Вирус-шифровальщик: что делать в первые 30 минут — экстренный план спасения файлов (2026)

Вирус-шифровальщик: что делать в первые 30 минут — экстренный план спасения файлов (2026)

Если вы открыли файл, а вместо документа увидели странное сообщение с требованием денег, или файлы вдруг изменили названия на набор букв и цифр — возможно, ваш компьютер атаковал вирус-шифровальщик (ransomware). Не паникуйте и не платите выкуп! В этой инструкции — пошаговый план действий на первые 30 минут, который поможет остановить шифрование, найти бесплатный расшифровщик и вернуть файлы. Всё объяснено просто, для новичков.

Коротко: что сделать СРАЗУ (первые 5 минут)

  • Немедленно отключите компьютер от интернета — выдерните сетевой кабель или отключите Wi-Fi (через значок в трее или клавишей на ноутбуке).
  • Отключите все внешние диски и флешки — чтобы вирус не добрался до них.
  • Не перезагружайте компьютер — это может удалить теневые копии, которые помогут восстановить файлы.
  • Не удаляйте записку с требованием выкупа — она поможет определить тип вируса.
  • Сфотографируйте сообщение вируса — сохраните текст, email, ссылку на оплату (это пригодится для поиска дешифратора).
Нужна срочная помощь? Могу подключиться удалённо, помочь определить тип шифровальщика, проверить наличие бесплатного дешифратора, попытаться восстановить файлы из теневых копий и защитить систему от повторной атаки. Действуем быстро и безопасно.

Что такое вирус-шифровальщик и как он работает

Вирус-шифровальщик (ransomware) — это вредоносная программа, которая шифрует ваши файлы (документы, фото, видео) и требует выкуп за расшифровку. Обычно после атаки:

  • Файлы меняют расширение на странное: .locked, .encrypted, .crypt, .xyz123 и т.д.;
  • На рабочем столе и в папках появляются текстовые файлы с требованием выкупа: !!!READ_ME.txt, DECRYPT_INSTRUCTIONS.html;
  • Открывается окно с угрозами и инструкцией по оплате в криптовалюте.

Важно: в 70% случаев платить НЕ НУЖНО — существуют бесплатные дешифраторы, или файлы можно восстановить из теневых копий Windows.

Злоумышленники рассчитывают на панику. Ваша задача — действовать хладнокровно и по плану.

1) Изолируем заражённый компьютер (останавливаем распространение)

Первое и самое важное — не дать вирусу зашифровать ещё больше файлов или перебраться на другие устройства в сети.

Отключаем интернет:

  • Кабель: просто выдерните Ethernet-кабель из компьютера или роутера.
  • Wi-Fi: нажмите на значок сети в правом нижнем углу → переключите «Беспроводная сеть» в положение «Откл.» или используйте клавишу Fn + F2 (зависит от ноутбука).

Отключаем внешние накопители:

  • Аккуратно извлеките все USB-флешки, внешние жёсткие диски, карты памяти.
  • Если система пишет «Устройство используется» — не нажимайте «Извлечь», просто аккуратно отключите кабель (вирус уже мог их заразить, но лучше минимизировать риск).

Если компьютер в локальной сети (офис, дом):

  • Предупредите коллег или членов семьи — возможно, их компьютеры тоже под угрозой.
  • По возможности отключите от сети другие устройства, чтобы вирус не распространился.
Почему нельзя перезагружать? Перезагрузка может удалить «Теневые копии» Windows — встроенный механизм резервного копирования, который иногда помогает восстановить файлы без дешифратора.

2) Определяем тип шифровальщика (ключ к расшифровке)

Чтобы найти бесплатный дешифровщик, нужно понять, какой именно вирус атаковал ваш ПК.

Смотрим записку с требованием выкупа:

  1. Откройте текстовый файл, который появился на рабочем столе или в папках (обычно называется README.txt, HOW_TO_DECRYPT.html и т.п.).
  2. Скопируйте или сфотографируйте:
    • Название вируса (если указано);
    • Email для связи;
    • Ссылку на сайт злоумышленников;
    • Пример зашифрованного имени файла (например, document.docx.locked).

Используем онлайн-идентификаторы:

Зайдите с другого, незаражённого устройства (телефон, планшет, другой ПК) на один из сайтов:

  • NoMoreRansom.org — международный проект с бесплатными дешифраторами;
  • ID Ransomware — загрузите записку выкупа и пример зашифрованного файла, сервис определит тип вируса;
  • Kaspersky Decryptors — коллекция бесплатных утилит от «Лаборатории Касперского».

Как пользоваться ID Ransomware:

  1. На незаражённом устройстве откройте сайт id-ransomware.malwarehunterteam.com.
  2. Нажмите «Выберите файл» и загрузите записку с требованием выкупа.
  3. Загрузите один зашифрованный файл (любой, небольшого размера).
  4. Нажмите «Отправить» и дождитесь результата.
  5. Если вирус известен — сайт покажет ссылку на бесплатный дешифровщик.
Важно: никогда не скачивайте «дешифраторы» с подозрительных сайтов или из писем злоумышленников — это может быть ещё один вирус. Используйте только официальные источники из списка выше.

3) Проверяем теневые копии Windows (бесплатное восстановление)

Windows автоматически создаёт «Теневые копии» файлов — это может спасти ваши данные, даже если дешифратора нет.

Способ А: Через интерфейс (проще для новичков)

  1. Найдите зашифрованный файл или папку, которую нужно восстановить.
  2. Кликните по ней правой кнопкой мыши → выберите «Свойства».
  3. Перейдите на вкладку «Предыдущие версии».
  4. Если в списке есть версии файлов с датой до атаки — выделите нужную и нажмите «Восстановить».

Способ Б: Через программу Shadow Explorer (если вкладка пуста)

Иногда стандартный интерфейс не показывает теневые копии. Поможет бесплатная утилита:

  1. На незаражённом устройстве скачайте Shadow Explorer с официального сайта: shadowexplorer.com.
  2. Запишите программу на флешку.
  3. Подключите флешку к заражённому ПК (только для запуска программы, не копируйте файлы!).
  4. Запустите Shadow Explorer от имени администратора.
  5. В верхней панели выберите диск (обычно C:) и дату до заражения.
  6. Найдите нужные файлы, кликните правой кнопкой → «Export» → выберите папку на внешнем диске для сохранения.

Если теневых копий нет: возможно, вирус их удалил. Не отчаивайтесь — переходите к следующему шагу.

4) Ищем бесплатный дешифровщик (если вирус известен)

Для многих шифровальщиков уже созданы бесплатные утилиты расшифровки. Вот как их найти и использовать:

Популярные дешифраторы (скачивать только с официальных сайтов!):

  • NoMoreRansom.org — более 100 бесплатных дешифраторов для разных семейств вирусов;
  • Kaspersky Decryptors — утилиты от «Лаборатории Касперского» для конкретных штаммов;
  • Avast Decryptors — коллекция бесплатных инструментов от Avast;
  • Emsisoft Decryptors — дешифраторы для распространённых шифровальщиков.

Как использовать дешифратор (общая инструкция):

  1. На незаражённом устройстве скачайте нужный дешифратор с официального сайта.
  2. Запишите программу на флешку.
  3. На заражённом ПК запустите дешифратор от имени администратора (правый клик → «Запуск от имени администратора»).
  4. Укажите папку с зашифрованными файлами или выберите весь диск.
  5. Нажмите «Decrypt» / «Расшифровать» и дождитесь завершения.
  6. Проверьте, восстановились ли файлы.

Важно: некоторые дешифраторы работают только с определёнными версиями вируса. Если программа выдала ошибку — возможно, ваш штамм не поддерживается. Попробуйте другой инструмент или обратитесь к специалистам.

5) Проверяем резервные копии и облака (если они есть)

Если вы ранее настраивали резервное копирование — это ваш спасательный круг.

Где искать сохранённые файлы:

  • OneDrive / Яндекс.Диск / Google Диск: зайдите в веб-версию сервиса с другого устройства. Часто облака хранят историю версий файлов — можно откатиться к состоянию до шифрования.
  • Внешний жёсткий диск: если он был отключён во время атаки, файлы на нём должны быть в безопасности.
  • Сетевое хранилище (NAS): проверьте, не затронуты ли файлы на нём.
  • Встроенное резервное копирование Windows: «Панель управления» → «История файлов» → посмотрите, есть ли сохранённые версии.

Как восстановить из OneDrive (пример):

  1. На другом устройстве откройте onedrive.live.com и войдите в свой аккаунт.
  2. Найдите зашифрованный файл, кликните по нему правой кнопкой.
  3. Выберите «Журнал версий».
  4. Найдите версию с датой до атаки и нажмите «Восстановить».

Совет на будущее: настройте правило 3-2-1 для бэкапов: 3 копии данных, на 2 разных носителях, 1 из которых хранится отдельно (например, в облаке).

6) Если файлы не восстановить — чистая переустановка (безопасный вариант)

Если дешифратора нет, теневых копий нет, и бэкапов нет — к сожалению, файлы могут быть утеряны. Но важно полностью очистить систему, чтобы вирус не остался и не атаковал снова.

Почему нельзя просто «удалить вирус»:

  • Шифровальщики часто оставляют «закладки» для повторного заражения;
  • Антивирусы могут не найти все компоненты сложного вируса;
  • Единственный гарантированный способ — чистая установка Windows.

Как безопасно переустановить Windows:

  1. На незаражённом ПК скачайте официальный образ Windows с сайта Microsoft: microsoft.com/software-download.
  2. Запишите образ на флешку с помощью Rufus (официальный сайт: rufus.ie).
  3. На заражённом ПК загрузитесь с флешки (обычно нужно нажать Del / F2 / F12 при включении).
  4. При установке выберите «Выборочная установка» → удалите все разделы на системном диске → создайте новый.
  5. Установите Windows «с нуля».
  6. Сразу после установки обновите систему и установите антивирус (встроенный Защитник Windows — отличный бесплатный вариант).

Важно: перед переустановкой, если есть возможность, скопируйте не зашифрованные файлы (документы, фото) на внешний диск — но только после тщательной проверки антивирусом!

7) Сообщите о происшествии (помогите другим)

Ваш случай может помочь другим жертвам и специалистам в борьбе с киберпреступностью.

Куда можно сообщить:

  • Портал «Госуслуги»: раздел «Кибермошенничество» — для граждан РФ;
  • Лаборатория Касперского: форма отправки образцов — поможет создать новый дешифратор;
  • NoMoreRansom: через форму обратной связи на сайте — добавят ваш случай в базу.

Что подготовить для отчёта:

  • Скриншоты сообщения вируса;
  • Примеры зашифрованных имён файлов;
  • Текст записки с требованием выкупа;
  • Дата и время обнаружения атаки;
  • Как вирус мог попасть на ПК (письмо, сайт, флешка и т.д.).

Как защититься от шифровальщиков в будущем

Лучшая защита — профилактика. Вот простые правила, которые снизят риск атаки:

  • Не открывайте подозрительные вложения в письмах, особенно от неизвестных отправителей (.exe, .scr, .js, .zip с паролем).
  • Обновляйте Windows и программы — многие вирусы используют старые уязвимости.
  • Используйте встроенный Защитник Windows — он бесплатный и эффективен против большинства угроз.
  • Настройте регулярное резервное копирование по правилу 3-2-1 (см. выше).
  • Отключите автозапуск для съёмных носителей: «Панель управления» → «Автозапуск» → снимите галочки.
  • Не используйте пиратский софт и кейгены — это частый источник заражения.
  • Ограничьте права учётных записей — работайте под обычным пользователем, а не администратором.
Бонус: включите «Защиту от программ-вымогателей» в Защитнике Windows: «Параметры» → «Обновление и безопасность» → «Безопасность Windows» → «Защита от вирусов и угроз» → «Управление защитой от программ-вымогателей» → включите «Контролируемый доступ к папкам».

FAQ

Я заплатил выкуп — вернут ли мне файлы?

Статистика показывает: только 40-60% заплативших получают дешифратор, и часто он работает с ошибками. Кроме того, оплата финансирует преступников. Не платите. Сначала попробуйте бесплатные методы из этой инструкции.

Антивирус не обнаружил вирус — почему?

Новые шифровальщики часто используют методы обхода (обфускация, полиморфизм). Встроенный Защитник и другие антивирусы обновляют базы с задержкой. Поэтому важны профилактика и бэкапы.

Можно ли восстановить файлы, если теневых копий нет?

Иногда помогают специализированные утилиты для восстановления данных (например, R-Studio, PhotoRec), но это сложно и не гарантирует результат. Лучше сосредоточиться на профилактике и бэкапах.

Как понять, что файлы действительно зашифрованы, а не просто скрыты?

Попробуйте открыть файл: если появляется ошибка «Формат не поддерживается» или содержимое выглядит как набор случайных символов — это шифрование. Если файл просто не виден — проверьте, не включён ли фильтр в Проводнике или не скрыт ли он атрибутами.

Что делать, если вирус зашифровал системные файлы и Windows не загружается?

Попробуйте загрузиться с загрузочной флешки с антивирусом (например, Dr.Web LiveDisk или Kaspersky Rescue Disk) и просканировать диск. Если не помогает — чистая переустановка Windows (см. раздел 6).

Читайте также:

Полезные бесплатные утилиты (скачивать только с официальных сайтов)

  • NoMoreRansom Decryption Tools — коллекция бесплатных дешифраторов для разных шифровальщиков.
  • Shadow Explorer — удобный доступ к теневым копиям Windows для восстановления файлов.
  • Kaspersky Decryptors — утилиты расшифровки от «Лаборатории Касперского».
  • Dr.Web CureIt! — одноразовый сканер для поиска и удаления вирусов.
  • Malwarebytes — дополнительный сканер для поиска вредоносного ПО.
  • Rufus — создание загрузочных флешек для переустановки Windows.
  • Media Creation Tool — официальная утилита Microsoft для создания установочного носителя Windows.

Важно: все утилиты скачивайте только с официальных сайтов, чтобы не подхватить ещё один вирус.

Итог: чек-лист на первые 30 минут

  1. 0-2 мин: Отключить интернет и все внешние диски.
  2. 2-5 мин: Не перезагружать ПК, сфотографировать сообщение вируса.
  3. 5-15 мин: С другого устройства определить тип шифровальщика через ID Ransomware или NoMoreRansom.
  4. 15-25 мин: Проверить теневые копии (вкладка «Предыдущие версии» или Shadow Explorer).
  5. 25-30 мин: Скачать и запустить бесплатный дешифровщик (если найден) или начать подготовку к чистой переустановке.

Помните: не платите выкуп, действуйте по плану, и в большинстве случаев файлы можно спасти или восстановить. А лучшая защита — это регулярные бэкапы и осторожность в интернете.