Вирус-шифровальщик зашифровал файлы: что делать в первые 30 минут и как попытаться вернуть данные (2026)

Коротко: что сделать прямо сейчас (самое важное)

• Сразу отключите интернет (Wi-Fi и кабель). Если компьютер в офисе, лучше выдернуть кабель сети.
• Отключите внешние диски и флешки (USB-накопители, внешние HDD/SSD) и не подключайте новые.
• Если шифрование идёт прямо сейчас (файлы “превращаются” на глазах) - лучше выключить ПК кнопкой питания (да, грубо, но иногда это спасает остаток данных).
• Не переустанавливайте Windows и не запускайте “чистилки” в первые минуты. Можно потерять следы и шанс восстановления.
• Сфотографируйте записку вымогателей, расширения файлов и название вируса (если видно). Это пригодится для подбора расшифровщика.

Что произошло и почему важно не делать лишнего

Шифровальщик обычно делает две вещи:

• шифрует файлы (документы, фото, базы, проекты), меняет расширение и делает их нечитаемыми;
• пытается распространиться дальше: на сетевые папки, другие компьютеры, подключённые диски, иногда даже в облако через синхронизацию.

Первые 30 минут важны потому, что вы можете остановить распространение и сохранить то, что ещё не зашифровано.

Чего точно не делать:

• не платите сразу (даже если очень страшно). Платёж не гарантирует расшифровку;
• не удаляйте “всё подряд”, не чистите реестр наугад;
• не переустанавливайте Windows до того, как сохраните зашифрованные файлы (они могут понадобиться для расшифровки);
• не запускайте сомнительные “расшифровщики” из интернета (часто это второй вирус).

План на первые 30 минут (по шагам)

0-5 минут: изоляция

1. Отключите интернет: выключите Wi-Fi или выдерните кабель Ethernet.
2. Отключите все внешние накопители: флешки, внешние диски, карты памяти.
3. Если компьютер подключён к NAS/сетевым папкам, лучше временно отключить доступ (если умеете) или просто не трогать сеть.

5-10 минут: понять, идёт ли шифрование сейчас

Если вы видите, что файлы продолжают меняться (появляются новые расширения, новые записки), значит процесс ещё работает.

• Если шифрование явно продолжается - выключение ПК кнопкой питания может спасти часть данных.
• Если всё “уже случилось” и новых файлов не появляется, лучше действовать аккуратнее и попробовать остановить вредный процесс корректно.

10-20 минут: фиксируем признаки (это важно для расшифровки)

Это звучит странно, но “улики” реально помогают.

• Сфотографируйте записку с требованием выкупа (название, e-mail/сайт, ID жертвы).
• Запишите, какое расширение стало у файлов (например .locked, .djvu, .crypt, .thor).
• Откройте любую папку с файлами и посмотрите, не появился ли файл типа README.txt / HOW_TO_DECRYPT.html.

20-30 минут: сохраняем зашифрованные файлы (чтобы был шанс восстановить позже)

Очень важный момент: даже если вы не можете расшифровать сейчас, через месяц может появиться бесплатный расшифровщик. Поэтому зашифрованные файлы нужно сохранить.

• Подготовьте внешний диск, который не был подключён во время атаки.
• Подключите его только после того, как компьютер уже отключён от интернета.
• Скопируйте несколько папок с важными зашифрованными файлами + записку вымогателей.
• После копирования сразу отключите внешний диск.

Если вы боитесь подключать диск, лучше сначала проконсультироваться или сделать копирование через другого “чистого” компьютера (например, вытащить диск из ПК и подключить как второй диск).

Как остановить шифровальщик, если Windows ещё работает

Если система ещё запускается и вы хотите попробовать остановить активный процесс, делайте аккуратно.

Способ для новичка через интерфейс:

1. Откройте Диспетчер задач: Ctrl + Shift + Esc.
2. Отсортируйте по “ЦП” или “Диск”.
3. Если видите процесс с непонятным названием, который грузит диск и CPU - можно нажать “Снять задачу”.

Важно: не трогайте системные процессы Windows (System, svchost.exe и похожие), если не уверены. Лучше остановить подозрительные “одноразовые” процессы с странными именами.

После этого можно перейти к проверке антивирусными утилитами (ниже).

Проверка на вирусы: чем проверять безопасно (официальные инструменты)

Лучше использовать проверенные утилиты с официальных сайтов:

• Kaspersky Virus Removal Tool: официальная страница KVRT
• Dr.Web CureIt!: официальная страница CureIt
• Malwarebytes Free: официальный сайт Malwarebytes
• Microsoft Defender Offline (встроено): «Безопасность Windows» → «Параметры сканирования» → «Автономная проверка».

Как лучше действовать:

1. Сначала Defender Offline (если доступен) и перезагрузка.
2. Потом KVRT или CureIt, полная проверка всех дисков.
3. Потом Malwarebytes как контроль.

Пока вы не уверены, что вирус удалён, не подключайте внешние диски и не включайте синхронизацию облаков.

Как попытаться вернуть данные (реальные варианты)

Важно понимать честно: если это современный шифровальщик с сильным шифрованием, “одной кнопки” может не быть. Но варианты всё равно есть, и иногда они реально спасают.

1) Проверить, есть ли бесплатный расшифровщик

Некоторые семейства шифровальщиков со временем получают бесплатные расшифровщики (когда находят уязвимость или полиция получает ключи).

Самое главное: вам нужно знать какое расширение и какая записка. По ним и определяется семейство.

Если вы не уверены, лучше не экспериментировать. Можно начать с консультации, чтобы не потерять шанс на расшифровку.

2) Резервные копии и облака (часто это лучший путь)

Проверьте:

• Есть ли копии на внешнем диске (который не был подключён во время заражения).
• Есть ли копии в OneDrive/Google Drive/Яндекс Диске и можно ли сделать откат версий.
• Есть ли резервная копия Windows (образ системы) или “История файлов”.

Важное предупреждение: не включайте синхронизацию облака обратно, пока не уверены, что вирус удалён. Иначе он может зашифровать то, что ещё не успел.

3) Теневые копии (Иногда работают, но часто вирус их удаляет)

В Windows есть механизм “Теневые копии” (Shadow Copies). Многие шифровальщики их стирают, но не всегда успевают.

Если вам повезло, можно попробовать восстановить предыдущие версии файлов/папок.

Через интерфейс (самый понятный способ):

1. ПКМ по папке с важными файлами → «Свойства».
2. Вкладка «Предыдущие версии».
3. Если есть версии - попробуйте “Открыть” и скопировать важное на внешний диск.

Если вкладки нет или версий нет - значит этот путь не сработал.

4) Восстановление удалённых исходников (иногда спасает фото и документы)

Некоторые шифровальщики не шифруют “на месте”, а создают новый файл и удаляют старый. Тогда есть шанс восстановить старые версии специальными утилитами. Но это работает не всегда и зависит от того, использовался ли SSD с TRIM.

Если вы хотите попробовать, используйте только официальные и известные решения:

• Recuva: официальный сайт Recuva
• PhotoRec/TestDisk: официальный сайт CGSecurity

Важно: после заражения лучше как можно меньше писать на диск, иначе вы сами перезапишете то, что можно восстановить. Идеально - работать с копией диска, но это уже более продвинутый вариант.

Стоит ли платить выкуп?

Я понимаю желание “просто вернуть файлы”. Но честный ответ такой:

• Платёж не гарантирует расшифровку.
• Вы можете получить “кривой” дешифратор и потерять данные окончательно.
• Вас могут пометить как “готового платить” и атаковать повторно.

Если данные критически важны (например, бизнес и бухгалтерия), решение иногда принимают индивидуально. Но лучше сначала попытаться: сохранить копии, удалить вирус, проверить наличие расшифровщика и резервных копий.

Что делать после: чтобы это не повторилось

• Сделайте резервное копирование по правилу 3-2-1: 3 копии, 2 разных носителя, 1 копия вне компьютера.
• Обновляйте Windows и программы (особенно браузер и офис).
• Не запускайте вложения из писем, если не уверены, даже если “счёт” выглядит правдоподобно.
• Отключите автозапуск макросов в Office, если вы ими не пользуетесь.
• Храните важное на отдельном диске и периодически делайте офлайн-копию.