Bagaimana untuk menyahsulit yang disulitkan oleh virus. Tanpa peluang untuk keselamatan: apakah virus ransomware dan cara menanganinya. Prinsip penembusan ke dalam sistem dan operasi kod virus

Muncul kira-kira 8-10 tahun yang lalu, virus penyulitan ke hari ini mendapat populariti yang besar di kalangan semua jenis penipu komputer.

Pakar mengaitkan ini dengan kemunculan program pembina dalam domain awam, yang menggunakannya walaupun pakar yang lemah boleh memasang virus komputer dengan sifat yang diberikan.

Bagaimanakah virus penyulitan berfungsi?

Selalunya, virus penyulitan dimasukkan ke dalam komputer mangsa menggunakan senarai mel. Syarikat menerima surat yang didakwa dihantar oleh pencari kerja, bakal rakan kongsi atau pembeli, tetapi mengandungi implan fail pdf dengan virus.

Apabila pekerja syarikat membuka surat, virus itu dibenamkan dalam senarai program permulaan. Selepas memulakan semula komputer, ia dimulakan, menamakan semula dan menyulitkan fail, dan kemudian merosakkan diri.

Selalunya, e-mel yang dijangkiti menyamar sebagai mesej daripada pihak berkuasa cukai, agensi penguatkuasaan undang-undang, bank, dsb.

Dalam direktori dengan fail yang rosak, surat ditemui, yang memaklumkan bahawa maklumat itu disulitkan dengan cara yang tahan kripto yang boleh dipercayai dan tidak boleh dinyahsulit sendiri tanpa kehilangan akhir fail.

Jika anda ingin memulihkannya, anda perlu tempoh yang ditetapkan pindahkan sedikit jumlah untuk mendapatkan kunci penyahsulitan.

Adakah mungkin untuk mengatasi penyahsulitan fail sendiri?

Selalunya, peras ugut menggunakan virus untuk tujuan mereka sendiri, yang dipanggil Doktor Web Trojan.Encoder. Ia menukar fail pada komputer mangsa dengan memberi mereka sambungan .crypt. Hampir semua format biasa boleh disulitkan fail teks, imej, trek audio, fail termampat.

Untuk memulihkan fail yang disulitkan, pakar syarikat mencipta utiliti te19nyahsulit. Hari ini dia masuk akses percuma, di mana ia boleh dimuat turun oleh mana-mana pengguna Internet. Ini adalah program kecil, mengambil hanya 233 KB. Selepas memuat turun anda memerlukan:

- dalam tetingkap yang terbuka, klik pada butang "Teruskan" ;

- jika mesej muncul "Ralat" , ditambah dengan tatatanda “Saya tak dapat fail kunci[nama fail]. Adakah anda mahu menentukan lokasinya secara manual?", tekan butang okey;

- dalam tetingkap yang muncul "Buka" tentukan laluan ke fail crypted.txt;

- maka proses penyahsulitan akan bermula.

Dalam apa jua keadaan, fail itu tidak boleh dipadamkan. crypted.txt sebelum melancarkan utiliti penyahsulit, kerana kehilangannya akan menjadikannya mustahil untuk memulihkan maklumat yang disulitkan.

Program Decryptor RectorDecryptor

Untuk memulihkan fail yang disulitkan, ramai orang menggunakan program khas RectorDecryptor. Anda perlu bekerja dengannya dengan cara berikut:

- muat turun program RectorDecryptor jika ia bukan pada pelupusan anda;

- alih keluar semua program daripada senarai permulaan, kecuali untuk antivirus;

- mulakan semula komputer anda;

- lihat senarai fail, serlahkan yang mencurigakan, terutamanya yang tidak mempunyai maklumat tentang pengilang;

- padam fail yang mencurigakan yang mungkin mengandungi virus;

- kosongkan cache penyemak imbas dan folder sementara menggunakan program ini CCleaner atau sama;

- lari RectorDecryptor, nyatakan fail yang disulitkan, serta sambungannya, dan kemudian tekan butang "Mula Semak" ;

- V versi terkini program, anda boleh menentukan hanya nama fail, dan kemudian tekan "Buka" ;

- tunggu penghujung penyahsulitan fail dan teruskan ke yang seterusnya.

Program selanjutnya RectorDecryptor sendiri terus mengimbas semua fail yang terdapat pada komputer anda, termasuk yang terdapat pada media boleh tanggal.

Penyahsulitan mungkin mengambil masa beberapa jam bergantung pada bilangan fail yang rosak dan prestasi komputer anda. Maklumat yang dipulihkan ditulis ke direktori yang sama seperti sebelumnya.

Anda boleh menunjukkan keperluan untuk memadamkan bahan yang disulitkan selepas penyahsulitan dengan menandakan kotak di sebelah permintaan yang sepadan. Tetapi pengguna lanjutan Adalah dinasihatkan untuk tidak melakukan ini, kerana jika penyahsulitan gagal, anda akan kehilangan sepenuhnya keupayaan untuk memulihkan data anda.

Jika komputer mempunyai mesej teks, yang mengatakan bahawa fail anda disulitkan, maka jangan tergesa-gesa untuk panik. Apakah gejala penyulitan fail? Sambungan biasa bertukar kepada *.vault, *.xtbl, * [e-mel dilindungi] _XO101 dsb. Fail tidak boleh dibuka - kunci diperlukan, yang boleh dibeli dengan menghantar surat ke alamat yang ditunjukkan dalam mesej.

Dari manakah anda mendapatkan fail yang disulitkan?

Komputer mengambil virus yang menyekat akses kepada maklumat. Selalunya antivirus melangkau mereka, kerana program ini biasanya berdasarkan beberapa yang tidak berbahaya utiliti percuma penyulitan. Anda akan mengeluarkan virus itu sendiri dengan cukup cepat, tetapi masalah serius mungkin timbul dengan penyahsulitan maklumat.

Sokongan teknikal untuk Kaspersky Lab, Dr.Web dan lain-lain syarikat terkenal membangunkan perisian anti-virus, sebagai tindak balas kepada permintaan pengguna untuk menyahsulit data, melaporkan bahawa adalah mustahil untuk melakukan ini dalam masa yang munasabah. Terdapat beberapa program yang boleh mengambil kod, tetapi ia hanya boleh berfungsi dengan virus yang telah dikaji sebelum ini. Jika anda berhadapan dengan pengubahsuaian baharu, maka peluang untuk memulihkan akses kepada maklumat adalah sangat kecil.

Bagaimanakah virus ransomware mendapat pada komputer?

Dalam 90% kes, pengguna sendiri mengaktifkan virus pada komputer dengan membuka e-mel yang tidak diketahui. Selepas itu, mesej e-mel tiba dengan subjek provokatif - "Saman ke Mahkamah", "Hutang Pinjaman", "Notis daripada Inspektorat Cukai", dll. Terdapat lampiran di dalam e-mel palsu, selepas memuat turun perisian tebusan itu memasuki komputer dan mula menyekat akses kepada fail secara beransur-ansur.

Penyulitan tidak berlaku serta-merta, jadi pengguna mempunyai masa untuk membuang virus sebelum semua maklumat disulitkan. musnah skrip berniat jahat anda boleh menggunakan utiliti pembersihan Dr.Web CureIt, Internet Kaspersky Keselamatan dan Malwarebytes Antimalware.

Cara untuk memulihkan fail

Jika perlindungan sistem telah didayakan pada komputer, maka walaupun selepas tindakan virus ransomware, terdapat peluang untuk memulihkan fail kepada keadaan biasa menggunakan salinan bayangan fail. Ransomware biasanya cuba mengalih keluarnya, tetapi kadangkala mereka gagal berbuat demikian kerana kekurangan keistimewaan pentadbir.

Memulihkan versi sebelumnya:

Untuk mengekalkan versi sebelumnya, perlindungan sistem mesti didayakan.

Penting: perlindungan sistem mesti didayakan sebelum perisian tebusan muncul, selepas itu ia tidak akan membantu lagi.

Buka sifat "Komputer".
Pilih "Perlindungan Sistem" daripada menu di sebelah kiri.
Serlahkan pemacu C dan klik "Konfigurasikan".
Pilih tetapan pulihkan dan versi sebelumnya fail. Gunakan perubahan dengan mengklik OK.

Jika anda mengambil langkah-langkah ini sebelum munculnya virus yang menyulitkan fail, kemudian selepas membersihkan komputer anda daripada kod berniat jahat anda akan mempunyai peluang yang baik untuk mendapatkan semula maklumat tersebut.

Menggunakan utiliti khas

Kaspersky Lab telah menyediakan beberapa utiliti untuk membantu anda membuka fail yang disulitkan selepas virus telah dialih keluar. Penyahsulit pertama yang patut dicuba ialah Kaspersky RectorDecryptor.

Muat turun aplikasi dari laman web rasmi Kaspersky Lab.
Kemudian jalankan utiliti dan klik "Mula Imbas". Tentukan laluan ke mana-mana fail yang disulitkan.

Jika perisian hasad tidak mengubah sambungan fail, maka untuk menyahsulitnya, anda perlu mengumpulnya folder berasingan. Jika utiliti itu ialah RectorDecryptor, muat turun dua lagi program dari laman web rasmi Kaspersky - XoristDecryptor dan RakhniDecryptor.

Utiliti terkini dari Kaspersky Lab dipanggil Ransomware Decryptor. Ia membantu untuk menyahsulit fail selepas virus CoinVault, yang belum begitu biasa dalam RuNet, tetapi mungkin menggantikan Trojan lain tidak lama lagi.

Bilangan virus dalam pengertian biasa mereka semakin berkurangan, dan sebab untuk ini antivirus percuma yang berfungsi dengan baik dan melindungi komputer pengguna. Pada masa yang sama, tidak semua orang mengambil berat tentang keselamatan data mereka, dan mereka menghadapi risiko dijangkiti bukan sahaja dengan perisian hasad, tetapi juga dengan virus standard, di antaranya Trojan terus menjadi yang paling biasa. Dia boleh menunjukkan dirinya cara yang berbeza, tetapi salah satu yang paling berbahaya ialah penyulitan fail. Jika virus telah menyulitkan fail pada komputer, mengembalikan data bukanlah perkara yang pasti, tetapi terdapat beberapa kaedah yang berkesan, dan ia akan dibincangkan di bawah.

Virus penyulitan: apakah itu dan cara ia berfungsi

Terdapat beratus-ratus jenis virus di web yang menyulitkan fail. Tindakan mereka membawa kepada satu akibat - data pengguna pada komputer menerima format tidak diketahui, yang tidak boleh dibuka dengan program standard. Berikut ialah beberapa format di mana data pada komputer boleh disulitkan akibat tindakan virus: .dikunci, .xtbl, .kraken, .cbf, .oshit dan banyak lagi. Dalam sesetengah kes, sambungan fail ditulis secara langsung alamat emel pencipta virus.

Antara virus yang paling biasa menyulitkan fail ialah Trojan-Ransom.Win32.Aura Dan Trojan-Ransom.Win32.Rakhni. Mereka mempunyai banyak bentuk, dan virus itu mungkin tidak dipanggil Trojan (contohnya, CryptoLocker), tetapi tindakan mereka hampir sama. Versi baharu virus penyulitan dikeluarkan secara tetap supaya pencipta aplikasi antivirus adalah lebih sukar untuk menangani format baharu.

Jika virus penyulitan telah menembusi komputer, maka ia pasti akan menunjukkan dirinya bukan sahaja dengan menyekat fail, tetapi juga dengan menawarkan pengguna untuk membuka kuncinya dengan bayaran. Sepanduk mungkin muncul pada skrin, yang akan menyatakan tempat anda perlu memindahkan wang untuk membuka kunci fail. Apabila sepanduk sedemikian tidak muncul, anda harus mencari "surat" daripada pembangun virus pada desktop, fail sedemikian dalam kebanyakan kes dipanggil ReadMe.txt.

Bergantung pada pembangun virus, kadar untuk menyahsulit fail mungkin berbeza-beza. Pada masa yang sama, jauh dari fakta bahawa apabila menghantar wang kepada pencipta virus, mereka akan menghantar semula kaedah buka kunci. Dalam kebanyakan kes, wang itu pergi "ke mana-mana", dan pengguna komputer tidak menerima kaedah penyahsulitan.

Selepas virus berada pada komputer anda dan anda melihat kod pada skrin yang anda ingin hantar alamat tertentu untuk mendapatkan dekoder, anda tidak perlu. Langkah pertama ialah menulis kod ini pada sekeping kertas, kerana fail yang baru dibuat juga mungkin disulitkan. Selepas itu, anda boleh menutup maklumat daripada pembangun virus dan cuba mencari di Internet cara untuk menyingkirkan penyulitan fail dalam kes tertentu anda. Di bawah ini kami memberikan program utama yang membolehkan anda mengalih keluar virus dan menyahsulit fail, tetapi ia tidak boleh dipanggil universal, dan pencipta perisian antivirus kerap mengembangkan senarai penyelesaian.

Menyingkirkan virus yang menyulitkan fail agak mudah dengan bantuan versi percuma antivirus. 3 program percuma mengatasi virus yang menyulitkan fail:

Malwarebytes Antimalware;
Dr. Web Cure It ;
Kaspersky keselamatan internet.

Apl yang dinyatakan di atas adalah percuma atau mempunyai versi percubaan. Kami mengesyorkan menggunakan penyelesaian daripada Dr.Web atau Kespersky selepas anda menyemak sistem anda dengan Malwarebytes Antimalware. Kami mengingatkan anda sekali lagi bahawa tidak disyorkan untuk memasang 2 atau lebih antivirus pada komputer pada masa yang sama, oleh itu, sebelum memasang setiap penyelesaian baharu, anda mesti menyahpasang yang sebelumnya.

Seperti yang kami nyatakan di atas, penyelesaian yang ideal masalah dalam situasi ini akan menjadi pemilihan arahan yang membolehkan anda menangani masalah anda secara khusus. Arahan sedemikian paling kerap disiarkan di tapak web pembangun antivirus. Di bawah adalah beberapa arus utiliti antivirus yang membolehkan anda berurusan pelbagai jenis Trojan dan jenis perisian tebusan yang lain.

Di atas hanyalah sebahagian kecil daripada utiliti anti-virus yang membolehkan anda menyahsulit fail yang dijangkiti. Perlu diingat bahawa jika anda cuba hanya cuba mengembalikan data, sebaliknya, mereka akan hilang selama-lamanya - anda tidak sepatutnya melakukan ini.

“Maaf mengganggu anda, tetapi... fail anda disulitkan. Untuk mendapatkan kunci penyahsulitan, segera pindahkan sejumlah wang ke dompet anda... Jika tidak, data anda akan musnah selama-lamanya. Anda mempunyai 3 jam, masa telah tamat. Dan ia bukan jenaka. Virus ransomware adalah lebih daripada ancaman sebenar.

Hari ini kita akan bercakap tentang apa yang disebarkan tahun lepas perisian hasad ransomware, perkara yang perlu dilakukan sekiranya berlaku jangkitan, cara menyembuhkan komputer dan sama ada ia boleh dilakukan sama sekali, dan cara melindungi diri anda daripadanya.

Kami menyulitkan segala-galanya!

Virus penyulitan (pengekod, cryptor) ialah sejenis perisian tebusan berniat jahat khas yang aktivitinya adalah untuk menyulitkan fail pengguna dan kemudian menuntut untuk membeli alat penyahsulitan. Jumlah wang tebusan bermula dari mana-mana sahaja daripada $200 dan mencecah puluhan dan ratusan ribu dolar.

Beberapa tahun dahulu, hanya berasaskan komputer Pangkalan Windows. Hari ini, rangkaian mereka telah berkembang kepada Linux, Mac dan Android yang kelihatan dilindungi dengan baik. Di samping itu, kepelbagaian spesies pengekod sentiasa berkembang - item baharu muncul satu demi satu, yang mempunyai sesuatu yang mengejutkan dunia. Oleh itu, ia timbul disebabkan oleh "persimpangan" trojan penyulitan klasik dan cecacing rangkaian (program berniat jahat yang merebak ke rangkaian tanpa penyertaan aktif pengguna).

Selepas WannaCry, tidak kurang sofistikated Petya dan arnab buruk. Dan kerana "perniagaan penyulitan" membawa pendapatan yang baik kepada pemilik, anda boleh yakin bahawa mereka bukan yang terakhir.

Semakin ramai ahli kriptografi, terutamanya mereka yang telah melihat cahaya mata dalam tempoh 3-5 tahun yang lalu, menggunakan algoritma kriptografi yang kuat yang tidak boleh dipecahkan sama ada dengan kekerasan atau sebaliknya. cara sedia ada. Satu-satunya cara untuk memulihkan data adalah dengan menggunakan kunci asal yang ditawarkan oleh penyerang untuk dibeli. Walau bagaimanapun, walaupun memindahkan jumlah yang diperlukan kepada mereka tidak menjamin penerimaan kunci. Penjenayah tidak tergesa-gesa untuk mendedahkan rahsia mereka dan kehilangan potensi keuntungan. Dan apa gunanya menepati janji jika mereka sudah mempunyai wang?

Cara pengedaran virus pengekod

Laluan utama untuk perisian hasad memasuki komputer pengguna dan organisasi persendirian ialah E-mel, lebih tepat lagi, fail dan pautan yang dilampirkan pada surat.

Contoh surat sedemikian, bertujuan untuk "pelanggan korporat":

"Bayarkan pinjaman anda dengan segera."
"Saman telah difailkan dengan mahkamah."
"Bayar denda/yuran/cukai."
"Caj tambahan bil utiliti".
"Oh, adakah itu awak dalam foto?"
"Lena meminta saya memindahkan perkara ini kepada anda dengan segera," dsb.

Setuju, sahaja pengguna yang berpengetahuan perlakukan surat sedemikian dengan berhati-hati. Kebanyakan tidak akan teragak-agak untuk membuka lampiran dan menjalankan perisian hasad itu sendiri. By the way, walaupun teriakan antivirus.

Juga, untuk pengedaran perisian tebusan, yang berikut digunakan secara aktif:

Rangkaian sosial (mel dari akaun kenalan dan orang yang tidak dikenali).
Sumber web yang berniat jahat dan dijangkiti.
Pengiklanan sepanduk.
Menghantar melalui utusan daripada akaun yang digodam.
Tapak Warez dan pengedar keygen dan retak.
Tapak untuk orang dewasa.
Apl dan kedai kandungan.

Virus penyulitan sering dibawa oleh program berniat jahat lain, seperti adware dan trojan pintu belakang. Yang terakhir, menggunakan kelemahan dalam sistem dan perisian, membantu penjenayah untuk mendapatkan akses jauh kepada peranti yang dijangkiti. Menjalankan perisian tebusan dalam kes sedemikian tidak selalunya bertepatan dengan tindakan pengguna yang berpotensi berbahaya. Selagi pintu belakang kekal dalam sistem, penyerang boleh menyusup masuk ke peranti pada bila-bila masa dan memulakan penyulitan.

Untuk menjangkiti komputer organisasi (kerana ia boleh diperah lebih daripada pengguna rumah), terutamanya kaedah yang canggih sedang dibangunkan. Sebagai contoh, Petya Trojan menembusi peranti melalui modul kemas kini perisian perakaunan cukai MEDoc.

Penyulit dengan fungsi cacing rangkaian, seperti yang telah disebutkan, tersebar melalui rangkaian, termasuk Internet, melalui kelemahan protokol. Dan anda boleh dijangkiti dengan mereka tanpa melakukan apa-apa. bahaya paling besar pengguna sistem pengendalian Windows yang jarang dikemas kini terdedah, kerana kemas kini menutup kelemahan yang diketahui.

Sesetengah perisian hasad, seperti WannaCry, mengeksploitasi kelemahan 0 hari (sifar hari), iaitu kelemahan yang belum diketahui oleh pembangun sistem. Malangnya, adalah mustahil untuk menahan jangkitan sepenuhnya dengan cara ini, tetapi kebarangkalian bahawa anda akan menjadi antara mangsa tidak mencapai 1%. kenapa? Ya, kerana perisian hasad tidak boleh menjangkiti semua mesin yang terdedah secara serentak. Dan sementara ia merancang mangsa baharu, pembangun sistem mempunyai masa untuk mengeluarkan kemas kini penjimatan.

Bagaimana perisian tebusan berkelakuan pada komputer yang dijangkiti

Proses penyulitan, sebagai peraturan, bermula dengan tidak dapat dilihat, dan apabila tanda-tandanya menjadi jelas, sudah terlambat untuk menyimpan data: pada masa itu, perisian hasad telah menyulitkan semua yang dicapainya. Kadangkala pengguna mungkin melihat bagaimana fail dalam beberapa buka fail sambungan ditukar.

Penampilan yang tidak munasabah bagi sambungan baru, dan kadangkala sambungan kedua dalam fail, selepas itu ia berhenti membuka, seratus peratus menunjukkan akibat serangan ransomware. Ngomong-ngomong, dengan sambungan yang diterima oleh objek yang rosak, biasanya mungkin untuk mengenal pasti perisian hasad.

Contoh pelanjutan fail yang disulitkan: . xtbl, .kraken, .cesar, .da_vinci_code, [e-mel dilindungi] _com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, dsb.

Terdapat banyak pilihan, dan yang baharu akan muncul esok, jadi tidak masuk akal untuk menyenaraikan segala-galanya. Untuk menentukan jenis jangkitan, cukup untuk memberi beberapa sambungan ke enjin carian.

Gejala lain yang secara tidak langsung menunjukkan permulaan penyulitan:

Kemunculan tingkap pada skrin selama sepersekian saat baris arahan. Selalunya, ini adalah fenomena biasa apabila memasang kemas kini sistem dan program, tetapi lebih baik tidak meninggalkannya tanpa pengawasan.
UAC menggesa untuk melancarkan beberapa program yang anda tidak mahu buka.
Mulakan semula komputer secara tiba-tiba, diikuti dengan meniru kerja utiliti sistem pemeriksaan cakera (variasi lain mungkin). Semasa proses "pengesahan" penyulitan berlaku.

Selepas berjaya menyelesaikan operasi berniat jahat, mesej muncul pada skrin dengan permintaan tebusan dan pelbagai ancaman.

Ransomware menyulitkan sebahagian besar daripada fail tersuai: foto, muzik, video, dokumen teks, arkib, mel, pangkalan data, fail dengan sambungan program, dll. Tetapi mereka tidak menyentuh objek sistem operasi, kerana penyerang tidak memerlukan komputer yang dijangkiti untuk berhenti berfungsi. Beberapa virus menggantikan rekod but cakera dan sekatan.

Selepas penyulitan, semua salinan bayangan dan titik pemulihan biasanya dialih keluar daripada sistem.

Bagaimana untuk menyembuhkan komputer daripada ransomware

Mengalih keluar program berniat jahat daripada sistem yang dijangkiti adalah mudah - hampir semua antivirus boleh mengatasi kebanyakannya dengan mudah. Tetapi! Adalah naif untuk mempercayai bahawa menyingkirkan pelakunya akan menyelesaikan masalah: anda mengalih keluar virus atau tidak, dan fail masih akan kekal disulitkan. Di samping itu, dalam beberapa kes ini akan merumitkan penyahsulitan seterusnya, jika boleh.

Susunan tindakan yang betul apabila memulakan penyulitan

Sebaik sahaja anda melihat tanda-tanda penyulitan, matikan komputer dengan segera dengan menekan dan menahan butangKuasa selama 3-4 saat. Ini akan menyimpan sekurang-kurangnya beberapa fail.
Buat pada komputer lain cakera but atau pemacu kilat dengan program antivirus. Sebagai contoh, , , dan lain-lain.
But mesin yang dijangkiti dari cakera ini dan imbas sistem. Alih keluar virus yang ditemui dan simpannya ke kuarantin (sekiranya ia diperlukan untuk penyahsulitan). Hanya selepas itu anda boleh but komputer anda dari cakera keras anda.
Cuba pulihkan fail yang disulitkan daripada salinan bayangan melalui sistem atau dengan bantuan pihak ketiga.

Perkara yang perlu dilakukan jika fail sudah disulitkan

Jangan hilang harapan. Tapak web pembangun produk anti-virus mengandungi utiliti penyahsulitan percuma untuk jenis yang berbeza perisian hasad. Khususnya, utiliti daripada dan .
Selepas menentukan jenis pengekod, muat turun utiliti yang sesuai, pastikan buat salinan fail rosak dan cuba menguraikannya. Jika berjaya, nyahsulit selebihnya.

Jika fail tidak dinyahsulit

Jika tiada utiliti telah membantu, kemungkinan besar anda telah mengalami virus yang belum ada penawarnya.

Apa yang boleh dilakukan dalam kes ini:

Jika anda menggunakan berbayar produk antivirus sila hubungi sokongannya. Hantar beberapa salinan fail yang rosak ke makmal dan tunggu jawapan. Di hadapan kebolehlaksanaan teknikal akan membantu anda.

Jika ternyata fail itu rosak tanpa harapan, tetapi ia sangat bernilai kepada anda, anda hanya boleh berharap dan menunggu bahawa ubat penjimatan akan ditemui suatu hari nanti. Perkara terbaik yang boleh anda lakukan ialah meninggalkan sistem dan fail sebagaimana adanya, iaitu, lumpuhkan sepenuhnya dan tidak digunakan HDD. Mengalih keluar fail perisian hasad, memasang semula sistem pengendalian, dan juga mengemas kini fail itu boleh menghalang anda dan peluang ini, kerana apabila menjana kunci penyulitan-penyahsulitan, pengecam sistem unik dan salinan virus sering digunakan.

Membayar wang tebusan bukanlah satu pilihan, kerana kemungkinan anda mendapat kunci adalah hampir kepada sifar. Dan tidak perlu membiayai perniagaan jenayah.

Bagaimana untuk melindungi diri anda daripada jenis perisian hasad ini

Saya tidak ingin mengulangi nasihat yang setiap pembaca telah mendengar ratusan kali. Ya, pasang antivirus yang baik, jangan klik pada pautan yang mencurigakan dan blablabla - ini penting. Walau bagaimanapun, seperti yang ditunjukkan oleh kehidupan, tidak ada pil ajaib yang akan memberi anda jaminan keselamatan 100% hari ini.

Satu-satunya kaedah perlindungan yang berkesan terhadap perisian tebusan jenis ini ialah sandaran data kepada media fizikal lain, termasuk perkhidmatan awan. Sandaran, sandaran, sandaran...

Lagi di tapak:

Tiada peluang untuk selamat: apakah virus ransomware dan cara menanganinya dikemas kini: 1 September 2018 oleh: Johnny Mnemonic

Ingat kembali: Trojan dari keluarga Trojan.Encoder ialah program berniat jahat yang menyulitkan fail pada cakera keras komputer dan meminta wang untuk penyahsulitan mereka. Fail *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar dan sebagainya boleh disulitkan.
Tidak mungkin untuk bertemu secara peribadi seluruh keluarga virus ini, tetapi, seperti yang ditunjukkan oleh amalan, kaedah jangkitan, rawatan dan penyahsulitan adalah lebih kurang sama untuk semua orang:
1. mangsa dijangkiti melalui e-mel spam dengan lampiran (jarang kerap oleh jangkitan),
2. virus itu diiktiraf dan dikeluarkan (sudah) oleh hampir mana-mana antivirus dengan pangkalan data baru,
3. fail dinyahsulit dengan memilih kunci-kata laluan untuk jenis penyulitan yang digunakan.
Contohnya, Trojan.Encoder.225 menggunakan penyulitan RC4 (diubah suai) + DES, manakala Trojan.Encoder.263 menggunakan BlowFish dalam mod CTR. Virus ini adalah masa ini ditafsirkan sebanyak 99% berdasarkan amalan peribadi.

Tetapi tidak semuanya begitu lancar. Sesetengah virus ransomware memerlukan penyahsulitan berterusan selama berbulan-bulan (Trojan.Encoder.102), manakala yang lain (Trojan.Encoder.283) tidak boleh dinyahsulit sama sekali walaupun untuk pakar dari Doctor Web, yang sebenarnya, memainkan peranan utama dalam artikel ini.

Sekarang teratur.

Pada awal Ogos 2013, pelanggan menghubungi saya dengan masalah dengan fail yang disulitkan oleh virus Trojan.Encoder.225. Virus itu, pada masa itu, baru, tiada siapa yang tahu apa-apa, terdapat 2-3 pautan Google tematik di Internet. Setelah lama mencari di Internet, ternyata satu-satunya (ditemui) organisasi yang menangani masalah menyahsulit fail selepas virus ini adalah Doktor Web. Iaitu: ia memberikan cadangan, membantu apabila menghubungi sokongan teknikal, membangunkan penyahsulitnya sendiri, dsb.

Pengunduran negatif.

Dan saya ingin mengambil kesempatan ini untuk menunjukkan dua menggemukkan tolak "Kaspersky Lab". Yang, apabila menghubungi sokongan teknikal mereka, tolak "kami sedang mengusahakan isu ini, kami akan memberitahu anda melalui mel tentang hasilnya." Namun, tolaknya ialah saya tidak pernah menerima jawapan kepada permintaan itu. Selepas 4 bulan. Persetankan masa reaksi anda. Dan di sini saya berusaha untuk standard "tidak lebih daripada satu jam dari pendaftaran permohonan."
Sungguh memalukan, kawan Evgeny Kaspersky, Ketua Pegawai Eksekutif Makmal Kaspersky. Tetapi saya mempunyai separuh daripada semua syarikat "duduk" di atasnya. Baiklah, okey, lesen tamat pada Januari-Mac 2014. Adakah patut dibincangkan sama ada saya akan memperbaharui lesen?;)

Saya mewakili wajah "pakar" dari syarikat "lebih mudah", boleh dikatakan, BUKAN gergasi industri anti-virus. Mungkin secara umum "berkumpul di sudut" dan "menangis senyap-senyap."
Walaupun, apa yang ada, benar-benar semua orang "mengganggu" sepenuhnya. Antivirus, pada dasarnya, tidak sepatutnya membenarkan virus ini memasuki komputer. Terutama sekali mempertimbangkan teknologi moden. Dan "mereka", GIANTS industri anti-VIRUS, didakwa mempunyai segala-galanya di bawah kawalan, "analisis heuristik", "sistem jangkaan", "pertahanan proaktif" ...

DI MANA SEMUA SUPER-SYSTEMS INI KETIKA HR WORKER MEMBUKA SURAT "MERBAHAYA" DENGAN SUBJEK "RINGKASAN"???
Apakah yang perlu difikirkan oleh pekerja itu?
Jika ANDA tidak dapat melindungi kami, maka mengapa kami memerlukan ANDA sama sekali?

Dan semuanya akan baik-baik saja dengan Doctor Web, tetapi untuk mendapatkan bantuan, anda mesti, sudah tentu, mempunyai lesen untuk mana-mana produk perisian mereka. Apabila menghubungi sokongan teknikal (selepas ini dirujuk sebagai TP), anda mesti menyediakan nombor siri Dr.Web dan jangan lupa untuk memilih "permintaan rawatan" dalam baris "Kategori permintaan:" atau cukup berikan mereka fail yang disulitkan ke makmal. Saya akan segera membuat tempahan yang dipanggil " kunci majalah» Dr.Web, yang dibentangkan di Internet secara berkelompok, tidak sesuai, kerana mereka tidak mengesahkan pembelian mana-mana produk perisian, dan disaring oleh pakar TP sekali atau dua kali. Lebih mudah untuk membeli lesen yang paling "deshman". Kerana jika anda mengambil penyahsulitan, lesen ini akan membayar anda berjuta kali ganda. Terutama jika folder dengan gambar "Mesir 2012" berada dalam satu salinan ...

Percubaan #1

Oleh itu, setelah membeli "lesen untuk 2 PC selama setahun" untuk jumlah wang n, menghubungi TP dan menyediakan beberapa fail, saya menerima pautan ke utiliti penyahsulitan te225decrypt.exe versi 1.3.0.0. Untuk menjangkakan kejayaan, saya menjalankan utiliti (anda perlu menunjukkannya ke salah satu fail *. fail doc). Utiliti memulakan pemilihan, tanpa belas kasihan memuatkan 90-100% pemproses lama E5300 DualCore, 2600 MHz (overclocked kepada 3.46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital.
Di sini, selari dengan saya, rakan sekerja pada teras i5 2500k PC (overclocking hingga 4.5ghz) / 16 ram 1600 / disertakan dalam kerja ssd intel(ini adalah untuk membandingkan masa berlalu pada akhir artikel).
Selepas 6 hari, utiliti melaporkan tentang penyahsulitan 7277 fail. Tetapi kebahagiaan tidak bertahan lama. Semua fail telah dinyahsulit "secara bengkok". Iaitu, sebagai contoh, dokumen microsoft pejabat dibuka, tetapi dengan kesilapan yang berbeza: « Aplikasi perkataan*.docx document menemui kandungan yang tidak boleh dibaca" atau "Tidak boleh membuka *.docx file kerana ralat kandungan". Fail *.jpg juga dibuka sama ada dengan ralat, atau 95% daripada imej itu ternyata menjadi latar belakang hitam pudar atau hijau limau. Untuk fail *.rar - " Pengakhiran yang tidak dijangka arkib".
Secara umum, kegagalan sepenuhnya.

Percubaan #2

Kami menulis kepada TP tentang hasilnya. Sila berikan beberapa fail. Sehari kemudian, mereka sekali lagi memberikan pautan ke utiliti te225decrypt.exe, tetapi sudah versi 1.3.2.0. Baiklah, mari kita mulakan, tidak ada alternatif lagi. Ia mengambil masa kira-kira 6 hari dan utiliti menamatkan kerjanya dengan ralat "Tidak dapat memilih parameter penyulitan." Jumlah 13 hari "di bawah longkang."
Tetapi kami tidak berputus asa, kerana dokumen penting pelanggan *bodoh* kami tanpa sandaran asas.

Percubaan #3

Kami menulis kepada TP tentang hasilnya. Sila berikan beberapa fail. Dan, seperti yang anda mungkin sangka, sehari kemudian mereka memberikan pautan ke utiliti te225decrypt.exe yang sama, tetapi sudah versi 1.4.2.0. Baiklah, mari kita mulakan, kerana tidak ada alternatif, baik dari Kaspersky Lab, mahupun dari ESET NOD32, mahupun dari pengeluar lain penyelesaian antivirus. Dan kini, selepas 5 hari 3 jam 14 minit (123.5 jam), utiliti melaporkan menyahsulit fail (untuk rakan sekerja di teras i5, penyahsulitan hanya mengambil masa 21 jam 10 minit).
Nah, saya fikir ia adalah, ia tidak. Dan lihatlah: kejayaan sepenuhnya! Semua fail dinyahsulit dengan betul. Semuanya dibuka, ditutup, dilihat, diedit dan disimpan dengan betul.

Semua orang gembira, AKHIRNYA.

"Di manakah cerita tentang virus Trojan.Encoder.263?", anda bertanya. Dan pada PC seterusnya, di bawah meja ... adalah. Segala-galanya lebih mudah di sana: Kami menulis dalam TP Doktor Web, dapatkan utiliti te263decrypt.exe, jalankannya, tunggu 6.5 hari, voila! dan semuanya sudah sedia. Kesimpulannya, saya boleh memberikan anda beberapa petua dari forum Web Doktor dalam edisi saya:

Perkara yang perlu dilakukan sekiranya dijangkiti virus ransomware:
- hantar kepada makmal virus Dr. Web atau dalam bentuk "Serah fail yang mencurigakan»fail dokumen yang disulitkan.
- Tunggu maklum balas daripada pekerja Dr.Web dan kemudian ikut arahannya.

Apa yang TIDAK boleh dilakukan:
- tukar sambungan fail yang disulitkan; Jika tidak, dengan kunci yang dipilih dengan baik, utiliti itu tidak akan "melihat" fail yang perlu dinyahsulitkan.
- gunakan sendiri tanpa berunding dengan pakar sebarang program untuk menyahsulit / memulihkan data.

Perhatian, mempunyai pelayan bebas daripada tugas lain, saya menawarkan perkhidmatan percuma saya untuk menyahsulit data ANDA. Teras pelayan i7-3770K dengan overclocking kepada *frekuensi tertentu*, 16GB RAM dan SSD Vertex 4.
Untuk semua pengguna aktif"habra" penggunaan sumber saya akan PERCUMA!!!
Tulis kepada saya dalam kenalan peribadi atau kenalan lain. Saya sudah "makan anjing" mengenai perkara ini. Oleh itu, saya tidak terlalu malas untuk meletakkan pelayan untuk penyahsulitan pada waktu malam.
Virus ini adalah "malapetaka" kemodenan, dan mengambil "rampasan" daripada rakan tentera adalah tidak berperikemanusiaan. Walaupun, jika seseorang "membuang" beberapa dolar ke dalam akaun Yandex.money saya 410011278501419 - saya tidak keberatan. Tetapi ini tidak perlu sama sekali. Kenalan. Saya memproses permintaan pada masa lapang saya.

Petunjuk baru!

Bermula dari 12/08/2013, virus baru dari siri Trojan.Encoder yang sama mula merebak di bawah klasifikasi Doctor Web - Trojan.Encoder.263, tetapi dengan penyulitan RSA. Jenis ini setakat hari ini (20/12/2013) tidak dapat ditafsirkan, kerana ia menggunakan kaedah penyulitan yang sangat kuat.

Kepada sesiapa yang terjejas oleh virus ini, saya mengesyorkan:
1. Menggunakan terbina dalam carian tingkap cari semua fail yang mengandungi sambungan .perfect, salin ke media luaran.
2. Salin fail yang sama CONTACT.txt
3. Letakkan media luaran ini di atas rak.
4. Tunggu sehingga utiliti penyahkod muncul.

Apa yang TIDAK boleh dilakukan:
Anda tidak perlu berurusan dengan penipu. Ini mengarut. Dalam lebih daripada 50% kes, selepas "pembayaran" kira-kira 5000 rubel, anda tidak akan menerima APA-APA. Tiada wang, tiada dekoder.
Dalam keadilan, perlu diperhatikan bahawa terdapat "orang yang bertuah" di Internet yang, untuk "rompakan", menerima semula fail mereka dengan menyahsulit. Tetapi jangan percaya orang-orang ini. Jika saya seorang penulis virus, perkara pertama yang saya akan lakukan ialah menyebarkan maklumat seperti "Saya membayar dan mereka menghantar saya penyahsulit!!!".
Di sebalik "yang bertuah" ini mungkin masih ada penyerang yang sama.

Baiklah... mari kita ucapkan selamat maju jaya kepada syarikat anti-virus lain dalam mencipta utiliti untuk menyahsulit fail selepas virus kumpulan Trojan.Encoder.

Terima kasih khas untuk kerja yang dilakukan pada penciptaan utiliti penyahkod kepada rakan v.martyanov dari forum Web Doktor.