JAK ODZYSKAĆ PLIKI ZASZYFROWANE PRZEZ ZŁOŚLIWE OPROGRAMOWANIE RANSOMWARE?

Ransomware jest odmianą złośliwego oprogramowania, które blokuje użytkownikowi dostęp do urządzenia lub plików, przy czym zwykle żąda równocześnie zapłaty za przywrócenie tego dostępu. Atak ransomware polega on na wgraniu oprogramowania blokującego dostęp do całego urządzenia komputerowego lub telefonu, konkretnych plików albo stron internetowych. Ransomware atakuje zarówno osoby prywatne, jak i firmy i organizacje, a usunięcie wywołanych przez to oprogramowanie szkód jest bardzo trudne, a niekiedy wręcz niemożliwe. 

Ransomware często zawiera prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Uniemożliwienia prawidłowego rozruchu systemu operacyjnego zazwyczaj następuje w wyniku podmiany ścieżki powłoki systemu Windows albo modyfikacji głównego rekordu rozruchowego lub tablicy partycji. Zaawansowane wersje ransomware  szyfrują pliki ofiary (zwykle za pomocą silnego algorytmu). Przestępcy posługują się kryptowirusowym wymuszeniem – szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt, i żądają okupu w zamian za deszyfrację danych. Po ataku wymuszeniowym przywrócenie danych bez posiadania klucza deszyfrującego najczęściej jest niemożliwe. Nie warto jednak płacić okupu, ponieważ nie gwarantuje to odszyfrowania plików, a samo złośliwe oprogramowanie często zawiera błędy skutkujące tym, że odzyskanie plików i tak stanie się niemożliwe, pomimo otrzymania prawidłowego klucza.

JAK ODZYSKAĆ PLIKI ZASZYFROWANE PRZEZ ZŁOŚLIWE OPROGRAMOWANIE?

Po zainfekowaniu urządzenia należy podjąć próbę zastosowania algorytmu eliminującego infekcję wirusową: 

• ominięcie blokady ekranu z informacją o ataku (żądaniem okupu),
• przywrócenie dostępu do systemu operacyjnego,
• odzyskanie (odszyfrowanie) plików (oraz zabezpieczenie ich na odrębnym nośniku danych),
• usunięcie złośliwego oprogramowania (przy czym po odzyskaniu i zabezpieczeniu plików i tak rekomendowane jest wykonanie pełnego formatowania i ponownej instalacji nowego systemu operacyjnego na urządzeniu, ponieważ niektóre pliki systemowe lub klucze rejestru mogły zostać uszkodzone, co uniemożliwi prawidłowe działanie systemu operacyjnego).

Przystępując do obejścia blokady ekranu, pierwszym krokiem jest próba "zatrzymania działania" złośliwego oprogramowania, które podczas blokady ekranu - w tym samym czasie - dalej szyfruje pliki użytkownika. Aby uniemożliwić wirusowi uruchomienie mechanizmów ochronnych, należy przed rozpoczęciem procesu odzyskiwania podjąć próbę uruchomienia urządzenia w trybie awaryjnym (w trybie bezpiecznym z obsługą sieci).

Następnie należy skorzystać z punktów przywracania systemu (do momentu sprzed infekcji). Jeśli funkcja ta nie została wyłączona, system operacyjny co pewien czas tworzy kopie plików na naszych dyskach, aby w razie problemu z instalacją nowej aplikacji, bądź kolejnej wersji systemu operacyjnego możliwy był powrót do poprzedniego stanu. Przywracanie nie ma wpływu na pliki osobiste, ale powoduje usunięcie aplikacji, sterowników i aktualizacji zainstalowanych po utworzeniu danego punktu przywracania.

 

Następnie należy podjąć próbę odzyskania (odszyfrowania) plików oraz zabezpieczenie ich na odrębnym nośniku danych. Przed tym zadaniem należy zidentyfikować rodzaj złośliwego oprogramowania, które zainfekowało urządzenie. 

W tym celu można skorzystać z gotowych rozwiązań udostępnionych przez ekspertów:  np. po wejściu na witrynę MalwareHunterTeam - można na niej "wrzucić" któryś z zaszyfrowanych plików z dysku w celu jego rozpoznania. Gdy zaszyfrowane pliki nie posiadają konkretnego rozszerzenia, można "wrzucić" tam również dokument opisujący sposób wpłaty okupu. 

Gdy rodzaj złośliwego oprogramowania zostanie zidentyfikowany, to istnieje również szansa, że otrzymamy wówczas link do instrukcji, która pomoże odszyfrować pliki (a jeśli infekcja zostanie jedynie rozpoznana, to w dalszym ciągu pozostaje możliwość odnalezienia sposobu jej skutecznej eliminacji poprzez samodzielne odszukanie go w internecie - mając już do dyspozycji jej nazwę i rodzaj).

Widok witryny MalwareHunterTeam rozpoznającej rodzaj złośliwego oprogramowania.

Inne witryny oferujące pomoc w identyfikacji (lub odszyfrowywaniu) złośliwego oprogramowania typu RANSOMWARE: 

• No More Ransom - repozytorium kluczy i aplikacji, które pozwalają odzyskać dane zaszyfrowane przez różnego rodzaju oprogramowania ransomware - strona stworzona dzięki współpracy organów ścigania i firm zajmujących się cyberbezpieczeństwem.
• Bleeping Computer - zawiera listę narzędzi do odszyfrowania danych dla różnych rodzajów ransomware, wraz z instrukcjami ich użycia i linkami do pobrania.
• Emsisoft
• Kaspersky
• Avast
• Trend Micro
• McAfee

-*-*-*-

Przykładowy film - jak chronić się PRZED infekcją złośliwym oprogramowaniem ransomware : 

-*-*-*-

Przykładowy film - pierwsze kroki po ataku ransomware i jak najlepiej się na niego przygotować (algorytm postępowania dla firm, instytucji, organizacji, itp.):