Як відновити файли, зашифровані програмою-вимагачем Seto?

Питання

Проблема: як відновити файли, зашифровані програмою-вимагачем Seto?

Привіт, мій комп’ютер був заражений програмним забезпеченням-вимагачем, і всі мої файли додаються з розширенням .seto – я не можу відкрити жодного з них! Мої фотографії, відео та робочі документи заблоковані… Що це за програмне забезпечення-вимагач, і чи є спосіб отримати мої дані? Будь ласка, допоможіть, бо я у відчаї.

Вирішена відповідь

Вірус Сето належить до одного з найактивніших сімейств програм-вимагачів – Djvu/СТОП. Зловмисне програмне забезпечення вперше було помічено наприкінці грудня 2017 року, і з тих пір хакери, які стояли за ним, випустили приблизно 150 варіантів, одним із останніх став Seto, помічений у серпні 2019 року.

Однак різні версії програм-вимагачів Djvu можуть заражати користувачів незалежно від дати їх випуску – автори шкідливих програм використовують різні методи для доставки шкідливого корисного навантаження на хост-машини. Наприклад, вони використовують бот-мережі для доставки спаму зі шкідливими вкладеннями, використовують уразливості програмного забезпечення для зараження користувачі автоматично, як тільки вони потрапляють на заздалегідь визначений сайт, завантажують підроблені торренти, замасковані під відео або програмні файли, тощо

Тим не менш, старі версії, як правило, менше заражають користувачів, оскільки зразки, такі як програмне забезпечення-вимагач Seto, є більш просунутими – З часом у шкідливе програмне забезпечення було внесено багато змін, оскільки дослідники безпеки змогли безкоштовно надати користувачам такі інструменти, як STOPDecrypter для відновлення файлів. На жаль, зараз неможливо відновити файли, заблоковані програмою-вимагачем Seto, за допомогою цього інструменту.

Щойно програмне забезпечення-вимагач Seto потрапляє на хост-комп’ютер, воно вносить різноманітні зміни, такі як зміни реєстру Windows, параметрів підключення до Інтернету, системних сертифікатів, дозволів, ядра^[1] функції тощо. Крім того, Seto ransomware також видаляє Shadow Volume Copies – автоматичне резервне копіювання, створене операційною системою Windows. Ця зміна, зокрема, ускладнює відновлення даних.

Відновлення файлів, зашифрованих програмним забезпеченням-вимагачем Seto

Після запуску процесу шифрування він зазвичай завершується всього за кілька секунд, тому неможливо зупинити його вчасно. Проте шифрування – це не те саме, що пошкодження файлів, оскільки за допомогою відповідних інструментів процес можна повернути назад.

У криптографії використовуються два типи шифрування – симетричне та асиметричне.^[2] Симетричне шифрування використовує секретний ключ, відомий лише хакерам, тоді як асиметричне використовує відкритий ключ (відомий кожному) для блокування файлів і вимагає іншого ключа, щоб його розблокувати. Відомо, що програмне забезпечення-вимагач Seto використовує метод симетричного шифрування (AES), що означає, що без отримання секретного ключа шанси на відновлення відносно невеликі.

Хакери просять 980 доларів США (або 490 доларів США зі знижкою) за інструмент розшифровки, який поверне шифрування і дозволить жертвам знову використовувати файли. Однак сплата викупу є ризикованим маневром, оскільки шахраї можуть просто ніколи не надсилати розшифровувача після отримання грошей. Крім того, ця дія лише доводить учасникам загрози, що незаконний бізнес працює належним чином, і спонукатиме їх заражати більше людей Seto або іншими варіантами програм-вимагачів.

Тому варто добре подумати, перш ніж платити викуп, хоча це залежить від вас. Деякі користувачі можуть бути у розпачі і використовувати його як останній засіб. Однак краще використовувати альтернативні методи, які можуть допомогти відновити файли без розшифровувача Seto від кіберзлочинців.

Перш ніж продовжити відновлення файлів, видаліть програмне забезпечення Seto-ransomware

Поки на вашому комп’ютері є зараження програмним забезпеченням-вимагачем Seto, відновлення файлів не принесе ніякої користі, оскільки вони відразу ж знову будуть зашифровані. Тому вкрай важливо позбутися шкідливого програмного забезпечення, перш ніж отримати ваші дані.

Вірус Seto виконує різноманітні системні зміни, щоб мати можливість завантажуватися при кожному запуску системи. Відомо також, що в минулому варіанти програм-вимагачів Djvu доставляли вторинні корисні навантаження (наприклад, AZORult^[3] банківський троян), а також змінити хост-файл Windows, щоб запобігти відвідуванню сайтів, пов’язаних із безпекою.

Найкращий спосіб видалити вірус - це увійти в безпечний режим із мережею, а потім виконати повне сканування системи за допомогою захисту від шкідливих програм. ReimageПральна машина Mac X9, хоча будь-який інший надійний інструмент повинен мати можливість виявити^[4] і знищити паразита. Щоб увійти в безпечний режим, виконайте такі дії:

• Клацніть правою кнопкою миші Почніть кнопку та виберіть Налаштування
• Йти до Оновлення та безпека і натисніть на Відновлення
• Знайдіть Розширений запуск розділу і натисніть на Перезапустіть зараз (зверніть увагу, що це буде негайно перезавантажте комп'ютер) Щоб безпечно видалити програму-вимагач Seto і почати відновлення файлів, увійдіть у безпечний режим
• Після перезавантаження комп’ютера вам буде представлено Виберіть варіант екран
• Йти до Усунення несправностей > Додаткові параметри > Налаштування запуску і натисніть Перезапустіть
• Після перезавантаження ПК натисніть F5 або 5 щоб увійти Безпечний режим із мережею

Спосіб 1. Використовуйте Data Recovery Pro для відновлення файлів, зашифрованих програмним забезпеченням-вимагачем Seto

Програмне забезпечення для відновлення даних не працює так само, як інструмент дешифрування для програм-вимагачів Seto. Замість того, щоб розшифрувати наявні файли, він намагається отримати робочі копії з жорсткого диска (або SSD). Однак, якщо простір, який використовувався для зберігання цих файлів, було перезаписано іншою інформацією, відновлення не буде успішним. Тому, чи допоможе вам Data Recovery Pro, залежить від того, скільки даних було записано на ваш жорсткий диск після чергування файлів.

• Завантажити Data Recovery Pro (пряме посилання) інсталятора програми та двічі клацніть його, щоб розпочати процес встановлення
• Дотримуйтесь інструкцій на екрані, щоб встановити програму
• Після завершення інсталяції двічі клацніть ярлик Data Recovery Pro на робочому столі, щоб відкрити його
• Виберіть Опція повного сканування і вибрати Почніть сканування (як варіант, ви можете шукати окремі файли за ключовими словами)
• Після завершення сканування виберіть файли, які ви хочете отримати, і натисніть на них Відновити кнопку Використовуйте Data Recovery Pro

Спосіб 2. У деяких випадках ShadowExplorer може відновити всі дані, зашифровані програмним забезпеченням-вимагачем Seto

Як ми вже згадували раніше, програмне забезпечення Seto ransomware запрограмовано на видалення файлів, які зберігаються автоматичною системою резервного копіювання Windows – Shadow Volume Copies. Однак у деяких випадках шкідливе програмне забезпечення може не усунути ці резервні копії – саме тоді ShaodwExplorer є чудовим варіантом для відновлення всіх ваших даних:

• Завантажити ShadowExplorer (пряме посилання) і встановіть його, дотримуючись інструкцій на екрані
• Після завершення відкрийте програму та виберіть диск, з якого ви хочете відновити файли
• Виберіть папку, клацніть правою кнопкою миші та виберіть Експорт ShadowExplorer може допомогти вам, якщо Seto не вдалося видалити копії тіньового тому

Спосіб 3. Спробуйте функцію попередніх версій Windows

Користувачі, у яких було ввімкнено відновлення системи до того, як програмне забезпечення-вимагач Seto атакувало їхні комп’ютери, мають ще один шанс відновити втрачені файли. Однак майте на увазі, що цей параметр вимагає відновлення кожного з файлів окремо, тому процес може зайняти деякий час.

• Знайдіть файл, який потрібно відновити
• Клацніть на ньому правою кнопкою миші та виберіть Відновити попередні версії Якщо у вас було ввімкнено відновлення системи, ви зможете відновити файли, зашифровані програмою-вимагачем Seto, один за одним
• Натисніть на попередню версію та виберіть Відновлення

Вам слід уникати сплати викупу за інструмент розшифровки програм-вимагачів Seto

Варто сказати, що дослідники безпеки постійно працюють над інструментами відновлення, які могли б допомогти користувачам не платити кіберзлочинцям. STOPDecrypter був одним із інструментів, які іноді допомагали зупинити жертв програм-вимагачів (його розробник зараз працює над новою версія), а старіші варіанти програм-вимагачів, такі як DATASTOP або INFOWAIT, можна було розшифрувати завдяки фірмі з кібербезпеки Dr. Web дослідники. Тому є ймовірність, що програмне забезпечення-вимагач Seto буде повністю розшифровано в майбутньому, тому переконайтеся, що ви підготували резервні копії.

У деяких випадках платити хакерам може бути єдиним виходом. Однак майте на увазі, що ви можете втратити свої гроші, тому робіть це на свій страх і ризик.

Відновлення файлів та інших компонентів системи автоматично

Щоб відновити свої файли та інші компоненти системи, ви можете скористатися безкоштовними посібниками експертів ugetfix.com. Однак, якщо ви вважаєте, що у вас недостатньо досвіду, щоб самостійно здійснити весь процес відновлення, ми рекомендуємо використовувати наведені нижче рішення для відновлення. Ми перевірили кожну з цих програм та їх ефективність для вас, тому все, що вам потрібно зробити, це дозволити цим інструментам виконати всю роботу.

Reimage - запатентована спеціалізована програма для відновлення Windows. Він діагностує ваш пошкоджений ПК. Він сканує всі системні файли, DLL і ключі реєстру, які були пошкоджені загрозами безпеки.Reimage - запатентована спеціалізована програма відновлення Mac OS X. Він діагностує ваш пошкоджений комп’ютер. Він сканує всі системні файли та ключі реєстру, які були пошкоджені загрозами безпеки.
Цей запатентований процес ремонту використовує базу даних з 25 мільйонів компонентів, які можуть замінити будь-який пошкоджений або відсутній файл на комп’ютері користувача.
Щоб відремонтувати пошкоджену систему, необхідно придбати ліцензійну версію Reimage інструмент для видалення шкідливих програм.

преса