Антивирусная компания «Доктор Веб» борется с программами-шифровальщиками: в некоторых случаях зашифрованные троянцем файлы можно восстановить. Это касается и энкодера, известного под именем CryptXXX, — специалисты «Доктор Веб» могут расшифровать поврежденные этим троянцем файлы, если они были зашифрованы до начала июня 2016 года.
Вредоносная программа Trojan.Encoder.4393, также известная под именем CryptXXX, является типичным представителем многочисленной группы троянцев-энкодеров. Этот шифровальщик имеет несколько версий и распространяется злоумышленниками по всему миру. С целью увеличить прибыль от своей незаконной деятельности вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям троянца. Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников. Зашифрованные троянцем файлы получают расширение .crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.
Если вы стали жертвой этой вредоносной программы, и файлы на вашем компьютере были зашифрованы до начала июня 2016 года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов и в значительной степени — от действий самого пользователя.
«Доктор Веб» советует не удалять какие-либо файлы с компьютера и не переустанавливать операционную систему, а также не пользоватьсяь зараженным ПК до получения инструкций от службы технической поддержки компании «Доктор Веб»; не предпринимать каких-либо действий по лечению или удалению обнаруженных вредоносных программ — они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов и постараться припомнить как можно больше информации об обстоятельствах заражения: это касается полученных по электронной почте подозрительных писем, скачанных из интернета программ, посещенных сайтов. А если сохранилось письмо с вложением, после открытия которого файлы на компьютере оказались зашифрованными, не нужно удалять его: это письмо должно помочь специалистам определить версию троянца.
