Как избавиться от шифровальщика CoinVault и восстановить свои файлы

Новости Угрозы

В большинстве случаев если вы стали жертвой шифровальщика, то сделать ничего нельзя — зашифрованные вымогателем файлы без ключа не восстановишь. К счастью, время от времени полиция и компании, занимающиеся ИТ-безопасностью, берут под контроль управляющие серверы того или иного шифровальщика. Полученная информация позволяет создать инструмент, восстанавливающий файлы пострадавших пользователей. Подобный дешифровщик «Лаборатория Касперского» и киберполиция Нидерландов создали для жертв шифровальщика CoinVault.

Как избавиться от шифровальщика CoinVault и восстановить свои файлы

Если вы хотите узнать больше про сам шифровальщик CoinVault, то у нас есть детальный отчет на Securelist — исследователи «Касперского» следят за деятельностью этого зловреда уже много месяцев. Если вам интересно, как наши эксперты создавали инструмент для восстановления файлов, то опять-таки у нас есть подробный пост в блоге. Здесь же мы расскажем о том, как избавиться от заразы и восстановить похищенные CoinVault файлы.

Шаг 1. Убедитесь, что ваш компьютер заражен именно CoinVault

Первым делом следует убедиться, что ваши файлы зашифровал именно CoinVault, а не какой-нибудь другой шифровальщик-вымогатель, которых существует великое множество. Сделать это довольно просто: если ваш компьютер заражен CoinVault, то вы должны видеть такую картинку:

Как избавиться от шифровальщика CoinVault и восстановить свои файлы

Шаг 2. Сохраните адрес кошелька Bitcoin

Найдите в правом нижнем углу окна CoinVault строку «Адрес кошелька Bitcoin» (Bitcoin wallet address). На приведенной выше картинке она выделена черным. Сохраните или запишите этот адрес — это очень важно.

Шаг 3. Сохраните список зашифрованных файлов

В верхнем левом углу окна найдите кнопку «Показать список зашифрованных файлов» (View encrypted filelist), на нашем скриншоте она выделена голубым. Нажмите эту кнопку и сохраните список в файл.

Шаг 4. Удалите CoinVault

Перейдите на https://kas.pr/kismd-cvault и загрузите пробную версию Kaspersky Internet Security. Установите ее и удалите CoinVault с вашего компьютера. Обязательно убедитесь, что вы сохранили все данные, полученные на шагах 2 и 3.

Шаг 5. Проверьте свой адрес на https://noransom.kaspersky.com

На https://noransom.kaspersky.com необходимо ввести адрес кошелька Bitcoin, который вы узнали на втором шаге. Если этот адрес входит в список известных нашему дешифровщику, то на экране появятся IV и Key. В некоторых случаях могут появиться несколько пар IV + Key. Обязательно сохраните все пары, они понадобятся на следующих этапах.

Как избавиться от шифровальщика CoinVault и восстановить свои файлы

Шаг 6. Загрузите программу-дешифровщик

Загрузите дешифровщик на странице https://noransom.kaspersky.com и запустите его. Если вы получите сообщение об ошибке, то выполните шаг 7. Если программа нормально запускается, то пропустите шаг 7 и перейдите сразу к шагу 8.

Как избавиться от шифровальщика CoinVault и восстановить свои файлы

Шаг 7. Загрузите и установите дополнительные библиотеки

Перейдите по ссылке http://www.microsoft.com/en-us/download/details.aspx?id=40779 и следуйте приведенным инструкциям. После этого установите нашу программу.

Шаг 8. Запустите дешифровщик

После запуска должно появиться вот такое окно:

Как избавиться от шифровальщика CoinVault и восстановить свои файлы

Шаг 9. Проверьте, корректно ли работает дешифровка

При первом запуске дешифровщика мы советуем для начала проверить, все ли работает как следует. Для этого сделайте следующее:

  • Нажмите кнопку «Выбрать файл» (Select file) в поле «Дешифровка одного файла» (Single File Decryption) и выберите тот файл, на котором вы хотите провести проверку.
  • Введите полученный на нашей странице IV в соответствующее поле.
  • Введите полученный на нашей странице Key в соответствующее поле.
  • Нажмите кнопку «Start».

Найдите восстановленный файл и убедитесь, что он восстановлен корректно.

Шаг 10. Восстановите все файлы, зашифрованные CoinVault

Если на прошлом этапе все прошло нормально, вы можете восстановить все оставшиеся файлы одним махом. Для этого выберите список файлов, полученный на шаге 3, введите Key и IV и нажмите кнопку «Start». Чтобы избежать путаницы в папках, вы можете выделить опцию «Заменить зашифрованные файлы восстановленными» (Overwrite encrypted file with decrypted contents).

Если на шаге 5 вы получили несколько пар Key + IV, то действовать следует осторожно. На данный момент мы не уверены на 100%, почему так происходит. В этом случае мы рекомендуем не выбирать опцию «Заменить зашифрованные файлы восстановленными». Если какие-то файлы не будут восстановлены корректно, вы можете попробовать восстановить их, используя другие пары Key + IV из полученных вами.

Если на шаге 5 вы не получили IV и Key, то вам следует подождать и еще раз проверить адрес кошелька Bitcoin на странице https://noransom.kaspersky.com. Расследование продолжается, и, как только новые ключи становятся доступны, мы добавляем их в нашу базу.