Вирус‑шифровальщик в Windows 10/11 — что делать срочно и как попытаться вернуть файлы (2025)

Коротко: первые 10 минут

• Отключите интернет и локальную сеть: выньте кабель, выключите Wi‑Fi, разорвите подключение к NAS/файловым шарам.
• Сфотографируйте записку злоумышленников и расширения у файлов — это поможет определить семейство.
• Не перезагружайте ПК без надобности: часть шифровальщиков удаляет «тени» при старте.
• Не трогайте оригиналы зашифрованных файлов — работайте с копиями.

1) Изоляция и сбор информации

Перерыв связи спасает сетевые диски и облако. Дальше ищем признаки: записки (README/RECOVER), расширения типа .locked/.djvu и т. п.

1. Отключите сеть полностью.
2. Скопируйте 3–5 зашифрованных файлов и одну записку на чистую флешку — эти образцы пригодятся для определения семейства.
3. Сделайте снимок экрана «О диске», свободного места — чтобы оценить шанс восстановления удалённых «теней».

2) Офлайн‑проверка и лечение

Лучший шанс — сканирование вне запущенной Windows. Используем встроенный инструмент или официальные «ремоверы».

Вариант A: Microsoft Defender Offline

1. Пуск → Параметры → Обновление и безопасность → Безопасность Windows → Защита от вирусов → Параметры сканирования → Проверка Microsoft Defender автономно.
2. Согласитесь на перезагрузку. ПК загрузится в изолированной среде и проверит систему.

Вариант B: загрузочная флешка или официальные сканеры

• Microsoft Defender Offline
• Kaspersky Virus Removal Tool
• ESET Online Scanner

Скачивайте только с официальных сайтов. Не используйте «сборки» и «кряки» — так добавляют новые проблемы.

3) Реальные способы восстановления файлов

• Резервные копии. Локальные/внешние диски, облако, «История файлов». Это самый надёжный путь.
• Версии в OneDrive/Google Drive. В веб‑интерфейсе многих облаков можно откатить массовые изменения за последние дни.
• Теневые копии. Если шифровальщик не успел их удалить, используйте вкладку «Предыдущие версии» в свойствах папок/файлов.
• NoMoreRansom. Некоторые семейства имеют публичные расшифровщики.

Командная строка (Администратор) — выполняйте по одной строке:

vssadmin list shadows
wmic shadowcopy get ID,InstallDate,VolumeName

Если «тени» есть, пробуйте восстановление через «Предыдущие версии» или специализированные инструменты производителей ОС/ПО.

Проверьте семью шифровальщика и возможный расшифровщик на NoMoreRansom.

4) Полная очистка и переустановка

Если активная инфекция не удаляется, единственный гарантированный способ — чистая переустановка Windows с форматированием системного раздела. Данные берём из бэкапов/облака.

• Создайте установочную флешку Media Creation Tool с сайта Microsoft.
• Во время установки удалите разделы «Система/Зарезервировано» и создайте заново.
• Сразу после установки включите Защитник Windows, поставьте обновления и только потом подключайте диски с данными.

5) Как не попасть снова

• Запрет запуска из временных папок и почтовых вложений — используйте умолчания SmartScreen и Защитника.
• Откажитесь от «кряков», выключите макросы по умолчанию в Office.
• Включите контролируемый доступ к папкам (CFA) в Защитнике и настройте резервное копирование.

PowerShell (Администратор) — включить контроль папок (выполнять по одной):

Set-MpPreference -EnableControlledFolderAccess Enabled
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\Users\%USERNAME%\Documents","C:\Users\%USERNAME%\Pictures"
Get-MpPreference | Select ControlledFolderAccessProtectedFolders