Программа для расшифровки файлов после вируса шифровальщика. Как расшифровать файлы, зашифрованные вирусом

То, что в Интернете полно вирусов, сегодня никого не удивляет. Многие пользователи воспринимают ситуации, связанные с их воздействием на системы или личные данные, мягко говоря, глядя сквозь пальцы, но только до тех пор, пока в системе конкретно не обоснуется вирус-шифровальшик. Как вылечить и расшифровать данные, хранящиеся на жестком диске, большинство рядовых юзеров не знает. Поэтому этот контингент и «ведется» на требования, выдвигаемые злоумышленниками. Но давайте посмотрим, что можно предпринять в случае обнаружения такой угрозы или для недопущения ее проникновения в систему.

Что такое вирус-шифровальщик?

Угроза такого типа использует стандартные и нестандартные алгоритмы шифрования файлов, которые полностью изменяют их содержимое и блокируют доступ. Например, открыть текстовый зашифрованный файл для чтения или редактирования, равно как и воспроизвести мультимедийный контент (графика, видео или аудио), после воздействия вируса будет абсолютно невозможно. Даже стандартные действия по копированию или перемещению объектов оказываются недоступными.

Сама программная начинка вируса является тем средством, которое шифрует данные таким образом, что восстановить их исходное состояние даже после удаления угрозы из системы не всегда бывает возможно. Обычно такие вредоносные программы создают собственные копии и оседают в системе очень глубоко, поэтому вирус-шифровальщик файлов бывает удалить полностью невозможно. Деинсталлируя основную программу или удаляя основное тело вируса, пользователь не избавляется от воздействия угрозы, не говоря уже о восстановлении зашифрованной информации.

Как угроза проникает в систему?

Как правило, угрозы этого типа большей частью ориентированы на крупные коммерческие структуры и могут проникать на компьютеры через почтовые программы, когда какой-то сотрудник открывает якобы вложенный документ в электронной почте, представляющий собой, скажем, дополнение к какому-то договору о сотрудничестве или к плану поставок товара (коммерческие предложения с вложениями из сомнительных источников - первая стезя для вируса).

Беда в том, что вирус-шифровальщик на машине, имеющей доступ к локальной сети, способен адаптироваться и в ней, создавая собственные копии не только в сетевом окружении, но и на администраторском терминале, если на нем отсутствуют необходимые средства защиты в виде антивирусного ПО, файрвола или брэндмауэра.

Иногда такие угрозы могут проникать и в компьютерные системы рядовых пользователей, которые по большому счету интереса для злоумышленников не представляют. Происходит это в момент установки каких-то программ, загруженных с сомнительных интернет-ресурсов. Многие юзеры при старте загрузки игнорируют предупреждения антивирусной системы защиты, а в процессе инсталляции не обращают внимания на предложения установки дополнительного ПО, панелей или плагинов для браузеров, а потом, что называется, кусают локти.

Разновидности вирусов и немного истории

В основном угрозы этого типа, в частности самый опасный вирус-шифровальщик No_more_ransom, классифицируются не только как инструменты шифрования данных или блокировки доступа к ним. На самом деле все такие вредоносные приложения относятся к категории вымогателей. Иными словами, злоумышленники требуют определенную мзду за расшифровку информации, считая, что без начальной программы произвести данный процесс будет невозможно. Отчасти так оно и есть.

Но, если копнуть в историю, можно заметить, что одним из самых первых вирусов этого типа, правда, не выставлявшего требования по деньгам, был печально известный апплет I Love You, который полностью зашифровывал в пользовательских системах файлы мультимедиа (в основном музыкальные треки). Расшифровка файлов после вируса-шифровальщика на тот момент оказывалась невозможной. Сейчас именно с этой угрозой бороться можно элементарно.

Но ведь и развитие самих вирусов или используемых алгоритмов шифрования на месте не стоит. Чего только нет среди вирусов - тут вам и XTBL, и CBF, и Breaking_Bad, и [email protected], и еще куча всякой гадости.

Методика воздействия на пользовательские файлы

И если до недавнего времени большинство атак производилось с использованием алгоритмов RSA-1024 на основе шифрования AES с такой же битностью, тот же вирус-шифровальщик No_more_ransom сегодня представлен в нескольких интерпретациях, использующих ключи шифрования на основе технологий RSA-2048 и даже RSA-3072.

Проблемы расшифровки используемых алгоритмов

Беда в том, что современные системы дешифрования перед лицом такой опасности оказались бессильны. Расшифровка файлов после вируса-шифровальщика на основе AES256 еще кое-как поддерживается, а при условии более высокой битности ключа практически все разработчики просто разводят руками. Это, кстати, официально подтверждено специалистами из «Лаборатории Касперского» и компании Eset.

В самом примитивном варианте обратившемуся в службу поддержки пользователю предлагается прислать зашифрованный файл и его оригинал для сравнения и проведения дальнейших операций по определению алгоритма шифрования и методов восстановления. Но, как правило, в большинстве случаев это результата не дает. Но вирус-шифровальщик расшифровать файлы может и сам, как считается, при условии того, что жертва согласится с условиями злоумышленников и выплатит определенную сумму в денежном эквиваленте. Однако такая постановка вопроса вызывает законные сомнения. И вот почему.

Вирус-шифровальщик: как вылечить и расшифровать файлы и можно ли это сделать?

Как утверждается, после оплаты хакеры активируют дешифровку через удаленный доступ к своему вирусу, который сидит в системе, или через дополнительный апплет, если тело вируса удалено. Выглядит это более чем сомнительно.

Хочется отметить и тот факт, что в Интернете полно фейковых постов о том, что, мол, требуемая сумма была уплачена, а данные успешно восстановлены. Это все ложь! И правда - где гарантия, что после оплаты вирус-шифровальщик в системе не активируется снова? Понять психологию взломщиков нетрудно: заплатил один раз - заплатишь снова. А если речь идет об особо важной информации вроде специфичных коммерческих, научных или военных разработок, обладатели такой информации готовы заплатить сколько угодно, лишь бы файлы остались в целости и сохранности.

Первое средство для устранения угрозы

Таков по своей природе вирус-шифровальщик. Как вылечить и расшифровать файлы после воздействия угрозы? Да никак, если нет подручных средств, которые тоже не всегда помогают. Но попытаться можно.

Предположим, что в системе появился вирус-шифровальщик. Как вылечить зараженные файлы? Для начала следует произвести углубленное сканирование системы без применения технологии S.M.A.R.T., которая предусматривает обнаружение угроз исключительно при повреждении загрузочных секторов и системных файлов.

Желательно не использовать имеющийся штатный сканер, который уже пропустил угрозу, а применить портативные утилиты. Оптимальным вариантом станет загрузка с диска Kaspersky Rescue Disk, которая может стартовать еще до начала работы операционной системы.

Но это всего половина дела, поскольку таким образом можно избавиться только от самого вируса. А вот с дешифратором будет сложнее. Но об этом чуть позже.

Есть еще одна категория, под которую попадают вирусы-шифровальщики. Как расшифровать информацию, будет сказано отдельно, а пока остановимся на том, что они могут совершенно открыто существовать в системе в виде официально установленных программ и приложений (наглость злоумышленников не знает предела, поскольку угроза даже не пытается маскироваться).

В этом случае следует использовать раздел программ и компонентов, где производится стандартное удаление. Однако нужно обратить внимание и на то, что стандартный деинсталлятор Windows-систем полностью все файлы программы не удаляет. В частности, вирус-шифровальщик ransom способен создавать собственные папки в корневых директориях системы (обычно это каталоги Csrss, где присутствует одноименный исполняемый файл csrss.exe). В качестве основного местоположения выбираются папки Windows, System32 или пользовательские директории (Users на системном диске).

Кроме того, вирус-шифровальщик No_more_ransom прописывает в реестре собственные ключи в виде ссылки вроде бы на официальную системную службу Client Server Runtime Subsystem, что многих вводит в заблуждение, поскольку эта служба должна отвечать за взаимодействие клиентского и серверного ПО. Сам ключ располагается в папке Run, добраться до которой можно через ветку HKLM. Понятно, что удалять такие ключи нужно будет вручную.

Чтобы было проще, можно воспользоваться утилитами вроде iObit Uninstaller, которые производят поиск остаточных файлов и ключей реестра автоматически (но только при условии, что вирус в системе виден как установленное приложение). Но это самое простое, что можно сделать.

Решения, предлагаемые разработчиками антивирусного ПО

Расшифровка вируса-шифровальщика, как считается, может производиться при помощи специальных утилит, хотя при наличии технологий с ключом 2048 или 3072 бита на них особо рассчитывать не стоит (к тому же многие из них удаляют файлы после дешифровки, а потом восстарновленные файлы исчезают по вине присутствия тела вируса, которое не было удалено до этого).

Тем не менее попробовать можно. Из всех программ стоит выделить RectorDecryptor и ShadowExplorer. Как считается, пока ничего лучше создано не было. Но проблема может состоять еще и в том, что при попытке применения дешифратора гарантии того, что вылечиваемые файлы не будут удалены, нет. То есть, если не избавиться от вируса изначально, любая попытка дешифрования будет обречена на провал.

Кроме удаления зашифрованной информации может быть и летальный исход - неработоспособной окажется вся система. Кроме того, современный вирус-шифровальщик способен воздействовать не только на данные, хранящиеся на жестком диске компьютера, но и на файлы в облачном хранилище. А тут решений по восстановлению информации нет. К тому же, как оказалось, во многих службах принимаются недостаточно эффективные меры защиты (тот же встроенный в Windows 10 OneDrive, который подвержен воздействию прямо из операционной системы).

Кардинальное решение проблемы

Как уже понятно, большинство современных методик положительного результата при заражении подобными вирусами не дает. Конечно, если есть оригинал поврежденного файла, его можно отправить на экспертизу в антивирусную лабораторию. Правда, весьма серьезные сомнения вызывает и то, что рядовой пользователь будет создавать резервные копии данных, которые при хранении на жестком диске тоже могут подвергнуться воздействию вредоносного кода. А о том, что во избежание неприятностей юзеры копируют информацию на съемные носители, речь не идет вообще.

Таким образом, для кардинального решения проблемы вывод напрашивается сам собой: полное форматирование винчестера и всех логических разделов с удалением информации. А что делать? Придется пожертвовать, если не хотите, чтобы вирус или его самосохраненная копия активировались в системе вновь.

Для этого не стоит использовать средства самих Windows-систем (имеется в виду форматирование виртуальных разделов, поскольку при попытке доступа к системному диску будет выдан запрет). Лучше применять загрузку с оптических носителей вроде LiveCD или установочных дистрибутивов, например созданных при помощи утилиты Media Creation Tool для Windows 10.

Перед началом форматирования при условии удаления вируса из системы можно попытаться произвести восстановление целостности системных компонентов через командную строку (sfc /scannow), но в плане дешифрования и разблокировки данных это эффекта не даст. Поэтому format c: - единственно правильное возможное решение, нравится вам это или нет. Только так и можно полностью избавиться от угроз этого типа. Увы, по-другому - никак! Даже лечение стандартными средствами, предлагаемыми большинством антивирусных пакетов, оказывается бессильным.

Вместо послесловия

В плане напрашивающихся выводов можно сказать только то, что единого и универсального решения по устранению последствий воздействия такого рода угроз на сегодняшний день не существует (печально, но факт - это подтверждено большинством разработчиков антивирусного ПО и специалистами в области криптографии).

Остается неясным, почему появление алгоритмов на основе 1024-, 2048- и 3072-битного шифрования прошло мимо тех, кто непосредственно занимается разработкой и внедрением таких технологий? Ведь на сегодняшний день самым перспективным и наиболее защищенным считается алгоритм AES256. Заметьте! 256! Эта система современным вирусам, как оказывается, и в подметки не годится. Что говорить тогда о попытках расшифровки их ключей?

Как бы то ни было, избежать внедрения угрозы в систему можно достаточно просто. В самом простом варианте следует проверять все входящие сообщения с вложениями в программах Outlook, Thunderbird и в других почтовых клиентах антивирусом сразу же после получения и ни в коем случае не открывать вложения до окончания проверки. Также следует внимательно читать предложения по установке дополнительного ПО при инсталляции некоторых программ (обычно они написаны очень мелким шрифтом или замаскированы под стандартные надстройки вроде обновления Flash Player или чего-то еще). Компоненты мультимедиа лучше обновлять через официальные сайты. Только так и можно хотя бы как-то препятствовать проникновению таких угроз в собственную систему. Последствия могут быть совершенно непредсказуемыми, если учесть, что вирусы этого типа моментально распространяются в локальной сети. А для фирмы такой оборот событий может обернуться настоящим крахом всех начинаний.

Наконец, и системный администратор не должен сидеть без дела. Программные средства защиты в такой ситуации лучше исключить. Тот же файрвол (межсетевой экран) должен быть не программным, а «железным» (естественно, с сопутствующим ПО на борту). И, само собой разумеется, что экономить на приобретении антивирусных пакетов тоже не стоит. Лучше купить лицензионный пакет, а не устанавливать примитивные программы, которые якобы обеспечивают защиту в реальном времени только со слов разработчика.

И если уже угроза в систему все же проникла, последовательность действий должна включать в себя удаление самого тела вируса, а только потом попытки дешифрования поврежденных данных. В идеале - полное форматирование (заметьте, не быстрое с очисткой оглавления, а именно полное, желательно с восстановлением или заменой существующей файловой системы, загрузочных секторов и записей).

Инструкция

Вызовите главное меню системы Microsoft Windows нажатием кнопки «Пуск и перейдите в пункт «Все программы для выполнения операции расшифровки ранее зашифрованных файлов.

Вызовите контекстное меню подлежащего расшифровке файла, папки или диска кликом правой кнопки мыши и укажите пункт «Свойства.

Перейдите на вкладку «Общие открывшегося диалогового окна и выберите команду «Другие.

Снимите флажок на поле «Шифровать содержимое для защиты данных и нажмите кнопку OK для применения выбранных изменений. Следует помнить, что при выполнении отмены шифрования папки, зашифрованные файлы и подпапки остаются зашифрованными, если не оговорено обратное, а вновь создаваемые файлы и подпапки расшифрованной папки подвергаться процедуре шифрования не будут.

Загрузите бесплатный инструмент te19decrypt.exe с официального сайта разработчика антивирусного приложения Dr.Web и запустите исполняемый файл утилиты для выполнения операции расшифровки файлов, зашифрованных вирусом Trojan.Encoder. (Этот вирус является программой-вымогателем, шифрующим файлы пользователя и самоудаляющимся после этого. При этом на системном диске остается текстовый файл crypted.txt, содержащий требование денежных переводов разных сумм для расшифровки поврежденных файлов.)

Нажмите кнопку «Продолжить в главном окне программы и согласитесь с предложением указать местонахождение ключевого файла c:crypted.txt вручную.

Введите полный путь к нужному файлу в диалоговом окне «Открыть и нажмите кнопку OK для подтверждения выполнения команды.

Обратите внимание

Не пытайтесь самостоятельно удалить текстовый файл с:\crypted.txt, поскольку выполнение операции расшифровки зашифрованных вирусом файлов после этого становится невыполнимой!

Источники:

• Расшифровка файла или папки
• Как расшифровать файлы, зашифрованные вирусом Trojan.Encoder?
• зашифрован файл
• Расшифровка файлов EFS

Некоторые вирусы шифруют пользовательские файлы, после чего доступ к ним обычными средствами может быть ограничен. Восстановление нормального режима происходит путем программного вмешательства.

Инструкция

Выполните дополнительную проверку вашего компьютера на наличие вирусов. После этого загрузите из интернета одну из программ-антитроянов. Это необходимо в случае если вредоносная программа была спрятана от антивируса. Выполните проверку, после чего найдите зашифрованные файлы .

Сделайте на всякий случай их резервную копию и убедитесь в отсутствии угроз на вашем компьютере. Перепишите полное наименование троянов, найденных в вашем компьютере. Это необходимо для того, чтобы в дальнейшем получить доступ к информации о методах шифрования файлов, поскольку здесь вряд ли подойдут утилиты общего назначения. По этой же причине не торопитесь удалять вредоносные программы с вашего компьютера при первоначальной их проверке.

Скачайте любую утилиту для дешифровки файлов после поражения вирусами. Такие утилиты обычно доступны на официальных сайтах разработчиков антивирусных систем. Также при выборе программы руководствуйтесь названием трояна, которым было выполнено шифрование, поскольку многие из них используют разные способы.

Лучше всего выполнять загрузку с сайтов известных вам разработчиков систем защиты, поскольку опять же есть риск столкнуться с вредоносными программами. Обычно данные утилиты имеют пробный срок, в течение которого их можно использовать для лечения .

Следуя указаниям системы, выберите в запущенной на вашем компьютере скачанной утилите зашифрованные вирусом файлы и, следуя указаниям системы, выполните необходимые действия. После этого снова выполните проверку на вирусы, в частности касаемо расшифрованных вами файлов.

После этого установите на ваш компьютер надежное обновляемое антивирусное программное обеспечение, чтобы в дальнейшем не допустить возникновения подобных ситуаций.

Видео по теме

Полезный совет

Пользуйтесь антивирусным программным обеспечением.

ВИН автомобиля содержит практически всю важную и ценную информацию об автотранспортном средстве: начиная со страны, где был собран автомобиль, и заканчивая его цветом, годом изготовления и комплектацией. Чтобы все эти сведения стали для вас открытыми, ВИН просто надо научиться читать.

Вам понадобится

• - ВИН код автомобиля

Инструкция

Определите составляющие части вашего ВИН а.
ВИН -код состоит из 17 символов, которые делятся на три части:
- мировой индекс изготовителя или WMI;
- описательная часть или VDS;
- отличительная часть или VIS.Мировой индекс изготовителя - это первые три знака ВИН а, описательная часть состоит из следующих шести символов, а последние восемь знаков - это отличительная часть. Давайте разберем подробнее, какую же информацию можно почерпнуть, расшифровав каждую из составляющих частей ВИН а.

Расшифруйте мировой индекс изготовителя.Первый знак индекса скажет вам, в какой части света был изготовлен ваш , второй - в какой стране, а третий укажет на конкретный -изготовитель. Буквы латинского алфавита от A до H стоят в этой части код а, если автомобиль был собран в Африке; от J до R - в одной из стран Азии, а от S до Z - в Европе. Также среди первых трех символов ВИН а вы можете встретить и цифры. В случае, если родина вашего - Северная Америка, вы обнаружите цифры от 1 до 5; если он был изготовлен в Океании, то индекс изготовителя будет содержать цифры 6 или 7, а на производителей из Южной Америки приходятся цифры 8 или 9.

Расшифруйте описательную часть индекса. Эти шесть символов используют для того, чтобы описать тип транспортного средства: , на базе которого оно построено, модель автомобиля, тип кузова и прочие . Для каждой фирмы-изготовителя эти символы уникальны, так что для более детальной расшифровки вам следует искать информацию, касающуюся вашей конкретной .Последний описательной части ВИН а большинство производителей после 1980 года используют для указания типа двигателя. Отметим правда, что это действительно только для тех моделей , в производстве которых изготовитель предусматривал установку различного вида и/или объема.

Расшифруйте отличительную часть. Здесь содержится информация, которая касается исключительно вашего автомобиля. Производитель мог зашифровать в последних восьми знаках ВИН а комплектацию вашего автомобиля, его цвет, тип трансмиссии. Иногда бывает, что отличительная часть - это просто последовательность символов, которая соответствует каждому конкретному автомобилю в общей базе производителя и не расшифровывается вовсе.Однако вот, что можно сказать с уверенностью: десятый символ любого ВИН -код а автомобиля - это шифр его года выпуска. Буквам латинского алфавита от A до Y соответствуют с 1980 до 2000 соответственно. Если автомобиль был выпущен в промежуток с 2001 до 2009 года, то в ВИН номере десятый символ будет числом от 1 до 9. Все последующие годы, начиная с 2010 снова обозначают в соответствии с буквами латиницы, начиная с A.

Полезный совет

В помощь автолюбителям в сети интернет есть большое количество организаций, которые бесплатно предлагают расшифровать общие сведения в ВИН-коде.
Также за определенную плату крупные международные организации типа Carfax и Autocheck могут предоставить достоверную информацию о том, участвовало ли автотранспортное средство в дорожно-транспортных происшествиях, где проходило сервисное обслуживание, каков его пробег и прочие данные. Это абсолютно законно и создано для того, чтобы автолюбители во всем мире могли узнать историю подержанной машины перед покупкой.

Источники:

• вин автомобиля

Шифрование папок является наиболее надежным способом защиты информации, предоставляемым операционной системой Windows. Пользователь, осуществивший шифрование файла, может работать с ним так же, как и с другими папками, но для гарантии доступа к зашифрованным данным необходима резервная копия сертификата и ключа шифрования.

Инструкция

Вызовите контекстное меню папки или файла, подлежащего шифрованию, и перейдите в пункт «Свойства».

Выберите вкладку «Общие» открывшегося диалогового окна и укажите пункт «Дополнительно».

Примените флажок на поле «Шифровать содержимое для защиты данных» и нажмите кнопку OK для подтверждения выполнения операции шифрования.

Снимите флажок на поле «Шифровать содержимое для защиты данных» и нажмите кнопку OK для подтверждения выполнения операции расшифровки выбранного файла или папки.

Нажмите клавишу Enter для подтверждения выполнения команды и раскройте папку «Личная» нажатием стрелки, расположенной рядом с ней.

Укажите раздел «Сертификаты» и выберите сертификат, перечисляющий «Файловая система EFS» в «Назначения».

Убедитесь в правильности выбранного сертификата прокручивая его данные вправо и примените этот алгоритм действий ко всем существующим EFS-сертификатам.

Укажите пункт «Все задачи» в меню «Действие» верхней панели инструментов окна приложения и выберите команду «Экспорт».

Подтвердите пароль администратора компьютера повторным введением в поле подтверждения и нажмите кнопку «Далее» для создания файла хранения сертификата.

Укажите имя выбранного файла и полный путь к нему и нажмите кнопку «Готово».

Видео по теме

Обратите внимание

Сжатые папки и файлы не могут быть зашифрованы.

Полезный совет

Зашифрованы могут быть только файлы и папки, находящиеся на томах NTFS.

Источники:

• Шифрование и расшифровка папки и файла в 2019

Операционная система Windows позволяет в атрибутах задать опцию его шифрования. После этого файл станет доступен для чтения только этому пользователю, тому, кого он укажет в качестве «агента восстановления» или пользователю, имеющему «публичный ключ». Если в дальнейшем возникнет необходимость отменить шифрование , сделать это можно тоже в настройках файла или папки.

Запустите «Проводник» - нажмите комбинацию клавиш Win + E или выберите пункт «Компьютер» в главном меню ОС. По дереву каталогов в левой панели перейдите в нужную папку.

Добраться до зашифрованного файла можно и по-другому, с помощью поисковой системы ОС. В Windows 7 и Vista делать это очень легко: нажмите клавишу Win и начинайте вводить название файла. Когда в списке результатов появится ссылка на нужный объект, кликните на нем правой кнопкой мыши и выберите пункт «Расположение файла».

Выделите этот файл и кликните по файлу правой кнопкой мыши либо нажмите клавишу вызова контекстного меню - она помещена на клавиатуре между правыми кнопками Win и Ctrl. В обоих случаях на экране появится контекстное меню, в котором вам нужна самая последняя строка - «Свойства». Выберите ее в меню и будет открыто отдельное окно с настройками свойств файла.

Вкладка «Общие» (она открывается по умолчанию) разделена на секции. В самой нижней помещено несколько чекбоксов, относящихся к атрибутам файла, и кнопка «Другие» - нажмите ее.

В окне дополнительных атрибутов файла уберите отметку в поле «Шифрование содержимого для защиты данных». Затем нажмите кнопки OK в обоих открытых окнах, и операция будет завершена.

При необходимости отменить шифрование не для отдельного файла, а для всех файлов в папке действовать надо почти так же. После первых трех шагов выделите не файл, а нужную папку в левой панели «Проводника». Контекстное меню с пунктом «Свойства» для папки, как и для файла, вызывается щелчком правой кнопки мыши, а в окне свойств объекта вам нужно повторить два предыдущих шага.

Расшифровка данных, закодированных с использованием профессионального программного обеспечения, требует либо наличия такого же программного комплекса, либо огромных вычислительных мощностей и еще более продвинутых программ. Однако чаще для кодирования используются более доступные средства, которые и раскодировать намного проще.

Инструкция

В веб-строительстве чаще всего используется наиболее доступный способ шифрования данных - с помощью встроенных функций языков программирования. Среди серверных языков наиболее распространен сегодня PHP, в котором для шифрования предназначена функция base64_encode. Закодированные с ее помощью данные можно декодировать с использованием обратной функции - base64_decode. Если у вас есть возможность в своем компьютере или на веб-сервере исполнять PHP-скрипты, создайте такой простой код:

Между кавычками функции base64_decode поместите строку данных, которую требуется расшифровать. Затем сохраните код в файл с расширением php и откройте эту страницу через браузер - в пустой странице вы увидите расшифрованные данные.

При отсутствии возможности выполнять php-скрипты воспользуйтесь веб-формой на одном из интернет-сайтов - ссылка на нужную страницу приведена ниже. Зашифрованные данные скопируйте и вставьте в поле над кнопкой Base 64 Decode. После нажатия этой кнопки появится дополнительное поле с расшифрованными данными - их тоже можно скопировать и использовать по своему усмотрению.

Если способ шифрования неизвестен, попробуйте декодировать данные с помощью одной из программ, способных перебирать несколько алгоритмов. Одно из таких приложений называется «Штирлиц», не требует инсталляции и довольно популярно в интернете, поэтому найти его не составит труда. Программа пытается расшифровать данные с использованием пяти алгоритмов шифрования.

Последние версии операционных систем Windows позволяют кодировать все файлы на заданном диске или на всех носителях компьютера. Если раскодировать надо данные именно из такого файла, лучше всего доверить это самой ОС - отключите шифрование в ее настройках, и Windows перепишет все файлы с данными их незашифрованными вариантами. Чтобы это сделать, нажмите кнопку Win, наберите и в списке результатов поиска выберите строку «Шифрование диска BitLocker». Затем кликните ссылку «Отключить BitLocker» напротив нужного диска. По окончании выполнения системой этой команды можете открывать файл с ранее зашифрованными данными.

Источники:

• Веб-форма для функции base64_decode

При работе с документами может появиться необходимость их отправки кому-либо посредством сети Интернет (например, с помощью электронной почты). Однако в некоторых случаях важность содержащейся в них информации не позволяет сделать это в открытом виде. Конечно, решением является шифрование, которое у многих ассоциируется с чем-то далеким и сложным. Тем не менее, такую задачу без труда можно решить, воспользовавшись бесплатной программой-архиватором файлов, например, 7-Zip, создав с ее помощью зашифрованный архив.

Вам понадобится

• - интернет;
• - операционная система Microsoft Windows;
• - программа-архиватор 7-Zip.

Инструкция

Загрузите и установите . Для того, чтобы зашифровать документ с помощью программы 7-Zip, сначала ее необходимо установить. Для этого перейдите на веб-сайт http://7-zip.org/ (раздел «Download»), выберите подходящую для Вашего компьютера версию программы (32 или 64 бит) и загрузите ее. После загрузки запустите инсталлятор программы и следуйте его инструкциям - это не должно вызвать у Вас вопросов.

Проверьте ассоциации файлов . После установки, как правило, 7-Zip не меняет настройки операционной системы и не добавляет свой раздел в контекстное меню проводника. Чтобы внести эти изменения, необходимо открыть меню «Пуск», «Программы», «7-Zip» и выбрать «7-Zip File Manager». В главном меню откройте раздел «Сервис» и выберите «Настройки...». Далее перейдите на вкладку «Система» и нажмите «Выделить все». Подтвердите изменения нажатием кнопки «ОК» внизу окна программы.

Выберите файл документа . Зашифровать можно любой файл, его формат не имеет значения. Для этого откройте проводник и найдите нужный файл. Далее щелкните по нему правой кнопкой мыши и в появившемся меню выберите «7-Zip», «Добавить к архиву...».

Задайте настройки и запустите . В открывшемся окне Вы можете задать имя архива, пароль на открытие, установить шифрование имен файлов и другие настройки. Обратите внимание, что по умолчанию шифрование имен отключено, пароль на архив не задан. Задав все желаемые настройки, Вы можете запустить создание зашифрованного архива нажатием кнопки «ОК» в текущем окне.

Дождитесь окончания . На выполнение операции может потребоваться некоторое время, в зависимости от размера шифруемых файлов, степени сжатия и других установленных настроек. По ее окончании рядом с шифруемыми файлами появится архив с заданным ранее именем.

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере , открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

1. Откройте свойства «Компьютера».
2. В меню слева выберите «Защита системы».
   
3. Выделите диск C и нажмите «Настроить».
4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor .

1. Загрузите программу с официального сайта Лаборатории Касперского.
2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Всем привет сегодня расскажу как расшифровать файлы после вируса в Windows . Одна из самых проблемных вредоносных программ сегодня - это троян или вирус, шифрующий файлы на диске пользователя. Некоторые из этих файлов расшифровать возможно, а некоторые - пока нет. В статье я опишу возможные алгоритмы действий в обоих ситуациях.

Есть несколько модификаций этого вируса, но общая суть работы сводится к тому, что после установки на компьютер ваши файлы документов, изображений и другие, потенциально являющиеся важными, шифруются с изменением расширения, после чего вы получаете сообщение о том, что все ваши файлы были зашифрованы, а для их расшифровки вам требуется отправить определенную сумму злоумышленнику.

Файлы на компьютере зашифрованы в xtbl

Один из последних вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением.xtbl и именем, состоящим из случайного набора символов.

Заодно на компьютере размещается текстовый файл readme.txt с примерно следующим содержанием: «Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес [email protected], [email protected] или [email protected]. Далее вы получите все необходимые инструкции. Попытки расшифровать файлы самостоятельно приведут к безвозвратной потере информации» (адрес почты и текст могут отличаться).

К сожалению, способа расшифровать.xtbl на данный момент нет (как только он появится, инструкция будет обновлена). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5000 рублей или другую требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.

Что делать, если файлы были зашифрованы в.xtbl? Мои рекомендации выглядят следующим образом (но они отличаются от тех, что есть на многих других тематических сайтах, где, например, рекомендуют немедленно выключить компьютер из электросети или не удалять вирус. На мой взгляд - это лишнее, а при некотором стечении обстоятельств может быть даже вредным, однако решать вам.):

1. Если умеете, прервать процесс шифрования, сняв соответствующие задачи в диспетчере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
2. Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
3. С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Dr.Web Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
4. Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
5. Можно так же отправить пример зашифрованного файла и требуемый код на [email protected], если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.

Чего делать не следует:

• Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.

Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением.xtbl на данный момент времени.

Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni

Следующий троян, шифрующий файлы и устанавливающий им расширения из этого списка:

• .locked
• .crypto
• .kraken
• .AES256 (не обязательно этот троян, есть и другие, устанавливающие это же расширение).
• .codercsu@gmail_com
• .oshit
• И другие.

Для расшифровки файлов после работы указанных вирусов, на сайте Касперского есть бесплатная утилита RakhniDecryptor, доступная на официальной странице http://support.kaspersky.ru/viruses/disinfection/10556.

Там же присутствует и подробная инструкция по применению данной утилиты, показывающая, как восстановить зашифрованные файлы, из которой я бы, на всякий случай убрал пункт «Удалять зашифрованные файлы после успешной расшифровки» (хотя, думаю и с установленной опцией все будет в порядке).

Если у вас есть лицензия антивируса Dr.Web вы можете воспользоваться бесплатной расшифровкой от этой компании на странице http://support.drweb.com/new/free_unlocker/

Еще варианты вируса-шифровальщика

Реже, но также встречаются следующие трояны, шифрующие файлы и требующие деньги за расшифровку. По приведенным ссылкам есть не только утилиты для возврата ваших файлов, но и описание признаков, которые помогут определить, что у вас именно этот вирус. Хотя вообще, оптимальный путь: с помощью антивируса Касперского просканировать систему, узнать имя трояна по классификации этой компании, а потом искать утилиту по этому имени.

• Trojan-Ransom.Win32.Rector - бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist - аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - утилита RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами - попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницуhttp://support.drweb.com/new/free_unlocker/
• CryptoLocker - для расшифровки файлов после работы CryptoLocker, вы можете использовать сайтhttp://decryptcryptolocker.com - после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.

Ну и из последних новостей - Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается.

Кстати, если вдруг окажется, что вам есть что добавить (потому как я могу не успевать мониторить то, что происходит со способами дешифровки), сообщайте в комментариях, эта информация будет полезна другим пользователям, столкнувшимся с проблемой.

Стали жертвой программы-вымогателя? Не платите выкуп!

Наши бесплатные дешифраторы помогут вернуть доступ к файлам, заблокированным различными видами описанного ниже ПО, требующего выкупа. Просто выберите название, чтобы просмотреть признаки заражения и получить бесплатную помощь.

Хотите в будущем избежать заражения программой-вымогателем?

Alcatraz Locker

Alcatraz Locker - это одна из программ-вымогателей, впервые обнаруженная в средине ноября 2016 года. Для шифрования файлов она использует метод AES 256 в комбинации с кодированием Base64.

Изменение имен файлов.

Зашифрованные файлы получают расширение .Alcatraz .

Сообщение о выкупе.

ransomed.html » на рабочем столе:

Если программа Alcatraz зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Apocalypse

Apocalypse - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Apocalypse добавляет расширения .encrypted , .FuckYourData , .locked , .Encryptedfile или .SecureCrypted Thesis.doc.locked .)

Сообщение о выкупе.

При открытии файла с расширением .How_To_Decrypt.txt , .README.Txt , .Contact_Here_To_Recover_Your_Files.txt , .How_to_Recover_Data.txt или .Where_my_files.txt (например, Thesis.doc.How_To_Decrypt.txt ) появится сообщение примерно следующего содержания:

BadBlock

BadBlock - это вид программы-вымогателя, впервые обнаруженный в мае 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа BadBlock не переименовывает файлы.

Сообщение о выкупе.

Зашифровав ваши файлы, троянец BadBlock отображает одно из следующих сообщений (на примере файла Help Decrypt.html ):

Если программа BadBlock зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Bart

Bart - это вид программы-вымогателя, впервые обнаруженный в конце июня 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Bart добавляет текст .bart.zip в конце имен файлов (например, вместо Thesis.doc файл будет называться Thesis.docx.bart.zip ). В этом зашифрованном ZIP-архиве содержатся исходные файлы.

Сообщение о выкупе.

После зашифровки файлов программа Bart изменяет фон рабочего стола, как показано ниже. С помощью текста на этом изображении также можно распознать программу Bart. Текст хранится на рабочем столе в файлах recover.bmp и recover.txt .

Если программа Bart зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Благодарность. Благодарим Питера Конрада, автора программы PkCrack , который разрешил использовать свою библиотеку в нашем дешифраторе для троянца-вымогателя Bart.

Crypt888

Crypt888 (известная также как Mircop) - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Crypt888 добавляет текст Lock. в начало файловых имен (например, вместо Thesis.doc файл будет называться Lock.Thesis.doc ).

Сообщение о выкупе.

Зашифровав ваши файлы, программа Crypt888 меняет фон рабочего стола на один из вариантов ниже.

Если программа Crypt888 зашифровала ваши файлы, щелкните здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

CryptoMix (автономная версия)

CryptoMix (известная также как CryptFile2 и Zeta) - это одна из программ-вымогателей, впервые замеченная в марте 2016 года. В начале 2017 года появилась новая разновидность CryptoMix, получившая имя CryptoShield. Оба варианта программы шифруют файлы, применяя алгоритм AES256 с уникальным ключом шифрования, который скачивается с удаленного сервера. Если же сервер недоступен или пользователь не имеет подключения к Интернету, программа-вымогатель шифрует файлы, используя фиксированный ключ («автономный ключ»).

Обратите внимание. Предлагаемый дешифратор способен разблокировать только файлы, зашифрованные при помощи «автономного ключа». В случаях, когда автономный ключ для шифрования файлов не использовался, наш дешифратор не сможет восстановить доступ к файлам.

Изменение имен файлов.

.CRYPTOSHIELD , .rdmk , .lesli , .scl , .code , .rmd или .rscl .

Сообщение о выкупе.

После зашифровки файлов на ПК можно найти следующие файлы:

Если программа CryptoMix зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

CrySiS

CrySiS (JohnyCryptor, Virus-Encode или Aura) - это одна из программ-вымогателей, впервые замеченная в сентябре 2015 года. В ней используется шифрование типа AES256 в сочетании с асимметричным методом шифрования RSA1024.

Изменение имен файлов.

Зашифрованные файлы имеют одно из следующих расширений:
[email protected] ,
[email protected] ,
[email protected] ,
[email protected] ,
.{[email protected]}.CrySiS ,
.{[email protected]}.xtbl ,
.{[email protected]}.xtbl ,
.{[email protected]}.xtbl

Сообщение о выкупе.

Зашифровав ваши файлы, программа отображает одно из следующих сообщений. Это сообщение содержится в файле под названием «Decryption instructions.txt », «Decryptions instructions.txt » или «*README.txt » на рабочем столе.

Если программа CrySiS зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Globe

Globe - это одна из программ-вымогателей, впервые обнаруженная в августе 2016 года. В ней используется метод шифрования RC4 или Blowfish. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Globe добавляет одно из следующих расширений к названию файла: .ACRYPT , .GSupport , .blackblock , .dll555 , .duhust , .exploit , .frozen , .globe , .gsupport , .kyra , .purged , .raid , [email protected] , .xtbl , .zendrz , .zendr или .hnyear . Более того, некоторые версии программы зашифровывают само название файла.

Сообщение о выкупе.

После зашифровки файлов программа отображает такое сообщение, которое находится в файле «How to restore files.hta » или «Read Me Please.hta »):

Если программа Globe зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

HiddenTear

HiddenTear - одна из первых программ-вымогателей с открытым кодом, размещенная на портале GitHub и известная с августа 2015 года. С этого времени мошенниками, использующими открытый исходный код, были созданы сотни вариантов программы HiddenTear. Программа HiddenTear использует шифрование AES.

Изменение имен файлов.

Зашифрованные файлы получают одно из следующих расширений (но могут иметь и другие): .locked , .34xxx , .bloccato , .BUGSECCCC , .Hollycrypt , .lock , .saeid , .unlockit , .razy , .mecpt , .monstro , .lok , .암호화됨 , .8lock8 , .fucked , .flyper , .kratos , .krypted , .CAZZO , .doomed .

Сообщение о выкупе.

Когда файлы зашифрованы, на рабочем экране пользователя появляется текстовый файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) . Различные варианты могут также выводить сообщение с требованием выкупа:

Если программа HiddenTear зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Jigsaw

Jigsaw - это одна из программ-вымогателей, существующая примерно с марта 2016 года. Она названа в честь кинозлодея по прозвищу «Jigsaw Killer» («Пила-убийца»). Некоторые варианты этой программы используют изображение этого персонажа на экране с требованием выкупа за разблокировку.

Изменение имен файлов.

Зашифрованные файлы получают одно из следующих расширений: .kkk , .btc , .gws , .J , .encrypted , .porno , .payransom , .pornoransom , .epic , .xyz , .versiegelt , .encrypted , .payb , .pays , .payms , .paymds , .paymts , .paymst , .payrms , .payrmts , .paymrts , .paybtcs , .fun , .hush , [email protected] или .gefickt .

Сообщение о выкупе.

Когда файлы будут зашифрованы, отобразится один из экранов, представленных ниже:

Если программа Jigsaw зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.

Legion

Legion - это вид программы-вымогателя, впервые обнаруженный в июне 2016 г. Ниже описаны признаки заражения.

Изменение имен файлов.

Программа Legion добавляет нечто вроде [email protected]$.legion или [email protected]$.cbf в конце имен файлов. (Например, вместо Thesis.doc файл будет называться [email protected]$.legion .)

Сообщение о выкупе.

Зашифровав ваши файлы, программа Legion меняет фон рабочего стола, при этом появляется всплывающее окно, аналогичное этому:

Если программа Legion зашифровала ваши файлы, нажмите здесь, чтобы скачать наш бесплатный дешифратор для разблокировки.