Гид по технологиям

Как удалить рансомваре Locky с компьютера

5 min read Кибербезопасность Обновлено 12 Dec 2025
Как удалить Locky: удаление и восстановление
Как удалить Locky: удаление и восстановление

Схематическое изображение предупреждения о вредоносном ПО и логотипе Locky

Что такое Locky

Locky — это тип рансомваре (шифровальщик), впервые обнаруженный в 2016 году. Простая дефиниция: Locky шифрует файлы на компьютере и требует оплату за ключ дешифрования. В последних кампаниях он распространялся через поддельные .svg-файлы, отправляемые с взломанных аккаунтов Facebook.

Важно: на текущий момент нет общедоступного универсального дешифратора для всех вариантов Locky. Это делает резервное копирование и превентивные меры критически важными.

Быстрый план действий (Playbook — Первые 60 минут)

  1. Отключите компьютер от интернета и локальной сети.
  2. Не перезагружайте и не выключайте машину, если вы планируете форензическую копию диска. Для большинства доменных пользователей — всё же перезагрузите в безопасный режим и запускайте сканирование.
  3. Сделайте резервную копию важных дисков/разделов (image) перед удалением, если есть возможность.
  4. Запустите антивредоносный сканер в безопасном режиме с поддержкой сети и удалите обнаруженные компоненты.
  5. Восстановите файлы из надежных резервных копий; если их нет — рассмотрите обращение к специалистам по кибербезопасности.

1. Запустите программу удаления вредоносного ПО

Скачайте и установите проверенное средство для удаления вредоносного ПО и выполните полное сканирование системы. Рекомендуемые инструменты:

  • Malwarebytes (пробная версия доступна)
  • Hitman Pro
  • Spybot Search & Destroy
  • SUPERAntiSpyware

Важно: перед установкой отключите все внешние накопители от компьютера.

Примечание: запустите сканирование основным антивирусом после работы специализированного средства — они находят разное.

2. Запуск Windows в безопасном режиме с поддержкой сети

  1. На экране входа в систему нажмите SHIFT + Перезагрузка. Windows 10 перезагрузится.
  2. Выберите Устранение неполадок > Дополнительные параметры > Параметры загрузки и нажмите Перезагрузить.
  3. После перезагрузки выберите Безопасный режим с поддержкой сети (нажмите соответствующую клавишу).
  4. Войдите в систему, скачайте и установите выбранное антивредоносное ПО и выполните полное сканирование.

Если система не загружается в безопасном режиме, можно использовать загрузочный антивирусный диск/USB от производителя антивируса.

3. Восстановление системы

Восстановление системы возвращает конфигурацию Windows в состояние до заражения, если ранее была создана точка восстановления.

  1. Щёлкните правой кнопкой по кнопке Пуск > выберите Панель управления.
  2. В Панели управления найдите Восстановление.
  3. Выберите Восстановление > Запуск восстановления системы > Далее.
  4. Выберите точку восстановления до момента заражения и следуйте инструкциям: Далее > Готово.

Важно: восстановление системы не всегда восстанавливает зашифрованные файлы — оно откатывает параметры системы.

Что делать, если файловый доступ утрачен и нет резервных копий

  • Оцените масштаб: какие типы файлов зашифрованы и на каких носителях.
  • Свяжитесь с ИТ-специалистом или профессиональной службой по восстановлению данных.
  • Остановитесь и документируйте: снимите скриншоты вымогательских сообщений и сохраните образ диска перед попытками восстановления.
  • Платить вымогателям — рискованно: нет гарантии получения ключа, вы поощряете преступников. Это крайняя и спорная опция.

Альтернативные подходы и когда они не работают

  • Восстановление из облака/резервных копий — лучший вариант. Если резервной копии нет, этот путь недоступен.
  • Дешифраторы: бывают для отдельных семей рансомваре, но для Locky общедоступного решения нет. Проверяйте базы данных проектов по расшифровке (No More Ransom и т.д.).
  • Полное восстановление системы (чистая переустановка) удалит шифровальщик, но не расшифрует файлы.

Модель принятия решений (Mermaid)

flowchart TD
  A[Обнаружено шифрование файлов?] -->|Да| B[Отключить от сети]
  B --> C{Есть резервные копии?}
  C -->|Да| D[Восстановить из резервной копии]
  C -->|Нет| E{Есть точка восстановления?}
  E -->|Да| F[Попробовать восстановление системы]
  E -->|Нет| G[Создать образ диска и обратиться к спецам]
  D --> H[Проверить систему антивредоносным ПО]
  F --> H
  G --> H
  H --> I[Пересмотреть политику резервного копирования и безопасности]

Ролевые чеклисты (пользователь / администратор)

  • Пользователь:

    • Отключить устройство от сети.
    • Не открывать подозрительные файлы и письма.
    • Сделать фото/скриншоты требования вымогателей.
    • Сообщить в службу поддержки/ИТ.

  • Администратор:

    • Изолировать заражённую машину от сети и домена.
    • Сделать образ система/дисков для дальнейшего расследования.
    • Запустить антивредоносные сканеры и очистить систему.
    • Проанализировать логины, проверить скомпрометированные аккаунты (включая Facebook).
    • Восстановить файлы из резервных копий и сменить пароли.

Меры защиты и профилактика (Security hardening)

  • Применяйте правило 3-2-1 для резервных копий: 3 копии, на 2 типах носителей, 1 вне сети.
  • Включите многофакторную аутентификацию (MFA) для внешних аккаунтов (включая соцсети).
  • Ограничьте автоматическое выполнение скриптов и макросов в почтовых клиентах.
  • Регулярно обновляйте ОС и приложения и используйте централизованный антивирус.

Матрица рисков и смягчения

  • Риск: потеря данных — Смягчение: регулярные резервные копии, офлайн-хранилища.
  • Риск: распространение по сети — Смягчение: сегментация сети, политика на уровне файловых серверов.
  • Риск: повторная компрометация по тому же вектору (Facebook) — Смягчение: MFA, проверка связей и приложений, смена паролей.

Критерии приёмки

  • Система загружается в обычном режиме без признаков шифрования процессов.
  • Антивирус не обнаруживает следов Locky после полного сканирования.
  • Критические данные восстановлены из проверенной резервной копии.
  • Выполнен аудит доступа и применены меры предотвращения повторного вторжения.

Краткий глоссарий — 1 строка

  • Рансомваре: вредоносное ПО, которое шифрует файлы и требует выкуп за ключ дешифрования.

Примеры отказа (когда предложенные шаги могут не помочь)

  • Отсутствуют резервные копии и точки восстановления: восстановление файлов может быть невозможным.
  • Вариант Locky — новый или модифицированный: нет доступных дешифраторов.
  • Если инфекция распространилась по сетевым шарам, локальная очистка без восстановления резервных копий не вернёт утраченные данные.

Часто задаваемые вопросы

В: Можно ли расшифровать файлы бесплатно?

A: Для большинства вариантов Locky общедоступного дешифратора нет. Иногда отдельные семейства рансомваре получают дешифраторы, но это исключение.

В: Нужно ли платить выкуп?

A: Платить рискованно: нет гарантии ключа, и вы поддерживаете преступную экономику. Рассмотрите профессиональные сервисы и правоохранительные органы.

В: Как долго длится восстановление?

A: Зависит от объёма данных, наличия резервных копий и масштабов инцидента — от нескольких часов до нескольких дней.

Важно: если вы не уверены в своих действиях, обратитесь к профессионалам по кибербезопасности; неверный шаг может навсегда потерять данные.

Конец статьи.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как защитить фотографии от кражи в интернете
Фотография

Как защитить фотографии от кражи в интернете

Как сделать дорогу на работу полезной
Лайфхак

Как сделать дорогу на работу полезной

Avast блокирует загрузки — как исправить
Безопасность

Avast блокирует загрузки — как исправить

Создать букву‑капитель в Google Docs
Редактирование

Создать букву‑капитель в Google Docs

Изоляция стола 3D‑принтера для снижения энергопотребления
3D-печать

Изоляция стола 3D‑принтера для снижения энергопотребления

Использование типа данных Geography в Excel
Excel

Использование типа данных Geography в Excel