Восстановление файлов и лечение вируса шифровальщика (da vinci, enigma, vault, xtbl, cbf)

Видеоурок «Восстановление файлов и лечение вируса шифровальщика (xtbl, vault, cbf)»

В данном видео рассмотрим последствия заражения вирусом шифровальщиком, а так же различные способы лечения вируса шифровальщика. А в частности рассмотрим способ с использованием софта для расшифровки файлов и средства восстановления файлов из контрольных точек системы. На функции, восстановления файлов остановимся поподробнее, так как она может быть полезна во многих ситуациях.Ну, а начнем мы с вируса шифровальщика. В одну из организаций, которые я обслуживаю, через электронную почту попал вирус, который шифрует все рабочие файлы. В частности, у меня он зашифровал все документы Word, Excel, бызу 1C, ключи, необходимые для электронного документооборота  с налоговой и пенсионным фондом и многие другие. В общем, убил все рабочие файлы. Хотя антивирусная база была актуальная, на один из компьютеров вирусу все же удалось пробраться, хотя на других он был обезврежен.

В результате действия вируса шифровальщика, рабочие файлы шифруются, переименовываются, к ним добавляется расширение xtbl, vault или cbf, а так же на рабочем столе меняются обои с текстом, типа «Все ваши файлы зашифрованы, обратитесь по указанному адресу электронной почты в течении недели или файлы будет невозможно расшифровать».

Модификации вируса могут быть разные, но принцип работы одинаков, вы должны заплатить деньги злоумышленнику, чтобы он расшифровал файлы. В моем случае файлы имели примерно следующие имена email-iizomer@aol.com.ver-CL 0.0.1.0.id-VWWXZZZAABCCDDDEEFFGHHIIJJKLMMNNOPPQ-22.06.2015 11@18@024041.randomname-ZFHHJKLLMNNOOOOPQQRRSSSSTUUVVW.XXY.cbf.

Если ваш компьютер был заражен подобным вирусом шифровальщиком, не стоит отправлять деньги злоумышленнику, так как далеко не факт, что он вас не обманет. И к тому же, вам нужно будет отправлять файлы для дешифровки этому самому злоумышленнику, а значит ваша конфиденциальная информация станет достоянием общественности. И так, какие способы решения данной проблемы существуют: — использование программ дешифраторов, которые разрабатываются компаниями по защите от вирусных атак (Касперский или Dr.Web). http://www.kaspersky.ru / Скачать / Бесплатные сервисы / Лечение зашифрованных файлов / Подробнее. http://www.drweb.ru / Поддержка / Антивирусная лаборатория Модификации вируса пишут часто, по этому работники антивирусных программ не успевают разрабатывать дешифраторы.

Причем, порой даже не успевают обновлять вирусные базы. Например, недавно у меня была ситуация, что пришел вирус так же через электронную почту, но антивирус не нашел в данном письме ничего подозрительного. Мало того, я проверил прикрепленный файл на онлайн сервисе http://www.virustotal.com , но ни один антивирус не среагировал. Однако, через 3 дня проверил вновь и уже 32 из 55 антивирусов нашли в файле вирус. — если у вас установлена лицензионная антивирусная программа, стоит обратиться в тех поддержку, чтобы они помогли решить данную задачу, но не факт, что они вам помогут. — восстановление файлов из резервной копии. Именно на этом варианте решения мы и остановимся поподробнее.

Как правило, резервные копии создаются в организациях, а для домашних пользователей этот вопрос не особо актуален и очень даже зря. По этому, мы попробуем решить проблему средствами, которые предоставляют нам встроенные инструменты Windows, а в частности, это контрольные точки восстановления системы. По умолчанию, при установке операционной системы, защита системы настроена таким образом, что на системном диске (т.е. жестком диске, на котором устанавливается сама операционная система) включена функция защиты системы (Мой компьютер \ ПКМ \ Свойства \ Дополнительные параметры системы \ Защита системы \ С:Включено).

Как правило, данная функция используется для восстановления системных параметров, в случае если операционная система стала себя не адекватно вести или вообще не загружается. В данной ситуации можно выполнить восстановление системных файлов из контрольной точки восстановления  и возможно, это поможет. Но, помимо этого, данная функция позволяет восстанавливать предыдущие версии файлов, т.е. файлы, которые находились на диске в момент создания контрольной точки.

Таким образом, можно восстановить измененные, переименованные или удаленные файлы. В нашем случае, потребуется восстановить версии файлов до заражения вирусом шифровальщиком (Мой компьютер \ Выбираем диск \ ПКМ \ Свойства \ Предыдущие версии файлов \ Выбираем дату контрольной точки \ Открыть \ Находим необходимые файлы \ Копируем в нужную папку). Если вы не помните путь к файлу, то можно воспользоваться поиском, он нормально работает!

Благодаря данному методу я восстановил порядка 60 гигобайт зашифрованных файлов. Но, тут не все так просто, в данной ситуации мне повезло, что все рабочие файлы располагались на системном разделе. Я не так давно устроился в эту организацию и еще не успел привести систему в удобный для меня вид. Если бы я это сделал, то все рабочие документы располагались бы на втором разделе, а на системном только файлы программ и операционной системы. И в данной ситуации этот метод мне бы не помог, так как автоматически функция защиты системы включена только на системном диске, а вирус шифрует файлы находящиеся на всех разделах. Причем у меня не было никогда необходимости включать функцию защиты на других разделах, но, благодаря данной ситуации, появилась, как говорится век живи век учись.

По этому, давайте настроим функцию защиты системы для остальных дисков (Мой компьютер \ ПКМ \ Свойства \ Дополнительные параметры системы \ Защита системы \ D \ Настроить \ Восстановить только предыдущие версии файлов, так как на данном диске система не установлена \ Объем можете выбирать по своему усмотрению, я же обычно ставлю 5%) И на последок, если вы заметили подобную активность вируса, срочно выключайте компьютер, так как шифратор работает в фоновом режиме из операционной системы. А далее, подключить жесткий диск к другому компьютеру, проверить на вирусы и сохранить информацию. Так же можно загрузиться из под Windows PE и просканировать систему портативным антивирусом. Если же так и не получилось расшифровать или восстановить файлы, то придется искать специалистов по расшифровке.

Дополнительные материалы: Скачать видеоурок «Восстановление файлов и лечение вируса шифровальщика (xtbl, vault, cbf)»

Понравился видеоурок!? Отблагодари автора, поставь лайк!

Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать в Яндекс

Вы можете оставить комментарий, или ссылку на Ваш сайт.

43 комментария к записи “Восстановление файлов и лечение вируса шифровальщика (da vinci, enigma, vault, xtbl, cbf)”

  1. Андрей пишет:

    Спасибо,Антон. Всё это,конечно, -полезно(и любопытно;для меня,во-всяком случае)...И как раз(близко к теме,пожалуй), -у меня вопрос к тебе:а занимался-ли ты восстановлением больших объёмов информации? И что могбы порекомендовать ? (у меня внешний HDD накрылся,и вот я теперь ,,тестирую" всяческий софт.Да как-то всё...Ёкость-1 ТБ ; долго ,и невсё находит...А если и находит, -ни имён,что были,и т.п. оказия...) Если был опыт, -отпишись,пожалуйста! Пока.

    Севостьянов Антон Reply:

    На эту тему создавал видео R-Studio — восстановление удаленных файлов (www.sys-team-admin.ru/obz...nnih-failov.html)

    Мне только она помогла восстановить теробайтный винт после форматирования!

  2. Александр пишет:

    Добрый день, большое спасибо за урок очень познавательный. Подскажите пожалуйста а в xp можно это сделать.

    Севостьянов Антон Reply:

    В ХР не пробовал, но, если в свойствах диска нет пункта, то можно попробовать поискать файлы через программу Shadow Explorer — www.shadowexplorer.com/downloads.html

  3. Алекс пишет:

    В первую очередь не нужно дома сидеть под админом, шифровальщику нужны полные права для доступа к системным файлам.

    Севостьянов Антон Reply:

    Так то да, но Вы попробуйте донести эту мысль до деревянного пользователя!? Да и были заражения без админских прав, он же не заражает системные файлы, а работает как портативная программа имеющая доступ к личным данным пользователя ;-)

  4. Аноним пишет:

    Хоть все эти вещи знакомы мне на практике уже давно (работа), но видео посмотрел ради положительных эмоций, потому, что не часто встречаю знающих и одновременно просто и доходчиво объясняющих спецов. Удачи, Антон!

    Севостьянов Антон Reply:

    Спасибо, буду стараться и совершенствоваться :-)

  5. Armen пишет:

    spasibo

    Севостьянов Антон Reply:

    Пожалуйста :-)

  6. Юрий пишет:

    Доброго времени суток, Антон!

    Хорошая статья и видео. Лично сталкивался два раза с данной «темой». Проблема большая, даже если поддаются фалы расшифровке, то на один файл уходит до 30 минут! Антивирусные программы не гарантируют полной защиты, к сожалению, это факт. Но основная причина заражения- это не правильные действия пользователей и жадность руководителей. Полностью согласен, что только бэкап, желательно на отдельный копм. даст гарантию на восстановление данных. Удачи вам!

    Севостьянов Антон Reply:

    Спасибо и Вам удачи ;-)

  7. Starik пишет:

    Долго тебя не было.Успели соскучиться.У меня похожая ситуация была.Windows XP SP3.Документы куча зашифрованы в формате cbf.Думал хард сыпиться.Самое что интересно документ с правильным названием, а снизу тот же документ только длинее имя и непонятные крякозябры,у него расширение cbf.Хорошо была резервная копия на другом компе,но некоторые документы пропали.Пробовал от доктора веб decrupt.Не помогло.Куча времени убил.Погоревали и забыли.Сейчас делаю резервные копии файлов на внешние жесткие диски.А этот вирус может по сети перейти к другому компу если передать этот документ?

    Севостьянов Антон Reply:

    Если документ, то нет. Сам зашифрованный документ не несет в себе тело вируса, его несет программа запущенная на компьютере.

    А, что касается передачи вируса по сети. Только что решал данный вопрос в домене!

    В общем ситуация такая: на клиентских компьютерах в качестве сетевых дисков были прописаны сетевые ресурсы (Shara, Обмен, install). Так как вирус ищет информацию на всех дисках, то он начал шифровать файлы на общедоступных ресурсах :- (

    Для решения данного вопроса, написал скрипт в котором отключались все сетевые диски на компьютерах в домене, а ресурсы прописывались через ярлыки в меню навигации в Проводнике. В данной ситуации, если вирус даже попадет в систему, он просто зашифрует ярлыки *.lnk.

  8. Игорь пишет:

    А почему не Acronis'-ом? Тем более что ты уже его рекомендовал, и даже скинул в архиве (с одним из своих самых первых видео-"уроках") его ехе-шник. Правда триальный. %) Ну там где ты типа учишь как надо устанавливать, а на самом деле «как !_не надо», устанавливать винду, тем более со zver. Ставь Acronis True Image, -> создавай зону безопасности, -> и пусть туда кидает важные файлы, с любым временным интервалом. А виндовая «Восстановление системы» это как замок от честных воров.

    Севостьянов Антон Reply:

    Триальный по тому, что я не являюсь официальным распространителем данного ПО. Кто захочет, тот найдет ключ. Со ZVER, был не прав, нужно с оригинальных образов ставить.

  9. Игорь пишет:

    Кст. за расшифровку деятельности подобных файлов, даже матёрые антивирусные компании не берутся. А знаешь почему? Потому-что криптографы — это элита хакерства. И те кто пишут, подобные вирусы, и те кто их распространяют, это совершенно разные лица. Так-что вряд ли что то получишь, если даже отправишь им «выкуп». Дешифратор — никто не пришлёт. Потому-что вирус — купленный, а его дешифратор стОит овердохуя. Его алгоритм уникален.

    Хотя я знаю один случай, когда дешифратор прислали. За 2 тыщ. Баксов.

    p.s. А так — удачи тебе. Прикольные видео курсы. Иногда поднимают настроение.

    Севостьянов Антон Reply:

    Ну чтож, я рад, что мои курсы еще и попадают в жанр «комедия» ;-)

  10. Игорь пишет:

    Вот твой курс ->

    www.sys-team-admin.ru/kur...click/index.html

    А в одном из видео-уроков(пятом или четвертом) отлично видно что админская папка «Документы», под ником «zver».

    Видишь, как всё просто? :P

    Особенно позабавила и развеселила строка..." Резервирование по_средствам Acronis." А если Акронис _не_по средствам? Тогда чё? Немаешь золотого запасу? *JOKINGLY* и единственный способ сохранить свой комп, это идти в распространители этого ПО?

    ... вот поэтому — жанр комедия и весело. :-D

    Не сердись. Кому-то и твои уроки — помогают. И прежде всего — тебе самому... *MACHO*

    Удачи.

    Севостьянов Антон Reply:

    И что? Zver, это имя пользователя!

    А вообще, при желании, доеб...ся можно до всего. Если у тебя есть более интересные и грамотные работы, дай ссылку, посмотрю и я на твое творчество ;-)

  11. Александр пишет:

    Антон еще раз спасибо за урок. У меня похожая ситуация, начальство жадное, не понимает что в безопасности xp давно уже устарел, а диски подключены как вы писали шарой. Не могли бы Вы скинуть скрипт отключения. Заранее благодарен, Ваш подписчек.

    Севостьянов Антон Reply:

    В bat-ник запихиваем следующую строку:

    net use Z: /delete

    где Z, это буква сетевого диска.

    Можно прописать несколько букв или все, кроме C, D, E.

    У меня был скрипт:

    net use H: /delete

    net use I: /delete

    net use J: /delete

    net use O: /delete

    net use R: /delete

    net use Y: /delete

    net use Z: /delete

  12. Максим пишет:

    Здравствуйте Антон, столкнулся с такой проблемой на работе, ноутбук шефа полностью был зашифрован таким вирусом, чтобы все не пробовали расшифровать не получается, точки восстановления файлов нет, может вы что нибудь сможите посоветовать?

    Севостьянов Антон Reply:

    Все, что я могу посоветовать, описано в данном видео. А если не помогло, значит увы :- ( Планирую создать еще одно видео, по защите от подобного вируса!

  13. Александр пишет:

    Спасибо Антон, извени что не сразу ответил, некогда было даже посмотреть на работе запарка.

    Севостьянов Антон Reply:

    Понимаю, у самого сейчас запара. Даже времени новый урок составить нету :- (

  14. komron пишет:

    ХОТЕЛ СПРОСИТЬ. У меня иногда бывает, что не могу удалить вирусов. У меня стоит антивирус eset,то есть он не может удалить этот вирус говорить ошибка удаления. Я спросил кое-кого они сказали когда так будет заходи на диспетчер задач и снимай задачу вирус выйдут из оперативки и удаляется, но этот дурацкий метод не сработал можете дать мне совет.

    Севостьянов Антон Reply:

    Попробуйте про сканировать систему в безопасном режиме! Или можно в msconfig выбрать «Диагностический запуск», тогда все не нужные для загрузки ОС службы будут остановлены. Далее про сканировать систему и вернуть режим запуска в прежний!

    Прохожий Reply:

    А зачем проверять винду «из под неё самой»? Т.е. Вам попался комп с установленной ранее виндой, вы туда установили антивирь, и начали _им проверять эту винду? ;-) ) Такой номер, в большинстве случаев, — не прокатывает.

    Для таких случаев есть LivеCD или livedisk, с антивирусом. Они есть: и у капсера, и у дохтур-веба, и у ESET. Принцип работы, у них всех, одинаковый; — пишешь образ на болвань или флешку, грузишся с неё, и !_ей проверяешь. Лично мне, больше всего нравиться Kaspersky Rescue Disk.

    Хотя, у всех есть достоинства и недостатки, но ESET — _не нравится больше всего, и прежде всего своей бестолковостью. Но это дело вкуса и привычки.

    Севостьянов Антон Reply:

    В данном видео я об этом рассказывал!

    «А далее, подключить жесткий диск к другому компьютеру, проверить на вирусы и сохранить информацию. Так же можно загрузиться из под Windows PE и просканировать систему портативным антивирусом.»

  15. FaUST пишет:

    Хочу немного рассказать о истории своих новых клиентов.

    Они обратились ко мне, когда зашифровали их .vault

    Ни одна программа конечно не помогла и было решено отправить деньги, ибо копий 1с у них не было 2 года.

    Стоило это 250$, послали им 3 файла, которые успешно были расшифрованы ими и присланы для доказательства наличия дешифратора.

    Отправили деньги и получили дешифратор, всё благополучно разрешилось, правда за -250% :)

    Теперь облачные копии делаются постоянно.

    Всё это к тому, что если нет другого варианта как заплатить, то сначала убедитесь что дешифратор у вымогателей есть.

  16. fiximru@mail.ru пишет:

    Могу помочь с дешифратором файлов но на практике чтобы получить дешифратор уходило у меня 4 дня чтобы подобрать нужный ключ к файлам... если кто столкнулся с проблемой напишите мне на почту fiximru@mail.ru помогу чем смогу… ;) только пришлите мне желательно две фотографии зашифрованные чтобы с них создать дешифратор файлов для вашего ПК именно. =)

    Севостьянов Антон Reply:

    Спасибо! Будем иметь ввиду ;-) А какова стоимость данной услуги?

    fiximru@mail.ru Reply:

    цена дешифратора файлов от 4000 — до 6000 рублей... всё зависит от срока исполнения дешифратора... подобрать ключь дешифратора уходит много времени проведенного за ПК особено ночей бесонных =-O

    ЕСЛИ У КОГО ПРОБЛЕМЫ С ВИРУСОМ шифровальщика ОБРАЩАЙТЕСЬ ПОМОГУ FIXIMRU@MAIL.RU

  17. Олег пишет:

    А если вовремя заражения открыто окно скрытого диска с файлами,шифровальщик же может пробежаться по окнам проводника и заразить файлы?

    Севостьянов Антон Reply:

    Не думаю, что он будет бегать по открытым окнам. Он будет заражать все, до чего доберется из «Мой компьютер»

    Аноним Reply:

    А все таки есть возможность расшифровать документы на хр с расширением cbf?!

  18. Олег пишет:

    Еще хороший способ использовать для хранения общих файлов отдельную машину на Linux с файловой системой ZFS и делать снапшоты.

  19. Артем пишет:

    помогло восстановление старой версии файлов (естественно вирус был вычищен перед этим), спасибо большое автору

  20. Аноним пишет:

    Всем привет!У кого нибудь получилось расшифровать файлы .cbf ,если получилось помогите пожалуйста! Винда ХР!!! Почта:snoxstorm@tut.by

  21. Болат пишет:

    > Доброго времени суток! Помогите пожалуйста. вирус Vault заразил

    > компьютер. Файлы не открываются что делать?

  22. Бахадыр пишет:

    Один пользователь на работе поймал вирус da vinci, ни одно из представленных рекомендаций не помогло, шифровальщики вроде как уже давно вышли. Неужели еще не вышли уневерсальные программки для восстановления зашифрованных файлов? *HELP* *HELP* *HELP*

    Севостьянов Антон Reply:

    Создатели шифраторов постоянно их модифицируют, по этому разработчики антивирусных решений не успевают за ними :- (

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.