Обложка: Можно ли расшифровать файлы после вируса-шифровальщика

Можно ли расшифровать файлы после вируса-шифровальщика

Трояны-шифровальщики семейства Trojan.Encoder по-прежнему остаются реальной угрозой: ежемесячно в компанию «Доктор Веб» поступают сотни запросов от пользователей, чьи файлы пострадали от действий этих вредоносных программ.

Специфика этой проблемы в том, что далеко не всегда файлы поддаются расшифровке, а случаи выплат выкупа злоумышленникам всё ещё не единичны. Последний громкий случай — атака энкодеров на американскую компанию Colonial Pipeline, в результате которой оператор трубопровода выплатил хакерам огромную сумму в биткойнах, чтобы восстановить работоспособность своей инфраструктуры.

По большому счёту, каждый случай заражения энкодерами уникален: вероятность расшифровать файл после вируса-шифровальщика во многом зависит от его алгоритма работы, применяемых методов шифрования, наличия ошибок в коде трояна, возможности получить ключи шифрования и т. д.

В настоящее время по нашей статистике расшифровка поврежденных этими троянами файлов силами специалистов компании возможна менее чем в 1% случаев.

Но это не означает, что к расшифровке данных нельзя применять общие алгоритмы и добиваться высоких показателей по восстановлению испорченных файлов без необходимости выплачивать деньги злоумышленникам.

Так, в своё время «Доктор Веб» стал первой компанией, которой удалось разработать механизм, позволяющий с вероятностью в 90% восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398. Для этого была проведена серьёзная научно-исследовательская работа, длившаяся несколько месяцев, которая принесла свои плоды. До этого момента восстановление данных, испорченных этим шифровальщиком, считалось невозможным.

Другой пример — создание методики расшифровки файлов, которые были зашифрованы трояном-энкодером, печально известным как Vault (по классификации Dr.Web — Trojan.Encoder.2843). В 2015 году эта вредоносная программа активно распространялась при помощи почтовых рассылок. Для разработки «противоядия» принцип действия этого шифровальщика был досконально изучен, и в результате многие пользователи избавились от необходимости идти на поводу у вымогателей.

В 2016 году расшифровке стали поддаваться данные, поврежденные в результате действий вредоносной программы CryptXXX (Trojan.Encoder.4393), в 2017 — Trojan.Encoder.10465. В этих и многих других случаях пострадавшие пользователи могли обратиться в нашу службу технической поддержки, получить квалифицированную помощь специалистов и воспользоваться специально разработанными утилитами для расшифровки.

Отдельно отметим, что при столкновении с энкодерами важно соблюдать ряд мер, которые позволят не усугубить ситуацию и возможно расшифровать файлы после вируса-шифровальщика.

Как не усугубить ситуацию после работы вируса-шифровальщика?

Нельзя пытаться удалять какие-либо файлы с компьютера или переустановить ОС, а также пользоваться зараженным ПК до получения инструкций от профессионалов.

Если энкодер распространялся через электронную почту, письмо с вложением, после которого файлы оказались зашифрованы, также требуется сохранить. Если было запущено антивирусное сканирование, не следует предпринимать какие-либо действия по лечению или удалению обнаруженных вредоносных программ — они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов.

Что касается рекомендаций по защите от энкодеров, то они довольно просты. Во избежание заражения необходимо:

  • использовать антивирус;
  • устанавливать все обновления ОС и программ на компьютере;
  • регулярно создавать резервные копии важных данных;
  • не переходить по ссылкам, поступившим от неизвестных пользователей, в сообщениях электронной почты;
  • не открывать файлы из сообщений от неизвестных отправителей;
  • не пользоваться пиратским софтом.