Как-то давно (более полугода назад) пришло письмо на почту от какой-то там компании, как оказалось — фейковой. Текст письма не помню, но во вложении был архив. По неосторожности я его скачал, внутри был файл с расширением exe. Потом какая-то неведомая сила меня толкнула его запустить. Запустил, ничего не открылось и не произошло вообще ничего (так мне казалось на тот момент). Спустя некоторое время мне понадобился один старый документ и я полез за ним на диск. Как же я был удивлен, когда увидел вместо моих документов кучу файлов вида «nevxj0xB0Kp3fcDlo6hleQbMTX8MGheTYUNBRgJ3ZwzzpcLd5gGto7XZ68o
pFEw4F52FEB484FB9F27E33AB.breaking_bad«.
Оригинальных же документов, естественно, что не было. Так произошло со всеми файлами на всех дисках, кроме системного (до сих пор не знаю почему). Позже до меня дошло, что подцепил «вирус», который зашифровал мои документы, изображения, музыкальные файлы, видео файлы в файлы с расширением breaking_bad. Как же я был опечален, ведь там фото 10-летней давности были, любимые фильмы, сериалы, музыка и так далее. И некоторые из них мне были нужны прямо сейчас. Так же в корне каждого диска я заметил кучу файлов readme.txt, которые содержали текст:
Естественно, что они бы потребовали за это кругленькую сумму. Деньги не было желания никакого отдавать злоумышленникам, потому решил самолично разобраться с этим. Маленькое уточнение — на момент шифрования на ПК отсутствовал вообще какой-либо антивирь и фаервол. И так, что я предпринимал.
Простой вариант переименовывания со сменой расширения вообще не дал никакого результата. Далее решил скачать лечащую утилиту drweb cureit. Прогнал ее по системе — та нашла пару десятков троянов и на этом всё. Шифрованные файлы такими и остались. Любые другие антивирусы не дали вообще никакого результата. На просторах интернета нашел информацию от «коллег» по несчастью с такими же признаками заражения. Многим удалось решить проблему при помощи сотрудников от компании Касперского, Dr Web, но для этого нужна была лицензия ( которой у меня не было). Попробовал и различные утилиты от «каспера», типа kaspersky rakhnidecryptor и другие — толку ноль. На этом мне надоело и я решил отложить данный вопрос на другое время. И да, переустановка ОС тоже не даст ничего.
Спустя полгода, решил вновь вернутся к этому. Выдался день, когда делать было нечего и я взялся за это. Результат положительный. Теперь же о том как дешифровать breaking_bad.
Для начала, я проверил ПК утилитой AdwCleaner (by ToolsLib):
- Скачать на рабочий стол и запустить от имени администратора.
- Нажать кнопку Scan (Сканировать).
- По окончании сканирования, в меню Инструменты —> Настройки отметьте дополнительно Сбросить:
Политики IE
Политики Chrome. - Нажмите кнопку «Cleaning» («Очистка») и ждем окончания удаления.
После этого нужно перегрузить ПК.
Теперь о том, как дешифровать файлы breaking_bad:
- Скачиваем утилиту ShadeDecryptor от Касперского. Распаковываем архив. Запускаем программу.
- Далее жмем по «Изменить параметры проверки». Здесь выбираем что нужно проверить и ставим галочку напротив пункта «Удалять зашифрованные файлы после успешной проверки».
- Нажимаем «Начать проверку». Далее программа предложит указать путь к любому из зашифрованных файлов. Если утилита не сможет определить идентификатор заражения, она запросит путь к файлу readme.txt. Укажите сей путь.
Далее ждем пока не закончится проверка, наблюдая как расшифровываются файлы (один из самых приятных моментов).
На этом всё. Дешифратор breaking_bad успешно расшифровал практически все мои файлы. Пользуйтесь на здоровье данным методом и на будущее — не скачивайте из интернета неизвестные архивы, файлы, как сделал это я 🙂
С уважением для Вас, Блог свободного человека!