Проблема
После вирусной атаки на Android или iOS файлы зашифрованы (ransomware), скрыты, повреждены или удалены. Типичные симптомы: изменённые имена/расширения, файлы .crypt, .enc, сообщение с требованием выкупа, невозможность открыть фото/документы.Причины
1. Загрузка заражённых APK (Android) или пиратских приложений из неофициальных источников (frandroid, форумы).2. Фишинговые SMS/MMS с вредоносными ссылками (Android + iOS) – переход и установка профиля/приложения.
3. Уязвимости ОС – эксплуатация CVE через поддельные сайты/вложения (например, Stagefright, Pegasus).
4. Публичный Wi-Fi без VPN – Man-in-the-Middle и доставка дроппера.
Решение
ШАГ 1. Изолировать и остановить активность вируса- Отключить Wi-Fi, мобильный интернет, Bluetooth.
- Перевести в режим полёта.
- На Android: загрузиться в Safe Mode (зажать кнопку выключения → длинное нажатие на «Выключить» → подтвердить).
- На iOS: если джейлбрейк – удалить Cydia Substrate, переустановить прошивку через DFU.
ШАГ 2. Снятие образа (forensic imaging) для безопасного восстановления данных с телефона после вируса
- Android (с root или без, но включена отладка по USB):
bash
adb forward tcp:8888 tcp:8888
adb exec-out dd if=/dev/block/bootdevice/by-name/userdata of=/sdcard/userdata.raw bs=1024
adb pull /sdcard/userdata.raw .Или через `busybox nc` с записью на ПК.
- iOS (без джейлбрейка) — создать шифрованный резерв через iTunes / Finder, затем извлечь файлы через iBackup Viewer или iMazing (только для не зашифрованных вирусом данных).
ШАГ 3. Анализ и восстановление не зашифрованных/скрытых файлов
- Для Android: программа DiskDigger Photo Recovery (root / non-root) — восстановление удалённых фотографий на Android и документов (сканирует raw-сектора, не трогает системную область).
- Для обхода шифрования: извлеките файлы с SD-карты (если не затронуты) или кастомное recovery (TWRP) → монтируйте `/data/media/0` → копируйте на OTG-USB.
- Глубокий скан (data carving) – используйте `photorec` (Desktop):
bash
sudo photorec /d /path/to/output /logУкажите образ диска (userdata.raw). Он восстановит JPEG, MP4, DOCX, ZIP по сигнатурам, игнорируя файловую систему.
ШАГ 4. Если вирус — ransomware (шифровальщик)
- Без ключа дешифровки – шанс менее 1%. Проверьте базу ID-Ransomware (Emsisoft) — загрузите образец .enc файла.
- Единственный легальный способ — восстановление файлов с облачного бекапа (Google Drive, iCloud, OneDrive) или с физической копии, сделанной до заражения.
- Резервное копирование до атаки (превентивно): настройка `Google Photos` (синхронизация оригиналов) + `adb backup -apk -shared -all -f backup.ab` каждую неделю.
ШАГ 5. Завершение — очистка и профилактика
- Смена всех паролей (Password Manager), отзыв подозрительных сессий.
- Удаление всех неизвестных профилей MDM (Settings → General → Device Management).
- Установка брандмауэра (NetGuard на Android) для контроля трафика приложений.
Внимание: любые попытки восстановления файлов с телефона своими руками после вирусной атаки без создания образа увеличивают риск безвозвратной потери. Если данные критичны — обратитесь к сертифицированному специалисту по мобильной форензике (MDF, CCFP). Легальность: не нарушать ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой информации).