Ransomware: що робити якщо файли зашифровані вірусом-здирником

Ransomware — найнебезпечніший тип вірусів: шифрує всі файли і вимагає викуп. Якщо це вже сталося — діяти треба швидко і за чіткою послідовністю.

Перші 5 хвилин — критично важливі

1. Негайно від'єднай від мережі

Вимкни Wi-Fi і від'єднай мережевий кабель. Більшість ransomware поширюється по локальній мережі і шифрує спільні папки на інших ПК і серверах. Кожна секунда — нові зашифровані файли.

2. НЕ вимикай комп'ютер одразу

Противоінтуїтивно — але в оперативній пам'яті може бути ключ шифрування. Деякі дешифратори використовують дамп RAM. Спочатку зроби дамп:

notmyfault64.exe /crash

Або просто залиш комп'ютер увімкненим поки не з'ясуєш тип ransomware.

3. Сфотографуй екран з повідомленням

Назва вірусу, контакти зловмисників, розширення зашифрованих файлів — все це допоможе ідентифікувати штам і знайти дешифратор.

Крок 1: Ідентифікуй тип ransomware

Зайди на id-ransomware.malwarehunterteam.com (з іншого пристрою):

Завантаж зашифрований файл і записку з вимогами
Сервіс визначить штам ransomware
Покаже чи є безкоштовний дешифратор

Також перевір nomoreransom.org — офіційний проект Europol і Kaspersky з безкоштовними дешифраторами для сотень штамів.

Крок 2: Перевір резервні копії

Це найважливіший крок. Якщо є актуальна резервна копія — відновлення займе кілька годин, а не тижнів.

Де шукати копії:

Зовнішній диск який не був підключений під час зараження
OneDrive / Google Drive (перевір "Кошик" і "Версії файлів")
Windows File History — Параметри → Оновлення та безпека → Резервне копіювання
Тіньові копії Windows

Перевірити тіньові копії:

vssadmin list shadows

Якщо є — спробуй відновити через Shadow Explorer (безкоштовна програма).

Крок 3: Перевір чи є дешифратор

nomoreransom.org/uk — найповніша база. Безкоштовні дешифратори для:

STOP/DJVU (найпоширеніший)
Dharma
REvil/Sodinokibi (деякі версії)
WannaCry
та 150+ інших

Якщо знайшов дешифратор — спочатку відновлюй на копії кількох файлів, не на всьому диску.

Крок 4: Чи платити викуп

Коротка відповідь: ні.

Лише ~40% жертв отримують робочий дешифратор після оплати
Оплата фінансує наступні атаки
Зловмисники можуть вимагати ще
Ти потрапляєш у "список платників" і стаєш мішенню повторно

Виняток: критично важливі дані, немає резервних копій, бізнес зупинений — тоді це бізнес-рішення з оцінкою ризику.

Крок 5: Видали вірус і перевстанови Windows

Не відновлюй файли на зараженій системі — вірус може досі активний.

Завантажся з USB і просканTrace сканером (Kaspersky Rescue Disk — безкоштовний ISO)
Або зроби чисте встановлення Windows: Встановлення Windows 11 з флешки
Потім відновлюй файли з резервної копії або дешифратором

Як захиститись від ransomware

Правило резервних копій 3-2-1

3 копії даних
2 різних носії (диск + хмара)
1 копія офлайн (відключений диск)

Детальніше: Резервне копіювання Windows

Контрольований доступ до папок (Windows Defender)

Вбудований захист від ransomware — блокує несанкціоновану зміну файлів:

Windows Security → Захист від вірусів і загроз → Захист від програм-вимагачів → Контрольований доступ до папок → увімкни

Заборона виконання з Temp і Downloads

# Через Software Restriction Policy
# Забороняє запуск .exe з тимчасових папок
New-Item "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" -Force
Set-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" -Name "DefaultLevel" -Value 131072

Оновлюй Windows регулярно

WannaCry у 2017 заразив 200 000 ПК через вразливість яка була закрита патчем за 2 місяці до атаки. Більшість жертв просто не встановили оновлення.

Як правильно налаштувати Windows Update

Підсумок

При зараженні: від'єднати мережу → ідентифікувати штам → перевірити резервні копії → шукати дешифратор на nomoreransom.org → чисте встановлення системи. Платити викуп — останній варіант з мінімальними шансами на успіх.

🛡️ Перевір безпеку свого ПК

Хочеш знати чи немає витоків даних, зайвих служб або підозрілих програм на твоєму ПК?

→ AuditShield — аудит Windows по 22 напрямках за 10 хвилин. HTML-звіт з оцінкою ризику. Є безкоштовне демо.