Ilmestynyt noin 8-10 vuotta sitten, salaa viruksia tänään ovat saavuttaneet valtavan suosion erilaisten tietokonehuijausten keskuudessa.

Asiantuntijat katsovat tämän johtuvan vapaasti saatavilla olevista rakennusohjelmista, joiden avulla heikkokin asiantuntija voi koota tietokonevirus tietyillä ominaisuuksilla.

Miten salausvirus toimii?

Useimmiten salaava virus viedään uhrin tietokoneeseen käyttämällä postitus lista. Yritys saa työnhakijan, mahdollisen kumppanin tai ostajan väitetysti lähettämän kirjeen, joka sisältää implantin pdf-tiedosto viruksen kanssa.

Kun yrityksen työntekijä avaa sähköpostin, virus lisätään käynnistysohjelmien luetteloon. Kun käynnistät tietokoneen uudelleen, se käynnistyy, nimeää uudelleen ja salaa tiedostot ja tuhoaa sitten itsensä.

Usein tartunnan saaneet sähköpostit naamioidaan viesteiksi veroviranomaisilta, lainvalvontaviranomaisilta, pankeilta jne.

Hakemistosta, jossa on vaurioituneet tiedostot, löytyy kirje, jossa kerrotaan, että tiedot on salattu turvallisella, salauksenkestävällä tavalla eikä sitä voida purkaa itsenäisesti ilman tiedostojen pysyvää menetystä.


Jos haluat palauttaa sen, sinun on tehtävä se määrätty aika siirtää tietty summa saadaksesi salauksenpurkuavaimen.

Onko mahdollista käsitellä tiedostojen salauksen purkamista itse?

Useimmiten kiristysohjelmat käyttävät viruksia tarkoituksiinsa, joita Doctor Web kutsui Trojan. Encoder. Se muuntaa uhrin tietokoneessa olevat tiedostot antamalla niille laajennuksen .crypt. Lähes kaikki yleisimmät muodot voidaan salata tekstitiedostoja, kuvia, ääniraitoja, pakattuja tiedostoja.

Salattujen tiedostojen palauttamiseksi yrityksen asiantuntijat loivat apuohjelman te19decrypt. Tänään hän on mukana vapaa pääsy, josta kuka tahansa Internetin käyttäjä voi ladata sen. Tämä on pieni ohjelma, joka vie vain 233 kt. Latauksen jälkeen sinun tulee:

- Napsauta avautuvassa ikkunassa painiketta "Jatkaa" ;

- jos viesti tulee näkyviin "Virhe" , täydennettynä merkinnällä "En saa avaintiedosto[Tiedoston nimi]. Haluatko määrittää sen sijainnin manuaalisesti?", painaa nappia OK;

- avautuvassa ikkunassa "Avata" määritä tiedoston polku encrypted.txt;

— sitten salauksen purkuprosessi alkaa.


Sinun ei pitäisi koskaan poistaa tiedostoa encrypted.txt ennen salauksenpurkuapuohjelman suorittamista, koska sen häviäminen tekee mahdottomaksi palauttaa salattuja tietoja.

Decryptor-ohjelma RectorDecryptor

Monet ihmiset käyttävät salattujen tiedostojen palauttamiseen erikoisohjelma RectorDecryptor. Sinun on työskenneltävä sen kanssa seuraavasti:

- lataa ohjelma RectorDecryptor, jos se ei ole käytettävissäsi;

— poista kaikki ohjelmat käynnistysluettelosta virustorjuntaa lukuun ottamatta;

- käynnistä tietokone uudelleen;

— Selaa tiedostoluetteloa, korosta epäilyttävät tiedostot, erityisesti sellaiset, joissa ei ole tietoja valmistajasta;

— poista epäilyttävät tiedostot, jotka voivat sisältää viruksen;

- tyhjennä selaimen välimuisti ja väliaikaiset kansiot ohjelman avulla CCleaner tai samankaltainen;

- tuoda markkinoille RectorDecryptor, osoita salattu tiedosto sekä sen tunniste ja napsauta sitten painiketta "Aloita tarkistaminen" ;

- V uusimmat versiot ohjelma, voit määrittää vain tiedostonimen ja paina sitten "Avata" ;

— odota, kunnes tiedoston salaus puretaan, ja siirry seuraavaan.

Seuraava ohjelma RectorDecryptor Se itse jatkaa kaikkien tietokoneellasi olevien tiedostojen tarkistamista, mukaan lukien siirrettävällä tietovälineellä olevat tiedostot.


Salauksen purkaminen voi kestää useita tunteja riippuen vaurioituneiden tiedostojen määrästä ja tietokoneen suorituskyvystä. Palautetut tiedot kirjoitetaan samaan hakemistoon, jossa ne olivat aiemmin.

Voit ilmoittaa tarpeen poistaa salattu materiaali salauksen purkamisen jälkeen valitsemalla vastaavan pyynnön vieressä olevan ruudun. Mutta kokeneita käyttäjiä Tätä ei suositella, koska jos salauksen purku epäonnistuu, menetät kokonaan kyvyn palauttaa tietosi.

Jos se näkyy tietokoneessasi tekstiviesti, joka sanoo, että tiedostosi on salattu, joten älä kiirehdi paniikkiin. Mitkä ovat tiedostojen salauksen oireet? Tavallinen laajennus muuttuu muotoon *.vault, *.xtbl, * [sähköposti suojattu] _XO101 jne. Tiedostoja ei voi avata - tarvitaan avain, jonka voi ostaa lähettämällä kirje viestissä ilmoitettuun osoitteeseen.

Mistä sait salatut tiedostot?

Tietokone sai viruksen, joka esti pääsyn tietoihin. Virustentorjuntaohjelmat usein kaipaavat niitä, koska tämä ohjelma perustuu yleensä joihinkin vaarattomiin ilmainen apuohjelma salaus. Poistat itse viruksen riittävän nopeasti, mutta tietojen salauksen purkamisessa voi syntyä vakavia ongelmia.

Tekninen tuki Kaspersky Labille, Dr.Webille ja muille kuuluisia yrityksiä, joka osallistuu virustorjuntaohjelmistojen kehittämiseen, vastauksena käyttäjien pyyntöihin purkaa tietojen salaus, raportoi, että tätä on mahdotonta tehdä hyväksyttävässä ajassa. On olemassa useita ohjelmia, jotka voivat poimia koodin, mutta ne voivat toimia vain aiemmin tutkittujen virusten kanssa. Jos kohtaat uuden muutoksen, mahdollisuudet palauttaa pääsy tietoihin ovat erittäin alhaiset.

Miten ransomware-virus pääsee tietokoneeseen?

90 prosentissa tapauksista käyttäjät itse aktivoivat viruksen tietokoneessaan, avaa tuntemattomia kirjaimia. Sitten sähköpostiin lähetetään viesti provosoivalla aiheella - "Haaste", "Lainavelka", "Veroviraston ilmoitus" jne. Väärennetyn kirjeen sisällä on liite, jonka lataamisen jälkeen lunnasohjelma pääsee tietokoneeseen ja alkaa vähitellen estää pääsyn tiedostoihin.

Salaus ei tapahdu hetkessä, joten käyttäjillä on aikaa poistaa virus ennen kuin kaikki tiedot on salattu. Tuhota haitallinen kirjoitus voit käyttää Dr.Web CureIt -siivousapuohjelmia, Kaspersky Internet Turvallisuus ja Malwarebytes Antimalware.

Tiedostojen palautusmenetelmät

Jos järjestelmäsuojaus on otettu käyttöön tietokoneellasi, jopa kiristysohjelmaviruksen vaikutuksen jälkeen on mahdollisuus palauttaa tiedostot normaalitilaan käyttämällä tiedostojen varjokopioita. Ransomware yrittää yleensä poistaa ne, mutta joskus se epäonnistuu järjestelmänvalvojan oikeuksien puutteen vuoksi.

Aiemman version palauttaminen:

Jotta aiemmat versiot voidaan tallentaa, sinun on otettava järjestelmän suojaus käyttöön.

Tärkeää: järjestelmän suojaus on otettava käyttöön ennen kiristysohjelman ilmestymistä, minkä jälkeen se ei enää auta.

1. Avaa Tietokoneen ominaisuudet.
2. Valitse vasemmalla olevasta valikosta Järjestelmän suojaus.
   
3. Valitse asema C ja napsauta "Määritä".
4. Valitse palautusasetukset ja aiemmat versiot tiedostot. Ota muutokset käyttöön napsauttamalla "Ok".

Jos suoritit nämä vaiheet ennen tiedostoa salaavan viruksen ilmestymistä, sitten tietokoneen puhdistamisen jälkeen vahingoittava koodi sinulla on hyvät mahdollisuudet palauttaa tietosi.

Erityisten apuohjelmien käyttö

Kaspersky Lab on valmistellut useita apuohjelmia, jotka auttavat avaamaan salattuja tiedostoja viruksen poistamisen jälkeen. Ensimmäinen salauksenpurkuohjelma, jota kannattaa kokeilla, on Kaspersky RectorDecryptor.

1. Lataa ohjelma Kaspersky Labin viralliselta verkkosivustolta.
2. Suorita sitten apuohjelma ja napsauta "Aloita tarkistus". Määritä minkä tahansa salatun tiedoston polku.

Jos haittaohjelma ei ole muuttanut tiedostojen laajennusta, sinun on kerättävä tiedostot salauksen purkamiseksi erillinen kansio. Jos apuohjelma on RectorDecryptor, lataa kaksi muuta ohjelmaa Kasperskyn viralliselta verkkosivustolta - XoristDecryptor ja RakhniDecryptor.

Kaspersky Labin uusin apuohjelma on nimeltään Ransomware Decryptor. Se auttaa purkamaan tiedostojen salauksen CoinVault-viruksen jälkeen, joka ei ole vielä kovin laajalle levinnyt RuNetissä, mutta saattaa pian korvata muut troijalaiset.

Virusten määrä niiden tavanomaisessa merkityksessä vähenee koko ajan, ja syy tähän on ilmaiset virustorjuntaohjelmat, jotka toimivat hyvin ja suojaavat käyttäjien tietokoneita. Samaan aikaan kaikki eivät välitä tietojensa turvallisuudesta, ja he ovat vaarassa saada tartunnan paitsi haittaohjelmilla myös tavallisilla viruksilla, joista yleisin on edelleen troijalainen. Hän osaa näyttää itsensä eri tavoilla, mutta yksi vaarallisimmista on tiedostojen salaus. Jos virus on salannut tietokoneellasi olevia tiedostoja, ei voida taata, että pystyt palauttamaan tiedot, mutta on olemassa joitain tehokkaita menetelmiä, ja niitä käsitellään alla.

Salausvirus: mikä se on ja miten se toimii

Internetistä löytyy satoja erilaisia ​​tiedostoja salaavia viruksia. Heidän toimintansa johtaa yhteen seuraukseen - käyttäjän tiedot tietokoneella ovat tuntematon muoto jolla ei voi avata vakioohjelmat. Tässä on vain joitain muotoja, joihin tietokoneessa olevat tiedot voidaan salata virusten seurauksena: .locked, .xtbl, .kraken, .cbf, .oshit ja monet muut. Joissakin tapauksissa se kirjoitetaan suoraan tiedostopäätteeseen sähköpostiosoite viruksen luojat.

Yleisimpiä tiedostoja salaavia viruksia ovat Trojan-Ransom.Win32.Aura Ja Trojan-Ransom.Win32.Rakhni. Niitä on monissa muodoissa, eikä viruksella välttämättä ole edes nimeä Troijalainen (esimerkiksi CryptoLocker), mutta niiden toiminta on käytännössä sama. Uusia versioita salausviruksista julkaistaan ​​säännöllisesti tekijöiden auttamiseksi virustorjuntasovellukset oli vaikeampaa käsitellä uusia formaatteja.

Jos salaava virus on tunkeutunut tietokoneeseen, se ei varmasti ilmene vain estämällä tiedostoja, vaan myös tarjoamalla käyttäjälle niiden avaamisen rahallista maksua vastaan. Näytölle saattaa ilmestyä banneri, joka kertoo, minne sinun on siirrettävä rahaa tiedostojen lukituksen avaamiseksi. Kun tällaista banneria ei näy, sinun tulee etsiä viruskehittäjien "kirjettä" työpöydältäsi. Useimmissa tapauksissa tällainen tiedosto on nimeltään ReadMe.txt.

Tiedostojen salauksen purkuhinnat voivat vaihdella viruksen kehittäjistä riippuen. Samanaikaisesti on kaukana tosiasiasta, että kun lähetät rahaa viruksen luojille, he lähettävät takaisin lukituksen avausmenetelmän. Useimmissa tapauksissa rahat menevät "ei minnekään", eikä tietokoneen käyttäjä saa salauksen purkumenetelmää.

Kun virus on saapunut tietokoneellesi ja näet näytöllä koodin, johon sinun on lähetettävä tietty osoite Sinun ei pitäisi tehdä tätä saadaksesi salauksen purkajan. Ensinnäkin kopioi tämä koodi paperille, koska äskettäin luotu tiedosto voi olla myös salattu. Tämän jälkeen voit piilottaa tietoja viruksen kehittäjiltä ja yrittää löytää Internetistä tavan päästä eroon tiedostosalauksesta sinun tapauksessasi. Alla esittelemme tärkeimmät ohjelmat, joiden avulla voit poistaa viruksen ja purkaa tiedostoja, mutta niitä ei voida kutsua yleisiksi, ja luojat viruksentorjuntaohjelma Ratkaisuluetteloa täydennetään säännöllisesti.

Tiedostoja salaavan viruksen poistaminen on melko yksinkertaista ilmaiset versiot virustorjunta. 3 ilmaista ohjelmaa selviää hyvin tiedostoa salaavista viruksista:

• Malwarebytes Antimalware;
• Dr.Web Cure It ;
• Kaspersky Internet Turvallisuus.

Yllä mainitut sovellukset ovat täysin ilmaisia ​​tai niillä on kokeiluversiot. Suosittelemme käyttämään Dr.Webin tai Kesperskyn ratkaisua, kun olet tarkistanut järjestelmäsi Malwarebytes Antimalwarella. Muistutetaan vielä kerran, että ei ole suositeltavaa asentaa tietokoneellesi kahta tai useampaa virustorjuntaohjelmaa samanaikaisesti, joten sinun on poistettava edellinen ennen jokaisen uuden ratkaisun asentamista.

Kuten yllä totesimme, ihanteellinen ratkaisu Ongelma tässä tilanteessa on ohjeiden valinta, joiden avulla voit käsitellä erityisesti ongelmaasi. Tällaiset ohjeet julkaistaan ​​useimmiten virustorjuntakehittäjien verkkosivustoilla. Alla esittelemme useita asiaankuuluvia virustorjuntaohjelmat joiden avulla voit selviytyä erilaisia ​​tyyppejä Troijalaiset ja muun tyyppiset kiristysohjelmat.

Yllä oleva on vain pieni osa virustentorjuntaohjelmista, joiden avulla voit purkaa tartunnan saaneiden tiedostojen salauksen. On syytä huomata, että jos yrität yksinkertaisesti saada tiedot takaisin, ne päinvastoin menetetään ikuisesti - sinun ei pitäisi tehdä tätä.

"Anteeksi vaivautua, mutta... tiedostosi ovat salattuja. Saadaksesi salauksenpurkuavaimen, siirrä kiireesti tietty määrä rahaa lompakkoosi... Muuten tietosi tuhoutuvat ikuisesti. Sinulla on 3 tuntia aikaa, aika on mennyt." Eikä se ole vitsi. Salausvirus on enemmän kuin todellinen uhka.

Tänään puhumme siitä, mihin se leviää viime vuodet haittaohjelma- lunnasohjelmat, mitä tehdä, jos se on saanut tartunnan, miten tietokoneesi desinfioidaan ja onko se edes mahdollista, ja myös kuinka suojautua niiltä.

Salaamme kaiken!

Kiristysohjelmavirus (encryptor, cryptor) on erityinen haitallinen lunnasohjelma, jonka toiminta koostuu käyttäjän tiedostojen salaamisesta ja sitten lunnaiden vaatimisesta salauksenpurkutyökalusta. Lunnaiden määrät alkavat jostain 200 dollarista ja saavuttavat kymmeniä ja satoja tuhansia vihreitä paperinpaloja.

Useita vuosia sitten vain tietokoneet käynnissä Windows-pohjainen. Nykyään niiden valikoima on laajentunut näennäisesti hyvin suojatuille Linuxille, Macille ja Androidille. Lisäksi salauslaitteiden valikoima kasvaa jatkuvasti - uusia tuotteita ilmestyy peräkkäin, joilla on jotain yllättävää maailmalle. Näin ollen se syntyi klassisen salaustroijalaisen ja verkkomadon (haitallinen ohjelma, joka leviää verkoissa ilman käyttäjien aktiivista osallistumista) "risteykseen".

WannaCryn jälkeen yhtä hienostunut Petya ja Bad Rabbit. Ja koska "salausliiketoiminta" tuo hyviä tuloja omistajilleen, voit olla varma, että he eivät ole viimeisiä.

Yhä useammat lunnasohjelmat, erityisesti ne, jotka ovat nähneet päivänvalon viimeisen 3-5 vuoden aikana, käyttävät vahvoja salausalgoritmeja, joita ei voida murtaa raa'alla voimalla tai muilla menetelmillä. olemassa olevia keinoja. Ainoa tapa palauttaa tiedot on käyttää alkuperäistä avainta, jonka hyökkääjät tarjoavat ostaa. Edes vaaditun summan siirtäminen heille ei kuitenkaan takaa avaimen saamista. Rikollisilla ei ole kiirettä paljastaa salaisuuksiaan ja menettää mahdollisia voittoja. Ja mitä järkeä heidän on pitää lupauksensa, jos heillä on jo rahaa?

Salaavien virusten leviämisreitit

Haittaohjelmien pääasiallinen tapa päästä yksityisten käyttäjien ja organisaatioiden tietokoneille on Sähköposti, tarkemmin sanottuna kirjeisiin liitetyt tiedostot ja linkit.

Esimerkki tällaisesta kirjeestä, joka on tarkoitettu "yritysasiakkaille":

• "Maksa lainavelkasi heti takaisin."
• "Kanne on nostettu oikeuteen."
• "Maksa sakko/maksu/vero."
• "Lisämaksu sähkölaskuista."
• "Ai, oletko sinä kuvassa?"
• "Lena pyysi minua kiireellisesti antamaan tämän sinulle" jne.

Samaa mieltä, vain asiantunteva käyttäjä käsittelee tällaista kirjettä varoen. Useimmat ihmiset epäröimättä avaavat liitteen ja käynnistävät haittaohjelman itse. Muuten, virustorjunnan huudoista huolimatta.

Seuraavia käytetään myös aktiivisesti kiristysohjelmien levittämiseen:

• Sosiaaliset verkostot (postitus ystävien ja tuntemattomien tileiltä).
• Haitalliset ja tartunnan saaneet verkkoresurssit.
• Bannerimainonta.
• Postitus hakkeroitujen tilien lähettimien kautta.
• Vareznikin keygenien ja halkeamien toimipaikat ja jakelijat.
• Aikuisten sivustot.
• Sovellus- ja sisältökaupat.

Salausviruksia kuljettavat usein muut haittaohjelmat, erityisesti mainosmielenosoittimet ja takaoven troijalaiset. Jälkimmäiset, käyttämällä järjestelmän ja ohjelmiston haavoittuvuuksia, auttavat rikollisia pääsemään etäyhteys tartunnan saaneeseen laitteeseen. Salauksen käynnistäminen tällaisissa tapauksissa ei aina tapahdu ajoissa mahdollisesti vaarallisten käyttäjän toimien kanssa. Niin kauan kuin takaovi pysyy järjestelmässä, hyökkääjä voi tunkeutua laitteeseen milloin tahansa ja aloittaa salauksen.

Organisaatioiden tietokoneiden tartuttamiseksi (ne voivat loppujen lopuksi poimia niistä enemmän kuin kotikäyttäjiltä) kehitetään erityisen pitkälle kehitettyjä menetelmiä. Esimerkiksi Petya Troijalainen tunkeutui laitteisiin MEDoc-verolaskentaohjelman päivitysmoduulin kautta.

Salaajat toiminnoineen verkkomadot, kuten jo mainittiin, levinnyt verkkoihin, mukaan lukien Internetiin, protokollahaavoittuvuuksien kautta. Ja voit saada ne tartunnan tekemättä mitään. Suurin vaara Tämä vaikuttaa harvoin päivitettyjen Windows-käyttöjärjestelmien käyttäjiin, koska päivitykset sulkevat tunnetut porsaanreiät.

Jotkut haittaohjelmat, kuten WannaCry, käyttävät hyväkseen 0-päivän haavoittuvuuksia, eli sellaisia, joista järjestelmän kehittäjät eivät vielä ole tietoisia. Valitettavasti on mahdotonta vastustaa infektiota täysin tällä tavalla, mutta todennäköisyys, että olet uhrien joukossa, ei saavuta edes 1%. Miksi? Kyllä, koska haittaohjelmat eivät voi tartuttaa kaikkia haavoittuvia laitteita kerralla. Ja samalla kun se suunnittelee uusia uhreja, järjestelmän kehittäjät onnistuvat julkaisemaan hengenpelastavan päivityksen.

Kuinka kiristysohjelmat käyttäytyvät tartunnan saaneessa tietokoneessa

Salausprosessi alkaa pääsääntöisesti huomaamatta, ja kun sen merkit tulevat ilmeisiksi, on liian myöhäistä tallentaa tietoja: siihen mennessä haittaohjelma on salannut kaiken, mitä se tavoittaa. Joskus käyttäjä saattaa huomata, kuinka tiedostot joissakin Avaa kansio laajennus on muuttunut.

Uuden ja joskus toisen laajennuksen kohtuuton ilmestyminen tiedostoihin, jonka jälkeen ne lakkaavat avautumasta, osoittaa ehdottomasti salaushyökkäyksen seuraukset. Muuten, vaurioituneiden kohteiden vastaanottaman laajennuksen avulla on yleensä mahdollista tunnistaa haittaohjelma.

Esimerkki siitä, mitä salattujen tiedostojen laajennukset voivat olla:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn jne.

Vaihtoehtoja on paljon, ja uusia ilmestyy huomenna, joten on turha listata niitä kaikkia. Tartunnan tyypin määrittämiseksi riittää, että syötät hakukoneeseen useita laajennuksia.

Muita oireita, jotka epäsuorasti osoittavat salauksen alkamisen:

• Ikkunat näkyvät näytöllä sekunnin murto-osan ajan komentorivi. Useimmiten tämä on normaali ilmiö järjestelmä- ja ohjelmapäivityksiä asennettaessa, mutta on parempi olla jättämättä sitä ilman valvontaa.
• UAC pyytää käynnistämään ohjelman, jota et aikonut avata.
• Tietokoneen äkillinen uudelleenkäynnistys, jota seuraa toiminnan jäljitelmä järjestelmän apuohjelma levyn tarkistus (muut muunnelmat ovat mahdollisia). "Varmentamisen" aikana tapahtuu salausprosessi.

Kun haitallinen toiminto on suoritettu onnistuneesti, näyttöön tulee viesti, jossa vaaditaan lunnaita ja erilaisia ​​uhkia.

Ransomware salaa merkittävän osan käyttäjän tiedostot: valokuvia, musiikkia, videoita, tekstiasiakirjoja, arkistot, sähköposti, tietokannat, tiedostot ohjelmatunnisteilla jne. Mutta objekteihin ei kosketa käyttöjärjestelmä, koska hyökkääjät eivät tarvitse tartunnan saaneen tietokoneen lakkaamaan toimimasta. Jotkut virukset korvaavat käynnistystietueet levyt ja osiot.

Salauksen jälkeen kaikki varjokopiot ja palautuspisteet poistetaan yleensä järjestelmästä.

Kuinka parantaa tietokoneen kiristysohjelmista

Haitallisten ohjelmien poistaminen tartunnan saaneesta järjestelmästä on yksinkertaista - melkein kaikki virustentorjuntaohjelmat voivat käsitellä useimpia niistä ilman vaikeuksia. Mutta! On naiivia uskoa, että syyllisestä eroon pääseminen ratkaisee ongelman: poistatpa viruksen tai et, tiedostot pysyvät silti salattuina. Lisäksi joissakin tapauksissa tämä vaikeuttaa niiden myöhempää salauksen purkamista, jos mahdollista.

Oikea menettely aloitettaessa salaus

• Kun huomaat salauksen merkkejä, Sammuta tietokone välittömästi painamalla painiketta ja pitämällä sitä alhaallaVirta 3-4 sekuntia. Tämä tallentaa ainakin osan tiedostoista.
• Luo toisella tietokoneella käynnistyslevy tai flash-aseman kanssa virustorjuntaohjelma. Esimerkiksi, , , jne.
• Käynnistä tartunnan saanut kone tältä levyltä ja tarkista järjestelmä. Poista löydetyt virukset ja säilytä ne karanteenissa (jos niitä tarvitaan salauksen purkamiseen). Vasta sen jälkeen voit käynnistää tietokoneen kiintolevyltä.
• Yritä palauttaa salatut tiedostot varjokopiot käyttämällä järjestelmää tai kolmansia osapuolia.

Mitä tehdä, jos tiedostot on jo salattu

• Älä menetä toivoa. Virustorjuntatuotekehittäjien verkkosivustot sisältävät ilmaisia ​​salauksenpurkuapuohjelmia eri tyyppejä haittaohjelma. Erityisesti apuohjelmat ja .
• Kun olet määrittänyt kooderin tyypin, lataa sopiva apuohjelma, ehdottomasti tehdä se kopioita vahingoittuneet tiedostot ja yritä tulkita ne. Jos onnistut, tulkitse loput.

Jos tiedostojen salausta ei ole purettu

Jos mikään apuohjelmista ei auta, olet todennäköisesti kärsinyt viruksesta, johon ei ole vielä parannuskeinoa.

Mitä voit tehdä tässä tapauksessa:

• Jos käytät maksullista virustorjuntatuote, ota yhteyttä sen tukipalveluun. Lähetä useita kopioita vaurioituneista tiedostoista laboratorioon ja odota vastausta. Läsnäollessa teknillinen soveltuvuus he auttavat sinua.

• Jos osoittautuu, että tiedostot ovat toivottomasti vaurioituneet, mutta niillä on suuri arvo sinulle, voit vain toivoa ja odottaa, että pelastustoimenpide joskus löydetään. Parasta, mitä voit tehdä, on jättää järjestelmä ja tiedostot sellaisinaan, eli kokonaan pois käytöstä ja käyttämättä HDD. Haittaohjelmatiedostojen poistaminen, käyttöjärjestelmän uudelleenasentaminen ja jopa sen päivittäminen voi viedä sinut ja tämä mahdollisuus, koska salaus-/salauksenpurkuavaimia luotaessa käytetään usein ainutlaatuisia järjestelmätunnisteita ja viruksen kopioita.

Lunnaiden maksaminen ei ole vaihtoehto, koska todennäköisyys, että saat avaimen, on lähellä nollaa. Eikä ole mitään järkeä rahoittaa rikollista liiketoimintaa.

Kuinka suojautua tämän tyyppisiltä haittaohjelmilta

En haluaisi toistaa neuvoja, jotka jokainen lukija on kuullut satoja kertoja. Kyllä, asenna hyvä virustorjunta, älä napsauta epäilyttäviä linkkejä ja blablabla - tämä on tärkeää. Kuitenkin, kuten elämä on osoittanut, taikapilleriä, joka antaa sinulle 100% turvan, ei ole nykyään olemassa.

Ainoa tehokas tapa suojautua tällaisilta kiristysohjelmilta on varmuuskopioida tiedot muihin fyysisiin tietovälineisiin, mukaan lukien pilvipalvelut. Varmuuskopiointi, varmuuskopiointi, varmuuskopiointi...

Sivustolla myös:

Ilman pelastuksen mahdollisuutta: mikä on salausvirus ja kuinka käsitellä sitä päivitetty: 1. syyskuuta 2018: Johnny Mnemonic

Muistutetaan: Trojan.Encoder-perheen troijalaiset ovat haittaohjelmia, jotka salaavat tietokoneen kiintolevyllä olevia tiedostoja ja vaativat rahaa niiden salauksen purkamisesta. Tiedostot *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar ja niin edelleen voidaan salata.
Ei ollut mahdollista tavata henkilökohtaisesti tämän viruksen koko perhettä, mutta kuten käytäntö osoittaa, tartunta-, hoito- ja dekoodausmenetelmä on suunnilleen sama kaikille:
1. uhri saa tartunnan liitteenä olevan roskapostin kautta (harvemmin tartuntakeinoilla),
2. Viruksen tunnistaa ja poistaa (jo) melkein mikä tahansa virustorjunta, jolla on tuoreet tietokannat,
3. tiedostojen salaus puretaan valitsemalla salasanaavaimet käytetyille salaustyypeille.
Esimerkiksi Trojan.Encoder.225 käyttää RC4 (muokattu) + DES-salausta ja Trojan.Encoder.263 käyttää BlowFish CTR-tilassa. Nämä virukset ovat Tämä hetki on selvitetty 99-prosenttisesti henkilökohtaisen käytännön perusteella.

Mutta kaikki ei ole niin sujuvaa. Jotkin salausvirukset vaativat kuukausien jatkuvan salauksen purkamisen (Trojan.Encoder.102), kun taas toisten (Trojan.Encoder.283) salausta ei voi purkaa oikein edes Doctor Web -yrityksen asiantuntijat, joka todella pelaa. avainasema tässä artikkelissa.

Nyt järjestyksessä.

Elokuun 2013 alussa asiakkaat ottivat minuun yhteyttä Trojan.Encoder.225-viruksen salaamien tiedostojen ongelman vuoksi. Virus oli tuolloin uusi, kukaan ei tiennyt mitään, Internetissä oli 2-3 temaattista Google-linkkiä. Pitkän Internet-haun jälkeen käy ilmi, että ainoa (löydetty) organisaatio, joka käsittelee tiedostojen salauksen purkamisongelmaa tämän viruksen jälkeen, on Doctor Web -yritys. Nimittäin: antaa suosituksia, auttaa yhteydenotossa tekniseen tukeen, kehittää omia salauksenpurkulaitteita jne.

Negatiivinen vetäytyminen.

Ja käytän tätä tilaisuutta hyväkseni, ja haluan tuoda esiin kaksi lihottua miinus Kaspersky Labista. Ottaessaan yhteyttä tekniseen tukeen he huomauttavat "työskentelemme tämän asian parissa, ilmoitamme sinulle tuloksista postitse". Ja kuitenkin, haittapuoli on, että en koskaan saanut vastausta pyyntöön. 4 kuukauden jälkeen. Vittu reaktioaika. Ja tässä pyrin standardiin "enintään yksi tunti hakemuksen täyttämisestä".
Häpeä, toveri Jevgeni Kaspersky, toimitusjohtaja Kaspersky Lab. Mutta minulla on hyvä puolet kaikista yrityksistä "istuu" siinä. No, okei, lisenssit vanhenevat tammi-maaliskuussa 2014. Kannattaako keskustella, uusinko ajokorttini? ;)

Esitän "asiantuntijoiden" kasvot "yksinkertaisemmista" yrityksistä, EI virustorjuntateollisuuden jättiläisistä. He luultavasti vain "tuttautuivat nurkkaan" ja "itkivät hiljaa".
Vaikka, mikä parasta, ehdottomasti kaikki olivat täysin sekaisin. Viruksentorjuntaohjelman ei periaatteessa olisi pitänyt päästää tätä virusta tietokoneeseen. Varsinkin kun ottaa huomioon nykyaikaiset tekniikat. Ja "heillä", VIRUSTENtorjuntateollisuuden JÄTTIÖillä, oletetaan olevan kaikki, "heuristinen analyysi", "ennaltaehkäisevä järjestelmä", "proaktiivinen suojaus"...

MISSÄ KAIKKI NÄMÄ SUPERJÄRJESTELMÄT OLI, KUN HENKILÖSTÖOSASTOJEN TYÖNTEKIJÄ AVASI ”HALMONNESSI”-KIRJEEN AIHEESSA ”JÄRJESTELMÄ”???
Mitä työntekijän piti ajatella?
Jos SINÄ et pysty suojelemaan meitä, niin miksi me ylipäätään tarvitsemme SINUA?

Ja kaikki olisi hyvin Doctor Webin kanssa, mutta saadaksesi apua, sinulla on tietysti oltava lisenssi heidän ohjelmistotuotteisiinsa. Kun otat yhteyttä tekniseen tukeen (jäljempänä TS), sinun on ilmoitettava sarjanumero Dr.Web ja älä unohda valita "Request for Treatment" -riviltä "Request for Treatment" tai yksinkertaisesti toimita heille salattu tiedosto laboratorioon. Saanen tehdä heti varauksen, että ns. päiväkirjan avaimet» Dr.Web, jotka julkaistaan ​​Internetissä erissä, eivät sovellu, koska ne eivät vahvista minkään tuotteen ostamista ohjelmistotuotteita ja TP-asiantuntijat eliminoivat ne kerran tai kahdesti. On helpompi ostaa "halvin" lisenssi. Koska jos aloitat salauksen purkamisen, tämä lisenssi maksaa sinulle miljoona kertaa. Varsinkin jos valokuvakansio "Egypt 2012" oli yhdessä kopiossa...

Yritys nro 1

Joten kun ostin "lisenssin kahdelle PC:lle vuodeksi" n-summalla, otin yhteyttä TP:hen ja toimitin joitain tiedostoja, sain linkin salauksenpurkuapuohjelmaan te225decrypt.exe version 1.3.0.0. Odotan menestystä käynnistän apuohjelman (sinun on osoitettava se johonkin salatuista *. doc-tiedostoja). Apuohjelma aloittaa valinnan lataamalla armottomasti vanhan prosessorin E5300 DualCore, 2600 MHz (ylikellotettu 3,46 GHz) / 8192 Mt DDR2-800, HDD 160Gb Western Digital 90-100%.
Täällä rinnakkain kanssani kollega PC Core i5 2500k (ylikellotettu 4.5ghz) /16 ram 1600/ ssd intel(Tämä on artikkelin lopussa käytetyn ajan vertailu).
Kuuden päivän kuluttua apuohjelma ilmoitti, että 7277 tiedoston salaus oli purettu. Mutta onnellisuus ei kestänyt kauaa. Kaikki tiedostot purettiin "väärin". Eli esim. microsoft docs toimisto auki, mutta erilaisia ​​virheitä: « Word-sovellus*.docx-asiakirjassa oli sisältöä, jota ei voitu lukea" tai "*.docx-tiedostoa ei voida avata sen sisältövirheiden vuoksi." Myös *.jpg-tiedostot avautuvat joko virheellisesti tai 95 % kuvasta on haalistunut musta tai vaaleanvihreä tausta. *.rar-tiedostoille - " Odottamaton loppu arkisto."
Kaiken kaikkiaan täydellinen epäonnistuminen.

Yritys nro 2

Kirjoitamme tuloksista TP:lle. He pyytävät sinua toimittamaan pari tiedostoa. Päivää myöhemmin he tarjoavat jälleen linkin te225decrypt.exe-apuohjelmaan, mutta versio 1.3.2.0. No, aloitetaan, silloin ei ollut vaihtoehtoa. Noin 6 päivää kuluu ja apuohjelma päättyy virheilmoitukseen "Ei voida valita salausparametreja". Yhteensä 13 päivää "kaivon alla".
Mutta emme luovuta, meillä on tärkeitä asiakirjoja *tyhmältä* asiakkaaltamme ilman perusvarmuuskopioita.

Yritys nro 3

Kirjoitamme tuloksista TP:lle. He pyytävät sinua toimittamaan pari tiedostoa. Ja kuten olet ehkä arvannut, päivää myöhemmin he tarjoavat linkin samaan te225decrypt.exe-apuohjelmaan, mutta versioon 1.4.2.0. No, käynnistetään, vaihtoehtoa ei ollut, eikä sitä koskaan ilmestynyt Kaspersky Labilta, ESET NOD32:lta tai muilta valmistajilta virustorjuntaratkaisut. Ja nyt, 5 päivää 3 tuntia 14 minuuttia (123,5 tuntia) jälkeen, apuohjelma ilmoittaa, että tiedostot on purettu (ydin i5:llä salauksen purku kesti vain 21 tuntia 10 minuuttia).
No, mielestäni se oli tai ei ollut. Ja katso ja katso: täydellinen menestys! Kaikki tiedostot puretaan oikein. Kaikki avautuu, sulkeutuu, näyttää, muokkaa ja tallentaa oikein.

Kaikki ovat onnellisia, LOPPU.

"Missä on tarina Trojan.Encoder.263-viruksesta?", kysyt. Ja seuraavassa PC:ssä, pöydän alla... siellä oli. Siellä kaikki oli yksinkertaisempaa: kirjoitamme Doctor Web TP:hen, hankimme te263decrypt.exe-apuohjelman, käynnistämme sen, odotamme 6,5 päivää, voila! ja kaikki on valmis Yhteenvetona voin antaa neuvoja Doctor Web -foorumilta:

Mitä tehdä, jos olet saanut ransomware-viruksen tartunnan:
- Lähetä viruslaboratorio DR. Webissä tai "Lähetä"-lomakkeella epäilyttävä tiedosto» salattu doc-tiedosto.
- Odota vastausta Dr.Webin työntekijältä ja noudata sitten hänen ohjeitaan.

Mitä EI saa tehdä:
- muuttaa salattujen tiedostojen laajennusta; Muuten onnistuneesti valitulla avaimella apuohjelma ei yksinkertaisesti "näe" tiedostoja, jotka on purettava.
- käyttää itsenäisesti, kuulematta asiantuntijoita, mitä tahansa ohjelmia tietojen salauksen purkamiseen/palauttamiseen.

Huomio, koska minulla on palvelin vapaana muista tehtävistä, tarjoan ilmaisia ​​palveluita tietojesi salauksen purkamiseen. Palvelinydin i7-3770K, ylikellotus *tietyille taajuuksille*, 16 Gt RAM-muistia ja SSD Vertex 4.
Kaikille aktiivisia käyttäjiä"habra" resurssieni käyttö on ILMAISTA!!!
Kirjoita minulle henkilökohtaisesti tai muiden yhteystietojen kautta. Olen jo "syönyt koiran" tästä. Siksi en ole liian laiska laittamaan palvelimen salauksen purkua yön yli.
Tämä virus on aikamme "vitsaus", ja "saalis" ottaminen tovereilta ei ole inhimillistä. Vaikka joku "heittää" pari taalaa Yandex.money-tililleni 410011278501419, en välitä. Mutta tämä ei ole ollenkaan välttämätöntä. Ota meihin yhteyttä. Käsittelen hakemuksia vapaa-ajallani.

Uusi tieto!

8. joulukuuta 2013 alkaen uusi virus samasta Trojan.Encoder-sarjasta alkoi levitä Doctor Web -luokituksen alla - Trojan.Encoder.263, mutta RSA-salaus. Tämä tyyppi tästä päivästä (20.12.2013) ei voida tulkita, koska se käyttää erittäin vahvaa salausmenetelmää.

Suosittelen kaikille tästä viruksesta kärsineille:
1. Käyttämällä sisäänrakennettua Windows-haku Etsi kaikki tiedostot, jotka sisältävät .perfect-tunnisteen, kopioi ne kohteeseen ulkoinen media.
2. Kopioi myös CONTACT.txt-tiedosto
3. Aseta tämä ulkoinen tallennusväline "hyllylle".
4. Odota, että salauksenpurkuapuohjelma tulee näkyviin.

Mitä EI saa tehdä:
Rikollisten kanssa on turha sekaantua. Tämä on typerää. Yli 50 prosentissa tapauksista noin 5000 ruplan "maksun" jälkeen et saa MITÄÄN. Ei rahaa, ei salauksen purkajaa.
Ollakseni rehellinen, on syytä huomata, että Internetissä on niitä "onnekkaisia" ihmisiä, jotka saivat tiedostonsa takaisin salauksen purkamisen avulla "ryöstöstä". Mutta näihin ihmisiin ei pidä luottaa. Jos olisin virusten kirjoittaja, levittäisin ensimmäisenä tietoa, kuten "Maksoin ja minulle lähetettiin dekooderi!!!"
Näiden "onnekkaiden" takana voivat olla samat hyökkääjät.

No... toivotetaan onnea muille virustorjuntayhtiöille apuohjelman luomisessa tiedostojen salauksen purkamiseen Trojan.Encoder-virusryhmän jälkeen.

Erityiset kiitokset toveri v.martyanoville Doctor Web -foorumilta salauksenpurkuohjelmien luomisessa tehdystä työstä.