W zeszłym roku nasza firma połączyła wysiłki z holenderską policją i uruchomiła stronę NoRansom, która miała na celu pomoc ofiarom oprogramowania żądającego okupu CoinVault w przywracaniu dostępu do ich danych. Następnie umieściliśmy na tej stronie wiele innych narzędzi, które pomagały w przywróceniu plików zaszyfrowanych przez inne programy, takie jak TeslaCrypt czy CryptXXX.
Dzisiaj zrobiliśmy kolejny duży krok w naszej batalii przeciwko ransomware: wraz z holenderską policją, Europolem i firmą Intel Security uruchomiliśmy serwis NoMoreRansom.org, w którym mamy zamiar udostępniać wszelkie narzędzia deszyfrujące.
Zaczynamy od dodania na stronę antidotum dla ofiar ransomware Shade , dzięki któremu będą mogły odzyskać swoje pliki. Podobnie jak w przypadku pozostałych narzędzi, jest ono dostępne za darmo.
Shade
Shade to rodzina szyfrujących programów żądających okupu, które pojawiły się na początku 2015 roku. Jako wektory ataku trojany te wykorzystują szkodliwy spam lub zestawy exploitów. Ten ostatni sposób jest znacznie bardziej niebezpieczny, ponieważ ofiara nie musi otwierać żadnych plików — wystarczy odwiedzić zainfekowaną stronę.
Po przedostaniu się takiego programu do systemu ofiary trojan pobiera z serwera poleceń przestępców (C&C) klucz szyfrowania — a jeśli jest on niedostępny, używa jednego z zapasowych kluczy dołączonych do niego od początku. W takiej sytuacji ransomware działa w systemie nawet po odłączeniu komputera od Sieci.
Następnie malware rozpoczyna szyfrowanie plików. Jego celem są pliki w ponad 150 formatach, włącznie z plikami Microsoft Office, obrazami i archiwami. Podczas procesu szyfrowania Shade dodaje do nazwy każdego pliku rozszerzenie .xtbl lub .ytbl. Po zakończeniu na ekranie wyświetla się komunikat z żądaniem okupu.
Jakby tego było mało, ransomware kontynuuje swoją brudną robotę: gdy ofiara wpada w panikę i szuka programu w celu odszyfrowania (lub pieniędzy na zapłacenie okupu), Shade pobiera na komputer ofiary inne szkodliwe programy.
Wypróbuj darmowy program do odszyfrowania
Jeśli miałeś tę wątpliwą przyjemność spotkać program Shade, mamy dla Ciebie dobrą wiadomość: dzięki nam nie musisz nic płacić, aby odzyskać swoje zaszyfrowane pliki. Zobacz, jak to zrobić:
- Przejdź do strony NoMoreRansom.org.
- W dolnej części strony znajdź dwa przyciski pobierania programów służących do odszyfrowywania. Możesz wybrać produkt firmy Intel Security lub Kaspersky Lab. Poniższe instrukcje dotyczą programu firmy Kaspersky Lab.
- Rozpakuj pobrany plik o nazwie ShadeDecryptor.zip.
- Uruchom ShadeDecryptor.exe.
- W oknie Kaspersky ShadeDecryptor kliknij opcję Change Parameters (Zmień parametry).
- Wybierz dyski, które mają zostać sprawdzone w poszukiwaniu zaszyfrowanych plików.
- W tym samym oknie możesz również wybrać opcję „Delete crypted files after decryption” (Usuń zaszyfrowane pliki po odszyfrowaniu), ale nie zalecamy korzystania z niej, jeśli nie masz 100% pewności, że Twoje pliki zostały przywrócone.
- Kliknij przycisk „ОК”, aby powrócić do ekranu głównego. Następnie kliknij polecenie Start scan (Rozpocznij skanowanie).
- W oknie „Specify the path to one of encrypted files” (Wprowadź ścieżkę do jednego z zaszyfrowanych plików) wybierz jeden plik, który został zaszyfrowany, a następnie kliknij przycisk „Open” (Otwórz).
- Jeśli narzędzie wyświetli informację, że nie może automatycznie wykryć identyfikatora ofiary, określ ścieżkę do pliku readme.txt zawierającego informację o okupie, w którym znajduje się wymagany identyfikator.
Wówczas Twoje pliki powinny zostać odszyfrowane, a Ty możesz wydać swoje pieniądze na coś znacznie przyjemniejszego. Zabezpiecz się przed atakami programów żądających okupu na przyszłość, możesz na przykład używać porządnego produktu zabezpieczającego, takiego jak Kaspersky Internet Security. Dodatkowe porady związane z tematyką okupów znajdują się w tym poście.