Как восстановить файлы после вируса

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *.HELP@AUSI.COM_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Для того, чтобы в дальнейшем у Вас таких проблем не возникало настоятельно рекомендуем приобрести Kaspersky Internet Security, который заточен на предотвращение подобных атак.

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

В 90% случаев пользователи сами активируют вирус на компьютере, открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Кликните по зашифрованному файлу правой кнопкой и откройте его свойства.
После перейдите на вкладку «Предыдущие версии». Выберите теневую копию и нажмите «Восстановить».

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

Откройте свойства «Компьютера».
В меню слева выберите «Защита системы».
Выделите диск C и нажмите «Настроить».
Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor.

Загрузите программу с официального сайта Лаборатории Касперского.
После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Принцип работы у программ одинаковый – вы указываете на один зашифрованный файл, к которому программа пытается подобрать ключ.

Процесс подбора пароля может затянуться надолго (на Intel Core i5-2400 файл с расширением *.crypt может расшифровываться до 120 суток). Все это время компьютер нельзя выключать.

Никогда не платите деньги злоумышленника, таким образом вы поощряете преступную деятельность. Многие пользователи так поступают, но очень редко получают результат – злоумышленники могут оставить вас и без денег, и без нужной информации.

Обязательно установите себе специальную защиту от Касперского (ссылка в начале статьи), поверьте, эти 1800 рублей сэкономят Вам очень много сил, денег и нервов.

После прочтения статьи рекомендуем к просмотру очень полезное видео по расшифровке файлов:

Реабилитация скрытых файлов после поражения вирусом

Восстановление скрытых файлов после вируса — это распространенная проблема, с которой приходится сталкиваться пользователям ПК. В последнее время многие страдают от вредоносных программ, из-за которых пропадают все файлы и папки на жестком диске, включая персональный контент вроде документов, изображений и т.д. Вредоносное ПО может спрятать и все ярлыки в меню Start. Вирус не удаляет данные, но добавляет скрытый атрибут ко всем файлам и папкам в вашей системе, и в результате это выглядит так, как будто все данные были удалены с жесткого диска.

Если вам нужно провести восстановление файлов после вируса, можно воспользоваться приведенной ниже инструкцией, чтобы снова отобразить все данные, которые пропали, и вернуть контроль над своим компьютером. В случае, когда операционная система все еще заражена вредоносными программами, нужно использовать антивирусы. После удаления вирусов можно приступать к выполнению действий для отображения файлов и папок, которые исчезли. Чтобы отобразить исчезнувшие файлы необходимо изменить системные настройки Windows.

Если у вас установлена операционная система Windows XP, можно произвести восстановление данных, которые пропали, путем выполнения следующих действий:

открыть My Computer;
выбрать Tools;
нажать на Folder Options;
выбрать вкладку View;
установить флажок напротив опции Show Hidden Files and Folders;
нажать OK для возврата пропавших данных с жесткого диска или флэшек.

Чтобы восстановить данные, которые пропали на Windows Vista, нужно выполнить такие шаги:

нажать кнопку Start;
выбрать Computer;
нажать на Tools;
выбрать Folder Options;
использовать кнопку View;
выбрать опцию Show Hidden Files and Folders;
нажать OK.

Если вас интересует, как восстановить спрятанные файлы на Windows 7, нужно выполнить следующие действия:

нажать кнопку Start;
выбрать Computer;
нажать Organize;
использовать кнопку Folder and Search Options;
выбрать View;
активировать опцию Show Hidden Files and Folders;
нажать OK.

После выполнения вышеуказанных действий вы сможете увидеть все свои файлы и папки для офисных программ и других приложений, но они все еще будут содержать скрытый набор атрибутов. Если удалить лишние параметры для файлов на флешке или жестком диске, то все они будут отображаться в нормальном режиме.

Если используется операционная система Windows XP, нужно осуществить такие шаги:

Нажать Start и Run.
Ввести cmd и нажать Enter.
В командной строке набрать CD \ и подтвердить клавишей Enter.
Теперь в командной строке должна быть указана корневая папка жесткого диска (вероятно, C:\).
Ввести ATTRIB -H *.* /S /D и нажать Enter. Эта команда отобразит файлы, которые стали невидимыми. Поскольку важные системные файлы имеют соответствующий прикрепленный атрибут, вышеуказанная команда на них не подействует. Системные настройки пропускают их и скрывают от посторонних глаз, так что самое важное содержимое не будет потеряно. Выполнение команды займет некоторое время, так что не стоит переживать, если процесс затянется на несколько минут или даже на полчаса. Команда выполнит простые действия — удалит скрытые атрибуты из всех каталогов на жестком диске и папок на флешке после вируса. Параметр /S означает, что будет выполняться поиск текущей папки и всех ее подкаталогов. Параметр /D обрабатывает все остальные папки.
Ввести Exit и нажать Enter, когда процедура будет завершена. Перезагрузить компьютер.

Для Windows Vista или 7 нужно выполнить следующие действия:

Нажать Start и All Programs.
Выбрать Accessories и Find Command Prompt.
Нажать правой кнопкой мыши на опции Command Prompt и выбрать Run as Administrator.
В командной строке ввести CD \ и нажать Enter.
Теперь в командной строке должна быть указана корневая папка жесткого диска (вероятно, C:\).
Ввести ATTRIB -H *.* /S /D и нажать Enter.
Ввести Exit и нажать Enter, когда процедура будет завершена. Перезагрузить компьютер.

В качестве альтернативы можно использовать приложение Unhide, созданное Bleeping Computer. Это программа для восстановления скрытых файлов с флешки и жесткого диска. На официальном сайте этого разработчика есть целый учебник по использованию unhide.exe для удаленных данных после вирусного вторжения. С его помощью пользователи получали необходимую информацию и успешно восстанавливали свои ПК. Можно загрузить это приложение для скрытых папок и файлов на свой рабочий стол и запустить его, чтобы вышеуказанные шаги по удалению атрибутов с флешки после вируса были выполнены системой автоматически.

Устранение проблем с ярлыками на панели задач и в меню Start

Для отображения ярлыков на панели задач и в меню Start после вирусной атаки нужно выполнить следующие действия:

После выполнения вышеуказанных действий все ярлыки должны вернуться на свои места.

Вирус – это вид вредоносного программного обеспечения, который внедряется в системные области памяти, код других программ и загрузочные секторы. Он способен удалять важные данные с жесткого диска, USB-накопителя или карты памяти.

Большинство пользователей не знают, как восстановить файлы после вирусной атаки. В этой статье мы хотим рассказать как это сделать самостоятельно. Надеемся, что эта информация будет полезна для вас. Существует два основных метода, с помощью которых вы можете легко удалить вирус и восстановить удаленные данные после вирусной атаки.

1) Нажмите кнопку «Пуск». Введите CMD в строке поиска. Вы увидите в верхней части всплывающего окна «Командную строку». Нажмите Enter.

2) Запустив командную строку введите в ней: “attrib -h -r -s / s /d driver_name\ *. *”

После этого шага Windows начнет восстанавливать зараженный вирусом жесткий диск, карту памяти или USB. Потребуется некоторое время пока процесс будет завершен.

Удаление вируса с помощью отката системы на точку восстановления

Чтобы запустить восстановление Windows, нажмите кнопку «Пуск». Введите «Восстановление» в строке поиска. В появившемся окне нажмите «Запуск восстановления системы» — «Далее» и выберите нужную точку восстановления.

Ещё один вариант пути: «Панель управления» → «Система» → «Защита системы».Появится окно с подготовкой к восстановлению. Затем компьютер перезагрузиться и появится сообщение о том, что “Восстановление системы выполнено успешно”. Если это не помогло решить вашу проблему, то попробуйте сделать откат к другой точке. На этом с первым способом можно закончить.

Восстановление данных после действия вирусной атаки с помощью программного обеспечения

Для надежного восстановления файлов, удаленных вирусами, используйте Magic Partition Recovery. Программа использует прямой низкоуровневый доступ к диску. Следовательно, она обойдет вирусную блокировку и прочитает все ваши файлы.

Загрузите и установите программу, затем проанализируйте диск, флешку или карту памяти. После анализа программа отобразит список папок, находящихся на выбранном диске. Выделив необходимую папку слева, можно просматривать её содержимое в правой части.

Таким образом, программа предоставляет возможность просматривать содержимое диска так же, как в стандартном проводнике Windows. В дополнение к существующим будут отображены удалённые файлы и папки. Они будут помечены специальным красным крестиком, благодаря чему вам будет гораздо легче восстановить удаленные файлы.

Если вам необходимо вернуть утерянные файлы после вирусной атаки, Magic Partition Recovery поможет восстановить все без особых хлопот.

Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.

Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.

Способы восстановления зашифрованных файлов бесплатно

Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.

Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool

Скачайте программу Kaspersky Virus Removal Tool. После окончания загрузки запустите скачанный файл.

Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.

Дождитесь окончания этого процесса и удалите найденных зловредов.

1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware

Скачайте программу Malwarebytes Anti-malware. После окончания загрузки запустите скачанный файл.

Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.

Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.

Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

2. Восстановить зашифрованные файлы используя ShadowExplorer

ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.

Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.

Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.

3. Восстановить зашифрованные файлы используя PhotoRec

PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.

В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.

В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.

По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.

Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.

В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

Сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 10 лет.

Здравствуйте. Зашифрованные файлы wanadecryptor, который вчера начал активно буйствовать, можно востановить выше изложенной инструкцией?

А что делать если теневые копии отключены были администратором сети?

Программа ShadowExplorer показывает число 13 мая, а заражение было 12 мая и не восстанавливает файлы

Спасибо Вам огромное за статью и пошаговое объяснение, кажется получается восстановить файлы. Но Касперский вирус не нашел, видимо он сам как-то самоудаляется.

Валерий, почему программа PhotoRec не расшифровывает данные которые на диске, а восстанавливает фото, которые я смотрела в интернете?!

Алексей, это связано с тем, что на вашем компьютере отключена служба восстановления. Для восстановления зашифрованных файлов попробуйте использовать PhotoRec.

Остап, да эта инструкция подойдет для восстановления файлов зашифрованных вирусом wanadecryptor.

Не получается с помощью dhadowexplorer отобразить диски,он просто их не видит,как решить эту проблему?

Если ShadowExplorer не находит теневые копии, значит остается только PhotoRec. Рекомендую в Photorec выбирать только те типы файлов, которые действительно нужно восстановить. И ещё, PhotoRec не может расшифровывать файлы, эта программа находит ранее удаленные копии файлов и пытается их восстановить.

Иван, вероятно служба восстановления отключена, её нужно включить, а затем заново запустить ShadowExplorer. Включается в Панели управления, консоль Система, вкладка Восстановление системы.

Скачал программу ShadowExplorer, все получилось кроме одного. Это фото и видео они находятся на рабочем столе, программа не видит рабочий стол.
Скачал программу PhotoRec, при запуски кнопки Search, вылазит окошечко с надписью «Failed to create file. Please choose another destination»
Есть еще способы восстановить фото и видео? Заранее спасибо!

Артем, программа ShadowExplorer не работает с Рабочим столом, она работает с логическими дисками. Выберите диск С (или какой у вас системный диск), далее Document and Settings, Имя пользователя, Desktop

Скачал программу PhotoRec, при запуски кнопки Search, вылазит окошечко с надписью «Failed to create file. Please choose another destination»

Тоже самое пишет,есть те у кого получилось файлы восстановить? (ShadowExplorer тоже не видит дату созданий копий,походу у меня восстановление тоже отключено)

Михаил, попробуйте с качестве диска, куда будете восстанавливать зашифрованные файлы выбрать флешку, другой логический или внешний диск. Удостоверьтесь, что запись на этот диск вам разрешена или запускайте Photorec от имени администратора.

ВАЛЕРИЙ, подскажите пожалуйста, уже 3 часа PhotoRec «трудится»… Выставил в настройках .doc и .jpg На данный момент результат 3%, из них 2 doc файла и 1245 jpg… При этом doc файлы весят около 1,5 Гб)) а все jpg файлы это кэш из браузера)) Так и должно быть? Спасибо!

Валерий, добрый день! Спасибо за статью, от вируса Wana Decriptor избавиться удалось. А вот с восстановлением файлов проблема. Пробовала ShadowExplorer, не видит содержимое дисков. Начала пользоваться PhotoRec, выбрала первый каталог, процесс пошел. Когда начала просматривать, что восстановилось, ничего не поняла. Файлы jpg восстанавливаются не мои фото, а изображения из интернета. Аудиофайлы восстанавливаются только системные звуки, содержание файлов txt вообще непонятно. Как во всем этом разобраться?

Также еще вопрос: если я удалю все, что нашла программа PhotoRec, и потом начну весь процесс сначала, это как-то помешает восстановлению файлов?

PhotoRec не нравится что папка названа кириллицей, переименуйте в латиницу (с русского на английский)

GinTonic, скорость восстановления файлов, которые были зашифрованы, у всех разная. Сильно зависит от размера диска и кол-ва файлов на нем.. Размер doc файла конечно настораживает, возможно что программа ошибочно определила формат.

ShadowExplorer я скачала, но диск С (системный и не зараженный) он видит и можно совершать действия, а диск F(на котором зараженная информация) он решительно не видит(( Что в таком случае делать?

Валерий, добрый вечер. Подскажите пожалуйста восстановил данные с диска С а на диске D программа не видит как с другого логического диска восстановить данные?

забыл сказать восстанавливал программой ShadowExplorer

Привет
У меня заражены бекапы от программы Oracle. Может ли какая нибудь программа восстановить их?

Вылерий, у меня на компьютере этот вирус зашифровал все файлы, их (зашифрованные файлы) скинул на yandex диск, с помощью чего могу их расшифровать?

Программа ShadowExplorer видит только те диски, для которых Система восстановления включена. Попробуйте восстановить зашифрованные файлы с помощью программы PhotoRec.

Миша, не важно какие файлы были зашифрованы. Используйте ShadowExplorer и PhotoRec для их восстановления.

Сергей, напрямую расшифровать зашифрованные файлы без ключа полученного от злоумышленников невозможно. Можно только восстановить исходные копии файлов, которые остаются на жестком диске. Помочь вам восстановить копии зашифрованных файлов могут программы описанные выше, это ShadowExplorer и PhotoRec.

В PhotoRec отлично справляется но только не хватает тип файла docx

Скажите пожалуйста а если была переустановленна виндовс есть ли возможность восстановить файлы?

Михаил, с системного диска (там где находится папка Windows) вероятно уже ничего не восстановите, а вот с других дисков вполне возможно. В любом случае советую попробовать ShadowExplorer и PhotoRec для восстановления зашифрованных файлов.

Спасибо. За совет.

У меня не получается использовать ShadowExplorer, скачала, запустила, а там все пусто. Могу выбрать диск, но нет даты и нет никаких данных. Сто делать?

Мария, если ShadowExplorer ничего не показывает после того как выбрали диск с зашифрованными файлами, значит на выбранном диске не была включена система восстановления или вирус шифровальщик успел удалить все теневые копии зашифрованных файлов.
В этом случае используйте программу PhotoRec. Хочу подчеркнуть, что желательно использовать в качестве места куда вы будете сохранять восстановленные файлы другой диск (можно большую флешку или внешний диск), то есть не тот же диск на котором находились зашифрованные файлы.

Спасибо, надеюсь все получится

Валерий, а если я открою зашифрованый файл и копию этого же файла, (ранее он был на флешке) через блокнот и использую код этого файла как основу для востановления этого же файла и многих других файлов такого же типа, например фотка или чертеж. У меня так что-то выйдет или мне нужно открывать эти файлы через Delphi.

Я так подумал, если использовать программу которая будет обучатся заменять символы в коде и обучить её коду исходного файла то из этого может что-то получится. Или принцип работы Wanna Crypt0r другой? Если другой, то какой?? За ранее спасибо.

Дмитрий, вирус использует специальные алгоритмы шифрования и без ключа, расшифровать файлы не получится.

понял, а подскажите где можно просмотреть прогрес создания ключа, думаю Касперский, нод, доктор веб и другие заинтересованы в том что бы сделать это. Ну или может какойто форум, на котором есть люди готовые помочь в расшифровке данных или подборе ключа. Мне просто не верится что это не возможно, я готов парится над этой проблемой, хочу изучить её и помогать масимально другим пользователям, например как Вы.

Ваше желание расшифровать файлы понятно, но в паблике таких групп нет. Можете на твиттере посмотреть, по хештегу ransomware, и от туда уже связаться с людьми, кто занимается вирусами шифровальщиками.
Сейчас вирусы часто используют RSA шифрование, подробно о нем здесь ru.wikipedia.org/wiki/RSA

Добрый день. У меня проблема, вирус дешифровал документы
CJqJg+beNAM6T7fzrtEvKxeIu5VOTg-1Rfxpg8ZK4wU=.95BB2CBAE0095BAE7905.crypted000007
30 КБ
Так они сейчас выглядят. Это получилось после открытия письма на почту, пройдя по ссылке.
Помогите пожалуйста.

Для восстановления crypted000007 файлов используйте выше приведенные шаги.

Восстановленные фото испорчены, диска D прога не видит…
Нелюди …. Фото семейные 56 гигов забраковали…..

Здравствуйте, подскажите, зашифрованные файлы остались в папках recup_dir что с ними дальше делать?

Николай, нет. Когда создатели вируса-шифровальщика выложат мастер ключ, то на его основе антивирусные компании разработают программу дешифровщик. Используя её вы сможете восстановить все зашифрованные файлы.

Добрый вечер ShadowExplorer попробовал делаю export файла ну он не открывается не док не пдф не картинки
а шифратор странный не изменил расширение файлов тока добавил к названию фаила yq31kuh22f и расширение остались прежними

Александр, не все вирусы-шифровальщики меняют расширение зашифрованных файлов. Бывает и так, что на первый взгляд все как раньше, но файлы не открываются в программах.
По поводу того, что зашифрованные файлы восстановленные с помощью ShadowExplorer не открываются, попробуйте выбрать другую точку восстановления. Обычно ShadowExplorer хорошо выполняет свою работу.

На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.

Вас замучили вирусы, трояны, всплывающие окна, реклама или медленная работа компьютера ?

Задайте свой вопрос прямо сейчас кликнув по следующей ссылке Задать вопрос.

Или обратитесь на наш форум, где команда Spyware-ru поможет вам. Узнайте, как попросить о помощи здесь.

Как восстановить пропавшие (скрытые) файлы после вируса

Вирус на флешке, ни для кого не сюрприз. Но вот остаться без важной информации, которая храниться на этой самой флешке, это тот еще казус. Мои знакомые, не однократно форматировали флешки после вирусов, не найдя там ни одного файла. А они могут быть просто скрыты вирусом. Как говориться в нашем деле лучше перебдеть чем недобдеть. И так. Вирус на флешке вылечили, либо удалили. Входим в корневой каталог, а там пусто. Как быть? Я не встречал вирусов, которые бы нахально стирали информацию с накопителей. Так что скорее всего ваши файлы скрыты. А значит надо их показать.

Показываем скрытые файлы и папки.
Для того чтобы показать скрытые файлы. В любом окне нажимаем кнопку Сервис

После этого все скрытые файлы и папки будут отображаться. И если вам повезет, то вы можете просто снять атрибут скрытый в свойствах папки или документа. Для этого, жмем правой кнопкой на нужный документ или папку и выбираем Свойства. Затем снимаем галочку возле атрибута Скрытый.

Но может быть так что данный атрибут файла убать будет невозможно или что еще хуже, Файлы и папки на флешке вовсе не будут отображаться. Тогда, прибегнем к помощи командной строки.

Открываем командную строку.

В командной строке переходим на нашу флешку.

Вводим X: (Где Х буква вашей флешки или диска) и нажимаем Enter
После этого вводим attrib -s -h -r -a /s /d , снова жмем Enter

Вот и все. Теперь атрибут Скрытый будет удален со всех файлов и папок на вашей флешке. Соответственно и все данные будут отображаться как положено. Если конечно они там есть.

Вирус Петя А: как избежать и восстановить файлы после заражения

Есть мнение, что если вирус Петя А заразил компьютер, то ему уже ничего не поможет. Точнее, файлам на жестком диске, которые невозможно восстановить. Но на самом деле и кибератаки можно избежать, и реанимировать компьютер сложно, но можно.

Для начала поговорим о мерах, которые позволят избежать заражения вирусом Петя А. Как мы уже писали, #Petya это подобие WCry — вирус-вымогатель, который шифрует данные и просит $300 выкупа за их восстановление. Сразу отметим – платить НЕ ИМЕЕТ никакого смысла!

— блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;

— на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);

— на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);

— блокировка SMB и WMI-портов. В первую очередь 135, 445;

— после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! — это действительно важно.

— не открывайте подозрительные письма и особенно вложения в них;

— принудительно обновите базу антивируса и операционные системы.

Следут отметить, что еще в 2016 году пользователю, который зарегистрирован в Twitter под ником Leostone, удалось взломать шифрование вредоносного вируса, о чем писал ресурс Bleepingcomputer.com.

В частности, он сумел создать генетический алгоритм, который может генерировать пароль, необходимый для дешифрования зашифрованного вирусом компьютера Petya.

Генетический алгоритм — это алгоритм поиска, используемый для решения задач оптимизации и моделирования путем случайного подбора, комбинирования и вариации искомых параметров с использованием механизмов, аналогичных естественному отбору в природе.

Свои результаты Leostone выложил на сайте, на которых находится вся необходимая информация для генерации кодов дешифровки. Таким образом, жертва атаки может воспользоваться указанным сайтом для генерации ключа дешифрования.

Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте для генерации ключа.

Для многих пользователей снять определенную информацию с пострадавших жестких дисков составляет проблему. К счастью, на помощь пришел эксперт компании Emsisoft Фабиан Восар, который создал инструмент Petya Sector Extractor для извлечения необходимой информации с диска.

Petya Sector Extractor

Фото: bleepingcomputer.com

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.

Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.

Фото: bleepingcomputer.com

После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.

Для тех, кому может быть сложно удалить жесткий диск с одного компьютера и подключить его к другому, можно приобрести док-станцию для жесткого диска USB.

Вирус CRYPTED000007 — как расшифровать файлы и удалить вымогателя

Около недели-двух назад в сети появилась очередная поделка современных вирусоделов, которая шифрует все файлы пользователя. В очередной раз рассмотрю вопрос как вылечить компьютер после вируса шифровальщика crypted000007 и восстановить зашифрованные файлы. В данном случае ничего нового и уникального не появилось, просто модификация предыдущей версии.

Шифровальщик CRYPTED000007 ничем принципиально не отличается от своих предшественников. Действует он практически один в один как no_more_ransom. Но все же есть несколько нюансов, которые его отличают. Расскажу обо всем по порядку.

Приходит он, как и его аналоги, по почте. Используются приемы социальной инженерии, чтобы пользователь непременно заинтересовался письмом и открыл его. В моем случае в письме шла речь о каком-то суде и о важной информации по делу во вложении. После запуска вложения у пользователя открывается вордовский документ с выпиской из арбитражного суда Москвы.

Параллельно с открытием документа запускается шифрование файлов. Начинает постоянно выскакивать информационное сообщение от системы контроля учетных записей Windows.

Если согласиться с предложением, то резервные копии файлов в теневых копиях Windows буду удалены и восстановление информации будет очень сильно затруднено. Очевидно, что соглашаться с предложением ни в коем случае нельзя. В данном шифровальщике эти запросы выскакивают постоянно, один за одним и не прекращаются, вынуждая пользователя таки согласиться и удалить резервные копии. Это главное отличие от предыдущих модификаций шифровальщиков. Я еще ни разу не сталкивался с тем, чтобы запросы на удаление теневых копий шли без остановки. Обычно, после 5-10-ти предложений они прекращались.

Но даже если вы все время отвечали отрицательно на запросы шифровальщика, все ваши данные уже шифруются. После того, как процесс шифрования будет окончен, вы увидите на рабочем столе картинку.

Одновременно с этим на рабочем столе будет множество текстовых файлов с одним и тем же содержанием.

Почтовый адрес может меняться. Я встречал еще такие адреса:

Адреса постоянно обновляются, так что могут быть совершенно разными.

Как только вы обнаружили, что файлы зашифрованы, сразу же выключайте компьютер. Это нужно сделать, чтобы прервать процесс шифрования как на локальном компьютере, так и на сетевых дисках. Вирус-шифровальщик может зашифровать всю информацию, до которой сможет дотянуться, в том числе и на сетевых дисках. Но если там большой объем информации, то ему для этого потребуется значительное время. Иногда и за пару часов шифровальщик не успевал все зашифровать на сетевом диске объемом примерно в 100 гигабайт.

Дальше нужно хорошенько подумать, как действовать. Если вам во что бы то ни стало нужна информация на компьютере и у вас нет резервных копий, то лучше в этот момент обратиться к специалистам. Не обязательно за деньги в какие-то фирмы. Просто нужен человек, который хорошо разбирается в информационных системах. Необходимо оценить масштаб бедствия, удалить вирус, собрать всю имеющуюся информацию по ситуации, чтобы понять, как действовать дальше.

Неправильные действия на данном этапе могут существенно усложнить процесс расшифровки или восстановления файлов. В худшем случае могут сделать его невозможным. Так что не торопитесь, будьте аккуратны и последовательны.

После того, как вирус у вас был запущен и закончил свою деятельность, все полезные файлы будут зашифрованы, переименованы с расширением .crypted000007. Причем не только расширение файла будет заменено, но и имя файла, так что вы не узнаете точно, что за файлы у вас были, если сами не помните. Будет примерно такая картина.

В такой ситуации будет трудно оценить масштаб трагедии, так как вы до конца не сможете вспомнить, что же у вас было в разных папках. Сделано это специально, чтобы сбить человека с толка и побудить к оплате расшифровки файлов.

А если у вас были зашифрованы и сетевые папки и нет полных бэкапов, то это может вообще остановить работу всей организации. Не сразу разберешься, что в итоге потеряно, чтобы начать восстановление.

Как лечить компьютер и удалить вымогатель CRYPTED000007

Вирус CRYPTED000007 уже у вас на компьютере. Первый и самый главный вопрос — как вылечить компьютер и как удалить из него вирус, чтобы предотвратить дальнейшее шифрование, если оно еще не было закончено. Сразу обращаю ваше внимание на то, что после того, как вы сами начнете производить какие-то действия со своим компьютером, шансы на расшифровку данных уменьшаются. Если вам во что бы то ни стало нужно восстановить файлы, компьютер не трогайте, а сразу обращайтесь к профессионалам. Ниже я расскажу о них и приведу ссылку на сайт и опишу схему их работы.

А пока продолжим самостоятельно лечить компьютер и удалять вирус. Традиционно шифровальщики легко удаляются из компьютера, так как у вируса нет задачи во что бы то ни стало остаться на компьютере. После полного шифрования файлов ему даже выгоднее самоудалиться и исчезнуть, чтобы было труднее расследовать иницидент и расшифровать файлы.

Описать ручное удаление вируса трудно, хотя я пытался раньше это делать, но вижу, что чаще всего это бессмысленно. Названия файлов и пути размещения вируса постоянно меняются. То, что видел я уже не актуально через неделю-две. Обычно рассылка вирусов по почте идет волнами и каждый раз там новая модификация, которая еще не детектится антивирусами. Помогают универсальные средства, которые проверяют автозапуск и детектят подозрительную активность в системных папках.

Для удаления вируса CRYPTED000007 можно воспользоваться следующими программами:

Kaspersky Virus Removal Tool — утилитой от касперского http://www.kaspersky.ru/antivirus-removal-tool.
Dr.Web CureIt! — похожий продукт от др.веб http://free.Dr.Web.ru/cureit.
Если не помогут первые две утилиты, попробуйте MALWAREBYTES 3.0 — https://ru.malwarebytes.com.

Скорее всего, что-то из этих продуктов очистит компьютер от шифровальщика CRYPTED000007. Если вдруг так случится, что они не помогут, попробуйте удалить вирус вручную. Методику по удалению я приводил на примере вируса да винчи и spora, можете посмотреть там. Если кратко по шагам, то действовать надо так:

Смотрим список процессов, предварительно добавив несколько дополнительных столбцов в диспетчер задач.
Находим процесс вируса, открываем папку, в которой он сидит и удаляем его.
Чистим упоминание о процессе вируса по имени файла в реестре.
Перезагружаемся и убеждаемся, что вируса CRYPTED000007 нет в списке запущенных процессов.

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org. А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика CRYPTED000007. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

На момент написания статьи дешифратора на сайте не было.

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице — https://www.nomoreransom.org/decryption-tools.html. Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Как расшифровать и восстановить файлы после вируса CRYPTED000007

Что делать, когда вирус CRYPTED000007 зашифровал ваши файлы? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

Инструмент теневых копий windows.
Программы по восстановлению удаленных данных

Для начала проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Подробнее об этом запросе я рассказал в начале повествования, когда рассказывал о работе вируса.

Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

R.saver
Starus File Recovery
JPEG Recovery Pro
Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов подробно показан в видео в самом конце статьи.

Касперский, eset nod32 и другие в борьбе с шифровальщиком Filecoder.ED

Популярные антивирусы определяю шифровальщик CRYPTED000007 как Filecoder.ED и дальше может быть еще какое-то обозначение. Я пробежался по форумам основных антивирусов и не увидел там ничего полезного. К сожалению, как обычно, антивирусы оказались не готовы к нашествию новой волны шифровальщиков. Вот сообщение с форума Kaspersky.

Вот результат подробного обсуждения шифровальщика CRYPTED000007 на форуме антивируса Eset nod32. Обращений уже очень много, а антивирус ничего не может поделать.

Антивирусы традиционно пропускают новые модификации троянов-шифровальщиков. И тем не менее, я рекомендую ими пользоваться. Если вам повезет, и вы получите на почту шифровальщика не в первую волну заражений, а чуть позже, есть шанс, что антивирус вам поможет. Они все работает на шаг позади злоумышленников. Выходит новая версия вымогателя, антивирусы на нее не реагируют. Как только накапливается определенная масса материала для исследования по новому вирусу, антивирусы выпускают обновление и начинают на него реагировать.

Что мешает антивирусам реагировать сразу же на любой процесс шифрования в системе, мне не понятно. Возможно, есть какой-то технический нюанс на эту тему, который не позволяет адекватно среагировать и предотвратить шифрование пользовательских файлов. Мне кажется, можно было бы хотя бы предупреждение выводить на тему того, что кто-то шифрует ваши файлы, и предложить остановить процесс.

Мне довелось познакомиться с одной компанией, которая реально расшифровывает данные после работы различных вирусов-шифровальщиков, в том числе CRYPTED000007. Их адрес — http://www.dr-shifro.ru . Оплата только после полной расшифровки и вашей проверки. Вот примерная схема работы:

Специалист компании подъезжает к вам в офис или на дом, и подписывает с вами договор, в котором фиксирует стоимость работ.
Запускает дешифратор и расшифровывает все файлы.
Вы убеждаетесь в том, что все файлы открываются, и подписываете акт сдачи/приемки выполненных работ.
Оплата исключительно по факту успешного результата дешифрации.

Скажу честно, я не знаю, как они это делают, но вы ничем не рискуете. Оплата только после демонстрации работы дешифратора. Просьба написать отзыв об опыте взаимодействия с этой компанией.

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику CRYPTED000007 в целом.

Здесь пример предыдущей модификации вируса, но видео полностью актуально и для CRYPTED000007.