Статті

Стало відомо, чи можна розшифрувати файли після атаки вірусу-шифрувальника

Трояни-шифрувальники сімейства Trojan.Encoder як і раніше залишаються реальною загрозою: щомісяця в компанію «Доктор Веб» надходять сотні запитів від користувачів, чиї файли постраждали від дій цих шкідливих програм.


Специфіка цієї проблеми в тому, що далеко не завжди файли піддаються розшифровці, а випадки виплат викупу зловмисникам все ще не поодинокі. Останній гучний випадок – атака енкодерів на американську компанію Colonial Pipeline, в результаті якої оператор трубопроводу виплатив хакерам величезну суму в біткойнах, щоб відновити працездатність своєї інфраструктури.

За великим рахунком, кожен випадок зараження енкодера унікальний: ймовірність розшифрувати файл після вірусу-шифрувальника багато в чому залежить від його алгоритму роботи, застосовуваних методів шифрування, наявності помилок в коді трояна, можливості отримати ключі шифрування і т. д.

В даний час за нашою статистикою розшифровка пошкоджених цими троянами файлів силами фахівців компанії можлива менш ніж в 1% випадків.

Але це не означає, що до розшифровки даних не можна застосовувати загальні алгоритми і домагатися високих показників по відновленню зіпсованих файлів без необхідності виплачувати гроші зловмисникам.

Так, свого часу «Доктор Веб» став першою компанією, якій вдалося розробити механізм, що дозволяє з ймовірністю в 90% відновити файли, зашифровані зловмисниками з використанням шкідливої програми Trojan.Encoder.398. Для цього була проведена серйозна науково-дослідна робота, що тривала кілька місяців, яка принесла свої плоди. До цього моменту відновлення даних, зіпсованих цим шифрувальником, вважалося неможливим.

Інший приклад – створення методики розшифровки файлів, які були зашифровані трояном-енкодером, сумнозвісним як Vault (за класифікацією Dr.Web – Trojan.Encoder.2843). У 2015 році ця шкідлива програма активно поширювалася за допомогою поштових розсилок. Для розробки «протиотрути» принцип дії цього шифрувальника був досконально вивчений, і в результаті багато користувачів позбулися необхідності йти на поводу у вимагачів.

У 2016 році розшифровці стали піддаватися дані, пошкоджені в результаті дій шкідливої ​​програми CryptXXX (Trojan.Encoder.4393), в 2017 – Trojan.Encoder.10465. У цих та багатьох інших випадках потерпілі користувачі могли звернутися в службу технічної підтримки, отримати кваліфіковану допомогу фахівців і скористатися спеціально розробленими утилітами для розшифровки.

Окремо відзначимо, що при зіткненні з енкодером важливо дотримуватися ряду заходів, які дозволять не погіршити ситуацію і можливо розшифрувати файли після вірусу-шифрувальника.

Як не погіршити ситуацію після роботи вірусу-шифрувальника?

Не можна намагатися видаляти будь-які файли з комп’ютера або перевстановлювати ОС, а також користуватися зараженим ПК до отримання інструкцій від професіоналів.

Якщо енкодер поширювався через електронну пошту, лист з вкладенням, після якого файли виявилися зашифровані, також потрібно зберегти. Якщо було запущено антивірусне сканування, не слід вживати будь-які дії щодо лікування або видалення виявлених шкідливих програм – вони можуть знадобитися фахівцям в процесі пошуку ключа для розшифрування файлів.

Що стосується рекомендацій щодо захисту від енкодерів, то вони досить прості. Щоб уникнути зараження необхідно:

  • використовувати антивірус;
  • встановлювати всі оновлення ОС і програм на комп’ютері;
  • регулярно створювати резервні копії важливих даних;
  • не переходити за посиланнями, що надійшли від невідомих користувачів, в повідомленнях електронної пошти;
  • не відкривати файли з повідомлень від невідомих відправників;
  • не користуватися піратським софтом.

Читайте GSMinfo в Google News
Наші новини такожо доступні в Telegram, Facebook,Instagram та Twitter


Новини по темі

Back to top button