Ransomware to wirusy, które blokują dostęp do systemu lub plików za pomocą hasła, a następnie wyłudzają pieniądze za udostępnienie kodu odblokowującego. Stają się coraz popularniejsze i atakują coraz więcej użytkowników – jak je usuwać? Jak z nimi walczyć? Jak się zabezpieczyć?

Ransomware - ochrona i usuwanie wirusów wyłudzających pieniądze

Ransomware to jedne z najgorszych wirusów, jakie możemy złapać w naszych komputerach. Są wyjątkowo złośliwe i bardzo poważnie zagrażają danym na komputerze. Idea Ransomware polega na tym, aby zablokować użytkownikowi dostęp do całego systemu lub najważniejszych plików za pomocą hasła. Następnie wirus wyświetla komunikat, że w celu otrzymania hasła do odblokowania należy udzielić wysokiej opłaty pieniężnej. Często zainfekowanie komputera tego typu szkodnikiem kończy się utratą danych, gdyż ze względu na szyfrowanie dokonane przez Ransomware są one niemożliwe do odzyskania.

Nie zawsze jednak wszystko jest stracone. Firmy produkujące oprogramowanie antywirusowe udostępniają pomniejsze narzędzia, które skupiają się na ochronie przed wirusami wyłudzającymi pieniądze, jak również umożliwiają odblokowanie komputera, a nawet odszyfrowanie plików. Wiele zależy od tego, jaki rodzaj wirusa złapaliśmy i jakich szkód dokonał na komputerze – niektóre blokują tylko dostęp do komputera na zasadzie „ekranu blokady”, inne z kolei idą o krok dalej i szyfrują hasłem nasze pliki na komputerze. Opiszemy kilka ogólnych porad odnośnie zabezpieczenia się przed Ransomware, a następnie pokażemy najważniejsze narzędzia do zwalczania wirusów żądających okupu.

Poniższe instrukcje dotyczą zainfekowania komputerów i laptopów z Windowsem. Jeśli twój smartfon lub tablet z Androidem został zainfekowany przez wirusa wyłudzającego dane, to zobacz nasz poradnik usuwania Ransomware z Androida.

Dobre praktyki, które minimalizują straty w przypadku zainfekowania komputera przez Ransomware

Przede wszystkim nie daj się nabrać i nie płać „okupu” za swoje dane! Na początku może Ci się wydawać, że jesteś w stanie poświęcić pieniądze, by odzyskać dostęp do komputera i danych. Jednak w praktyce może się okazać, że wydasz pieniądze w błoto. Po pierwsze nie masz absolutnie ŻADNEJ pewności, że po uiszczeniu opłaty otrzymasz klucz odblokowujący, który faktycznie będzie działać. Po drugie miej świadomość tego, że płacisz pieniądze tym samym osobom, które spowodowały cały ten problem – nawet jeśli uda Ci się odzyskać dane, to jaką masz pewność, że nie zaatakują Cię po raz kolejny, skoro jesteś skory im zapłacić?

Kolejną rzeczą jest natychmiastowe odłączenie komputera od sieci lokalnej, aby nie rozprzestrzeniać wirusa na inne komputery w domu lub biurze. Następnie należy przejść do operacji zwalczenia lub całkowitego usunięcie wirusa. W tym celu należy wykorzystać konkretne narzędzia – dostępne są programy, które usuwają konkretne typy wirusów Ransomware.

Gdy już usuniemy z komputera wszelkie ślady wirusa typu Ransomware, to następnie należy przywrócić swoje dane z kopii zapasowej. I to jest właśnie najważniejszy punkt – w dzisiejszych czasach, mając ważne dane na komputerze, absolutnie koniecznym jest wykonywanie kopii zapasowych na zewnętrznych nośnikach. Może to być zewnętrzny dysk, którego na co dzień nie mamy podłączonego do komputera, jak również może to być chmura – warto wykonywać kopie najważniejszych plików w Dropbox, Box, OneDrive czy na Dysku Google. Jeśli wirus ransomware zaszyfruje nam hasłem pliki, to o ile szansa na usunięcie wirusa i zatrzymanie jego rozwoju jest duża, o tyle szansa na odzyskanie plików już zaszyfrowanych bywa bardzo mała (to również jest zależne od typu wirusa Ransomware, który nas zaatakował – niektóre zostały złamane do tego stopnia, że można odszyfrować pliki za darmo).

Najlepsze narzędzia do usuwania Ransomware

Poniżej znajdziecie listę programów, których użycie warto rozważyć zarówno w kontekście zabezpieczenia się przed Ransomware jak i doraźnego użycia w sytuacji, gdy już zostaliśmy zainfekowani. Część z tych narzędzi ma charakter prewencyjny – możemy je zainstalować już teraz, by działały i chroniły komputer przed potencjalnymi zagrożeniami. Inne mają charakter doraźny i służą do usuwania konkretnych typów Ransomware – je również warto pobrać już teraz i trzymać „na czarną godzinę” np. na pendrive, dysku USB lub płycie.

1. Trend Micro’s AntiRansomware Tool (usuwa Ransomware)

Jedno z lepszych narzędzi do skanowania komputera i usuwania wirusów Ransomware, które np. blokują dostęp do systemu poprzez wyświetlanie komunikatu pełnoekranowego. Narzędzie to udostępnione jest w dwóch wersjach – do uruchomienia w trybie awaryjnym, a także do uruchomienia z poziomu USB, gdy nie możemy dostać się do trybu awaryjnego.

Pobierz TrendMicro’s AntiRansomware Tool

Najpierw należy spróbować skorzystać z programu w wersji normalnej, którą uruchamiamy z poziomu trybu awaryjnego z obsługą sieci. Działanie programu polega na tym, że najpierw instalujemy go w komputerze z poziomu trybu awaryjnego, a następnie restartujemy komputer  z powrotem do zwykłego trybu.

Gdy na ekranie pojawi się standardowe okno blokady systemu z żądaniem okupu, to wtedy należy wcisnąć kombinację przycisków CTRL + ALT + T + I. Spowoduje to wywołanie programu AntiRansomware Tool.

Trend Micro's AntiRansomware Tool

Klikamy wtedy w przycisk „Scan” i czekamy, aż program znajdzie zagrożenia na komputerze. Po wyświetleniu wyników należy zaznaczyć wirusa na liście i kliknąć „Clean”, aby go usunąć. Po ponownym uruchomieniu komputera nie będzie już śladu po Ransomware.

Alternatywnie dostępna jest wersja programu w formie bootowalnego pendrive’a. Służy ona do skanowania komputera w sytuacji, gdy wirus Ransomware nie pozwala nam nawet wejść do systemu przez tryb awaryjny.

2. Kaspersky Ransomware Decryptor + Internet Security (usuwanie CoinVault oraz BitCryptor oraz odszyfrowywanie plików)

Narzędzia od firmy Kaspersky, które jest wyspecjalizowane w zwalczaniu konkretnych wirusów Ransomware – CoinVault oraz BitCryptor. Korzystanie z nich wymaga wykonania konkretnych kroków.

Komputery zakażone wirusami CoinVault oraz BitCryptor wyświetlają konkretny komunikat na ekranie – zawarty jest tam odnośnik z  listą plików, które zostały zaszyfrowane.

Najpierw należy pobrać program Kaspersky Internet Security, który po przeskanowaniu komputera rozpozna wirusa CoinVault / BitCryptor i usunie go z komputera. Zostaną nam jeszcze zaszyfrowane pliki, które możemy odzyskać.

W tym celu ściągamy program Kaspersky Ransomware Decryptor. Po jego uruchomieniu klikamy „Start scan” i wskazujemy plik „filelist.cvlst”, który zazwyczaj zostaje na komputerze po usunięciu wirusa. Zawiera on listę naszych plików, które trzeba rozszyfrować. Po wskazaniu tego pliku program rozszyfruje nasze pliki.

Jeśli jednak nie możemy znaleźć tego pliku, to w tym wypadku pomoże nam lista plików zaszyfrowanych, którą wcześniej sobie zapisaliśmy z okna wirusa. Wystarczy umieścić je w jednym katalogu, a następnie w programie Ransomware Decryptor kliknąć „Change parameters” i wskazać nasz folder z zaszyfrowanymi plikami.

3. Ransomware Removal Kit (identyfikacja i usuwanie Ransomware)

To zestaw narzędzi, które ułatwiają rozpoznanie wirusa Ransomware na naszym komputerze oraz jego usunięcie. Ransomware Removal Kit to w rzeczywistości archiwum ZIP, w środku którego znajdziemy podfoldery z rozwiązaniami dla konkretnych wirusów.

Pobierz Ransomware Removal Kit

Są tu gotowe rozwiązania dla: BitCryptor, CoinVault, CryptoDefense, CryptoLocker, FBIRansomWare, Locker, OperationGlobal, PCLock, TeslaCrypt, TorrentLocker

Ransomware Removal Kit

W folderze „Identification” znajdziemy przykłady tego, jak dane wirusy wyglądają i jaki komunikat wyświetlają. Dzięki temu możemy sprawdzić, jakiego dokładnie wirusa Ransomware posiadamy. Oprócz tego w każdym podfolderze znajduje się tam odpowiednie narzędzie zwalczające konkretnego wirusa i – ewentualnie – umożliwiające odszyfrowanie plików. Zamieszczone są także szczegółowe instrukcje w języku angielskim, które pokazują, jak dokładnie należy radzić sobie z danym typem Ransomware. Bardzo przydatna paczka, którą warto zachować sobie na wszelki wypadek.

4. BitDefender AntiRansomware (ochrona przed Ransomware)

Narzędzie od firmy BitDefender, wcześniej znane pod nazwą AntiCryptoWall. To program, który służy do stałej ochrony komputera przed wirusami Ransomware. Wyspecjalizowany jest w blokowaniu takich wirusów Ransomware, jak CryptoWall, CTB-Locker, Locky oraz TeslaCrypt. Wirusy te szyfrują dane na komputerze i wyświetlają komunikat o konieczności uiszczenia opłaty w wysokości 500$.

Pobierz BitDefender AntiRansomware

Bitdefender Anti-Ransomware

Program działa podobnie do standardowych programów antywirusowych. Jest uruchomiony stale w tle i monitoruje komputer pod kątem ataków przez wirusy wyłudzające pieniądze. Jeśli tak wirus zostanie wykryty, to program automatycznie zablokuje jego działanie.

5. MalwareBytes Anti-Ransomware (ochrona przed Ransomware)

Kolejny program do ochrony przed Ransomware w czasie rzeczywistym. Aplikacja została wydana przez firmę MalwareBytes, która odpowiedzialna jest również za narzędzie MalwareBytes AntiMalware – świetny program do usuwania szkodliwego oprogramowania typu Malware.

Pobierz MalwareBytes Anti-Ransomware

Program jest dostępny za darmo i działa w tle, chroniąc nasz komputer przed zagrożeniami. Jest to jedno z najnowszych narzędzi do stałej ochrony przed wirusami wyłudzającymi dane. Póki co dostępne jest w wersji Beta. Aplikacja radzi sobie z najcięższymi wariantami, takimi jak CryptoWall4, CryptoLocker, Tesla i CTB-Locker.

Malwarebytes Anti-Ransomware

Gdy program wykryje na dysku aktywność, która jest charakterystyczna dla wirusów Ransomware, to natychmiast dany proces zostanie zablokowany i umieszczony w kwarantannie. Firma MalwareBytes chwali się, że podczas testów programowi udało się wykryć i automatycznie zablokować działanie wszystkich wymienionych wyżej wirusów Ransomware.

Co jeszcze mogę zrobić, by chronić się przed Ransomware i zwalczać istniejące infekcje?

Przede wszystkim nasz komputer powinien być zabezpieczony ogólnym pakietem zabezpieczającym typu Internet Security (np. Kaspersky Internet Security). Pakiety tego typu są świetnym zabezpieczeniem i stanowią pierwszą warstwę ochrony. Co więcej, są one w pełni kompatybilne z programami typu MalwareBytes Anti-Ransomware, więc możemy korzystać z nich jednocześnie.

Gdy jednak dojdzie do infekcji, to nie należy panikować. Przede wszystkim należy zidentyfikować naszego wirusa Ransomware na podstawie komunikatu, który wyświetla. To kluczowe zadanie, gdyż wtedy możemy szukać konkretnych rozwiązań, które służą do usuwania poszczególnych wirusów. W tym celu możemy skorzystać z serwisu internetowego ID Ransomware – umożliwia on przesłanie z naszego dysku przykładowego pliku, który został zainfekowany wirusem lub zrzutu ekranu z informacją o płatności. Na tej podstawie serwis spróbuje zidentyfikować wirusa i wyświetlić konkretne instrukcje, które mogą być dla nas