Recuperați datele de la virusul ransomware. Cum să recuperați fișierele criptate (Instrucțiuni)

Nu cu mult timp în urmă, un nou virus (și multe dintre modificările acestuia) a apărut pe Internet, criptând fișierele de pe computerul tău și oferindu-se să comanzi un program pentru a le decripta pentru bani. În acest caz, fișierele criptate sunt redenumite și denumite astfel

DSC00122.JPG. [email protected] _XO101

Partea selectată constă din e-mailul autorului virusului (căreia „victima” virusului va trimite o cerere de decriptare) și identificatorul de modificare a virusului. Fiecare modificare a virusului are propriul algoritm de criptare și, în consecință, necesită propriul decriptor.

Din fericire, dezvoltatorii de la Dr.Web au abordat îndeaproape această problemă și sunt gata să ofere un utilitar special care decriptează fișierele corupte de virus. Pentru comoditate, mai jos postez utilitarul în sine și scurte instrucțiuni de utilizare.

(parola este numele site-ului meu fără „http://”)

Mai jos sunt instrucțiuni scurte.

Descărcați utilitarul de recuperare, despachetați arhiva într-un folder gol cu ​​un nume simplu (de exemplu, „ C:\_dec"). Apoi deschideți linia de comandă (Start - Run - cmd) și tastați următoarele acolo:

Aici " [email protected] _XO101" este prefixul cu care fișierele dumneavoastră sunt redenumite de virus, fiți atenți la punctul de la început. A c:\fișierele mele\- acesta este folderul în care se află fișierele dvs. codificate. După lansarea programului se va deschide o fereastră de confirmare

Și după ce faceți clic pe butonul „Continuați”, tratamentul automat va începe. La finalizarea programului, veți primi un raport, iar toate fișierele decodate vor fi localizate lângă cele codificate în folderul pe care l-ați specificat (programul nu șterge versiunile codificate ale fișierelor).

Autorii programului nu garantează tratarea 100% a tuturor fișierelor și nu am ocazia să testez funcționarea acestuia pe un număr mare de fișiere, așa că vă rog: cine a reușit să vindece fișierele cu acest utilitar (sau nu a reușit) - scrieți în comentarii.

Asta e tot! Fii sănătos!

P.S. Pentru a preveni infectarea computerului să nu se repete, cumpărați-l deja antivirus normal. Folosesc Kaspersky Internet Security, dar se pare că și Dr.Web este destul de bun. Crede-mă, o mie și jumătate de ruble pe an pentru liniște sufletească și încredere în viitor este un preț ridicol.

Un virus pe o unitate flash nu este o surpriză pentru nimeni. Dar a rămâne fără informații importante care sunt stocate chiar pe această unitate flash este un alt incident. Prietenii mei au formatat unități flash de mai multe ori după viruși, fără să găsească un singur fișier acolo. Și pot fi pur și simplu ascunse de un virus... După cum se spune în afacerea noastră, este mai bine să fii în siguranță decât să ne scuzăm. Și așa... Virusul de pe unitatea flash a fost vindecat sau șters. Intrăm în directorul rădăcină și este gol. Ce ar trebuii să fac? Nu am întâlnit viruși care ar șterge cu obrăznicie informațiile de pe dispozitivele de stocare. Deci, cel mai probabil, fișierele dvs. sunt ascunse. Ceea ce înseamnă că trebuie să le arătăm.

Afișează fișierele și folderele ascunse.
Pentru a afișa fișierele ascunse. În orice fereastră apăsați butonul Serviciu

Apoi selectați Proprietățile folderului...


Tab Vedere



Și apăsați Bine

După aceasta, toate fișierele și folderele ascunse vor fi afișate. Și dacă aveți noroc, puteți pur și simplu să debifați atributul ascuns din proprietățile unui folder sau document. Pentru a face acest lucru, faceți clic dreapta pe documentul sau folderul dorit și selectați Proprietăți. Apoi debifați atributul Ascuns.

Dar este posibil să fie imposibil să eliminați acest atribut de fișier sau, chiar mai rău, fișierele și folderele de pe unitatea flash să nu fie afișate deloc. Apoi, să recurgem la linia de comandă.

Deschideți linia de comandă.

Pentru a face acest lucru, apăsați combinația de taste Win+R. Primim o fereastră cu numele A executa.

În câmpul de intrare scriem cmd


și apăsați Bine

În linia de comandă, accesați unitatea noastră flash.

introduce X:(Unde X este litera unității flash sau a discului) și apăsați introduce
După aceea intrăm atrib -s -h -r -a /s /d, apăsați din nou introduce

Asta e tot. Acum atributul Ascuns vor fi șterse din toate fișierele și folderele de pe unitatea flash. În consecință, toate datele vor fi afișate conform așteptărilor. Dacă, desigur, nu sunt acolo.

Recuperarea fișierelor ascunse după un virus este o problemă comună cu care se confruntă utilizatorii de computere. Recent, mulți oameni au suferit de programe malware, din cauza cărora toate fișierele și folderele de pe hard disk sunt pierdute, inclusiv conținut personal precum documente, imagini etc. De asemenea, programele malware pot ascunde toate comenzile rapide din meniul Start. Virusul nu șterge datele, ci adaugă un atribut ascuns la toate fișierele și folderele de pe sistemul dvs. și, ca urmare, pare că toate datele au fost șterse de pe hard disk.

Dacă trebuie să efectuați recuperarea fișierelor după un virus, puteți utiliza instrucțiunile de mai jos pentru a reafișa toate datele care lipseau și pentru a recăpăta controlul asupra computerului. În cazul în care sistemul de operare este încă infectat cu programe malware, trebuie să utilizați un software antivirus. Odată ce virușii sunt eliminați, puteți începe să luați măsuri pentru a afișa fișierele și folderele care au dispărut. Pentru a afișa fișierele lipsă, trebuie să modificați setările sistemului Windows.

Cum să afișați fișierele ascunse

Dacă utilizați Windows XP, puteți recupera datele pierdute făcând următoarele:

  • deschide My Computer;
  • selectați Instrumente;
  • faceți clic pe Opțiuni folder;
  • selectați fila Vizualizare;
  • bifați caseta de lângă opțiunea Afișare fișiere și foldere ascunse;
  • Faceți clic pe OK pentru a returna datele pierdute de pe hard disk sau unități flash.

Pentru a recupera datele pierdute pe Windows Vista, trebuie să urmați acești pași:

  • apăsați butonul Start;
  • selectați Computer;
  • faceți clic pe Instrumente;
  • selectați Opțiuni folder;
  • utilizați butonul Vizualizare;
  • selectați opțiunea Afișare fișiere și foldere ascunse;
  • faceți clic pe OK.

Dacă sunteți interesat de cum să recuperați fișierele ascunse pe Windows 7, trebuie să urmați acești pași:

  • apăsați butonul Start;
  • selectați Computer;
  • faceți clic pe Organizare;
  • utilizați butonul Folder și Search Options;
  • selectați Vizualizare;
  • activați opțiunea Afișare fișiere și foldere ascunse;
  • faceți clic pe OK.

După parcurgerea pașilor de mai sus, veți putea vedea toate fișierele și folderele pentru programele de birou și alte aplicații, dar acestea vor conține în continuare un set ascuns de atribute. Dacă ștergeți parametrii care nu sunt necesari pentru fișierele de pe o unitate flash sau un hard disk, atunci toți vor fi afișați în modul normal.

Cum să eliminați atributele ascunse

Dacă utilizați sistemul de operare Windows XP, trebuie să efectuați următorii pași:

  1. Faceți clic pe Start și Run.
  2. Tastați cmd și apăsați Enter.
  3. În linia de comandă, tastați CD\ și confirmați cu tasta Enter.
  4. Tastați ATTRIB -H *.* /S /D și apăsați Enter. Această comandă va afișa fișierele care au devenit invizibile. Deoarece fișierele de sistem importante au atributul corespunzător atașat, comanda de mai sus nu le va afecta. Setările de sistem le permit să treacă și le ascund de privirile indiscrete, astfel încât cel mai important conținut al dvs. să nu se piardă. Finalizarea comenzii va dura ceva timp, așa că nu vă faceți griji dacă procesul durează câteva minute sau chiar o jumătate de oră. Comanda va efectua acțiuni simple - va elimina atributele ascunse din toate directoarele de pe hard disk și folderele de pe unitatea flash după virus. Parametrul /S înseamnă că folderul curent și toate subdirectoarele sale vor fi căutate. Opțiunea /D procesează toate celelalte foldere.

Pentru Windows Vista sau 7 trebuie să faceți următoarele:

  1. Faceți clic pe Start și pe Toate programele.
  2. Selectați Accesorii și Găsiți promptul de comandă.
  3. Faceți clic dreapta pe opțiunea Command Prompt și selectați Run as Administrator.
  4. În linia de comandă, tastați CD\ și apăsați Enter.
  5. Linia de comandă ar trebui să indice acum folderul rădăcină al hard diskului (probabil C:\).
  6. Tastați ATTRIB -H *.* /S /D și apăsați Enter.
  7. Tastați Exit și apăsați Enter când procedura este finalizată. Pentru a reporni un computer.

O alternativă este să utilizați aplicația Unhide creată de Bleeping Computer. Acesta este un program pentru recuperarea fișierelor ascunse de pe unități flash și hard disk. Pe site-ul oficial al acestui dezvoltator există un întreg tutorial despre utilizarea unhide.exe pentru a șterge datele șterse după o invazie de viruși. Cu ajutorul acestuia, utilizatorii au primit informațiile necesare și și-au restaurat cu succes computerele. Puteți descărca această aplicație pentru foldere și fișiere ascunse de pe desktop și o puteți rula astfel încât pașii de mai sus pentru a elimina atributele de pe o unitate flash după un virus să fie executați automat de către sistem.

Remediați problemele cu comenzile rapide din bara de activități și din meniul Start

Pentru a afișa comenzile rapide pe bara de activități și în meniul Start după un atac de virus, trebuie să faceți următoarele:

  1. Deschide Computer.
  2. Accesați Drive C, Utilizatori, Numele dvs. de utilizator, AppData, Local, Temp, SNTMP sau SMTMP.
  3. Deschideți directorul cu numărul 1.
  4. Selectați Editați, Selectați tot și Copiați.
  5. Lăsați directorul deschis și mergeți din nou la My Computer.
  6. Selectați Drive C, Program Data, Microsoft, Windows, Start Menu.
  7. Faceți clic pe Editare și inserare pentru a copia folderul Programe și alte comenzi rapide în locația corespunzătoare.
  8. Deschideți directorul cu numărul 3.
  9. Selectați toate fișierele și copiați-le.
  10. Accesați Drive C, Utilizatori, Nume utilizator, AppData, Roaming, Microsoft, Internet Explorer, Lansare rapidă, Fixat de utilizator, Bara de activități și inserați fișiere.

După parcurgerea pașilor de mai sus, toate comenzile rapide ar trebui să revină la locul lor.

Căutați un program pentru a recupera fișierele deteriorate? După recuperarea datelor șterse, fișierele necesare nu se deschid sau nu se deschid cu un mesaj de eroare? Nu știți cum să restabiliți structura fotografiilor deteriorate?

Recuperați fișierele deteriorate cu programul

Utilizați RS File Repair pentru a recupera datele deteriorate. Programul va corecta rapid erorile din structura fișierelor și le va restaura la forma lor originală. Expertul de recuperare pas cu pas și interfața în stil MS Windows Explorer fac lucrul cu utilitarul ușor și simplu, nefiind nevoie de abilități speciale. Datorită acestui fapt, fiecare utilizator va putea găsi și restaura rapid fișierele necesare chiar și după daune grave.

Descărcați capturi de ecran de înregistrare

Cu RS File Repair puteți „remedia” fișierele în două moduri.

Dacă restaurați datele utilizând expertul, veți putea lucra cu mai multe fișiere simultan, chiar dacă acestea se află în foldere diferite. Programul va repara deteriorarea și va salva fișierele în folderul la alegere.

Dacă nu utilizați expertul la restaurarea fișierelor deteriorate, atunci funcția de previzualizare va fi disponibilă și veți putea previzualiza fișierele corectate înainte de a salva.

Recuperarea fișierelor deteriorate folosind vrăjitorul

Pentru a utiliza un expert pas cu pas convenabil pentru a repara și salva fișierele deteriorate, selectați „Asistent” din meniul „Fișier”.

În fiecare nouă fereastră de expert, veți găsi instrucțiuni detaliate pas cu pas care vă vor ajuta să recuperați cu ușurință fișierele deteriorate. Dacă doriți să începeți să lucrați cu vrăjitorul de fiecare dată când porniți programul, utilizați opțiunea „Afișează expertul la pornirea programului”.

În fereastra „Selectați fișiere”, trebuie să indicați fișierele deteriorate pe care doriți să le remediați și să le salvați. Aici puteți adăuga orice număr de fișiere din foldere diferite la lista celor recuperabile, puteți elimina fișiere din listă sau puteți șterge complet lista. De asemenea, puteți alege cum să afișați lista fișierelor selectate („Icoane”, „Lista”, „Tabel”) și să utilizați sortarea fișierelor.


Apoi selectați tipul de analiză pentru datele recuperate. În cele mai multe cazuri, va fi suficient să utilizați funcția „Analiză”, care vă permite să eliminați rapid deteriorarea structurii logice a fișierelor.

Al doilea tip de prelucrare a datelor – „Cercetare” – este utilizat dacă este necesar să se analizeze mai detaliat structura fișierului. Acest lucru necesită mult mai mult timp, dar vă permite să recuperați chiar și datele grav deteriorate prin păstrarea cantității maxime de informații din fișierele originale.


În fereastra următoare, vrăjitorul vă va solicita să selectați calea pentru salvarea datelor recuperate (dosarul în care vor fi salvate) și, de asemenea, să stabilească câteva principii suplimentare pentru salvarea fișierelor corectate pe suportul media selectat.


Recuperați fișierele deteriorate cu previzualizare

Dacă decideți „manual”, fără a utiliza un expert, selectați folderul în care fișierele de care aveți nevoie se află în partea stângă a ferestrei principale a programului. Întregul conținut al directorului va fi afișat în partea dreaptă și puteți selecta fișierele de care aveți nevoie în el.

Dacă fișierul este deteriorat, programul nu va putea afișa conținutul acestuia. Pentru a-i restabili structura, utilizați meniul „Fișier” - „Analiză” sau „Fișier” - „Cercetare” din meniul principal al programului. După efectuarea acestor funcții, fișierele vor fi disponibile pentru previzualizare.



Călătorind în diferite orașe și orașe, o persoană, vrând-nevrând, întâlnește surprize care pot fi atât plăcute, cât și provoacă disconfort sporit și durere severă.

Aceleași emoții pot aștepta un utilizator care este interesat să „călătorească” pe Internet. Deși, uneori, surprizele neplăcute zboară în e-mail pe cont propriu sub formă de scrisori și documente amenințătoare, pe care utilizatorii încearcă să le citească cât mai curând posibil, căzând astfel în rețelele escrocilor.

Pe Internet, puteți întâlni un număr incredibil de viruși programați să îndeplinească mai multe sarcini negative pe computerul dvs., așa că este important să învățați să distingeți între linkurile sigure pentru descărcarea fișierelor și documentelor și să evitați cele care reprezintă un pericol clar pentru computerul dvs.

Dacă ați devenit unul dintre acei oameni nefericiți care au trebuit să experimenteze consecințele negative ale unei intervenții cu virus, nu vă veți îndoi că este util să colectați și ulterior să sistematizați informații despre cum să preveniți infectarea computerului dvs.

Virușii au apărut imediat ce a apărut tehnologia computerizată. În fiecare an există din ce în ce mai multe varietăți de viruși, așa că este ușor pentru utilizator să distrugă doar purtătorul de virus cunoscut de mult timp și a fost găsită o metodă 100% de distrugere a acestuia.

Este mult mai dificil pentru utilizator să „lupte” împotriva purtătorilor de viruși care apar doar în rețea sau sunt însoțiți de acțiuni distructive la scară largă.

Metode de recuperare a fișierelor

Într-o situație în care un virus are fișiere criptate pe un computer, ce să faci este o întrebare cheie pentru mulți. Dacă acestea sunt fotografii de amatori, a căror pierdere nici nu doriți să o acceptați, puteți căuta modalități de a rezolva problema pe o perioadă lungă de timp. Cu toate acestea, dacă un virus are fișiere criptate care sunt extrem de importante pentru activitățile de afaceri, dorința de a-ți da seama ce trebuie să faci devine incredibil de mare și, de asemenea, vrei să faci măsuri eficiente suficient de repede.

Restaurarea unei versiuni anterioare

Dacă protecția sistemului a fost activată în prealabil pe computerul dvs., atunci chiar și în cazurile în care un „criptor invitat neinvitat” a reușit deja să vă preia, veți putea în continuare să restaurați documentele, știind ce să faceți în acest caz.

Sistemul vă va ajuta să recuperați documentele folosind copiile umbră ale acestora. Desigur, troianul își îndreaptă eforturile pentru a elimina astfel de copii, dar virușii nu sunt întotdeauna capabili să efectueze astfel de manipulări, deoarece nu au drepturi administrative.

Pasul 1

Deci, este ușor să restaurați un document folosind copia anterioară. Pentru a face acest lucru, faceți clic dreapta pe fișierul care se dovedește a fi deteriorat. În meniul care apare, selectați „Proprietăți”. Pe ecranul computerului va apărea o fereastră cu patru file, trebuie să mergeți la ultima filă „Versiuni anterioare”.

Pasul 2

Toate copiile umbre disponibile ale documentului vor fi listate în fereastra de mai jos; tot ce trebuie să faceți este să selectați opțiunea care vi se potrivește, apoi să faceți clic pe butonul „Restaurare”.

Din păcate, o astfel de „ambulanță” nu poate fi utilizată pe un computer unde protecția sistemului nu a fost activată în prealabil. Din acest motiv, vă recomandăm să-l porniți în prealabil, pentru a nu vă „mușca din coate” ulterior, reproșându-vă nesupunere vădită.

Pasul 3

De asemenea, este ușor să activați protecția sistemului pe computer; nu vă va lua mult timp. Prin urmare, alunga-ți lenea și încăpățânarea și ajută-ți computerul să devină mai puțin vulnerabil la troieni.

Faceți clic dreapta pe pictograma „Computer” și selectați „Proprietăți”. În partea stângă a ferestrei care se deschide va fi o listă în care găsiți linia „Protecția sistemului”, faceți clic pe ea.

Acum se va deschide din nou o fereastră în care vi se va cere să selectați un disc. Cu unitatea locală „C” selectată, faceți clic pe butonul „Configurare”.

Pasul 4

Acum se va deschide o fereastră care oferă opțiuni de recuperare. Trebuie să fiți de acord cu prima opțiune, care implică restaurarea setărilor sistemului și a versiunilor anterioare ale documentelor. În cele din urmă, faceți clic pe butonul tradițional „Ok”.

Dacă ați făcut toate aceste manipulări în avans, atunci chiar dacă un troian vă vizitează computerul și vă criptează fișierele, veți avea perspective excelente pentru a recupera informații importante.

Cel puțin nu veți intra în panică când descoperiți că toate fișierele de pe computer sunt criptate; în acest caz, veți ști deja exact ce să faceți.

Utilizarea Utilităților

Multe companii de antivirus nu lasă utilizatorii în pace cu problema virușilor care criptează documentele. Kaspersky Lab și Doctor Web au dezvoltat utilitare speciale pentru a ajuta la rezolvarea unor astfel de situații problematice.

Deci, dacă găsiți urme teribile ale unei vizite de ransomware, încercați să utilizați utilitarul Kaspersky RectorDecryptor.

Rulați utilitarul pe computer, specificați calea către fișierul care a fost criptat. Nu este greu de înțeles ce ar trebui să facă direct utilitatea. Folosind mai multe opțiuni, încearcă să găsească cheia pentru a decripta fișierul. Din păcate, o astfel de operațiune poate fi destul de lungă și nu este în intervalul de timp pentru mulți utilizatori.

În special, se poate întâmpla ca să fie nevoie de aproximativ 120 de zile pentru a selecta cheia corectă. În același timp, trebuie să înțelegeți că nu este recomandat să întrerupeți procesul de decriptare, așa că nu trebuie să opriți computerul.

Kaspersky Lab oferă și alte utilități:

  • XoristDecryptor;
  • RakhniDecryptor;
  • Ransomware Decryptor.

Aceste utilitare vizează rezultatele activităților rău intenționate ale altor troieni ransomware. În special, utilitarul Ransomware Decryptor este încă necunoscut pentru mulți, deoarece are ca scop combaterea CoinVault, care abia acum începe să atace Internetul și să pătrundă în computerele utilizatorilor.

De asemenea, dezvoltatorii Doctor Web nu sunt inactivi, așa că le prezintă utilizatorilor utilitățile lor, cu ajutorul cărora puteți încerca și să recuperați documente criptate de pe computer.

Creați orice folder pe unitatea C și dați-i un nume simplu. Dezarhivați utilitarul descărcat de pe site-ul oficial al companiei în acest folder.

Acum îl puteți folosi pentru a rezolva practic problema. Pentru a face acest lucru, lansați o linie de comandă, tastați „cd c:\XXX” în ea, unde în loc de XXX introduceți numele folderului în care ați plasat utilitarul.

În loc de „fișierele mele”, trebuie scris numele folderului în care se află documentele deteriorate.

Acum utilitarul se va lansa și procesul de tratament va începe; după finalizarea cu succes, veți găsi un raport care indică ceea ce a fost recuperat. Apropo, programul nu șterge fișierele criptate, ci pur și simplu salvează versiunea restaurată lângă ele.

Din păcate, chiar și acest utilitar Doctor Web nu poate fi considerat o baghetă magică; de asemenea, nu poate face totul.

Mulți s-ar putea să-și fi dat deja seama ce să facă în cazul unei infecții, dar utilizatorii experimentați recomandă obținerea de informații despre ceea ce nu este strict recomandat să facă, pentru a nu provoca consecințe mai grave atunci când șansele de recuperare a documentelor sunt zero.

Nu puteți reinstala sistemul de operare pe computer. În acest caz, este posibil să puteți elimina dăunătorul, dar cu siguranță nu veți putea readuce documentele în stare de funcționare.

Nu puteți rula programe care sunt responsabile pentru curățarea registrului sau ștergerea fișierelor temporare de pe computer.

Nu se recomandă efectuarea unei scanări antivirus, timp în care documentele infectate pot fi pur și simplu șterse. Dacă ai fost puțin prost și ai lansat un antivirus, cedând în panică, atunci măcar asigură-te că toate fișierele infectate nu sunt șterse, ci pur și simplu puse în carantină.

Dacă sunteți un utilizator avansat, puteți întrerupe procesul de criptare pe computer înainte ca acesta să se răspândească la toate fișierele și documentele. Pentru a face acest lucru, trebuie să lansați „Managerul de activități” și să opriți procesul. Este puțin probabil ca un utilizator fără experiență să-și dea seama ce proces are legătură cu virusul.

Este util să deconectați computerul de la Internet. Prin întreruperea unei astfel de conexiuni, procesul de criptare a fișierelor și documentelor de pe computer este întrerupt în majoritatea cazurilor.

Deci, cu o înțelegere completă a ceea ce trebuie să faceți atunci când este detectat un troian ransomware, puteți lua măsuri pentru a asigura succesul. În plus, după ce ați primit informații despre cum să decriptați fișierele criptate de un virus, puteți încerca să eliminați singur problema și să preveniți să apară din nou.