Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.
Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.
Способы восстановления зашифрованных файлов бесплатно
Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.
Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем форуме.
1. Удалить вирус-шифровальщик
2. Восстановить зашифрованные файлы используя ShadowExplorer
3. Восстановить зашифрованные файлы используя PhotoRec
1. Удалить вирус-шифровальщик
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.
1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool
Скачайте программу Kaspersky Virus Removal Tool. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.
Дождитесь окончания этого процесса и удалите найденных зловредов.
1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware
Скачайте программу Malwarebytes Anti-malware. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.
Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.
Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.
Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.
После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.
2. Восстановить зашифрованные файлы используя ShadowExplorer
ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.
Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.
Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.
Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.
И последнее, выберите папку в которую будет скопирован восстановленный файл.
3. Восстановить зашифрованные файлы используя PhotoRec
PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.
Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.
В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.
В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.
По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.
В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).
Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.
Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.
В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.
Попробывал , каспирский и МБАМ , но без успешно после обоих проверок не был найден вирус , на ПК и так был антивирус аваст , он тоже ничего не находит , но факт вируса да винчи на лицо
Что посаветуете?
Арсен, вы уверены что вирус до сих пор есть на компьютере ? Наличие зашифрованных файлов и сообщения на Рабочем столе — свидетельства того, что вирус отработал, но не говорят о том, что вирус-шифровальщик до сих пор работает.
На тестовой машине, МБАМ обнаруживал и удалял вирус да винчи. Поэтому в вашем случае, или вирус был обновлен или он уже удален. Поищите в реестре параметр с именем «Client Server Runtime Subsystem», который запускает этот вирус-шифровальщик. Если есть, то удалите.
Смогу ли я попытаться восстановить теневые копии файлов на windows xp?
Теневые копии файлов появились только в Windows 7. Соответственно, использовать ShadowExplorer для восстановления зашифрованных файлов на Windows XP не получиться.
Монитором дисковой активности можно отследить, работает ли шифровальщик в данный момент.
Хотя, конечно, не работать он может по той простой причине, что уже все закончил 🙂
Создайте новый файл, если его не зашифрует — значит, шифровальщик из системы удалён и можно заняться проблемами, которые натворил вирус.
ShadowExplorer выдает ошибку, что теневые копии файлов не найдены, т.е. восстановление системы отключено пишет Виндовс 7 🙁
Получается никак этой прогой не воспользоваться?
И как включить создание этих копий ?!
спасибо
Алексей, возможно вирус отключил восстановление системы. Более того, существуют вирусы-шифровальщики, которые при активировании удаляют все теневые копии файлов.
Тем не менее, попробуйте сначала включить Восстановление системы, а потом заново воспользоваться программой ShadowExplorer.
Чтобы включить восстановление системы, кликните Пуск, в этом меню кликните правой клавишей на Компьютер и выберите Свойства. Слева нажмите Защита системы. В поле Параметры системы выберите диск и кликните Настроить. Чтобы восстанавливать системные настройки и прежние версии файлов, нажмите Восстановить параметры системы и предыдущие версии файлов. Чтобы восстанавливать только предыдущие версии файлов, нажмите Восстанавливать только предыдущие версии файлов. Нажмите ОК и снова ОК.
Вирус был RAA, испоняемый модуль d.js был в письме с архивом во вложении.
Удалил в диспетчере, с диска и строку в автозагрузке.
После нажатия на «защита системы» выкинуло «служба теневого копирования тома, используемая восстановлением системы, не работает…смотрите журнал».
В Свойствах системы — Параметры диска — Доступные диски — пишет «Идет поиск» ? и дальше ничего…
Что-то где-то накрылось и что лучше сделать в этой ситуации.
Попробую касперским KVRT прогнать на загрузке.
из журнала:
Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы OpenService (shSCManager, ‘VSS’, SERVICE_QUERY_STATUS).. hr = 0x80070424, Указанная служба не установлена.
Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070424, Указанная служба не установлена.
Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070424, Указанная служба не установлена.
Алексей, похоже на то, что вирус-шифровальщик остановил службу теневого копирования или повредил её. Для начала откройте Services.msc, там найдите службу Volume Shadow Copy (служба теневого копирования), остановите и запустите её заново. Затем снова попробуйте включить восстановление системы.
Если есть возможность, то на другом компьютере с той же версией Windows, через редактор реестра, посмотрите ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS и сравните с тем, что на компьютере зараженном вирусом-шифровальщиком. Если есть разница, то сделайте экспорт с первого компьютера и импорт на втором компьютере.
Я подхватила вирус RAA, все файлы получили расширение locked. У меня Windos NT. Из всего прочитанного я поняла что я их не восстановлю?
Светлана, без ключа нельзя расшифровать файлы, но попробовать их восстановить нужно обязательно. В первую очередь попытайтесь использовать ShadowExplorer, если не получится, то PhotoRec. Даже часть восстановленных файлов лучше, чем вообще ничего.
Спасибо! Помогло.
Здравствуйте!
19 сент. подхватил вирус «DA_VINCI_CODE» ,узнав позже по зашифрованным подписям и блокноты в папках на дисках,ладно только некоторые папки оказались зашифрованы.хотел бы узнать- я его точно удалил или нет,как проверить? у меня стоит NOD-32 лиц.,но проверял я Malwarebytes Anti-malware постоянно и он пост что-то находил… в реестре в поиске забивал Client Server Runtime Subsystem,как было выше описано -ничего не нашлось. а вот программка ShadowExplorer что-то совсем не запускается-пишет-заблокирована групповой политикой.Необрабатываемое исключение в приложении. Xотел поискать файл csrss.exe-но так и не получилось его найти,у меня семёрка.
Подскажите пож-та,что мне делать?
Если Malwarebytes Anti-malware постоянно что-то находит, то это плохой сигнал. Нужно разобраться и решить этот вопрос. Можете сделать лог по результатам сканирования и добавить на наш форум, посмотрим что-там не удаляется.
По поводу программы ShadowExplorer. Попробуйте запустить ей с правами администратора. То есть кликнуть правой клавишей и выбрать, запустить от имени администратора. Кроме этого, конечно, можно просто отключить ограничения накладываемые групповыми политиками.
Валерий ,добрый день!Как последняя надежда пишу вам это сообщение.Мы поймали вирус шифровальщик и все файлы стали с расширением к примеру Прайс-лист.pdf.nazarbayev если убрать этот назарбаев ,то файл все равно перекодирован.Можно ли это расшифровать?
Александр, к сожалению универсальной программы расшифровщика нет. Что делает вирус в вашем случае сказать я не могу. Но в любом случае, восстановление файлов — это универсальный способ вернуть файлы, которые были зашифрованы.
Здравствуйте, Валерий! попытался восстановить файлы программой PhotoRec, как Вы советовали, но почему-то кнопка Search не активна (как и на Вашем скрине тоже)…все делал последовательно, следуя Вашей инструкции…
Вопрос снят.
Baши фaйлы былu зaшuфpовaны.
Чтобы рaсшuфpoвamь иx, Вам нeобxoдuмo omпpaвиmь код:
xxxxD3DEE14A29B95967|0
на электрoнный aдpeс Novikov.Vavila@gmail.com .
Далeе вы nолучumе все нeобхoдuмыe uнcmpуkциu.
Пoпытки pacшuфpoвaть самocmoяmeльно нe npивeдym нu к чeму, кpомe бeзвозвpamнoй потери uнформaцuи.
Eслu вы всё же xoтuтe nоnытaтьcя, то прeдвaритeльно cдeлaйmе peзервныe konuu файлoв, иначе в cлyчaе
ux изменeнuя расшифpoвkа cmaнет нeвозмoжнoй ни npu kakиx уcловиях.
Еcлu вы не noлучилu оmвета по вышеyкaзанномy адрecy в meченuе 48 чacов (и mолькo в этом случае!),
воcпользyйтecь фоpмoй oбpamной связu. Эmо мoжнo сдeлаmь двyмя сnоcобaми:
1) Сkaчайmе u ycтановume Tor Browser nо cсылke: hxxps://www.torproject.org/download/download-easy.html.en
B адpеснoй сmроке Tor Browser-а ввeдитe адрeс:
hxxp://cryptsen7fo43rr6.onion/
u нажмumе Enter. 3аrрузuтся стрaнuцa c фopмoй oбрamнoй cвязи.
2) B любом брaузере пeрейдumе nо одному uз aдрecов:
hxxp://cryptsen7fo43rr6.onion.to/
hxxp://cryptsen7fo43rr6.onion.cab/
Помогите пожалуйста требуют 9000 за ключ для расшифровки
Сергей, для восстановления ваших файлов используйте инструкцию, которая приведена выше (попробуйте и ShadowExplorer и PhotoRec).
ShadowExplorer вообще не помог, а PhotoRec расшифровал, но файлы все равно не читаются, повреждены… Печаль…
Доброе утро!
Шифровщик файлов VAULT , как от него избавиться? (((
Ника, доброе утро. По-поводу вируса шифровальщика VAULT, можете смело пользоваться инструкцией приведенной выше. Как для поиска и удаления самого вируса, так и для того, чтобы попытаться восстановить зашифрованные файлы.
Спасибо, попробую.
Здравствуйте, Валерий! попытался восстановить файлы программой PhotoRec, как Вы советовали, но почему-то кнопка Search не активна (как и на Вашем скрине тоже)…все делал последовательно, следуя Вашей инструкции…
теперь стала активной, но при нажатии не активируется
Алексей, эта кнопка станет активной сразу после того, как выберите куда будут восстанавливаться файлы. Советую использовать другой диск (не тот на котором находятся зашифрованные файлы), внешний диск или флешку.
Добрый день! восстановили с помощью PhotoRec часть документов,подскажите как можно восстановить видео формат avi?
Ксения, принцип восстановление файлов avi тот же, никакой особой специфики нет.
Добрый день! Поймали вирус SPORA RANSOMWARE. Зашифровал файлы .xls .xlsx .doc .pdf .jpg как бороться? Кто поборол? Помогите пож-та?
Для удаления SPORA RANSOMWARE вируса и восстановления зашифрованных файлов можете использовать эту инструкцию.
Валерий добрый день! У меня такая ситуация. Поймал no_more_ransom. Переустановил винду. Шифрованные файлы остались. Попробовал действовать по вашей инструкции. с Помощью QPhotoRec изменились форматы(txt, hml) но содержимое нарушилось. Получились такие записи: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gprsoptracelevel]
Я понимаю моим файлам уже ничего не поможет?
Василий Александрович, плохо, что вы переустановили винду для удаления no_more_ransom вируса до запуска процесса восстановления зашифрованных. Этим вы могли удалить или частично затереть копии файлов, которые подверглись шифровке. Поэтому если QPhotoRec не помогает, то врядли уже удасться что-либо восстановить. Но удалять зашифрованные файлы не нужно, если среди них есть очень важные, то скопируйте все эти файлы в отдельную папку, туда же скопируйте файлы от создателей вируса с инструкцией по расшифровке. И ждите, возможно в будущем будет создан бесплатный расшифровщик.
День добрый!
Спасибо за статью, спасли нервные клетки нескольких руководителей!
Добрый день! Помогите!! Все файлы зашифрованы ISHTAR, что делать??????????? Как все восстановить?
Анна, для восстановления зашифрованных файлов используйте программы предложенные выше — это ShadowExplorer и Photorec.
Что-то не вижу расширения exell-евских файлов. У меня в основном таблицы. Что выбрать в расширениях, чтобы их восстановить?
Ирина, внимательно просмотрите список типов файлов. Для восстановления зашифрованных Excel файлов, вам необходимо выбрать тип doc. Он определяет все документы созданные с помощью MS Office, включая таблицы xls.
Добрый день!
С помощью ShadowExplorer восстановил файлы на диске C, а на других дисках как восстанавливать?
Kair, в главном окне ShadowExplorer есть возможность выбора диска, с которого нужно восстанавливать файлы (смотрите цифру 1 на рисунке выше). Если кроме диска C, там ничего нет, то служба создания теневых копий не следила за другими дисками, то есть служба Восстановление системы была включена только для диска C.
В таком случае, чтобы восстановить файлы, которые были зашифрованы, попробуйте использовать программу PhotoRec.
Добрый день! 25.04. 17 В письме заразили SPORA RANSOMWARE. На компе стоит windows xp, возможно ли восстановить зашифрованные файлы?
С помощью данной программы ShadowExplorer восстановила файлы, в основном ворд и эксель, имена сохранились как прежде, но файлы всё равно повреждены и не открываются. Подскажите пожалуйста, как восстановить файлы без их повреждения? Это были бухгалтерские документы, которые я еще не успела распечатать, большой список, так не хочется всё переделывать, колоссальный труд.
Наталья, чтобы восстановить зашифрованные файлы в Windows XP используйте программу PhotoRec.
Пользователь, если ShadowExplorer восстанавливает зашифрованные файлы с ошибками, то попробуйте еще использовать программу PhotoRec.
Malwarebytes Anti-malware постоянно находит Ransom.WanaCrypt0r…Всё сделал правильно, что делать?
Олег, если после удаления Ransom.WanaCrypt0r, это вирус спустя какое-то время снова появляется на компьютере, значит вероятнее всего происходи новое заражение компьютера. Компьютер заражается дистанционно, посредством уязвимости в службе SMB операционной системы. Вам необходимо установить патч MS17-010. Скачать можно здесь support.microsoft.com/ru-ru/help/4013389/title
Добрый день, Валерий. При запуске ShadowExplorer отсутствует возможность выбора в полях 1 и 2, невозможно выбрать ни диск ни дату создания теневых копий, с чем это может быть связано? Восстанавливаю после Ransom.WanaCrypt0r. Спасибо.
Спасибо, Валерий! Одолел @WanaDecryptor. Зашифрованные файлы восстановил
Здравствуйте! Можно по подробней как установить патч, там все на англ..