Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.
Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.
Способы восстановления зашифрованных файлов бесплатно
Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.
Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем форуме.
1. Удалить вирус-шифровальщик
2. Восстановить зашифрованные файлы используя ShadowExplorer
3. Восстановить зашифрованные файлы используя PhotoRec
1. Удалить вирус-шифровальщик
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.
1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool
Скачайте программу Kaspersky Virus Removal Tool. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.
Дождитесь окончания этого процесса и удалите найденных зловредов.
1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware
Скачайте программу Malwarebytes Anti-malware. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.
Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.
Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.
Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.
После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.
2. Восстановить зашифрованные файлы используя ShadowExplorer
ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.
Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.
Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.
Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.
И последнее, выберите папку в которую будет скопирован восстановленный файл.
3. Восстановить зашифрованные файлы используя PhotoRec
PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.
Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.
В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.
В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.
По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.
В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).
Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.
Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.
В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.
Здравствуйте. Зашифрованные файлы wanadecryptor, который вчера начал активно буйствовать, можно востановить выше изложенной инструкцией?
А что делать если теневые копии отключены были администратором сети?
Программа ShadowExplorer показывает число 13 мая, а заражение было 12 мая и не восстанавливает файлы
Спасибо Вам огромное за статью и пошаговое объяснение, кажется получается восстановить файлы. Но Касперский вирус не нашел, видимо он сам как-то самоудаляется.
Валерий, почему программа PhotoRec не расшифровывает данные которые на диске, а восстанавливает фото, которые я смотрела в интернете?!
Алексей, это связано с тем, что на вашем компьютере отключена служба восстановления. Для восстановления зашифрованных файлов попробуйте использовать PhotoRec.
Артем, если вы имеете в виду патч MS17-010, то ссылка в описании Wana Decryptor вируса как раз ведет на страницу на русском языке. Попробуйте скопировать и вставить этот адрес support.microsoft.com/ru-ru/help/4013389/title напрямую в поле адреса вашего браузера, после чего просто нажмите кнопку Enter.
Если не можете разобраться откуда и как скачать обновление, то на странице, ссылку на которую я привел, найдите раздел для вашей версии Windows, здесь смотрите имя файла обновления. Из имени файла возьмите номер обновления. Например имя файла обновления для Windows 10 это Windows10.0-KB4012606-x64.msu, значит номер обновления KB4012606. Далее откройте сайт http://www.catalog.update.microsoft.com, здесь в поиске введите номер обновления и нажмите Enter. Откроется список найденных обновлений и скачайте на компьютер нужное вам. Затем просто запустите его.
Остап, да эта инструкция подойдет для восстановления файлов зашифрованных вирусом wanadecryptor.
Не получается с помощью dhadowexplorer отобразить диски,он просто их не видит,как решить эту проблему?
Если ShadowExplorer не находит теневые копии, значит остается только PhotoRec. Рекомендую в Photorec выбирать только те типы файлов, которые действительно нужно восстановить. И ещё, PhotoRec не может расшифровывать файлы, эта программа находит ранее удаленные копии файлов и пытается их восстановить.
Иван, вероятно служба восстановления отключена, её нужно включить, а затем заново запустить ShadowExplorer. Включается в Панели управления, консоль Система, вкладка Восстановление системы.
Скачал программу ShadowExplorer, все получилось кроме одного. Это фото и видео они находятся на рабочем столе, программа не видит рабочий стол.
Скачал программу PhotoRec, при запуски кнопки Search, вылазит окошечко с надписью «Failed to create file. Please choose another destination»
Есть еще способы восстановить фото и видео? Заранее спасибо!
Артем, программа ShadowExplorer не работает с Рабочим столом, она работает с логическими дисками. Выберите диск С (или какой у вас системный диск), далее Document and Settings, Имя пользователя, Desktop
Скачал программу PhotoRec, при запуски кнопки Search, вылазит окошечко с надписью «Failed to create file. Please choose another destination»
Тоже самое пишет,есть те у кого получилось файлы восстановить? (ShadowExplorer тоже не видит дату созданий копий,походу у меня восстановление тоже отключено)
Михаил, попробуйте с качестве диска, куда будете восстанавливать зашифрованные файлы выбрать флешку, другой логический или внешний диск. Удостоверьтесь, что запись на этот диск вам разрешена или запускайте Photorec от имени администратора.
ВАЛЕРИЙ, подскажите пожалуйста, уже 3 часа PhotoRec «трудится»… Выставил в настройках .doc и .jpg На данный момент результат 3%, из них 2 doc файла и 1245 jpg… При этом doc файлы весят около 1,5 Гб)) а все jpg файлы это кэш из браузера)) Так и должно быть? Спасибо!
Валерий, добрый день! Спасибо за статью, от вируса Wana Decriptor избавиться удалось. А вот с восстановлением файлов проблема. Пробовала ShadowExplorer, не видит содержимое дисков. Начала пользоваться PhotoRec, выбрала первый каталог, процесс пошел. Когда начала просматривать, что восстановилось, ничего не поняла. Файлы jpg восстанавливаются не мои фото, а изображения из интернета. Аудиофайлы восстанавливаются только системные звуки, содержание файлов txt вообще непонятно. Как во всем этом разобраться?
Также еще вопрос: если я удалю все, что нашла программа PhotoRec, и потом начну весь процесс сначала, это как-то помешает восстановлению файлов?
PhotoRec не нравится что папка названа кириллицей, переименуйте в латиницу (с русского на английский)
GinTonic, скорость восстановления файлов, которые были зашифрованы, у всех разная. Сильно зависит от размера диска и кол-ва файлов на нем.. Размер doc файла конечно настораживает, возможно что программа ошибочно определила формат.
Светлана, лучше не удаляйте восстановленные файлы, а скопируйте на другой диск или флешку, потом их ещё раз проверите. На восстановление файлов очень сильно влияет то, как активно вы пользуетесь компьютером. Если после зашифровки вы уже много чего записали — удалили, скачали большие файлы с Интернет, то операционная система могла просто перезаписать файлы. Как результат — это может привести к тому, что не удастся восстановить зашифрованные файлы.
ShadowExplorer я скачала, но диск С (системный и не зараженный) он видит и можно совершать действия, а диск F(на котором зараженная информация) он решительно не видит(( Что в таком случае делать?
Валерий, добрый вечер. Подскажите пожалуйста восстановил данные с диска С а на диске D программа не видит как с другого логического диска восстановить данные?
забыл сказать восстанавливал программой ShadowExplorer
Привет
У меня заражены бекапы от программы Oracle. Может ли какая нибудь программа восстановить их?
Вылерий, у меня на компьютере этот вирус зашифровал все файлы, их (зашифрованные файлы) скинул на yandex диск, с помощью чего могу их расшифровать?
Программа ShadowExplorer видит только те диски, для которых Система восстановления включена. Попробуйте восстановить зашифрованные файлы с помощью программы PhotoRec.
Миша, не важно какие файлы были зашифрованы. Используйте ShadowExplorer и PhotoRec для их восстановления.
Сергей, напрямую расшифровать зашифрованные файлы без ключа полученного от злоумышленников невозможно. Можно только восстановить исходные копии файлов, которые остаются на жестком диске. Помочь вам восстановить копии зашифрованных файлов могут программы описанные выше, это ShadowExplorer и PhotoRec.
В PhotoRec отлично справляется но только не хватает тип файла docx
Скажите пожалуйста а если была переустановленна виндовс есть ли возможность восстановить файлы?
Михаил, с системного диска (там где находится папка Windows) вероятно уже ничего не восстановите, а вот с других дисков вполне возможно. В любом случае советую попробовать ShadowExplorer и PhotoRec для восстановления зашифрованных файлов.
Спасибо!!! За совет.
У меня не получается использовать ShadowExplorer, скачала, запустила, а там все пусто. Могу выбрать диск, но нет даты и нет никаких данных. Сто делать?
Мария, если ShadowExplorer ничего не показывает после того как выбрали диск с зашифрованными файлами, значит на выбранном диске не была включена система восстановления или вирус шифровальщик успел удалить все теневые копии зашифрованных файлов.
В этом случае используйте программу PhotoRec. Хочу подчеркнуть, что желательно использовать в качестве места куда вы будете сохранять восстановленные файлы другой диск (можно большую флешку или внешний диск), то есть не тот же диск на котором находились зашифрованные файлы.
Спасибо, надеюсь все получится
Валерий, а если я открою зашифрованый файл и копию этого же файла, (ранее он был на флешке) через блокнот и использую код этого файла как основу для востановления этого же файла и многих других файлов такого же типа, например фотка или чертеж. У меня так что-то выйдет или мне нужно открывать эти файлы через Delphi.
Я так подумал, если использовать программу которая будет обучатся заменять символы в коде и обучить её коду исходного файла то из этого может что-то получится. Или принцип работы Wanna Crypt0r другой? Если другой, то какой?? За ранее спасибо.
Дмитрий, вирус использует специальные алгоритмы шифрования и без ключа, расшифровать файлы не получится.
понял, а подскажите где можно просмотреть прогрес создания ключа, думаю Касперский, нод, доктор веб и другие заинтересованы в том что бы сделать это. Ну или может какойто форум, на котором есть люди готовые помочь в расшифровке данных или подборе ключа. Мне просто не верится что это не возможно, я готов парится над этой проблемой, хочу изучить её и помогать масимально другим пользователям, например как Вы.
Ваше желание расшифровать файлы понятно, но в паблике таких групп нет. Можете на твиттере посмотреть, по хештегу ransomware, и от туда уже связаться с людьми, кто занимается вирусами шифровальщиками.
Сейчас вирусы часто используют RSA шифрование, подробно о нем здесь ru.wikipedia.org/wiki/RSA
Добрый день. У меня проблема, вирус дешифровал документы
CJqJg+beNAM6T7fzrtEvKxeIu5VOTg-1Rfxpg8ZK4wU=.95BB2CBAE0095BAE7905.crypted000007
30 КБ
Так они сейчас выглядят. Это получилось после открытия письма на почту, пройдя по ссылке.
Помогите пожалуйста.
Для восстановления crypted000007 файлов используйте выше приведенные шаги.
Восстановленные фото испорчены, диска D прога не видит…
Нелюди …. Фото семейные 56 гигов забраковали…..
Здравствуйте, подскажите, зашифрованные файлы остались в папках recup_dir что с ними дальше делать?
Если расшифровщика нет, то с зашифрованными файлами можно сделать только одно, скопировать их в отдельный каталог или на другой диск. Туда же поместить максимальное кол-во информации о заражении, включая инструкцию от вируса по расшифровке. После чего ждать. Уже не однократно было, когда спустя какое-то время, обычно пол года и более, создатели вируса выкладывали мастер ключи, что позволяло создателям антивирусов разработать бесплатный расшифровщик.
Так я скопирую файлы в отдельный каталог, потом снова запустить PhotoRec и смогу разблокировать таким образом?
Николай, нет. Когда создатели вируса-шифровальщика выложат мастер ключ, то на его основе антивирусные компании разработают программу дешифровщик. Используя её вы сможете восстановить все зашифрованные файлы.
Добрый вечер ShadowExplorer попробовал делаю export файла ну он не открывается не док не пдф не картинки
а шифратор странный не изменил расширение файлов тока добавил к названию фаила yq31kuh22f и расширение остались прежними
Александр, не все вирусы-шифровальщики меняют расширение зашифрованных файлов. Бывает и так, что на первый взгляд все как раньше, но файлы не открываются в программах.
По поводу того, что зашифрованные файлы восстановленные с помощью ShadowExplorer не открываются, попробуйте выбрать другую точку восстановления. Обычно ShadowExplorer хорошо выполняет свою работу.