AMBA вирус шифровальщик — делимся опытом
Не хочу, чтобы Вы повторяли чужие ошибки и сталкивались с такой проблемой, как AMBA вирус. Многие форумы завалены вопросами о способах его устранения. Но ситуация остаётся крайне плачевной. В данной статье я подскажу, как избежать заражения и попробовать вылечить систему.
К счастью, мне не приходилось лично сталкиваться с подобной бедой, но судя по всему, многие пытаются избавиться от этого вируса.
СОДЕРЖАНИЕ СТАТЬИ:
Суть проблемы
Троян-шифровальщик даёт о себе знать сообщением, которое появляется на рабочем столе. Примерное его содержание следующее:
В теле письма разместите содержимое файла «readme.txt», который Вы найдете на всех дисках. Или вставьте этот код: (указан уникальный идентификатор).
Если по истечению трех часов ответа не последовало, напишите нам еще раз.
Ожидайте дальнейшие инструкции».
Вот такие письма получают ни в чем неповинные пользователи. Далее им предлагают заплатить кругленькую сумму (от 2000 рублей), чтобы получить утилиту для расшифровки.
Разработчикам антивирусного ПО известна данная проблема, и каждый по-разному подходит к её решению. Далее в статье я расскажу подробнее об этом.
Какие файлы чаще всего попадают в зону риска? Вот перечень «любимых» форматов вируса:
- jpg, txt, rtf, doc, xls, zip
Как видим, троян поражает документы MS Office и архивы, что крайне неприятно не только для офисных ПК, но и для обычных домашних компьютеров. Некоторые «жертвы» утверждают, что пострадали даже базы данных приложения 1С (бухгалтерия, предприятие).
Зараженные элементы переименовываются в нечто подобное:
Не так давно я рассказывал о вирусе XLBT, который действует по тому же принципу. Вполне вероятно, что подобные шифровальщики разработаны одними и теми же хакерами.
- Решаем проблему с XBTL вирусом
- Обзор и возможности немецкого антивируса Avira
- Глубокая проверка на вирусы в Junkware Removal Tool
- Антивирус в Вашем кармане — Virus Removal
- mssecsvc.exe — что это за процесс, который постоянно появляется?
- Удаляем китайский вирус-антивирус Tencent
Способы заражения
Как не заразиться? Что делать, а чего лучше не предпринимать? Сейчас я отвечу на эти вопросы.
- Очень часто работники различных компаний получают письма с налоговой инспекции или других контролирующих органов. В теме может быть указано «Срочное уведомление» или что-то в этом роде. Пользователь открывает такой e-mail, скачивает прикрепленный файл и запускает его. Так вирус попадает в систему.
- Или другая ситуация. В социальной сети приходит сообщение от знакомого (чей аккаунт, скорее всего, взломали), в котором присутствует ссылка и завлекающий текст (типа, «посмотри, что я нашел на этом сайте»). Переход на указанный сайт и БУМ! Заражение!
- Третий случай самый распространенный. Вы скачиваете с неизвестного сайта архив (или exe файл), после запуска которого активируется криптор (Cryptor).
Из всего вышесказанного можно сделать три простых вывода:
- Не открывайте сомнительные письма.
- Не скачивайте файлы с подозрительных сайтов.
- Не переходите по странным ссылкам.
А лучше установить хороший антивирус, который будет поддерживать проверку ссылок, писем и файлов перед открытием. Пока такой уровень защиты обеспечивает только Kaspersky и Dr. Web.
Как удалить вирус?
Загвоздка кроется в том, что устранить троян не составит особого труда. А вот восстановить файлы, которые зашифровал вредоносный скрипт, вряд ли получиться (вероятность очень низкая).
Сейчас я расскажу, как минимизировать потери. Готовы?
Останавливаем процесс шифрования
Сделать это можно с помощью диспетчера задач, который запускается по нажатию комбинации «Ctrl + Esc + Shift». В перечне процессов ищем элемент, который потребляет системные ресурсы, создает нагрузку на ЦПУ):
Точное его название подсказать не могу, но если в чем-то сомневаетесь, то лучше спросите у Гугла или Яндекса, чтобы случайно не «грохнуть» системный процесс.
После остановки службы криптования Вы спасете часть файлов, на которые был нацелен вирус. Но это только начало борьбы.
Полная проверка антивирусом
Следует как можно быстрее запустить тотальное сканирование системы, дисков с использованием установленного защитного ПО. Если сомневаетесь в качестве своего антивируса, то скачайте утилиту Cure It!, которая имеет обширную базу определений угроз и обновляется почти каждый день.
В качестве объектов проверки стоит выбрать все доступные пункты и разделы. Такая процедура займёт немало времени и обязательно устранит вирус.
Восстановление поврежденных файлов
Если Вы считаете себя человеком предусмотрительным, постоянно делаете резервные копии данных и храните их на внешних дисках или в «облаке», значит Вам очень повезло. Можете смело «сносить» систему и выполнять переустановку (вот инструкция). Это самый надежный и проверенный способ. Возможно, Вы сделали бэкап дисков, и он не пострадал в результате заражения. Такое тоже бывает.
Но как расшифровать поврежденные данные, если копий нет?
- Вручную изменять окончание (расширение) зашифрованных файлов. Лучше этого не делать, если хотите сохранить информацию.
- Напрямую сканировать зараженные файлы антивирусом, удалять их, переименовывать, перемещать в другие папки.
- Переустанавливать ОС в надежде, что всё станет на свои места.
- Использовать непроверенные дешифраторы.
- Платить деньги злоумышленникам за расшифровку (это, конечно же, Ваше решение, но я бы не советовал так поступать).
Рекомендую:
- Скачать Decryptor от Касперского (ссылка). Он разработан для подбора оптимального алгоритма дешифрования.
- Указать в настройках (Change parameters) путь к одному из файлов, которые хотите вылечить).
- Запустить сканирование кликом по большой кнопке с надписью «Start scan».
- Дождаться завершения сканирования, при этом ПК лучше не трогать (не пользоваться им, не запускать другие программы, браузеры, игры).
Также, советую обратиться в службу поддержки Вашего антивируса. Контакты можно найти или на официальном сайте, или в разделе «Справка» (Help). Таким образом, Вы поможете лаборатории ускорить процесс создания «лекарства».
Хотелось бы, чтобы моя статья оказалась для Вас полезной. А лучше вообще не оказываться в подобных ситуациях.
Жду Ваши комментарии с отзывами, пожеланиями и вопросами. Обязательно отвечу всем!