deep.smr, шовыговорите!
Вот мой пост из этой темы. Обратите внимание, у меня установлен DrWeb (официально купленная лицензия), который на момент заражения и знать не знал про вирус. После обращения в саппорт его в течение суток добавили в БД. Остальные антивирусы работают по тому же принципу: заражение -> жалоба -> "препарирование" тела вируса -> поиск сигнатур -> добавление в БД.
Учитывая это, не давайте глупых советов, не вводите в заблуждение простых пользователей!

Ищут пожарные, ищет милиция...
 

"...Ищут давно, Но не могут найти..." (с), С.Маршак.

Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную.

восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.

для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:

getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex

для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar

не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден.

поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.

отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "санкции порвали в клочья нашу экономику"

отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.

(с), chklst.ru

Упоминают несколько программ: BitDefAntiCryptLocker, Cryptoprevent, HitmanProAlert. У какой эффективность выше? Или они несопоставимы.

Одно дело заявлять об этом, а совсем другое действительно отлавливать. Считайте как хотите. Я при своем мнении --- др.Веб РУЛИТ!!! )))

А Вас бы попросил не давать глупых ответов и просто флуда на форумах. Мы уже как-то сталкивались с Вами по этому поводу. Не дергайте меня, не советую...

HitmanProAlert не тестировал. есть еще одна программа: Cryptomonitor.
https://easysyncsolutions.com/Products
но вот добиться чтобы она реагировала на шифрование не получилось. пока отставил ее в сторонку. Принцип работы - установка ловушек из каталогов, которые отслеживает монитор... как только обнаружено шифрование тестовых документов, происходит блокирование системы вместе с сообщением: "ахтунг, нас окружают" :)

deep.smr,
возьмите несколько вариантов свежих шифраторов: VAULT, krjakl, green, ctblock и проверьте их на системе, защищенной с помощью Дрвеб. Причем интересно проверить именно превентивную защиту ДрВеба. Как она реагирует на шифрование файлов, т.е. когда уже шифратор запущен в системе. Здесь важен результат и полезная информация, а не фанатские речевки.

CTB-Locker for Websites

CTB-Locker for Websites is a ransomware that is designed specifically to target websites, encrypt their contents, and then demand a .4 bitcoin ransom to get the decryption key. Websites become infected by the ransomware developers hacking the site and replacing the original index.php or index.html with a new index.php. This new index.php will then be used to encrypt the site's data using AES-256 encryption and to display a new home page that contains information on what has happened to the files and how to make a ransom payment.

CTB-Locker для веб-сайтов

CTB-Locker адаптирован для веб-сайтов, шифрует содержимое целевых веб-сайтов, а затем требуют 0,4 Bitcoin выкупа, чтобы получить ключ дешифрования. Сайты заражаются после взлома и замены оригинальных index.php или index.html новым index.php. Этот новый index.php будет использоваться для шифрования данных сайта с помощью AES-256 шифрование и отображать новую домашнюю страницу, которая содержит информацию о том, что произошло с файлами и как произвести оплату выкупа.

CTB-Locker for Websites: Reinventing an old Ransomware