Blog of Khlebalin Dmitriy

(Записки из мира IT…)

Вирусы-шифровальщики.

В понедельник в результате экспериментов, мой рабочий комп убил вирус-шифровальщик (все файлы, включая файлы профиля, все документы на всех дисках и дистрибутивы превратились .crypto). На компе был установлен Kaspersky и Malware одновременно, и я исключил всего две папки из защиты и проверки: downloads на диске e:, и program files на диске с:), но  то, что и Kaspersky и Malware были установлены на компе, никак не повлияло на ход событий, комп в определенный момент завис, после чего отправил его в ребут. А после перезагрузки открылся пустой рабочий стол и полу убитое меню Windows 10. Профили пользователей стали не видны все остальное превратилось в .crypto. С этого момента жизнь началась с нового чистого листа. В один миг все превратилось в пыль.

Обнаружил интересные две особенности:

  • Все, что было в папке c:\temp не зашифровалось.
  • В таком виде можно было устанавливать программы и они устанавливались прямо в папки с зашифрованными здесь же лежащими программами (как бы рядом с ними или поверх), выглядело это достаточно странно, будто компьютер, как ни в чем не бывало продолжает работать в штатном режиме .

Что дальше?

  • Kaspersky и Malware при загрузке уже конечно не стартовали (были уже зашифрованы), но я поставил их прям снова тут же рядом, и запустил полную проверку, они ничего не нашли.
  • Все тоже самое касалось и DrWeb и иже с ними… Никто ничего не находил или если находил, то было уже поздно махать граблями.
  • Далее поставил, также прям рядом с остальными,  утилиту HitmanPro (активировал триальную версию), она нашла какой-то троян, «пристрелила» его, и после перезагрузки у меня появились документы Рабочего стола и вообще стал виден Рабочий стол, которого до селе не было вовсе. Документы на Рабочем столе оказались не зашифрованными-это безусловно радовало, так как файлов, которые были у меня на Рабочем столе более у меня не было нигде, быстро скопировал из на флешку.

Об аналогах читаем здесь: http://remontka.pro/malware-removal-software/

Далее предстояло расшифровать файлы, вот интересный сайт где собрано не мало декрипторов:

https://www.nomoreransom.org/ru/decryption-tools.html

вначале начал пробовать и проверять по порядку сверху вниз разными утилитами, но каждая из них требовала немало времени на полную проверку (изучая форумы по теме шифровальщиков, натыкался на сообщения от людей, у которых на восстановление и расшифровку уходило по 2 недели, это мрак), такого времени у меня не было да и смысла это все восстанавливать я не видел, ведь у меня был BACKUP (бэкап всего, кроме, как я уже выше писал, папок Рабочего стола, но теперь были и они), а в текущей ситуации, это как никогда грело душу.

На переустановку всего (у меня достаточно много утилит, оснасток и программ) ушел день, еще день на, то чтоб перелить все мои файлы в исходное положение из Backup. Итого эксперименты стоили 2-х полных дней и это несколько выбило меня из устойчивого рабочего ритма.

Мораль басни какова?

  • Стараемся пользоваться только лицензионным или как минимум проверенным софтом, кряки, патчи, кейгены, все это порой приводит к аналогичным последствиям.
  • Не заходим на те страницы которые явно блокируются антивирусом или Malware, не добавляем их в исключения.
  • Не устанавливаем предлагаемые плагины и прочие надстройки с интернета.
  • Не исключаем никакие папки из проверки и защиты, как в антивирусе, так и в Malware.
  • Не стоит надеяться, что установленный антивирус (будь то Касперский, Др.Веб, Аваст или еще какой-либо) Вам сильно поможет и спасет Вас от всех проблем, как видим это так, да не так 😦
  • Золотое правило-БЭКАП НАШЕ ВСЕ!!!

Всем хорошей работы !!!

07.06.2017 Posted by | antiviruses | 2 комментария