25 июля 2016

Как расшифровать файлы, зашифрованные вымогателем Shade

Продукты Советы Угрозы

В прошлом году совместно с полицией Нидерландов мы запустили сайт NoRansom, позволивший жертвам шифровальщика CoinVault бесплатно восстановить свои файлы. Позже мы добавили на этот сайт еще несколько инструментов, которые помогают заполучить обратно файлы, пострадавшие от действий других шифровальщиков — TeslaCrypt, CryptXXX и так далее.

Как расшифровать файлы, зашифрованные вымогателем Shade

Сегодня мы делаем еще один большой шаг в глобальной борьбе с шифровальщиками: в сотрудничестве с полицией Нидерландов, Европолом и Intel Security мы создали ресурс NoMoreRansom.org, на котором планируем собрать максимально полную коллекцию инструментов для восстановления файлов, зашифрованных вымогателями.

И начинаем мы с того, что к набору ранее существовавших утилит добавляем новое «лекарство» — оно поможет пользователям, пострадавшим от шифровальщика Shade.

Шифровальщик-вымогатель Shade

Shade — семейство вымогателей, появившееся в начале 2015 года. Троянец попадает на компьютеры пользователей двумя путями: либо как вложение в спам-рассылках, либо с использованием эксплойт-пака. Второй вариант является более опасным, потому что пользователю не надо открывать какие-либо файлы — достаточно зайти на зараженный сайт.

После попадания на компьютер жертвы троянец запрашивает с командного сервера ключ для шифрования файлов либо, если сервер недоступен, использует один из заранее подготовленных ключей. То есть даже отсутствие подключения к Интернету не помешает этому шифровальщику, если он уже попал в систему.

Shade шифрует файлы пользователя — его интересует порядка полутора сотен разных типов файлов, включая офисные документы, картинки и архивы. Имена файлов в процессе тоже шифруются, а в качестве расширения добавляется .xtbl или .ytbl. После завершения зловред выводит на экран уведомление с требованием выкупа.

Как расшифровать файлы, зашифрованные вымогателем Shade

Что дополнительно неприятно, на этом деятельность троянца не заканчивается: уже запросив выкуп, Shade продолжает работать — он загружает на компьютер пользователя еще несколько вредоносных программ.

Расшифровать файлы, зашифрованные Shade, — теперь бесплатно

Если вы стали жертвой вымогателя Shade, теперь вам не придется платить за свои файлы выкуп — у нас есть лекарство. Вот что вам следует сделать:

1. Зайдите на сайт NoMoreRansom.org.

2. Прокрутите страницу вниз, там вы найдете две кнопки для скачивания инструментов дешифровки. Вы можете выбрать декриптор Intel Security или «Лаборатории Касперского» — как вам больше нравится. Дальнейшие инструкции мы приводим для нашего инструмента.

3. Разархивируйте загруженный файл ShadeDecryptor.zip.

4. Запустите ShadeDecryptor.exe и в появившемся диалоге Контроля учетных записей Windows введите пароль администратора и нажмите «Да».

5. В окне запустившегося Kaspersky ShadeDecryptor кликните Change Parameters.

Как расшифровать файлы, зашифрованные вымогателем Shade

6. Выберите в открывшемся окне те диски, на которых утилите следует искать файлы для восстановления.

7. В этом же окне можно выбрать опцию «Удалять зашифрованные файлы после расшифровки» («Delete crypted files after decryption»). Мы НЕ советуем делать это, пока вы не будете на 100% уверены, что файлы нормально восстанавливаются.

Как расшифровать файлы, зашифрованные вымогателем Shade

8. Нажмите ОК, чтобы вернуться к основному экрану. Здесь нажмите Start scan.

Как расшифровать файлы, зашифрованные вымогателем Shade

9. В окне «Specify the path to one of encrypted files» выберите один из зашифрованных вымогателем файлов и нажмите Open.

10. Если утилита не сможет автоматически определить идентификатор жертвы, укажите путь к созданному шифровальщиком файлу readme.txt, содержащему требование выкупа и этот идентификатор.

После этого ShadeDecryptor начнет расшифровку ваших файлов. Чтобы защититься от шифровальщиков в дальнейшем, мы рекомендуем использовать надежное защитное решение, например Kaspersky Internet Security. Дополнительные советы по защите от вымогателей можно найти в этом материале.