Способ борьбы с шифровальщиком CryptXXX

Компания «Доктор Веб» сообщила о том, что ее специалисты могут восстановить файлы, поврежденные троянцем-энкодером CryptXXX, если они были зашифрованы до начала июня 2016 г. Вредоносная программа Trojan.Encoder.4393, известная под именем CryptXXX, – типичный представитель многочисленной группы троянцев-энкодеров. Этот шифровальщик имеет несколько версий и распространяется по всему миру. Зашифрованные троянцем файлы получают расширение *.crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.

Для увеличения своей прибыли вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям троянца. Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников.

Но если файлы на компьютере были зашифрованы до начала июня этого года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов, причем в значительной степени от действий самого пользователя. «Доктор Веб» дает следующие рекомендации пользователям:

• не пытайтесь удалить какие-либо файлы с компьютера или переустановить ОС, а также не пользуйтесь зараженным ПК до получения инструкций от службы технической поддержки;
• если вы запустили антивирусное сканирование, не предпринимайте никаких действий по лечению или удалению обнаруженных вредоносных программ – они могут понадобиться специалистам в процессе поиска ключа для расшифровки;
• постарайтесь припомнить как можно больше информации об обстоятельствах заражения: это касается полученных по электронной почте подозрительных писем, скачанных из Интернета программ, посещаемых сайтов.
• если у вас сохранилось письмо с вложением, после открытия которого файлы на компьютере оказались зашифрованными, не удаляйте его, оно должно помочь специалистам определить версию троянца.

Для расшифровки файлов, поврежденных в результате действия CryptXXX, существует специальная страница сервиса на сайте «Доктор Веб». Бесплатная помощь по расшифровке файлов оказывается только обладателям лицензии Dr.Web, у которых на момент заражения был установлен Dr.Web Security Space (для Windows), Антивирус Dr.Web для OS X или Linux не ниже версии 10 или Dr.Web Enterprise Security Suite (версии 6+). Другие пострадавшие могут воспользоваться платной услугой Dr.Web Rescue Pack через форму запроса: плата взимается только в том случае, если анализ покажет, что расшифровка возможна.