Как восстановить закодированный файл doc

Обновлено: 07.07.2024

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных !

Вам необходим раздел который посвящен отправке файлов вирлабам для подбора лекарства (от себя посоветую обратиться именно в drweb, они оперативно работают). Отправьте им несколько зашифрованных файлов + ссылку на вредонос + что требовал вымогатель).
Смотреть логи нет смысла, acronis уже все сделал за нас. Что ответит вирлаб опубликуйте, пожалуйста.

kaatmiin

Новый пользователь
DrWeb не помог. А вымогатель ничего потребовать не успел, вирус был удален до полного завершения своей работы. Удалось сохранить процентов 10 фотографий.

thyrex

Это RectorRSA
Без оригинального дешифратора не обойтись. А он в вирлабы так и не попал

kaatmiin

Новый пользователь
Dr Web ответил (зашифрованный и не зашифрованный файлы им посылались):

Файлы зашифровны одним из новых вариантов троянской программы Trojan.Encoder.102
К сожалению, на данный момент у нас нет способа их расшифровать.
Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Cуществует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.102, без их расшифровки
(расшифровка без приватной половины ключевой пары невозможна).
Только некоторых, и только частично.
Фактически такой подход основывается на том, что шифровщик типа Encoder.102 вносит в файл относительно немного изменений.
И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.
При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
Особенно актуально для офисных doc/xls , в которых после реконструкции могут измениться данные на первых старницах.
Было написано 100 , а станет 500 - такое запросто может случиться.

В вашем случае нужна новейшая версия te102decrypt (не ниже версии 1.4.3.0)

Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого она надеется выполнить осмысленную попытку восстановления,
будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение
На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл.

В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls
Не более того.

docx/xlsx/pptx эвристическому восстановлению (без полноценной расшифровки) не поддаются.
(я думаю, никакими recovery-утилитами такое не чинится).

С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".

Office 365 ProPlus переименован в Майкрософт 365 корпоративные приложения. Для получения дополнительной информации об этом изменении прочитайте этот блог.

Аннотация

В статье описываются способы выявления поврежденных документов в программе Word 2007 и ее более поздних версиях. Кроме того, в статье содержатся рекомендации по восстановлению текста и данных, содержащихся в выявленных поврежденных документах.

Данная статья рассчитана на начинающих пользователей компьютера и пользователей со средним уровнем подготовки. Для удобства выполнения описанных действий рекомендуется начать с распечатки этой статьи.

Обновление Microsoft Office и Windows

Многие проблемы с программным обеспечением могут быть решены путем обновления программ Microsoft Office и Windows.

Поврежденный документ или проблема с программным обеспечением?

Документ Word может быть поврежден по нескольким причинам, которые помешают вам открыть его. Такое поведение может быть вызвано повреждением документа или шаблона, на котором основан документ. Ниже перечислены некоторые типы такого поведения:

В некоторых случаях повреждение документа не является причиной подобного поведения. Важно определить, поврежден ли документ или проблема связана с программным обеспечением. Для устранения этих факторов выполните следующие действия.

  1. Убедитесь, что подобное поведение не наблюдается при работе с другими документами. Попробуйте открыть другие документы Word, чтобы увидеть, возникает ли та же проблема. Если они открываются правильно, то проблема может быть с документом Word.
  2. Убедитесь, что подобное поведение не наблюдается при использовании других программ Microsoft Office. Если это так, то проблема может быть с другим приложением или операционной системой.

Если при выполнении какого-либо из этих действий будет выявлено, что проблема заключается не в документе, необходимо устранить проблему с Word, набором Office или установленной на компьютере операционной системе.

Действия при невозможности открытия поврежденного документа

Попробуйте способы в указанном порядке. Если один не работает, попробуйте следующий.

Способ 1. Откройте поврежденный документ в черновом режиме без поврежденных ссылок.

Шаг 1. Настройка Word

  1. Запустите Word.
  2. На вкладке Вид в группе Представления выберите Черновик.
  3. Выберите меню «Файл», затем щелкните Настройки и Дополнительно.
  4. В разделе Отобразить содержимое документа отметьте пункты Использовать шрифт черновика в режимах отображения «Черновик» и «Разметка» и Показывать замещающие рамки рисунков.
  5. Прокрутите вниз до раздела Общее, снимите флажок с Автоматически обновлять связи при открытии, нажмите OK и закройте Word.

Шаг 2. Откройте поврежденный документ

  1. Запустите Word.
  2. Выберите меню «Файл», затем Открыть.
  3. Щелкните поврежденный документ, затем выберите Открыть.

Если документ открыть невозможно, закройте его, затем снова откройте с помощью способа 6 и восстановите документ. В противном случае перейдите к способу 2.

Способ 2: Вставьте документ как файл в новый документ.

Шаг 1. Создание нового документа

Шаг 2. Вставьте поврежденный документ в новый документ

На вкладке Вставка нажмите Вставка объекта, затем выберите Текст из файла.

В диалоговом окне Вставка файла найдите и выберите поврежденный документ. Затем выберите Вставить.

Может потребоваться повторно применить форматирование к последнему разделу нового документа.

Способ 3: Создание ссылки на поврежденный документ

Шаг 1. Создание нового документа

  1. В Word откройте меню Файл, затем выберите Создать.
  2. Выберите Новый документ, затем Создать.
  3. В новом документе введите «Это проверка».
  4. Выберите меню «Файл», затем Сохранить.
  5. Введите «Ссылка спасения», затем Сохранить.

Шаг 2. Создание ссылки

  1. Выберите текст, введенный на шаге 1-3.
  2. На вкладке Главная в группе Буфер обмена щелкните Копировать.
  3. Выберите меню «Файл», затем Создать.
  4. Выберите Новый документ, затем Создать.
  5. На вкладке Главная в группе Буфер обмена щелкните стрелку рядом с кнопкой Вставить, затем выберите Специальная вставка.
  6. Щелкните Вставить связь, затем Форматированный текст (RTF).
  7. Нажмите OK.

Шаг 3. Изменение ссылки на поврежденный документ

Щелкните связанный текст правой кнопкой мыши, выберите команду Объект связанного документа, затем Связи.

В диалоговом окне Связи выберите имя файла связанного документа и нажмите Изменить источник.

В диалоговом окне Изменить источник выберите документ, который не удается открыть, и нажмите Открыть.

Нажмите OK, чтобы закрыть диалоговое окно Связи.

В новом документе должны появиться сведения из поврежденного документа, если в нем находились данные или текст, которые можно было восстановить.

Щелкните связанный текст правой кнопкой мыши, выберите Объект связанного документа, затем Связи.

В диалоговом окне Связи нажмите кнопку Разорвать связь.

Способ 4: Использовать конвертер «Восстановление текста из любого файла»

У конвертера "Восстановление текста из любого файла" есть свои ограничения. Например, он не сохраняет форматирование документа. Кроме того, теряются все нетекстовые данные (рисунки, поля, графические объекты и прочие элементы). Поэтому верхние и нижние колонтитулы, сноски и текст полей сохраняются в виде обычного текста.

  1. В Word откройте меню «Файл», затем Открыть.
  2. В поле Тип файлов выберите Восстановление текста из любого файла(.).
  3. Выберите документ, текст которого необходимо восстановить.
  4. Выберите Открыть.

После восстановления документа с помощью конвертера «Восстановление текста из любого файла» некоторые двоичные данные не преобразовались. В основном это текст начала и конца документа. Необходимо удалить эти двоичные данные перед сохранения файла в качестве документа Word.

В пользовательском интерфейсе Word 2007 отсутствует кнопка «Файл». Вместо нее используйте кнопку Office и затем выполняйте необходимые указания.

Действия по устранению проблем, если поврежденный документ можно открыть

Способ 1. Скопируйте все содержимое, за исключением последнего знака абзаца, в новый документ.

Шаг 1. Создайте новый документ

  1. В Word откройте меню Файл на ленте и выберите пункт Создать.
  2. Выберите Новый документ, затем Создать.

Шаг 2. Откройте поврежденный документ

  1. Выберите меню «Файл» на ленте и выберите пункт Открыть.
  2. Щелкните поврежденный документ, затем выберите Открыть.

Шаг 3. Скопируйте содержимое документа и вставьте его в новый документ

Если документ содержит разрывы разделов, копируйте только текст между разрывами. Разрывы разделов не следует копировать, так как они могут повредить новый документ. При копировании и вставке между документами необходимо изменить вид документа на черновой режим, чтобы избежать переноса разрывов разделов. Для перехода в черновой режим на вкладке Вид в группе Представления документа щелкните Черновик.

  1. В поврежденном документе нажмите сочетание клавиш CTRL+END, затем нажмите сочетание клавиш CTRL+SHIFT+HOME.
  2. На вкладке Главная в группе Буфер обмена щелкните Копировать.
  3. На вкладке Вид в группе Окно щелкните Переключение окон.
  4. Щелкните новый документ, созданный в шаге 1.
  5. На вкладке Главная в группе Буфер обмена щелкните Вставить.

Если неисправность сохраняется, перейдите к способу 8.

Способ 2: Замените используемый документом шаблон

Шаг 1. Определите используемый документом шаблон

  1. Откройте поврежденный документ в приложении Word.
  2. Выберите меню «Файл» на ленте и выберите пункт Параметры.
  3. Выберите пункт Надстройки.
  4. В окне Управление щелкните Шаблоны в области Просмотр и управление надстройками Office.
  5. Выберите Выполнить. В окне Шаблон документа появится список шаблонов документа. Если отображенные шаблоны помечены как Обычный, перейдите к шагу 2. В противном случае перейдите к выполнению действия 3.

Шаг 2. Переименуйте общий шаблон (Normal.dotm)

  1. Закройте приложение Word.
  2. Нажмите Пуск.
  3. В своей операционной системе найдите normal.dotm. Этот шаблон обычно находится здесь: %userprofile%\appdata\roaming\microsoft\templates
  4. Щелкните правой кнопкой файл Normal.dotm и выберите Переименовать.
  5. Введите «Oldword.old» и нажмите клавишу ВВОД.
  6. Закройте проводник.
  7. Запустите приложение Word и откройте документ.

Шаг 3. Измените шаблон документа

Шаг 4. Проверьте изменение шаблонов.

  1. Запустите Word.
  2. Выберите меню «Файл» на ленте и выберите пункт Параметры.
  3. Щелкните поврежденный документ, затем выберите Открыть.

Если неисправность сохраняется, перейдите к способу 3.

Способ 3: Запустите программу Word с параметрами по умолчанию.

Для запуска Word с параметрами по умолчанию вы можете использовать параметр командной строки /a. При использовании параметра /a Word не загружает никакие надстройки. Кроме того, Word не использует имеющийся шаблон Normal.dotm. Перезапустите Word с помощью параметра /a.

Вариант 1. Запуск Word с параметром /a

Закройте приложение Word.

Нажмите Пуск и выберите пункт «Выполнить». В диалоговом окне «Выполнить» введите:

Этап 2. Открытие документа

  1. В Word откройте меню «Файл» на ленте и выберите пункт Открыть.
  2. Щелкните поврежденный документ, затем выберите Открыть.

Если неисправность сохраняется, перейдите к способу 4.

Способ 4: Изменение драйверов принтера.

Шаг 1. Попробуйте заменить драйвер принтера

  1. Найдите в вашей операционной системе меню «Устройства и принтеры».
  2. Нажмите Установка принтера.
  3. В диалоговом окне Установка принтера щелкните Добавить локальный принтер.
  4. Выберите Использовать существующий порт и нажмите кнопку Далее.
  5. В списке Изготовитель выберите Microsoft.
  6. Выберите Средство записи XPS-документов Microsoft и нажмите кнопку Далее.
  7. Выберите пункт Использовать уже установленный драйвер (рекомендуется) и нажмите кнопку Далее.
  8. Установите флажок Использовать в качестве принтера по умолчанию и нажмите кнопку Далее.
  9. Выберите Готово.

Шаг 2. Убедитесь, что изменение драйверов принтера привело к разрешению проблемы

  1. Запустите Word.
  2. Выберите меню «Файл» на ленте и выберите пункт Открыть.
  3. Щелкните поврежденный документ, затем выберите Открыть.

Если странное поведение не было устранено, перейдите к шагу 3.

Шаг 3. Переустановите исходный драйвер принтера.

Windows 10 и Windows 7

В своей операционной системе найдите «Принтеры».

Щелкните правой кнопкой мыши значок принтера по умолчанию и выберите команду Удалить.

Если система запросит пароль администратора или подтверждение, введите пароль или нажмите кнопку Продолжить.

Если будет предложено удалить все файлы, связанные с принтером, нажмите кнопку Да.

Щелкните Добавить принтер или сканер и следуйте инструкциям Мастера установки принтера для переустановки драйвера принтера.

Шаг 4. Убедитесь, что изменение драйверов принтера привело к разрешению проблемы

  1. Запустите Word.
  2. Выберите меню «Файл» на ленте и выберите пункт Открыть.
  3. Щелкните поврежденный документ, затем выберите Открыть.

Если неисправность сохраняется, перейдите к способу 5.

Способ 5. Попытка принудительного восстановления файла в Word.

Шаг 1. Восстановление документа

В Word откройте меню «Файл» на ленте и выберите пункт Открыть.

  1. В диалоговом окне Открыть выберите нужный документ Word.
  2. Щелкните стрелку рядом с кнопкой Открыть и выберите команду Открыть и восстановить.

Шаг 2. Убедитесь, что восстановление документа привело к разрешению проблемы

Убедитесь, что странное поведение больше не возникает. Если неисправность сохраняется, перезагрузите Windows и перейдите к способу 6.

Способ 6. Изменение формата документа с последующим преобразованием документа обратно в формат Word.

Шаг 1. Откройте документ

  1. Запустите Word.
  2. Выберите меню «Файл» на ленте и выберите пункт Открыть.
  3. Щелкните поврежденный документ, затем выберите Открыть.

Шаг 2. Сохраните документ в другом формате

  1. Откройте меню «Файл» на ленте и выберите пункт Сохранить как.
  2. Выберите Другие форматы.
  3. В списке Сохранение файла выберите Rich Text Format (*.rtf).
  4. Выберите Сохранить.
  5. Откройте меню «Файл» на ленте и выберите пункт Закрыть.

Шаг 3. Откройте документ, затем сконвертируйте его обратно в формат Word

  1. В Word выберите Файл, затем Открыть.
  2. Щелкните конвертированный документ, затем выберите Открыть.
  3. Выберите Файл, затем команду Сохранить как.
  4. Выберите Документ Word в поле Сохранить как.
  5. Переименуйте файл и нажмите Сохранить.

Шаг 4. Убедитесь, что конвертация формата файла решила проблему

Убедитесь, что странное поведение больше не возникает. Если проблема не устранена, попробуйте сохранить файл в другом формате. Повторите шаги 1 – 4, затем попробуйте сохранить файл в других форматах в следующем порядке:

  • Веб-страница (.htm; .html)
  • в любом другом формате обработки текста;
  • в формате обычного текста (TXT).

При сохранении файлов в формате Обычный текст (.txt) вы можете устранить повреждение документа. Однако все форматирование документа, все макросы и рисунки при этом теряются. При сохранении файлов в формате обычного текста (.txt) необходимо повторно форматировать документ. Поэтому формат Обычный текст (.txt) необходимо использовать только в том случае, если другие форматы не разрешают проблему.

Если неисправность сохраняется, перейдите к способу 7.

Способ 7. Скопируйте неповрежденные части поврежденного документа в новый документ.

Шаг 1. Создайте новый документ

  1. В Word выберите Файл и щелкните пункт Создать.
  2. Выберите Новый документ, затем Создать.

Шаг 2. Откройте поврежденный документ

  1. Выберите Файл, затем Открыть.
  2. Щелкните поврежденный документ, затем выберите Открыть.

Шаг 3. Скопируйте неповрежденные части поврежденного документа, а затем вставьте их в новый документ

Если документ содержит разрывы разделов, копируйте только текст между разрывами. Разрывы разделов не следует копировать, так как они могут повредить новый документ. При копировании и вставке между документами необходимо изменить вид документа на черновой режим, чтобы избежать переноса разрывов разделов. Для перехода в черновой режим на вкладке Вид в группе Представления документа щелкните Черновик.

  1. В поврежденном документе найдите и выделите неповрежденню часть содержания документа.
  2. На вкладке Главная в группе Буфер обмена щелкните Копировать.
  3. На вкладке Вид в группе Окно щелкните Переключение окон.
  4. Щелкните новый документ, созданный в шаге 1.
  5. На вкладке Главная в группе Буфер обмена щелкните Вставить.
  6. Повторите шаги 3a – 3e для всех неповрежденных частей документа. Необходимо воссоздать поврежденные части документа.

Способ 8. Переключите представление документа и удалите поврежденное содержимое

В обрезанных документах, в которых отображаются не все страницы, можно переключить представление и удалить поврежденное содержимое.

Определите номер страницы с поврежденным содержимым, из-за которого документ обрезается.

  1. В Word выберите Файл, затем Открыть.
  2. Щелкните поврежденный документ, затем выберите Открыть.
  3. Прокрутите документ до той страницы, после которой он обрезается. Запомните содержимое этой страницы.

Переключите представление документа и удалите поврежденное содержимое.

  1. На вкладке Вид в группе Представления документа выберите элемент Веб-документ или Черновик.
  2. Прокрутите документ и найдите содержимое, после которого он обрезается.
  3. Выделите и удалите следующий абзац, таблицу или объект.
  4. На вкладке Вид в группе Представления документа выберите элемент Режим разметки. Переключайте представления и удаляйте содержимое до тех пор, пока документ не отобразится в полном виде в представлении Режим разметки.
  5. Сохраните документ.

Способ 9: Откройте документ с помощью блокнота

Если документ поврежден и ни один из предыдущих способов не работает, попробуйте восстановить его содержимое, открыв документ с помощью блокнота.

Используя этот метод, вы потеряете все форматирование. Целью является восстановление содержимого.

  1. Найдите поврежденный документ с помощью проводника Windows.
  2. Щелкните документ правой кнопкой мыши и выберите Открыть с помощью.
  3. Выберите Блокнот:

Снимок экрана при открытии документа Word в блокноте.

Документ откроется в Блокноте с дополнительным кодом и текстом вокруг содержимого.

Возможно, вам придется изменить тип файла с Текстовые документы (.txt) на Все файлы (.*).

Очистите текст, удаляя все или большинство дополнительных знаков.

Выберите Файл, затем Сохранить как. . Переименуйте документ, чтобы гарантировать, что вы не перезаписали поврежденный.

Вернитесь к Word и откройте новый документ. Как только документ открыт в Word, вы можете очистить его и попытаться повторно применить утерянный формат.

Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.

Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:

1. Запустите антивирус или антивирусный сканер для удаления трояна

Запустите антивирус или антивирусный сканер для удаления трояна

Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.

Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.

Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.

Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.

2. Попробуйте расшифровать файлы с помощью бесплатных утилит

Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.

“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.

Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:

Как удалить шифровальщики и восстановить данные – Crypto Sheriff

Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.

Инструменты дешифрования

Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:

Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!

Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.

Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:

  • Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
  • Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
  • Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.

Как восстановить данные – Philadelphia

Как восстановить данные – Philadelphia

  • После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.

Как восстановить данные – Philadelphia

Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.

Если есть резервная копия: очистите систему и восстановите бэкап

Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.

Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.

Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.

Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.

crypt virus

Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.

Способы восстановления зашифрованных файлов бесплатно

Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.

Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем форуме.

1. Удалить вирус-шифровальщик

Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool

Скачайте программу Kaspersky Virus Removal Tool. После окончания загрузки запустите скачанный файл.

KVRT

Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.

KVRT проверяет компьютер

Дождитесь окончания этого процесса и удалите найденных зловредов.

1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware

Скачайте программу Malwarebytes Anti-malware. После окончания загрузки запустите скачанный файл.

malwarebytes anti-malware

Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.

malwarebytes_anti-malware

Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.

malwarebytes anti-malware

Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.

malwarebytes anti-malware результаты сканирования

Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

2. Восстановить зашифрованные файлы используя ShadowExplorer

Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.

shadowexplorer

Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.

shadowexplorer

Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.

shadowexplorer

И последнее, выберите папку в которую будет скопирован восстановленный файл.

3. Восстановить зашифрованные файлы используя PhotoRec

PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.

QPhotoRec каталог

В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.

QPhotoRec

В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.

QPhotoRec

По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.

QPhotoRec

Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.

QPhotoRec

В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

Комментарии

Скажите, а если на флешке зашифрованны Файлы, можно также восстановить?

Доброго времени суток. подскажите пожалуйста как восстановить файлы зараженные вирусом ZATROV.вирус удален .на компьютере переустановили винду т.к. уж очень тормозил комп. есть ли шанс восстановления фото/видео?Спасибо заранее

Распакуйте скачанный файл и запустите STOPDecrypter с правами администратора (для этого кликните по файлу правой клавишей и выберите соответствующий пункт). В главном окне программы выберите папку с зашифрованными файлами и нажмите кнопку Decrypt. Если STOPDecrypter не помог вам расшифровать файлы, то у вас есть шанс вернуть ваши файлы используя шаги, которые приведены выше (использовать ShadowExplorer и PhotoRec).

Валерий, спасибо вам за информацию. Подцепила domn вирус. Восстанавливаю свои фотографии с помощью PhotoRec.

Доброго времени суток. Расширение файлов стало .wiki Кто-нибудь знает, что с этим можно сделать?

Egor, это новая версия вируса, который относится к группе Dharma. На настоящий момент, расшифровать такие файлы нельзя. Попробуйте восстановить их исходное состояние, используя выше приведенную инструкцию.

Валерий, добрый вечер!

Подскажите, а Вы сталкивались с вирусом, который добавляет к файлам Monkey865qqZ?
Ест ли возможность восстановить такие файлы?

Anna, а требование о выкупе было? Выложите его здесь, или создайте новую тему на нашем форуме.

Читайте также: