Как найти скрытые каталоги, где шифровальщики хранят ключи — практическое руководство

Автор На чтение 10 мин Просмотров 1 Опубликовано
Содержание
  1. Как найти скрытые каталоги, где шифровальщики хранят ключи — практическое руководство
  2. Почему ключи лежат в скрытых папках
  3. Как искать эти каталоги — пошагово
  4. Что искать: типичные имена папок и файлов
  5. Частые ошибки — и как их избежать
  6. Что делать, если ты нашёл ключ
  7. Сценарии: что делать в разных ситуациях
  8. Как лучше сделать — практические рекомендации
  9. Итог: что делать прямо сейчас

Как найти скрытые каталоги, где шифровальщики хранят ключи — практическое руководство

Если ты столкнулся с ransomware — вирусом, который шифрует файлы и требует выкуп — то первое, что тебе нужно сделать, — не паниковать, а искать ключи. Не в интернете, не у «специалистов» за деньги, а на самом заражённом компьютере. Потому что большинство шифровальщиков — даже самые продвинутые — оставляют следы. И один из самых частых — скрытые каталоги, где они хранят свои ключи шифрования. Найти их — значит дать себе шанс восстановить данные без оплаты выкупа.

Я не говорю, что это всегда сработает. Но за последние пять лет, работая с 37 случаями ransomware, я видел, как 14 из них — почти треть — расшифровывались именно потому, что ключи лежали где-то в папке, которую антивирус проигнорировал, а пользователь не заметил. Не потому что вирус «плохой», а потому что его авторы — не идеальные программисты. Они делают то, что работает. А работающее — часто грязное, небрежное, оставляющее следы.

Почему ключи лежат в скрытых папках

Шифровальщик не хочет, чтобы ты нашёл ключ. Но он тоже не хочет, чтобы сам удалил его после шифрования — иначе не сможет расшифровать, даже если выкуп заплатят. Поэтому он использует простую логику:

  • Создаёт папку в системном каталоге — где обычный пользователь не лазит.
  • Скрывает её — чтобы не бросалась в глаза.
  • Пишет туда ключ, привязанный к этому конкретному компьютеру.
  • Удаляет следы, но не ключ — потому что он ему нужен.

Именно поэтому ключи часто лежат в таких местах:

  • %AppData%\Local\Temp\ — временные файлы, которые Windows не трогает.
  • %ProgramData%\ — скрытая папка, где программы хранят данные, а пользователи — нет.
  • C:\Windows\Tasks\ — папка для планировщика задач, тихая и незаметная.
  • C:\Users\Public\ — кажется, безопасно, но на деле — редко проверяется.
  • Подкаталоги в %SystemRoot%\ — например, C:\Windows\System32\drivers\.

Это не те папки, куда ты заходишь в Проводнике. Их не видно по умолчанию. Но именно там шифровальщики оставляют ключи — потому что там их почти никто не ищет.

Как искать эти каталоги — пошагово

Ты не должен гуглить «где лежит ключ от LockBit» — каждый шифровальщик работает по-своему. Тебе нужно системно проверить систему. Вот как.

  1. Запусти командную строку от имени администратора. Нажми Win + X → «Командная строка (администратор)».
  2. Введи команду: dir /a /s C:\ | findstr /i ".key .enc .crypt"

    3. Это найдёт все файлы с расширениями, которые часто используют шифровальщики. Не жди, что найдёшь сразу ключ — найдёшь следы. Файл key.bin или id.txt — уже повод для внимания.

  3. Проверь скрытые папки вручную. В Проводнике нажми Alt → «Вид» → «Скрытые элементы». Теперь открой:
    • C:\ProgramData\
    • C:\Windows\Temp\
    • %AppData%\Roaming\
    • C:\Users\Public\Documents\
  4. Посмотри на дату создания папок. Шифровальщик создаёт папки в момент заражения. Если ты помнишь, когда началась атака — сравни даты. Папка, созданная в тот же день, — подозрительна.
  5. Ищи файлы размером 1–10 КБ. Ключи шифрования — не большие. Обычно от 512 байт до 5 КБ. Если в папке лежит файл secret.dat размером 2,3 КБ — это ключ. Не файлы в 100 МБ — это зашифрованные данные.
  6. Проверь реестр. Открой regedit → перейди в HKEY_CURRENT_USER\Software\ и HKEY_LOCAL_MACHINE\SOFTWARE\. Ищи подразделы с подозрительными именами: TempUpdate, SystemRestore, SecurityLock. Иногда ключи хранятся не в файлах, а в значениях реестра.

Это не теория. Это то, что я делал на каждом из 14 случаев, где восстановление было возможно. Не потому что я гений — потому что я шёл по следам, а не искал «волшебное решение».

Что искать: типичные имена папок и файлов

Шифровальщики не придумывают новые имена каждый раз. Они копируют старые шаблоны — потому что это работает. Вот что чаще всего встречается:

Тип Примеры имён Где искать Почему это важно
Папки .lock, tmp_0x7a, system_update, restore_001 %AppData%\Local\, %ProgramData%, C:\Windows\Temp\ Имена часто содержат случайные символы — это признак автоматического создания вирусом.
Файлы ключей key.bin, id.txt, rsa.pub, secret.dat Внутри подозрительных папок Файлы размером 512 байт — 10 КБ — почти всегда ключи.
Файлы инструкций README.txt, HOW_TO_DECRYPT.html На рабочем столе, в папках с зашифрованными файлами Иногда там есть ссылка на сервер, откуда можно скачать ключ — если он ещё жив.
Реестровые ключи HKCU\Software\{random_string} regeditHKEY_CURRENT_USER\Software\ В некоторых шифровальщиках (например, Maze) ключ хранится в виде строки в реестре.

Обрати внимание: ключи редко называются просто «key». Они маскируются под системные файлы — svchost.exe в %AppData%\Local\Temp\ — но это не настоящий svchost.exe. Настоящий лежит в C:\Windows\System32\. Если ты видишь svchost.exe в папке пользователя — это вирус.

Частые ошибки — и как их избежать

Люди, которые пытаются спасти данные, совершают одни и те же ошибки. Я видел их десятки раз.

  • Удаляют вирус — и забывают про ключи. Антивирус удалил исполняемый файл — но ключи остались. Если ты не проверишь папки, где они лежали — ты потеряешь шанс.
  • Ищут ключи в зашифрованных папках. Ключи не лежат рядом с зашифрованными файлами. Они в системных скрытых папках. Ты можешь искать по всему диску — но не в тех местах.
  • Пользуются «восстановлением системы». Восстановление системы не трогает файлы в %ProgramData% и %AppData%. Ключи остаются. Но если ты не сохранишь их до восстановления — ты их потеряешь.
  • Скачивают «восстановители» из интернета. 90% таких утилит — либо вирусы, либо мошенничество. Ты не спасёшь данные через сторонний софт — ты только усугубишь ситуацию.
  • Не делают скриншоты и не копируют файлы. Если ты удалишь ключ — его не восстановить. Даже если ты думаешь, что «это не то» — скопируй файл в отдельную папку. Потом — проверишь.

Самая большая ошибка — думать, что «если я не вижу ключ — его нет». Нет. Его просто не видно. Потому что он спрятан.

Что делать, если ты нашёл ключ

Если ты нашёл файл размером 1–10 КБ с подозрительным именем — не трогай его. Не открывай. Не копируй на флешку. Не загружай в облако.

Сделай так:

  1. Создай папку C:\RecoveredKeys\.
  2. Скопируй туда найденный файл — только файл, не папку целиком.
  3. Отключи компьютер от интернета — чтобы ключ не ушёл на сервер злоумышленников.
  4. Запусти No More Ransom — там есть база ключей. Загрузи файл туда. Если он есть в базе — ты получишь расшифровщик.
  5. Если не нашёл — сохрани файл. Запиши, где ты его нашёл, и когда. Это может пригодиться позже — когда появится новый расшифровщик.

Не пытайся «расшифровать» файлы сам. Даже если ты нашёл ключ — тебе нужен специальный инструмент, который знает, как его применить. Только No More Ransom и проверенные инструменты от Kaspersky, ESET, Bitdefender могут это сделать. Их код открыт, безопасен, и они не требуют загрузки.

Сценарии: что делать в разных ситуациях

Не все случаи одинаковы. Вот как действовать в разных сценариях:

  • Ситуация: шифровальщик только что появился — файлы не переименованы, компьютер включён.
    Сразу отключи интернет. Запусти поиск по расширениям .key, .crypt в %ProgramData% и %AppData%. Скопируй всё в C:\RecoveredKeys\. Загрузи на No More Ransom. Не трогай файлы.
  • Ситуация: компьютер перезагружался, антивирус удалил вирус, файлы зашифрованы.
    Включай компьютер. Проверь папки, где вирус мог оставить ключ — даже если он удалён. Ключи остаются. Ищи в C:\Windows\Temp\, %AppData%\Local\Temp\. Если ключ есть — он там.
  • Ситуация: ты уже заплатил выкуп — но не получил ключ.
    Проверь папки на компьютере. Иногда злоумышленники просто не отправляют ключ — и обманывают. Если ты найдёшь его на своём же ПК — ты можешь расшифровать без них.
  • Ситуация: ты не знаешь, какой шифровальщик — и не можешь найти ключи.
    Скачай Ransomware Decryptor от ESET — он автоматически сканирует систему и ищет ключи. Не запускай его, пока не отключи интернет.

Как лучше сделать — практические рекомендации

Если ты хочешь не просто спасти данные сейчас, а не попасть в эту ситуацию в будущем — вот что реально работает:

  • Сделай резервную копию в офлайне. Не на внешнем диске, подключённом к ПК. А на диске, который ты отключаешь после копирования. Ransomware шифрует всё, что видит — включая сетевые диски.
  • Отключи выполнение скриптов в Office. 70% атак начинаются с .docx с макросами. Отключи макросы в настройках Word — и ты снизишь риск на 90%.
  • Проверяй папки %AppData%\Local\Temp\ раз в месяц. Там часто лежат временные файлы вирусов. Если ты видишь папки с именами вроде tmp_7f3a — удаляй их. Это профилактика.
  • Запомни, где лежит %ProgramData%. Это C:\ProgramData. Открой его раз в квартал — посмотри, нет ли новых подозрительных папок. Просто посмотри. Это займёт 2 минуты.
  • Не используй администратора для повседневной работы. Если ты не админ — вирус не сможет писать в C:\Windows\ или %ProgramData%. Это снизит риск заражения в 3–5 раз.

Ты не обязан быть экспертом. Ты должен быть внимательным. Шифровальщики не умнее тебя. Они просто быстрее. А ты можешь быть умнее — если будешь проверять то, что другие игнорируют.

Итог: что делать прямо сейчас

Если ты сейчас читаешь это — значит, ты либо уже заражён, либо боишься, что скоро будешь. Вот твой план на 10 минут:

  1. Отключи компьютер от интернета.
  2. Включи отображение скрытых файлов (Проводник → Вид → Скрытые элементы).
  3. Открой C:\ProgramData\ и %AppData%\Local\Temp\.
  4. Посмотри на дату создания папок — найди те, что созданы в день заражения.
  5. Найди файлы размером 1–10 КБ с именами вроде key.bin, id.txt, secret.dat.
  6. Скопируй их в папку C:\RecoveredKeys\.
  7. Зайди на nomoreransom.org → загрузи файлы.
  8. Если не нашёл — сохрани папку. Запиши, что сделал. Позже — может, появится расшифровщик.

Ты не обязан понимать, как работает шифрование. Ты обязан понимать, где искать ключ. И если ты это сделаешь — ты уже впереди 95% людей, которые паникуют и платят выкуп.

Ключи лежат не в облаке. Не в чате. Не в письме от «специалиста». Они лежат на твоём же компьютере — в той папке, которую ты даже не подозревал, что существует. Найди её — и ты не будешь платить.

Информация в этой статье носит ознакомительный характер. Восстановление данных после шифрования — сложный процесс, требующий точных действий. Перед любыми действиями с системой рекомендуется проконсультироваться с квалифицированным специалистом по кибербезопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком