AMBA вірус шифрувальник – ділимося досвідом

628

Здрастуйте, дорогі мої читачі. Не хочу, щоб Ви повторювали чужі помилки і стикалися з такою проблемою, як AMBA вірус. Багато завалені форуми питаннями про способи його усунення. Але ситуація залишається вкрай скрутною. У даній статті я підкажу, як уникнути зараження і спробувати вилікувати систему.

  • Вирішуємо проблему з XBTL вірусом
  • Огляд і можливості німецького антивіруса Avira
  • Глибока перевірка на віруси в Junkware Removal Tool
  • Новий вірус навис над користувачами Apple
  • Антивірус у Вашій кишені — Virus Removal

На щастя, мені не доводилося особисто стикатися з подібною бідою, але судячи з усього, багато хто намагається позбутися від цього вірусу.

ЗМІСТ СТАТТІ:

  • Суть проблеми
    • Способи зараження
  • Як видалити вірус?
    • Зупиняємо процес шифрування
    • Повна перевірка антивірусом
    • Відновлення пошкоджених файлів

Суть проблеми

Троян-шифрувальник дає про себе знати повідомленням, яке з’являється на робочому столі. Приблизний зміст його такий:

Лист від вірусу
«Ваша система була атакована небезпечним вірусом. Важлива інформація (зображення, документи, БД і резервні копії) зашифрована. Всі уражені файли отримали закінчення «AMBA» (розширення). Не рекомендуємо змінювати щось вручну або використовувати сторонній софт для розшифровування, інакше ризикуєте втратити дані назавжди. Для отримання дешифратора надішліть листа на адреси: [email protected] і [email protected].

У тілі листа додайте вміст файлу «readme.txt», який Ви знайдете на всіх дисках. Або вставте цей код: (вказаний унікальний ідентифікатор).

Якщо по закінченню трьох годин відповіді не послідувало, напишіть нам ще раз.

Чекайте на подальші інструкції».

«Ваша система була атакована небезпечним вірусом. Важлива інформація (зображення, документи, БД і резервні копії) зашифрована. Всі уражені файли отримали закінчення «AMBA» (розширення). Не рекомендуємо змінювати щось вручну або використовувати сторонній софт для розшифровування, інакше ризикуєте втратити дані назавжди. Для отримання дешифратора надішліть листа на адреси: [email protected] і [email protected].

У тілі листа додайте вміст файлу «readme.txt», який Ви знайдете на всіх дисках. Або вставте цей код: (вказаний унікальний ідентифікатор).

Якщо по закінченню трьох годин відповіді не послідувало, напишіть нам ще раз.

Чекайте на подальші інструкції».

Ось такі листи отримують ні в чому неповинні користувачі. Далі їм пропонують заплатити кругленьку суму (від 2000 рублів), щоб отримати утиліту для розшифровки.

Розробників антивірусного ПО відома ця проблема, і кожен по-різному підходить до її розв’язання. Далі в статті я розповім докладніше про це.

Які файли найчастіше потрапляють у зону ризику? Ось перелік «улюблених» форматів вірусу:

  • jpg, txt, rtf, doc, xls, zip

Як бачимо, троян вражає документи MS Office і архіви, що вкрай неприємно не тільки для офісних ПК, але і для звичайних домашніх комп’ютерів. Деякі «жертви» стверджують, що постраждали навіть бази даних програми 1С (бухгалтерія, підприємство).

Заражені елементи перейменовуються в щось подібне:

Имя_файла.id-ххххххх[email protected] (або amba):

Не так давно я розповідав про вірус XLBT, який діє за тим же принципом. Цілком імовірно, що подібні шифрувальники розроблені одними і тими ж хакерами.

Способи зараження

Як не заразитися? Що робити, а чого краще не робити? Зараз я відповім на ці питання.

  • Дуже часто працівники різних компаній отримують листи з податкової інспекції або інших контролюючих органів. В темі може бути зазначено «Термінове повідомлення» або щось в цьому роді. Користувач відкриває такий e-mail, викачує прикріплений файл і запускає його. Так вірус потрапляє в систему.
  • Або інша ситуація. У соціальній мережі приходить повідомлення від знайомого (чий аккаунт, швидше за все, зламали), в якому є посилання і заманює текст (типу, «подивися, що я знайшов на цьому сайті). Перехід на вказаний сайт і БУМ! Зараження!
  • Третій випадок найпоширеніший. Ви завантажуєте з невідомого сайту архів (або exe файл), після запуску якого активується криптор (Cryptor).

З усього вищесказаного можна зробити три простих висновки:

  • Не відкривайте сумнівні листи.
  • Не завантажуйте файли з підозрілих сайтів.
  • Не переходьте за дивним посиланнях.
  • А краще встановити хороший антивірус, який буде підтримувати перевірку посилань, листів і файли перед відкриттям. Поки такий рівень захисту забезпечує тільки Kaspersky і Dr. Web.

    Як видалити вірус?

    Заковика полягає в тому, що усунути троян не складе особливої праці. А ось відновити файли, які зашифрував шкідливий скрипт, навряд чи вийде (вірогідність дуже низька).

    Зараз я розповім, як мінімізувати втрати. Готові?

    Зупиняємо процес шифрування

    Зробити це можна за допомогою диспетчера завдань, який запускається натисканням комбінації Ctrl + Esc + Shift». У переліку процесів шукаємо елемент, який споживає системні ресурси, створює навантаження на ЦП):

    Точну його назву підказати не можу, але якщо в чомусь сумніваєтеся, то краще спитайте в Гугла або Яндекса, щоб випадково не «грохнути» системний процес.

    Після зупинки служби криптування Ви врятуєте частина файлів, на які був націлений вірус. Але це лише початок боротьби.

    Повна перевірка антивірусом

    Слід якомога швидше запустити тотальне сканування системи, дисків з використанням встановленого захисного ПЗ. Якщо сумніваєтеся в якості свого антивіруса, то скачайте утиліту Cure It!, яка має обширну базу визначень загроз і оновлюється майже кожен день.

    AMBA вірус шифрувальник – ділимося досвідом

    В якості об’єктів перевірки варто вибрати всі доступні пункти і розділи. Така процедура займе чимало часу і обов’язково усуне вірус.

    Відновлення пошкоджених файлів

    Якщо Ви вважаєте себе людиною передбачливим, постійно робите резервні копії даних і зберігайте їх на зовнішніх дисках або в «хмарі», значить, Вам дуже пощастило. Можете сміливо зносити систему і виконувати переустановлення (ось інструкція). Це самий надійний і перевірений спосіб. Можливо, Ви зробили бекап дисків, і він не постраждав в результаті зараження. Таке теж буває.

    Але як розшифрувати пошкоджені дані, якщо копій немає?

    Категорично заборонено:

    • Вручну змінювати закінчення (розширення) зашифрованих файлів. Краще цього не робити, якщо хочете зберегти інформацію.
    • Безпосередньо сканувати заражені файли антивірусом, видаляти, перейменовувати, переміщувати в інші папки.
    • Перевстановлювати ОС в надії, що все стане на свої місця.
    • Використовувати неперевірені дешифратори.
    • Платити гроші зловмисникам за розшифровку (це, звичайно ж, Ваше рішення, але я б не радив так робити).

    Рекомендую:

    • Скачати Decryptor від Касперського (посилання). Він розроблений для підбору оптимального алгоритму дешифрування.
    • Вказати в налаштуваннях (Change parameters) шлях до одного з файлів, які хочете вилікувати).

    AMBA вірус шифрувальник – ділимося досвідом

    • Запустити сканування кліком по великій кнопці з написом «Start scan».
    • Дочекатися завершення сканування, при цьому ПК краще не чіпати (не користуватися ним, не запускати інші програми, браузери, ігри).

    Також, раджу звернутися в службу підтримки Вашого антивіруса. Контакти можна знайти або на офіційному сайті, або в розділі «Довідка» (Help). Таким чином, Ви допоможете лабораторії прискорити процес створення «ліки».

    Хотілося б, щоб моя стаття була для Вас корисною. А краще взагалі не опинятися в подібних ситуаціях.

    Чекаю на Ваші коментарі з відгуками, побажаннями і питаннями. Обов’язково відповім усім!

    З повагою, Віктор