У минулому році спільно з поліцією Нідерландів ми запустили сайт NoRansom , Що дозволив жертвам шифрувальника CoinVault безкоштовно відновити свої файли. Пізніше ми додали на цей сайт ще кілька інструментів, які допомагають отримати назад файли, які постраждали від дій інших шифрувальників - TeslaCrypt, CryptXXX і так далі.
Сьогодні ми робимо ще один великий крок у глобальній боротьбі з шифрувальником: у співпраці з поліцією Нідерландів, Європолом та Intel Security ми створили ресурс NoMoreRansom.org , На якому плануємо зібрати максимально повну колекцію інструментів для відновлення файлів, зашифрованих вимагачами.
І починаємо ми з того, що до набору раніше існуючих утиліт додаємо нове «ліки» - воно допоможе користувачам, які постраждали від шифрувальника Shade.
Шифрувальник-вимагач Shade
Shade - сімейство здирників, що з'явилося на початку 2015 року. Троянець потрапляє на комп'ютери користувачів двома шляхами: або як вкладення в спам-розсилках, або з використанням експлойт-пака . Другий варіант є більш небезпечним, тому що користувачеві не треба відкривати будь-які файли - досить зайти на заражений сайт.
Після потрапляння на комп'ютер жертви троянець запитує з командного сервера ключ для шифрування файлів або, якщо сервер недоступний, використовує один із заздалегідь підготовлених ключів. Тобто навіть відсутність підключення до Інтернету не завадить цьому шифрувальником, якщо він вже потрапив в систему.
Shade шифрує файли користувача - його цікавить близько півтора сотень різних типів файлів, включаючи офісні документи, картинки і архіви. Імена файлів в процесі теж шифруються, а в якості розширення додається .xtbl або .ytbl. Після завершення зловредів виводить на екран повідомлення з вимогою викупу.
Що додатково неприємно, на цьому діяльність троянця не закінчується: вже запросив викуп, Shade продовжує працювати - він завантажує на комп'ютер користувача ще кілька шкідливих програм.
Розшифрувати файли, зашифровані Shade, - тепер безкоштовно
Якщо ви стали жертвою вимагача Shade, тепер вам не доведеться платити за свої файли викуп - у нас є ліки. Ось що вам слід зробити:
1. Зайдіть на сайт NoMoreRansom.org .
2. Прокрутіть сторінку вниз, там ви знайдете дві кнопки для скачування інструментів дешифрування. Ви можете вибрати декріптор Intel Security або «Лабораторії Касперського» - як вам більше подобається. Подальші інструкції ми наводимо для нашого інструменту.
3. Розархівуйте завантажений файл ShadeDecryptor.zip.
4. Запустіть ShadeDecryptor.exe і в діалозі Контролю облікових записів Windows введіть пароль адміністратора і натисніть «Так».
5. У вікні запуститься Kaspersky ShadeDecryptor клікніть Change Parameters.
6. Виберіть у вікні ті диски, на яких утиліті слід шукати файли для відновлення.
7. У цьому ж вікні можна вибрати опцію «Видаляти зашифровані файли після розшифровки» ( «Delete crypted files after decryption»). Ми НЕ радимо робити це, поки ви не будете на 100% впевнені, що файли нормально відновлюються.
8. Натисніть ОК, щоб повернутися до головного екрана. Тут натисніть Start scan.
9. У вікні «Specify the path to one of encrypted files» виберіть один із зашифрованих здирником файлів і натисніть Open.
10. Якщо утиліта не зможе автоматично визначити ідентифікатор жертви, вкажіть шлях до створеного шифрувальником файлу readme.txt, який містить вимогу викупу і цей ідентифікатор.
Після цього ShadeDecryptor почне розшифровку ваших файлів. Щоб захиститися від шифрувальників надалі, ми рекомендуємо використовувати надійне захисне рішення , Наприклад Kaspersky Internet Security. Додаткові поради щодо захисту від здирників можна знайти в цьому матеріалі .