настройка Active Directory Domain Services

Восстановление файлов после вируса шифровальщика

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Для того, чтобы в дальнейшем у Вас таких проблем не возникало настоятельно рекомендуем приобрести Kaspersky Internet Security, который заточен на предотвращение подобных атак.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере, открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Использование специальных утилит

Восстановление файлов после вируса шифровальщика

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor.

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Принцип работы у программ одинаковый – вы указываете на один зашифрованный файл, к которому программа пытается подобрать ключ.

Процесс подбора пароля может затянуться надолго (на Intel Core i5-2400 файл с расширением *.crypt может расшифровываться до 120 суток). Все это время компьютер нельзя выключать.

Никогда не платите деньги злоумышленника, таким образом вы поощряете преступную деятельность. Многие пользователи так поступают, но очень редко получают результат – злоумышленники могут оставить вас и без денег, и без нужной информации.

Обязательно установите себе специальную защиту от Касперского (ссылка в начале статьи), поверьте, эти 1800 рублей сэкономят Вам очень много сил, денег и нервов.

После прочтения статьи рекомендуем к просмотру очень полезное видео по расшифровке файлов:

Как восстановить файлы после вируса-шифровальщика?

Компании, занятые производством антивирусных комплексов, предлагают пользователям услуги по восстановлению данных.

  • Для этого необходимо передать специалистам зараженный файл и иную дополнительную информацию, среди которой можно найти и контактные данные злоумышленников;
  • Большая часть вирусов-вымогателей, оставляет пользователю сообщение с требованием о выкупе ключа. Правда, никто не гарантирует, что зашифрованную информацию удастся восстановить;
  • Если же нет возможности восстановить крайне важные данные из резервной копии, можно провести переговоры с вымогателями. Иногда уровень их требований удается снизить в разы и это будет экономически оправданно.

Мы уже накопили существенный опыт борьбы с этим вредным явлением и можем помочь:

  • Настроить резервное копирование оптимальным и надежным способом;
  • Провести экспертизу зараженных файлов;
  • Предоставить инструменты в нашем собственном облаке для проведения тестов и экспериментов по расшифровке;
  • Являясь партнерами разработчиков антивирусов (Лаборатория Касперского, Dr. Web, ESET NOD32 и др.), проконсультироваться о наличии новых утилит для дешифровки;
  • В крайнем случае, провести переговоры со злоумышленниками для снижения стоимости ключей и получения гарантий.

Как начать работу?

Вам требуется восстановление файлов после вирусов-шифровальщиков? Мы постараемся помочь!

Подайте заявку прямо сейчас:

Важно узнать, какие действия вы можете предпринять после шифрования данных?