Pojavili su se prije otprilike 8-10 godina, virusi za šifriranje danas stekao ogromnu popularnost među svim vrstama računalnih prevaranata.

Stručnjaci to pripisuju pojavi programa za izgradnju u javnoj domeni, pomoću kojih čak i slabi stručnjak može sastaviti računalni virus sa zadanim svojstvima.

Kako radi enkripcijski virus?

Najčešće se virus šifriranja uvodi u žrtvino računalo korištenjem E-mail lista. Tvrtka prima pismo koje je navodno poslao tražitelj posla, potencijalni partner ili kupac, ali koje sadrži ugrađeni pdf datoteka s virusom.

Kada zaposlenik tvrtke otvori pismo, virus se ugrađuje u popis programa za pokretanje. Nakon ponovnog pokretanja računala, ono se pokreće, preimenuje i šifrira datoteke, a zatim se samouništava.

Često su zaražene e-pošte prerušene u poruke poreznih vlasti, agencija za provođenje zakona, banaka itd.

U imeniku s oštećenim datotekama nalazi se slovo koje obavještava da je informacija šifrirana na pouzdan kripto-otporan način i da se ne može sama dešifrirati bez konačnog gubitka datoteka.


Ako ga želite obnoviti, morate to učiniti navedeno razdoblje prenesite neki iznos da dobijete ključ za dešifriranje.

Mogu li se samostalno nositi s dešifriranjem datoteka?

Najčešće, iznuđivači koriste virus za svoje potrebe, što je nazvao Doctor Web Trojan.Encoder. Pretvara datoteke na žrtvinom računalu dajući im ekstenziju .kripta. Gotovo svi uobičajeni formati mogu se šifrirati tekstualne datoteke, slike, zvučni zapisi, komprimirane datoteke.

Za oporavak šifriranih datoteka, stručnjaci tvrtke stvorili su uslužni program te19dešifrirati. Danas je unutra besplatan pristup, gdje ga može preuzeti svaki korisnik Interneta. Ovo je mali program, zauzima samo 233 KB. Nakon preuzimanja trebate:

- u prozoru koji se otvori kliknite na gumb "Nastaviti" ;

- ako se pojavi poruka "pogreška" , dopunjeno notacijom "Ne mogu dobiti ključnu datoteku[naziv datoteke]. Želite li ručno odrediti njegovu lokaciju?", pritisni gumb u redu;

- u prozoru koji se pojavi "Otvoren" odredite put do datoteke kriptirano.txt;

- tada će započeti proces dešifriranja.


Datoteka se ni pod kojim uvjetima ne smije brisati. kriptirano.txt prije pokretanja uslužnog programa za dešifriranje jer će njegov gubitak onemogućiti oporavak šifriranih informacija.

Program za dešifriranje RectorDecryptor

Za oporavak šifriranih datoteka, mnogi ljudi koriste poseban program RectorDecryptor. S njim morate raditi na sljedeći način:

- preuzmite program RectorDecryptor ako Vam nije na raspolaganju;

- uklonite sve programe s popisa za pokretanje, osim antivirusnog;

- ponovno pokrenite računalo;

- pogledajte popis datoteka, označite sumnjive, posebno one koje nemaju podatke o proizvođaču;

- brisanje sumnjivih datoteka koje mogu sadržavati virus;

- očistite predmemoriju preglednika i privremene mape pomoću programa CCleaner ili slično;

- trčanje RectorDecryptor, navedite šifriranu datoteku, kao i njen nastavak, a zatim pritisnite gumb "Pokreni provjeru" ;

- V najnovije verzije programa, možete odrediti samo naziv datoteke, a zatim pritisnite "Otvoren" ;

- pričekajte kraj dešifriranja datoteke i prijeđite na sljedeću.

Dalji program RectorDecryptor sam nastavlja skenirati sve datoteke koje se nalaze na vašem računalu, uključujući one koje se nalaze na prijenosnim medijima.


Dešifriranje može potrajati nekoliko sati, ovisno o broju oštećenih datoteka i performansama vašeg računala. Vraćene informacije zapisuju se u isti direktorij gdje su bile i prije.

Potrebu za brisanjem šifriranog materijala nakon dešifriranja možete označiti označavanjem okvira pored odgovarajućeg zahtjeva. Ali napredni korisnici Savjetuje se da to ne radite jer ako dešifriranje ne uspije, potpuno ćete izgubiti mogućnost oporavka podataka.

Ako računalo ima tekstualna poruka, koji kaže da su vaše datoteke šifrirane, nemojte žuriti s panikom. Koji su simptomi enkripcije datoteka? Uobičajeno proširenje mijenja se u *.vault, *.xtbl, * [e-mail zaštićen] _XO101 itd. Datoteke se ne mogu otvoriti - potreban je ključ koji se može kupiti slanjem pisma na adresu navedenu u poruci.

Odakle ste nabavili šifrirane datoteke?

Računalo je pokupilo virus koji je blokirao pristup informacijama. Često ih antivirusi preskoče, jer se ovaj program obično temelji na nekim bezopasnim besplatni uslužni programšifriranje. Sam virus ćete ukloniti dovoljno brzo, ali mogu nastati ozbiljni problemi s dešifriranjem informacija.

Tehnička podrška za Kaspersky Lab, Dr.Web i druge poznate tvrtke razvoj antivirusnog softvera, kao odgovor na zahtjeve korisnika za dekriptiranjem podataka, javlja da je to nemoguće učiniti u razumnom roku. Postoji nekoliko programa koji mogu pokupiti kod, ali mogu raditi samo s prethodno proučenim virusima. Ako ste suočeni s novom preinakom, tada su šanse za vraćanje pristupa informacijama iznimno male.

Kako ransomware virus dospijeva na računalo?

U 90% slučajeva korisnici sami aktiviraju virus na računalu otvaranjem nepoznatih e-mailova. Nakon toga stiže e-mail poruka s provokativnim naslovom - “Poziv na sud”, “Dug po kreditu”, “Obavijest Porezne inspekcije” itd. Unutar lažne e-pošte nalazi se privitak nakon čijeg preuzimanja ransomware ulazi u računalo i počinje postupno blokirati pristup datotekama.

Enkripcija se ne događa trenutno, tako da korisnici imaju vremena ukloniti virus prije nego što se sve informacije šifriraju. Uništiti zlonamjerna skripta možete koristiti Dr.Web CureIt alate za čišćenje, Kaspersky Internet Sigurnost i Malwarebytes Antimalware.

Načini oporavka datoteka

Ako je na računalu bila uključena zaštita sustava, čak i nakon djelovanja ransomware virusa, postoje šanse da se datoteke vrate u normalno stanje pomoću kopija datoteka u sjeni. Ransomware ih obično pokušava ukloniti, ali ponekad to ne uspiju zbog nedostatka administratorskih ovlasti.

Vraćanje prethodne verzije:

Za zadržavanje prethodnih verzija mora biti uključena zaštita sustava.

Važno: zaštita sustava mora biti uključena prije nego što se ransomware pojavi, nakon toga više neće pomoći.

1. Otvorite svojstva "Računalo".
2. Odaberite "Zaštita sustava" iz izbornika s lijeve strane.
   
3. Označite pogon C i kliknite "Konfiguriraj".
4. Odaberite postavke vraćanja i prethodne verzije datoteke. Primijenite promjene klikom na OK.

Ako ste ove mjere poduzeli prije pojave virusa koji šifrira datoteke, a zatim nakon čišćenja računala od zlonamjerni kod imat ćete dobre šanse za oporavak informacija.

Korištenje posebnih uslužnih programa

Kaspersky Lab je pripremio nekoliko uslužnih programa koji će vam pomoći da otvorite šifrirane datoteke nakon uklanjanja virusa. Prvi dekriptor koji vrijedi isprobati je Kaspersky RectorDecryptor.

1. Preuzmite aplikaciju sa službene web stranice Kaspersky Laba.
2. Zatim pokrenite uslužni program i kliknite "Pokreni skeniranje". Navedite stazu do bilo koje šifrirane datoteke.

Ako zlonamjerni softver nije promijenio ekstenziju datoteka, tada ih morate prikupiti da biste ih dešifrirali zasebna mapa. Ako je uslužni program RectorDecryptor, preuzmite još dva programa sa službene web stranice Kaspersky - XoristDecryptor i RakhniDecryptor.

Najnoviji uslužni program tvrtke Kaspersky Lab zove se Ransomware Decryptor. Pomaže u dešifriranju datoteka nakon virusa CoinVault, koji još nije uobičajen u RuNetu, ali bi uskoro mogao zamijeniti druge trojance.

Broj virusa u njihovom uobičajenom smislu je sve manji, a razlog tome besplatni antivirusi koji dobro rade i štite korisnička računala. Istodobno, ne brinu svi o sigurnosti svojih podataka i riskiraju da budu zaraženi ne samo zlonamjernim softverom, već i standardnim virusima, među kojima je trojanac i dalje najčešći. Zna se pokazati različiti putevi, ali jedan od najopasnijih je enkripcija datoteka. Ako je virus šifrirao datoteke na računalu, vraćanje podataka nije sigurno, ali postoje neke učinkovite metode, ao njima će biti riječi u nastavku.

Virus za šifriranje: što je to i kako radi

Na webu postoje stotine vrsta virusa koji šifriraju datoteke. Njihovi postupci dovode do jedne posljedice - korisnikove podatke na računalu prima nepoznati format, koji se ne može otvoriti s standardni programi. Ovo su samo neki od formata u kojima podaci na računalu mogu biti šifrirani kao posljedica djelovanja virusa: .locked, .xtbl, .kraken, .cbf, .oshit i mnogi drugi. U nekim se slučajevima ekstenzija datoteke piše izravno email adresa tvorci virusa.

Među najčešćim virusima koji šifriraju datoteke su Trojan-Ransom.Win32.Aura I Trojan-Ransom.Win32.Rakhni. Imaju mnogo oblika, a virus se možda čak i ne može nazvati trojancem (na primjer, CryptoLocker), ali njihovo djelovanje je praktički isto. Redovito se objavljuju nove verzije virusa za šifriranje kako bi kreatori antivirusne aplikacije bilo je teže nositi se s novim formatima.

Ako je virus za šifriranje ušao u računalo, onda će se definitivno manifestirati ne samo blokiranjem datoteka, već i ponudom korisniku da ih otključa uz naknadu. Na ekranu se može pojaviti banner koji će pisati gdje trebate prebaciti novac kako biste otključali datoteke. Kada se takav banner ne pojavi, trebate potražiti "pismo" programera virusa na radnoj površini, takva datoteka se u većini slučajeva naziva ReadMe.txt.

Ovisno o programerima virusa, stope za dešifriranje datoteka mogu varirati. U isto vrijeme, daleko je od činjenice da će prilikom slanja novca kreatorima virusa, oni vratiti metodu otključavanja. U većini slučajeva novac odlazi "nigdje", a korisnik računala ne dobiva metodu dešifriranja.

Nakon što je virus na vašem računalu i vidite kod na ekranu na koji želite poslati određena adresa da biste dobili dekoder, ne morate. Prvi korak je zapisati ovaj kod na komad papira, budući da novostvorena datoteka također može biti šifrirana. Nakon toga možete zatvoriti informacije od programera virusa i pokušati pronaći na Internetu način da se riješite šifratora datoteka u vašem konkretnom slučaju. U nastavku dajemo glavne programe koji vam omogućuju uklanjanje virusa i dešifriranje datoteka, ali ne mogu se nazvati univerzalnim, a kreatori antivirusni softver redovito proširivati ​​popis rješenja.

Riješiti se virusa koji šifrira datoteke vrlo je jednostavno uz pomoć besplatne verzije antivirusi. 3 besplatna programa dobro se nose s virusima koji šifriraju datoteke:

• Malwarebytes Antimalware;
• Dr. Web Cure It ;
• Kaspersky sigurnost na internetu.

Gore navedene aplikacije potpuno su besplatne ili imaju probne verzije. Preporučujemo korištenje rješenja Dr.Web ili Kespersky nakon što provjerite svoj sustav s Malwarebytes Antimalware. Još jednom vas podsjećamo da se ne preporučuje istovremeno instaliranje 2 ili više antivirusa na računalo, stoga prije instaliranja svakog novog rješenja morate deinstalirati prethodno.

Kao što smo gore napomenuli, idealno rješenje Problemi u ovoj situaciji bit će odabir uputa koje vam omogućuju da se konkretno pozabavite svojim problemom. Takve su upute najčešće objavljene na web stranicama programera antivirusnih programa. U nastavku su neke od trenutnih antivirusni uslužni programi koji vam omogućuju da se nosite s različite vrste Trojanci i druge vrste ransomwarea.

Gore navedeno je samo mali dio antivirusnih uslužnih programa koji vam omogućuju dešifriranje zaraženih datoteka. Vrijedno je napomenuti da ako pokušate jednostavno pokušati vratiti podatke, naprotiv, oni će biti zauvijek izgubljeni - to ne biste trebali učiniti.

“Oprostite što vas uznemiravamo, ali... vaše datoteke su šifrirane. Da biste dobili ključ za dešifriranje, hitno prebacite određenu svotu novca u svoj novčanik... U protivnom će vaši podaci biti zauvijek uništeni. Imate 3 sata, vrijeme je isteklo. I nije šala. Ransomware virus više je nego stvarna prijetnja.

Danas ćemo razgovarati o tome u čemu se nalazi namaz posljednjih godina malware ransomware, što učiniti u slučaju infekcije, kako izliječiti računalo i je li to uopće moguće te kako se od njih zaštititi.

Šifriramo sve!

Virus kriptor (encoder, cryptor) posebna je vrsta zlonamjernog ransomwarea čija je aktivnost šifriranje korisničkih datoteka, a zatim zahtijevanje kupnje alata za dešifriranje. Iznosi otkupnine počinju od 200 dolara i dosežu desetke i stotine tisuća zelenih novčanica.

Prije nekoliko godina, samo računala temeljena na Windows baza. Danas se njihov asortiman proširio na naizgled dobro zaštićene Linux, Mac i Android. Osim toga, raznolikost vrsta enkodera stalno raste - novi predmeti pojavljuju se jedan za drugim, koji imaju čime iznenaditi svijet. Dakle, nastao je “križanjem” klasičnog enkripcijskog trojana i mrežnog crva (zloćudnog programa koji se širi mrežama bez aktivnog sudjelovanja korisnika).

Nakon WannaCryja, ništa manje sofisticirani Petya i loš zec. A budući da "posao šifriranja" vlasnicima donosi dobru zaradu, budite sigurni da nisu posljednji.

Sve više i više kriptografa, posebno onih koji su svjetlo dana ugledali u zadnjih 3-5 godina, koristi jake kriptografske algoritme koji se ne mogu probiti ni brutalnom silom ni na neki drugi način. postojeća sredstva. Jedini način za oporavak podataka je korištenje originalnog ključa koji napadači nude za kupnju. Međutim, čak ni prijenos potrebnog iznosa njima ne jamči primitak ključa. Kriminalci se ne žure otkriti svoje tajne i izgubiti potencijalnu zaradu. I koji je smisao ispunjavanja obećanja ako već imaju novac?

Načini distribucije virusa kodera

Glavni put kojim zlonamjerni softver ulazi u računala privatnih korisnika i organizacija je E-mail, točnije datoteke i poveznice priložene pismima.

Primjer takvog pisma, namijenjenog "korporativnim klijentima":

• "Odmah otplati kredit."
• "Tužba je podnijeta sudu."
• "Plati kaznu/pristojbu/porez."
• "Dodatna naknada za komunalne usluge".
• "Oh, jesi li to ti na fotografiji?"
• “Lena me zamolila da ovo hitno prenesem tebi” itd.

Slažem se, samo upućeni korisnik s takvim pismom postupajte s oprezom. Većina neće oklijevati otvoriti privitak i sama pokrenuti zlonamjerni softver. Usput, unatoč vapajima antivirusa.

Također, za distribuciju ransomwarea aktivno se koriste:

• Društvene mreže (slanje pošte s računa poznatih i nepoznatih osoba).
• Zlonamjerni i zaraženi web resursi.
• Banner oglašavanje.
• Slanje putem glasnika s hakiranih računa.
• Warez stranice i distributeri keygena i cracka.
• Stranice za odrasle.
• Trgovine aplikacija i sadržaja.

Virusi za šifriranje često se prenose drugim zloćudnim programima, poput reklamnog softvera i trojanaca s leđa. Potonji, koristeći ranjivosti u sustavu i softveru, pomažu kriminalcu da dobije daljinski pristup na zaraženi uređaj. Pokretanje ransomwarea u takvim slučajevima ne podudara se uvijek s potencijalno opasnim radnjama korisnika. Sve dok backdoor postoji u sustavu, napadač se može infiltrirati u uređaj u bilo kojem trenutku i započeti enkripciju.

Za zarazu računala organizacija (jer ih se može istisnuti više od kućnih korisnika) razvijaju se posebno sofisticirane metode. Na primjer, trojanac Petya prodro je u uređaje preko modula za ažuriranje softvera za porezno računovodstvo MEDoc.

Enkriptori s funkcijama mrežni crvi, kao što je već spomenuto, širi se mrežama, uključujući internet, kroz ranjivosti protokola. I možete se njima zaraziti, a da ne poduzmete apsolutno ništa. najveća opasnost korisnici operativnih sustava Windows koji se rijetko ažuriraju izloženi su jer ažuriranja zatvaraju poznate rupe.

Neki zlonamjerni softver, kao što je WannaCry, iskorištava 0-day (nula-day) ranjivosti, odnosno one za koje programeri sustava još ne znaju. Nažalost, nemoguće je u potpunosti odoljeti infekciji na ovaj način, ali vjerojatnost da ćete biti među žrtvama ne doseže ni 1%. Zašto? Da, jer zlonamjerni softver ne može istovremeno zaraziti sve ranjive strojeve. I dok planira nove žrtve, programeri sustava imaju vremena objaviti spasonosno ažuriranje.

Kako se ransomware ponaša na zaraženom računalu

Proces šifriranja, u pravilu, počinje neprimjetno, a kada njegovi znakovi postanu očiti, prekasno je za spremanje podataka: do tada je zlonamjerni softver šifrirao sve do čega je došao. Ponekad korisnik može primijetiti kako datoteke u nekim otvorena mapa proširenje promijenjeno.

Neopravdano pojavljivanje novog, a ponekad i drugog proširenja u datotekama, nakon čega se one prestaju otvarati, sto posto ukazuje na posljedice napada ransomwarea. Usput, prema proširenju koje oštećeni objekti dobivaju, obično je moguće identificirati zlonamjerni softver.

Primjer ekstenzija šifriranih datoteka može biti: . xtbl, .kraken, .cesar, .da_vinci_code, [e-mail zaštićen] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, itd.

Postoji puno opcija, a sutra će se pojaviti nove, pa nema smisla nabrajati sve. Da biste odredili vrstu infekcije, dovoljno je unijeti nekoliko ekstenzija u tražilicu.

Drugi simptomi koji neizravno ukazuju na početak šifriranja:

• Pojava prozora na ekranu u djeliću sekunde naredbeni redak. Najčešće je to normalna pojava prilikom instaliranja ažuriranja sustava i programa, ali bolje je ne ostavljati ga bez nadzora.
• UAC traži da pokrenete neki program koji niste namjeravali otvoriti.
• Naglo ponovno pokretanje računala, praćeno imitacijom rada uslužni program sustava provjera diska (druge varijante su moguće). Tijekom "provjere" odvija se proces enkripcije.

Nakon uspješnog završetka zlonamjerne operacije, na ekranu se pojavljuje poruka sa zahtjevom za otkupninom i raznim prijetnjama.

Ransomware šifrira značajan dio prilagođene datoteke: fotografije, glazba, video zapisi, tekstualni dokumenti, arhive, pošta, baze podataka, datoteke s programskim ekstenzijama itd. Ali oni ne dodiruju objekte operacijski sustav, jer napadačima nije potrebno da zaraženo računalo prestane s radom. Neki virusi zamjenjuju zapisi o pokretanju diskovi i particije.

Nakon enkripcije, sve kopije u sjeni i točke vraćanja obično se uklanjaju iz sustava.

Kako izliječiti računalo od ransomwarea

Uklanjanje zlonamjernog programa iz zaraženog sustava jednostavno je - gotovo svi antivirusi mogu se lako nositi s većinom njih. Ali! Naivno je vjerovati da će rješavanje krivca riješiti problem: uklonite virus ili ne, a datoteke će i dalje ostati šifrirane. Osim toga, u nekim slučajevima to će komplicirati njihovo naknadno dešifriranje, ako je moguće.

Ispravan redoslijed radnji prilikom pokretanja enkripcije

• Čim primijetite znakove enkripcije, odmah isključite računalo pritiskom i držanjem gumbaUključite 3-4 sekunde. Ovo će spasiti barem neke od datoteka.
• Stvorite na drugom računalu disk za pokretanje ili flash pogon sa antivirusni program. Na primjer, , , itd.
• Pokrenite zaraženi stroj s ovog diska i skenirajte sustav. Uklonite pronađene viruse i spremite ih u karantenu (u slučaju da su potrebni za dešifriranje). Tek nakon toga možete pokrenuti računalo s tvrdog diska.
• Pokušajte oporaviti šifrirane datoteke iz kopije u sjeni putem sustava ili uz pomoć trećih strana.

Što učiniti ako su datoteke već šifrirane

• Ne gubite nadu. Web-mjesta programera antivirusnih proizvoda sadrže besplatne uslužne programe za dešifriranje različiti tipovi malware. Konkretno, komunalije iz i .
• Nakon određivanja vrste kodera, preuzmite prikladna korisnost, svakako učiniti kopije oštećene datoteke i pokušati ih dešifrirati. Ako uspije, dešifrirajte ostatak.

Ako datoteke nisu dekriptirane

Ako nijedan uslužni program nije pomogao, vjerojatno ste patili od virusa za koji još nema lijeka.

Što se može učiniti u ovom slučaju:

• Ako koristite plaćeno antivirusni proizvod kontaktirajte njegovu podršku. Pošaljite nekoliko kopija oštećenih datoteka u laboratorij i pričekajte odgovor. U prisutnosti tehnička izvedivost pomoći će vam.

• Ako se pokaže da su datoteke beznadno oštećene, ali su vam od velike vrijednosti, možete se samo nadati i čekati da će se jednog dana pronaći spasonosni lijek. Najbolje što možete učiniti je ostaviti sustav i datoteke onakvima kakvi jesu, odnosno potpuno ih onemogućiti i ne koristiti HDD. Uklanjanje zlonamjernih datoteka, ponovna instalacija operativnog sustava, pa čak i njegovo ažuriranje može vas lišiti i ova prilika, budući da se pri generiranju ključeva za šifriranje i dešifriranje često koriste jedinstveni sistemski identifikatori i kopije virusa.

Plaćanje otkupnine nije opcija, jer je vjerojatnost da ćete dobiti ključ blizu nule. I nema potrebe financirati kriminalni biznis.

Kako se zaštititi od ove vrste zlonamjernog softvera

Ne bih želio ponavljati savjete koje je svaki od čitatelja čuo stotine puta. Da, instaliraj dobar antivirus, nemojte klikati na sumnjive poveznice i blablabla - ovo je važno. Međutim, kako je život pokazao, ne postoji čarobna pilula koja će vam danas dati 100% jamstvo sigurnosti.

Jedina učinkovita metoda zaštite od ransomwarea ove vrste je sigurnosna kopija podaci drugim fizičkim medijima, uključujući usluge u oblaku. Sigurnosna kopija, sigurnosna kopija, sigurnosna kopija...

Više na stranici:

Nema šanse za spas: što je ransomware virus i kako se s njim nositi ažurirano: 1. rujna 2018. od strane: Johnny Mnemonik

Podsjetiti: Trojanci iz obitelji Trojan.Encoder zlonamjerni su programi koji kriptiraju datoteke na tvrdom disku računala i traže novac za njihovo dešifriranje. Datoteke *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar i tako dalje mogu se šifrirati.
Nije bilo moguće osobno upoznati cijelu obitelj ovog virusa, ali, kao što praksa pokazuje, metoda infekcije, liječenja i dešifriranja približno je ista za sve:
1. žrtva se zarazi putem neželjene e-pošte s privitkom (rjeđe infekcijom),
2. virus prepoznaje i uklanja (već) gotovo svaki antivirus sa svježim bazama podataka,
3. Datoteke se dešifriraju odabirom lozinki-ključeva za vrste korištene enkripcije.
Na primjer, Trojan.Encoder.225 koristi RC4 (modificiranu) + DES enkripciju, dok Trojan.Encoder.263 koristi BlowFish u CTR modu. Ovi virusi su ovaj trenutak dešifriraju se 99% na temelju osobne prakse.

Ali nije sve tako glatko. Neki ransomware virusi zahtijevaju mjesece neprekidnog dešifriranja (Trojan.Encoder.102), dok druge (Trojan.Encoder.283) uopće ne mogu dešifrirati čak ni stručnjaci iz Doctor Weba, koji zapravo igra glavna uloga u ovom članku.

Sada po redu.

Početkom kolovoza 2013. javili su mi se klijenti s problemom datoteka šifriranih virusom Trojan.Encoder.225. Virus je, u to vrijeme, nov, nitko ništa ne zna, na internetu postoje 2-3 tematska Google linka. Nakon duge potrage po internetu, pokazalo se da je jedina (pronađena) organizacija koja se bavi problemom dekriptiranja datoteka nakon ovog virusa upravo Doctor Web. Naime: daje preporuke, pomaže pri kontaktiranju tehničke podrške, razvija vlastite dešifratore itd.

Negativno povlačenje.

I ovom prilikom želio bih istaknuti dva tovljenje minus "Kaspersky Lab". Koji, kada kontaktiraju njihovu tehničku podršku, odbacuju "radimo na ovom problemu, obavijestit ćemo vas mailom o rezultatima." Pa ipak, minus je što nikad nisam dobio odgovor na zahtjev. Nakon 4 mjeseca. Jebeš ti vrijeme reakcije. I ovdje težim standardu "ne više od jednog sata od registracije prijave."
Šteta, druže Evgeny Kaspersky, direktor tvrtke Kaspersky Lab. Ali meni na njemu "sjedi" dobra polovica svih firmi. Dobro, u redu, licence ističu u siječnju-ožujku 2014. Vrijedi li razgovarati o tome hoću li produžiti licencu?;)

Predstavljam lica "specijalista" iz "jednostavnijih" tvrtki, da tako kažem, NE divova antivirusne industrije. Vjerojatno općenito "skuljen u kutu" i "tiho plakao."
Iako, što je tu je, apsolutno su svi “zajebali” do kraja. Antivirus, u principu, nije trebao dopustiti da ovaj virus uđe u računalo. Pogotovo s obzirom na moderne tehnologije. A “oni”, DIVOVI antiVIRUSNE industrije, navodno imaju sve pod kontrolom, “heurističku analizu”, “sustav anticipacije”, “proaktivnu obranu”...

GDJE SU BILI SVI TI SUPER-SUSTAVI KADA JE HR DJELATNICA OTVORILA "ŠTETNO" DOPIS SA SUBJEKTOM "SAŽETAK"???
O čemu bi zaposlenik trebao razmišljati?
Ako nas VI ne možete zaštititi, zašto VAS uopće trebamo?

I sve bi bilo u redu s Doctor Webom, ali da biste dobili pomoć, morate, naravno, imati licencu za bilo koji od njihovih softverskih proizvoda. Kada kontaktirate tehničku podršku (u daljnjem tekstu TP), morate navesti serijski broj Dr.Web i ne zaboravite odabrati "zahtjev za liječenje" u retku "Kategorija zahtjeva:" ili im jednostavno dostaviti šifriranu datoteku u laboratorij. Odmah ću rezervirati da je tzv. ključeve magazina» Dr.Web, koji su na Internetu postavljeni u serijama, nisu prikladni jer ne potvrđuju kupnju bilo kojeg softverski proizvodi, a stručnjaci za TP provjeravaju ih jednom ili dvaput. Lakše je kupiti "najdešmaniju" licencu. Jer ako ste se prihvatili dešifriranja, ova licenca će vam se milijunski isplatiti. Pogotovo ako je mapa sa slikama "Egipat 2012" bila u jednom primjerku ...

Pokušaj #1

Dakle, nakon što sam kupio "licencu za 2 računala na godinu dana" za n-iznos novca, kontaktirao TP i dao neke datoteke, dobio sam vezu na te225decrypt.exe uslužni program za dešifriranje verzije 1.3.0.0. U iščekivanju uspjeha, pokrećem uslužni program (morate ga usmjeriti na jedan od šifriranih *. doc datoteke). Uslužni program započinje odabir, nemilosrdno učitavajući 90-100% starog procesora E5300 DualCore, 2600 MHz (overclockiran na 3,46 GHz) / 8192 MB DDR2-800, HDD 160 Gb Western Digital.
Ovdje se paralelno sa mnom u rad uključuje i kolega na PC-u core i5 2500k (overclocking na 4.5ghz) /16 ram 1600/ ssd intel(ovo je za usporedbu proteklog vremena na kraju članka).
Nakon 6 dana, uslužni program je izvijestio o dešifriranju 7277 datoteka. Ali sreća nije dugo trajala. Sve su datoteke dešifrirane "nakrivo". To je npr. Microsoftovi dokumenti ured otvoren, ali sa različite greške: « Word aplikacija*.docx dokument pronašao sadržaj koji se ne može pročitati" ili "Ne mogu otvoriti *.docx datoteku zbog grešaka u sadržaju". Datoteke *.jpg također se otvaraju s pogreškom ili se 95% slike pokazuje kao izblijedjela crna ili zelena pozadina. Za *.rar datoteke - " Neočekivani kraj arhiva".
Općenito, potpuni promašaj.

Pokušaj #2

O rezultatima pišemo TP-u. Navedite nekoliko datoteka. Dan kasnije ponovno daju vezu na uslužni program te225decrypt.exe, ali već verziju 1.3.2.0. Pa počnimo, tada ionako nije bilo alternative. Potrebno je oko 6 dana i uslužni program završava svoj rad s pogreškom "Nije moguće odabrati parametre šifriranja." Ukupno 13 dana "niz vodu".
Ali mi ne odustajemo, zbog važnih dokumenata našeg *glupog* klijenta bez elementarnih sigurnosnih kopija.

Pokušaj #3

O rezultatima pišemo TP-u. Navedite nekoliko datoteka. I, kao što ste možda pogodili, dan kasnije daju vezu na isti uslužni program te225decrypt.exe, ali već verziju 1.4.2.0. Pa, počnimo, jer nije bilo alternative, ni od Kaspersky Laba, ni od ESET NOD32, ni od drugih proizvođača antivirusna rješenja. I sada, nakon 5 dana 3 sata 14 minuta (123,5 sati), uslužni program izvještava o dešifriranju datoteka (za kolegu na core i5 dešifriranje je trajalo samo 21 sat i 10 minuta).
Pa, mislim da je bilo, nije bilo. I gle čuda: potpuni uspjeh! Sve su datoteke ispravno dekriptirane. Sve se otvara, zatvara, gleda, uređuje i sprema kako treba.

Svi sretni, KRAJ.

“Gdje je priča o virusu Trojan.Encoder.263?”, pitate se. A na sljedećem PC-u, ispod stola ... bio je. Tamo je sve bilo jednostavnije: pišemo u TP Doctor Weba, dobivamo uslužni program te263decrypt.exe, pokrećemo ga, čekamo 6,5 dana, voila! i sve je spremno.Ukratko, mogu vam dati nekoliko savjeta s foruma Doctor Web u mom izdanju:

Što učiniti u slučaju infekcije ransomware virusom:
- poslati na virusni laboratorij Dr. Webu ili u obrascu "Pošalji sumnjiva datoteka» šifrirana doc datoteka.
- Pričekajte odgovor zaposlenika Dr.Weba i slijedite njegove upute.

Što NE učiniti:
- promijeniti ekstenziju šifriranih datoteka; Inače, s dobro odabranim ključem, uslužni program jednostavno neće "vidjeti" datoteke koje treba dešifrirati.
- koristite sami bez savjetovanja sa stručnjacima bilo koji program za dešifriranje / oporavak podataka.

Pažnja, s poslužiteljem oslobođenim drugih zadataka, nudim svoje besplatne usluge za dešifriranje VAŠIH podataka. Jezgra poslužitelja i7-3770K s overclockingom na *određene frekvencije*, 16GB RAM-a i SSD Vertex 4.
Za sve aktivni korisnici"habra" korištenje mojih resursa bit će BESPLATNO!!!
Pišite mi u osobne ili druge kontakte. Već sam "pojeo psa" na ovo. Stoga nisam previše lijen da stavim poslužitelj za dešifriranje noću.
Ovaj virus je “bič” modernosti, a uzimanje “plijena” od suboraca nije humano. Iako, ako netko "baci" par dolara na moj Yandex.money račun 410011278501419 - neću imati ništa protiv. Ali to uopće nije potrebno. Kontakt. U slobodno vrijeme obrađujem zahtjeve.

Novi tragovi!

Počevši od 12.08.2013. počeo se širiti novi virus iz iste serije Trojan.Encoder pod klasifikacijom Doctor Weba - Trojan.Encoder.263, ali s RSA enkripcija. Ovaj tip od danas (20.12.2013.) neodgonetljiv, jer koristi vrlo jaku metodu šifriranja.

Svima pogođenima ovim virusom preporučujem:
1. Korištenje ugrađenog windows pretraživanje pronađite sve datoteke koje sadrže nastavak .perfect, kopirajte ih u vanjski mediji.
2. Kopirajte istu datoteku CONTACT.txt
3. Stavite ovaj vanjski medij na policu.
4. Pričekajte da se pojavi uslužni program dekodera.

Što NE učiniti:
Ne morate imati posla s prevarantima. Ovo je glupo. U više od 50% slučajeva, nakon "plaćanja" od približno 5000 rubalja, nećete dobiti NIŠTA. Nema novca, nema dekodera.
Iskreno radi, valja napomenuti da na internetu postoje oni "sretnici" koji su za "plijen" dobili svoje datoteke natrag dešifriranjem. Ali ne vjerujte tim ljudima. Da sam pisac virusa, prva stvar koju bih napravio je širiti informacije poput "platio sam i poslali su mi dekriptor!!!".
Iza ovih "sretnika" možda još uvijek stoje isti napadači.

Pa... poželimo sreću drugim antivirusnim tvrtkama u stvaranju uslužnog programa za dekriptiranje datoteka nakon virusa grupe Trojan.Encoder.

Posebna zahvala za rad obavljen na stvaranju uslužnih programa dekodera drugu v.martyanovu s foruma Doctor Web.