Как вылечить заблокированные файлы
Подробные инструкции по удалению распространенных вирусов-шифровальщиков. Как восстановить данные с использованием инструментов дешифрования зараженных файлов
Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.
Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:
1. Запустите антивирус или антивирусный сканер для удаления трояна
Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.
Примечание: данный метод может быть не оптимальным в случае заражения некоторыми вариантами WannaCry, который проверяют доступность killswitch-домена. Если подобные домены зарегистрированы, то зловред прекратит шифрование. Однако, данная ситуация является нетипичной.
Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.
Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.
Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.
2. Попробуйте расшифровать файлы с помощью бесплатных утилит
Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.
“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.
Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:
- Выберите и загрузите два зашифрованных файла с компьютера.
- Укажите на сайте электронный адрес, который отображается в информационном сообщение с требованием выкупа.
- Если адрес электронной почты неизвестен, загрузите файл .txt или .html, содержащий заметки шифровальщика.
Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.
Инструменты дешифрования
Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:
- ThunderX Decryptor (инструкция) (обновлено 24-09-2020)
- Cyborg Decryptor (инструкция) (обновлено 18-09-2020)
- Crypt32 Decryptor (инструкция) (обновлено 18-09-2020)
- Checkmail7 Decryptor (инструкция) (обновлено 13-08-2020)
- SpartCrypt Decryptor (инструкция) (обновлено 21-07-2020)
- CryDecryptor Decryptor (инструкция) (обновлено 21-07-2020)
- Zorab Decryptor (инструкция) (обновлено 10-06-2020)
- Professeur Decryptor (инструкция) (обновлено 10-06-2020)
- RedRum Decryptor (инструкция) (обновлено 10-06-2020)
- ElvisPresley Decryptor (инструкция) (обновлено 10-06-2020)
- VCRYPTOR Decryptor (инструкция) (обновлено 28-05-2020)
- Mapo Decryptor (инструкция) (обновлено 28-05-2020)
- JavaLocker Decryptor (инструкция) (обновлено 28-05-2020)
- Jigsaw Decryptor (Emsisoft), дешифрока DragonCyber Ransom и файлов .fun , .game и .zemblax (инструкция) (обновлено 28-05-2020)
- GoGoogle Decryptor (Bitdefender) (инструкция) (обновлено 06-05-2020)
- GoGoogle Decryptor (Bitdefender) (инструкция) (обновлено 06-05-2020)
- KokoKrypt Decryptor (Emsisoft) (инструкция) (обновлено 05-05-2020)
- Bigbobross fix Decryptor (Avast) (инструкция) (обновлено 21-04-2020)
- BigBobRoss Decryptor (Emsisoft) (инструкция) (обновлено 21-04-2020)
- Ransomwared Decryptor (инструкция) (обновлено 20-04-2020)
- Mapo Decryptor (инструкция) (обновлено 21-02-2020)
- Ransomwared Decryptor (инструкция) (обновлено 08-02-2020)
- Chernolocker Decryptor (инструкция) (обновлено 15-01-2020)
- TurkStatic Decryptor (инструкция) (обновлено 26-11-2019)
- Hakbit Decryptor (инструкция) (обновлено 22-11-2019)
- Nemty Decryptor (инструкция) (обновлено 04-11-2019)
- Paradise Decryptor (инструкция) (обновлено 04-11-2019)
- Puma Decryptor (инструкция) (обновлено 23-10-2019)
- hildacrypt Decryptor (инструкция) (обновлено 14-10-2019)
- muhstik Decryptor (инструкция) (обновлено 14-10-2019)
- GalactiCryper Decryptor/a> (инструкция) (обновлено 04-10-2019)
- Rakhni Decryptor (инструкция) – включая Yatron Ransom, FortuneCrypt Ransom, Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) версии 3 и 4. (обновлено 30-09-2019)
- Avest Decryptor (инструкция) (обновлено 30-09-2019)
- WannaCryFake (инструкция) (обновлено 26-09-2019)
- Syrk Decryptor (инструкция) (обновлено 28-08-2019)
- JS WORM 4.0 Decryptor (инструкция) (обновлено 12-08-2019)
- Iams00rry Ransom Decryptor (инструкция) (обновлено 26-07-2019)
- Loocipher Ransom Decryptor (инструкция) (обновлено 26-07-2019)
- Mira Ransom Decryptor (инструкция) (обновлено 26-07-2019)
- ZeroFucks Ransom Decryptor (инструкция) (обновлено 26-07-2019)
- GetCrypt Ransom Decryptor (инструкция) (обновлено 23-05-2019)
- JS WORM 2.0 Decryptor (инструкция) (обновлено 21-05-2019)
- MegaLocker Decryptor (инструкция) (обновлено 06-05-2019)
- ZQ Decryptor (инструкция) (обновлено 03-05-2019)
- Planetary Decryptor (инструкция) (обновлено 29-04-2019)
- Pewcrypt Decryptor (инструкция) (обновлено 29-04-2019)
- HKCrypt Decryptor (инструкция) (обновлено 29-04-2019)
- AuroraDecryptor Decryptor (Emsisoft) (инструкция) (обновлено 29-04-2019)
- AuroraDecryptor Decryptor (Bleeping Computer) (инструкция) (обновлено 29-04-2019)
- Bigbobross fix Decryptor (инструкция) (обновлено 12-03-2019)
- GandCrab Ransom Decryptor (V1, V4 и V5 до версии V5.2) (инструкция) (обновлено 19-02-2019)
- pylocky_decryptor Decryptor by CISCO (инструкция) (добавлено 22-01-2019)
- Annabelle Ransom Decryptor (инструкция) (добавлено 28-02-2018)
- LambdaLocker Ransom Decryptor (инструкция) (добавлено 16-08-2017)
- NemucodAES Decryptor (инструкция) (добавлено 13-07-2017)
- MacRansom Decryptor (инструкция) (добавлено 23-06-2017)
- EncrypTile Decryptor (инструкция) (добавлено 21-06-2017)
- Merry X-Mas Decryptor (или этот инструмент)
- HiddenTear Decryptor (pdf)
- MRCR Decryptor (pdf)
- Chimera Decryptor (инструкция)
- ShadeDecryptor (pdf)
- TM Ransomware File Decryptor (инструкция) – расшифровка CryptXXX (V1, V2, V3), CryptXXX (V4, V5), TeslaCrypt V1, TeslaCrypt V2, TeslaCrypt V3, TeslaCrypt V4, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER V1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe/Purge (V1, V2, V3), DXXD V1, Teamxrat/Xpan V2, Crysis, TeleCrypt, DemoTool и WannaCry (WCRY).
- Rannoh Decryptor (инструкция) – включая CryptXXX (1, 2 и 3), Marsjoke aka Polyglot, AutoIt, Fury, Crybola, Cryakl;
- BarRax Decryptor (pdf)
- Noobcrypt Decryptor (pdf)
- Globe3 Decryptor (pdf)
- Teslacrypt Decryptor (инструкция) или этот инструмент (pdf)
- NMoreira Decryptor (pdf)
- Cry9 Decryptor (pdf)
- Alcatraz Decryptor (pdf)
- Popcorn Decryptor (pdf)
- Derialock Decryptor (pdf)
- Shade Decryptor (или этот инструмент) (pdf)
- Globe Decryptor (pdf)
- Damage Decryptor (pdf)
- Bart Decryptor (или этот инструмент)
- Marlboro Decryptor (pdf)
- PHP Ransomware Decryptor (pdf)
- CoinVault (инструкция)
- Globe2 Decryptor (pdf)
- Crypton Decryptor (pdf)
- Crypt888 Decryptor (pdf)
- Globelmposter Decryptor (pdf)
- WildFire Decryptor (инструкция) или этот инструмент (pdf)
- Jigsaw Decryptor (pdf)
- FenixLocker Decryptor (pdf)
- Philadelphia Decryptor (pdf)
- Stampado Decryptor (pdf)
- Xorist Decryptor (pdf)
- Nemucod Decryptor (pdf)
- Gomasom Decryptor (pdf)
- Linux.Encoder 1 Decryptor (pdf) и Linux.Encoder 3 Decryptor (pdf)
- Cryptomix Decryptor (или этот инструмент)
- Ozazalocker Decryptor (pdf)
Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!
Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.
Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:
- Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
- Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
- Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.
- Данный процесс может занять приличное время в зависимости от сложности угрозы.
- После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.
- Затем нужно принять лицензионное соглашение и выбрать варианты расшифровки. Вы можете изменить местоположение объектов и опционально сохранить зашифрованные версии.
- В конечном итоге появится сообщение об успешном восстановлении файлов.
Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.
Если есть резервная копия: очистите систему и восстановите бэкап
Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.
Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.
Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.
Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.
Источник
Как удалить заблокированный в системе Windows файл или папку? Начнем с того, что не каждый файл или папку нужно удалять: так, например, важные файлы самой Windows защищены от пользовательского вмешательства, и для их удаления потребуется запросить разрешение от TrustedInstaller – скрытой системной учетной записи, которая на голову выше любой учетной записи администратора. Если речь идет о редких случаях осознанного и контролируемого процесса удаления файлов или папок, которому препятствует системное уведомление «Запросите разрешение от TrustedInstaller», полный доступ с разрешением TrustedInstaller можно получить в свойствах удаляемой папки или файла.
Удаление заблокированных несистемных файлов и папок (пользовательских или рабочих данных стороннего ПО) – процедура менее опасная, и для этих целей существуют, соответственно, способы попроще. Один из них – закрытие процесса или программы, использующих удаляемый файл.
Если удаляемые файл или папка используются активным процессом, который нельзя завершить в работающей Windows с помощью диспетчера задач, решить вопрос с удалением можно:
– перезагрузив систему;
– в безопасном режиме работы Windows;
– загрузившись с Live-дисков или даже обычного установочного носителя Windows;
– в другой Windows или иной операционной системе, установленной на другом разделе или диске компьютера.
Но гораздо проще удалить заблокированный файл или папку при помощи специальных утилит – минималистичных программок для разблокировки данных. В отдельных случаях они не решат вопрос без перезагрузки Windows, но точно избавят от необходимости загружаться с других носителей или другой операционной системы. Не нужно будет даже самостоятельно выискивать программу или процесс, которые блокируют удаление, переименование или перемещение данных. Утилиты-разблокировщики сами закроют нужную программу или процесс. Естественно, при условии, что работа системы без блокирующего процесса возможна. Если нет, в таком случае обычно утилиты обещают, что удалят проблемный файл при следующей загрузке системы. Утилиты-разблокировщики, как правило, встраиваются в контекстное меню проводника системы, предлагая более удобный способ разблокировки файлов и папок, нежели форма их добавления в интерфейс самих утилит. Ниже рассмотрим тройку бесплатных утилит для удаления заблокированных в системе Windows файлов.
1. Unlocker
Скачать Unlocker
Unlocker – пожалуй, самая известная утилита из разряда разблокировщиков файлов. При ее запуске получим доступ к форме обзора в стиле проводника Windows для добавления файлов, которые нужно разблокировать, переименовать, переместить или удалить.
Работая с утилитой из контекстного меню, на заблокированном файле, соответственно, выбираем пункт «Unlocker».
В обоих случаях далее последует окошко Unlocker с выбором действий.
Инсталлятор Unlocker настроен на установку в систему вместе с «довесками», необходимо внимательно отслеживать шаги мастера установки, чтобы убрать галочки попутного внедрения ненужного софта.
2. Lock Hunter
Скачать Lock Hunter
Утилита Lock Hunter от Unlocker отличается возможностью работы не только с файлами, но и с заблокированными папками. Lock Hunter предусматривает кнопку обзора внутри своего интерфейса для добавления заблокированных папок или файлов, утилита также встраивается в контекстное меню проводника Windows в виде вопроса «Что блокирует этот файл (папку)».
По итогу отображения заблокированных папки или файла в окне утилиты их можно разблокировать, удалить, переименовать, перенести, завершить используемый их процесс (если это возможно).
3. UnlockMe
Скачать UnlockMe
Утилита UnlockMe, как и предыдущие участники обзора, работает с заблокированными папками и файлами как внутри собственного интерфейса, предусматривая кнопки добавления данных,
так и посредством опции в контекстном меню проводника Windows.
UnlockMe не предлагает функций удаления, переименования или перемещения файлов, утилита только проводит разблокировку файлов, завершая работу препятствующих программ или процессов (если это возможно). После разблокировки утилитой UnlockMe все нужные операции с папками и файлами осуществляются в проводнике или файловом менеджере.
Источник
Источник
Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.
Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.
Способы восстановления зашифрованных файлов бесплатно
Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.
Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем форуме.
1. Удалить вирус-шифровальщик
2. Восстановить зашифрованные файлы используя ShadowExplorer
3. Восстановить зашифрованные файлы используя PhotoRec
1. Удалить вирус-шифровальщик
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.
1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool
Скачайте программу Kaspersky Virus Removal Tool. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.
Дождитесь окончания этого процесса и удалите найденных зловредов.
1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware
Скачайте программу Malwarebytes Anti-malware. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.
Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.
Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.
Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.
После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.
2. Восстановить зашифрованные файлы используя ShadowExplorer
ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.
Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.
Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.
Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.
И последнее, выберите папку в которую будет скопирован восстановленный файл.
3. Восстановить зашифрованные файлы используя PhotoRec
PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.
Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.
В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.
В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.
По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.
В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).
Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.
Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.
В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.
Источник