AMBA вирус шифровальщик — делимся опытом

Не хочу, чтобы Вы повторяли чужие ошибки и сталкивались с такой проблемой, как AMBA вирус. Многие форумы завалены вопросами о способах его устранения. Но ситуация остаётся крайне плачевной. В данной статье я подскажу, как избежать заражения и попробовать вылечить систему.

К счастью, мне не приходилось лично сталкиваться с подобной бедой, но судя по всему, многие пытаются избавиться от этого вируса.

СОДЕРЖАНИЕ СТАТЬИ:

Суть проблемы

Троян-шифровальщик даёт о себе знать сообщением, которое появляется на рабочем столе. Примерное его содержание следующее:

Письмо от вируса

«Ваша система была атакована опасным вирусом. Важная информация (изображения, документы, БД и резервные копии) зашифрована. Все пораженные файлы получили окончание «AMBA» (расширение). Не рекомендуем изменять что-то вручную или использовать сторонний софт для дешифрования, иначе рискуете потерять данные навсегда. Для получения дешифратора отправьте письмо на эти адреса: amba@riseup.ne и amba@i2pmail.org.

В теле письма разместите содержимое файла «readme.txt», который Вы найдете на всех дисках. Или вставьте этот код: (указан уникальный идентификатор).

Если по истечению трех часов ответа не последовало, напишите нам еще раз.

Ожидайте дальнейшие инструкции».

Вот такие письма получают ни в чем неповинные пользователи. Далее им предлагают заплатить кругленькую сумму (от 2000 рублей), чтобы получить утилиту для расшифровки.

Разработчикам антивирусного ПО известна данная проблема, и каждый по-разному подходит к её решению. Далее в статье я расскажу подробнее об этом.

Какие файлы чаще всего попадают в зону риска? Вот перечень «любимых» форматов вируса:

jpg, txt, rtf, doc, xls, zip

Как видим, троян поражает документы MS Office и архивы, что крайне неприятно не только для офисных ПК, но и для обычных домашних компьютеров. Некоторые «жертвы» утверждают, что пострадали даже базы данных приложения 1С (бухгалтерия, предприятие).

Зараженные элементы переименовываются в нечто подобное:

Имя_файла.id-ххххххх_support@recovery.cab (или amba):

Не так давно я рассказывал о вирусе XLBT, который действует по тому же принципу. Вполне вероятно, что подобные шифровальщики разработаны одними и теми же хакерами.

Способы заражения

Как не заразиться? Что делать, а чего лучше не предпринимать? Сейчас я отвечу на эти вопросы.

Очень часто работники различных компаний получают письма с налоговой инспекции или других контролирующих органов. В теме может быть указано «Срочное уведомление» или что-то в этом роде. Пользователь открывает такой e-mail, скачивает прикрепленный файл и запускает его. Так вирус попадает в систему.
Или другая ситуация. В социальной сети приходит сообщение от знакомого (чей аккаунт, скорее всего, взломали), в котором присутствует ссылка и завлекающий текст (типа, «посмотри, что я нашел на этом сайте»). Переход на указанный сайт и БУМ! Заражение!
Третий случай самый распространенный. Вы скачиваете с неизвестного сайта архив (или exe файл), после запуска которого активируется криптор (Cryptor).

Из всего вышесказанного можно сделать три простых вывода:

Не открывайте сомнительные письма.
Не скачивайте файлы с подозрительных сайтов.
Не переходите по странным ссылкам.

А лучше установить хороший антивирус, который будет поддерживать проверку ссылок, писем и файлов перед открытием. Пока такой уровень защиты обеспечивает только Kaspersky и Dr. Web.

Как удалить вирус?

Загвоздка кроется в том, что устранить троян не составит особого труда. А вот восстановить файлы, которые зашифровал вредоносный скрипт, вряд ли получиться (вероятность очень низкая).

Сейчас я расскажу, как минимизировать потери. Готовы?

Останавливаем процесс шифрования

Сделать это можно с помощью диспетчера задач, который запускается по нажатию комбинации «Ctrl + Esc + Shift». В перечне процессов ищем элемент, который потребляет системные ресурсы, создает нагрузку на ЦПУ):

Точное его название подсказать не могу, но если в чем-то сомневаетесь, то лучше спросите у Гугла или Яндекса, чтобы случайно не «грохнуть» системный процесс.

После остановки службы криптования Вы спасете часть файлов, на которые был нацелен вирус. Но это только начало борьбы.

Полная проверка антивирусом

Следует как можно быстрее запустить тотальное сканирование системы, дисков с использованием установленного защитного ПО. Если сомневаетесь в качестве своего антивируса, то скачайте утилиту Cure It!, которая имеет обширную базу определений угроз и обновляется почти каждый день.

В качестве объектов проверки стоит выбрать все доступные пункты и разделы. Такая процедура займёт немало времени и обязательно устранит вирус.

Восстановление поврежденных файлов

Если Вы считаете себя человеком предусмотрительным, постоянно делаете резервные копии данных и храните их на внешних дисках или в «облаке», значит Вам очень повезло. Можете смело «сносить» систему и выполнять переустановку (вот инструкция). Это самый надежный и проверенный способ. Возможно, Вы сделали бэкап дисков, и он не пострадал в результате заражения. Такое тоже бывает.

Но как расшифровать поврежденные данные, если копий нет?

Категорически запрещено:

Вручную изменять окончание (расширение) зашифрованных файлов. Лучше этого не делать, если хотите сохранить информацию.
Напрямую сканировать зараженные файлы антивирусом, удалять их, переименовывать, перемещать в другие папки.
Переустанавливать ОС в надежде, что всё станет на свои места.
Использовать непроверенные дешифраторы.
Платить деньги злоумышленникам за расшифровку (это, конечно же, Ваше решение, но я бы не советовал так поступать).

Рекомендую:

Скачать Decryptor от Касперского (ссылка). Он разработан для подбора оптимального алгоритма дешифрования.
Указать в настройках (Change parameters) путь к одному из файлов, которые хотите вылечить).

Запустить сканирование кликом по большой кнопке с надписью «Start scan».
Дождаться завершения сканирования, при этом ПК лучше не трогать (не пользоваться им, не запускать другие программы, браузеры, игры).

Также, советую обратиться в службу поддержки Вашего антивируса. Контакты можно найти или на официальном сайте, или в разделе «Справка» (Help). Таким образом, Вы поможете лаборатории ускорить процесс создания «лекарства».

Хотелось бы, чтобы моя статья оказалась для Вас полезной. А лучше вообще не оказываться в подобных ситуациях.

Жду Ваши комментарии с отзывами, пожеланиями и вопросами. Обязательно отвечу всем!

10.05.2016 6:26 1301

Виктор Фельк

Вам помогло? Поделитесь с друзьями - помогите и нам!

Прямой эфир

Владимир

3 дня назад

Браузер давно не обновлялся, версия его устарела, в нём много дыр из за этого и стрёмно использовать в виду безопасности. Обновится он ещё не скоро и обновится ли? Да, браузер классный. но использовать его уже нельзя.

Браузер Cent — 5 причин, почему он лучший для компьютера

федя

6 дней назад

я не могу зайти сейчас в телеграмм

Почему иногда блокируют номер телефона в Телеграме и как можно снять бан

АМ АМ АМ

АБАЮДНО

Что это такое – Podpiska Paket Moscow RUS и как отключить подписку, если списывает 199 руб

Обиджон

8 дней назад

Хочу отключить

Как отключить подписку на Smart Glocal Kazan RU, если он списывает деньги с карты

Александр

9 дней назад

здравствуйте,а линцезионый ключ есть на бусстер?

Driver Booster Free — бесплатное обновление драйверов, исправление неполадок

Михаил

12 дней назад

Только что Яндекс отказал в предоставлении чека при оплате наличными, посылает к водителю

Как можно получить чек в сервисе Яндекс Такси – инструкция и зачем он нужен

Роман

13 дней назад

Упомянута Xiaomi. Не знаю как у кого, у меня Xiaomi Mi A2 Lite с ноября 2018 года, много раз падал на деревянный (и подобные поверхности) пол, дважды на бетон (с высоты примерно 1,2 метра), работает в штатном режиме и это при том что я не использую чехол, защиту дисплея и т.д. и т.п.. Есть небольшие царапины, потёртости, но в глаза не бросается, правда немного раздражает, что заряда хватает только на день, хотелось бы больше.

Список самых ненадёжных телефонов 2025 года, которые чаще всего попадают в ремонт

Алексей

Смирнов Алексей Валерьевич 28.10.1994

Как найти водительское удостоверение по имени отчеству, фамилии и дате рождения

Stilet2016

16 дней назад

Приветствую! Так ведь после удаления папки под именем «QHAActiveDefense» остается еще 8 папок в этой же директории, смотрите выше, как быть с ними? Оставить или удалить ? Этот 360 тый везде наследил и этого катайца трудно выселить. Тот еще друг в наглую ставит еще и свой браузер, его выпилишь , а он опять лезет.

Как полностью удалить с компьютера с ОС Windows 10 360 Total Security – 4 способа

Андрей

17 дней назад

Проверить водительское удостоверение

РУСЛАНА

ОТПИШИТЕ МЕНЯ ОТ СВОЕЙ ПОДПИСКИ И НЕ СПИСЫВАЙТЕ ДЕНЬГИ.СПАСИБО.

Как отписаться от платных услуг и подписок сервиса Tutorplace – инструкция

20 дней назад

Explorer

Почему при удалении файла на Андроиде выскакивает ошибка и как исправить

ЯНА СОЛЯХ

27 дней назад

И КАК РЕШИТЬ?

Что это Shell Experience Host в системе Windows 10 и как отключить процесс

Alex

Позвонили с номера 1000 от якобы банка ВТБ, с которым у меня никаких дел не было. Предлагали выпуск карты. Звонок не санкционирован. Неоднократный запрет на озвучивание рекламной информации игнорировался. Налицо нарушение закона о рекламе. Однозначно мошенники.

Что за номер 1000 постоянно звонит в Вайбере, как поступить и обезопасить себя

Линуксоид 228

28 дней назад

Ля, вы говорите про Винду, при это показываете Линукс. ОК

Изменения переменных сред в ОС Windows 10, где они находятся и как зайти

1 месяц назад

Остаюсь в потоке последних новостей с Биткоганом. Приложение в этом плане хорошо сделано и продумано. Простотое и надежное Не виснет. Оценка 5/5. Плюс записи эфиров для подписчиков можно посмотреть.

Что это за приложение Bitkogan и для чего оно нужно, как его использовать

Сергей

Попользовался приложением Биткоган. Интересное. Не могу судить активы по типу США или Китая, так как не в зоне моих интересов. Но по российским активам пуши точные. Сейчас активно слежу за Татнефью. Много было слухов, что они перестали давать доходность. Но пока пуши в Биткогане показывают более точную картину.

Елена

Здравствуйте подскажите пожалуйста если 2 мес не заходить в телеграмм удалится ли аккаунт?

Что такое удаленный аккаунт в Телеграме и как деактивировать свой профиль

Аксана

Как отключить подписку смартглокал

Олеся

Поделитесь пожалуйста историей, чем закончилась? У меня аналогичная, списали почти 40 тысяч

Как отменить подписку на ООО «Аб Софт» и почему они списали деньги

Анлдрей

Клутой маделатол, што тут скасать

Что такое Windows To Go и как создать переносную ОС Windows 10 на флешке

ТВОЙ-ИНФОРМАТОР.РУ поиск любых данных

Единственная статья в интернете, написанная без воды:)

Как можно пробить любого человека по номеру его телефона – 7 способов

Ольга

Как вернуть деньги

Как можно отписаться от платных услуг НКО МСС 8999 и свои вернуть деньги

Atrix

Спасибо ребятам давно не мог решить эту проблему теперь это не будет меня раздражать каждый раз когда я запускаю пк, спосибо ещё раз)))

Включение и способы настройки меню автозапуска приложений в ОС Windows 10

карина

здравствуйте,это ваша кл. руководительница Елена Геннадьевна карина, ты очень съехала по учебе! чтоб завтра с бабушкой в школу

Топ-4 лучших пранк-ботов в Телеграме для розыгрыша по телефону бесплатно

Виктор

Отключить подписку

Как можно отключить подписку на сервис SMSPoisk ru – инструкция

Anton Berg

Страшно, очень страшно! Мы не знаем, что это такое, вот если бы мы знали, что это такое, но мы не знаем, что это такое!

Что это за приложение CustCoreApp и нужно ли оно, как его настроить

Ник

Могил Бабы - это серьёзно!!

Что это за приложение Xclub и нужно ли оно, плюсы и минусы, как удалить

Дэн

А чё не ответил?

Как удалить и отключить зарезервированное хранилище в системе Windows 10

Moderator

Пожалуйста. Читайте наши статьи

Как можно восстановить закрытые вкладки в Microsoft Edge – инструкция

Это все в вашем праве. Узнавайте в банках, МФО

Что значит, если от Retail Sol приходят СМС о кредите, и как это отключить

Видимо, достичь возраста 18) И подтвердить потом

Отзывы о сайте знакомств Moi.chat и как можно удалить свою анкету

Сама додумала или сперла у кого? Авторские права не заявила. Такова жизнь

Почему вместо Яндекса открывается Яндекс Дзен и как этого избежать

Увы, универсальных решений не бывает. Попробуйте найти ответ самостоятельно

Как на ноутбуке отключить Fn на клавиатуре

Ну респект вам. И за рекламу сервиса тоже

Что это такое – разделение ответственности по ШК на Вайлдберриз и как быть

Попробуйте отказаться от подписки. В крайнем случае - заблокируйте карту

Зема

Вот я не понимаю, чего ждут эти рекламодатели? Что кто-то клюнет? Ооочень глупая мысль с их стороны. Уже давно никто не покупается на рекламу.

Как отключить и заблокировать рекламу в ВК на телефоне Андроид – способы

Марк

Спасибо огромное🔥

Боже спасибо огромное автору, я уже 100 раз 060$₽@л$R думая что сбросил всю работу за 3 дня

Кристина

2 недели назад мой аккаунт взломали мошенники. Установили облачный пароль и все. Я потеряла доступ к своему же аккаунту...а самое страшное, что я не могу его восстановить через номер телефона. Все попытки восстановить ведут к тому, что я должна ввести облачный пароль...и на жтрм все обрывается. Никогда не думала, что могу оказаться в настолько абсурдно ситуации 😱 а техподдержки нет вовсе! Раз 10 писала куда только можно, но ни ответа, ни привета!!! А аккаунт мой рабочий, файлы, контакты - все утеряно!!!

Как работает служба техподдержки в Телеграме и как написать на горячую линию

Наталья

Я хочу узнать какой я брала кредит 03 2024 года

Ирина

здравствуйте, как отключить инфоурок, он мне не востребован в данное время

Как отменить подписку на портале Инфоурок и вернуть деньги, отзывы

Как продолжить общение на сайте, если у меня не получается подтвердить что мне есть 18 лет

Людмила

Спасибо. Сегодня столкнулась с такой проблемой. Вчера на BW видела всплывающее окно: завтра спишем 313 рублей оплату частями. Я посчитала, что меня это не касается, т.к. не заключала с ними такого соглашения. Посчитала просто рекламой не для меня. Не тут-то было сегодня с меня списали эти 313 руб. Зашла в СБЕР и увидела код списания 7399. Теперь буду решать эту проблему, спасибо вам за информацию.

Почему списали деньги с кодом торговой точки МСС 7399 и что делать

вот еще неплохой бот в телеге для поиска музыки @Music_quickbot часто пользуюсь

Каналы для скачивания музыки в Телеграме и как пользоваться ботами

Впервые в жизни не могу восстановить аккаунт. Ну как так, чтобы нельзя было по номеру телефона свой же аккаунт вернуть? 😨😭

Здравствуйте! У меня уже крик души😱 ну помогите, пожалуйста!!! Несколько дней назад подруга прислала архив фото (как оказалось её взломали), как впоследствии и меня (( потому что я пыталась открыть эту папку. В итоге я потеряла доступ в телеграм, мошенники от моего имени всем пишут, а я ничего не могу сделать, установили облачный пароль. А почту я не привязывать, да и не предлагал телеграм почту привязать при регистрации. А теперь все мои рабочие контакты утеряны...мои чаты. Ну помогите, как быть? Почему при запросе кода на номер телефона, просит приобрести премиум аккаунт на телеграм? Как восстановить свой аккаунт? 🙏🙏🙏

Светлана

Как вы отключили подписку только на компьютере можно это сделать ?

Ефросиний

У меня была проблема с "активным разрешением экрана", кот. не совпадал с "разрешением рабочего стола". Началось после того как я для проверки работоспособности воткнул другой монитор (покруче), потом отключил его и вернул свой старый и началось. Было мыльное изображение на экране, вроде разрешение обычное старое, но как будто в мыле весь экран. Переустановил драйвера с оф сайта Нвидиа (gtx 660), потыкал-перетыкал провода (VGA синенькие), Не помогло ничего. РЕШЕНИЕ. ПКМ-Панель управления Нвидиа - Дисплей- Изменение разрешения (Там частоту поменял со своей 60Гц на 70 Гц (хотя мой моник не поддерживает 70 Гц). После этого экран опять сделелся резким (перестал быть мыльным)!!!!. Вылезло стандартное окошко мелкое, что через 12 сек настройки сбросятся на старые, я нажал ОТМЕНА (вернулся опять к 60 Гц то есть) и все после этого осталось Четким. Зашел проверить в ПКМ-Параметры экрана-Дополнит.настройки дисплея. Там активное разрешение поменялось на старое мое и стало совпадать с Разрешением рабочего стола (короче, проблема решилась). Шаманства, может они только на моем бубне работают))

3 способа изменения не совпадающего активного разрешения сигнала Windows 10

Евгений

Короче 10 нормальная, но вот уже 11 требует 4 Гб, а 12 - и все 8 Гб - что немного напряжно.

Минимальные и максимальные системные требования для 32 и 64 бит Windows 10