Хороший криптор для вирусов

Web мы спасли от антивирусов несколько месяцев назад. Это было нетрудно — область относительно новая, не освоенная. С исполнимыми же файлами антивирусы борются уже десятилетиями. Побороть EXE-модуль будет сложнее, но… мы справимся :).

Выпуск 1. Ознакомительный

И найти хорошего криптора ой как сложно.

Но решение проблемы есть! Как мы знаем, антивирусные компании обмениваются технической информацией и создают специальные ресурсы, посредством которых мы сами отсылаем им сэмплы (типа VirusTotal’а). Но ведь и вирмейкеры тоже могут обмениваться информацией! Необязательно палить приватные мазы — публичные технологии тоже сгодятся. Например, было бы круто, если бы в каком-то одном месте лежали функции для генерации PE-файла, генерации импорта, шифрования ресурсов, рабочие функции определения SandBox’ов, тогда мы могли бы создавать крипторы так же непринужденно, как домики из кубиков Лего.

Кроме того, в решении проблемы здорово помогло бы использование высокоуровневых языков программирования. В паблике сейчас валяются исходники крипторов на С++ или VisualBasic’е, но ведь от этого проще не становится, поскольку разобраться в написанном коде — ой как непросто. На Python’е все выглядит в разы лучше, поэтому именно его мы сегодня и будем использовать. В общем, заложим фундамент этой благородной миссии. Присоединяйся!

Выпуск 2. PE-файл

Структура PE-файла довольно сложная, поэтому подробная документация будет ждать тебя на диске, а здесь я представлю твоему вниманию лишь избранные моменты.

Теперь посмотрим, что же нужно нам сделать, чтобы изменить файл и при этом не испортить его.

Выпуск 3. Теоретический криптор

Для начала выберем файл, который будет у нас исполнять функции лабораторной мыши. Чтобы сделать приятное Андрюшку :), мы, пожалуй, будем издеваться над Putty.exe. Упрощенно его структура будет выглядеть так:

1. Служебные данные
2. Первая кодовая секция
3. Другие секции с данными

Алгоритм криптора следующий. Создать две ассемблерные программы. Первая будет косить под обычную прогу и проверять, что мы не в эмуляторе, а потом передаст управление на вторую программу. Вторая же восстановит оригинальную структуру файла и передаст управление на оригинальную точку входа Putty. И записать эти программы в файл.

В результате получится следующая структура:

1. Служебные данные
2. Первая кодовая секция
   1. Наша первая программа, которая передаст управление на 4.2
   2. Шифрованный код первой секции
3. Другие секции с данными
4. Добавленная секция
   1. Часть кодовой секции, перезаписанной программой 2.1
   2. Вторая программа, которая оригинальный код из 4.1 поместит на 2.1, а потом расшифрует кодовую секцию и передаст на нее управление.

Выпуск 4. Практический криптор

Ну наконец-то мы добрались до сердца нашей статьи. Для работы криптора нам понадобится модуль pefile (будем использовать несколько модифицированную версию), и с помощью либы откроем Putty:

import pefile
pe = pefile.PE("putty.exe")

Магия, правда? :). А теперь прикинь, что все это пришлось бы писать на С++!

Поскольку в начале программы будет наш код, то сохраним оригинальный код, скопировав его в последнюю секцию. Адрес первой секции в файле находится в переменной — pe.sections[0]. PointerToRawData, а последней, соответственно — в pe.sections[-1].PointerToRawData:

pe.data_copy(pe.sections[0].PointerToRawData, pe.sections[-1].PointerToRawData, 512)

Оригинальный код сохранен, и мы приступим к написанию первой программы. Конечно же, писать мы ее будем на ассемблере, используя FASM для компиляции. Создадим файлик pack.tpl.asm с содержанием:

use32
mov eax, << go >>
jmp eax

Ты, наверное, уже догадался, что это не готовый исходник, это лишь шаблон для шаблонизатора из TornadoWeb, а его мы уже отлично знаем, ведь именно его мы использовали при написании HTML-морфера. Сгенерируем первую программу:

asm = Template(open("pack.tpl.asm", "r").read()).generate(
go=pe.OPTIONAL_HEADER.ImageBase + pe.sections[-1].VirtualAddress+512,
)
with open("pack.asm", "w") as f:
f.write(asm)
os.system(r"c:fasmwFASM.EXE pack.asm")

В переменной go мы передаем адрес в памяти, где будет наша вторая программа — то есть, в последней секции, начиная с 512 байта. А в последней строчке компилим результат на FASM’е. Теперь запишем получившийся код в начало первой секции:

new_pack = open("pack.bin", "rb").read()
pe.data_replace(offset=pe.sections[0].PointerToRawData, new_data=new_pack)

Вторую программу запишем в файл copy.tpl.asm. Размер у нее более внушительный, поэтому полный код смотри на диске. Там содержится два цикла, один скопирует 512 байт оригинальной программы с последней секции в первую, а второй цикл расшифрует всю первую секцию. После этого передается управление на оригинальную программу.

При компиляции темплейта нужно передать туда параметры для циклов копирования и расшифровки:

copy_from = pe.OPTIONAL_HEADER.ImageBase+pe.sections[-1].VirtualAddress
copy_to = pe.OPTIONAL_HEADER.ImageBase+pe.sections[0].VirtualAddress
oep = pe.OPTIONAL_HEADER.ImageBase+pe.OPTIONAL_HEADER.AddressOfEntryPoint
asm = Template(open("copy.tpl.asm", "r").read()).generate( copy_from=copy_from, copy_to=copy_to, copy_len=512, xor_len=pe.sections[0].Misc_VirtualSize, key_encode=1, original_oep=oep,)

Остался маленький штришок — записать вторую прогу в файл и сделать первую секцию записываемой, чтобы расшифровщик не выдавал ошибок, а также установить точку входа на начало первой секции:

new_copy = open("copy.bin", "rb").read()
pe.data_replace(offset=pe.sections[-1].PointerToRawData+512, new_data=new_copy)
pe.sections[0].Characteristics |= pefi le.SECTION_CHARACTERISTICS["IMAGE_SCN_MEM_WRITE"]
pe.OPTIONAL_HEADER.AddressOfEntryPoint = pe.sections[0].VirtualAddress
pe.write(fi lename="result.exe")

Выпуск 5. Завершающий

Если собрать кусочки кода вместе, то будет у нас всего 50 строк. Всего лишь 50 — и криптор готов! А теперь прикинь, сколько строк содержала бы программа на С? Конечно, это еще далеко не готовый продукт, над ним нужно работать и работать. Чтобы довести систему до реального криптора, нужно добавить как минимум шифрование ресурсов и импорта, а также антиэмуляцию. О том как теоретически эти проблемы решить, смотри во врезках. Удачи!

В крипторе нужно делать проверки на запуск в виртуальной машине, SandBox’е или анализаторе типа анубиса. Чтобы их зедетектить, нужно провести небольшое исследование и написать программу, которая будет на экран выводить разные внутренние параметры системы, а дальше — проверить этот файл на том же анубисе и в скриншоте посмотреть параметры, которые показала наша прога. Дальше все просто — при запуске на системе с подобными параметрами — просто уходим в цикл.

Для шифрования ресурсов мы должны пройтись по секции ресурсов и сохранить оттуда важные для запуска файла — иконки и манифест. Дальше создаем новые ресурсы с важными ресурсами, а остальное шифруем. После запуска криптора восстанавливаем все обратно.

Несколько сложнее получается с импортом, ведь его также нужно сначала зашифровать, потом сгенерировать липовый импорт, но после восстановления импорт еще нужно вручную проинициализировать, то есть — загрузить DLL’ки и сохранить в таблицу импорта реальные указатели на функции.

Кроме избавления от внешних сигнатур, очень важно, чтобы антивирус в своем эмуляторе не добрался до исходного файла. Для этого нужна антиэмуляция. Раньше были очень популярны приемы, основанные на предположении, что эмулятор не понимает все инструкции процессора. Сейчас же ситуация изменилась, и самые эффективные приемы основаны на использовании Windows API. Согласись, что антивирус вряд ли сможет эмулировать все API.

Вот тебе такая идейка для реализации:

• создаем Windows-приложение и один дополнительный поток;
• после создания потока он должен послать через API сообщение основному потоку с каким-то ключом;
• в главной программе проверяем, и если ключ правильный — передаем управление на код расшифровки основного файла;
• если код неправильный, то просто ничего не делаем и находимся в вечном цикле получения сообщений от Windows.

PS:Никогда не останавливай программу с ошибкой, это лишь прибавит криптору лишний вес. Вечный цикл получения сообщений от Windows — лучший способ.

Внутренности Антивирусов

В упрощенном виде, антивирус — это набор правил (сигнатур) и система, которая проверяет файл по этим правилам.

К примеру, пусть в антивирусе будут такие сигнатуры:

• секция с кодом, записываемая +10;
• после запуска прописывается в авторан +30;
• вторая секция с именем Zeus +30;
• меньше 4 энтропия кодовой секции +20;
• есть сертификат от майкрософта -10.

Дальше антивирь проверяет те правила, которые возможно проверить без запуска EXE, потом в эмуляторе запускает файл и проверяет все остальные правила. А после этого подсчитывает сумму, если она больше 100, значит вирус, если меньше — значит не вирус.

Как работает pefile

При загрузке в pefile экзэхи, библиотека сохраняет сам файл в pe.data, а потом обрабатывает его и создает массив структур pe.structures. Структура — это объект, у которого есть адрес. Адрес, по которому она находится в файле, и есть набор полей.

• Kamynale
• Тема
• 16.07.2019
• Ответы: 5
• Форум: RDP

• CHINKI
• Тема
• 12.03.2019
• Ответы: 3
• Форум: Прочее

• aron1ghost
• Тема
• 09.09.2018
• Ответы: 17
• Форум: Кейлоггеры/Стиллеры

• Yushino
• Тема
• 19.08.2018
• Ответы: 7
• Форум: Ищу специалиста

• Vlad4343
• Тема
• 05.07.2018
• Ответы: 4
• Форум: Кейлоггеры/Стиллеры

• MrVagner
• Тема
• 05.06.2018
• Ответы: 0
• Форум: Флудилка

• 0-day
• Тема
• 25.03.2018
• Ответы: 4
• Форум: Предлагаю услуги

• khoooma
• Тема
• 09.03.2018
• Ответы: 1
• Форум: Флудилка

• svnkill
• Тема
• 15.02.2018
• Ответы: 1
• Форум: Ищу специалиста

• Wassabi
• Тема
• 11.02.2018
• Ответы: 5
• Форум: Помощь / советы

full fud Native

2 +/- Почищу обфусцированные сорсы Дополнительно (100 р позиция) Биндер Довнлаудер Фейк меседж Инжектор в.

• Аася
• Тема
• 26.01.2018
• Ответы: 14
• Форум: Прочее

• Denzi
• Тема
• 17.01.2018
• Ответы: 0
• Форум: Ищу специалиста

• verossa
• Тема
• 14.01.2018
• Ответы: 0
• Форум: Ищу специалиста

• S.a.s.h.a
• Тема
• 08.01.2018
• Ответы: 7
• Форум: Гайды / Способы

• EvilBanana
• Тема
• 21.11.2017
• Ответы: 5
• Форум: Продать

• rmx1337
• Тема
• 07.07.2017
• Ответы: 6
• Форум: Гайды / Способы

DARK2WEB.CC — форум, посвященный вопросам заработка в интернете, различные схемы мошенников, IT вопросам и многое другое. Это форум о заработке в сети интернет.

Администрация не несет никакой ответственности за публикации на данном форуме. Если Вы считаете, что в темах и сообщениях может содержаться информация, запрещенная к распространению, просим незамедлительно сообщить Администрации.

Tермины & Определение

• RunPe
• Runpe - это часть кода которая инжектирует функциональную часть вируса в память выбранного процесса.
• Injection
• Процесс по размещения PayLoad в память выбранного процесса называется Инъекция т.е Injection
• Наиболее часто инъецированные процессы:
• svchost.exe
• Regasm.exe
• explorer.exe
• Браузер по умолчанию ( chrome.exe, opera.exe, firefox.exe, iexplorer.exe )
• itselt - т.е сам ( Имея в виду PayLoad инжектится в запущенный процесс )
• vbc.exe
• cvtres.exe
• PayLoad
• объясняя новичкам это означает, файл который вы выбрали для шифрования (т.е вирус)
• Ecryption
• Алгоритм который "Защищает" преобразовывает байты выбранного файла, делая их неузнаваемыми и полностью отличающими от оригинальных байтов файла.
• Stub
• Программа создаётся для того чтоб хранить зашифрованный файл (encrypted file) и при запуске инжектировать его в память
• Это где
• Private Stub
• Тоже самое, что и выше кроме того что вы должны быть единственным человеком, использующий этот Stub
• Kод в основном сильно отличается от "Публичных Стабов" что делает его труднее обнаруживаемой при сканирование
• Дальше придерживается "FUD" - Fully undetectet

Как всё это работает?

• Иллюстрация 1.1 демонстрирует что криптер делает с вашим сервером

Иллюстрация 1.1:

• Определение Скантайма
• Файл при сканирование обнаруживаемый - означает: Если до того как его запустили Антивирус обнаруживает его или когда сканирование запущено файл был обнаружен и отмечена как Угроза
• Обнаружения при сканирование (Scantime Detect) вызваны видимыми инструкциями файла или "PE info" - как сборка/иконка, Клонированный сертификат, тип ресурсов и размер файла.
• В основном это означает что RAT/Server которую вы криптуете практический не отличается потому что файл был зашифрован Хреного плохо или для Антивирусов узнаваемым способом.
• Безопасные место где вы можете проверять Стаб на ScanTime Detection это:

MajyxScanner Scan4You AvDetect

• Oпределение Рантайма
• Файл при запуске обнаруживаемый - означает: Если файл был запущен и вашь Антивирус обнаружил его и отметил его как угрозу и Заблокировал, Остановил, Удалил его.
• Обнаружения при запуске (Runtime Detect) вызвано из за поведения. Восновом как ваш файл действует и выполняется может и вызвать обнаружение при запуске.
• Rat/Server который вы закриптовали влияют на обнаружение при запуске
• Если вы хотите избежать обнаружение при запуске (Runtime Detect) вы должны воздерживаться от перегруженных настроек. RootKit (руткит) вероятнее всего будут обнажении. Лучше всего использовать как можно меньше настроек/функций при создание вашего сервера и более из криптора. Почему? да потому что легко обнаружить поведение широко известного RAT-а, когда он некогда не был обновлён и изменён. Криптеры обновляются и модифицируются так что более надежнее использовать их настройки чтоб избежать Runtime Detect-а.
• Способ предотвратить некоторые Runtime Detect-и это Анти сканирование памяти (Anti Memory Scan). Которая в основном будет отказать в доступе к пространству памяти где ваш сервер будет работать.
• Безопасные место для сканирование Runtime Detection было Refud.Me но их Закрыли!

• Обнаружение
• Scantime
• Вызванное пользователем:

Базовые/общие обнаружение - частая причина: Размер, Иконка и информация файла выбранные пользователем. Пример общих обнаружении: Kazy (это может быть и вина "кодеров" в некоторых случаях) Bary Zusy Gen:* - этот детект можно легко убрать: Изменой иконки - (иконкой низкого разрешения / размера) Изменой информации о файле - ( найти инфо доверенных программ) Немного добавить размер - Pump File Если всё это не сработает - Попробуйте удалить информацию о файле (Используя ResHacker)

• Вызванное Криптером/програмистом(кодером):

Евристические обнаружения и некоторые общие обнаружения Структура PE Примеры обнаружения: Injector.* ( т.е общего обнаружение NOD32 Detection ) Heur.* MSIL.*

• Runtime
• Вызванное пользователем:
• Выбирание всех возможных настроек в RAT.
• Выбор общих процессов для инжекта
• Здесь некоторые инструкции как исправить всё это:
• Избегайте инжекта в процессы как svchost.exe т.е известные
• Добавьте Задержку (30сек+) этим можно обходить Рантайм некоторых Антивирусов
• Добавьте хорошую информацию и иконку

• Вызванное Криптером/программистом(кодером):
• Чрезмерное использование Runpe без модификации
• Copy&Paste кода
• Долгое время не проверял Runtime Detection

Как не "развращать" ваш Server?

• Чего Следует избегать:
• Двойное криптование - С какой стати вы это делаете.
• Кликанье на каждую отдельную функцию в RAT и в Crypter-е тоже
• Важные Вещи, что нужно держать в уме:
• ваш файл Native или .NET/Мanaged?

Native RATS програмированны без зависимостей (т.е C, C++, VB6, Delphi) DarkComet CyberGate Prototype NetWire Babylon NanoCore LuminosityLink Immenent Monitor 3 njRAT PiRat Quesar RAT

• Является ли ваш файл .NET?
• Рекомендированно использовать для инекции "itself" использование других настроек может испортить вашь файл.

• Является ли ваш Файл Native?
• Рекомендованно не использовать для инекции "itself". Выберите что-то другое.

Почему Мой Файл уже не FUD?

• Очень важные факторы в том как быстро она детектится:

Распространение вируса Где файл был загружен Насколько велике и популярна и сколько клиентов в вашем Криптосервисе Какой малварь был закриптован Антивирусы обновляются минимум раз в день!
Это и есть работа криптора, они могут стать обнаруживаемы. Но Refud чистить его возможно, это делается менее чем за час!

Как не испортить вашему криптору FUD Time?

• Чего следует избежать:

Сканирование на сайты: которые сливают ваши файлы антивирусным компаниям

• Запрещённые сайты для сканирования(здесь не все):

VirusTotal Anubis Jotti
Загрузка ваших файлов на сайты Uploading Host Files

• Запрещённые сайты для загрузок ваших файлов(здесь не все):

DropBox MediaFire GoogleDrive
Не отправляйте ваши файлы через Скайп! (Иллюстрация 1.2)
Иллюстрация 1.2:

• Дела которые необходимо делать:
• Каждый антивирус будет делится семплами с ваших ПК убедитесь, что вы отключили любую такую услугу на ваших AVs.

Как не надоедать владельцу криптера?

• Чего следует избегать:

Спамерство
Постить резултаты детекта на оф.сайте в комментариях ОСОБЕННО тогда когда эти детекты ваша вина.

• Дела которые необхадимо делать:

Если вы отправляете саппорту сообщение, что ваш файл не работает укажите все настройки которые вы использовали.
будь терпеливым Соблюдай правила Не будь идиотом Читайте все инструкции/видео уроки для настройки криптера а после этого общайтесь с саппортом для решение ваших проблем

Crypter Характеристики и описание:

• Startup инсталация:

Модуль стаба который добавляет вашь криптований файл в список програм запускамих Windows (startup/msconfig)
Многие различные типы: Использование регистра(regedit), Задачи, Копирование файла в Startup фолдет, другие.

• Startup Persistence:

Модуль который проверяет удалён ли вашь файл из списка Startup

• Anti Memory Scan:

Модуль который запрещает доступ к всему что попытается прочитать инжектированый пейлоад (инжектирований вирус загружений в какой либо процесс)
Чрезвычайно полезно для обхода RunTime Detect

• Elevate Process/Privileges:

Попытки получить права администратора для вашего файла.

• Critical Process:

Изменяет некоторые атрибуты работы вашего файла, который будет вызывать BSOD (Синий экран смерти).

• Mutex:

Очень полезная функция, чтобы убедиться, что ваш файл не работает более чем один раз в то же время.

• Melt File:

Удаляет / Удаляет файл после того, как он успешно запустился.

• File Pumper:

Добавляет определенное количество байтов (со значением 0) в конце файла, увеличивая его размер, но не нарушает каких-либо процедур во время выполнения.

• Compress:

Уменьшает выходной размер.

• Icon or Assembly Cloner:

Копирование данных Ассамблеи или значок выбранного файла. (чтобы обойти некоторые общие обнаружения)

• Encryption Algorithm:

Функция используется для преобразования байтов RAT/ Server в нечто совершенно другое.

• Delay Execution:

Используется для "Stop" - приостановить свой файл, во время работы. В течение определенного периода времени.
Добавление 30+ секунд будет в некоторых случаях обходить RunTime Detection, верить этому или нет вам решать!.

• Binder:

Добавлять другой файл в стаб, после запуски стаба вашь RAT/Server запустится но с этим и файл который вы забиндовали.

• Downloader:

Ну это очевидно, загружает и запускает файл с заданного URL-адреса.

• USG – Unique Stub Generator:

Будьте уверены что чекая эту функцию вы используйте разные стабы и они будут отличатся от предыдущего крипта.
В реале это функция прост изменяет имена переменных и какие-то методы.

• Fake Message Box:

Фейковое сообщение при запуске

• Hide File:

файл будет Hidden поэтому жертва не может увидеть вирус в папке.

• Antis:

Остановите свой файл от запуска, если некоторые программы работают в фоновом режиме:

• Популярные Anti:

Anti Virtual Machine (VMWare, VirtualBox and VirtualPC) Anti Sandboxie Anti Wireshark Anti Fiddler Anti Debugger Anti Anubis

• Botkill:

Ищет любые существующих файлов или процессов, которые могут быть вредоносные программы и убивает / удаляет их из системы.

• Spreaders:
• Копирует файл в тех местах, где он может заразить других пользователей.
• Спреадерс не работают так что не ебите себе мозгы
• Common spreaders:
• USB
• Rar/Zip
• Chat/IM (Skype, Facebook, Omegle, Twitter) -Spamming
• Junk Code:
• Добавляет безспалезний мусорний код для баипасса Scantime Detection
• Remove Version Info:
• Удаляет инфу о файле
• Require Admin:
• Запрашивает окно UAC с просьбой, чтобы запустить файл как Admin.
• Certifcate Clone/Forger:
• Добавляет сертификат к файлу

В нескольких словах: что такое трояны-вымогатели, почему о них надо знать и как от них защититься.

Этот текст предназначен для тех людей, которые либо вообще не слышали ничего о троянах-вымогателях, либо слышали, но особо не вникали. Здесь мы постараемся максимально просто и наглядно объяснить, что за звери такие трояны-вымогатели, почему их стоит опасаться и как от них защититься.

Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время из просто распространенной стала очень-очень распространенной.

По тому, как они портят жизнь людям, их можно разделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).

Шифровальщики, попадая на ваш компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее — таким образом, что их нельзя открыть. То есть вы не сможете ими воспользоваться. А за расшифровку создатели шифровальщиков требуют выкуп — в среднем около $300, то есть совсем уж дешево от них не отделаться.

Блокировщики получили свое имя за то, что они просто блокируют доступ к устройству. То есть воспользоваться не получится не просто файлами, а всем компьютером целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.

Начнем с того, что вымогателей стало уж очень много и встречаются они уж очень часто. Они есть для всех операционных систем: для Windows, для Mac OS X, для Linux и для Android. То есть трояны-вымогатели встречаются не только для компьютеров, но и для смартфонов и планшетов. Больше всего их для Windows и Android.

К тому же заразиться довольно просто: трояны-вымогатели чаще всего попадают в компьютер, когда пользователи открывают нехорошие почтовые вложения, переходят по сомнительным ссылкам или устанавливают приложения из неофициальных источников. Но могут проникать и с абсолютно добропорядочных сайтов — например, злоумышленники навострились подсовывать их в рекламу.

Также преступники научились убеждать людей, что им предлагается скачать или открыть что-то полезное — письмо из банка, счет, какую-нибудь ценную программу и так далее. При этом на самом деле на компьютер попадает блокировщик или шифровальщик.

Пожалуй, главная проблема шифровальщиков состоит в том, что просто вылечить их вы не сможете. То есть если вы попытаетесь вылечить шифровальщика антивирусом или специальной утилитой, то у вас это, скорее всего, получится — вот только файлы это не вернет: они так и останутся зашифрованными.

Более того, заплатить выкуп — тоже не универсальное лекарство. Во-первых, это дорого. Во-вторых, это поощряет преступников делать новых и новых шифровальщиков. А в-третьих, это еще и не всегда помогает. Согласно нашей статистике, 20% тех, кто все-таки заплатил мошенникам выкуп, так и не получили обратно свои файлы. Просто потому, что преступники — это преступники. Не стоит ждать от них честности.

Если шифровальщик проник в систему и успел натворить дел, то просто так сами вы файлы не расшифруете. Вариантов, по сути, два. Можно, конечно, заплатить выкуп злоумышленникам, но мы бы этого делать не советовали по вышеуказанным причинам.

Не открывайте подозрительные вложения в почте, не ходите по сомнительным сайтам и не скачивайте программы с каких-либо сайтов, кроме официальных магазинов и сайтов самих разработчиков.

Регулярно делайте резервные копии важных файлов. Если все ваши файлы есть не только на компьютере, но и на отдельном жестком диске или в облаке, то можно просто вылечить шифровальщика и скопировать файлы обратно на компьютер.

На нашем блоге есть более подробный текст, из которого вы можете узнать больше о различных видах вымогателей и о том, откуда они берутся, а также почерпнуть еще несколько полезных советов по борьбе с ними. Ну а чтобы какой-нибудь новый шифровальщик не застал вас врасплох, советуем следить за новостями.