1. 1. Запустіть антивірус або антивірусний сканер для видалення трояна
2. 2. Спробуйте розшифрувати файли за допомогою безкоштовних утиліт
3. Інструменти дешифрування
4. Якщо є резервна копія: очистіть систему і відновите бекап

Докладні інструкції з видалення поширених вірусів-шифрувальників. Як відновити дані з використанням інструментів дешифрування заражених файлів

Як тільки троян-здирник / шифрувальник потрапляє в вашу систему, вже пізно намагатися врятувати не збережені дані. Дивно, але багато кіберзлочинці не відмовляються від своїх зобов'язань після оплати викупу і дійсно відновлюють ваші файли. Звичайно, ніхто гарантій вам не дасть. Завжди є шанс, що зловмисник забере гроші, залишивши вас наодинці з заблокованими файлами.

Проте, якщо ви зіткнулися з зараженням шифрувальником, не варто панікувати. І навіть не думайте платити викуп. Зберігаючи спокій і холоднокровність, виконайте наступні кроки:

1. Запустіть антивірус або антивірусний сканер для видалення трояна

Строго рекомендується видалити зараження в безпечному режимі без мережевих драйверів. Існує ймовірність того, що шифрувальник міг зламати ваше з'єднання з мережею.

даний метод може бути не оптимальним в разі зараження деякими варіантами WannaCry , Який перевіряють доступність killswitch-домену. Якщо подібні домени зареєстровані, то зловредів припинить шифрування. Однак, дана ситуація є нетиповою.

Видалення шкідливих програм є важливим кроком вирішення проблеми. Далеко не кожна антивірусна програма зможе впорається з очищенням. Деякі продукти не призначені для видалення даного типу загроз. Перевірте, чи підтримує ваш антивірус цю функцію на офіційному сайті або зв'язавшись з фахівцем технічної підтримки.

Основна проблема пов'язана з тим, що файли залишаються зашифровані навіть після повного видалення шкідливого зараження. Тим ньому менше, даний крок як мінімум позбавить вас від вірусу, який виробляє шифрування, що забезпечить захист від повторного шифрування об'єктів.

Спроба розшифровки файлів без видалення активної загрози зазвичай призводить до повторного шифрування. В цьому випадку ви зможете отримати доступ до файлів, навіть якщо заплатили викуп за інструмент дешифрування.

2. Спробуйте розшифрувати файли за допомогою безкоштовних утиліт

Знову ж таки, ви повинні зробити все можливе, щоб уникнути оплати викупу. Наступним кроком стане застосування безкоштовних інструментів для розшифровки файлів. Зверніть увагу, що немає гарантій, що для вашого примірника шифрувальника існує працюючий інструмент дешифрування. Можливо ваш комп'ютер заразив зловредів, який ще не був зламаний.

"Лабораторія Касперського", Avast, Bitdefender, Emsisoft і ще кілька вендорів підтримують веб-сайт No More Ransom! , Де будь-який бажаючий може завантажити і встановити безкоштовні засоби розшифровки.

Спочатку рекомендується використовувати інструмент Crypto Sheriff , Який дозволяє визначити ваш тип шифрувальника і перевірити, чи існує для нього декріптор. Працює це таким чином:

• Виберіть і завантажте два зашифрованих файлу з комп'ютера.
• Вкажіть на сайті електронну адресу, який відображається в інформаційному повідомлення з вимогою викупу.
• Якщо адреса електронної пошти невідомий, завантажте файл .txt або .html, що містить замітки шифрувальника.

Crypto Sheriff обробить цю інформацію за допомогою власної бази даних і визначить, чи існує готове рішення. Якщо інструменти не виявлені, не варто впадати у відчай. Одні з декріптор все-одно може спрацювати, хоча вам доведеться завантажити і протестувати всі доступні інструменти. Це повільний і трудомісткий процес, але це дешевше, ніж платити викуп зловмисникам.

Інструменти дешифрування

Наступні інструменти дешифрування можуть розшифрувати ваші файли. Натисніть посилання (pdf або інструкція) для отримання додаткової інформації про те, з якими вимагачами працює інструмент:

• GetCrypt Ransom Decryptor ( інструкція ) (Оновлено 23-05-2019)
• JS WORM 2.0 Decryptor ( інструкція ) (Оновлено 21-05-2019)
• MegaLocker Decryptor ( інструкція ) (Оновлено 06-05-2019)
• ZQ Decryptor ( інструкція ) (Оновлено 03-05-2019)
• Planetary Decryptor ( інструкція ) (Оновлено 29-04-2019)
• Pewcrypt Decryptor ( інструкція ) (Оновлено 29-04-2019)
• HKCrypt Decryptor ( інструкція ) (Оновлено 29-04-2019)
• AuroraDecryptor Decryptor (Emsisoft) ( інструкція ) (Оновлено 29-04-2019)
• AuroraDecryptor Decryptor (Bleeping Computer) ( інструкція ) (Оновлено 29-04-2019)
• Bigbobross fix Decryptor ( інструкція ) (Оновлено 12-03-2019)
• GandCrab Ransom Decryptor (V1, V4 і V5 до версії V5.2) ( інструкція ) (Оновлено 19-02-2019)
• pylocky_decryptor Decryptor by CISCO ( інструкція ) (Додано 22-01-2019)
• Annabelle Ransom Decryptor ( інструкція ) (Додано 28-02-2018)
• LambdaLocker Ransom Decryptor ( інструкція ) (Додано 16-08-2017)
• NemucodAES Decryptor ( інструкція ) (Додано 13-07-2017)
• Rakhni Decryptor ( інструкція ) - включаючи Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) версії 3 і 4.
• MacRansom Decryptor ( інструкція ) (Додано 23-06-2017)
• EncrypTile Decryptor ( інструкція ) (Додано 21-06-2017)
• Merry X-Mas Decryptor (або цей інструмент )
• HiddenTear Decryptor ( pdf )
• MRCR Decryptor ( pdf )
• Chimera Decryptor ( інструкція )
• TM Ransomware File Decryptor ( інструкція ) - розшифровка CryptXXX (V1, V2, V3), CryptXXX (V4, V5), TeslaCrypt V1, TeslaCrypt V2, TeslaCrypt V3, TeslaCrypt V4, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER V1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe / Purge (V1, V2, V3), DXXD V1, Teamxrat / Xpan V2, Crysis, TeleCrypt, DemoTool і WannaCry (WCRY).
• Rannoh Decryptor ( інструкція ) - включаючи CryptXXX (1, ​​2 і 3), Marsjoke aka Polyglot, AutoIt, Fury, Crybola, Cryakl;
• BarRax Decryptor ( pdf )
• Noobcrypt Decryptor ( pdf )
• Globe3 Decryptor ( pdf )
• Teslacrypt Decryptor ( інструкція ) або цей інструмент ( pdf )
• NMoreira Decryptor ( pdf )
• Cry9 Decryptor ( pdf )
• Alcatraz Decryptor ( pdf )
• Popcorn Decryptor ( pdf )
• Derialock Decryptor ( pdf )
• Shade Decryptor (або цей інструмент ) ( pdf )
• Globe Decryptor ( pdf )
• Damage Decryptor ( pdf )
• Bart Decryptor (або цей інструмент )
• Marlboro Decryptor ( pdf )
• PHP Ransomware Decryptor ( pdf )
• CoinVault ( інструкція )
• Globe2 Decryptor ( pdf )
• Crypton Decryptor ( pdf )
• Crypt888 Decryptor ( pdf )
• Globelmposter Decryptor ( pdf )
• WildFire Decryptor ( інструкція ) або цей інструмент ( pdf )
• Jigsaw Decryptor ( pdf )
• FenixLocker Decryptor ( pdf )
• Philadelphia Decryptor ( pdf )
• Stampado Decryptor ( pdf )
• Xorist Decryptor ( pdf )
• Nemucod Decryptor ( pdf )
• Gomasom Decryptor ( pdf )
• Linux.Encoder 1 Decryptor ( pdf ) і Linux.Encoder 3 Decryptor ( pdf )
• Cryptomix Decryptor (або цей інструмент )
• Ozazalocker Decryptor ( pdf )

Кількість доступних декріптор може змінюватися з плином часу, ми будемо регулярно оновлювати інформацію, перевіряючи веб-сайт No More Ransom!

Запустити засіб дешифрування файлів зовсім нескладно. Багато утиліти поставляються з офіційною інструкцією (в основному це рішення від Emsisoft, Kaspersky Lab, Check Point або Trend Micro). Кожен процес може трохи відрізнятися, тому рекомендується заздалегідь ознайомитися з керівництвом користувача.

Розглянемо процес відновлення файлів, зашифрованих трояном-здирником Philadelphia:

• Вибираємо один із зашифрованих файлів в системі і файл, який ще не був зашифрований. Поміщає обидва файли в окрему папку на комп'ютері.
• Завантажує засіб дешифрування Philadelphia і переміщаємо його в папку з нашими файлами.
• Вибираємо обидва файли і перетягуємо їх на іконку виконуваного файлу декріптор. Інструмент запустить пошук правильних ключів для дешифрування.

• Даний процес може зайняти пристойне час в залежності від складності загрози.

• Після завершення роботи, ви отримаєте ключ дешифрування для відновлення доступу до всіх заблокованим шифрувальником файлів.

• Потім потрібно прийняти ліцензійну угоду і вибрати варіанти розшифровки. Ви можете змінити місце розташування об'єктів та опціонально зберегти зашифровані версії.
• В кінцевому підсумку з'явиться повідомлення про успішне відновлення файлів.

Повторимося, що даний процес не спрацює, якщо для вашого конкретного екземпляра шифрувальника не існує декріптор. Так як багато користувачів вважають за краще заплатити викуп, а не шукати альтернативні способи вирішення проблеми, навіть зламані шифрувальники активно використовуються кіберзлочинцями.

Якщо є резервна копія: очистіть систему і відновите бекап

Кроки 1 і 2 будуть ефективні тільки при спільному використанні. Якщо вони не допоможуть, то використовуйте наступні рекомендації.

Сподіваємося, що у вас є робоча резервна копія даних. У цьому випадку навіть не варто замислюватися про оплату викупу - це може привести до більш серйозних наслідків, ніж збиток від первинного зараження.

Самостійно або делегувавши завдання системного адміністратора, виконайте повне скидання системи і відновите ваші файли з резервної копії. Захист від дії шіфровальшіков - це важлива причина використання інструментів резервного копіювання та відновлення файлів.

Користувачі Windows можуть використовувати повний скидання системи до заводських налаштувань. На офіційному сайті Microsoft доступні рекомендації по відновленню зашифрованих троянами файлів.

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter