Предупреждение!

Замена статьи на Предупреждение!

Компания AVG была куплена компанией Avast, которая сама находится в процессе слияния с NortonLoveLock. Ранее Norton был частью Symantec (США), которой уже нет. Symantec самопродался корпорации Broadcom Inc (США).  

Как видите, даже известные крупные компании продаются и самопродаются, подчиняясь законам крупного капитала. Разумеется, их продукты сразу изменяются в угоду новому хозяину. 

Avast (Чехия) и ESET (Словакия) находятся во враждебных с Россией отношениях, и подчиняются директивам США и НАТО. Разумеется, они будут продолжать, как и прежде, следить за всеми вашими действиями на ПК и в Интернете и отправлять информацию в свой штаб в еще большем количестве. 

Не обольщайтесь, что с вас нечего взять. Вы потенциальная жертва, вы объект для вирусной рекламы и дезинформации, для запугивания и прямых угроз. Идёт информационная война и вы уже потенциальная жертва, и даже потенциальный агент и информатор, если им удастся вас обмануть и заманить в свои сети. 

Поэтому я рекомендую вам ни при каких условиях не принимать пользовательское соглашение и не устанавливать никакие антивирусные и вспомогательные программы от Avast и ESET. 

Это может быть опасно для вас, вашей конфиденциальной информации и ваших файлов. Если они у вас установлены, удалите немедленно и бесповоротно. 

Если у вас установлены CCleaner, CCleaner Browser, Defraggler, Kamo, Recuva, Speccy то расстаньтесь с ними немедленно. Это связанное с Avast ПО является такими же источниками воздействия и слежения за вашим действиями на ПК и в Интернете. 

Всем, кто купил недавно ПО от Avast или ESET, рекомендуется вернуть его в магазин, как вредоносное или неподходящее для пользователей из России. 

Магазинам и ритейлерам рекомендуется вернуть закупленное ПО от Avast и ESET поставщикам или просто уничтожить. Это ПО не будет активироваться по коду активации. Эти компании не будут оказывать поддержку пользователя из России, но будут продолжать собирать конфиденциальную информацию и отправлять в штаб НАТО. 

Теперь это вражеское ПО и вражеские компании. Не шутите с этим. 

© Amigo-A (Andrew Ivanov): All blog articles.

Актуальная защита от шифровальщиков

Актуальная антивирусная защита ПК 

и мобильных устройств

Translation into English

Важная составляющая при пользовании ПК и использовании Интернет — это актуальная антивирусная защита. При пользовании Интернет с домашнего ПК антивирусная защита является неотъемлемой частью защиты вашего ПК и информации, которая хранится на компьютере или используется онлайн при посещении сайтов, авторизации на них и вводе персональных данных. 

Для защиты корпоративной сети и обеспечения безопасности бизнеса необходима многоуровневая защита. Пренебрежение этим фактом или использование простой антивирусной защиты ставит под удар предприятие или организацию, ведет к краху системы и банкротству, а также ставит под сомнение компетентность самого руководства. 

Для защиты предприятий, организаций и бизнеса любого уровня, нами разработан и опубликован в свободный доступ "Комплекс мероприятий для защиты от Ransomware", включая хакерские атаки и прочие вторжений в сеть. Вы можете распечатать и использовать его для максимальной защиты своей организации, учреждения или предприятия. 

Здесь мы сделаем упор на домашних пользователей. Как бы не отговаривали вас некие "особо умные" и "продвинутые" специалисты или знакомые, лучшим антивирусным средством защиты ПК и персональных данных являются платные антивирусные программы класса Internet Security и выше. Без них ваши файлы и данные открыты для злоумышленников. 

Никакие бесплатные антивирусы не обеспечат вам того необходимого уровня защиты, который дают антивирусные программы класса Internet Security и выше. Просто запомните это и приобретите их в местном компьютерном магазине или на сайте компании-разработчика. 

Здесь мы не будет говорить о их плюсах и минусах, а размещаем только ссылки на сайты компаний-разработчиков антивирусной защиты. Разумеется, это только их часть, но если вы не нашли здесь других производителей, значит их мы не рекомендуем или они используют антивирусные движки тех, что есть в списке, или их продукты не имеют русские версии, или есть другая причина... 

Никогда не используйте устаревшие версии антивирусных программ!!! Смотрите в программе на знак ©, рядом указывается год выпуска. 

Остерегайтесь скачивать дистрибутивы антивирусных программ с неофициальных сайтов!!! Используйте только официальные сайты. 

Ссылки на официальные сайты расположены ниже. 
Логотипы добавлены для наглядности и удобства. 

= Kaspersky для предприятий и бизнеса =

Kaspersky для защиты крупных предприятий (официальный сайт)
Kaspersky Security для бизнеса - Контроль и защита рабочих мест
Kaspersky Industrial CyberSecurity - Защита критических инфраструктур
Kaspersky Fraud Prevention - Защита от кибермошенничества
Kaspersky Security для виртуальных и облачных сред
Kaspersky Threat Management & Defense - Защита от передовых угроз и целевых атак
Kaspersky IT Security Calculator - Расчет профиля кибербезопасности

Защита встраиваемых систем и Интернета вещей (официальный сайт)
+ Защита критических инфраструктур
+ Кибербезопасность транспортных систем
+ Kaspersky Embedded Systems Security

Kaspersky Automated Security Awareness Platform - инструмент для овладения навыками кибербезопасности (обучение сотрудников)

Kaspersky для среднего бизнеса (официальный сайт)
Kaspersky Endpoint Security для среднего бизнеса

Облачная защита бизнеса от Kaspersky (официальный сайт)
Kaspersky Endpoint Security Cloud и Cloud Plus 
Kaspersky Security для Microsoft Office 365

Kaspersky для малого бизнеса (официальный сайт)
Kaspersky Small Office Security 

= Kaspersky для домашних пользователей =

Kaspersky Total Security (официальный сайт)
Kaspersky Internet Security (официальный сайт)
Kaspersky Free (официальный сайт)
Kaspersky Internet Security для Android (официальный сайт)
Kaspersky Internet Security: Антивирус и Защита (Google Play Маркет)

= Dr.Web для бизнеса =

Dr.Web Enterprise Security Suite (официальный сайт)
Dr.Web Desktop Security Suite (официальный сайт)
Dr.Web Server Security Suite (официальный сайт)
Dr.Web Mobile Security Suite (официальный сайт)
Dr.Web «Малый бизнес» (официальный сайт)
Комплект Dr.Web Универсальный (официальный сайт)
Комплекты Dr.Web для учреждений дошкольного, начального, среднего и дополнительного образования (официальный сайт)

= Dr.Web для дома =

Dr.Web Security Space (официальный сайт)
Dr.Web KATANA (официальный сайт)
Dr.Web Security Space для Android (официальный сайт)
Dr.Web Security Space (Google Play Маркет)
Антивирус Dr.Web Light (Google Play Маркет)

= Norton для домашних пользователей =

Norton Security / Norton Internet Security (официальный сайт)
Norton Security Deluxe на 5 устройств (официальный сайт)
Norton Security Premium на 10 устройств (официальный сайт)

Norton Mobile Security for Android (официальный сайт)
Norton Security for iOS (официальный сайт)
Norton Security & Antivirus (Google Play Маркет)

Помощь и поддержка пользователей Norton (сайт пользователей на русском языке)

***

Вышеназванные программы совместимы с Windows 7, 8, 8.1, 10.

© Amigo-A (Andrew Ivanov): All blog articles.

ShadowReport

ShadowReport

ShadowReport — это небольшое приложение, способное сообщать о статусе теневых копий в ОС Windows. Полное название: RansomSaver ShadowReport. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 

Сведения о цифровой подписи и сертификате

Установка ShadowReport

Окно начального и конечного этапов установки

При установке нет никаких сложностей. Всего лишь требуется разрешение для UAC на установку. 

Что делает ShadowReport?
ShadowReport собирает информацию о статусе теневых копий Windows и отправляет подробный отчёт по электронной почте на ваш почтовый ящик. Планировщик заданий будет запускать ShadowReport один раз в неделю и информировать вас о наличии здоровых теневых копий на выбранном компьютере. Для начала надо настроить отправку сообщений. 

Основное окно настроек почты

После последовательного заполнения здесь ВСЕХ необходимых данных в Планировщике заданий Windows будет создано запланированное задание RansomSaver ShadowReport. Согласно этому заданию еженедельно будет отправляться сообщение о состоянии теневых копий на указанный email для приёма сообщений. 

Пример задания RansomSaver ShadowReport

Если задача не была создана установкой, используйте следующую команду из командной строки повышенного уровня: 
SCHTASKS /Create /RU SYSTEM  /SC WEEKLY  /TN  RansomSaverShadowReport  /TR "\"C:\Program Files (x86)\SYNERGY USA llc\RansomSaver ShadowReport\RansomSaverShadowReport.exe\" auto"   /ST 10:00:00

Вы можете отредактировать задачу для выполнения в соответствии с вашими потребностями. 

Пример почтовых отправлений

Кому необходим ShadowReport?
ИТ-инженерам, оказывающим техническую поддержку, консультантам по безопасности, желающим узнать варианты восстановления в случае инцидента, ИТ-консалтинговым компаниям, оказывающим поддержку нескольким сайтам / клиентам, желающим узнать, отлично ли работает процесс создания теневых копий на серверах. Также любой пользователь, желающий иметь дополнительный элемент защиты от Ransomware, может установить и использовать ShadowReport. 

Зачем создавать теневые копии?
Shadow Copy оказался мощным инструментом на линии обороны от Ransomware. Это первая линия защиты перед восстановлением из резервной копии. Обычно создание и обновление теневых копий файлов выполняется как рутинный фоновый процесс, за которым пользователю трудновато следить. ShadowReport помогает без напряжения отслеживать теневые копии любого удалённого или локального компьютера. ShadowReport отправит вам еженедельный отчёт, в котором сообщит, что вы можете полагаться на восстановление файлов в случае атаки Ransomware.

Что не делает ShadowReport? 
Он не обнаруживает и не удаляет Ransomware. Это самый простой способ узнать, что на компьютере есть теневые копии, работающие должным образом.

Это бесплатно? 
ShadowReport совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! ShadowReport будет работать, только если в системе включено "Теневое копирование тома" (служба Windows VSS). Эта служба Windows обычно включена по умолчанию, но если вы её отключали сами, то включите и перезагрузите ПК до установки ShadowReport. 

Для справки: 
Теневое копирование тома управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Откройте последовательно: 
Панель управления -> Администрирование -> Службы -> Теневое копирование тома и проверьте. Если отключено, то перевидите типа запуска на "Автоматически" и нажмите кнопку "Запустить". 
Далее "Применить" и "ОК". 

Включение службы VSS

Что важно знать до начала использования?
Современные Ransomware пытаются удалить теневые копии, если получают права доступа. Поэтому мы предлагаем не давать пользователям права администраторского доступа. Даже, если вы единственный пользователь ноутбука, разумнее создать отдельного пользователя без прав администратора для ежедневных задач. 
Таким образом, даже если вы заразитесь Ransomware, вы всё равно сможете войти в систему как администратор и восстановить зашифрованные файлы с помощью теневых копий.

Как настроить / включить теневые копии ваших файлов

 - ссылка на внешнее руководство (на английском)

Как восстановить файлы и папки с помощью теневых копий

- ссылка на внешнее руководство (на английском)

Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/RansomSaverShadowReport.html

Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaverShadowReportSetup.zip

Официальная страница поддержки:
https://www.synergy-usa-llc.com/support.html

© Amigo-A (Andrew Ivanov): All blog articles.

RansomSaver

RansomSaver

RansomSaver — это надстройка для почтового клиента Microsoft Outlook, способная обнаруживать Ransomware. 

RansomSaver совместим со всеми версиями Outlook для 32-х и 64-х операционных систем Windows. 
RansomSaver работает с версиями 2007 и выше, включая Outlook 2016 и Outlook для Office 365. 
RansomSaver работает на всех операционных системах Windows, начиная с Windows XP.
RansomSaver устанавливается как надстройка, т.е. интегрируется в Outlook при его установке. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 

Сведения о цифровой подписи и сертификате

Основной функционал и настройки

Основной функцией RansomSaver является сканирование и поиск в теле письма вирусов шифровальщиков. 
RansomSaver проверяет email-письма, которые вы получаете, на вымогателей и может удалять все сообщение или только вложение.
RansomSaver перемещает email-письма в специальную папку "RansomSaver", которая создается в Outlook как подпапка для папки "Удалённые элементы" (Deleted Items).


Как работает RansomSaver в качестве защитной надстройки?
Каждый раз, когда вы нажимаете на письмо, содержащее вложения, RansomSaver запускает сканирование, чтобы увидеть, содержит ли вложение потенциальную угрозу для вашей системы. После сканирования RansomSaver попытается удалить инфекцию и сообщить о ней.

Как RansomSaver выявляет подозрительные письма и определяет вредоносность вложения? 
RansomSaver сканирует все возможные потенциально опасные вложения (не заблокированные самим Outlook). Он также выполняет поиск опасных исполняемых подписей внутри архивных файлов, не открывая их. Если есть положительный сигнал тревоги, электронное письмо перемещается в папку "RansomSaver" под "Deleted Items" (Удаленные элементы). 
При ложно-положительном результате вы можете переместить выбранное письмо обратно во входящие письма (папка "Inbox").

Пользователь опционально может:
- включить или отключить удаление вложений и писем; 
- отключить функции сканирования до следующего запуска Outlook;
- отключить проверку папки удалённых элементов Outlook.

Параметры доступны с панели инструментов надстройки RansomSaver. Там вы найдете варианты сканирования существующих папок для вложений Ransomware и ссылки на журнал инцидентов.

Окно настроек с переключателями

Описание функционала (перевод на русский язык)

Какие типы расширений RansomSaver считает подозрительными?
.ace, .arj, .application, .bat, .cmd, .com, .cpl, .dll, .docm, .dotm, .exe, .gadget, .hta, .inf, .jar, .js, .jse, .lnk, .mdb, .mde, .msc, .msh, .msi, .msp, .pif, .potm, .ppam, .ppsm, .pptm, .ps, .ps1, .ps2, .psc, .reg, .scf, .scr, .shs, .sldm, .vb, .vbe, .vbs, .ws, .wsc, .wsf, .wsh, .xlam, .xlsm, .xltm

Подозрительные расширения просматриваются также и внутри Zip- и Rar-архивов. 

Пример письма с вредоносным вложением

Обнаружения RansomSaver отображаются в области уведомлений, рядом с системными часами. Значок — чёрный треугольник в белом квадрате. 

Перевод сообщения:
RansomSaver
Почтовое сообщение подозрительно и будет перенесено в "RansomSaver" в разделе "Deleted Items".
Вредонос найден, Zip-файл содержит опасное / блокируемое расширение: .xlsm

Установка RansomSaver

 Окно начального и конечного этапов установки

При установке нет никаких сложностей. RansomSaver сам интегрируется в Microsoft Outlook версий: 2007, 2010, 2013, 2016. От вас не потребуется никаких усилий или особой подготовки. 

Для примера я использовал версию 2007 года. 

Кнопка и окно настроек

Отдельная опция проверки текущей папки для писем на вирусы (подозрительные файлы). 

Кнопка проверки папки и переключатель

По желанию, как мера дополнительной безопасности, можно передвинуть переключатель на опции "Recheck already..." в положение ON, чтобы перепроверка проводилась автоматически. 

Подпапка и удобный подраздел RansomSaver

Как видите, всё предельно ясно и понятно. Приятного Вам пользования!

Это бесплатно? 
RansomSaver совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! RansomSaver не является антивирусной защитой. Вы должны в обязательном порядке использовать комплексное антивирусное средство не ниже класса Internet Security. 

Например, это могут быть:
✦ Norton Security, Norton Internet Security
✦ Kaspersky Internet Security 
✦ Avast Internet Security
✦ ESET NOD32 Internet Security
✦ Avira Internet Security
✦ GData Internet Security
✦ Trend Micro Internet Security
и другие. 

Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/ransomsaver-faq.html
https://www.synergy-usa-llc.com/quick-start.html

Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaver.zip

Официальный видео-обзор: 
https://www.youtube.com/watch?v=uOdLeQ9ZBBc

© Amigo-A (Andrew Ivanov): All blog articles.

Предложите публикацию

Предложите публикацию в "Проект Anti-Ransomware"

   Вы являетесь разработчиком Anti-Ransomware или представителем компании, имеющей отдельное Anti-Ransomware решение?

  Тогда вы можете предложить свой продукт для публикации в этом проекте. Нулевые, тестовые и бета-версии не принимаются. Предлагайте только финальные проверенные версии с ЭЦП и совместимостью с антивирусным ПО. 

  Несколько обязательных условий для публикации: 

    1) Наличие отдельного Anti-Ransomware решения.
    2) Наличие бесплатной или испытательной версии.
    3) Наличие английской и/или русскоязычной версии.
    4) Наличие руководства пользователя (ENG и/или RUS).
    5) Наличие сайта и техподдержки (ENG и/или RUS).
    6) Наличие актуальной версии программы и руководства. 

  Предоставьте инсталлятор, скриншоты и ссылки для публикации. 
  Если есть видеоматериалы и тест-обзоры, то приложите ссылки. 

  Для связи с нами используйте "Форму обратной связи" (см. ниже). 

  Вы также можете предложить на тест предфинальную версию. 
  Наша тестовая группа проведёт проверку на разных ПК и выдаст заключение и/или подготовит обзор. 

  Это бесплатно, но от благодарности или ссылки на наш сайт не откажемся. ;)

   Если проверяемая программа чем-то не подошла (не понравилась), то обзора не будет, но мы будем ждать улучшенную версию этой программы. 
   Мы могли бы написать критический обзор, чтобы указать на недостатки этой программы и помочь разработчикам её улучшить, но пока это не входит в наши планы. Нет программы в обзоре, значит она пока не достойна здесь быть по ряду причин. 
   Если ваша программа является платным решением, то мы готовы посмотреть её, но нам нужна полнофункциональная версия для изучения и испытания. Понравится — опубликуем обзор. 

Anti-Ransomware Tool

Kaspersky Anti-Ransomware Tool fo Business

Сегодня всё чаще мишенью кибер-преступников, которые шифруют файлы и требуют выкуп за их восстановление или ключ дешифрования, становятся компании, организации и государственные учреждения. 

Кибер-преступникам нет дела до того, что жертвой их атаки стала некоммерческая компания, детское образовательное учреждение или больница, где проходит важная операция, а под приборами жизнеобеспечения круглосуточно находятся критические больные. Им это безразлично, т.к. они проводили атаку для того, что получить выкуп, и чем больше учреждение и больше файлов оказалось в заложниках, тем больше они захотят денег за выкуп. 

Потому, в таких случаях, не надо уповать на милосердие преступников и вести с ними переговоры. Надо сразу звонить или писать заявление в местное Управление "К" МВД России или территориальный орган МВД России. Это их работа "общаться" с преступниками.

Превентивные меры

Атаку шифровальщиков-вымогателей легче предотвратить, чем страдать от последствий. Для этих целей, в "Лаборатории Касперского" выпустили новое программное решение под названием Kaspersky Anti-Ransomware Tool fo Business. 

Это инструмент безопасности для бизнеса, способный блокировать вымогателей на компьютерах, работающих под управлением ОС Windows. Предназначены для предприятий, которые не используют другие программы "Лаборатории Касперского" и доступен для бесплатного скачивания на официальном сайте.

👉 Обратите внимание, чтобы получить этот продукт бесплатно, вам необходимо заполнить форму на сайте, который запрашивает фамилию, имя, номер телефона, email-адрес, название компании, страну и количество рабочих станций. 

Страница и сама программа на английском языке! 
Файл справки доступен только после установки! 

 

Начальное и конечное окно установщика

Kaspersky Anti-Ransomware Tool fo Business (KARTB) совместим с другим защитным программным обеспечением безопасности, при условии, что это не другие программы "Лаборатории Касперского", с которыми он как раз и не совместим.

KARTB работает в фоновом режиме, контролируя программную деятельность в системе. При обнаружении вредоносного ПО, он автоматически блокирует его и добавляет в список заблокированных приложений (Blocked Applications). 

Можно самостоятельно добавить в список доверенных приложений (Trusted Applications) любую нужную программу, например, один из модулей другой антивирусной программы. 

KARTB использует собственную сигнатурную базу и технологию Kaspersky Security Network, основанную на облачной работе, объединяющей информацию от пользователей всех продуктов "Лаборатории Касперского".

👉 Для выявления характерного поведения программ-вымогателей инструмент KARTB использует две технологии: Kaspersky Security Network и «Мониторинг активности».

Возможно, что перед блокировкой, вредоносная программа может успеть произвести нежелательные действия в операционной системе: создать или распаковать свои файлы или изменить файлы, находящиеся в системе, или сделать какие-то изменения в реестре Windows. Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений в системе. В него входит восстановление измененных файлов или внесение изменений в реестре Windows. 

Основные возможности KARTB:
Бесплатное и довольно легкое программное решение;
Обнаружение на уровне бизнес-решений (KES for Windows);
Технологии защиты: файловый антивирус + Мониторинг активности;
Совместимость со сторонними антивирусными решениями;
Поддержка популярных систем: от Windows 7 до последних Windows 10;
Отправка по email администратору отчётов об обнаружении. 

Поддерживаемые операционные системы: 
Microsoft Windows 7 Starter x32 SP 1 и выше, Microsoft Windows 7 Home Basic SP 1 и выше, Microsoft Windows 7 Home Premium SP 1 и выше, Microsoft Windows 7 Professional SP 1 и выше, Microsoft Windows 7 Ultimate SP 1 и выше, Microsoft Windows 8, Microsoft Windows 8 Pro, Microsoft Windows 8 Enterprise, Microsoft Windows 8.1 (Windows 8.1 Update), Windows 8.1 Pro (Windows 8.1 Update), Windows 8.1 Enterprise (Windows 8.1 Update), Microsoft Windows 10 Home, Microsoft Windows 10 Pro, Microsoft Windows 10 Enterprise.

Официальная страница утилиты:
https://www.kaspersky.com/anti-ransomware-tool

Видеоролики с KARTB:
Стресс-тестирование программы: https://www.youtube.com/watch?v=CuzbRj_JgSw
Установка и пример работы: https://www.youtube.com/watch?v=0pHuvMm30SI

Ссылки на загрузку утилиты:

https://kas.pr/kart-home
https://kas.pr/kart-business

© Amigo-A (Andrew Ivanov): All blog articles.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 ноября 2018:
Версия 2.0.0.76
Скриншоты, демонстрирующие установку и интерфейс новой версии.

1) 2)

3) 

1-2-3) Принятие соглашения, ввод данных и установка

4) 

5) 

4-5) Главное окно и настройки

6) 

6) Управление блокированными и разрешенными приложениями

7) 

7) Окно "О программе", номер версии, копирайт

8)  файл версии 2

8) новые файлы версии 6

8) Значки программы с логотипом "Лаборатории Касперского" и кубики. 


© Amigo-A (Andrew Ivanov): All blog articles.

CryptoSearch

CryptoSearch

CryptoSearch — это инструмент, который может помогает выяснить с помощью какого конкретного крипто-вымогателя (шифровальщика) были зашифрованы файлы, и позволяет скопировать или переместить файлы в другое место для архивирования в надежде на дешифрование когда-либо в будущем. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.

Файлы CryptoSearch

Файлы CryptoSearch (слева направо): лог программы, исполняемый файл и данные, полученные из службы ID Ransomware. 

CryptoSearch не требует установки в систему. Достаточно только запуска исполняемого файла. 

CryptoSearch работает совместно со службой ID Ransomware, потому при запуске приложения компьютер должен быть подключен к Интернету. При запуске CryptoSearch будет запрашивать службу ID Ransomware, чтобы получить данные, необходимые для идентификации типа вымогателя, который блокировал компьютер пользователя. Как правило Ransomware используют определённые шаблоны или файловые маркеры, которые они оставляют на зашифрованных файлах, а CryptoSearch проверяет их по базе данных службы ID Ransomware. Эти данные обновляются ежедневно. 

В обновлённой версии имеется автономный режим, когда утилита уже использует внутреннюю базу данных ID Ransomware. Потому вновь скачанный CryptoSearch можно использовать на компьютерах, не подключенных к Интернету.

Сведения о цифровой подписи и сертификате

Главное окно программы

Можно использовать CryptoSearch для ручного поиска конкретного расширения или байта данных путём использования параметров поиска.

Меню выбора Ransomware из списка

Можно самостоятельно задать поиск по известному расширению, добавляемому шифровальщиком к зашифрованным им файлам. 

Выбор поиска по расширению

Опции, доступные через галочки справа и радио-кнопки рядом с кнопкой Search (Поиск):
List Files — список зашифрованных файлов, которые выводятся столбиком;
List Clean folders — список чистых папок, которые не имеют зашифрованных файлов;
Search Directory - поиск в каталоге, указанном вручную;
Search Computer - поиск по всему компьютеру (проверка побуквенно всех дисков, в том числе сетевых). 

После того, как сканирование будет завершено, в меню "Файл" появятся следующие опции:
Export List  - сохраняет список зашифрованных файлов в текстовый файл;
Archive Files - позволяет копировать или перемещать зашифрованные файлы в другое место для архивного сохранения, в надежде на расшифровку в будущем. 

Опции меню "Файл"

При выборе опции "Archive Files" программа просит:
"Move Files? Would you like to move files to the destination folder? Press "No" to copy files."

Перевод на русский язык:
"Переместить файлы? Вы точно хотите переместить файлы в выбранную папку? Нажмите "Нет" для копирования файлов."

На следующем примере видно, что собранные файлы сохраняют полную структуру папок, включая букву диска. Например, эти файлы были перемещены в "C:\Backup\C:\Test\...".

Архивное сохранение завершено

ВАЖНО! CryptoSearch не расшифровывает данные. Шифровальщики, которые не добавляют ни расширения, ни маркера к зашифрованным файлам, не будут определены CryptoSearch. Пока, во всяком случае. 

Всё. Теперь с помощью CryptoSearch вы можете:
а) узнать, каким известным шифровальщиком были зашифрованы ваши файлы;
б) избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch. 

Официальная страница утилиты:

https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/

Ссылка на загрузку утилиты:

https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

© Amigo-A (Andrew Ivanov): All blog articles.