Честный компьютерный мастер - ваш знакомый компьютерщик
тел.(МТС Москва): +7-985-173-84-19
скажите, что случилось и спросите, что делать

Об особенностях последних модификаций вирусов – шифровальщиков на примере watnik91@aol.com

Файлы зашифрованы watnik91@aol.com  Сразу хотелось бы отметить, что если файлы зашифрованы последними модификациями вируса – шифровальщика watnik91@aol.com, то напрямую расшифровать файлы, зашифрованные вирусом watnik91@aol.com, не представляется возможным. По описанию ведущих разработчиков антивирусных компаний, в процессе шифрации файлов вирусом watnik91@aol.com ключ дешифрации каждый раз уникален, отправляется в процессе шифрования на управляющие сервера злоумышленнику и не сохраняется на компьютере. Можно лишь попытаться восстановить файлы из системных теневых копий, которые на системном диске должны создаваться автоматически, содержать в т.ч. папку «Документы» и «Рабочий стол». Далее разобрать, почему так произошло, и минимизировать риск заражения – шифрации файлов в дальнейшем.


Файлы зашифрованы, результат «работы» вируса –шифратора watnik91@aol.com

Итог «работы» данного вида вируса – вымогателя, все Ваши файлы – документы зашифрованы по маске, иконки изменены, картинка рабочего стола изменена и представляет следующее текстовое содержание:
«Файлы зашифрованы! Внимание! Ватник начал подозревать, что Вы не патриот России, и зашифровал все самые важные файлы, в том числе и офисные. Но не спешите рвать волосы на голове, ведь всё можно исправить! Заплатите в казну ватника определенную сумму денег, после чего он вернет Ваши файлы! Для того, чтобы связаться с ватником, Вам необходимо написать на почту, указанную ниже. Не стоит писать много раз подряд, достаточно отметиться, отправив письмо один раз, в течение суток я отвечу. Но помните, если Вы не отпишите на почту в течение 48 часов, то Ваш ключ расшифровки удаляется без возможности восстановления!»

Т.о. внешне вирус watnik91@aol.com файлы зашифрованы проявляет себя, когда все файлы по его списку уже зашифрованы и он свою «работу» выполнил, выводя требования с вымогательством за расшифровку файлов на рабочем столе компьютера.


Каким образом произошло заражение и шифрация файлов вирусом watnik91@aol.com

Обычно вирус-шифровальщик watnik91@aol.com файлы зашифрованы распространяется через почтовую рассылку, причем заголовок письма и текстовое содержание несут в себе явно провоцирующий на открытие письма и вложения характер. Подделывая письма и содержимое за отправку от якобы различных ведомств, учреждений, клиентов, с самым провоцирующим описанием, например:
  1. «В соответствии со статьей 131 УК РФ, Вы приглашаетесь на заседание суда по уголовному делу № 112/15 от 15 ноября 2014 года в качестве свидетеля»;
  2. письмо от якобы «Федеральной налоговой службы»;
  3. письмо от якобы «Арбитражный суд «search@arbitrage-search.com»;
  4. «№26671 Судебная повестка по гражданскому делу»;
  5. письмо от якобы «Областного суда»;
  6. письмо от якобы «Арбитражного суда «info@arbitr.net»;
  7. … различные подобные провокационные письма.
Причем характерным признаком является наличие вложения в данное письмо, обычно в zip архиве. Расчет делается именно на запугивание описанием вложения, с провокацией на открытие вируса – шифровальщика watnik91@aol.com файлы зашифрованы из архива. Т.о. обычно получатель письма сам запускает вирус – шифровальщик watnik91@aol.com файлы зашифрованы на компьютере.

Здесь рекомендацией может быть только крайне осторожное обращение с подобными письмами и, желательно, при получении подобных писем не открывать и не скачивать содержимое, и вложения, а переслать, по согласованию, полученное письмо для анализа знакомому профессионалу в IT области.


Какие файлы зашифрованы вирусом watnik91@aol.com и последствия его «работы» на компьютере

Типы файлов, зашифрованных вирусом-вымогателем файлы зашифрованы watnik91@aol.com:
*.jpg, *.jpeg, *.doc, *.docx, *.xls, *xlsx, *.dbf, *.1cd, *.psd, *.dwg, *.xml, *.zip, *.rar, *.db3, *.pdf, *.rtf, *.7z:, .kwm, *.arj, *.xlsm, *.key, *.cer, *.accdb, *.odt, *.ppt, *.mdb, *.dt, *.gsf, *.ppsx, *.pptx, *.txt

При шифровании файлов вирусом watnik91@aol.com, данные на системном диске обрабатываются в последнюю очередь, а это означает, что когда Вы у себя на рабочем столе компьютера увидели изменения файлов на непонятные названия и изменения рабочего стола, вирус-шифровальщик файлы зашифрованы уже успел пройтись по всем Вашим дискам и доступным вирусу, под Вашей учетной записью, ресурсам.

Ключ шифрования сгенерированный, уникальный для каждого компьютера, и состоит из 2048 символов, что делает невозможным расшифровку методами подбора ключей.

Реальное имя файла по маске заменяется мусорным и к нему дописывается «признак заражения»

Данные представлены по материалам источника: virusinfo.info


Какие перспективы попыток поиска методов прямой дешифрации файлов, зашифрованных вирусом watnik91@aol.com?

Проанализировав работу данного вируса-вымогателя файлы зашифрованы watnik91@aol.com, эксперты дают следующие заключения:
  1. «С расшифровкой помочь не сможем», forum.kaspersky.com
  2. Описание проанализированного алгоритма работы вируса-шифровальщика watnik91@aol.com, с аналогичным в темах форума заключением: virusinfo.info
  3. «С расшифровкой не поможем», virusinfo.info
  4. Отсутствие положительных заключений по конкретным обращениям, с пересылаемыми файлами для анализа и предоставленными системными данными, на прочих официальных форумах ведущих производителей антивирусных продуктов.


Как можно попытаться восстановить зашифрованные файлы и восстановить оригинальные?

По описанию работы вируса-шифровальщика watnik91@aol.com нет никаких данных об удалении или очистке системных точек восстановления, обычно создающихся автоматически.

Если речь идет о домашнем - обычном компьютере или ноутбуке, где все основные параметры работы операционной системы были по умолчанию, а документы сохранялись на рабочем столе и (или) в папке Документы, Мои документы, можно попробовать восстановить эти файлы из системных резервных копий – точек восстановления, которые содержат профиль пользователя, работающего за компьютером, с содержащимися в нем личными папками.

Для этого, чтобы иметь возможность восстановления папок целиком, после процедуры проверки компьютера и перемещения в карантин активных вирусных файлов, возможно установить бесплатную программу по извлечению данных из системных точек восстановления System Restore Explorer, подключить ранее созданные системные точки восстановления и просмотреть содержимое на предмет восстановления зашифрованных файлов.


Каким образом можно обезопасить себя в дальнейшем от заражения компьютера вирусами и шифрации файлов на компьютере?

Прежде всего это общие рекомендации по предотвращению заражения компьютера вирусами. Необходимо держать операционную систему с офисными компонентами, браузер и дополнения к браузеру, в актуальных состояниях, с установленными всеми последними изменениями и исправлениями.

И если обновления операционной системы у Вас настроены и происходят автоматически, дополнения же к браузеру далеко не всегда обновляются таким же образом, устаревшие версии которых могут служить лазейками для проникновения вирусов на компьютер. Т.о. необходимо проверить, например по статус - баннеру «Ваша безопасность» справа, на страницах данного сайта, что сам браузер и дополнения обновлены и не содержат известных уязвимостей.

Необходимо установить на компьютер именно хороший антивирус от известных производителей, давно специализирующихся в данной области. Например версии антивирусных решений Касперского 2015 содержат компонент, призванный бороться с вирусами-шифраторами файлы зашифрованы, анализируя поведение программ, вносящих изменения в файлы и создавая фоновые резервные копии файлов, возвращая их на «родное» место, если происходит попытка шифрации файлов.

Необходимо настроить резервное копирование файлов и данных, причем таким образом, чтобы без дополнительных манипуляций резервные копии были недоступны даже самому пользователю за компьютером. Например с помощью программ резервного копирования, которые «отрезают» кусок диска для резервирования в отдельную область, недоступную операционной системе без дополнительных манипуляций.

Необходимо четко разграничить процесс ежедневной работы за компьютером с администрированием компьютера. Создать свою учетную запись с обычными правами пользователя и ежедневно работать именно с данной ограниченной учетной записью, производя вход с правами Администратора (или выполняя задачи от имени Администратора) только при необходимости по обслуживанию операционной системы, установке-переустановке, деинсталляции программ и подобных операций. Таким образом, под ограниченной учетной записью, даже если вирус файлы зашифрованы и проникнет на компьютер каким-либо образом, он не сможет нанести вред и изменения операционной системе, «полазить» - изменить разделы с резервными копиями, изменить или удалить системные точки восстановления с содержимым в них профилей пользователей, с данными и файлами.

Необходимо крайне настороженно и подозрительно относится ко всем броским письмам, с вызывающим содержимым, пересылая подобные письма, по согласованию, Вашему знакомому профессионалу в IT области, для проверки на вредоносное содержимое.


Компьютерная помощь окажет весь спектр услуг по анализу зараженного вирусом – шифровальщиком компьютера файлы зашифрованы watnik91@aol.com. Предварительно проведем анализ – очистку компьютера от активного заражения, переместив в карантин и обезвредив, до принятия окончательного решения, все подозрительные и найденные вирусы-шифраторы. Проанализируем компьютер на предмет возможности восстановления оригинальных файлов из системных точек восстановления до заражения и шифрации. Окажем комплекс услуг по предотвращению заражения компьютера в дальнейшем вирусами и шифраторами файлы зашифрованы watnik91@aol.com. По согласованию переустановим антивирус на последнюю версию с функционалом предотвращения шифрования файлов. Проверим и обновим операционную систему, офисные приложения, браузер и дополнения, до последних версий, с исправлениями последних найденных брешей и уязвимостей. Произведем комплекс мер по разграничению доступа к файлам и настройке оборудования с операционной системой. По согласованию установив и настроив разграниченное резервное копирование на отдельные разделы дисков или сетевое оборудование.

Мы минимизируем риски.
Если уже так случилось, что Вас обокрал вирус-вымогатель, значит пришло время железных дверей и засов.

Если Вы находите данную публикацию весьма полезной и познавательной, пожалуйста, проголосуйте за неё. Это поможет определять значимость материалов для дальнейших публикаций и сориентироваться другим посетителям.
4.534482758620711111Рейтинг 4.53 (29 Голосов)

Комментарии   

-3#Guest27.09.2015 14:11
Могу помочь с рашифровкой файлов, для расшифровки нужен дешифратор
Так же есть дешифраторы для пострадавших от:
- Ctb locker
-
-
-
-
Пишите на почту vorontsov-andre@
Ответить | Ответить с цитатой | Цитировать
0#Андрей27.09.2015 19:26
Типичный представитель армии мошенников, через анонимный прокси вылавливающий потенциальных жертв на по сути второй развод.

Все антивирусники и их специалисты, на всех их официальных форумах пишут, что расшифровать не могут. Приводят детализированный и разобранный ими алгоритм отработки данного типа трояна-шифровальщика. Приводят информацию об генерации уникального ключа при каждой отработке этого шифровальщика, длиной 2048 символов. С заключительными резюмирующими "с расшифровкой не поможем".

Но тут же в рекламах поисковиков и в соц.сетях, какие-то левые конторки с именем "вчера", алики и гарики по соц.сетям - а они, оказываются, умеют расшифровать (Касперские и Доктор.Веб типа курят в сторонке против их спецов) 8)

Вы ещё не задались вопросом, каким это образом?

Да просто они свяжутся со злодеями, хозяином виря-шифровальщика с уникальным ключом, отработанном при шифрации, и перепродадут его вам в 2-3 раза дороже.
Ответить | Ответить с цитатой | Цитировать

Добавить комментарий

Ваша безопасность

Проверка безопасности браузера
SurfPatrol
Онлайн-сервис и статус-баннер от компании "Positive Technologies" проведенной проверки безопасности Вашего браузера и компонентов на уязвимые, устаревшие версии и на возможность проникновения вирусов через данные уязвимости, при серфинге и посещении Интернет страниц на просторах сети. Пожалуйста, обратите внимание на статус проверки и заблаговременно проводите обновление компонентов, для обеспечения собственной безопасности от различных активных Интернет-угроз, вирусов, червей, баннеров, блокировщиков, шифраторов и прочих представителей Интернет-фауны.