В 2014 году пользователи по всему миру столкнулись с новой угрозой, которая заполонила просторы Всемирной паутины. Этой угрозой стала новая разновидность вредоносного программного обеспечения, получившая название вирус-шифровальщик.
Своим названием он обязан благодаря тому, что преобразует файлы в особый формат .cbf, после чего пользователь теряет доступ к ним. Большой проблемой во всем этом является то, что современные антивирусы попросту бессильны против вирусов этой категории.
Немного о вымогателях
Вирусы-вымогатели относятся к отдельной категории вредоносного программного обеспечения, поскольку они направлены не на то, чтобы нанести вред компьютеру и личным данным пользователя, а на получение материальной выгоды. В наши дни существует три разновидности этих вирусов, среди которых присутствуют: XTBL, VAULT и CBF. Они обладают аналогичным алгоритмом работы, который направлен на зашифровку важных файлов, для восстановления доступа, к которым с пользователя вымогается оплата.
Как показывает практика, большинство пользователей совершают перевод на указанные реквизиты, однако, после этого никакого возврата доступа к зашифрованным файлам не происходит. Более того, очень часто личные данные юзеров после этого даже попадают в сеть.
Чем сопровождается заражение компьютера?
Основным способом проникновения вируса на жесткий диск компьютера являются электронные письма, а также различные подозрительные интернет-сайты. Чаще всего, проникновение вируса происходит незаметно и пользователь даже не подозревает об этом. Помимо этого, ни один антивирус, существующий на сегодняшний день не способен обеспечить надежный уровень защиты от вирусов-вымогателей.
Проникнув в операционную систему, вирус начинает клонировать себя и постепенно инфицирует все наиболее важные системные файлы. Как только это происходит, очень сильно возрастает нагрузка на процессор и повышается расход ресурсов оперативной памяти. Определить наличие этой категории вирусов на компьютере можно по наличию выполняемого процесса Build.exe в «Диспетчере задач». Помимо этого, в системной папке Windows с файлами х86 появляется каталог RarLad, в котором находятся файлы Build.exe, checkdata.dif и winrar.tmp. В некоторых случаях первый файл может появляться и на рабочем столе. В кеш-памяти интернет-браузера могут появляться фотографии и ссылки на ресурсы для взрослых.
По мере инфицирования файлов, вирус добавляет в искомое имя приставку .cdf. Такие файлы невозможно открыть, поскольку вирус может только зашифровать файлы, а проделать обратную процедуру он попросту не умеет. Именно по этой причине вернуть доступ к зашифрованным файлам при помощи перевода денег на указанную карту или электронный кошелек невозможно. Что делать в этом случае?
Нужно ли удалять зараженные файлы?
Если ваш антивирус все-таки смог распознать вирус-шифровальщик, то не стоит удалять инфицированные файлы. Вместо этого, лучше поместить их в карантин, чтобы хоть немного локализовать угрозу и предотвратить дальнейшее заражение. Полное удаление никакого результата не принесет, поскольку, удалив зашифрованный файл, вы навсегда потеряете возможность вернуть доступ к нему, а помещение в карантин дает возможность отправки вируса на проверку разработчику антивирусного ПО. Однако стоит отметить, что и это не всегда приносит ожидаемые результаты, поэтому сильно рассчитывать на помощь профессионалов не следует.
Так как лучше поступить?
Давайте предположим, что вирус уже поразил операционную систему и вы столкнулись с одной из следующих ситуаций. Во-первых, могут быть зашифрованы важные для вас файлы и вы не можете их открыть, а во-вторых, может полностью блокироваться работа Windows и, вместо рабочего стола, загружается окно с реквизитами оплаты. Как лучше поступить в любой из этих ситуаций?
Вариант оплаты необходимо полностью исключить, поскольку, как это уже упоминалось ранее, никаких результатов он не принесет. Вместо этого, можно попробовать найти подходящий для разблокировки код в одной из существующих баз данных, которые можно найти в сети. Например, это может быть Unlocker от известного производителя антивирусного ПО Dr. Web. Если подходящего кода вы не нашли, то придется исправлять ситуацию своими силами.
Восстановление системы
Алгоритм работы вирусов-вымогателей базируется на принципе 1024-битного шифрования, поэтому каким-либо способом расшифровать его невозможно. Наиболее подходящим выходом из этой ситуации является восстановление Windows. Для этого необходимо зайти в «Панель управления» и выполнить откат системы до ближайшей актуальной контрольной точки, созданной до проникновения вируса на компьютер. Если даже рабочий стол не загружается, то потребуется несколько раз перезагрузить операционную систему, пока не будет запущена автоматическая система восстановления Windows. Также можно использовать и загрузочный диск, с помощью которого можно запустить восстановление системы при помощи специальных команд через командную строку. Однако этот вариант неприменим на стадии полного инфицирования Windows.
Восстановление зашифрованных файлов
Если восстановление системы не помогло или вы по каким-либо причинам не делали архивацию данных, то можно воспользоваться специальными инструментами Windows, которые позволяют восстановить изначальные версии файлов. Для этого открываем «Проводник», заходим в свойства инфицированного вирусом раздела или диска и переходим в соответствующую вкладку. Далее, выбираем необходимую контрольную точку, выбираем файлы, которые необходимо восстановить, и указываем директорию для восстановления.
Дешифраторы
Многие разработчики антивирусов предоставляют пользователям дешифраторы — специальные утилиты, позволяющие расшифровать зараженные cbf-вирусом файлы. Однако стоит отметить, что не рекомендуется использовать утилиты подобного класса от неизвестных разработчиков. Помимо этого, для их использования необходимо обладать активной лицензионной версией антивируса. Если таковой нет, то лучше отказаться от установки дешифратора, поскольку это может причинить компьютеру и личным файлам пользователя еще больший вред и потребовать полной переустановки операционной системы.
Что делать категорически запрещено?
Как и в случае со многими другими типами вредоносного программного обеспечения, при заражении компьютера вирусом-вымогателем не рекомендуется делать определенные действия, из-за которых возможность получения доступа к зашифрованным файлам будет навсегда утеряна. Вот основные из них:
— использовать дешифраторы в том случае, если вы используете взломанный антивирус;
— переименовывать или менять расширение инфицированных объектов;
— производить очистку кеш-памяти и истории интернет-браузера до отправки зараженных файлов на анализ в лабораторию производителей антивирусов;
— переустанавливать Windows без полного форматирования всех логических разделов и жестких дисков;
— переводить денежные средства на указанные киберпреступниками реквизиты, а также отправлять любые файлы и личные данные на подозрительные адреса электронной почты.
Если вы столкнулись с cbf-вирусом, то необходимо понимать, что их алгоритм устроен в одностороннем порядке, поэтому он просто неспособен расшифровать зараженные файлы. Восстановить доступ к таким файлам самостоятельно ни один пользователь также неспособен. Поэтому оптимальным выходом из сложившейся ситуации станет обращение к профессионалам, занимающимся разработкой антивирусного ПО.
Для повышения вероятности восстановления доступа к зашифрованным файлам рекомендуется прилагать и оригинал вируса, который и послужил причиной инфицирования. Об этом утверждают абсолютно все лаборатории. Однако и это не дает стопроцентной гарантии того, что удастся вылечить зараженные файлы.
Как показывает практика, очень немногое количество обращений приносит плоды. Как утверждают многие пользователи, существует лишь небольшое количество случаев, когда производителям антивирусов удавалось расшифровать вирусы-вымогатели. Остается лишь надеяться на то, что со временем уровень защиты от этой категории вирусов станет более надежным. На сегодняшний день остается только придерживаться общих правил безопасности и не посещать сомнительные сайты, а также не скачивать никакие файлы и не переходить по подозрительным ссылкам, которые приходят в электронных письмах от неизвестных пользователей.