fbpx

Jak odszyfrować pliki po ataku ransomware?

Realny problem wirtualnego okupu

Obecnie ransomware jest najbardziej niebezpiecznym rodzajem złośliwego oprogramowania, jednak można się przed nim skutecznie chronić – wystarczy przestrzegać kilku dobrych praktyk, aby zapobiec zainfekowaniu komputera.

Na pierwszej linii obrony powinno stać zaktualizowane oprogramowanie antywirusowe – tak wyposażone narzędzie najpewniej uchroni nas przed zaszyfrowaniem komputera. Zawsze powinniśmy jednak zachować ostrożność i nie otwierać podejrzanych maili, a w szczególności załączników i linków. Skutecznym rozwiązaniem w przypadku ataku ransomware jest tworzenie regularnych kopii zapasowych naszych kluczowych danych.

Co zrobić, jeśli padliśmy ofiarą ransomware i nasze pliki zostały zaszyfrowane?

Przede wszystkim należy zachować względny spokój, zanim postanowisz zapłacić okup lub pogodzisz się z utratą danych, sprawdź jaki program zaatakował Twój komputer. Wbrew pozorom, nie jest to wcale trudne. Wystarczy wpisać w wyszukiwarce informacje o komunikacie, który pojawił się po zainfekowaniu komputera. Wielu producentów oprogramowania antywirusowego przygotowało ogólnodostępne narzędzia, które pozwalają na odszyfrowanie systemu z najpowszechniejszych typów ransomware, dzięki temu możemy sobie poradzić z takimi problemem samodzielnie, nie wydając przy tym ani złotówki!

ransomware-odszyfrowanie

Jakim złośliwym oprogramowaniem szyfrującym cyberprzestępcy posługują się najczęściej? Sprawdź, jak odszyfrować najpopularniejsze ransomware!

Poniżej przedstawiamy listę najczęściej wykorzystywanych ransomware i dedykowanych narzędzi odszyfrowujących: 

Apocalypse – zaszyfrowane pliki posiadają rozszerzenie: .encrypted, .locked lub .SecureCrypted (np. mojplik.pdf.encrypted). Pojawiają się też pliki z żądaniem okupu o rozszerzeniach: .How_To_Decrypt.txt, .README.Txt, or .Contact_Here_To_Recover_Your_Files.txt. Odszyfrowywanie: AVG Apocalypse Decryptor (starsza wersja szkodnika), AVG ApocalypseVM Decryptor (nowsza wersja szkodnika).

BadBlock – nie zmienia nazw plików, ale pozostawia żądanie okupu w dokumencie o nazwie Help Decrypt.html, który na czerwonym tle zawiera tekst „BadBlock is on the Block”. Ten ransomware odszyfrujemy za pomocą AVG BadBlock Decryptor.

Crypt888 – zwany również Mircop, to ransomware, który zaszyfrowanym plikom nadaje prefiks Lock. (np. Lock.mojplik.pdf), a także podmienia tapetę naszego pulpitu na czarną grafikę z maską Guya Fawkesa. Pozbędziemy się go dzięki: AVG Crypt888 Decryptor

Legion – po zaszyfrowaniu dodaje do nazw plików długie rozszerzenia: ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion (np. mojplik.pdf._23-06-2016-20-27-23_$f_tactics@aol.com$.legion). Zmienia również tapetę pulpitu na białe tło z napisem informującym o zaszyfrowaniu danych i adresem mailowym f_tactics@aol.com. Pozbędziesz się go przy pomocy AVG Legion Decryptor.

SZFLocker – do zaszyfrowanych plików dodaje rozszerzenie .szf oraz pojawia się informacja: „Plik zaszyfrowany. Usługa odszyfrowania dostępna pod adresem deszyfrator.deszyfr@yandex.ru”. Jest to oczywiście usługa płatna, za darmo możemy się go pozbyć samodzielnie dzięki: AVG SZFlocker Decryptor.

TeslaCrypt – do zaszyfrowanych plików dodaje różne rozszerzenia, np. .micro, .mp3 czy .vvv, ale mogą również zachować oryginalną nazwę. Po zainfekowaniu użytkownikowi jest wyświetlany biały komunikat na czarnym tle, informujący, że aby odszyfrować pliki, należy wejść na wymienione strony internetowe (pod losowymi nazwami domenowymi) albo zainstalować przeglądarkę Tor Browser i wejść w ukrytą stronę pod domeną .onion. W odszyfrowaniu pomoże nam: AVG TeslaCrypt Decryptor (działa zarówno z TeslaCrypt v3, jak i TeslaCrypt v4).

CoinVault – ten szkodnik w latach 2014 – 2015 zaatakował ponad 10 tysięcy użytkowników z 20 krajów świata. Jest to pierwszy przypadek ransomware, którego twórcy dzięki współpracy holenderskiej policji i specjalistów Kaspersky Lab, zostali namierzeni i skazani wyrokiem sądu. Zaatakowane dane można odyzskać przy pomocy instrukcji zamieszczonej w serwisie www.noransom.kaspersky.com (wytyczne w języku polskim: https://www.kaspersky.pl/images/news/klp_noransom_instrukcja_odszyfrowania.pdf).

ID Ransomware - darmowe narzędzie umożliwiające identyfikację ransomware

Jeśli nie wiesz, jaki typ ransomware zaatakował Twój komputer, skorzystaj z serwisu ID Ransomware, który umożliwia identyfikację szkodnika oraz udostępnia narzędzia do odblokowania plików zaatakowanych przez niektóre z nich.  

W celu uzyskania pomocy należy przesłać do serwisu plik, który wzywa nas do zapłacenia okupu (najczęściej występuje w formacie HTML), a następnie przesłać jeden z zaszyfrowanych plików. W dalszej kolejności otrzymamy link do narzędzia pozwalającego na odblokowanie dostępu do zaszyfrowanych plików. 

Jeśli będziemy mieć mniej szczęścia i w bazie ID Ransomware nie będzie informacji o oprogramowaniu, które zaatakowało nasz komputer, zostaniemy przekierowani na forum pomocy Bleeping Computer oraz poproszeni o wykonanie kopii zapasowej zaszyfrowanych plików. W takim przypadku pozostaje mieć nadzieję, że w przyszłości pojawią się narzędzia umożliwiające ich odzyskanie. 

Obecnie serwis ID Ransomware pozwala na odszyfrowanie plików zaatakowanych przez 51 wariantów ransomware: 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt.

Bezpieczeństwo sieci

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66

email: kontakt@vida.pl

Zapytaj o produkt

Rozwiązania IT

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66
email: kontakt@vida.pl

UWAGA! Zmiana adresu siedziby firmy

Uprzejmie informujemy, iż od dnia 1 sierpnia 2019 roku ulega zmianie adres siedziby firmy oraz numer telefonu stacjonarnego.

Od dziś zapraszamy do nowej siedziby w Katowicach, przy ul. Gałczyńskiego 18.
Aktualny numer telefonu stacjonarnego to: 32 225 99 66.

UWAGA! Zmiana adresu siedziby firmy

Uprzejmie informujemy, iż od dnia 1 sierpnia 2019 roku ulega zmianie adres siedziby firmy oraz numer telefonu stacjonarnego.

Od dziś zapraszamy do nowej siedziby w Katowicach, przy ul. Gałczyńskiego 18.
Aktualny numer telefonu stacjonarnego to: 32 225 99 66.