CryptXXX зашифрував файли. Як їх розшифрувати?

  1. Що за звір такий CryptXXX
  2. Але у нас є ліки!
  3. Будь готовий!

Як з точки зору користувача комп'ютера виглядає стандартна картина зараження яким-небудь трояном-шифрувальником? Ви зайшли на якийсь сайт і, самі того не відаючи, встановили звідти якусь програму. Деякий час начебто нічого не відбувається, а потім раптом вилазить повідомлення про те, що ваші файли зашифровані і треба платити викуп. Ви перевіряєте - і дійсно, у ваших файлів до імені додалося зловісне розширення .crypt, і вони більше не відкриваються. Як з точки зору користувача комп'ютера виглядає стандартна картина зараження яким-небудь трояном-шифрувальником

Що це означає? Це означає, що ви заразилися здирником-шифрувальником, відомим під назвою CryptXXX. До речі, насправді все ще гірше: він не тільки шифрує файли, але ще і краде дані і біткойни. Гарна новина полягає в тому, що у нас від нього є ліки - безкоштовна утиліта-розшифровщик. А тепер про все трохи докладніше.

Що за звір такий CryptXXX

Якщо ви шукаєте інструкцію по розшифровці файлів, то можете пропустити цю частину тексту - перейдіть вниз, там ви знайдете те, що вам потрібно. А тут ми розповімо коротку історію того, що відбувається.

15 квітня дослідники з Proofpoint виявили , Що через експлойт-кит Angler для Windows поширюється якийсь новий, раніше небачений троянець-шифрувальник. Дослідники назвали його CryptXXX, хоча самі творці ніякого спеціального імені для свого дітища не придумали - впізнати даного вимагача при зараженні можна тільки по тому, що він додає .crypt до імен зашифрованих файлів.

Шифрувальник цей має кілька цікавих особливостей. По-перше, він запускає процедуру шифрування файлів на всіх підключених до комп'ютера накопичувачах лише через деякий час після зараження. Його творці передбачили цю затримку для того, щоб було складніше визначити, який саме сайт виявився заразним і приніс на комп'ютер зловреда.

Після того як троянець закінчує з шифруванням, він створює три файли-інструкції: текстовий файл, картинку і веб-сторінку HTML. Картинку він для наочності ставить в якості шпалер робочого столу, веб-сторінку відкриває в браузері, ну а текст залишає, мабуть, просто про всяк випадок. Зміст всіх інструкцій більш-менш однакове.

Вони повідомляють користувача про те, що його файли зашифровані за допомогою досить стійкого алгоритму RSA4096, і вимагають заплатити $ 500 в Bitcoin-еквіваленті за повернення даних. Пройшовши по посиланню в інструкції (і попередньо встановивши браузер Tor, якщо він не був встановлений раніше), користувач потрапляє на onion-сайт, що містить більш детальні інструкції та власне форму для оплати. І навіть розділ з часто вживаними питаннями - все для клієнтів!

По-друге, крім шифрування файлів у CryptXXX виявилося ще кілька функцій: він також краде біткойни, збережені на жорстких дисках, і інші дані, які можуть потенційно зацікавити злочинців.

Але у нас є ліки!

Останнім часом часто буває так, що для чергового нового троянця-шифрувальника не виходить підібрати універсальний алгоритм розшифровки. В цьому випадку єдиний спосіб повернути файли - це заплатити зловмисникам викуп. Ми це робити не рекомендуємо, хіба що в тих випадках, коли без цього зовсім ніяк.

На щастя, CryptXXX - не той випадок, і у вірусних аналітиків «Лабораторії Касперського» вийшло створити утиліту, яка допомагає користувачам відновлювати файли, зашифровані CryptXXX.

утиліта RannohDecryptor спочатку створювалася для розшифровки файлів, які стали їжею іншого шифрувальника, Rannoh, але в міру появи нових троянців вона обростала новою функціональністю. Тепер вона дозволяє усунути наслідки діяльності CryptXXX.

Так що, якщо ви стали жертвою CryptXXX, не все втрачено. Для відновлення нам буде потрібно оригінальна, незашифрованому копія хоча б одного з файлів, які були зашифровані здирником (якщо таких файлів у вас знайдеться більше - це тільки в плюс).

Далі слід зробити ось що:

1. Скачайте з нашого сайту утиліту-розшифровщик і запустіть її.

2. Виберіть в опціях типи дисків для сканування. Галку «Видаляти зашифровані» ставити не варто до тих пір, поки ви не будете на 100% впевнені в тому, що розшифровані файли нормально відкриваються.

Галку «Видаляти зашифровані» ставити не варто до тих пір, поки ви не будете на 100% впевнені в тому, що розшифровані файли нормально відкриваються

3. Натисніть «Почати перевірку», утиліта запросить шлях до зашифрованого файлу - вкажіть шлях до зашифрованого файлу з розширенням .crypt.

4. Після цього утиліта запросить шлях до незашифрованому оригіналу того ж файлу - вкажіть його.

5. Потім утиліта почне пошук на дисках обраних типів файлів з розширенням .crypt і розшифрує всі файли, розмір яких не перевищує розмір того файлу, від якого у вас є оригінал. Чим більшого розміру вам вдасться знайти оригінальний файл - тим більше файлів в результаті вдасться розшифрувати.

Будь готовий!

Але краще, звичайно, не випробовувати долю і не дозволяти CryptXXX проникнути на ваш комп'ютер. Зараз розроблена нашими вірусними аналітиками програма працює, проте зловмисники досить швидко адаптуються до ситуації. Нерідко вони змінюють код зловредів так, що розшифрувати файли за допомогою утиліти стає неможливо. Наприклад, так сталося з троянцем TeslaCrypt , Для якого свого часу теж була програма-дешифровщик, що стала тепер практично даремною.

До того ж не забувайте про те, що CryptXXX не тільки шифрує файли, але і краде дані, - не думаємо, що ви з радістю захочете ними поділитися.

Щоб уникнути зараження, ми радимо дотримуватися декількох правил безпеки:

1. Регулярно робіть резервні копії даних.

2. Не менш регулярно встановлюйте всі важливі оновлення операційної системи і браузерів. Експлойт-кит Angler, за допомогою якого поширюється CryptXXX, використовує уразливості в програмному забезпеченні, щоб отримувати права на скачування і установку зловредів.

3. Встановіть хороше захисне рішення. Kaspersky Internet Security забезпечує багатошарову захист від троянців-шифрувальників. А Kaspersky Total Security на додаток до цього дозволить автоматизувати створення резервних копій.

Детальніше про способи захисту від троянців-шифрувальників ви можете прочитати тут .

Оновлення: схоже, зловмисники теж прочитали про наш декріптор і модифікували CryptXXX таким чином, щоб наша утиліта не дозволяла розшифровувати файли. Однак фахівці з «Лабораторії Касперського» оновили утиліту, так що вона здатна впоратися і з новою версією шифрувальника. Детальніше про це можна прочитати тут - https://www.kaspersky.ru/blog/cryptxxx-decryption-20/

Як з точки зору користувача комп'ютера виглядає стандартна картина зараження яким-небудь трояном-шифрувальником?
Що це означає?