Rozpoznawanie plików instrukcji żądania okupu przez wirusy szyfrujące dokumenty - Odkurzacz - odzyskaj przestrzeń. Oficjalna strona programu.

Rozpoznawanie plików instrukcji żądania okupu przez wirusy szyfrujące dokumenty

Baza sygnatur Odkurzacza od wersji L8-221 z 14 lipca 2016 roku rozpoznaje zbędne pliki utworzone przez wirusy szyfrujące dokumenty użytkownika. Pliki te zawierają instrukcje jak odzyskać zaszyfrowane dokumenty/muzykę/zdjęcia po wpłaceniu odpowiedniej kwoty okupu na konto przestępców. Pliki tekstowe i graficzne (podmieniające tapetę) Odkurzacz rozpoznaje i opisuje, aby użytkownik był świadomy z jakim zagrożeniem ma do czynienia i gdzie szukać informacji w internecie.

Przykładowo, wirus Cerber zaszyfrował pliki i w każdym katalogu znajdują się zarówno instrukcje utworzone przez wirusa, jak i zaszyfrowane dokumenty z rozszerzeniem .CERBER.



Odkurzacz nie wykrywa i nie usuwa zaszyfrowanych dokumentów użytkownika, a jedynie pliki instrukcji:

 

Dalej użytkownik może uzyskać informacje o wirusie klikając na logo Google, gdzie zostanie przekierowany na strony z możliwymi instrukcjami w języku polskim (wymagane połączenie z internetem):

Poniżej lista plików instrukcji, które wirusy szyfrujące tworzą w każdym katalogu (w tym na pulpicie użytkownika) aby uzyskać okup za odszyfrowanie dokumentów:

# decrypt my files #.html
# decrypt my files #.txt
# decrypt my files #.vbs
_how_recover_.html
_how_recover_.txt
_locky_recover_instructions.txt
allfilesarelocked.bmp
coin.locker.txt
contact_here_to_recover_your_files.txt
decrypt_instruction.txt
decrypt_readme.txt
decryptallfiles.txt
encryptedfilelist.txt
encryptor_raas_readme_liesmich.txt
filesaregone.txt
help decrypt.html
help recover files.bmp
help recover files.txt
help_decrypt.html
help_decrypt.png
help_decrypt.txt
help_decrypt_your_files.html
help_recover_files.txt
help_recover_instructions.html
help_recover_instructions.png
help_recover_instructions.txt
help_restore_files.txt
help_to_decrypt_your_files.txt
help_to_save_files.bmp
help_to_save_files.txt
help_your_files.html
help_your_files.png
help_your_files.txt
how to decrypt files.txt
how_to_decrypt.txt
how_to_decrypt_files.txt
how_to_recover_files.txt
how_to_restore_files.txt
howto_restore_files.bmp
howto_restore_files.txt
iamreadytopay.txt
ihaveyoursecret.key
instrucciones_descifrado.html
instrucciones_descifrado.txt
instructions_xxxx.png
read_if_you_want_your_files.html
read_this_file.txt
readdecryptfileshere.txt
readme_how_to_unlock.html
readme_how_to_unlock.txt
readthisnow!!!.txt
recovery_key.txt
secretidhere.key
what is sq_.txt
your_files.html
your_files.url

Rzecz jasna w większości przypadków nie należy płacić okupu cyberprzestępcom. W internecie są już dostępne narzędzia, które potrafią odszyfrować dokumenty za darmo (tworzą je producenci antywirusów).
Jedyne co trzeba wiedzieć, to przez jaki wirus dokumenty zostały zaszyfrowane (podaje to Odkurzacz na podstawie znalezionych plików instrukcji) oraz jakie rozszerzenie/nazwę posiadają zmienione przez wirusa dokumenty użytkownika (czy posiadają dodatkowe rozszerzenie na końcu pliku, czy też dodatkową nazwę z przodu).

Przykładowe rozszerzenia plików, jakie wirusy szyfrujące dokumenty używają do zmiany nazwy plików:

.*obleep
.0x0
.1999
.EnCiPhErEd
.LOL!
.aaa
.abc
.bleep
.ccc
.crinf
.crjoker
.cry
.crypto*
.cryptotorlocker*
.ctb2
.ctbl
.darkness
.ecc
.enc
.encrypted*
.exx
.ezz
.frtrss
.good
.ha3
.hydracrypt*
.kb15
.kraken
.lechiffre
.locky
.magic
.micro
.nochance
.omg!
.r16M*
.r5a
.rdm
.rrk
.supercrypt
.toxcrypt
.ttt
.vault
.vvv
.xrnt
.xtbl
.xxx
.xyz
.zzz