Если вы заметили что файлы начали шифроваться только что или совсем недавно — выдергивайте провод питания из пораженного компьютера! Дочитаете с другой машины.
А теперь, когда питание отключено, можно спокойно рассмотреть предлагаемый мною подход. Перед каждым, кто сталкивается с работой энкодера должны стоять две задачи: сохранение еще нетронутых данных и сохранение «места происшествия» в первозданном виде.
Первая задача — сохранение данных.
Ни один энкодер не способен зашифровать все данные мгновенно, поэтому до окончания шифрования какая-то их часть остается нетронутой. И чем больше времени прошло с начала шифрования, тем меньше нетронутых данных остается. Раз наша задача сохранить как можно большее их количество, нужно прекратить работу энкодера. Можно, в принципе, начать анализировать список процессов, искать где в них троян, пытаться его завершить… Но, поверьте мне, выдернутый шнур питания это гораздо быстрее! Штатное завершение работы Windows неплохая альтернатива, но оно может занять какое-то время или троян своими действиями может ему препятствовать. Поэтому мой выбор дернуть шнур. Несомненно, у этого шага есть свои минусы: возможность повреждение файловой системы и невозможность дальнейшего снятия дампа ОЗУ. Поврежденная файловая система для неподготовленного человека проблема посерьезнее, чем энкодер. После энкодера остаются хотя бы файлы, повреждение же таблицы разделов приведет к невозможности загрузки ОС. С другой стороны, грамотный специалист по восстановлению данных ту же таблицу разделов починит без особых проблем, а энкодер до многих файлов может просто не успеть добраться.
Дамп оперативной памяти, снятый в момент работы трояна, может очень сильно помочь в дальнейшем, но простой пользователь наверняка не знает как его сделать. На поиски способов уйдет много драгоценного времени, а пользу из дампа можно извлечь не всегда.
Вторая задача — сохранение «места происшествия» для дальнейшего изучения.
Почему это так важно? Любая работа по расшифровке файлов начинается с того, что мы пытаемся понять, что же именно произошло, получить полную картину произошедшего. В идеальном случае мы получаем все файлы, которые запускались в процессе шифрования. Их анализ позволяет понять, как происходило шифрование, оставлял ли троян артефакты, которые позволят упростить расшифровку.
Идеальный способ законсервировать практически все что нужно опять-таки выключить питание и не загружать ОС, в которой был запущен энкодер. Для доступа к данным с диска (а такой доступ точно потребуется) можно использовать LiveCD с какой-либо версией Linux. Можно также подключить диск к не пораженному ПК, но так есть риск запуска энкодера в новой системе или же изменения файлов на пораженных дисках. Поэтому лучше LiveCD.
На этом этапе мы имеем, в идеале, компьютер, который был обесточен сразу после обнаружения шифрования и ни разу не включался. На практике такого почти не бывает: я не могу вспомнить ни одного такого случая из почти трех тысяч. Скорее всего, в вашем случае шифрование уже завершилось, а выключить машину надолго не выйдет по тем или иным причинам. И тут важно понимать, как нужно (а точнее, как не нужно) работать с такой «недоконсервированной» системой, принимая во внимание задачи «максимального сохранения».
Первое правило: не паниковать.
Еще раз убедитесь, что шифрование новых файлов не происходит, в противном случае обесточьте машину. Необдуманные и поспешные действия после окончания шифрования могут (и не раз приводили!) к бОльшим проблемам, нежели само шифрование. На данный момент все самое плохое уже произошло и нужно спокойно решать проблему.
Второе правило: ничего не чистить, не удалять, систему не переставлять.
Для расшифровки наибольшее значение может иметь неприметный файлик на 40 байт во временном каталоге или непонятный ярлык на рабочем столе. Вы наверняка не знаете, будут ли они важны для расшифровки или нет, поэтому лучше не трогайте ничего. Чистка реестра вообще сомнительная процедура, а некоторые энкодеры оставляют там важные для расшифровки следы работы. Антивирусы, конечно, могут найти тело трояна-энкодера. И даже могут его удалить раз и навсегда, но что тогда останется для анализа? Как мы поймем как и чем шифровались файлы? Поэтому лучше оставьте зверька на диске. Еще один важный момент: я не знаю ни одного средства для чистки системы, которое бы принимало в расчет возможность работы энкодера и сохраняло бы все следы его работы. И, скорее всего, такие средства не появятся. Переустановка системы точно уничтожит все следы трояна, кроме зашифрованных файлов.
Третье правило: оставьте расшифровку профессионалам.
Если у вас за плечами пара лет написания программ, вы действительно понимаете что такое RC4, AES, RSA и в чем между ними различие, вы знаете что такое Hiew и что означает 0xDEADC0DE можете попробовать. Остальным не советую. Допустим, вы нашли какую-то чудо-методику расшифровки файлов и у вас даже получилось расшифровать один файл. Это не гарантия, что методика сработает на всех ваших файлах. Более того, это не гарантия что по этой методике вы файлы не испортите еще сильнее. Даже в нашей работе бывают неприятные моменты, когда в коде расшифровки обнаруживаются серьезные ошибки, но в тысячах случаев до этого момента код работал как надо.
Теперь, когда понятно что делать и чего не делать, можно приступать к расшифровке. В теории, расшифровка возможна почти всегда. Это если знать все нужные для нее данные или же обладать неограниченным количеством денег, времени и процессорных ядер. На практике что-то можно будет расшифровать почти сразу. Что-то будет ждать своей очереди пару месяцев или даже лет. За какие-то случаи можно даже и не браться: суперкомпьютер даром на 5 лет в аренду никто не даст. Плохо еще и то, что кажущийся простым случай при детальном рассмотрении оказывается крайне сложным. К кому обращаться вам решать. Можете обратиться к нам, можете к злоумышленникам, требующим выкуп, а можете к безвестному соседу, который говорит что все вернет как было за 5 минут. У нас есть многолетний опыт в расшифровке данных, наша компания имеет софт для расшифровки файлов после более чем тысячи различных вариантов энкодеров и мы создаем его для новых вариантов.
В любом случае, желаю успехов в восстановлении данных и как можно реже сталкиваться с энкодерами!