Вірус .cbf (вірус-шыфравальшчык): расшыфраваць. пашырэнне .cbf

З 2014 года ў Сеткі з'явілася некалькі новых разнавіднасцяў найноўшых вірусаў-шыфравальшчыкам, падобных іх продку - вірусу пад назвай I Love You. На жаль, CBF-вірус-шыфравальшчык расшыфраваць нават даступнымі спосабамі, прапанаванымі вядучымі распрацоўшчыкамі антывіруснага, ПА сёння не атрымоўваецца. Аднак некаторыя рэкамендацыі па аднаўленні зашыфраванай інфармацыі ўсё ж такі ёсць.

Вірус CBF: аднаго поля ягады

На сённяшні дзень вядома як мінімум тры віруса-вымагальніка. Гэта вірус CBF, а таксама вірусы XTBL і VAULT. Вядуць яны сябе практычна аднолькава, прапаноўваючы пасля зашыфроўкі важных файлаў і дакументаў заплаціць за атрыманне кода, які б змог вырабіць дэшыфраванне дадзеных (як правіла, пасля ўзнікнення паведамленні на маніторы прыходзіць ліст з патрабаваннем аплаты паслуг па расшыфроўцы).

Нажаль, наіўныя юзэры спяшаюцца заплаціць n-ную суму ці нават адпраўляюць прыклады заражаных файлаў зламыснікам. А бо калі разабрацца, такая інфармацыя для многіх кампаній з'яўляецца канфідэнцыяльнай, а пры адпраўцы становіцца здабыткам грамадскасці.

Чым багата пранікненне віруса ў кампутарную сістэму або сетку?

Сам вірус у большасці выпадкаў пранікае ў сістэму праз лісты, якія атрымлівае з дапамогай электроннай пошты, радзей - пры наведванні сумніўных старонак у Сеткі.

Заўважыць з'яўленне пагрозы можа далёка не кожны, нават самы магутны антывірусны пакет. Больш за тое, на самай ранняй стадыі ён не вызначаецца нават партатыўнымі ўтылітамі накшталт Dr. Web Cure It !. Паколькі вірус з'яўляецца самокопирующимся, з часам ён сваімі шчупальцамі захоплівае ўсю сістэму.

Пры першых сімптомах можа адразу ж выявіцца празмерная нагрузка на цэнтральны працэсар, а таксама несанкцыянаванае выкарыстанне аператыўнай памяці. У дадзеным выпадку, напрыклад, пры ўваходзе ў той жа «Дыспетчар задач» можна ўбачыць працэс пад назвай Build.exe. Дарэчы, у асноўны адміністратарскай дырэкторыі або тэчцы бягучага карыстальніка ствараецца раздзел праграмных файлаў x86, у якім прысутнічае папка RarLab, якая змяшчае шуканы файл Build.exe, checkdata.dif і winrar.tmp. Акрамя таго, файл Build з'яўляецца і на «Працоўным стале». Затым у браўзэры, які выкарыстоўваецца для серфінгу па Сусветнай павуціне, могуць з'явіцца карцінкі, якія змяшчаюць порна або спасылкі на сайты эратычнага ўтрымання.

Далей варта заражэнне. Як правіла, пераймяноўваюцца файлы офісных прыкладанняў накшталт Microsoft Excel, Access і Word. Таксама праблемы могуць узнікаць з базамі дадзеных фарматаў .db і .dbf (часцей за ўсё «1С: Бухгалтэрыя». Да асноўнага пашырэнню дадаецца .cbf, але прачытаць (адкрыць) такія файлы магчымым не ўяўляецца, паколькі сам CBF-вірус-шыфравальшчык расшыфраваць заражаныя аб'екты не можа (папросту не ўмее). Як паступіць у гэтым выпадку?

CBF-вірус-шыфравальшчык: як выдаліць і ці варта гэта рабіць?

Па-першае, трэба дакладна разумець, што тут трэба дзейнічаць максімальна карэктна. Калі вірус вызначаецца якім-небудзь праграмным забеспячэннем, яго нельга выдаляць !!! Трэба змясціць пагрозу ў карантын, які прысутнічае практычна ва ўсіх прыкладаннях такога тыпу.

Выдаленне або ачыстка прывядуць толькі да таго, што асноўныя выкананыя элементы знікнуць, але зашыфраваная інфармацыя ўсё роўна будзе нечитабельна. Затое з карантыну можна будзе адправіць файл на праверку ў онлайн-лабараторыю вытворцы устаноўленага антывіруса ў сістэме. Але і гэта працуе далёка не заўсёды.

Як паступіць у найпростым выпадку?

Такім чынам, пашырэнне .cbf вірус файлаў ужо і прыбраў. У залежнасці ад тэрміну дзеяння, можа назірацца некалькі сітуацый: альбо файлы проста зашыфраваныя, альбо блакуецца ўваход у Windows (нават «Працоўны стол» недаступны).

Абмовімся адразу: ні пра якія пералічэння грашовых сродкаў і гаворкі быць не можа. Для пачатку лепш пашукаць базы дадзеных у інтэрнэце з іншага кампутара, якія ўтрымліваюць большасць вядомых кодаў для разблакавання доступу (скарыстацца можна хоць бы падзелам Unlocker на афіцыйным сайце Dr. Web). Праўда, не факт, што такія коды падыдуць. Прыйдзецца лячыць сістэму ўласнаручна.

аднаўленне сістэмы

CBF-вірус расшыфраваць (дакладней, наступствы яго ўздзеяння на файлы), нейкім стандартным спосабам не атрымаецца, бо ў ім прымяняецца алгарытм 1024-бітнага шыфравання. Калі хто не ведае, сёння актуальнай з'яўляецца 256-бітная сістэма AES. Можна паспрабаваць аднавіць зыходныя дадзеныя шляхам звароту да Windows Restore.

Калі ўваход у сістэму магчымы, знайсці гэты раздзел можна ў «Панэлі кіравання» і зрабіць адкат з кантрольнай кропкі, папярэдняй заражэнню. Калі ўваход у Windows блакуецца паведамленнем з патрабаваннем пераліку грошай, можна паспрабаваць некалькі разоў прымусова перазагрузіць кампутарны тэрмінал або наўтбук. Рабіць гэта прыйдзецца да таго часу, пакуль сістэма "не паспее" для аднаўлення ў аўтаматычным рэжыме. Натуральна, можна паспрабаваць выкарыстоўваць аднаўленчы дыск, паспрабаваць вырабляць дзеянні з камандным радком і цалкам перазапісваць загрузныя сектары, хоць шанцаў на поспех мала. Гэта працуе толькі на ранніх стадыях, калі вірус-шыфравальшчык CBF толькі пранік у сістэму або сетку.

Аднаўленне ранейшых версій файлаў

Калі адкат сістэмы не дапамагае, варта скарыстацца адмысловымі магчымасцямі аднаўлення ранейшых версій файлаў, якія закладзены ў саміх АС Windows.

Для гэтага трэба праз «Праваднік» зайсці ў ўласцівасці абранага дыска ці падзелу і выкарыстоўваць ўкладку папярэдніх версій файлаў. Пасля такіх дзеянняў, зноў жа, трэба будзе выбраць кантрольную кропку, затым адкрыць і скапіяваць патрэбныя файлы ў іншае месца. Такі спосаб у многіх выпадках аказваецца больш дзейсным.

выкарыстанне дэшыфратара

Калі разглядаць метады, прапанаваныя распрацоўшчыкамі антывіруснага ПА, пашырэнне CBF-віруса можна паспрабаваць прыбраць пры дапамозе адмысловых прыкладанняў-дэшыфратара (але толькі афіцыйных, а не карыстацкіх распрацовак накшталт дэкодараў незразумелага паходжання).

Аднак адразу варта адзначыць, што яны працуюць толькі пры ўмове наяўнасці ўсталяванай афіцыйнай версіі антывіруснага сканара з адпаведным ліцэнзійным ключом. У адваротным выпадку можна толькі нашкодзіць. Вірус папросту выдаліцца, пасля чаго нават магчымасьці зьвязацца са зламыснікамі не будзе. Тут прыйдзецца займацца паўторнай інсталяцыяй ўсёй сістэмы.

Чаго не варта рабіць ні ў якім разе?

Як ужо зразумела, CBF-вірус-шыфравальшчык расшыфраваць файлы, ім жа і заражаныя, не можа. Асобна варта звярнуць увагу на дзеянні, якія выконваць не рэкамендуецца катэгарычна. Адзначым самыя важныя пункты:

• выкарыстанне дэшыфратара пры ўсталяванай «крэкнутой» версіі антывіруса;
• перайменаванне заражаных файлаў з мэтай змены пашырэння;
• ачыстка кэша і гісторыі браўзэра да адпраўкі падазроных файлаў на аналіз распрацоўніку антывіруснага ПА;
• переустанавка аперацыёнкі без фарматавання дыскаў або лагічных частак;
• адпраўка грошай і файлаў на расшыфроўку невядомым або падазроным крыніцах, напрыклад, на паштовыя адрасы накшталт iizomer@aol.com з нейкай яшчэ прыпіскай.

У цэлым жа трэба дакладна разумець, што CBF-вірус-шыфравальшчык расшыфраваць ўласнымі сіламі проста не атрымаецца. Ужо лепш звярнуцца да афіцыйных сайтаў антывірусных лабараторый накшталт «Касперскага», дзе ў адмысловым раздзеле можна пакінуць праблемныя файлы для аналізу, або адправіць каранцінны файл непасрэдна з праграмы.

Аднак (гэта сцвярджаецца усімі распрацоўшчыкамі) лепш да заражанага файла прыкласці арыгінал, калі такі маецца, скажам, у выглядзе копіі на нейкім арэндаваным носьбіце. У дадзеным выпадку расшыфроўка стане нашмат прасцей, хоць далёка не факт, што патрэбныя карыстачу файлы буду адноўлены.

Як правіла, і гэта пацвярджае большасць водгукаў карыстальнікаў, служба падтрымка звычайна маўчыць вельмі доўга, а калі і расшыфроўвае дадзеныя, гэта тычыцца адзінкавых файлаў. А што рабіць з масівамі ў дзясяткі ці сотні гігабайт? Такі аб'ём нават пры дапамозе адмысловых «хмарных» сэрвісаў адправіць, а тым больш аднавіць, проста нерэальна. Але будзем спадзявацца, што распрацоўнікі ўсё ж такі знойдуць сродак лячэння заражаных файлаў і спосаб процідзеяння пранікненню пагроз гэтага тыпу ў кампутарныя сістэмы і сеткі.