Особые рекомендации

ОСОБЫЕ РЕКОМЕНДАЦИИ

Рекомендации по успешному дешифрованию

Ответы на вопросы и подробные пояснения

Translation into English

   Прежде всего хочу сказать, чтобы дешифрование утилитами от Фабиана Восара и Майкла Джиллеспи было успешным, нужно найти и ТОЧНО указать дешифратору на тот же файл, каким он был до шифрования и каким он стал после шифрования. Дешифратор сам это не определит, т.к. он работает под вашим руководством. Дешифраторы от других разработчиков могут работать иначе. 
  Если файлы не открываются после дешифрования, значит, вы указали неправильную пару файлов или столкнулись с другим вариантом шифровальщика-вымогателя. 

  Люди часто спрашивают: - Где взять оригинальный файл, если всё зашифровано?
Для вычисления ключа достаточно одного оригинального файла и его зашифрованной копии. 

  Вот примерный список, где вы можете найти оригиналы зашифрованных файлов:
1) на флешках, внешних дисках, CD/DVD, картах памяти фотокамеры, телефона;
2) во вложениях отправленных или полученных вами письмах электронной почты;
3) среди переданных вами копиях общих фото друзей, родственников (в их ПК);
4) среди загруженных фото в соц. сети, в том числе через смартфон и планшет;
5) среди загруженных фото в облачные сервисы (Яндекс Диск, Google Disk и пр.);
6) на сайтах объявлений, куда вы могли ранее отправить фото или картинки;
7) среди незашифрованных файлов, копий, переименованных файлов на вашем ПК;
8) на старом ПК или диске, откуда вы переносили фото и документы на новый ПК;
9) можно заново загрузить из Интернета загруженные ранее фото, картинки и пр.;
10) можно использовать образцы изображений, поставляемых вместе с Windows (моя ссылка);
11) взять фото или картинки, поставленные вами ранее на аватарку на форумах. 
12) извлечь ранее удаленные файлы из Корзины или восстановить специальной программой. 

  Более того, можно сделать следующее:
- найти несколько разных типов файлов (фото, картинок, аудио, видео, документов и пр.); 
- сделать копию и сменить у неё расширение на оригинальное, если знаете, каким оно было;
- попробовать открыть этот файл, если файл поврежден, то эту копию можно просто удалить;
- если файл откроется и будет полностью читаем, то у вас будет на руках оригинальный файл. 

Возможные проблемы, вопросы и ответы

- Я загрузил вчера дешифратор, но он у меня не запускается?
Удалите этот файл и загрузите по той же ссылке новую версию, возможно проблема уже исправлена разработчиком.

- Я загрузил дешифратор, но он у меня не запускается и выдаёт непонятную ошибку?
Возможно у вас не загружены обновления или исправления Windows.
Загрузите с сайта Microsoft пакеты Microsoft Visual C++ Redistributable, включая 2008, 2010, 2012, 2013, 2015, 2017
Для Windows x86 нужно ставить только версию Redistributable (x86). 
Для Windows x64 нужно ставить оба пакета: Redistributable (x86) и Redistributable (x64). 

- Я загрузил дешифратор, но он у меня не запускается и выдаёт ошибку с Microsoft .NET Framework?
Загрузите или обновите Microsoft .NET Framework. Последняя версия на данный момент Microsoft .NET Framework 4.8. К ней также прилагается языковой пакет. 

- Я указал на файл с тем же именем, но ключ дешифрования не найден или дешифратор не смог восстановить файл?
Файл оказался неточной копией зашифрованного. Это могло произойти из-за того, что ранее вы сами уменьшили или корректировали его в редакторе, или загружали в социальные сети, облачные сервисы, а там файл был как-то автоматически изменён. 
Поищите ещё файлы и попробуйте разные пары зашифрованных и оригинальных файлов с тем же названием. Очень часто файлы могут иметь одинаковые названия, но не являются копией друг друга. Словарный запас, используемый в любом языке, ограничен. Возможности ПК, фотокамер и прочих устройств для съемки фото, тоже небезграничны. В фотокамерах и мобильных устройствах названия для фото даются автоматически по определённому формату, поэтому фоток с названием от IMG_0001.JPG до IMG_9999.JPG в разные годы может набраться немало. Смартфоны могут давать фотоснимкам более оригинальные названия, типа IMG_20171012_170451.jpg - тут и дата съёмки, и порядковый номер, потому повторы названия маловероятны. 

- Я запустил дешифратор, но почему-то не все файлы расшифровались? 
Возможно, что у вас поработали два или более шифровальщика. Загрузите в ID Ransomware записку о выкупе с зашифрованным файлом, чтобы проверить, каким именно шифровальщиком и какой версией зашифрованы файлы. Если их несколько и они отличаются содержанием и названием, то загрузите и проверьте все найденные варианты записок или иных файлов, которые можно открыть в Блокноте. 
Некоторые шифровальщики используют разные ключи для шифрования разных категорий файлов. Другие могут атаковать вас повторно, если инфекция не была удалена или запущена повторно. Третьи могут начинать шифрование всякий раз, как вы включаете ПК или запускаете файл с трояном. Четвертые внедрены в нелегитимные утилиты-активаторы для системы или офиса, потому вредоносы запускаются каждый раз при включении ПК и/или подключении к Интернету. Пятые могут использовать подключение к Интернету для того, что подключиться к определённому  командному серверу, интернет-файлу или URL-адресу, выполняющему роль команды для атаки и шифрования. 

- Я расшифровал файлы, но как мне убедиться, что шифрование не повторится? 
Вероятно, вы имеете в виду повторное заражение (шифрование). До запуска процесса дешифрования нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен.
Чтобы затем продолжить использовать ПК и внешние накопители информации, вам нужно обезопасить ПК от повторных инфекций.
У вас всего два варианта:
- использовать бесплатную утилиту от ведущих антивирусных вендоров для полной проверки всего информационного пространства (локальных файлов, внешних подключаемых и сетевых устройств);
- установить и использовать комплексный антивирусный продукт от ведущих антивирусных брендов, выбрав хотя версию "попробуй прежде, чем купить" на 30-60 дней, чтобы проверить все ваше информационное пространство и интернет-подключение.

- Я все обыскал, но не нашел никаких дубликатов изображений и образцов изображений из Microsoft Windows. Где их взять? 
Если вам нужны оригинальные образцы изображений из арсенала Microsoft Windows, тогда скачайте их с нашего Яндекс-Диска. Ссылка на архив. 

- Что делать, я напуган неудачными попытками дешифрования? 
Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.
Я всегда рекомендую прежде всего сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.


ЕСЛИ НИЧЕГО НЕ ПОМОГАЕТ...

Если декриптер (декодер, дешифратор) не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика или его имитатором. Рекомендую вам лично связаться с разработчиком (он указывается в каждой статье), отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка, используйте браузер Google Chrome или онлайн-переводчик от Google.


© Amigo-A (Andrew Ivanov): All blog articles.