Гаджеты

Вирусная программа файл rsa расширение enigma. Вирус-шифровальщик: как вылечить и расшифровать файлы? Расшифровка файлов после вируса-шифровальщика. Описание вируса шифровальщика enigma

21.09.2023

Современные технологии позволяют хакерам постоянно совершенствовать способы мошенничества по отношению к обычным пользователям. Как правило, для этих целей используется вирусное ПО, проникающее на компьютер. Особенно опасным считаются вирусы-шифровальщики. Угроза заключается в том, что вирус очень быстро распространяется, зашифровывая файлы (пользователь попросту не сможет открыть ни один документ). И если довольно просто, то куда сложнее расшифровать данные.

Что делать, если вирус зашифровал файлы на компьютере

Подвергнуться атаке шифровальщика может каждый, не застрахованы даже пользователи, у которых стоит мощное антивирусное ПО. Трояны шифровальщики файлов представлены различным кодом, который может быть не под силу антивирусу. Хакеры даже умудряются атаковать подобным способом крупные компании, которые не позаботились о необходимой защите своей информации. Итак, «подцепив» в онлайне программу шифровальщик, необходимо принять ряд мер.

Главные признаки заражения – медленная работа компьютера и изменение наименований документов (можно заметить на рабочем столе).

  1. Перезапустите компьютер, чтобы прервать шифрование. При включении не подтверждайте запуск неизвестных программ.
  2. Запустите антивирус, если он не подвергся атаке шифровальщика.
  3. Восстановить информацию в некоторых случаях помогут теневые копии. Чтобы найти их, откройте «Свойства» зашифрованного документа. Этот способ работает с зашифрованными данными расширения Vault, о котором есть информация на портале.
  4. Скачайте утилиту последней версии для борьбы с вирусами-шифровальщиками. Наиболее эффективные предлагает «Лаборатория Касперского».

Вирусы-шифровальщики в 2016: примеры

При борьбе с любой вирусной атакой важно понимать, что код очень часто меняется, дополняясь новой защитой от антивирусов. Само собой, программам защиты нужно какое-то время, пока разработчик не обновит базы. Нами были отобраны самые опасные вирусы-шифровальщики последнего времени.

Ishtar Ransomware

Ishtar – шифровальщик, вымогающий у пользователя деньги. Вирус был замечен осенью 2016 года, заразив огромное число компьютеров пользователей из России и ряда других стран. Распространяется при помощи email-рассылки, в которой идут вложенные документы (инсталляторы, документы и т.д.). Зараженные шифровальщиком Ishtar данные, получают в названии приставку «ISHTAR». В процессе создается тестовый документ, в котором указано, куда обратиться за получением пароля. Злоумышленники требует за него от 3000 до 15000 рублей.

Опасность вируса Ishtar в том, что на сегодняшний день нет дешифратора, который бы помог пользователям. Компаниям, занимающимся созданием антивирусного ПО, необходимо время, чтобы расшифровать весь код. Сейчас можно лишь изолировать важную информацию (если представляют особую важность) на отдельный носитель, дожидаясь выхода утилиты, способной расшифровать документы. Рекомендуется переустановить операционную систему.

Neitrino

Шифровальщик Neitrino появился на просторах Сети в 2015 году. По принципу атаки схож с другими вирусами подобной категории. Изменяет наименования папок и файлов, добавляя «Neitrino» или «Neutrino». Дешифрации вирус поддается с трудом – берутся за это далеко не все представители антивирусных компаний, ссылаясь на очень сложный код. Некоторым пользователям может помочь восстановление теневой копии. Для этого кликните правой кнопкой мыши по зашифрованному документу, перейдите в «Свойства», вкладка «Предыдущие версии», нажмите «Восстановить». Не лишним будет воспользоваться и бесплатной утилитой от «Лаборатории Касперского».

Wallet или .wallet.

Появился вирус-шифровальщик Wallet в конце 2016 года. В процессе заражения меняет наименование данных на «Имя..wallet» или похожее. Как и большинство вирусов-шифровальщиков, попадает в систему через вложения в электронных письмах, которые рассылают злоумышленники. Так как угроза появилась совсем недавно, антивирусные программы не замечают его. После шифрации создает документ, в котором мошенник указывает почту для связи. В настоящее время разработчики антивирусного ПО работают над расшифровкой кода вируса-шифровальщика [email protected]. Пользователям, подвергшимся атаке, остается лишь ждать. Если важны данные, то рекомендуется их сохранить на внешний накопитель, очистив систему.

Enigma

Вирус-шифровальщик Enigma начал заражать компьютеры российских пользователей в конце апреля 2016 года. Используется модель шифрования AES-RSA, которая сегодня встречается в большинстве вирусов-вымогателей. На компьютер вирус проникает при помощи скрипта, который запускает сам пользователь, открыв файлы из подозрительного электронного письма. До сих пор нет универсального средства для борьбы с шифровальщиком Enigma. Пользователи, имеющие лицензию на антивирус, могут попросить о помощи на официальном сайте разработчика. Так же была найдена небольшая «лазейка» – Windows UAC. Если пользователь нажмет «Нет» в окошке, которое появляется в процессе заражения вирусом, то сможет впоследствии восстановить информацию при помощи теневых копий.

Granit

Новый вирус-шифровальщик Granit появился в Сети осенью 2016 года. Заражение происходит по следующему сценарию: пользователь запускает инсталлятор, который заражает и шифрует все данные на ПК, а также подключенных накопителях. Бороться с вирусом сложно. Для удаления можно воспользоваться специальными утилитами от Kaspersky, но расшифровать код еще не удалось. Возможно, поможет восстановление предыдущих версий данных. Помимо этого, расшифровать может специалист, который имеет большой опыт, но услуга стоит дорого.

Tyson

Был замечен недавно. Является расширением уже известного шифровальщика no_more_ransom, о котором вы можете узнать на нашем сайте. Попадает на персональные компьютеры из электронной почты. Атаке подверглось много корпоративных ПК. Вирус создает текстовый документ с инструкцией для разблокировки, предлагая заплатить «выкуп». Шифровальщик Tyson появился недавно, поэтому ключа для разблокировки еще нет. Единственный способ восстановить информацию – вернуть предыдущие версии, если они не подверглись удалению вирусом. Можно, конечно, рискнуть, переведя деньги на указанный злоумышленниками счет, но нет гарантий, что вы получите пароль.

Spora

В начале 2017 года ряд пользователей стал жертвой нового шифровальщика Spora. По принципу работы он не сильно отличается от своих собратьев, но может похвастаться более профессиональным исполнением: лучше составлена инструкция по получению пароля, веб-сайт выглядит красивее. Создан вирус-шифровальщик Spora на языке С, использует сочетание RSA и AES для шифрования данных жертвы. Атаке подверглись, как правило, компьютеры, на которых активно используется бухгалтерская программа 1С. Вирус, скрываясь под видом простого счета в формате.pdf, заставляет работников компаний запускать его. Лечение пока не найдено.

1C.Drop.1

Этот вирус-шифровальщик для 1С появился летом 2016 года, нарушив работу многих бухгалтерий. Разработан был специально для компьютеров, на которых используется программное обеспечение 1С. Попадая посредством файла в электронном письме на ПК, предлагает владельцу обновить программу. Какую бы кнопку пользователь не нажал, вирус начнет шифрование файлов. Над инструментами для расшифровки работают специалисты «Dr.Web», но пока решения не найдено. Виной тому сложный код, который может быть в нескольких модификациях. Защитой от 1C.Drop.1 становится лишь бдительность пользователей и регулярное архивирование важных документов.

da_vinci_code

Новый шифровальщик с необычным названием. Появился вирус весной 2016 года. От предшественников отличается улучшенным кодом и стойким режимом шифрования. da_vinci_code заражает компьютер благодаря исполнительному приложению (прилагается, как правило, к электронному письму), который пользователь самостоятельно запускает. Шифровальщик «да Винчи» (da vinci code) копирует тело в системный каталог и реестр, обеспечивая автоматический запуск при включении Windows. Компьютеру каждой жертвы присваивается уникальный ID (помогает получить пароль). Расшифровать данные практически невозможно. Можно заплатить деньги злоумышленникам, но никто не гарантирует получения пароля.

[email protected] / [email protected]

Два адреса электронной почты, которыми часто сопровождались вирусы-шифровальщики в 2016 году. Именно они служат для связи жертвы со злоумышленником. Прилагались адреса к самым разным видам вирусов: da_vinci_code, no_more_ransom и так далее. Крайне не рекомендуется связываться, а также переводить деньги мошенникам. Пользователи в большинстве случаев остаются без паролей. Таким образом, показывая, что шифровальщики злоумышленников работают, принося доход.

Breaking Bad

Появился еще в начале 2015 года, но активно распространился только через год. Принцип заражения идентичен другим шифровальщикам: инсталляция файла из электронного письма, шифрование данных. Обычные антивирусы, как правило, не замечают вирус Breaking Bad. Некоторый код не может обойти Windows UAC, поэтому у пользователя остается возможность восстановить предыдущие версии документов. Дешифратора пока не представила ни одна компания, разрабатывающая антивирусное ПО.

XTBL

Очень распространенный шифровальщик, который доставил неприятности многим пользователям. Попав на ПК, вирус за считанные минуты изменяет расширение файлов на.xtbl. Создается документ, в котором злоумышленник вымогает денежные средства. Некоторые разновидности вируса XTBL не могут уничтожить файлы для восстановления системы, что позволяет вернуть важные документы. Сам вирус можно удалить многими программами, но расшифровать документы очень сложно. Если является обладателем лицензионного антивируса, воспользуйтесь технической поддержкой, приложив образцы зараженных данных.

Kukaracha

Шифровальщик «Кукарача» был замечен в декабре 2016 года. Вирус с интересным названием скрывает пользовательские файлы при помощи алгоритма RSA-2048, который отличается высокой стойкостью. Антивирус Kaspersky обозначил его как Trojan-Ransom.Win32.Scatter.lb. Kukaracha может быть удален с компьютера, чтобы заражению не подверглись другие документы. Однако зараженные на сегодняшний день практически невозможно расшифровать (очень мощный алгоритм).

Как работает вирус-шифровальщик

Существует огромное число шифровальщиков, но все они работают по схожему принципу.

  1. Попадание на персональный компьютер. Как правило, благодаря вложенному файлу к электронному письму. Инсталляцию при этом инициирует сам пользователь, открыв документ.
  2. Заражение файлов. Подвергаются шифрации практически все типы файлов (зависит от вируса). Создается текстовый документ, в котором указаны контакты для связи со злоумышленниками.
  3. Все. Пользователь не может получить доступа ни к одному документу.

Средства борьбы от популярных лабораторий

Широкое распространение шифровальщиков, которые признаются наиболее опасными угрозами для данных пользователей, стало толчком для многих антивирусных лабораторий. Каждая популярная компания предоставляет своим пользователям программы, помогающие бороться с шифровальщиками. Кроме того, многие из них помогают с расшифровкой документов защитой системы.

Kaspersky и вирусы-шифровальщики

Одна из самых известных антивирусных лабораторий России и мира предлагает на сегодня наиболее действенные средства для борьбы с вирусами-вымогателями. Первой преградой для вируса-шифровальщика станет Kaspersky Endpoint Security 10 с последними обновлениями. Антивирус попросту не пропустит на компьютер угрозу (правда, новые версии может не остановить). Для расшифровки информации разработчик представляет сразу несколько бесплатных утилит: , XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Они помогают отыскивать вирус и подбирают пароль.

Dr. Web и шифровальщики

Эта лаборатория рекомендует использовать их антивирусную программу, главной особенностью которой стало резервирование файлов. Хранилище с копиями документов, кроме того, защищено от несанкционированного доступа злоумышленников. Владельцам лицензионного продукта Dr. Web доступна функция обращения за помощью в техническую поддержку. Правда, и опытные специалисты не всегда могут противостоять этому типу угроз.

ESET Nod 32 и шифровальщики

В стороне не осталась и эта компания, обеспечивая своим пользователям неплохую защиту от проникновения вирусов на компьютер. Кроме того, лаборатория совсем недавно выпустила бесплатную утилиту с актуальными базами – Eset Crysis Decryptor. Разработчики заявляют, что она поможет в борьбе даже с самыми новыми шифровальщиками.

Довелось на днях познакомиться с очередной разновидностью вирусной гадости, которая приводит к потере всех полезных пользовательских данных. Речь пойдет о вирусе-шифровальщике, который рассылается по почте, шифрует файлы разных форматов и ставит расширение.enigma. Я расскажу о принципе его работы и о том, как бороться с подобными вирусами.

Гарантированная расшифровка файлов после вируса шифровальщика — dr.shifro.ru. Подробности работы и схема взаимодействия с заказчиком ниже в статье в соответствующем разделе под номером 7 в Содержании.

Описание вируса шифровальщика enigma

Этот вирус очень похож на тот, что я уже описывал — . В технические детали нового вируса enigma я не вникал, но внешне для пользователя все выглядит примерно так же.

Начинается все с того, что вам на почту приходит письмо. В моем случае содержание было следующим:

Моя мама приобрела у вас 5 назад продукцию
Ваша конторка пересчитала нас!
Прошу вас, разберитесь eще раз справку о покупкe. Жду отвeта

Отправитель ящик на mail.ru, причем настоящий.

В письме вложение счет.html . Оно представляет собой страничку html. Если ее открыть в браузере, то увидите следующее содержание:

счет_покупки.doc является гиперссылкой, по которой «скачивается» вирус. Реально он не скачивается, он уже у вас на компьютере, но его надо запустить. До этого момента он еще не запущен. Если вы нажимаете на эту ссылку, то вам предлагается «скачать» zip файл счет_покупки.zip . В нем находится файл счет_покупки(распечатка текстового документа).js , он и является непосредственно вирусом. Только после его запуска у вас начнется процесс шифрования файлов.

При этом выскочит первое окошко:

А затем второе:

Это обманные сообщения, для того, чтобы в следующем окошке:

Вы нажали Да при выводе предупреждения от системы контроля учетных записей:

На самом деле, если вы тут согласитесь на выполнение команды, то потеряете все ваши теневые копии и не сможете восстановить данные. Если у вас отключен UAC, то вирус автоматом удалит теневые копии и восстановление данных с помощью них станет невозможным.

После нескольких запросов от UAC они прекратятся. В это время вирус уже зашифровал все ваши данные, которые посчитал полезными. В моем случае это были все форматы microsoft office (xlsx, docx и др.), pdf файлы, изображения различных форматов, архивы.

В моем случае по сетевым папкам вирус не прошел. Не знаю по какой причине, либо не умеет, либо не успел. Как только на компьютере заметили вирус, сразу его выключили.

По завершении шифрования файлов вы получите сообщение примерно следующего содержания:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение.ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор

C:\Users\user\Desktop\ENIGMA_338.RSA — Путь к файлу-ключу на рабочем столе
C:\Users\user\AppData\Local\Temp\ENIGMA_338.RSA — Путь к файлу-ключу в TMP папке

Это сообщение развернуто на весь экран без возможности закрытия без диспетчера задач:

На рабочем столе появляются 2 файла:

  • ENIGMA_338.RSA
  • enigma_encr.html

Первый это некий ключ, по которому вы сможете зайти на сайт злоумышленников, на основе него они вам выдадут ключ для дешифровки. Второй файл это копия информационного сообщения, приведенного выше.

Вот описание принципа работы нового вируса шифровальщика enigma. Если бы мне кто-нибудь рассказал, что люди сами проделывают все описанные выше операции, я бы не поверил, если бы сам это не наблюдал. Секретарю пришло письмо и она выполнила всю последовательность описанных действий. В итоге все ее файлы на компьютере зашифровались. Не помог антивирус Kaspersky с свежими базами на день заражения. Я потом вручную просканировал все файлы, которые имеют отношение к этому вирусу, антивирус не нашел ничего подозрительного ни в одном из них. Спрашивается, какой в них смысл. В предыдущей моей встрече с шифровальщиком vault на компьютерах стоял лицензионный актуальный nod32, но он тоже не помог. После этих двух случаев я вообще считаю современные антивирусы бесполезными. Они не дают защиты от современных угроз.

Пользователи имели включенные антивирусы с последними базами, но это их нисколько не спасло от полной потери всей своей информации. Я, конечно, понимаю, что они сами себе виноваты в том, что запускают вирусы. Но тем не менее, это достаточно типичное поведение для большой группы пользователей. Почему нельзя выводить хотя бы предупреждение от антивируса о том, что у вас начался процесс шифрования файлов, мне не понятно.

Вирус ставит расширение enigma на doc, jpg, xls и других файлах

Вирус шифровальщик enigma у нас поработал и зашифровал все документы и картинки различных форматов. Все файлы теперь имеют расширение.enigma. Я на всякий случай попробовал удалить расширение enigma вручную на стандартное в надежде, что это какая-то подделка под настоящий шифровальщик. Такая надежда у меня теплилась из-за полного отсутствия реакции от антивируса. Но ожидания не оправдались. Смена расширения ни к чему не привела, файл не открывался. Судя по всему он действительно зашифрован с помощью AES-RSA.

После того, как вирус зашифрует все файлы и выведет оповещение о своей работе, шифрование прекратится. Все новые файлы, созданные после этого зашифрованы не будут. По крайней мере в той версии вируса, что попала ко мне. Я специально это проверил, создав новые файлы и перезагрузившись. Новые файлы остались не тронутыми. Вирус удаляет exe файл после окончания своей работы. Если вы еще раз не будете запускать шифровальщик, новые файлы не пострадают.

Как удалить вирус enigma и вылечить компьютер

Что делать, если вирус enigma уже у вас на компьютере? Шифровальщик enigma не очень въедливый и не представляет сложности для удаления. Чтобы вылечить компьютер, достаточно удалить остатки вируса и почистить автозагрузку, чтобы не выскакивало сообщение. Конкретно моя модификация вируса создавала в папке C:\Users\user\AppData\Local\Temp несколько файлов:

  • enigma.hta
  • ENIGMA_338.RSA (ключ доступа для расшифровки)
  • enigma_encr.html (информационное сообщение)
  • falcon9.falcon
  • workstatistic.dat

Был еще исполняемый файл 6afee960284667dab3f5430f708f58ce.exe , его вирус сам подчищает после завершения работы. Файлы RSA и html дополнительно копировались на рабочий стол пользователя.

Для запуска сообщения при загрузке компьютера и для продолжения шифрования, если оно не было закончено, используются записи в реестре в ветке автозапуска:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Создаются 2 ключа:

"adfaccaffdcad"="\"C:\\Users\\user\\AppData\\Local\\Temp\\6afee960284667dab3f5430f708f58ce.exe\" " "adfaccaffdcadba"="\"C:\\Users\\user\\AppData\\Local\\Temp\\enigma.hta\" "

Их нужно удалить вместе с приведенным выше файлами. Этого достаточно для лечения компьютера и полного удаления вируса enigma.

Как восстановить и расшифровать файлы после вируса enigma

Что делать,чтобы восстановить зашифрованные файлы? Я поискал информацию об этом вирусе в интернете. Упоминания есть, но не так много. Скорее всего эта модификация не очень популярна, но все же встречается. В тот момент, когда я первый раз столкнулся с вирусом enigma, в интернете не было информации об успешной расшифровке файлов либо о существовании дешифратора enigma.

Когда я сел писать эту статью, проверил интернет еще раз. На форуме esetnod32 появились свежие записи о том, что техподдержка может предоставить дешифратор: «Техподдержка прислала дешифратор, расшифровал все!!! Спасибо. «

Можно попробовать купить этот антивирус и написать в техподдержку с просьбой расшифровать файлы с расширением.enigma. Но не факт, что конкретно в вашем случае это поможет. Сейчас такое количество этих шифровальщиков с одними и теми же названиями, что гарантировать расшифровку невозможно.

Самостоятельно расшифровать файлы не получится. На помощь могут прийти только архивные копии, сделанные либо вручную, либо автоматически с помощью теневых копий windows. Узнать, включены ли у вас теневые копии можно в свойствах компьютера, в разделе «Защита системы».

Если у вас защита включена, тогда можете попытаться вручную восстановить файл с расширением.enigma. Для этого вам нужно самим поменять расширение файла, удалив у него приставку.enigma. Если этого не сделать, то система посчитает, что это совершенно другой файл и не предложит его предыдущие версии, хотя реально они будут существовать. Меняете сами расширение фала, выбираете файл и жмете правой кнопкой мышки по нему, выбирая последний пункт «свойства». Далее выбираете вкладку «Предыдущие версии»

Если у файла есть предыдущие версии, то выбираете последнюю и восстанавливаете.

Других вариантов восстановить файлы у вас нет, если вы не делали резервных копий на другой компьютер, внешний диск или флешку. Крайний вариант — обратиться к злоумышленникам за расшифровкой. Чаще всего они дают реально работающий дешифратор, я знаю несколько таких примеров.Обращаться или нет — решать вам в зависимости от степени важности зашифрованных файлов.

Касперский, drweb и другие антивирусы в борьбе с шифровальщиком enigma

Что же предлагают современные антивирусы в борьбе против вируса-шифровальщика enigma? У всех антивирусов рекомендации стандартные — если у вас есть лицензионная версия программы, то вы можете обратиться в техподдержку и ждать ответа. На момент написания статьи я видел только от антивируса eset nod32 информацию о том, что они могу расшифровать файлы.

Судя по датам, это тот же вирус, что и у меня.

На форуме Касперского я не нашел информации о enigma, кроме одного топика в англоязычном разделе. Ничего полезного и содержательного там не было. Можно создать запрос на расшифровку файлов , по ссылке подробно описано как это сделать.

Куда еще обратиться за гарантированной расшифровкой

Мне довелось познакомиться с одной компанией, которая реально расшифровывает данные после работы различных вирусов-шифровальщиков, в том числе enigma. Их адрес — http://www.dr-shifro.ru . Оплата только после полной расшифровки и вашей проверки. Вот примерная схема работы:

  1. Специалист компании подъезжает к вам в офис или на дом, и подписывает с вами договор, в котором фиксирует стоимость работ.
  2. Запускает дешифратор и расшифровывает все файлы.
  3. Вы убеждаетесь в том, что все файлы открываются, и подписываете акт сдачи/приемки выполненных работ.
  4. Оплата исключительно по факту успешного результата дешифрации.

Подробнее о схеме работы- http://www.dr-shifro.ru/11_blog-details.html
Скажу честно, я не знаю, как они это делают, но вы ничем не рискуете. Оплата только после демонстрации работы дешифратора. Просьба написать отзыв об опыте взаимодействия с этой компанией.

Методы защиты от вируса enigma

Ничего нового и оригинального по защите от вирусов шифровальщиков я не посоветую. Enigma принципиально не отличается от всех остальных шифровальщиков, которые лавинообразно атакуют пользователей интернета. Все примеры шифровальщиков, которые я видел, проникали на компьютер пользователя через почту и при этом пользователь сам запускал шифрование.

Главная рекомендация по защите от вирусов шифровальщиков — внимательно смотрите письма, которые получаете по электронной почте. Не запускайте сомнительные вложения. Шифровальщиков прекрасно видно, они отличаются от обычных документов, нужно просто внимательнее смотреть.

Обязательно делайте резервные копии важной информации и не храните эти копии на том же компьютере, за которым работаете. Заведите для этого отдельную флешку и внешний жесткий диск и периодически подключайте их к компьютеру, копируйте информацию и отключайте. Отключать нужно обязательно!!! Я знаю пример, когда для резервного копирования использовалась флешка, которая в рабочее время была воткнута в компьютер. вирус зашифровал все документы на компьютере и НА ФЛЕШКЕ!!!

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере , открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor .

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Немецкая шифровальная машинка была названа "Загадкой" не для красного словца. Вокруг истории ее захвата и расшифровки радиоперехватов ходят легенды, и во многом этому способствует кинематограф. Мифы и правда о немецком шифраторе - в нашем материале.

Перехвату противником сообщений, как известно, можно противопоставить только их надежную защиту или шифрование. История шифрования уходит корнями в глубь веков — один из самых известных шифров называется шифром Цезаря. Потом предпринимались попытки механизации процесса шифрования и дешифрования: до нас дошел диск Альберти, созданный в 60-х годах XV века Леоном Баттиста Альберти, автором "Трактата о шифрах" — одной из первых книг об искусстве шифровки и дешифровки.

Машинка Enigma, использовавшаяся Германией в годы Второй мировой войны, была не уникальна. Но от аналогичных устройств, взятых на вооружение другими странами, она отличалась относительной простотой и массовостью использования: применить ее можно было практически везде — и в полевых условиях, и на подводной лодке. История Enigma берет начало в 1917 году — тогда голландец Хьюго Коч получил на нее патент. Работа ее заключалась в замене одних букв другими за счёт вращающихся валиков.

Историю декодирования машины Enigma мы знаем в основном по голливудским блокбастерам о подводных лодках. Однако фильмы эти, по мнению историков, имеют мало общего с реальностью.

Например, в картине 2000 года U-571 рассказывается о секретном задании американских моряков захватить шифровальную машинку Enigma, находящуюся на борту немецкой субмарины U-571. Действие разворачивается в 1942 году в Северной Атлантике. Несмотря на то, что фильм отличается зрелищностью, история, рассказанная в нем, совершенно не отвечает историческим фактам. Подводная лодка U-571 действительно состояла на вооружении нацистской Германии, но была потоплена в 1944 году, а машинку Enigma американцам удалось захватить лишь в самом конце войны, и серьезной роли в приближении Победы это не сыграло. К слову, в конце фильма создатели сообщают исторически верные факты о захвате шифратора, однако появились они по настоянию консультанта картины, англичанина по происхождению. С другой стороны режиссер фильма Джонатан Мостов заявил, что его лента "представляет собой художественное произведение".

Европейские же фильмы стараются соблюсти историческую точность, однако доля художественного вымысла присутствует и в них. В фильме Майкла Аптеда "Энигма", вышедшего в 2001 году, рассказывается история математика Тома Джерико, которому предстоит всего за четыре дня разгадать обновленный код немецкой шифровальной машинки. Конечно, в реальной жизни на расшифровку кодов ушло гораздо больше времени. Сначала этим занималась криптологическая служба Польши. И группа математиков — Мариан Реевский, Генрих Зыгальский и Ежи Рожицкий, — изучая вышедшие из употребления немецкие шифры, установили, что так называемый дневной код, который меняли каждый день, состоял из настроек коммутационной панели, порядка установки роторов, положений колец и начальных установок ротора. Случилось это в 1939 году, еще перед захватом Польши нацистской Германией. Также польское "Бюро шифров", созданное специально для "борьбы" с Enigma, имело в своем распоряжении несколько экземпляров работающей машинки, а также электромеханическую машинку Bomba, состоявшую из шести спаренных немецких устройств, которая помогала в работе с кодами. Именно она впоследствии стала прототипом для Bombe — изобретения Алана Тьюринга.

Свои наработки польская сторона сумела передать британским спецслужбам, которые и организовали дальнейшую работу по взлому "загадки". Кстати, впервые британцы заинтересовали Enigma еще в середине 20-х годов, однако, быстро отказались от идеи расшифровать код, видимо, посчитав, что сделать это невозможно. Однако с началом Второй мировой войны ситуация изменилась: во многом благодаря загадочной машинке Германия контролировала половину Атлантики, топила европейские конвои с продуктами и боеприпасами. В этих условиях Великобритании и другим странам антигитлеровской коалиции обязательно нужно было проникнуть в загадку Enigma.


Сэр Элистер Деннисон, начальник Государственной школы кодов и шифров, которая располагалась в огромном замке Блетчли-парк в 50 милях от Лондона, задумал и провел секретную операцию Ultra, обратившись к талантливым выпускникам Кембриджа и Оксфорда, среди которых был и известный криптограф и математик Алан Тьюринг. Работе Тьюринга над взломом кодов машинки Enigma посвящен вышедший в 2014 году фильм "Игра в имитацию". Еще в 1936 году Тьюринг разработал абстрактную вычислительную "машину Тьюринга", которая может считаться моделью компьютера — устройства, способного решить любую задачу, представленную в виде программы — последовательности действий. В школе кодов и шифров он возглавлял группу Hut 8, ответственную за криптоанализ сообщений ВМФ Германии и разработал некоторое количество методов взлома немецкого шифратора. Помимо группы Тьюринга, в Блетчли-парке трудились 12 тысяч сотрудников. Именно благодаря их упорному труду коды Enigma поддались расшифровке, но взломать все шифры так и не удалось. Например, шифр "Тритон" успешно действовал около года, и даже когда "парни из Блетчли" раскрыли его, это не принесло желаемого результата, так как с момента перехвата шифровки до передачи информации британских морякам проходило слишком много времени.


Все дело в том, что по распоряжению Уинстона Черчилля все материалы расшифровки поступали только начальникам разведслужб и сэру Стюарту Мензису, возглавлявшему МИ-6. Такие меры предосторожности были предприняты, чтобы немцы не догадались о раскрытии шифров. В то же время и эти меры не всегда срабатывали, тогда немцы меняли варианты настройки Enigma, после чего работа по расшифровке начиналась заново.

В "Игре в имитацию" затронута и тема взаимоотношений британских и советских криптографов. Официальный Лондон действительно был не уверен в компетенции специалистов из Советского Союза, однако по личному распоряжению Уинстона Черчилля 24 июля 1941 года в Москву стали передавать материалы с грифом Ultra. Правда, для исключения возможности раскрытия не только источника информации, но и того, что в Москве узнают о существовании Блетчли-парка, все материалы маскировались под агентурные данные. Однако в СССР узнали о работе над дешифровкой Enigma еще в 1939 году, а спустя три года на службу в Государственную школу кодов и шифров поступил советский шпион Джон Кэрнкросс, который регулярно отправлял в Москву всю необходимую информацию.


Многие задаются вопросами, почему же СССР не расшифровал радиоперехваты немецкой "Загадки", хотя советские войска захватили два таких устройства еще в 1941 году, а в Сталинградской битве в распоряжении Москвы оказалось еще три аппарата. По мнению историков, сказалось отсутствие в СССР современной на тот момент электронной техники.

К слову, специальный отдел ВЧК, занимающийся шифровкой и дешифровкой, был созван в СССР 5 мая 1921 года. На счету сотрудников отдела было много не очень, по понятным причинам - отдел работал на разведку и контрразведку, — афишируемых побед. Например, раскрытие уже в двадцатых годах дипломатических кодов ряда стран. Был создан и свой шифр — знаменитый "русский код", который, как говорят, расшифровать не удалось никому.