Який вимагач
зашифрував ваші файли?
Вставте дивне розширення файлу, записку про викуп або перетягніть один зашифрований зразок. Ми зіставимо це з відомими сімействами вимагачів, скажемо, чи існує безкоштовний дешифратор, і що робити далі — усе у вашому браузері. Нічого не завантажується.
- Працює повністю у вашому браузері
- Нічого не завантажується — без трекерів
- Зіставлення з локальною базою сімейств
Перші дії — зробіть це зараз
Спокійний план дій на першу годину
- Від’єднайте пристрій від мережі (Wi-Fi і кабель), щоб зупинити поширення.
- Залиште його увімкненим, але ізольованим — не перезавантажуйте.
- Збережіть записку про викуп і кілька зашифрованих зразків для аналізу.
- Сфотографуйте екран із вимогою викупу та зафіксуйте всі терміни.
- Перевірте, чи є чисті офлайн-резервні копії.
- Не платіть, не порадившись зі спеціалістом, — це рідко гарантує відновлення і може бути незаконним для підсанкційних груп.
- Не перевстановлюйте ОС і не стирайте диски — це знищує докази та можливості відновлення.
- Не запускайте випадкові «дешифратори» з форумів — багато з них шахрайство або шкідливе ПЗ.
- Не під’єднуйте резервні копії до зараженої машини.
- Записку(и) про викуп і повідомлення на екрані.
- Кілька зашифрованих файлів (і оригінали, якщо вони є).
- Відповідні журнали, підозрілі листи та позначки часу.
- Це допомагає у форензиці, страхуванні та зверненнях до правоохоронних органів.
PWN-ALL ChainBreak — реагування на інциденти з вимагачами 24/7
Стримування, дослідження дешифрування та криміналістичне відновлення у чотири етапи. Відповідає спеціаліст, а не черга заявок.
Ізолювати, оцінити радіус ураження, зупинити поширення.
Визначити штам, вектор проникнення та механізми закріплення.
Дослідження дешифрування, відновлення з резервних копій і даних.
Криміналістика для страхування та правоохоронних органів.
Як це працює
Ідентифікатор вимагачів, який ніколи не бачить ваші дані
Інструменти на кшталт ID-Ransomware вимагають завантажити записку про викуп і зашифрований файл на сервер. Цей зіставляє ті самі ознаки — повністю на вашому пристрої — з локальною базою сімейств.
- Завантажити записку про викуп на сторонній сервер.
- Завантажити зашифрований зразок ваших даних.
- Деталі вашого інциденту залишають вашу мережу.
- Зіставляти розширення, ім’я записки та текстові шаблони локально.
- Порівнювати відомі сигнатури файлів із локальною базою.
- Отримати сімейство, прогноз щодо дешифратора та спокійний план дій.
FAQ
Поширені запитання
Чи завантажуються мої дані?
Ні. Текст записки та будь-який доданий файл обробляються у вашому браузері й нікуди не надсилаються. Трекерів немає.
Наскільки надійний збіг?
Ідентифікація ґрунтується на загальновідомих ознаках — розширенні, імені записки, текстових шаблонах і сигнатурах файлів. Вона може бути хибною або неповною, особливо для нових чи універсальних варіантів. Завжди перевіряйте на No More Ransom або у спеціаліста, перш ніж діяти.
Чи зможу я розшифрувати безкоштовно?
Іноді. У деяких сімейств є безкоштовні дешифратори, у багатьох — немає. Прогноз тут відображає те, що відомо публічно, і з часом може змінюватися — завжди перевіряйте на No More Ransom.
Чи варто платити?
Спершу зверніться до спеціаліста. Оплата рідко гарантує відновлення і може бути незаконною, якщо група під санкціями. Наша команда ChainBreak може проконсультувати.
Що означає профіль зловмисника?
Він показує, як зловмисник пропонує зв’язатися. Tor-портал для перемовин або сайт витоків указує на велику групу з подвійним вимаганням — вважайте, що дані викрадено, і розцінюйте це як витік. Контакт лише через email, Tox або Jabber характерний для «масових» сімейств (Phobos, Dharma, STOP, Mallox), які часто проникають через слабкий віддалений доступ (RDP) і частіше мають безкоштовний дешифратор.
Ідентифікація ґрунтується на загальновідомих ознаках і може бути неповною, особливо для нових чи універсальних варіантів. Доступність дешифраторів з часом змінюється — перевіряйте на No More Ransom і проконсультуйтеся з кваліфікованим фахівцем із реагування на інциденти, перш ніж діяти.