Инструкция по удалению вируса SATANA

Инструкция по удалению вируса SATANA. Как расшифровать файлы

Сегодня мы поговорим о вирусе, который несколько дней назад появился в Сети, и уже стал одним из самых опасных и эффективных за последние месяцы. Он называется SATANA. Этот вирус принадлежит к типу “ransomware”, то есть он скрытно проникает на компьютер, зашифровывает файлы пользователя, и требует выкуп за их восстановление. Однако, этот вирус отличается от большинства своих аналогов, и в этой статье мы расскажем вам о его сильных и слабых сторонах, а также, о том, стоит ли верить всему, что говорят хакеры.
Проникнув на ПК, Satana кодирует доступные файлы с определёнными расширениями, в частности, .bak, .doc, .jpg, .txt, .db, .xls, .pdf, .mdb, .mdf, .rar, .zip, .7z и многие другие. Затем зловред ожидает перезагрузки компьютера и в этот момент шифрует главную загрузочную запись (Master Boot Record, MBR), заменяя её собственным кодом.

MBR содержит данные, необходимые для последующей загрузки операционной системы. В частности, эта запись определяет, с какого именно раздела накопителя следует производить загрузку ОС. Поэтому в результате действий Satana компьютер попросту перестаёт загружаться.

Вместо этого пользователь видит сообщение с предложением заплатить выкуп в размере 0,5 биткоина, что составляет приблизительно 340 долларов США. Получив деньги, злоумышленники обещают восстановить работоспособность системы.

Эксперты говорят, что способа восстановления доступа к данным, закодированным программой Satana, в обход требований киберпреступников, увы, пока нет. К счастью, на данный момент зловред не получил существенного распространения, поскольку всё ещё находится на стадии разработки. Однако в будущем на базе этой программы могут появиться крайне сложные и опасные шифраторы. 

SATANA проникает на ПК с помощью приложений в электронной почте. Вирусное сообщение может быть замаскировано под извещение о приеме на работу, о получении посылки, или под любое другое стандартное сообщение. Суть сообщения в том, чтобы убедить пользователя открыть приложение к письму. Как только вы нажмете на приложение, запустится вирусный скрипт, и вирус SATANA установится на ваш ПК. Если вы читаете эту статью не из интереса, и ваш ПК действительно заражен данным вирусом, то мы вынуждены вас разочаровать: расшифровать данные без ключа практически невозможно. SATANA использует асимметричные алгоритмы шифрования данных, такие как AES-128 и RSA-2048. Эти алгоритмы считаются самыми надежными в мире, и они гарантируют невозможность взлома. После того, как данные будут зашифрованы, SATANA показывает пользователю сообщение:

Все файлы пользователя шифруются, и перед их первоначальным названием появляется адрес почты, через которую осуществляется связь с мошенниками. Сообщение с инструкциями появляется в каждой папке с файлами. Помимо этого, многие пользователи жалуются на то, что вирус перекрывает доступ к рабочему столу, однако, это легко исправляется изменением MBR (главной загрузочной записи). Сумма выкупа составляет 0,5 BTC, то есть примерно 300 долларов.

Итак, по своим характеристикам вирус очень похож на всех остальных представителей семейства ransomware. Так в чем же его опасность, и отличие? Оно заключается в том, что SATANA веден себя необычайно агрессивно. Обычно вирусы просто шифруют файлы, и дают пользователю возможность восстановить их, уплатив выкуп. Однако SATANA устанавливает срок оплаты, и угрожает, что по истечении 7 дней восстановить файлы будет невозможно. Кроме того, в инструкциях сказано ни в коем случае не изменять настроек своего ПК, или восстановление будет невозможным. Цель подобных «инструкций» не в помощи пользователю, а в том, чтобы запугать, и показать всю невозможность попыток решения проблемы. Хакеры пытаются вас обмануть, однако, если вы читаете эту статью, то у них это не удалось!

Как удалить SATANA с компьютера

Удаление – необходимая часть процесса расшифровки (или восстановления) данных. Несмотря на то, что хакеры угрожают потерей всех данных, в случае изменения настроек системы, вирус необходимо удалить. Хакеры просто обманывают вас, чтобы вы играли пассивную роль, и не предпринимали никаких действия для того, чтобы восстановить свои данные. Удаление вируса нужно произвести немедленно, если вы собираетесь загружать бэкапы, или восстанавливать данные вручную. Если же вы решили заплатить выкуп – то будет разумно удалить вирус после того, как все файлы будут восстановлены. Удаление можно произвести вручную, следуя нашим инструкциям, или с помощью достойного антивирусного ПО. Преимущество второго способа состоит в том, что антивирус не допускает ошибок, и вы не столкнетесь с непредвиденными трудностями в процессе удаления вируса. Мы советуем вам воспользоваться антивирусом Spyhunter, который быстро и качественно справится с этой задачей.

Шаг 1. Запустить систему в безопасном режиме

• Нажмите «Пуск»

• Введите Msconfig и нажмите «Enter»

• Выберите вкладку «Загрузка»

• Выберите «Безопасная загрузка» и нажмите OK

Шаг 2. Показать все скрытые файлы и папки

• Нажмите «Пуск»

• Выберите «Панель управления»

• Выберите «Оформление и персонализация»

• Нажмите на «Параметры папок»

• Перейдите во вкладку «Вид»

• Выберите «Показывать скрытые файлы, папки и диски»

• Нажмите OK

Шаг 3. Удалить файлы вируса

Проверьте следующие папки на предмет наличия в них файлов вируса:

• %TEMP%

• %APPDATA%

• %ProgramData%

Шаг 4. Очистить реестр (для опытных пользователей)

• Нажмите «Пуск»

• Введите «Regedit.exe» и нажмите «Enter»

• Проверьте папки автозапуска на наличие подозрительных записей:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

• Аналогично для папки HKEY_CURRENT_USER

• Удалите из этих папок вредоносные файлы

Как восстановить поврежденные файлы

Расшифровка файлов – это тот вопрос, который сильнее всего волнует всех жертв вируса SATANA. Мы уже говорили, и повторим это еще раз: файлы не подлежат расшифровке до тех пор, пока база данных хакеров не взломана, и ключи не опубликованы. Пока этого не случилось, вы можете надеяться только на себя. Если у вас есть резервные копии ваших данных, то вам нужно лишь удалить вирус с компьютера, и загрузить их. Если же у вас нет резервных копий – у вас есть два пути. Первый – это ожидание. Вирус SATANA стал очень известным, и наверняка привлек внимание борцов с вирусами, как энтузиастов, так и известных IT-корпораций. Чтобы облегчить вам поиски информации, мы скажем, что чаще всего борьбой с ransomware занимается лаборатория Касперского, MalwareHunterTeam и EmsiSoft. На официальном сайте одной из этих компаний вы, скорее всего, найдете все новости о прогрессе в создании расшифровывающей программы, и инструкции по её применению. Единственный минус этого способа в том, что взлом базы данных может затянуться, и нет никаких прогнозов о том, когда именно вы будет разработана программа.

Если вы не хотите ждать, то вы можете воспользоваться другим способом, который основан на базовых возможностях ОС Windows. Мы говорим о теневых копиях. Если эта функция была включена на вашем ПК, то вы сможете восстановить свои файлы с помощью этой системы. Не забудьте предварительно удалить вирус, и просканировать компьютер с помощью антивирусного ПО. Для работы с теневыми копиями можно воспользоваться базовым интерфейсом, однако есть гораздо более удобные программы. Они называются Recuva и ShadowExplorer. Вы можете быстро и абсолютно бесплатно скачать их с официальных сайтов, где вы также найдете подробные инструкции по восстановлению файлов с их помощью.

• Нажмите «Пуск»

• Выберите «Панель управления»

• Нажмите «Система и безопасность»

• Выберите «Архивация и восстановление»

• Выберите «Восстановление файлов из архива»

• Выберите точку сохранения