Вирус crypted000007 — как расшифровать файлы и удалить вымогателя

Наиболее интересные события 2020 года

В феврале вирусные аналитики «Доктор Веб» сообщили о компрометации ссылки на скачивание программы для обработки видео и звука VSDC в каталоге популярного сайта CNET. Вместо оригинальной программы посетители сайта загружали измененный установщик с вредоносным содержимым, позволяющим злоумышленникам дистанционно управлять инфицированными компьютерами. Управление было реализовано при помощи компонентов программы TeamViewer и троянской библиотеки семейства BackDoor.TeamViewer, которая устанавливала несанкционированное соединение. При помощи бэкдора злоумышленники могли доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений.

В марте специалисты «Доктор Веб» рассказали о компрометации ряда сайтов, созданных на CMS WordPress

JavaScript-сценарий, встроенный в код взломанных страниц, перенаправлял посетителей на фишинговую страницу, где пользователям предлагалось установить важное обновление безопасности для браузера Chrome. Загружаемый файл представлял собой установщик вредоносного ПО, которое позволяло дистанционно управлять инфицированными компьютерами

В этот раз злоумышленники вновь использовали легитимные компоненты TeamViewer и троянскую библиотеку, которая устанавливала соединение и скрывала от пользователей работу программы.

Летом вирусная лаборатория «Доктор Веб» выпустила масштабное исследование вредоносного ПО, применявшегося в APT-атаках на государственные учреждения Казахстана и Киргизии. В рамках расследования аналитики обнаружили ранее неизвестное семейство мультимодульных троянских программ XPath, предназначенных для несанкционированного доступа к компьютерам с последующим выполнением различных вредоносных действий по команде злоумышленников. Представители семейства использовали сложный механизм заражения, при котором работа каждого модуля соответствовала определенной стадии работы вредоносной программы. Кроме того, трояны обладали руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе.

Позже в вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии. Самой интересной находкой оказался многокомпонентный троян-бэкдор ShadowPad, который, по нашим данным, может являться эволюцией другого мультимодульного APT-бэкдора — PlugX, ранее также обнаруженного в скомпрометированных сетях пострадавших организаций. Сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре было посвящено отдельное исследование.

В сентябре компания «Доктор Веб» сообщила о выявлении спам-кампании с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Для первичного заражения злоумышленники использовали электронные письма с вредоносными вложениями, при открытии которых устанавливались бэкдоры, позволяющие управлять инфицированными компьютерами. Анализ документов, вредоносных программ, а также использованной инфраструктуры свидетельствует о возможной причастности к этой атаке одной из китайских APT-групп.

В ноябре вирусные аналитики «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. Чтобы заставить потенциальных жертв открыть вложения, злоумышленники применяли методы социальной инженерии.

Касперский, eset nod32 и другие в борьбе с шифровальщиком bomber

Популярные антивирусы определяю шифровальщик bomber по-разному:

• PDM:Trojan.Win32.Generic
• Trojan.Win32.Dimnie
• Backdoor.Win32.TeamBot
• Trojan-Ransom.Win32.Purga

Я пробежался по форумам основных антивирусов и не увидел там ничего полезного. К сожалению, как обычно, антивирусы оказались не готовы к нашествию новой волны шифровальщиков. Вот сообщения с форума Kaspersky. Можно прикинуть масштаб эпидемии:

По расшифровке, к сожалению, касперский вариантов не предлагает.

Если у вас есть лицензия на антивирус, то имеет смысл написать запрос в тех. поддержку. Возможно, появятся какие-то шансы.

Почему-то я не нашел вообще обсуждения шифровальщика bomber на форумах антивируса Eset nod32 и Dr.Web. Форум касперского заполнен запросами, а у остальных на форуме тишина. Либо ими никто не пользуется, либо они защитили от этого шифровальщика и запросов у клиентов не было. Не знаю в чем дело. Обычно я там нахожу некоторую информацию по вирусам шифровальщика.

Антивирусы традиционно пропускают новые модификации троянов-шифровальщиков. И тем не менее, я рекомендую ими пользоваться. Если вам повезет, и вы получите на почту шифровальщика не в первую волну заражений, а чуть позже, есть шанс, что антивирус вам поможет. Они все работает на шаг позади злоумышленников. Выходит новая версия вымогателя, антивирусы на нее не реагируют. Как только накапливается определенная масса материала для исследования по новому вирусу, антивирусы выпускают обновление и начинают на него реагировать.

Что мешает антивирусам реагировать сразу же на любой процесс шифрования в системе, мне не понятно. Возможно, есть какой-то технический нюанс на эту тему, который не позволяет адекватно среагировать и предотвратить шифрование пользовательских файлов. Мне кажется, можно было бы хотя бы предупреждение выводить на тему того, что кто-то шифрует ваши файлы, и предложить остановить процесс.

Как расшифровать и восстановить файлы после вируса Crusis (Dharma)

Что же делать, когда вирус Crusis (Dharma) зашифровал ваши файлы, никакие описанные ранее способы не помогли, а файлы восстановить очень нужно? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

• Инструмент теневых копий windows.
• Программы по восстановлению удаленных данных

Перед дальнейшими манипуляциями я рекомендую сделать посекторный образ диска. Это позволит зафиксировать текущее состояние и если ничего не получится, то хотя бы можно будет вернуться в исходную точку и попробовать что-то еще. Дальше нужно удалить самого шифровальщика любым антивирусом с последним набором антивирусных баз. Подойдет CureIt или Kaspersky Virus Removal Tool. Можно любой другой антивирус установить в режиме триал. Этого хватит для удаления вируса.

После этого загружаемся в зараженной системе и проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

• R.saver
• Starus File Recovery
• JPEG Recovery Pro
• Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов с помощью перечисленных программ подробно показан в видео в самом конце статьи.

Можно что-то настроить на компьютере, чтобы защититься от вируса шифровальщика?

а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.

б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.

в) Включить показ расширений файлов в «Проводнике» Windows.

г) Windows обычно помечает опасные файлы скриптов VBS и JS иконкой текстового документа, что сбивает неопытных пользователей с толку. Проблему можно решить, назначив программу «Блокнот» (Notepad) приложением по умолчанию для расширений VBS и JS.

д) Можно включить в антивирусе функцию «Режим безопасных программ» (Trusted Applications Mode ), запрещающую установку и исполнение любых программ, которые не внесены в «белый список». По умолчанию она не включена, так как требует некоторого времени для настройки. Но это действительно полезная штука, особенно если пользователи у компьютера не самые продвинутые и есть риск, что они случайно запустят что-нибудь не то.

Золотая жила

Специалисты ThreatFabric отметили, что подавляющее большинство обнаруженных ими конфигураций зловредной программы нацелены на приложения банков Италии, Австралии, Испании, Нидерладнов и Великобритании. Однако российские эксперты говорят, что потенциальную угрозу Vultur представляет и для пользователей в нашей стране.

В «Лаборатории Касперского» сказали, что знают об этом вирусе с ноября 2020 года, но до сих пор не зарегистрировали ни одного случая заражения в РФ

Но прецеденты не исключены в будущем, хорошо развитый в стране мобильный банкинг может обратить внимание операторов Vultur на Россию, сказал Виктор Чебышев

Похожего мнения придерживается и руководитель направления аналитики угроз ESET Александр Пирожков. По его данным, случаев заражения Vultur в России тоже не было, но злоумышленникам ничего не мешает переписать вирус под отечественные приложения.

Троянский фон2

Фото: Global Look Press/Peter Schatz

— Потенциал Vultur позволяет адаптировать его под новые потребности злоумышленников. Если учесть, что Россия — один из лидеров по числу держателей криптокошельков, то наша страна может стать лакомой целью для операторов нового вируса, — говорит он.

В июле 2021 года аналитическое агентство Chainalysis опубликовало рейтинг стран по доходу от реализации биткоинов. В нем Россия заняла пятое место с показателем в $600 млн.

Впрочем, некоторые эксперты считают, что до тех пор, пока вирус дойдет до нашей страны, он уже перестанет быть актуальным.

— В перспективе заражение смартфонов отечественных пользователей возможно, но маловероятно. Скорее всего, разработчики исправят уязвимость раньше, чем она докатится до России, — считает Федор Музалевский.

По его словам, сейчас важно следить за обновлениями банковских приложений и не откладывать их установку

Рекомендации по дальнейшей защите компьютера

Дам несколько советов, которые помогут защитить устройство то различных вирусных программ.

1. Используйте комплексный антивирус, желательно один из самых популярных. Пускай даже если это будет бесплатная его версия. Конечно, ни один антивирус не обеспечит 100% защиты, но риск проникновения угрозы он значительно снизит.
2. Пользуйтесь почтовым клиентом, например, Outlook. Многие антивирусы имеют на вооружении сканер электронной почты, который без труда находит зловред в содержимом письма, предотвращая проникновение в систему.
3. Старайтесь не переходить по сомнительным ссылкам и не скачивать программы с неизвестных ресурсов, включая почтовые вложения. Но если это необходимо, то перед установкой или запуском какой-либо утилиты проверяйте ее антивирусом.
4. Установите в браузер расширение «WOT». Так вы сможете оценивать качество того или иного ресурса. Многие антивирусы обладают веб сканером, блокирующим переход к опасному сайту. Это их еще один большой плюс.

Однако, если потерянную информацию вернуть не удалось, то все равно сохраните закодированные файлы, возможно, что совсем скоро появится нормальный дешифратор crypted000007.

О том, как обнаружить и удалить угрозу

Перед тем, как приступать к расшифровке файлов crypted000007, необходимо найти и удалить вирус с компьютера.

Поэтому настоятельно рекомендую следующее:

1. После обнаружения хотя-бы одного закодированного файла, незамедлительно выключить компьютер.
2. Затем с другого устройства скачать антивирусные программы, включая бесплатную утилиту от Доктор Веб, Malwarebytes Anti-Malware и AVZ.
3. Войти в безопасный режим. Таким образом вы деактивируете вымогатель. Для его запуска при старте компьютера нужно нажимать клавишу «F8» до появления соответствующего окна.
4. Провести полную проверку системы и вылечить компьютер от найденных угроз.

Ручной способ обнаружения:

1. Чаще всего шифровальщик crypted000007 встраивается в системный компонент csrss.exe для несения своей вредоносной деятельности. Однако, в некоторых случаях могут использоваться и другие названия. Определить потенциальные угрозы можно открыв диспетчер задач и перейдя во вкладку «Процессы».
2. Отсортируйте значения и посмотрите, какой процесс больше всего расходует ресурсов процессора или оперативной памяти.
3. Нажмите по нему правой мышкой и выберите пункт «Открыть место хранения». Также можно воспользоваться обычным поиском через «Мой компьютер».
4. Удалите найденный компонент с диска.
5. Откройте редактор реестра комбинацией «WIN+R», выполнив команду «regedit». Перед тем, как начать работу с реестром, рекомендую сделать бэкап.
6. Нажмите «Ctrl+F» и произведите поиск по названию, в моем случае это csrss.exe.
7. Удалите найденные упоминания в реестре и перезагрузите компьютер.
8. Заново откройте диспетчер задач и убедитесь, что опасный процесс был успешно удален из системы.

После того, как удаление вируса crypted000007 будет успешно завершено, можно приступать к расшифровке файлов.

Как расшифровать и восстановить файлы .harma

Скачать Kaspersky RakhniDecryptor

Используйте следующий инструмент от Kaspersky под названием Rakhni Decryptor, который может расшифровать файлы .harma. Загрузите его здесь:

Скачать RakhniDecryptor

Dr.Web Rescue Pack

Известный производитель антивирусов Dr.Web предоставляет бесплатную услугу дешифрования для владельцев своих продуктов: Dr.Web Security Space или Dr.Web Enterprise Security Suite. Другие пользователи могут обратиться за помощью в расшифровке .harma файлов, загрузив образцы в Службу дешифрования программ-вымогателей Dr.Web. Анализ файлов будет проводиться бесплатно, и если файлы поддаются расшифровке, все, что вам нужно сделать, это приобрести двухлетнюю лицензию на Dr.Web Security Space стоимостью 2 долларов или меньше. В таком случае вам не придется платить выкуп.

Если вы заразились Dharma-Harma Ransomware и удалили его со своего компьютера, то вы можете попытаться расшифровать свои файлы. Поставщики антивирусов и частные лица создают бесплатные дешифраторы для некоторых крипто-блокировщиков. Чтобы попытаться расшифровать их вручную, вы можете сделать следующее:

Используйте Stellar Data Recovery Professional для восстановления файлов .harma

1. Скачать Stellar Data Recovery Professional.
2. Нажмите Восстановить данные кнопку.
3. Выберите тип файлов, которые хотите восстановить, и нажмите на Далее кнопку.
4. Выберите место, откуда хотите восстановить файлы, и нажмите Просканировать кнопку.
5. Просмотрите найденные файлы, выберите те, которые хотите восстановить, и нажмите Восстановить.

Скачать Stellar Data Recovery Professional

Использование опции предыдущих версий файлов в Windows:

1. Щелкните на зараженный файл правой кнопкой мыши и выберите Свойства.
2. Выберите Предыдущие версии меню.
3. Выберите конкретную версию файла и нажмите Копировать.
4. Чтобы восстановить выбранный файл и заменить существующий, нажмите на Восстановить кнопку.
5. Если в списке нет элементов, выберите альтернативный метод.

Использование Shadow Explorer:

1. Скачать Shadow Explorer программу.
2. Запустите ее, и вы увидите на экране список всех дисков и даты создания теневых копий.
3. Выберите диск и дату, с которой вы хотите восстановить.
4. Щелкните правой кнопкой мыши на имя папки и выберите Экспортировать.
5. Если в списке нет других дат, выберите альтернативный метод.

Если вы используете Dropbox:

1. Войдите на сайт DropBox и перейдите в папку, содержащую зашифрованные файлы.
2. Щелкните правой кнопкой мыши на зашифрованный файл и выберите Предыдущие версии.
3. Выберите версию файла, которую хотите восстановить, и нажмите на Восстановить кнопку.

Методы защиты от вируса bomber

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву.
4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседневной работе с документами вам вряд ли попадаются подобные расширения файлов.
6. Не скачивайте и не используйте дистрибутивы и портированные версии программ из непроверенных источников. Проверенными источниками являются в первую очередь сайты авторов программ, либо проверенные порталы. То, что вы найдете в топе выдачи поисковых систем может оказаться зараженным.

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику bomber в целом.

Описание вируса шифровальщика bomber

Новый шифровальщик bomber принципиально ничем не отличается от всего того, что я видел ранее. Распространяется в основном по почте, используя социнжинерию, чтобы спровоцировать пользователя запустить вложение.

В качестве заманухи используются поддельные письма из налоговой, сбербанка. Для юрлиц может мимикрировать под письмо контрагента с просьбой сделать бухгалтерскую сверку или что-то подобное.

Отсюда сразу же логичное предупреждение — никогда не открывайте неизвестные вложения в письмах. Все об этом знают, и тем не менее почтовые вложения — основной источник распространения вирусов шифровальщиков.

Помимо почты вирус можно подцепить на всяких программах для быстрого обогащения, на кряках, на скачивании популярного софта с неизвестных сайтов. Например, adobe reader или 7zip стоит качать только с сайтов производителей, и ниоткуда более. Популярный прием для распространения вирусов — разместить зараженный инсталлятор на стороннем сайте и продвинуть этот сайт в топ поисковой выдачи. Даже 3-4 место в выдаче обеспечивает стабильный поток зараженных компьютеров.

Отдельно обращаю внимание на портированные версии программ. Сам нередко ими пользуюсь и раньше проблем с ними не было

Но последнее время получаю информацию, что в портированные версии популярных программ частенько внедряют вирусы. Причем, не обязательно шифровальщики. Вы можете даже не знать, что вместе с нормальной программой у вас работает вирус. Я бы не рекомендовал без особой необходимости пользоваться репаками популярных программ, особенно платных, в портированных версиях.

После того, как началась эпидемия шифровальщика bomber, я почитал темы на форумах антивирусов на эту тему. Заметил, что иногда вирус распространяется через teamviewer, который злоумышленники каким-то образом ставят на компьютер жертвы. Каким образом он туда попадает, я не понял. И так же популярен кейс, когда заражение идет через портированную версию 7zip — 7-ZipPortable.exe, которая появляется в профиле пользователя. Как он туда попадает, тоже не понятно.

После работы вируса шифровальщика bomber вы увидите текстовый файл КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT примерно такого содержания:

Почтовые ящики [email protected] ([email protected], [email protected]) могут быть другими, но пока используются именно эти.

Файл чаще всего раскидан по всему компьютеру:

• На рабочем столе;
• Документах пользователя;
• В папке с загрузками;
• В профиле и т.д.

Причем не только в директориях текущего пользователя, который запустил шифровальщика, но и у других пользователей.

Где скачать дешифратор spora ransomware

Прежде чем начинать восстанавливать файлы самостоятельно, можно попробовать поискать дешифратор для spora ransomware. Существует сайт https://www.nomoreransom.org, на котором собраны дешифраторы для некоторых шифровальщиков. Можно попытать счастья и проверить, есть ли там рабочий дешифратор для spora, который позволит очень быстро и просто расшифровать файлы.

Сразу хочу предупредить, что шансов найти рабочий дешифратор не много, но вдруг повезет? Попытка не пытка. Идем на сайт, на главной странице нажимаем на YES.

Выбираем парочку зашифрованных файлов и отправляем их на сервер для подбора дешифратора.

Мне не повезло. На момент написания статьи дешифратор для spora ransomware отсутствовал.

Список существующих дешифраторов для шифровальщиков можно посмотреть в отдельном разделе https://www.nomoreransom.org/decryption-tools.html. Возможно, когда-нибудь там появится что-то и для spora. Наличие такого количества готовых дешифраторов позволяет думать, что теоретически это возможно, хотя я и не очень представляю как это возможно с текущей реализацией алгоритма шифрования.

Есть ли еще возможность найти рабочий дешифратор для шифровальщика spora ransomware я не знаю. Думаю, что нет. А если кто-то будет предлагать его продать, да еще и по небольшой цене, то скорее всего это будет мошенник.

Никогда не покупайте дешифраторы, если вам предварительно не предоставят 100% гарантии его работы на примере нескольких, а еще лучше всех файлов.

Перспективы и вероятные тенденции

Прошедший год продемонстрировал устойчивое распространение не только массового вредоносного ПО, но и APT-угроз, с которыми сталкивались организации по всему миру.

В 2021 году следует ожидать дальнейшего распространения цифрового вымогательства, при этом целевым атакам с использованием троянов-шифровальщиков все чаще будут подвержены частные компании и корпоративный сектор. Этому способствует развитие модели RaaS (Ransomware as a Service — вымогательство как услуга), а также ощутимый для хакерских группировок результат, стимулирующий их преступную деятельность. Возможное сокращение расходов на информационную безопасность также может привести к стремительному росту числа подобных инцидентов.

Пользователям по-прежнему будет угрожать массовое вредоносное программное обеспечение —банковские и рекламные трояны, майнеры и шифровальщики, а также шпионское ПО. Стоит также готовиться к появлению новых мошеннических схем и фишинговых кампаний, с помощью которых злоумышленники будут пытаться завладеть не только деньгами, но и персональными данными.

Владельцы устройств под управлением macOS, Android, Linux и других операционных систем останутся под пристальным вниманием вирусописателей, и вредоносное ПО продолжит свое распространение на эти платформы. Также можно ожидать, что участятся и станут более изощренными атаки на устройства интернета вещей

Можно с уверенностью сказать, что киберпреступники продолжат использовать для своего обогащения любые методы, поэтому пользователям необходимо соблюдать правила информационной безопасности и применять надежные антивирусные средства на всех устройствах.

Что такое CryLock Ransomware

CryLock Ransomware буквально заставляет пользователей горевать о своих данных, которые были зашифрованы после внезапного проникновения. Являясь одной из версий Cryakl Ransomware, этот вирус использует криптографические алгоритмы для надежного шифрования и требования уплаты выкупа. В отличие от других программ-вымогателей, которые используют одно общее расширение для каждого файла, эта конкретная программа присваивает новое имя затронутым файлам, которое состоит из электронной почты злоумышленников, личного идентификатора жертвы и случайного трехзначного расширения. Например, незараженный 1.mp4 будет переименован в 1.mp4 .ycs, 2.mp4 .wkm, и аналогично. Некоторые жертвы испытали подобное изменение 1.mp4.. По завершении процесса шифрования CryLock отобразит окно, содержащее сведения о выкупе.

Мошенники утверждают, что цена зависит от того, насколько быстро вы ответите на их сообщение. Чтобы восстановить файлы, вам необходимо установить связь по электронной почте и купить ключ дешифрования (предположительно в BTC). Часто попытка самостоятельно расшифровать файлы может способствовать восстановлению файлов. Вместо этого вы должны использовать наше руководство, чтобы удалить вирус со своего компьютера и попытаться расшифровать свои данные.

Возможность восстановления файлов после Bomber

***

Но если Bomber не удаляет теневые копии файлов после их шифрования, то существует возможность их восстановить.
Это означает, что если служба теневого копирования была включена до заражения и полное шифрование диска по какой-то причине не произошло, жертва может восстановить зашифрованные файлы, используя стандартные средства Windows или сторонние утилиты.

Вариант 1. Проверьте наличие резервных копий в Windows 7 или Windows 8, 8.1 и 10

В Windows есть встроенные инструменты для резервного копирования.

В Windows 7 резервная копия удаленного файла может быть сохранена даже в том случае, если вы ничего специально не настраивали. Для того, чтобы узнать, имеются ли предыдущие состояния той или иной папки, кликните по ней (именно по папке) правой кнопкой мыши и выберите пункт «Показать предыдущую версию».

После этого, вы сможете увидеть резервные копии папки и нажать «Открыть» для того, чтобы посмотреть ее содержимое. Возможно, вы сможете найти там важный удаленный файл.

В Windows 8, 8.1 и 10 имеется функция «История файлов», однако, если вы ее специально не включали, вам не повезло — по умолчанию эта функция отключена. Если же все-таки история файлов задействована, то просто перейдите в ту папку, где располагался файл и нажмите кнопку «Журнал» на панели.

Как лечить компьютер и удалить вымогатель spora ransomware

После того, как вы узнали, что все ваши файлы зашифрованы, нужно определиться, что вы будете делать дальше. Если у вас есть бэкапы и расшифровка файлов вам не требуется, то можно смело переходить к лечению компьютера и удалению вируса. Как и все остальные вирусы шифровальщики, удалить из системы его не трудно. Та модификация, что попалась мне, вообще ничего особенного с системой не делала, нигде себя не прописывала — ни в реестре, ни в автозапуске. Все, что сделал вирус, это создал несколько файлов. 3 файла в папке с профилем пользователя C:\Users\user\AppData\Roaming:

• RU15C-ACXRT-RTZTZ-TOGTO.HTML — html страничка с информацией о заражении и входе в личный кабинет на сайте злоумышленников.
• RU15C-ACXRT-RTZTZ-TOGTO.KEY — файл с ключами, на основе которых можно купить дешифратор.
• RU15C-ACXRT-RTZTZ-TOGTO.LST — файл со списком ваших зашифрованных файлов.

Эти же 3 файла будут продублированы в папке C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates. На рабочем столе пользователя будут лежать первые два файла из списка. Все эти файлы носят информационный характер и непосредственной опасности не представляют. Сам вирус будет находиться в папке C:\Users\user\AppData\Local\Temp. Вот список файлов оттуда, относящиеся к spora:

• 4a0f17b9936.exe — непосредственно вирус.
• close.js — javaScript-файл, который создает исполняемый файл с вирусом.
• doc_113fce.docx — поддельный документ.
• 1С.a01e743_рdf.hta — вложение из почты.

Этот список файлов представляет непосредственную опасность и его в первую очередь надо удалить. Ни в коем случае не копируйте эти файлы на флешку или куда-то еще. Если случайно запустите на другом компьютере, то потеряете и там все данные. Если вам нужно сохранить для последующего разбора файлы с вирусами, то добавьте их в зашифрованный архив.

Удаления этих файлов достаточно для того, чтобы избавиться от вируса шифровальщика

Но хочу обратить внимание, что модификации могут быть разные. Я видел в интернете информацию о том, что этот вирус иногда ведет себя как троян, создает копии системных папок в виде ярлыка, скрывает настоящие системные папки, а в свойствах запуска ярлыков добавляет себя

Таким образом, после расшифровки файлов, ваша карета снова может превратиться в тыкву.

После ручного удаления вируса, рекомендую воспользоваться бесплатными инструментами от популярных антивирусов. Подробнее об этом я уже рассказывал ранее на примере вируса . Можете воспользоваться приведенными там рекомендациями. Они актуальны и для вируса spora.

Я рекомендую после расшифровки файлов, сразу же переустановить систему Windows. Только это может дать 100% гарантию, что на компьютер очищен полностью.

Если вам необходимо любой ценой восстановить зашифрованные файлы, а самостоятельно вы это сделать не можете, рекомендую сразу обращаться к профессионалам. Неправильные ваши действия могут привести к тому, что файлы вы вообще не сможете получить назад. Как минимум, вам нужно снять посекторный образ системы и сохранить его, прежде чем вы сами начнете что-то делать. Как сделать образ системы рассказывать не буду, это выходит за рамки данной статьи.

Подведем итог. После того, как ваш компьютер был зашифрован, правильная последовательность действий для возможной расшифровки файлов и лечения компьютера следующая:

1. Отключаем компьютер от сети.
2. Сохраняем файлы с расширением .KEY и .LST.
3. Делаем полный посекторный образ дисков с информацией, загрузившись с Live CD.
4. Удаляем вирус с компьютера.
5. Пробуем восстановить файлы самостоятельно.
6. Переустанавливаем Windows.

Для мобильных устройств

В 2020 году владельцам Android-устройств угрожали различные вредоносные и нежелательные приложения. Например, пользователи часто сталкивались со всевозможными рекламными троянами, которые показывали надоедливые уведомления и баннеры. Среди них было множество вредоносных программ семейства Android.HiddenAds, распространявшихся в том числе через каталог Google Play. В течение года вирусные аналитики «Доктор Веб» выявили в нем десятки этих троянов, которых загрузили более 3 300 000 пользователей. На долю таких вредоносных приложений пришлось свыше 13% от общего числа угроз, выявленных на Android-устройствах.

Кроме того, в марте вирусные аналитики обнаружили в Google Play многофункционального трояна Android.Circle.1, которой получал команды с BeanShell-скриптами и также мог показывать рекламу. Помимо этого, он мог переходить по ссылкам, загружать веб-сайты и нажимать на размещенные там баннеры. Позднее были найдены и другие вредоносные программы, принадлежащие к этому семейству.

Другой угрозой, с которой часто сталкивались пользователи, стали всевозможные трояны-загрузчики. Среди них были многочисленные представители семейства Android.RemoteCode, скачивающие и выполняющие произвольный код. На их долю пришлось более 14% угроз, выявленных антивирусными продуктами Dr.Web для Android. Кроме того, владельцам Android-устройств угрожали трояны семейств Android.DownLoader и Android.Triada, загружавшие и устанавливавшие другие приложения.

Наряду с троянами-загрузчиками широкое распространение получили потенциально опасные утилиты, позволяющие запускать программы без их установки. Среди них — утилиты Tool.SilentInstaller и Tool.VirtualApk. Вирусописатели активно применяли их для распространения различного ПО, получая вознаграждение от партнерских сервисов.

Для распространения вредоносных и нежелательных приложений злоумышленники активно эксплуатировали тему пандемии коронавируса. Например, они создавали различные мошеннические сайты, на которых жертвам предлагалось установить справочные или медицинские программы, связанные с коронавирусной инфекцией, а также приложения для получения материальной помощи. В действительности с таких сайтов на Android-устройства загружались шпионские программы, различные банковские трояны, трояны-вымогатели и другое вредоносное ПО.

В течение года вирусные аналитики «Доктор Веб» выявили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, предназначенных для загрузки мошеннических сайтов. Злоумышленники выдавали этих троянов за справочники с информацией о социальных выплатах и компенсациях. В период пандемии и непростой экономической ситуации пользователей интересовали такие сведения, и на уловку киберпреступников попалось множество владельцев Android-устройств.

Также в 2020 году на Android-устройствах было выявлено множество приложений, позволяющих следить за их владельцами. Они могли применяться для кибершпионажа и собирать широкий спектр персональной информации — переписку, фотографии, документы, список контактов, информацию о местоположении, сведения о контактах, телефонных разговорах и т. д.