Вірус-шифрувальник: як вилікувати і розшифрувати файли? Розшифровка файлів після вірусу-шифровальщика

Самі по собі віруси як комп'ютерна загроза сьогодні нікого не дивують. Але якщо раніше вони впливали на систему в цілому, викликаючи збої в її працездатності, сьогодні, з появою такого різновиду, як вірус-шифрувальник, дії проникаючої загрози стосуються більше користувальницьких даних. Він являє собою, бути може, навіть більшу загрозу, ніж деструктивні для Windows виконувані програми або шпигунські аплети.

Що таке вірус-шифрувальник?

Сам по собі код, прописаний у самокопирующемся вірус, передбачає шифрування практично всіх користувальницьких даних спеціальними криптографічними алгоритмами, не зачіпає системних файлів операційної системи.


Спочатку логіка впливу вірусу багатьом була не зовсім зрозуміла. Все прояснилося тільки тоді, коли хакери, які створювали такі аплети, почали вимагати за відновлення початкової структури файлів гроші. При цьому сам проник вірус-шифрувальник розшифрувати файли в силу своїх особливостей не дозволяє. Для цього потрібен спеціальний дешифратор, якщо хочете, код, пароль або алгоритм, необхідний для відновлення потрібного вмісту.

Принцип проникнення в систему і роботи коду вірусу

Як правило, «підчепити» таку гидоту в Інтернеті досить важко. Основним джерелом поширення «зарази» є електронна пошта на рівні інстальованих на конкретному комп'ютерному терміналі програм на зразок Outlook, Thunderbird, The Bat і т. д. Зауважимо відразу: поштових інтернет-серверів це не стосується, оскільки вони мають досить високий ступінь захисту, а доступ до даних користувача можливий хіба що на рівні хмарних сховищ.


Інша справа – додаток на комп'ютерному терміналі. Ось тут-то для дії вірусів поле настільки широке, що й уявити собі неможливо. Правда, тут теж варто зробити застереження: у більшості випадків віруси мають на меті великі компанії, з яких можна здерти» гроші за надання розшифровки коду. Це і зрозуміло, адже не тільки на локальних комп'ютерних терміналах, але і на серверах таких фірм може зберігатися не те що повністю конфіденційна інформація, але і файли, так би мовити, в єдиному екземплярі, не підлягають знищенню ні в якому разі. І тоді розшифрування файлів після вірусу-шифровальщика стає досить проблематичною. Звичайно, і рядовий користувач може піддатися такій атаці, але в більшості випадків це малоймовірно, якщо дотримуватися найпростіші рекомендації по відкриттю вкладень з розширеннями невідомого типу. Навіть якщо поштовий клієнт визначає вкладення з розширенням .jpg як стандартний графічний файл, спочатку його обов'язково потрібно перевірити штатним антивірусним сканером, встановленим в системі. Якщо цього не зробити, при відкритті подвійним кліком (стандартний метод) запуститься активація коду, і почнеться процес шифрування, після чого той же Breaking_Bad (вірус-шифрувальник) не тільки буде неможливо видалити, але і файли після усунення загрози відновити не вдасться.

Загальні наслідки проникнення всіх вірусів такого типу

Як вже говорилося, більшість вірусів цього типу проникають в систему через електронну пошту. Ну от, припустимо, у велику організацію, на конкретний зареєстрований мейл приходить лист з вмістом кшталт «Ми змінили контракт, скан у вкладенні» або «Вам відправлена накладна на відвантаження товару (копія там-то)». Природно, нічого не підозрюючи співробітник відкриває файл і
Всі файли на рівні офісних документів, мультимедіа, спеціалізованих проектів AutoCAD або ще яких-небудь важливих даних моментально зашифровуються, причому, якщо комп'ютерний термінал знаходиться в локальній мережі, вірус може передаватися і далі, шифруючи дані на інших машинах (це стає помітним відразу за «гальмування» зависання системи і програм або запущених в даний момент додатків). По закінченні процес шифрування сам вірус, мабуть, відсилає своєрідний звіт, після чого компанії може прийти повідомлення про те, що в систему проникла така-то і така-то загроза, що розшифрувати її може тільки така-то організація. Зазвичай це стосується вірусу paycrypt@gmail.com. Далі йде вимога оплатити послуги по дешифровці з пропозицією відправки декількох файлів на електронну пошту клієнта, найчастіше є фіктивною.

Шкоду від впливу коду

Якщо хто ще не зрозумів: розшифровка файлів після вірусу-шифровальщика – процес досить трудомісткий. Навіть якщо не «вестися» на вимоги зловмисників і спробувати задіяти офіційні державні структури по боротьбі з комп'ютерними злочинами та їх запобігання, зазвичай нічого путнього не виходить. Якщо видалити всі файли, зробити відновлення системи і навіть скопіювати оригінальні дані зі знімного носія (природно, якщо така копія є), все одно при активованому вірус все буде зашифровано заново. Так що особливо радіти не варто, тим більше що при вставці тієї ж флешку в USB-порт користувач навіть не помітить, як вірус зашифрує дані і на ній. Ось тоді точно проблем не оберешся.

Первісток у родині

Тепер звернемо увагу на перший вірус-шифрувальник. Як вилікувати і розшифрувати файли після впливу виконуваного коду, укладеного у вкладенні електронної пошти з пропозицією знайомства, в момент його появи ніхто ще не думав. Усвідомлення масштабів лиха прийшло тільки з часом. Той вірус мав романтичну назву «I Love You». Нічого не підозрюючи юзер відкривав вкладення у меседжі «элетронки» і отримував повністю невідтворювані файли мультимедіа (графіка, відео та аудіо). Тоді, правда, такі дії виглядали більш деструктивними (нанесення шкоди користувальницьким медіа-бібліотекам), так і грошей за це ніхто не вимагав.

Самі нові модифікації

Як бачимо, еволюція технологій стала досить прибутковою справою, особливо якщо врахувати, що багато керівників великих організацій моментально біжать оплачувати дії по дешифрування, абсолютно не думаючи про те, що так можна позбутися і грошей, і інформації. До речі сказати, не дивіться на всі ці «ліві» пости в Інтернеті, мовляв, "я оплатив/оплатила необхідну суму, мені прислали код, всі відновилося". Нісенітниця! Все це пишуть самі розробники вірусу з метою залучення потенційних, вибачте, «лохів». А адже, за мірками рядового юзера, суми для оплати досить серйозні: від сотні до декількох тисяч або десятків тисяч євро чи доларів. Тепер подивимося на новітні типи вірусів такого типу, які були зафіксовані відносно недавно. Всі вони практично схожі і належать не тільки до категорії шифрувальників, але ще й до групи так званих вимагачів. В деяких випадках вони діють більш коректно (зразок paycrypt), начебто надсилаючи офіційні ділові пропозиції або повідомлення про те, що хтось піклується про безпеку користувача або організації. Такий вірус-шифрувальник своїм повідомленням просто вводить користувача в оману. Якщо той зробить хоч найменший дію по оплаті, всі – «розлучення» по повній.

Вірус XTBL

Відносно недавно з'явився вірус XTBL можна віднести до класичному варіанту шифровальщика. Як правило, він проникає в систему через повідомлення електронної пошти, що містять вкладення у вигляді файлів з розширенням .scr, яке є стандартним для скрінсейвера Windows. Система і користувач думають, що все в порядку, і активують перегляд або збереження вкладення. На жаль, це приводить до сумних наслідків: імена файлів перетворюються в набір символів, а до основного розширення додається ще .xtbl, після чого на шуканий адресу пошти приходить повідомлення про можливості дешифрування після сплати зазначеної суми (зазвичай 5 тисяч рублів).

Вірус CBF

Даний тип вірусу теж відноситься до класики жанру. З'являється він в системі після відкриття вкладень електронної пошти, а потім перейменовує файли користувача, додаючи в кінці розширення зразок .nochance або .perfect. На жаль, розшифровка вірусу-шифровальщика такого типу для аналізу вмісту коду навіть на стадії його появи в системі не представляється можливою, оскільки після завершення своїх дій він виробляє самоліквідацію. Навіть таке, як вважають багато хто, універсальний засіб, як RectorDecryptor, не допомагає. Знову ж користувачеві приходить лист з вимогою оплати, на що дається два дні.

Вірус Breaking_Bad

Цей тип загроз працює за тією ж схемою, але перейменовує файли в стандартному варіанті, додаючи до розширення .breaking_bad. Цим ситуація не обмежується. На відміну від попередніх вірусів, це може створювати і ще одне розширення - .Гейзенберга, так що знайти всі заражені файли не завжди можна. Так що Breaking_Bad (вірус-шифрувальник) є досить серйозною загрозою. До речі, відомі випадки, коли навіть ліцензійний пакет Kaspersky Endpoint Security 10 пропускає загрозу цього типу.

Вірус paycrypt@gmail.com

Ось ще одна, мабуть, найсерйозніша погроза, яка спрямована здебільшого на великі комерційні організації. Як правило, в якийсь відділ приходить лист, що містить начебто зміни до договору про постачання, або навіть просто накладна. Вкладення може містити звичайний файл .jpg (типу зображення), але частіше – виконуваний скрипт .js (Java-аплет). Як розшифрувати вірус-шифрувальник цього типу? Судячи з того, що там застосовується якийсь невідомий алгоритм RSA-1024 ніяк. Якщо виходити з назви, можна припустити, що це 1024-бітна система шифрування. Але, якщо хто пам'ятає, сьогодні найдосконалішою вважається 256-бітне AES.

Вірус-шифрувальник: як вилікувати і розшифрувати файли за допомогою антивірусного ПЗ

На сьогоднішній день для розшифровки загроз такого типу рішень поки не знайдено. Навіть такі метри в області антивірусного захисту, як Kaspersky, Dr. Web і Eset, не можуть знайти ключ до вирішення проблеми, коли в системі наслідив вірус-шифрувальник. Як вилікувати файли? У більшості випадків пропонується відправити запит на офіційний сайт розробника антивіруса (до речі, тільки при наявності в системі ліцензійного З цього розробника). При цьому потрібно прикріпити кілька зашифрованих файлів, а також їх "здорові" оригінали, якщо такі є. В цілому ж, за великим рахунком, мало хто зберігає копії даних, так що проблема їх відсутності тільки посилює і без того неприємну ситуацію.

Можливі способи ідентифікації та усунення загрози вручну

Так, сканування звичайними антивірусами загрози визначає і навіть видаляє їх із системи. Але що робити з інформацією? Деякі намагаються використовувати програми-дешифратори кшталт згаданої вже утиліти RectorDecryptor (RakhniDecryptor). Зазначимо відразу: це не допоможе. А у випадку з вірусом Breaking_Bad так і зовсім може тільки нашкодити. І ось чому. Справа в тому, що люди, що створюють такі віруси, що намагаються убезпечити себе і дати пораду іншим. При використанні утиліт для дешифрування вірус може відреагувати таким чином, що вся система «злетить», причому з повним знищенням всіх даних, що зберігаються на жорстких дисках або в логічних розділах. Це, так би мовити, показовий урок в повчання всім тим, хто не хоче платити. Залишається сподіватися тільки на офіційні антивірусні лабораторії.

Кардинальні методи

Втім, якщо справи зовсім кепські, доведеться інформацією пожертвувати. Щоб повністю позбутися загрози, потрібно відформатувати весь вінчестер, включаючи віртуальні розділи, після чого встановити «операційку» заново. На жаль, іншого виходу немає. Навіть відкат системи до певної збереженою точки відновлення не допоможе. Вірус, може бути, і зникне, але так і залишаться зашифрованими.

Замість післямови

На закінчення варто відзначити, що ситуація така: вірус-шифрувальник проникає в систему, робить свою чорну справу і не лікується ніякими відомими способами. Антивірусні засоби захисту виявилися не готові до такого типу загроз. Само собою зрозуміло, що виявити вірус після його впливу або видалити можна. Але зашифрована інформація так і залишиться в непривабливому вигляді. Тож хочеться сподіватися, що кращі уми компаній-розробників антивірусного ПО все-таки знайдуть рішення, хоча, судячи за алгоритмами шифрування, зробити буде дуже непросто. Згадати хоча б шифрувальну машину Enigma, яка у часи Другої світової війни була у німецького флоту. Найкращі криптографи не могли вирішити проблему алгоритму для дешифрування повідомлень, поки не придбали пристрій в свої руки. Так йдуть справи і тут.