är ett skadligt program som, när det är aktiverat, krypterar alla personliga filer, såsom dokument, foton, etc. Antalet sådana program är mycket stort och det ökar för varje dag. Först nyligen har vi stött på dussintals ransomware-varianter: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, etc. Målet med sådana ransomware-virus är att tvinga användare att köpa, ofta för en stor mängd pengar, ett program och en nyckel som behövs för att dekryptera dina egna filer.
Naturligtvis kan du återställa krypterade filer helt enkelt genom att följa instruktionerna som skaparna av viruset lämnar på den infekterade datorn. Men oftast är kostnaden för dekryptering mycket betydande, och du måste också veta att vissa ransomware-virus krypterar filer på ett sådant sätt att det helt enkelt är omöjligt att dekryptera dem senare. Och naturligtvis är det bara irriterande att betala för att återställa dina egna filer.
Nedan kommer vi att prata mer i detalj om krypteringsvirus, hur de penetrerar offrets dator, samt hur man tar bort krypteringsviruset och återställer filer krypterade av det.
Ett ransomware-virus sprids vanligtvis via e-post. Brevet innehåller infekterade dokument. Sådana brev skickas till en enorm databas med e-postadresser. Författarna till detta virus använder vilseledande rubriker och innehåll i brev och försöker lura användaren att öppna ett dokument som är bifogat brevet. Vissa brev informerar om behovet av att betala en räkning, andra erbjuder sig att titta på den senaste prislistan, andra erbjuder sig att öppna ett roligt foto osv. I vilket fall som helst kommer att öppna den bifogade filen att resultera i att din dator infekteras med ett krypteringsvirus.
Ett ransomware-virus är ett skadligt program som infekterar moderna versioner av operativsystem Windows familj, som Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Dessa virus försöker använda de starkaste möjliga krypteringslägena, till exempel RSA-2048 med en nyckellängd på 2048 bitar, vilket praktiskt taget eliminerar möjligheten att välja en nyckel för att dekryptera filer själv.
När en dator infekteras använder ransomware-viruset systemkatalogen %APPDATA% för att lagra sina egna filer. För att automatiskt starta sig själv när du slår på datorn skapar ransomwaren en ingång Windows-registret: avsnitt HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion.\RunOnce.\RunOnce.
Omedelbart efter lanseringen genomsöker viruset alla tillgängliga enheter, inklusive nätverk och molnlagring, för att avgöra vilka filer som kommer att krypteras. Ett ransomware-virus använder ett filnamnstillägg som ett sätt att identifiera en grupp filer som kommer att krypteras. Nästan alla typer av filer är krypterade, inklusive sådana vanliga som:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, plånbok, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw
Omedelbart efter att filen är krypterad får den ett nytt tillägg, som ofta kan användas för att identifiera namnet eller typen av ransomware. Vissa typer av dessa skadlig programvara kan också ändra namnen på krypterade filer. Viruset skapar sedan ett textdokument med namn som HELP_YOUR_FILES, README, som innehåller instruktioner för att dekryptera de krypterade filerna.
Under driften försöker krypteringsviruset blockera möjligheten att återställa filer med hjälp av SVC-systemet (skuggkopior av filer). För att göra detta anropar viruset, i kommandoläge, verktyget för att administrera skuggkopior av filer med en nyckel som startar proceduren för att helt radera dem. Således är det nästan alltid omöjligt att återställa filer med hjälp av deras skuggkopior.
Ransomware-viruset använder aktivt skrämseltaktik genom att ge offret en länk till en beskrivning av krypteringsalgoritmen och visa ett hotfullt meddelande på skrivbordet. På så sätt försöker han utan att tveka tvinga användaren av den infekterade datorn att skicka dator-ID:t till e-postadressen till virusets författare för att försöka få tillbaka sina filer. Svaret på ett sådant meddelande är oftast lösensumman och adressen till e-plånboken.
Det är ganska lätt att avgöra om en dator är infekterad med ett krypteringsvirus eller inte. Var uppmärksam på tilläggen av dina personliga filer, såsom dokument, foton, musik, etc. Om tillägget har ändrats eller dina personliga filer har försvunnit, vilket lämnar efter sig många filer med okända namn, är din dator infekterad. Dessutom är ett tecken på infektion närvaron av en fil med namnet HELP_YOUR_FILES eller README i dina kataloger. Den här filen kommer att innehålla instruktioner för att dekryptera filerna.
Om du misstänker att du har öppnat ett e-postmeddelande som är infekterat med ett ransomware-virus, men det finns inga symtom på infektion ännu, stäng inte av eller starta om din dator. Följ stegen som beskrivs i denna manual, avsnitt. Jag upprepar än en gång, det är mycket viktigt att inte stänga av datorn i vissa typer av ransomware, filkrypteringsprocessen aktiveras första gången du slår på datorn efter infektion!
Om denna katastrof inträffar, då finns det ingen anledning att få panik! Men du måste veta att det i de flesta fall inte finns någon gratis dekryptering. Detta beror på de starka krypteringsalgoritmerna som används av sådan skadlig kod. Det betyder att utan en privat nyckel är det nästan omöjligt att dekryptera filer. Att använda nyckelvalsmetoden är inte heller ett alternativ, på grund av nyckelns stora längd. Därför är det tyvärr bara betalning till upphovsmännen av viruset av hela det begärda beloppet det enda sättet försök få tag i dekrypteringsnyckeln.
Naturligtvis finns det absolut ingen garanti för att efter betalning kommer författarna till viruset att kontakta dig och tillhandahålla den nödvändiga nyckeln för att dekryptera dina filer. Dessutom måste du förstå att genom att betala pengar till virusutvecklare så uppmuntrar du dem själv att skapa nya virus.
Innan du börjar måste du veta att genom att börja ta bort viruset och försöka återställa filerna själv, blockerar du möjligheten att dekryptera filerna genom att betala författarna till viruset det belopp som de begärde.
Kaspersky Virus Borttagningsverktyg och Malwarebytes Anti-malware kan upptäcka olika typer aktiva ransomware-virus och tar enkelt bort dem från din dator, MEN de kan inte återställa krypterade filer.
Som standard är programmet konfigurerat för att återställa alla filtyper, men för att påskynda arbetet rekommenderas det att endast lämna de filtyper som du behöver för att återställa. När du är klar med ditt val klickar du på OK.
Längst ned i QPhotoRec-programfönstret letar du upp knappen Bläddra och klickar på den. Du måste välja katalogen där de återställda filerna ska sparas. Det är lämpligt att använda en disk som inte innehåller krypterade filer som kräver återställning (du kan använda en flash-enhet eller extern enhet).
För att starta sökproceduren och återställa originalkopior av krypterade filer, klicka på knappen Sök. Denna process tar ganska lång tid, så ha tålamod.
När sökningen är klar klickar du på knappen Avsluta. Öppna nu mappen du har valt för att spara de återställda filerna.
Mappen kommer att innehålla kataloger som heter recup_dir.1, recup_dir.2, recup_dir.3, etc. Ju fler filer programmet hittar, desto fler kataloger kommer det att finnas. För att hitta de filer du behöver, kontrollera alla kataloger en efter en. För att göra det lättare att hitta filen du behöver bland ett stort antal återställda, använd det inbyggda systemet Windows-sökning(efter filinnehåll), och glöm inte heller funktionen att sortera filer i kataloger. Du kan välja datumet då filen ändrades som ett sorteringsalternativ, eftersom QPhotoRec försöker återställa den här egenskapen när en fil återställs.
Mest modernt antivirusprogram har redan ett inbyggt skyddssystem mot penetration och aktivering av krypteringsvirus. Därför, om din dator inte har ett antivirusprogram, se till att installera det. Du kan ta reda på hur du väljer det genom att läsa detta.
Dessutom finns det specialiserade skyddsprogram. Till exempel, detta är CryptoPrevent, mer detaljer.
Genom att följa dessa instruktioner kommer din dator att rensas från ransomware-viruset. Om du har några frågor eller behöver hjälp, vänligen kontakta oss.
Ransomware-hackare är väldigt lika vanliga utpressare. Både i den verkliga världen och i cybermiljön finns ett enskilt eller gruppmål för attack. Den är antingen stulen eller otillgänglig. Därefter använder kriminella vissa sätt att kommunicera med offren för att förmedla sina krav. Datorbedragare väljer vanligtvis bara ett fåtal format för ett lösenbrev, men kopior kan hittas på nästan vilken minnesplats som helst på ett infekterat system. När det gäller spionprogramsfamiljen som kallas Troldesh eller Shade, tar bedragare ett speciellt tillvägagångssätt när de kontaktar offret.
Låt oss ta en närmare titt på denna stam av ransomware-virus, som riktar sig till den rysktalande publiken. De flesta liknande infektioner upptäcker tangentbordslayouten på den attackerade datorn, och om ett av språken är ryska stoppas intrånget. Däremot ransomware-viruset XTBL otydlig: tyvärr för användare utvecklas attacken oavsett deras geografiska plats och språkpreferenser. En tydlig utföringsform av denna mångsidighet är en varning som visas i skrivbordsbakgrunden, samt en TXT-fil med instruktioner för att betala lösensumman.
XTBL-viruset sprids vanligtvis via spam. Meddelanden liknar brev från kända varumärken, eller är helt enkelt iögonfallande eftersom ämnesraden använder uttryck som "Brådskande!" eller "Viktiga finansiella dokument." Nätfiske-tricket kommer att fungera när mottagaren av ett sådant e-postmeddelande. meddelanden kommer att ladda ner en ZIP-fil som innehåller JavaScript-kod eller ett Docm-objekt som innehåller ett potentiellt sårbart makro.
Efter att ha slutfört den grundläggande algoritmen på den komprometterade datorn fortsätter ransomware-trojanen att söka efter data som kan vara av värde för användaren. För detta ändamål skannar viruset den lokala och externt minne, som samtidigt matchar varje fil med en uppsättning format valda baserat på objektets förlängning. Alla .jpg, .wav, .doc, .xls-filer, liksom många andra objekt, krypteras med den symmetriska blockkrypteringsalgoritmen AES-256.
Det finns två aspekter av denna skadliga inverkan. Först och främst förlorar användaren åtkomst till viktig data. Dessutom är filnamn djupt kodade, vilket resulterar i en meningslös sträng av hexadecimala tecken. Allt som förenar namnen på de berörda filerna är xtbl-tillägget som lagts till dem, dvs. namnet på cyberhotet. Krypterade filnamn har ibland ett speciellt format. I vissa versioner av Troldesh kan namnen på de krypterade objekten förbli oförändrade, och en unik kod läggs till i slutet: [e-postskyddad], [e-postskyddad], eller [e-postskyddad].
Uppenbarligen har angriparna infört e-postadresser. e-post direkt i namnen på filerna, vilket anger för offren kommunikationsmetoden. E-postmeddelandet finns också listat på andra ställen, nämligen i lösenbrevet som finns i filen "Readme.txt". Sådana Notepad-dokument kommer att visas på skrivbordet, såväl som i alla mappar med krypterad data. Nyckelbudskapet är:
"Alla filer var krypterade. För att dekryptera dem måste du skicka koden: [Ditt unika chiffer] till e-postadress [e-postskyddad] eller [e-postskyddad]. Därefter kommer du att få alla nödvändiga instruktioner. Försök att dekryptera på egen hand kommer inte att leda till något annat än oåterkallelig förlust av information."
E-postadressen kan ändras beroende på utpressningsgruppen som sprider viruset.
När det gäller vidare utveckling: i allmänna termer svarar bedragare med en rekommendation att överföra en lösensumma, som kan vara 3 bitcoins, eller ett annat belopp i detta intervall. Observera att ingen kan garantera att hackare kommer att uppfylla sitt löfte även efter att ha fått pengarna. För att återställa åtkomst till .xtbl-filer, rekommenderas berörda användare att först prova alla tillgängliga alternativa metoder. I vissa fall kan data ordnas med hjälp av tjänsten Volume Shadow Copy som tillhandahålls direkt i Windows OS, samt datadekryptering och dataåterställningsprogram från oberoende mjukvaruutvecklare.
Uteslutande effektiv metod arbetar med skadlig programvara i allmänhet och ransomware i synnerhet. Användningen av ett beprövat skyddande komplex garanterar noggrann upptäckt av eventuella virala komponenter, deras fullständigt avlägsnande med ett klick. Vänligen notera vi pratar om om två olika processer: avinstallera infektionen och återställa filer på din PC. Men hotet måste verkligen tas bort, eftersom det finns information om introduktionen av andra datortrojaner som använder det.
Som nämnts låser XTBL ransomware filer med en stark krypteringsalgoritm, så att krypterad data inte kan återställas med en våg av ett trollspö - utan att betala en okänd lösensumma. Men vissa metoder kan verkligen vara en livräddare som hjälper dig att återställa viktig data. Nedan kan du bekanta dig med dem.
Decryptor - program automatisk återställning filer
En mycket ovanlig omständighet är känd. Denna infektion raderar originalfilerna i okrypterad form. Krypteringsprocessen för utpressningsändamål riktar sig alltså mot kopior av dem. Detta ger möjlighet till sådant programvara hur man återställer raderade objekt, även om tillförlitligheten av deras borttagning är garanterad. Det rekommenderas starkt att tillgripa filåterställningsproceduren, vars effektivitet har bekräftats mer än en gång. 
Skuggkopior av volymer
Tillvägagångssättet bygger på Windows procedur säkerhetskopiering av filer, som upprepas vid varje återställningspunkt. Viktiga arbetsförhållanden denna metod: Funktionen "Systemåterställning" måste aktiveras innan infektion. Eventuella ändringar av filen som gjorts efter återställningspunkten kommer dock inte att visas i den återställda versionen av filen.
Detta är det bästa bland alla metoder utan lösen. Om proceduren för att säkerhetskopiera data till en extern server användes innan ransomware-attacken på din dator, för att återställa krypterade filer behöver du helt enkelt gå in i lämpligt gränssnitt, välja nödvändiga filer och starta dataåterställningsmekanismen från säkerhetskopian. Innan du utför operationen måste du se till att ransomwaren är helt borttagen.
Städa in manuellt lägeär fylld med utelämnandet av enskilda delar av ransomware som kan undvika borttagning som dolda föremål operativsystem eller registerobjekt. För att eliminera risken för partiell kvarhållning av enskilda skadliga element, skanna din dator med en pålitlig universell antivirussvit.
Idag ska jag prata om ett virus som nyligen hände en vän till mig. Hans dator var infekterad med det krypterade 000007 ransomware-viruset.
Som ett resultat förlorades åtkomst till många viktiga filer som behövde återställas. Då vände sig en vän till mig för att få hjälp.
Efter en grundlig sökning av olika verktyg och tjänster tillgängliga på Internet insåg jag att det fortfarande inte finns någon universell dekryptering för crypted000007. Viruset är ganska nytt och komplext det finns olika modifieringar av det, som det är mycket svårt att hitta en lösning på.
Men trots detta lyckades jag ändå hitta flera metoder som hjälpte mig att inte bara hitta och ta bort hotet, utan även returnera några av de krypterade filerna. Men innan dess skulle jag vilja prata om hur ransomwaren kom in i systemet och vad som bör göras först när en dator är infekterad.
Det kom ett brev med posten från försäkringskassan som berättade om vikten av brevet med en begäran om att få granska det bifogade anmälningsdokumentet. Det är så en dator oftast infekteras. Angripare tar till olika knep för att skrämma eller intressera användaren.
Av en slump arbetade en bekant som försäkringsagent och öppnade intet ont anande det bifogade dokumentet. Det var här allt började.
Senare viss tid Ett fönster började dyka upp som frågade om tillåtelse att göra ändringar. Om du ger tillåtelse kommer skuggkopior av filer att raderas och det är osannolikt att du kommer att kunna återställa informationen.
Windows XP har inga skuggkopior, så behörighetsfönstret visas inte.
Efter många försök att avleda, försvann fönstret och dök aldrig upp igen. Men efter ett tag märkte en vän att förlängningen av vissa filer hade ändrats till crypted000007, vilket ledde till att de blev oläsliga.
Vissa användare inaktiverar UAC-behörighetsfönstret för enkelhets skull, vilket gör att olika applikationer automatiskt kan komma åt systemet. Då kommer den farliga programvaran att börja fungera utan förvarning.
Det är exakt hur ransomware fungerar. Dess syfte är att kryptera dina data och skapa många identiska textdokument, som innehåller kontaktinformation för att kontakta skaparen av det krypterade000007-viruset. Vanligtvis ber de dig att skicka en speciell kod till adressen [e-postskyddad], varefter du får ytterligare instruktioner.
Mer specifikt kommer angriparen att lova att skicka en dekryptering eller returnera all data själv efter att ha överfört ett visst belopp till sitt konto. Under inga omständigheter tittar du på detta.
De förstod inte vad som hände och ringde mig direkt och bad om hjälp.
Innan du börjar dekryptera krypterade000007-filer måste du hitta och ta bort viruset från din dator.
I sällsynta fall fortsätter farlig programvara att köras även när säkert läge, då kommer de till undsättning antivirus Live CD, till exempel.
Manuell metod upptäckt:
När borttagningen av det krypterade000007-viruset har slutförts kan du börja dekryptera filer.
I skrivande stund har en universell dekryptering för det krypterade000007-viruset ännu inte skapats. Men kanske en fungerande dekryptering dyker upp i morgon. Kontrollera därför tillgängligheten då och då. på en speciell webbplats.
Så här använder du det:
Så vitt jag vet finns det inga andra liknande tjänster eller verktyg för att dekryptera crypted000007. Så fort de dyker upp kommer jag omedelbart att uppdatera den här artikeln.
Dessutom kan det vara användbart att bekanta dig med listan över de som redan finns på just nu dekrypteringar följ denna länk. De är gratis och kan vara lämpliga för andra ändamål.
Men vad ska man göra när det krypterade000007-viruset har krypterade filer och det fortfarande inte finns någon normal fungerande dekryptering på nätverket? Det finns bara ett alternativ, använd manuella metoder för filåterställning.
Nämligen:
Shadow Copy Tool är endast tillgängligt för Windows-användare 7 och uppåt. I mer tidigare versioner han är inte där.
Mappar återställs med samma princip. Om du har skuggkopior kan du återställa nästan alla filer. Kanske kommer några av dem att vara äldre, men det är bättre än ingenting.
För vissa modifieringar av det krypterade000007-viruset, till exempel troldesh shade decryptor, finns det speciella decryptorer från Kaspersky och service Ingen lösen. Du kan ladda ner dem på de officiella webbplatserna.
Jag ska berätta hur du använder dekrypteringsverktyget från Kaspersky.
När skanningen är klar, klicka på "Detaljer" för att se hela listan över dekrypterade filer.
Detta program bör användas för att återställa raderad information snarare än för dekryptering. "Comfy" räddar dig inte alltid, men om andra metoder inte hjälper, är det definitivt värt att använda det.
Bruksanvisning:
Programmet visar bättre prestanda när det gäller att upptäcka och returnera raderad information. Därför kommer "Comfy File Recovery" att vara användbar i fall där den krypterade000007 ransomware raderade arbetsdata innan den krypterade den och lämnade endast den krypterade versionen.
Alla modifieringar av detta virus fungerar inte på det här sättet, men kanske har du tur och i ditt fall ökar chanserna att lyckas.
Alternativt, med hjälp av Comfy File Recovery kan du försöka returnera tidigare kopior av krypterad data, säg från en månad sedan. De kanske inte är lika relevanta, men det är bättre än ingenting.
Verktyget har analoger: Hetman partitionÅterställning, EaseUS Data Recovery, 7-Data Recovery och andra.
Nyligen har det skett en ökning av aktiviteten hos en ny generation illvilliga datorprogram. De dök upp för ganska länge sedan (6 - 8 år sedan), men takten i implementeringen har nått sitt maximum just nu. Allt oftare kan du stöta på det faktum att ett virus har krypterade filer.
Det är redan känt att dessa inte bara är primitiv skadlig programvara, till exempel (orsakar blå skärm), och seriösa program som syftar till att skada, som regel, redovisningsdata. De krypterar alla befintliga filer inom räckhåll, inklusive 1C-redovisningsdata, docx, xlsx, jpg, doc, xls, pdf, zip.
Det ligger i det faktum att en RSA-nyckel används, som är knuten till en specifik användares dator, varför en universell dekryptering används ( dekryptering) frånvarande. Virus som aktiveras på en dator kanske inte fungerar på en annan.
Faran ligger också i det faktum att färdiga byggprogram har lagts ut på Internet i mer än ett år, vilket gör att även hackare (individer som anser sig vara hackare, men inte studerar programmering) kan utveckla den här typen av virus.
För närvarande har mer kraftfulla ändringar dykt upp.
Viruset skickas målmedvetet, vanligtvis till företagets ekonomiavdelning. Först samlas e-postmeddelanden från HR-avdelningar och ekonomiavdelningar in från databaser som till exempel hh.ru. Därefter skickas brev ut. De innehåller oftast en begäran om antagning till en viss tjänst. Till ett sådant brev med ett CV, inuti vilket är ett riktigt dokument med ett implanterat OLE-objekt (pdf-fil med ett virus).
I situationer där redovisningsanställda omedelbart lanserades detta dokument, efter omstarten hände följande: viruset döpte om och krypterade filerna och förstördes sedan själv.
Denna typ av brev är som regel korrekt skrivet och skickat från en postlåda som inte är skräppost (namnet matchar signaturen). En ledig tjänst söks alltid utifrån företagets kärnverksamhet, varför misstankar inte uppstår.
Varken det licensierade Kaspersky (antivirusprogrammet) eller Virus Total (en onlinetjänst för att kontrollera bilagor för virus) kan säkra datorn i det här fallet. Ibland, när man skannar, rapporterar vissa antivirusprogram att bilagan innehåller Gen:Variant.Zusy.71505.
Varje mottagen fil bör kontrolleras. Särskild uppmärksamhet ägnas åt Word-dokument som har inbäddad pdf.
Det finns ganska många av dem. De vanligaste alternativen för hur viruskrypterade filer presenteras nedan. I samtliga fall skickas följande dokument via e-post:
Efter infektion kommer den att visas i rotmappen på enhet C. Ibland placeras filer som WHAT_DO_DELA.txt, CONTACT.txt i alla kataloger med skadad text. Där informeras användaren om krypteringen av sina filer, som utförs med tillförlitliga kryptografiska algoritmer. Han varnas också för den olämpliga användningen tredjepartsverktyg, eftersom detta kan leda till permanent skada på filerna, vilket i sin tur gör dem omöjliga att dekryptera senare.
Meddelandet rekommenderar att du lämnar din dator som den är. Den indikerar lagringstiden för den medföljande nyckeln (vanligtvis 2 dagar). Ett exakt datum anges efter vilket alla typer av förfrågningar kommer att ignoreras.
Ett mejl ges i slutet. Det står också att användaren måste uppge sitt ID och att någon av följande åtgärder kan leda till att nyckeln förstörs, nämligen:
Den här typen av kryptering är mycket kraftfull: filen tilldelas ett tillägg som perfect, nochance, etc. Det är helt enkelt omöjligt att knäcka, men du kan försöka använda kryptoanalytiker och hitta ett kryphål (Dr. WEB hjälper i vissa situationer) .
Det finns ett annat sätt att återställa filer krypterade av ett virus, men det fungerar inte för alla virus, och du måste också ta bort den ursprungliga exe-filen tillsammans med detta skadliga program, vilket är ganska svårt att göra efter självförstörelse.
Virusbegäran angående introduktion speciell kod- en mindre kontroll, eftersom filen redan har en dekryptering vid det här laget (koden från så att säga angriparna kommer inte att behövas). Kärnan denna metod- infoga tomma kommandon i det infiltrerade viruset (på samma plats där den inmatade koden jämförs). Resultatet är att det skadliga programmet själv börjar dekryptera filer och därigenom helt återställer dem.
I varje separat virus sin egen speciell funktion kryptering, varför det inte kommer att vara möjligt att dekryptera den med en körbar fil från tredje part (exe-formatfil), eller så kan du försöka välja ovanstående funktion, för vilken du måste utföra alla åtgärder med WinAPI.
För att utföra dekrypteringsproceduren behöver du:
Det är värt att veta att i en situation där ett virus har krypterade filer kommer dekrypteringsprocessen att ta tid. En viktig punkt är att det finns en bugg i ovan nämnda skadliga program som gör att du kan spara några av filerna om du snabbt stänger av datorn (koppla ur, stäng av överspänningsskydd, ta bort batteriet om det är en bärbar dator) så snart det dyker upp stort antal filer med det tidigare angivna tillägget.
Återigen bör det betonas att det viktigaste är att ständigt skapa säkerhetskopiering, men inte till en annan mapp, inte till en flyttbar enhet som är insatt i datorn, eftersom denna modifiering av viruset kommer att nå dessa platser. Det är värt att spara säkerhetskopior på en annan dator, på en hårddisk som inte är permanent ansluten till datorn och i molnet.
Du bör vara misstänksam mot alla dokument som kommer via post från okända personer (i form av ett CV, faktura, resolution från Ryska federationens högsta skiljedomstol eller skattekontoret, etc.). Du behöver inte köra dem på din dator (för dessa ändamål kan du välja en netbook som inte innehåller viktiga data).
I en situation där ovanstående virus har krypterade filer cbf, doc, jpg, etc., finns det bara tre alternativ för utvecklingen av händelsen:
Ibland visar sig ett extra alternativ vara effektivt. I fallet där ett virus har krypterade filer (paycrypt@gmail_com eller annan skadlig kod) kan det hjälpa för några dagar sedan.
Om viruset krypterat jpg-filer, doc, cbf, etc., då kan ett speciellt program hjälpa. För att göra detta måste du först gå till start och inaktivera allt utom antivirus. Därefter måste du starta om datorn. Visa alla filer, markera misstänkta. Fältet som heter "Kommando" anger platsen för en specifik fil (var uppmärksam på applikationer som inte har en signatur: tillverkare - inga data).
Alla misstänkta filer måste raderas, varefter du måste rensa webbläsarens cacheminne och tillfälliga mappar (CCleaner är lämplig för detta).
För att börja dekryptera måste du ladda ner programmet ovan. Kör sedan den och klicka på knappen "Starta skanning", som anger de ändrade filerna och deras tillägg. I moderna versioner av detta program kan du bara ange själva den infekterade filen och klicka på knappen "Öppna". Efter detta kommer filerna att dekrypteras.
Därefter skannar verktyget automatiskt all datordata, inklusive filer som finns på den anslutna nätverksenheten, och dekrypterar dem. Denna processÅterställningen kan ta flera timmar (beroende på mängden arbete och datorns hastighet).
Som ett resultat kommer allt att dekrypteras till samma katalog där de ursprungligen fanns. Slutligen, allt som återstår är att ta bort alla befintliga filer med en misstänkt tillägg, för vilken du kan markera rutan i begäran "Ta bort krypterade filer efter framgångsrik dekryptering", genom att först klicka på knappen "Ändra skanningsparametrar". Det är dock bättre att inte installera det, eftersom om dekryptering av filer misslyckas kan de raderas, och sedan måste du återställa dem först.
Så, om viruset krypterat doc-filer, cbf, jpg, etc., bör du inte skynda dig att betala för koden. Han kanske inte behövs.
När man försöker eliminera alla skadade filer genom standardsökning och efterföljande borttagning kan göra att din dator fryser och saktar ner. I detta avseende är det värt att använda en speciell procedur. Efter att ha startat den måste du ange följande: del ".<диск>:\*.<расширение зараженного файла>"/f/s.
Det är absolut nödvändigt att radera filer som "Read-me.txt", för vilka i samma kommandoraden bör anges: del "<диск>:\*.<имя файла>"/f/s.
Således kan det noteras att om viruset har bytt namn och krypterat filer, bör du inte omedelbart spendera pengar på att köpa en nyckel från angripare, du bör först försöka ta reda på problemet själv. Det är bättre att investera pengar i inköp specialprogram för att dekryptera skadade filer.
Slutligen är det värt att komma ihåg att den här artikeln diskuterade frågan om hur man dekrypterar filer krypterade av ett virus.
De första ransomware-trojanerna från Trojan.Encoder-familjen dök upp 2006-2007. Sedan januari 2009 har antalet av deras sorter ökat med cirka 1900%! För närvarande är Trojan.Encoder ett av de farligaste hoten för användare, med flera tusen modifieringar. Från april 2013 till mars 2015 fick Doctor Web viruslaboratoriet 8 553 förfrågningar om att dekryptera filer som påverkats av kodartrojaner.
Krypteringsvirus har nästan vunnit första plats i förfrågningar till forum på informationssäkerhet. Varje dag mottas i genomsnitt 40 förfrågningar om dekryptering endast av anställda på Doctor Web viruslaboratoriet från användare som är infekterade olika typer ransomware trojaner ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, valv och så vidare). De främsta tecknen på sådana infektioner är att ändra filändelserna för användarfiler, såsom musikfiler, bildfiler, dokument, etc., när du försöker öppna dem visas ett meddelande från angriparna som kräver betalning för att skaffa en dekryptering. Det är också möjligt att ändra bakgrundsbilden på skrivbordet, utseendet på textdokument och fönster med motsvarande meddelanden om kryptering, överträdelse licensavtal och så vidare. Krypteringstrojaner är särskilt farliga för kommersiella företag, eftersom förlorad data från databaser och betalningsdokument kan blockera företagets arbete på obestämd tid, vilket leder till förlust av vinst.
Trojaner från Trojan.Encoder-familjen använder dussintals olika algoritmer för att kryptera användarfiler. Till exempel, för att hitta nycklarna för att dekryptera filer krypterade av Trojan.Encoder.741 med en brute force-metod, behöver du:
107902838054224993544152335601 år
Dekryptering av filer som skadats av trojanen är möjlig i högst 10 % av fallen. Detta innebär att de flesta användardata går förlorade för alltid.
Idag kräver ransomware upp till 1 500 bitcoins.
Även om du betalar en lösen till angriparen, det ger dig ingen garanti för dataåterställning.
Det kommer till konstigheter - ett fall registrerades när brottslingarna, trots lösensumman, inte kunde dekryptera filer krypterade med Trojan.Encoder som de skapade, och skickade offrets användare för hjälp... till tjänsten teknisk support antivirusföretag!
Hur uppstår infektion?
När du använder RDP-lösenordsgissning, en angripare han kommer in på egen hand under ett hackat konto, stänger av den själv eller laddar ner en antivirusprodukt och lanserar sig själv kryptering.
Tills du slutar vara rädd för brev med rubrikerna "Skulder", "Straffrättsliga förfaranden", etc., kommer angripare att dra fördel av din naivitet.
Tänk på det... Lär dig själv och lär andra de enklaste grunderna för säkerhet!
Låt oss citera rekommendationerna från Dr.Web och Kaspersky Lab:
Spoiler: Fotnot
Ingen kodare kan kryptera all data direkt, så tills krypteringen är klar förblir en del av den orörd. Och ju mer tid som har gått sedan starten av krypteringen, desto mindre orörd data finns kvar. Eftersom vår uppgift är att spara så många av dem som möjligt måste vi stoppa driften av kodaren. Du kan i princip börja analysera listan med processer, leta efter var trojanen finns i dem, försöka avsluta den... Men tro mig, att dra ur nätsladden går mycket snabbare! Regelbundet färdigställande Windows-driftär ett bra alternativ, men det kan ta lite tid, eller så kan trojanen störa den genom sina handlingar. Så mitt val är att dra i sladden. Utan tvekan har detta steg sina nackdelar: möjligheten att skada filsystemet och omöjligheten att ytterligare ta en RAM-dump. Skadad filsystem För en oförberedd person är problemet allvarligare än kodaren. Åtminstone finns filerna kvar efter kodaren, men skador på partitionstabellen gör det omöjligt att starta operativsystemet. Å andra sidan kommer en kompetent dataåterställningsspecialist att reparera samma partitionstabell utan problem, men kodaren kanske helt enkelt inte har tid att nå många filer.
För att inleda straffrättsliga förfaranden mot angripare behöver brottsbekämpande myndigheter ett processuellt skäl - ditt uttalande om brottet. Exempel på ansökan
Var beredd på att din dator tas i beslag under en tid för undersökning.
Om de vägrar att acceptera din ansökan, få ett skriftligt avslag och lämna in ett klagomål till en högre polismyndighet (polischefen i din stad eller region).
- Försök inte under några omständigheter att installera om operativsystemet;
- ta inte bort några filer eller e-postmeddelanden på din dator;
- kör inte några "rensare" av temporära filer och register;
- Du bör inte skanna och behandla din dator med antivirus och antivirusverktyg, och speciellt med antivirus LiveCD som en sista utväg kan du flytta infekterade filer till antiviruskarantän;
Spoiler: Fotnot
För dekryptering kan en oansenlig 40-byte fil i en tillfällig katalog eller en obegriplig genväg på skrivbordet vara av största vikt. Du vet förmodligen inte om de kommer att vara viktiga för dekryptering eller inte, så det är bättre att inte röra någonting. Rengöring av registret är i allmänhet en tveksam procedur, och vissa kodare lämnar spår av funktion där som är viktiga för avkodning. Antivirus kan naturligtvis hitta kroppen av en kodartrojan. Och de kan till och med ta bort det en gång för alla, men vad blir det då kvar för analys? Hur ska vi förstå hur och vad filerna krypterades med? Därför är det bättre att lämna djuret på disken. En annan viktig punkt: Jag känner inte till någon systemrengörare som tar hänsyn till kodarens funktionsförmåga och bevarar alla spår av dess funktion. Och troligen kommer sådana medel inte att visas. Om du installerar om systemet kommer definitivt att förstöra alla spår av trojanen, förutom krypterade filer.
- försök inte återställa krypterade filer på egen hand;
Spoiler: Fotnot
Om du har ett par års skrivande program bakom dig förstår du verkligen vad RC4, AES, RSA är och vad skillnaderna är mellan dem, du vet vad Hiew är och vad 0xDEADC0DE betyder, du kan prova. Jag rekommenderar det inte till andra. Låt oss säga att du hittade någon mirakelmetod för att dekryptera filer och att du till och med lyckades dekryptera en fil. Detta är inte en garanti för att tekniken kommer att fungera på alla dina filer. Dessutom är detta inte en garanti för att med den här metoden kommer du inte att skada filerna ännu mer. Även i vårt arbete finns det obehagliga ögonblick då allvarliga fel upptäcks i dekrypteringskoden, men i tusentals fall fram till denna punkt har koden fungerat som den ska.
Nu när det är klart vad du ska göra och vad du inte ska göra kan du börja dechiffrera. I teorin är dekryptering nästan alltid möjlig. Detta är om du känner till all data som behövs för det eller har en obegränsad mängd pengar, tid och processorkärnor. I praktiken kan något dechiffreras nästan omedelbart. Något kommer att vänta på sin tur i ett par månader eller till och med år. I vissa fall behöver du inte ens ta itu med det: ingen kommer att hyra en superdator gratis i 5 år. Det är också dåligt att ett till synes enkelt fall visar sig vara extremt komplext när det granskas i detalj. Det är upp till dig att bestämma vem du ska kontakta.
Hur återställer man filer?
- kontakta antiviruslaboratoriet hos ett företag som har en avdelning med virusanalytiker som hanterar detta problem;
- Bifoga en trojansk krypterad fil till biljetten (och, om möjligt, en okrypterad kopia av den);
- vänta på virusanalytikerns svar. På grund av den stora mängden förfrågningar kan detta ta lite tid.
Adresser med formulär för att skicka krypterade filer:
- Dr. Web (Ansökningar om gratis dekryptering accepteras endast från användare omfattande antivirus Drweb)
- Kaspersky Lab (Begäranden om gratis dekryptering accepteras endast från användare av Kaspersky Labs kommersiella produkter)
- ESET, LLC ( Ansökningar om gratis dekryptering accepteras endast från användare av ESETs kommersiella produkter)
- The No More Ransom Project (val av kodbrytare)
- Kryptörer - utpressare (val av dechiffrerare)
- ID Ransomware (val av dekrypteringar)
Vi Vi rekommenderar absolut inteåterställ filer själv, eftersom om du gör det olämpligt kan du förlora all information utan att återställa något!!! Dessutom återställning av filer krypterade av vissa typer av trojaner det är helt enkelt omöjligt på grund av styrkan hos krypteringsmekanismen.
Raderade filåterställningsverktyg:
Vissa typer av kryptering Trojaner skapar en kopia av den krypterade filen, krypterar den och tar bort den ursprungliga filen. I det här fallet kan du använda ett av filåterställningsverktygen (det rekommenderas att använda bärbara versioner program som laddas ner och spelas in på en flashenhet på en annan dator):Metod för att lösa problem med vissa versioner Låsdir
- R.saver
- Recuva
- JPEG Ripper - verktyg för att återställa skadade bilder
- JPG-skanningsbeskrivning)
- PhotoRec - ett verktyg för att återställa skadade bilder (beskrivning)
Mappar krypterade med vissa versioner av Lockdir kan öppnas med en arkivering 7-dragkedja
Efter framgångsrik dataåterställning måste du kontrollera systemet för skadlig programvara för att göra detta, du bör köra och skapa ett ämne som beskriver problemet i avsnittet
Återställa krypterade filer med operativsystemet.
För att kunna återställa filer med operativsystemet måste du aktivera systemskyddet innan ransomware-trojanen kommer in på din dator. De flesta ransomware-trojaner kommer att försöka ta bort alla skuggkopior på din dator, men ibland kommer detta inte att vara möjligt (om du inte har administrativa rättigheter och installerat Windows-uppdateringar), och du kan använda skuggkopior för att återställa skadade filer.
Kom ihåg att kommandot för att ta bort skuggkopior:
Koda:
Vssadmin ta bort skuggor
fungerar bara med administratörsrättigheter, så efter att ha aktiverat skydd måste du endast arbeta som användare med begränsade rättigheter och noggrant vara uppmärksam på alla UAC-varningar om ett försök att eskalera rättigheter.
Spoiler: Hur aktiverar man systemskydd?
Hur återställer man tidigare versioner av filer efter att de är skadade?
Notera:Återställa från egenskaperna för en fil eller mapp med fliken " Tidigare versioner» tillgänglig endast i utgåvor av Windows 7 som inte är lägre än "Professional". Hemmautgåvor av Windows 7 och alla utgåvor av nyare Windows-operativsystem har en lösning (under spoilern).
Spoiler
Andra sättet - detta är användningen av verktyget ShadowExplorer(du kan ladda ner både installationsprogrammet och den bärbara versionen av verktyget).Kör programmet
Välj den enhet och det datum som du vill återställa filer för
Välj filen eller mappen som ska återställas och klicka på den högerklicka möss
Välj menyalternativ Exportera och ange sökvägen till mappen där du vill återställa filer från skuggkopian.
Sätt att skydda dig mot ransomware-trojanerTyvärr är metoder för att skydda mot ransomware-trojaner för vanliga användare ganska komplicerade, eftersom de kräver säkerhetspolicy eller HIPS-inställningar som tillåter åtkomst till filer endast till vissa applikationer och inte ger 100 % skydd i fall där en trojan är inbäddad i adressutrymmet av en betrodd applikation. Därför den enda på ett tillgängligt sätt skydd är att säkerhetskopiera användarfiler till flyttbara media. Dessutom, om en sådan bärare är en extern hårddisk eller en flash-enhet, bör dessa media vara anslutna till datorn endast under säkerhetskopieringen och vara bortkopplade resten av tiden. För större säkerhet kan säkerhetskopiering utföras genom att starta från LiveCD. Säkerhetskopiering kan även utföras på den så kallade " molnlagring" tillhandahålls av vissa företag.
Konfigurera antivirusprogram för att minska sannolikheten för infektion av ransomware-trojaner.
Gäller alla produkter:
Det är nödvändigt att aktivera självförsvarsmodulen och ställa in ett komplext lösenord för antivirusinställningarna!!!
