Якщо ваші документи, фотографії та інші файли перестали відкриватися, в кінці їх імені додалося розширення з 5 випадкових символів букв (наприклад ім'я файлу було картінка.jpg, а стало картінка.jpg.v1yrn), то ваш комп'ютер заражений вірусом шифрувальником. При попаданні на комп'ютер, ця шкідлива програма генерує індивідуальний номер жертви (ID) і розширення, що складається з 5 випадково вибраних символів. Це розширення в подальшому буде додаватися в кінці імені кожного зашифрованого файлу. Alma Locker зашифровує персональні файли, використовуючи дуже сильну гібридну систему шифрування AES-128.
Як і у інших подібних шкідливих програм, мета вірусу Alma Locker змусити користувачів купити програму і ключ, необхідні для розшифровки власних файлів. Вірус вимагає сплатити викуп біткоіни. Якщо користувач затримає переказ грошей, то сума може зрости.
Що таке вірус-шифрувальник Alma Locker
Alma Locker - це шкідлива програма з групи вірусів-шифрувальників, яка вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Цей вірус використовує гібридний режим шифрування AES-128, що практично виключає можливість підбору ключа для самостійної розшифровки файлів.
Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві і хмарні сховища, для визначення файлів які будуть зашифровані. Цей вимагач використовує розширення імені файлу, як спосіб визначення групи файлів, які будуть піддані зашифровки. Можуть бути зашифровані практично всі види файлів, включаючи такі поширені як:
1cd. 3ds. 3gp. accdb. ape. asp. aspx. bc6. bc7. bmp. cdr. cer. cfg. cfgx. cpp. cr2. crt. crw. csr. csv. dbf. dbx. dcr. dfx. dib. djvu. doc. docm. docx. dwg. dwt. dxf. dxg. eps. htm. html. ibank. indd. jfif. jpe. jpeg. jpg. kdc. kwm. max. mdb. mdf. odb. odc. odm. odp. ods. odt. orf. p12. p7b. p7c. pdf. pef. pem. pfx. php. png. pps. ppt. pptm. pptx. psd. pst. pub. pwm. qbb. qbw. raw. rtf. sln. sql. sqlite. svg. tif. tiff. txt. vcf. wallet. wpd. xls. xlsm. xlsx. xml
Після того як файл зашифрований в кінці його імені додається розширення, створене на початковому етапі роботи вірусу. Потім Alma Locker створює файли з ім'ям Unlock_files_ [EXTENSION] .txt. Цей файл містить інструкцію по розшифровці зашифрованих файлів. Приклад такої інструкції:
Вірус-шифрувальник Alma Locker активно використовує тактику залякування, даючи жертві короткий опис алгоритму шифрування і показуючи загрозливе повідомлення на робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, оплатити викуп, для спроби повернути свої файли.
Мій комп'ютер заражений вірусом-шифрувальником Alma Locker?
Визначити заражений комп'ютер чи ні вірусом Alma Locker досить легко. Зверніть увагу на те, що всі ваші персональні файли, таких як документи, фотографії, музика і т.д. нормально відкриваються у відповідних програмах. Якщо, наприклад при відкритті документа, Word повідомляє, що файл невідомого типу, то найімовірніше документ зашифрований, а комп'ютер заражений. Звичайно ж, наявність на робочому столі повідомлення про зашифровки всіх файлів або поява на диску файлів з ім'ям Unlock_files_ [EXTENSION] .txt і інструкцією по-розшифровці, так само є ознакою зараження.
Як розшифрувати файли зашифровані вірусом Alma Locker?
Як видалити вірус-шифрувальник Alma Locker?
Kaspersky Virus Removal Tool і Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, АЛЕ вони не можуть відновити зашифровані файли.
Видалити вірус-шифрувальник Alma Locker за допомогою Kaspersky Virus Removal Tool
Скачайте програму Kaspersky Virus Removal Tool. Після закінчення завантаження запустіть завантажений файл.
Клацніть по кнопці Почати перевірку для запуску сканування вашого комп'ютера на наявність вірусу-шифрувальника.
Дочекайтеся закінчення цього процесу і видаліть знайдених зловредів.
Видалити вірус-шифрувальник Alma Locker за допомогою Malwarebytes Anti-malware
Скачайте програму Malwarebytes Anti-malware. Після закінчення завантаження запустіть завантажений файл.
Клацніть по кнопці Далі і дотримуйтесь вказівок програми. Після закінчення установки ви побачите основний екран програми.
Запуститися процедура поновлення програми. Коли вона закінчитися натисніть кнопку Запустити перевірку. Malwarebytes Anti-malware почне перевірку вашого комп'ютера.
Відразу після закінчення перевірки комп'ютера програма Malwarebytes Anti-malware відкриє список знайдених компонентів вірусу-шифрувальника.
Клацніть по кнопці Видалити вибране для очищення вашого комп'ютера. Під час видалення шкідливих програм, Malwarebytes Anti-malware може зажадати перезавантажити комп'ютер для продовження процесу. Підтвердіть це, вибравши Так.
Після того як комп'ютер запуститися знову, Malwarebytes Anti-malware автоматично продовжить процес лікування.
Як відновити файли зашифровані вірусом Alma Locker?
В деяких випадках можна відновити файли зашифровані вірусом-шифрувальником. Спробуйте обидва методи.
Відновити зашифровані файли використовуючи ShadowExplorer
ShadowExplorer - це невелика утиліта дозволяє відновлювати тіньові копії файлів, які створюються автоматично операційною системою Windows (7-10). Це дозволить вам відновити початковий стан зашифрованих файлів.
Скачайте програму ShadowExplorer. Програма знаходитися в zip архіві. Тому клікніть по викачаного файлу правою клавішею і виберіть пункт Витягти все. Потім відкрийте папку ShadowExplorerPortable.
Запустіть ShadowExplorer. Виберіть потрібний вам диск і дату створення тіньових копій, відповідно цифра 1 і 2 на малюнку нижче.
Клацніть правою клавішею миші по каталогу або файлу, копію якого ви хочете відновити. В меню оберіть Export.
І останнє, виберіть папку в яку буде скопійований відновлений файл.
Відновити зашифровані файли використовуючи PhotoRec
PhotoRec це безкоштовна програма, створена для відновлення видалених і втрачених файлів. Використовуючи її, можна відновити вихідні файли, які віруси-шифрувальники видалили після створення їх зашифрованих копій.
Скачайте програму PhotoRec. Програма знаходитися в архіві. Тому клікніть по викачаного файлу правою клавішею і виберіть пункт Витягти все. Потім відкрийте папку testdisk.
У списку файлів знайдіть QPhotoRec_Win і запустіть її. Відкриється вікно програми в якому будуть показані всі розділи доступних дисків.
У списку розділів виберіть той, на якому знаходяться зашифровані файли. Після чого клацніть на кнопці File Formats.
За замовчуванням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити тільки типи файлів, які вам потрібно відновити. Завершивши вибір натисніть кнопку OK.
У нижній частині вікна програми QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог в який будуть збережені відновлені файли. Бажано використовувати диск на якому не перебувають зашифровані файли вимагають відновлення (можете використовувати флешку або зовнішній диск).
Для запуску процедури пошуку і відновлення вихідних копій зашифрованих файлів натисніть кнопку Search. Цей процес триває досить довго, так що наберіться терпіння.
Коли пошук буде закінчено, натисніть кнопку Quit. Тепер відкрийте папку, яку ви вибрали для збереження відновлених файлів.
У папці будуть перебувати каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і тд. Чим більше файлів знайде програма, тим більше буде і каталогів. Для пошуку потрібних вам файлів, послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (на основі вмісту файлів), а так само не забувайте про функції сортування файлів в каталогах. Як параметр сортування можна вибрати дату зміни файлу, так як QPhotoRec при відновленні файлу намагається відновити цю властивість.
Як запобігти зараженню комп'ютера вірусом-шифрувальником Alma Locker?
Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення і активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, то обов'язково її встановіть. Як її вибрати можете дізнатися прочитавши цю статтю.
Більш того, існують і спеціалізовані захисні програми. Наприклад це CryptoPrevent.
Скачайте CryptoPrevent і запустіть. Дотримуйтесь інструкцій майстра установки. Коли інсталювання програми завершитися, вам буде показано вікно вибору рівня захисту, як показано на наступному прикладі.
Кілька фінальних слів
Виконавши цю інструкцію ваш комп'ютер буде очищений від вірусу-шифрувальника Alma Locker. Якщо у вас з'явилися питання або вам необхідна допомога, то звертайтеся на наш форум.