Windows

Vaše datoteke so bile šifrirane - kaj storiti?

Vaše datoteke so bile šifrirane - kaj storiti?

Eden najbolj problematičnih škodljivih programov danes je trojanske ali virusne šifrirane datoteke na uporabniškem disku. Nekatere od teh datotek je mogoče dešifrirati, nekatere pa še niso. Priročnik daje možne algoritme dejanj v obeh situacijah, načine, kako določiti posebno vrsto šifriranja o več odkupninih in id odkupnih storitvah ter kratek pregled programov za zaščito pred prefinjenimi virusi (odkupna programska oprema).

Obstaja več sprememb takšnih virusov ali triangs-nosilcev (in novi se nenehno pojavljajo), vendar se splošno bistvo dela spušča na dejstvo, da so po namestitvi računalnika vaše datoteke dokumentov, slik in drugih, ki so potencialno pomembni šifrirano s spremembo širitve in odstranjevanjem izvirnih datotek, nato dobite sporočilo v datoteki readme.txt, da so bile vse vaše datoteke šifrirane, in za njihovo dešifriranje morate napadalcu poslati določen znesek. Opomba: V posodobitvi ustvarjalcev Windows 10 je bila vgrajena zaščita pred virusi sifeze.

Kaj storiti, če so šifrirani vsi pomembni podatki

Za začetek je nekaj splošnih informacij za šifriranje pomembnih datotek v njihovem računalniku. Če so bili šifrirani pomembni podatki v vašem računalniku, potem najprej ne smete panike.

Če imate takšno priložnost, z računalniškega diska, na katerem se je pojavil virus čarovnika (Ransomware), kopirajte nekje na zunanjem pogonu (Flash Drive), primer datoteke z besedilno zahtevo za napadalca za dekodiranje in kopijo kopije šifrirano datoteko, nato pa na priložnostih izklopite računalnik, da virus ne more nadaljevati šifriranja podatkov in preostalih dejanj izvesti v drugem računalniku.

Naslednji korak je ugotoviti, kaj natančno je vrsta virusa šifrirala vaše podatke z uporabo razpoložljivih šifriranih datotek: za nekatere od njih so dekoderji (nekateri bom navedel tukaj, nekateri so prikazani bližje koncu članka), za nekateri - še ni. Toda tudi v tem primeru lahko primere šifriranih datotek pošljete protivirusnim laboratorijem (Kaspersky, dr. Splet) študirati.

Kako izvedeti? To lahko storite z Googlom tako, da poiščete razprave ali vrsto šifriranja za razširitev datoteke. Tudi storitve so se začele pojavljati za določanje vrste odkupne programske opreme.

Ni več odkupnine

No More Ransom je aktivno razvijajoč vir, ki ga podpirajo razvijalci varnosti in dostopni v različici v ruščini, namenjeni boju proti virusom s šifriranjem (Trojans -Robbers).

Z srečo, nobena odkupnina ne more pomagati razvozlati vaše dokumente, baze podatkov, fotografije in druge informacije, prenesti potrebne programe za dekodiranje, pa tudi pridobiti informacije, ki bodo v prihodnosti pomagali preprečiti takšne grožnje.

Na več odkupnini lahko poskusite dešifrirati datoteke in določiti vrsto virusa siprja na naslednji način:

  1. Kliknite "Da" na glavni strani storitve https: // www.Nomoreansom.Org/ru/indeks.Html
  2. Odprta se bo stran »Crypto Sheep«, kjer lahko prenesete primere šifriranih datotek z velikostjo največ 1 MB (priporočam, da prenesete zaupne podatke, ki ne vsebujejo), ter navedite e-poštne naslove ali spletna mesta, za katera potrebujejo prevaranti nakup (ali naložite datoteko readme.txt s povpraševanjem). 
  3. Kliknite gumb »Preveri« in počakajte na zaključek preverjanja in njegov rezultat.

Poleg tega so na spletnem mestu na voljo koristni razdelki:

  • Recititorji so skoraj vse komunalne storitve, ki obstajajo v trenutnem času za razvozlati datotek šifriranih virusov. 
  • Preprečevanje okužb - informacije, namenjene predvsem uporabnikom novincev, ki se lahko v prihodnosti izognejo okužbi.
  • Vprašanja in odgovori - Informacije za tiste, ki želijo bolje razumeti delo šifrirnih virusov in dejanj v primerih, ko se soočate z dejstvom, da so bile datoteke v računalniku šifrirane.

Danes ni več odkupnine verjetno najpomembnejši in uporaben vir, povezan z dešifriranjem datotek za rusko govorečega uporabnika, priporočam.

ID odkupna programska oprema

Druga taka storitev je https: // id -ransomware.MalwareHunterteam.Com/(res, ne vem, kako dobro deluje za ruske različice virusa, vendar je vredno poskusiti, storitve nahranite primer šifrirane datoteke in besedilne datoteke, ki zahteva nakup).

Po določitvi vrste šifriranja, če vam je to uspelo, poskusite najti pripomoček za dešifriranje te možnosti na zahteve, kot je: Type_ -Shifor desliptor. Takšne pripomočke brezplačno in proizvajajo razvijalci protivirusa, na primer, več takšnih pripomočkov je mogoče najti na spletnem mestu Kaspersky https: //.Kaspersky.ru/virusi/pripomočki (druge pripomočke so bližje koncu članka). In kot že omenjeno, ne oklevajte in se obrnite na razvijalce antivirusov na njihovih forumih ali na podporno storitev po pošti po pošti.

Na žalost vse to ne pomaga vedno in nima vedno delovnih dekoderjev datotek. V tem primeru so scenariji različni: mnogi plačni napadalci, ki jih spodbujajo k nadaljevanju te dejavnosti. Nekaterim uporabnikom pomagajo programi za obnovo podatkov v računalniku (od virusa, ki izdeluje šifrirano datoteko, razlaga redno pomembno datoteko, ki jo je teoretično mogoče obnoviti).

Računalniške datoteke so šifrirane v XTBL

Ena zadnjih možnosti za datoteke z virusom monitorja šifrira in jih nadomesti z datotekami s podaljšanjem .XTBL in ime, sestavljeno iz naključnega niza znakov.

Hkrati je v računalniku objavljena besedilna datoteka.txt s približno naslednjo vsebino: "Vaše datoteke so bile šifrirane. Če jih želite dešifrirati, morate kodo poslati na e -poštni naslov [email protected], [email protected] ali [email protected]. Nato boste prejeli vsa potrebna navodila. Poskusi dešifriranja datotek bodo neodvisno privedli do nepreklicne izgube informacij «(naslov pošte in besedila se lahko razlikujeta).

Na žalost način za razvoj .XTBL trenutno ni (takoj, ko se prikaže, bo navodilo posodobljeno). Nekateri uporabniki, ki imajo resnično pomembne informacije o računalniškem poročilu o antivirusnih forumih, da so avtorjem virusa poslali 5000 rub.

Kaj storiti, če so bile datoteke šifrirane .Xtbl? Moja priporočila so videti na naslednji način (vendar se razlikujejo od tistih, ki so na mnogih drugih tematskih mestih, kjer na primer priporočajo, da se računalnik takoj izklopi z omrežja ali ne izbriše virusa. Po mojem mnenju je to odveč in v kombinaciji okoliščin je morda celo škodljivo, vendar se odločite.)::

  1. Če veste, kako prekiniti postopek šifriranja z odstranjevanjem ustreznih nalog v razpršilniku nalog, izklopite računalnik z interneta (to je lahko nujen pogoj za šifriranje)
  2. Ne pozabite ali zapišite kodo, ki jo napadalci zahtevajo, da pošljejo na e -poštni naslov (samo ne v besedilno datoteko v računalniku, za vsak slučaj, tako da se tudi ne izkaže za šifriranje).
  3. Uporaba MalwareBytes Antimalware, preizkusne različice Kaspersky Internet Security ali DR.Web Cure It izbriše virus in šifrira datoteke (vsa ta orodja se dobro spopadajo s tem dobro). Svetujem vam, da se s seznama spremenite s prvim in drugim izdelkom (če pa imate nameščeno protivirusno.)
  4. Počakajte na dekoder katerega koli protivirusnega podjetja. V ospredju tukaj Kaspersky Lab.
  5. Lahko pošljete tudi primer šifrirane datoteke in zahtevane kode za [email protected], Če imate kopijo iste datoteke v nešifriranem obrazcu, jo pošljite tudi. Teoretično lahko to pospeši videz dekoderja.

Kaj ne bi smeli storiti:

  • Preimenujte šifrirane datoteke, spremenite razširitev in jih izbrišite, če so pomembne.

To je morda vse, kar lahko rečem o šifriranih datotekah s širitvijo .Xtbl v določenem času.

Datoteke so šifrirane Better_call_saul

Zadnje šifre viruse - Boljši klic Saula (Trojan -ransom.Win32.Senca), nastavitev širitve .Better_call_saul za šifrirane datoteke. Kako razvozlati takšne datoteke še ni jasno. Tisti uporabniki, ki so povezani z laboratorijem Kaspersky in DR.Splet je prejel informacije, ki jih za zdaj ne morete storiti (vendar jih še vedno poskusite poslati - več vzorcev šifriranih datotek razvijalcev = bolj verjetno, da bi našli metodo).

Če se izkaže, da ste našli metodo dešifriranja (t.e. Nekje je bil postavljen, vendar nisem spremljal), prosim delite informacije v komentarjih.

Trojan-Ransom.Win32.Aura in Trojan-Ransom.Win32.Rakhni

Naslednji Trojan, šifriranje datotek in nastavitev razširitve s tega seznama:

  • .Zaklenjeno
  • .Kripto
  • .Kraken
  • .AES256 (ni nujno, da je ta Trojan, obstajajo drugi, ki vzpostavijo isto razširitev).
  • .CodercsU@gmail_com
  • .Fin
  • .Oshit
  • In drugi.

Za dešifriranje datotek po delovanju teh virusov ima spletno mesto Kaspersky brezplačen pripomoček RakhhniDecryptor, ki je na voljo na uradni strani http: //.Kaspersky.ru/virusi/dezinfekcija/10556.

Obstajajo tudi podrobna navodila za uporabo tega pripomočka, ki prikazuje, kako obnoviti šifrirane datoteke, iz katerih bi, za vsak slučaj, odstranite element "Izbrišite šifrirane datoteke po uspešnem dekodiranju" (čeprav mislim možnost nastavitve).

Če imate licenco za antivirus dr.Splet lahko uporabite brezplačno dešifriranje tega podjetja na strani s podporo http: //.Drweb.Com/novo/free_unlocker/

Druge možnosti za virus siperja

Manj pogosto najdemo tudi naslednje trojane, šifriranje datotek in zahtevajo denar za dekodiranje. V skladu s temi povezavami ni samo pripomočkov, ki bi vrnili vaše datoteke, ampak tudi opis znakov, ki bodo pomagali ugotoviti, da imate ta virus. Čeprav je na splošno optimalna pot: z uporabo Kaspersky antivirusa, skenirajte sistem, poiščite ime Trojan s klasifikacijo tega podjetja in nato poiščite pripomoček po tem imenu.

  • Trojan-Ransom.Win32.Rektor - brezplačni pripomoček recordecryptor za dekodiranje in uporabo je na voljo tukaj: http: // podpora.Kaspersky.ru/virusi/dezinfekcija/4264
  • Trojan-Ransom.Win32.Xorist je podoben Trojan, ki prikazuje okno z zahtevo za pošiljanje plačljivega SMS -ja ali stika s strani E -Mail za prejemanje navodil za dešifriranje. Navodila za obnovo šifriranih datotek in pripomoček XoristDecryptor za to so na strani s podporo http: //.Kaspersky.ru/virusi/dezinfekcija/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannochDecryptor Utility http: // podpora.Kaspersky.ru/virusi/dezinfekcija/8547
  • Trojan.Dajalnik.858 (XTBL), Trojan.Dajalnik.741 in drugi z istim imenom (pri iskanju skozi antivirusni DR.Splet ali ozdravi) in različne številke - poskusite iskati po internetu z imenom Trojan. Za nekatere od njih obstajajo DSHPenthove pripomočke DR.Splet, tudi če niste mogli najti pripomočka, vendar obstaja licenca DR.Splet, lahko uporabite uradno stran http: // podpora.Drweb.Com/novo/free_unlocker/
  • Cryptolocker - Če želite dešifrirati datoteke po delu Cryptolocker, lahko uporabite spletno mesto http: // decryptcryptolocker.com - Po pošiljanju primera datoteke boste prejeli ključ in pripomoček za obnovo datotek.
  • Na strani https: // bitbucket.Org/jadacyrus/Ransomwarereramovalkit/Prenosi Access Access Ransomware Odstranjevanje kompleta - velik arhiv z informacijami o različnih vrstah šifriranja in dešifriranih pripomočkov (v angleščini)

No, iz najnovejših novic - Laboratorij Kaspersky, skupaj z organom pregona z Nizozemske, je razvil dešifriranje Ransomware (http: // noranom.Kaspersky.Com) dešifrirati datoteke po Coinvaultu, toda na naših širinah tega izsiljevanja še ni mogoče najti.

Zaščita pred šifrirnimi virusi ali odkupno programsko opremo

Ko se širi odkupna programska oprema, so se mnogi proizvajalci protivirusov in sredstva za boj proti zlonamernim programom začela izvajati svoje rešitve, da preprečijo delo šifriranja na računalniku, med njimi jih je mogoče razlikovati:
  • MalwareBytes proti ransomware 
  • Bitdefender proti ransomware 
  • Winantiransom
Prva dva sta še vedno v beta različicah, vendar brezplačna (podpirata definicijo le omejenega niza virusov te vrste - Teslakript, ctblocker, Locky, Cryptolocker. WinantIransom - plačan izdelek, ki obljublja preprečevanje šifriranja s skoraj vseh vzorcih odkupne programske opreme, ki zagotavlja zaščito lokalnih in omrežnih diskov.

Toda: ti programi niso zasnovani za dekodiranje, ampak le za preprečevanje šifriranja pomembnih datotek v računalniku. Kakorkoli že, zdi se mi, da bi bilo treba te funkcije izvajati v protivirusnih izdelkih, sicer je pridobljena nenavadna situacija: uporabnik mora v računalniku ohraniti protivirus anti-izkoriščanje.

Mimogrede, če se nenadoma izkažete, da imate nekaj za dodajanje (ker ne morem imeti časa za spremljanje, kaj se dogaja z metodami dešifriranja), v komentarjih poročajo težava.