Установить virustotal

Лучшие онлайн-антивирусы

Для проверки всей системы

ESET’s Free Online Scanner

Работа сканера ESET’s Free Online Scanner

Очень мощный и простой сканер от небезызвестной компании ESET. Предназначен не только для удаления классических вирусов, но и потенциально опасного ПО.

F-Secure Online Scanner

F-Secure — вредоносные элементы не найдены

Довольно известный антивирус за рубежом. Для запуска сканирования системы, достаточно скачать и запустить файл размером в 512 КБ! Затем ваша система и память будут автоматически проверены и очищены от вредоносных элементов.

Утилита работает полностью в автоматическом режиме! На мой взгляд, одно из самых быстрых средств проверки ПК: от момента перехода на сайт разработчика, до начала проверки — потребуется не более 10-ка секунд!

HouseCall: Free Online Virus Scan

HouseCall — процесс сканирования системы

Продукт от известнейшего производителя Trend Micro. Позволяет быстро проверить любые диски, флешки, систему, память и т.д. на наличие вредоносных элементов: вирусов, троянов, рекламное ПО.

В настройках можно задать конкретный диск для проверки. Программа после сканирования и очистки вашей системы, полностью автоматически «сворачивается» и не оставляет никаких следов в Windows (что радует). Отмечу очень хорошую эффективность данной утилиты, однозначно рекомендую!

McAfee Security Scan Plus

McAfee — сканирование системы

Очень неплохой продукт от именитого производителя. Позволяет в считанные секунды запустить антивирусную проверку компьютера на наличие вредоносного ПО.

Кроме этого, программа проверит вашу текущую безопасность и сообщит о том, есть ли проблема с вашим текущим антивирусом, правильно ли настроено обновление баз, параметры брандмауэра и пр.

Microsoft Safety Scanner

Выполняется быстрая проверка компьютера в Microsoft Safety Scanner

Это средство по борьбе с вирусами от самой Microsoft. Представляет из себя автономный антивирус. Если у вас есть подозрение на заражение ПК — просто загрузите данное средство и запустите проверку.

Работает оно автономно, подключение к интернету не требуется (однако отмечу, что весит файл программы более 100 МБ! К тому же, через 10 дней необходимо скачивать средство заново, т.к. обновление баз автоматически не предусмотрено).

Для проверки отдельных файлов и URL-адресов

Virustotal

Главное окно Virustotal

Один из самых известных сервисов для быстрой онлайн проверки ссылок и файлов. Самая главная особенность сервиса: проверка ведется сразу десятками антивирусов: AVAST, AVG, AhnLab, Baidu, BitDefender и др. известными продуктами.

Одновременная проверка сразу десятками антивирусов

Максимальный размер загружаемых файлов составляет на сегодняшний день 128 МБ!

Dr.Web Online

Забавные названия у Dr.Web онлайн-антивируса

Онлайн проверка на вирусы подозрительных URL-адресов и файлов продуктом от компании Dr.Web. Кроме этого, доступны специальные расширения для браузеров, которые вовремя вам просигнализируют об опасности в сети.

Отмечу, что в разделе «Файлопатолог» (см. скрин выше), кроме проверки конкретного файла, вы можете загрузить бесплатную лечащую утилиту CureIt! (она легко и быстро может проверить всю вашу систему. Не конфликтует с классическим антивирусом, можно использовать как дополнение к нему).

VirSCAN.org

Главное окно VirSCAN

Онлайн-сервис по безопасности, на котором можно проверить файл сразу несколькими антивирусами: AhnLab, Antiy AVL SDK, Avast, Baidu, Clamav, BitDefender и многими другими (на главной странице сайта указываются все антивирусы, участвующие в проверке, а также актуальную базу обновления).

Максимальный размер загружаемого файла: 20 МБ. Также сервис поддерживает сканирование файлов в архиве в форматах RAR и ZIP. Сервис поддерживает русский язык (необходимо указать в настройках в правом верхнем углу).

Jotti

Эффективная онлайн проверка в Jotti

Jotti — это бесплатный облачный сканер файлов. Позволяет за считанные секунды прогнать файл по базам самых популярных антивирусов: Ad-Aware, eScan, AVG, Dr.Web, Avast, ESET, Kaspersky, VBA32 и др. Очень выручает в тех случаях, когда имеете дело с подозрительными файлами.

Результаты проверки

PS

В рамках этой статьи не могу не порекомендовать  специальные утилиты для удаления рекламного и вредоносного ПО, которое не видят обычные антивирусы.

приветствуются (комментарии открыты).

А у меня пока всё, всем удачи!

Первая публикация: 18.04.2018

Корректировка: 20.10.2020

What’s inside the latest version?

A beautifully intuitive interface, advanced application protection, a new passive mode for running multiple security products in parallel — and a little something for you gamers and movie buffs.

You

But I’m backing up my files to the cloud.

That’s a good habit. But the problem is that the ransomware-encrypted version of your files gets immediately synced with the cloud too…so unless your backup solution stores historical versions of your files, you’re in trouble.

Avoid becoming the victim of digital extortion

Ransomware is quickly becoming one of the most common — and dangerous — types of malware out there. Avast Free Antivirus protects your devices against havoc-wreaking ransomware so you don’t become the victim of digital extortion.

TECH CORNER
Like the name suggests, ransomware is the digital equivalent of a hostage situation. Hackers use ransomware to encrypt the personal files on your computer or phone, preventing you from accessing them until you — you guessed it — pay a ransom.
Avast Free Antivirus blocks ransomware before it can get anywhere near your files — let alone encrypt them. And don’t worry about accessing and using all of your files (documents, photos, etc.) as you normally would; ransomware protection works quietly in the background.

Game or movie time. Now uninterrupted

We’ve renamed Game Mode and taught it some new tricks. Now called Do Not Disturb Mode, it blocks distracting popups whether you’re gaming, watching movies, or presenting in fullscreen.

Плюсы и минусы

Онлайн-антивирус VirusTotal имеет ряд достоинств. Во-первых, утилита не требует инсталляции, это означает, что его можно использовать где угодно, даже там, где инсталляция программного обеспечения запрещена или невозможна. Другое преимущество программы – использование сразу нескольких десятков мощных антивирусных сервисов, базы которых постоянно обновляются. Это гарантирует, что будут обнаружено даже новейшее вредоносное ПО, вирусы, черви или другие опасные файлы.

Помимо преимуществ, у сервиса имеются и недостатки. Так, веб-сайт сделан на английском языке, что может вызвать затруднение у некоторых пользователей. Кроме того, размеры файлов для загрузки ограничены (до 256 Мб). И третий, но самый важный минус – сервис не способен вылечить файл, содержащий вирус, пользователь всего лишь получит уведомление о проблеме.

Краткое описание вредоносной программы

  • Блокирует редактор реестра, диспетчер задач, систему восстановления
  • Блокирует запуск установленных защитных решений с помощью групповых политик
  • Закрывает все окна и завершает процессы, заголовки которых содержат слова:
    • BitDefender
    • eKav
    • AutoStart
    • x-cire
    • Antivirus
    • избавится
    • Anti-Malware
    • Доктор веб
    • log
    • Startup
    • PTstartmon
    • Regedit
    • Internet Security
    • Ad-Aware
    • Total Commander
    • VirusTotal
    • PC Tools
    • SMS
    • троян
    • Нарушили
    • антивирус
    • HiJack
    • Sysinternals
    • Quick Heal
    • параметры безопасности
    • вирус
    • форум
    • F-PROT
    • Trend
    • OSAM
    • AVIRA
    • WinLock
    • Kacpersky
    • malware
    • Vba32
    • TrendMicro
    • AVG
    • a-squared
    • HijackThis
    • Nod32
    • AhnLab
    • Process Viewer
    • far
    • AVZ
    • Баннер
    • Antispyware
    • LiveUpdate
    • Учетные записи
    • trojan
    • ВируS
    • Manipulation
    • руткит
    • virus
    • ESET
    • Process Monitor
    • Zillya
    • McAfee
    • AnVir
    • Касперский
    • Помогите
    • K7TotalSecurity
    • реестр
    • GMER
    • Security
    • Outpost
    • Process Explorer
    • Antimalware
    • Командная строка
    • Dr.Web
    • 4171
    • LiveInstall
    • DefenseWall
    • avast
    • 3649
    • Auto Update
    • rootkit
    • Malwarebytes
    • Редактор реестра
    • Spyware
    • Removal
    • F-Secure
    • CMC
    • Download Master
    • AutoRuns
    • spyware
    • Управление компьютером
    • Termination
    • G Data
    • VIPRE
    • cmd.exe
    • Групповая политика
  • Удаляет и предотвращает повторное создание файлов, относящихся к антивирусным программам
    • С именами:
      • SpeProtector.exe
      • hidec.exe
      • K7SysMon.Exe
      • ccguard.dll
      • DrWeb32w.exe
      • AvastSS.scr
      • McTray.exe
      • avgio64.sys
      • avcenter.exe
      • Scanscr.dll
      • и т.д.
    • С расширениями:
      • vdb
      • cvd
      • scd
      • nup
      • kdc
      • dws
      • cnt
      • dwl
      • dta
      • ppl
      • Dsm
      • sig
      • avz
      • lrm
      • avp
      • avg
      • avc

Диагностика

Осуществить поиск вирусов можно несколькими способами. Среди них я выделил онлайн- и офлайн-инструменты, а также плагины для WordPress.

Онлайн-сервисы для проверки

В интернете можно найти очень много разных онлайн-сервисов. Они помогут вам произвести сканирование в реальном времени – просто вводите ссылку на свой ресурс, нажимаете кнопку, спустя какое-то время получаете результат. Удобно, ничего не скажешь.

2IP

Одним из таких сервисов является модуль на 2IP. Выглядит он так.

Вводите URL в поле и кликаете на “Проверить”. Результаты не заставят себя ждать. Если все хорошо, то вы увидите окно с итогами проверки.

Если нет, то вместо него будет предупреждение. Скорее всего и Google, и Яндекс будут уже считать ваш сайт небезопасным. В таком случае к лечению лучше приступить немедленно. Санкции не заставят себя ждать.

VirusTotal

Мой любимый сервис. очень удобен, есть поддержка русского языка. Сама проверка здесь реализована с помощью большого количества известных антивирусных приложений.

Даже такие гиганты, как Касперский, Авира, Аваст, Доктор Веб, участвуют в проверке файлов и ссылок. Все результаты доступны в виде удобной таблицы, где по каждой программе есть свой вердикт. Если хотя бы одно приложение сигнализирует о наличии вредоноса – стоит задуматься.

Переключаемся во вкладку “URL-адрес”, вводим нужный адрес и нажимаем на синюю кнопку “Проверить”. Спустя непродолжительное время, сервис даст нам результаты. Выглядеть они будут примерно так.

Если какой-то из 67 антивирусов обнаружит вредоносный код, то показатель выявлений будет соответствовать числу приложений.

С помощью ВирусТотала можно сканировать не только сайты, но и различные файлы. Сервис, который точно стоит добавить себе в закладки.

Antivirus Alarm

Старенький сайт, который все еще пользуется определенной популярностью среди вебмастеров.

Принцип действия Antivirus Alarm такой же: вводите адрес, получаете результат после нажатия на кнопку “Проверить”. Он представлен вот так.

Проверка с использованием десятков антивирусных программ поможет вам наиболее точно определить наличие вредоносных скриптов на своем проекте.

Офлайн-проверка

Вы также можете использовать офлайн-приложения, например те же антивирусы для проверки файлов своего проекта. Нужно вытащить корневую папку на жесткий диск, сделать это можно при помощи FTP-клиента или файлового менеджера. После этого процедура проверки не будет отличаться от проверки обычных файлов.

Для более точного результата при офлайн-проверке я рекомендую использовать одно из этих решений:

  • Антивирус Касперского,
  • Доктор Веб,
  • Аваст,
  • Авира,
  • ESET NOD32,
  • Norton.

Это наиболее популярные и проверенные программы, которые покажут действительно правильную информацию.

Плагины для WordPress

Проверить сайт на ВордПресс можно при помощи плагинов. Сейчас их очень много, а с каждым днем становится еще больше. Работают они по тому же принципу: вы устанавливаете и активируете плагин, запускаете проверку, после чего вам показываются результаты. Некоторые плагины предлагают автоматическую очистку от вредоносов, но об этом далее.

Проверка на вирусы разными программами

Virus Total

В проводнике, который откроется после этого, левой клавишей мыши выбирайте нужный элемент, открывайте его.

Теперь нажимайте «Проверить».

Файл автоматически начнет загружаться на сервер.

После загрузки, запустится проверка документа по базам нескольких антивирусных программ.

В результате, если файл чистый, напротив показателя выявления вирусов будет стоять нулевое значение.

Если стоит значение напротив этой ячейки, смотрите на цифры. Чем они выше, тем вредоноснее проверяемый объект.

ESET Online Scanner

Еще один бесплатный сервис для проверки от разработчиков NOD32, тщательно выполняющий сканирование. Плюс — онлайн сканер удалится закончив проверку, не оставив после себя никаких лишних файлов.

Перейдите на страницу антивирусника (https://www.esetnod32.ru/home/products/online-scanner), нажмите клавишу «Запустить».

Чтобы начать загрузку, потребуется ввести электронный адрес. Занесите его в советующее окошко, нажмите «Отправить».

Ознакомьтесь с условиями, нажмите клавишу «Я принимаю».

Это запустит загрузку вспомогательной утилиты. После ее завершения вам нужно запустить скачанный файл и настроить программу. На этом же этапе отключите авто исправление проблем. Иначе сканер удалит нужные документы.

Теперь выберите клавишу «Сканировать».

Сканер самостоятельно обновит базы и проверит компьютер, по результатам на мониторе появится следующее окошко:

DR WEB

Популярный разработчик антивирусного ПО, у которого есть свой сайт для проверки файлов. Переходим на него, нажимаем клавишу выбора.

В окне, которое откроется после перехода, выбираем и открываем файл для проверки на вирусы.

Проверяем.

Дальше возможно два варианта развития событий. Если файл чистый, программа выдает следующее окно.

При наличии вредоносных элементов появится другое окошко.

Kaspersky Security Scan

Сначала потребуется установить дополнительную утилиту. Для этого выберите кнопку «Скачать».

Откроется инструкция, прочитайте ее, снова выберите клавишу «Скачать».

Программой будет предложена загрузка полной версии, игнорируйте ее, нажмите клавишу «Skip».

Когда файл загрузится, нажмите «Contine».

Дополнительная программа установится, затем проставьте галочку напротив «Run Kaspersky Security Scan».

Теперь нажимаем «Запустить», чтобы активировать сканирование.

Появится несколько способов анализа. Выберите «Проверку компьютера».

Начнется сканирование, по завершении которого на дисплее высветится окно. Для просмотра результатов нажмите соответствующую клавишу.

Если хотите дополнительно ознакомиться с информацией о вредоносных ресурсах, нажмите кнопку «Подробнее». Выбор клавиши «Как все исправить» перекинет вас к сайту программы, где будет предложено загрузить антивирусник на ПК в полной версии.

Смотрели обновление:
1 371

Методы защиты от вируса-шифровальщика

Я не буду перечислять очевидные вещи на тему запуска неизвестных программ из интернета и открытие вложений в почте. Это сейчас все и так знают. К тому же я об этом писал много раз в своих статья в разделе про вирусы

Обращу внимание на бэкапы. Они должны не просто быть, а быть недоступны извне

Если это какой-то сетевой диск, то доступ к нему должен быть у отдельной учетной записи со стойким паролем.

Если бэкапите личные файлы на флешку или внешний диск, не держите их постоянно подключенными к системе. После создания архивных копий, отключайте устройства от компьютера. Идеальным я вижу бэкап на отдельное устройство, которое включается только чтобы сделать бэкап, а потом снова отключается физически от сети отключением сетевого провода или просто завершением работы.

Резервные копии должны быть инкрементными. Это нужно для того, чтобы избежать ситуации, когда шифровальщик зашифровал все данные, а вы этого не заметили. Было выполнено резервное копирование, которое заменило старые файлы новыми, но уже зашифрованными. В итоге архив у вас есть, но толку от него никакого нет. Нужно иметь глубину архива хотя бы в несколько дней. Я думаю, в будущем появятся, если еще не появились, шифровальщики, которые будут незаметно шифровать часть данных и ждать какое-то время, не показывая себя. Сделано это будет в расчете на то, что зашифрованные файлы попадут в архивы и там со временем заменять настоящие файлы.

Это будет тяжелое время для корпоративного сектора. Я выше уже привел пример с форума eset, где зашифровали сетевые диски с 20Тб данных. А теперь представьте, что у вас такой сетевой диск, но зашифровано только 500G данных в каталогах, к которым не обращаются постоянно. Проходит пару недель, никто не замечает зашифрованных файлов, потому что они лежат в архивных каталогах, и с ними постоянно не работают. Но в конце отчетного периода данные нужны. Туда заходят и видят, что все зашифровано. Обращаются в архив, а там глубина хранения, допустим, 7 дней. И на этом все, данные пропали.

Тут нужен отдельный внимательный подход к архивам. Нужно программное обеспечения и ресурсы для долгосрочного хранения данных.

Описание

В обзоре:

Интернет-серфинг должен быть комфортным, простым и безопасным. Для того, чтобы добиться последнего, разработчики регулярно выпускают замечательные программы и онлайн-сервисы. Последние наиболее компактны и удобны, но при этом способны просканировать файл или ссылку, которые вызывают у вас подозрения и сообщить свое мнение, стоит ли с ними «связываться».

В числе таких приложений и VirusTotal. Основная его «фишка» в использовании движков сразу нескольких десятков антивирусов. Он прогоняет предложенные файл или ссылку по огромному количеству баз и предупредит вас об опасности, если в них найдутся совпадения.

VirusTotal нередко используют для компьютеров, где антивирус не установлен или устарел

Впрочем, даже если с виду «все в порядке» излишняя осторожность не всегда повредит. Базы разных антивирусов могут быть обновлены в разное время и в итоге ваш «защитник» может быть просто еще не в курсе об опасности, а у VirusTotal нужная информация уже имеется

Впрочем, есть одна ложка дегтя в этой бочке меда. Обнаружив подозрительный файл, VirusTotal может только просигнализировать о нем. Лечить зараженные файлы он не умеет, как и блокировать «плохие» сайты. Так что сначала преряйте, а потом уже работайте с ними. Кроме того, отметим, что максимальный объем файла, который может проверить VirusTotal — 256 Мб. Впрочем, этого, как правило, вполне достаточно.

Онлайн-сканеры всей системы

Данное ПО в основном использует технологию ActiveX, чем и обусловлена его работа только в Internet Explorer. Однако некоторые продукты написаны на Java и, следовательно, могут запускаться в других браузерах и даже операционных системах. Как правило, проверка ПК таким способом занимает больше времени, чем в случае использования обычных антивирусов.

Некоторые из рассмотренных сканеров могут неявно конфликтовать с уже установленными программами безопасности, поэтому, если у вас возникнут проблемы, попробуйте отключить локальное ПО.

В двух словах о лучших продуктах можно сказать, что это знакомые всем антивирусы с меньшим количеством настроек и без резидентного модуля.

Trend Micro HouseCall

Сервис является проектом довольно известного производителя защитного ПО Trend Micro. Сканер использует технологию Java, поэтому поддерживает браузеры Internet Explorer/Firefox и запускается на платформах Windows, Linux, Solaris и Mac OS X. Умеет проводить как полную проверку ОС, так и выборочное сканирование папок с последующим лечением зараженных объектов. В результатах, кроме прочего, информирует об обнаруженных в системе уязвимостях, которые можно закрыть специально выпущенными для этого заплатками (отображает прямые ссылки на них). Во время работы активно показывает рекламу платной версии антивируса.

Symantec Free Virus Scan

Продукт от разработчиков Norton Antivirus. Не предлагает никаких настроек и возможности выбора сканируемых объектов. Проверяет память и систему, предоставляя в конце детальный отчет о найденных объектах, однако не лечит их.

ESET Online Scanner

Сетевой аналог одного из самых популярных в мире антивирусов NOD32. Использует ту же технологию ThreatSense, что и десктопная версия продукта. Умеет лечить вредоносные программы.

Ewido

Проект от создателей популярного антивируса AVG. Сканирует cookies, память, реестр и выбранные разделы жесткого диска. Умеет лечить файлы.

Comodo AV Scanner

Отличается от других сканеров функцией отслеживания антивирусных баз, что позволяет обновить их нажатием соответствующей кнопки. Может просканировать как отдельный файл, так и любую папку или диск. Несмотря на наличие в системных требованиях только ОС Windows XP, без проблем заработал и на Vista. Не умеет лечить зараженные файлы.

McAfee FreeScan

Предлагает на выбор только одну из трех областей для сканирования: системный диск, Мои документы или файлы Windows. Не умеет лечить зараженные объекты и рекомендует для этого купить коммерческую версию антивируса McAfee.

Panda ActiveScan 2.0

Сервис доступен в трех версиях, две из которых бесплатны. Базовая обнаруживает только malware (вредоносные программы), более продвинутая находит вирусы, черви и трояны (что немного странно, поскольку все перечисленные типы вредоносного ПО также входят в понятие malware), однако требует бесплатной регистрации. Коммерческая версия умеет лечить файлы. Запускается как в Internet Explorer, так и в Firefox.

Onecare protection center

Антивирусное ПО от Microsoft. Текущий релиз поддерживает только Internet Explorer и Windows 2000/XP, однако бета-версия продукта работает и в Windows Vista. Кроме поиска вирусов, производит дефрагментацию винчестера, находит и удаляет неиспользуемые ключи в реестре, проверяет жесткий диск на наличие временных файлов, а также сканирует порты. Единственный продукт, который по умолчанию блокируется родным браузером как нежелательное всплывающее окно, поэтому на период сканирования не забудьте отключить эту опцию. Умеет лечить найденные подозрительные объекты.

F-Secure Online Virus Scanner

Продукт известного производителя антивирусов F-Secure. Умеет сканировать как всю систему, так и отдельно выбранную папку на наличие malware. Использует механизм эвристического анализа. После окончания сканирования предлагает автоматически либо вручную разобраться с каждым зараженным объектом (умеет лечить).

Kaspersky Online Scanner

Написан на Java, что обуславливает возможность запуска в браузерах, отличных от Internet Explorer, а также работоспособность в ОС Linux. Зараженные файлы не лечит, а только информирует об их наличии.

BitDefender Online Scanner

Умеет проверять память, boot-секторы, отдельные папки или всю систему в целом. По умолчанию пытается вылечить зараженные файлы, если это не удается, удаляет их (чтобы изменить такое поведение, не забудьте перед запуском зайти в раздел Settings).

Касперский, eset nod32 и другие в борьбе с шифровальщиком Crusis (Dharma)

Как обычно, прошелся по форумам популярных антивирусов в поисках информации о шифровальщике, который ставит расширение .combo. Явно заметна тенденция на распространение вируса. Очень много запросов начинаются с середины августа. Сейчас вроде не видно их, но, возможно временно, либо просто изменилось расширение зашифрованных файлов.

Вот пример типичного обращения с форума Касперского.

Там же ниже комментарий модератора.

На форуме EsetNod32 давно знакомы с вирусом, который ставит расширение .combo. Как я понял, вирус не уникальный и не новый, а разновидность давно известной серии вирусов Crusis (Dharma). Вот типичное обращение с просьбой расшифровать данные:

А вот опыт одного из пользователей, который заплатил злоумышленникам и восстановил свои файлы.

Обратил внимание, что на форуме Eset много отзывов о том, что вирус проник на сервер через rdp. Похоже, это реально сильная угроза и оставлять rdp без прикрытия нельзя

Возникает только вопрос — как же все таки вирус заходит по rdp. Подбирает пароль, подключается уже с известным пользователем и паролем, либо как-то еще.

Как расшифровать и восстановить файлы после вируса Crusis (Dharma)

Что же делать, когда вирус Crusis (Dharma) зашифровал ваши файлы, никакие описанные ранее способы не помогли, а файлы восстановить очень нужно? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

  • Инструмент теневых копий windows.
  • Программы по восстановлению удаленных данных

Перед дальнейшими манипуляциями я рекомендую сделать посекторный образ диска. Это позволит зафиксировать текущее состояние и если ничего не получится, то хотя бы можно будет вернуться в исходную точку и попробовать что-то еще. Дальше нужно удалить самого шифровальщика любым антивирусом с последним набором антивирусных баз. Подойдет CureIt или Kaspersky Virus Removal Tool. Можно любой другой антивирус установить в режиме триал. Этого хватит для удаления вируса.

После этого загружаемся в зараженной системе и проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов с помощью перечисленных программ подробно показан в видео в самом конце статьи.

Процесс установки вредоносной программы в систему

Особенностью вредоносной программы Worm.Win32.NeKav.a является то, что она способна устанавливаться как из-под учетной записи с правами администратора, так и из-под учетной записи с правами обычного пользователя.

  • Установка вредоносной программы из-под учетной записи с правами администратора:
    • Вредоносная программа выбирает произвольный файл в папках %windir%\Inf или >%windir%\Help
    • Копирует себя в альтернативный NTFS-поток выбранного файла
    • Если не удалось этого сделать, копирует себя в папку %windir%\system32 под произвольным именем
    • Для автоматического старта при запуске системы прописывает себя в ключ реестра: с именем «AppInit_Dlls»=»<путь к вредоносной dll>»
    • Это обеспечивает загрузку вредоносной библиотеки во все процессы, использующие системную библиотеку user32.dll
    • Для немедленного начала работы перезапускает системный процесс ctfmon.exe

Установка вредоносной программы из-под учетной записи с ограниченными правами:

  • Копирует себя под произвольным именем в папку %Temp% и создает bat-файл в той же папке со следующим содержимым: rundll32.exe <путь к вредоносной dll>,Open
  • Для автоматического запуска при входе пользователя в систему прописывает себя в ключ реестра: с именем «load»=»<путь к bat-файлу>»
  • Скопированный dll-файл и bat-файл шифруются с помощью EFS (Encrypting File System)
Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий