ialah program berniat jahat yang, apabila diaktifkan, menyulitkan segala-galanya fail peribadi, seperti dokumen, gambar, dsb. Kuantiti program yang serupa sangat besar dan ia meningkat setiap hari. Hanya di Kebelakangan ini Kami menemui berdozen varian ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, dsb. Matlamat virus penyulitan sedemikian adalah untuk memaksa pengguna membeli, selalunya dengan jumlah wang yang besar, program dan kunci yang diperlukan untuk penyahsulitan fail sendiri.

Sudah tentu, anda boleh memulihkan fail yang disulitkan hanya dengan mengikuti arahan yang ditinggalkan oleh pencipta virus pada komputer yang dijangkiti. Tetapi selalunya, kos penyahsulitan adalah sangat penting, dan anda juga perlu tahu bahawa sesetengah virus ransomware menyulitkan fail dengan cara yang mustahil untuk menyahsulitnya kemudian. Dan sudah tentu, ia hanya menjengkelkan untuk membayar untuk memulihkan fail anda sendiri.

Di bawah ini kita akan bercakap dengan lebih terperinci tentang virus penyulitan, cara ia menembusi komputer mangsa, serta cara mengalih keluar virus penyulitan dan memulihkan fail yang disulitkan olehnya.

Bagaimanakah virus ransomware menembusi komputer?

Virus ransomware biasanya disebarkan melalui e-mel. Surat itu mengandungi dokumen yang dijangkiti. Surat sedemikian dihantar kepada pangkalan data yang besar alamat e-mel. Pengarang virus ini menggunakan pengepala dan kandungan surat yang mengelirukan, cuba menipu pengguna untuk membuka dokumen yang dilampirkan pada surat itu. Sesetengah surat memaklumkan tentang keperluan untuk membayar bil, yang lain menawarkan untuk melihat senarai harga terkini, yang lain menawarkan untuk membuka foto lucu, dsb. Walau apa pun, membuka fail yang dilampirkan akan mengakibatkan komputer anda dijangkiti virus ransomware.

Apakah virus ransomware?

Virus ransomware ialah program berniat jahat yang menjangkiti versi moden sistem operasi Keluarga Windows, seperti Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Virus ini cuba menggunakan mod penyulitan yang paling kuat, contohnya RSA-2048 dengan panjang kunci 2048 bit, yang secara praktikal menghapuskan kemungkinan memilih kunci untuk menyahsulit fail sendiri.

Apabila menjangkiti komputer, virus ransomware menggunakan direktori sistem%APPDATA% untuk menyimpan fail anda sendiri. Untuk permulaan automatik sendiri apabila anda menghidupkan komputer, perisian tebusan mencipta entri masuk Windows registry: bahagian HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion.

Sejurus selepas dilancarkan, virus mengimbas semua pemacu yang tersedia, termasuk rangkaian dan penyimpanan awan, untuk menentukan fail mana yang akan disulitkan. Virus ransomware menggunakan sambungan nama fail sebagai cara untuk mengenal pasti kumpulan fail yang akan disulitkan. Hampir semua jenis fail disulitkan, termasuk yang biasa seperti:

0, .1, .1, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, dompet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Sejurus selepas fail disulitkan, ia menerima sambungan baharu, yang selalunya boleh digunakan untuk mengenal pasti nama atau jenis perisian tebusan. Sesetengah jenis perisian hasad ini juga boleh menukar nama fail yang disulitkan. Virus kemudian mencipta dokumen teks dengan nama seperti HELP_YOUR_FILES, README, yang mengandungi arahan untuk menyahsulit fail yang disulitkan.

Semasa operasinya, virus penyulitan cuba menyekat keupayaan untuk memulihkan fail menggunakan sistem SVC (salinan bayangan fail). Untuk tujuan ini, virus mod arahan memanggil utiliti pentadbiran salinan bayangan fail dengan kunci yang memulakan prosedur untuk penyingkiran lengkapnya. Oleh itu, hampir selalu mustahil untuk memulihkan fail dengan menggunakan salinan bayangan mereka.

Virus ransomware secara aktif menggunakan taktik intimidasi dengan memberi mangsa pautan kepada penerangan algoritma penyulitan dan memaparkan mesej mengancam pada Desktop. Dengan cara ini, dia cuba memaksa pengguna komputer yang dijangkiti, tanpa teragak-agak, menghantar ID komputer ke alamat e-mel pengarang virus untuk cuba mendapatkan semula failnya. Respons kepada mesej sedemikian selalunya ialah jumlah tebusan dan alamat e-dompet.

Adakah komputer saya dijangkiti virus ransomware?

Ia agak mudah untuk menentukan sama ada komputer dijangkiti virus penyulitan atau tidak. Beri perhatian kepada sambungan fail peribadi anda, seperti dokumen, foto, muzik, dsb. Jika sambungan telah berubah atau fail peribadi anda telah hilang, meninggalkan banyak fail dengan nama yang tidak diketahui, maka komputer anda dijangkiti. Selain itu, tanda jangkitan ialah kehadiran fail bernama HELP_YOUR_FILES atau README dalam direktori anda. Fail ini akan mengandungi arahan untuk menyahsulit fail.

Jika anda mengesyaki bahawa anda telah membuka e-mel yang dijangkiti virus ransomware, tetapi tiada gejala jangkitan lagi, maka jangan matikan atau mulakan semula komputer anda. Ikuti langkah yang diterangkan dalam manual ini, bahagian. Saya ulangi sekali lagi, adalah sangat penting untuk tidak mematikan komputer; dalam beberapa jenis perisian tebusan, proses penyulitan fail diaktifkan pada kali pertama anda menghidupkan komputer selepas jangkitan!

Bagaimana untuk menyahsulit fail yang disulitkan dengan virus ransomware?

Jika bencana ini berlaku, maka tidak perlu panik! Tetapi anda perlu tahu bahawa dalam kebanyakan kes tidak ada penyahsulit percuma. Ini disebabkan oleh algoritma penyulitan yang kuat yang digunakan oleh perisian hasad tersebut. Ini bermakna tanpa kunci peribadi, hampir mustahil untuk menyahsulit fail. Menggunakan kaedah pemilihan kunci juga bukan pilihan, kerana panjang kunci yang besar. Oleh itu, malangnya, hanya membayar pengarang virus jumlah keseluruhan yang diminta adalah satu-satunya cara untuk cuba mendapatkan kunci penyahsulitan.

Sudah tentu, tidak ada jaminan bahawa selepas pembayaran, pengarang virus akan menghubungi anda dan memberikan kunci yang diperlukan untuk menyahsulit fail anda. Di samping itu, anda perlu memahami bahawa dengan membayar wang kepada pembangun virus, anda sendiri menggalakkan mereka mencipta virus baharu.

Bagaimana untuk membuang virus ransomware?

Sebelum anda memulakan, anda perlu tahu bahawa dengan mula membuang virus dan cuba memulihkan fail sendiri, anda menyekat keupayaan untuk menyahsulit fail dengan membayar pengarang virus jumlah yang mereka minta.

Virus Kaspersky Alat Penyingkiran Dan Malwarebytes Anti-perisian hasad boleh mengesan jenis yang berbeza virus ransomware aktif dan akan mengeluarkannya dengan mudah daripada komputer anda, TETAPI mereka tidak boleh memulihkan fail yang disulitkan.

5.1. Alih keluar perisian tebusan menggunakan Alat Pembuangan Virus Kaspersky

Secara lalai, program ini dikonfigurasikan untuk memulihkan semua jenis fail, tetapi untuk mempercepatkan kerja, adalah disyorkan untuk meninggalkan hanya jenis fail yang anda perlukan untuk pulih. Apabila anda telah melengkapkan pilihan anda, klik OK.

Di bahagian bawah tetingkap program QPhotoRec, cari butang Semak Imbas dan klik padanya. Anda perlu memilih direktori tempat fail yang dipulihkan akan disimpan. Adalah dinasihatkan untuk menggunakan cakera yang tidak mengandungi fail yang disulitkan yang memerlukan pemulihan (anda boleh menggunakan pemacu kilat atau pemacu luaran).

Untuk memulakan prosedur mencari dan memulihkan salinan asal fail yang disulitkan, klik butang Cari. Proses ini mengambil masa yang agak lama, jadi bersabarlah.

Apabila carian selesai, klik butang Keluar. Sekarang buka folder yang telah anda pilih untuk menyimpan fail yang dipulihkan.

Folder akan mengandungi direktori bernama recup_dir.1, recup_dir.2, recup_dir.3, dsb. Lebih banyak fail yang ditemui oleh program, lebih banyak direktori akan ada. Untuk mencari fail yang anda perlukan, semak semua direktori satu demi satu. Untuk memudahkan mencari fail yang anda perlukan di kalangan sebilangan besar fail yang dipulihkan, gunakan sistem terbina dalam Carian Windows(mengikut kandungan fail), dan juga jangan lupa tentang fungsi menyusun fail dalam direktori. Anda boleh memilih tarikh fail diubah suai sebagai pilihan isihan, memandangkan QPhotoRec cuba memulihkan sifat ini apabila memulihkan fail.

Bagaimana untuk menghalang virus ransomware daripada menjangkiti komputer anda?

Kebanyakan program anti-virus moden sudah mempunyai sistem perlindungan terbina dalam terhadap penembusan dan pengaktifan virus penyulitan. Oleh itu, jika anda tidak mempunyai program antivirus pada komputer anda, pastikan anda memasangnya. Anda boleh mengetahui cara memilihnya dengan membaca ini.

Selain itu, terdapat program perlindungan khusus. Contohnya, ini CryptoPrevent, butiran lanjut.

Beberapa perkataan terakhir

Dengan mengikuti arahan ini, komputer anda akan dibersihkan daripada virus ransomware. Jika anda mempunyai sebarang pertanyaan atau memerlukan bantuan, sila hubungi kami.

Penggodam perisian tebusan sangat serupa dengan pemeras ugut biasa. Baik di dunia nyata mahupun di persekitaran siber, terdapat sasaran serangan tunggal atau kumpulan. Ia sama ada dicuri atau dibuat tidak boleh diakses. Seterusnya, penjenayah menggunakan cara komunikasi tertentu dengan mangsa untuk menyampaikan tuntutan mereka. Penipu komputer biasanya memilih hanya beberapa format untuk surat tebusan, tetapi salinannya boleh didapati di hampir mana-mana lokasi memori. sistem yang dijangkiti. Dalam kes keluarga perisian pengintip yang dikenali sebagai Troldesh atau Shade, penipu mengambil pendekatan khas apabila menghubungi mangsa.

Mari kita lihat lebih dekat pada jenis virus ransomware ini, yang ditujukan kepada penonton berbahasa Rusia. Kebanyakan jangkitan serupa mengesan susun atur papan kekunci pada PC yang diserang, dan jika salah satu bahasa adalah bahasa Rusia, pencerobohan berhenti. Walau bagaimanapun, virus ransomware XTBL tidak dapat ditafsirkan: malangnya bagi pengguna, serangan berlaku tanpa mengira lokasi geografi dan pilihan bahasa mereka. Penjelmaan jelas kepelbagaian ini ialah amaran yang muncul di latar belakang desktop, serta fail TXT dengan arahan untuk membayar tebusan.

Virus XTBL biasanya disebarkan melalui spam. Mesej tersebut menyerupai surat daripada jenama terkenal, atau hanya menarik perhatian kerana baris subjek menggunakan ungkapan seperti "Urgent!" atau "Dokumen Kewangan Penting." Helah pancingan data akan berfungsi apabila penerima e-mel tersebut. mesej akan memuat turun fail ZIP yang mengandungi kod JavaScript atau objek Docm yang mengandungi makro yang berpotensi terdedah.

Setelah selesai algoritma asas pada PC yang terjejas, Trojan ransomware meneruskan untuk mencari data yang mungkin bernilai kepada pengguna. Untuk tujuan ini, virus mengimbas memori tempatan dan luaran, pada masa yang sama memadankan setiap fail dengan set format yang dipilih berdasarkan sambungan objek. Semua fail .jpg, .wav, .doc, .xls, serta banyak objek lain, disulitkan menggunakan algoritma kripto blok simetri AES-256.

Terdapat dua aspek untuk kesan berbahaya ini. Pertama sekali, pengguna kehilangan akses kepada data penting. Selain itu, nama fail dikodkan secara mendalam, menghasilkan rentetan aksara heksadesimal yang tidak bermakna. Apa-apa sahaja nama fail yang terlibat mempunyai persamaan adalah sesuatu yang ditambahkan pada mereka sambungan xtbl, iaitu nama ancaman siber. Nama fail yang disulitkan kadangkala mempunyai format khas. Dalam beberapa versi Troldesh, nama objek yang disulitkan mungkin kekal tidak berubah dan kod unik ditambahkan pada penghujungnya: [e-mel dilindungi], [e-mel dilindungi], atau [e-mel dilindungi].

Jelas sekali, penyerang, telah memperkenalkan alamat e-mel. mel terus ke dalam nama fail, menunjukkan kepada mangsa kaedah komunikasi. E-mel itu juga disenaraikan di tempat lain, iaitu dalam surat tebusan yang terkandung dalam fail "Readme.txt". Dokumen Notepad sedemikian akan muncul pada Desktop, serta dalam semua folder dengan data yang disulitkan. Mesej utama ialah:

“Semua fail telah disulitkan. Untuk menyahsulitnya, anda perlu menghantar kod: [Sifir unik anda] kepada alamat emel [e-mel dilindungi] atau [e-mel dilindungi]. Seterusnya anda akan menerima semua arahan yang diperlukan. Percubaan untuk menyahsulit sendiri tidak akan membawa kepada apa-apa selain kehilangan maklumat yang tidak dapat dipulihkan."

Alamat e-mel mungkin berubah bergantung pada kumpulan pemerasan yang menyebarkan virus.

Bagi perkembangan selanjutnya: secara umum, penipu bertindak balas dengan cadangan untuk memindahkan wang tebusan, yang boleh berupa 3 bitcoin, atau jumlah lain dalam julat ini. Sila ambil perhatian bahawa tiada siapa yang boleh menjamin bahawa penggodam akan memenuhi janji mereka walaupun selepas menerima wang. Untuk memulihkan akses kepada fail .xtbl, pengguna yang terjejas disyorkan untuk mencuba semua kaedah alternatif yang tersedia dahulu. Dalam sesetengah kes, data boleh disusun menggunakan perkhidmatan tersebut penyalinan bayangan volum (Volume Shadow Copy), disediakan secara langsung dalam OS Windows, serta program penyahsulitan dan pemulihan data daripada pembangun perisian bebas.

Alih keluar perisian tebusan XTBL menggunakan pembersih automatik

Kaedah yang sangat berkesan untuk bekerja dengan perisian hasad secara umum dan perisian tebusan khususnya. Penggunaan kompleks perlindungan yang terbukti menjamin pengesanan menyeluruh mana-mana komponen virus, mereka penyingkiran lengkap dengan satu klik. Catatan, kita bercakap tentang lebih kurang dua proses yang berbeza: Nyahpasang jangkitan dan pulihkan fail pada PC anda. Walau bagaimanapun, ancaman pastinya perlu dikeluarkan, kerana terdapat maklumat mengenai pengenalan yang lain trojan komputer dengan bantuannya.

1. . Selepas memulakan perisian, klik butang Mulakan Imbasan Komputer(Mulakan imbasan).
2. Perisian yang dipasang akan memberikan laporan tentang ancaman yang dikesan semasa pengimbasan. Untuk mengalih keluar semua ancaman yang dikesan, pilih pilihan Betulkan Ancaman(Hapuskan ancaman). Malware yang berkenaan akan dialih keluar sepenuhnya.

Pulihkan akses kepada fail yang disulitkan dengan sambungan .xtbl

Seperti yang dinyatakan, perisian tebusan XTBL mengunci fail menggunakan algoritma penyulitan yang kuat, supaya data yang disulitkan tidak dapat dipulihkan dengan gelombang tongkat ajaib - kurang daripada membayar jumlah wang tebusan yang tidak pernah didengari. Tetapi beberapa kaedah benar-benar boleh menjadi penyelamat yang akan membantu anda memulihkan data penting. Di bawah ini anda boleh membiasakan diri dengan mereka.

Decryptor – program pemulihan fail automatik

Satu keadaan yang sangat luar biasa diketahui. Jangkitan ini memadamkan fail asal dalam bentuk yang tidak disulitkan. Proses penyulitan untuk tujuan pemerasan dengan itu menyasarkan salinannya. Ini memberi peluang kepada mereka perisian bagaimana untuk memulihkan objek yang dipadam, walaupun kebolehpercayaan penyingkirannya dijamin. Adalah sangat disyorkan untuk menggunakan prosedur pemulihan fail, keberkesanannya telah disahkan lebih daripada sekali.

Salinan bayang jilid

Pendekatan adalah berdasarkan Prosedur Windows sandaran fail, yang diulang pada setiap titik pemulihan. Syarat penting untuk kaedah ini berfungsi: fungsi "Pemulihan Sistem" mesti diaktifkan sebelum jangkitan. Walau bagaimanapun, sebarang perubahan pada fail yang dibuat selepas titik pemulihan tidak akan muncul dalam versi fail yang dipulihkan.

Sandaran

Ini adalah yang terbaik di antara semua kaedah bukan tebusan. Jika prosedur untuk menyandarkan data ke pelayan luaran digunakan sebelum serangan perisian tebusan pada komputer anda, untuk memulihkan fail yang disulitkan, anda hanya perlu memasukkan antara muka yang sesuai, pilih fail yang diperlukan dan mulakan mekanisme pemulihan data daripada sandaran. Sebelum menjalankan operasi, anda mesti memastikan perisian tebusan telah dialih keluar sepenuhnya.

Semak kemungkinan kehadiran komponen sisa virus ransomware XTBL

Membersih dalam mod manual penuh dengan peninggalan serpihan individu ransomware yang boleh mengelakkan penyingkiran dalam bentuk objek sistem pengendalian tersembunyi atau elemen pendaftaran. Untuk menghapuskan risiko pengekalan separa unsur hasad individu, imbas komputer anda menggunakan suite anti-virus universal yang boleh dipercayai.

Baru-baru ini, virus yang paling berbahaya ialah Trojan penyulitan fail, yang dikenali sebagai Trojan-Ransom.Win32.Rector, yang menyulitkan semua fail anda (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, dsb.). Masalahnya ialah menyahsulit fail sedemikian amat sukar, dan tanpa pengetahuan dan kemahiran tertentu ia adalah mustahil.

Proses jangkitan berlaku dengan cara yang licik. E-mel tiba dengan fail yang dilampirkan jenis "document. pdf .exe " Apabila fail ini dibuka, dan sebenarnya apabila ia dilancarkan, virus mula berfungsi dan menyulitkan fail. Jika anda menemui kesan fail ini, tetapi terus bekerja pada komputer ini, maka ia menyulitkan lebih banyak lagi Kuantiti yang besar fail. Sambungan seperti "Alamat e-mel ini dilindungi daripada bot spam, anda mesti mendayakan Javascript untuk melihatnya" ditambahkan pada fail yang disulitkan (penamaan mungkin berbeza-beza), dan Internet atau fail teks menaip“EXPAND_FILES.html” di mana penyerang menerangkan cara mendapatkan wang daripada anda untuk kerja kotor mereka. Berikut ialah teks fail sebenar daripada komputer pelanggan saya yang dijangkiti:

Semua dokumen anda telah disulitkan dengan salah satu algoritma penyulitan terkuat. Adalah mustahil untuk menyahsulit fail tanpa mengetahui kata laluan unik untuk PC anda! Jangan tukar nama atau struktur fail dan jangan cuba menyahsulit fail menggunakan pelbagai penyahsulit yang disiarkan di Internet; tindakan ini mungkin menjadikannya mustahil untuk memulihkan fail anda. Jika anda perlu memastikan bahawa fail anda boleh dinyahsulit, anda boleh menghantar e-mel kepada kami - Alamat e-mel ini dilindungi daripada spambots. Untuk melihatnya, anda mesti mendayakan Javascript untuk mana-mana satu fail dan kami akan mengembalikan asalnya versi. Kos penyahsulit untuk menyahsulit fail anda ialah 0.25 BTC (Bitcoin)Anda Dompet Bitcoin untuk pembayaran - 1AXJ4eRhAxgjRh6Gdaej4yPGgKt1DnZwGF Anda boleh mencari tempat untuk membeli bitcoin di forum - https://forum.btcsec.com/index.php?/forum/35-obmenniki/ Kami mengesyorkan penukar seperti https://wmglobus.com/, https:// orangeexchangepro.com /Ia juga mungkin untuk membayar 3,500 rubel kepada dompet qiwi, untuk mendapatkan nombor dompet yang anda perlukan untuk menghubungi kami melalui e-mel - Alamat e-mel ini dilindungi daripada spambots. Anda memerlukan JavaScript untuk melihatnya

Sebelum ini, satu-satunya keselamatan daripada virus ini ialah memadam semua fail yang dijangkiti dan memulihkannya daripada sandaran yang disimpan pada pemacu luaran atau pemacu kilat. Walau bagaimanapun, memandangkan beberapa orang membuat salinan sandaran, lebih kurang mengemas kininya dengan kerap, maklumat itu hilang begitu saja. Sebilangan besar pilihan untuk membayar perisian tebusan untuk menyahsulit fail anda berakhir dengan kerugian wang dan hanyalah satu penipuan.

Kini makmal antivirus sedang membangunkan kaedah dan program untuk menghapuskan virus ini. Kaspersky Lab telah membangunkan utiliti, RectorDecryptor, yang membolehkan anda menyahsulit fail yang dijangkiti. Dari pautan ini anda boleh memuat turun program RectorDecryptor. Kemudian anda perlu melancarkannya, klik butang "Mulakan imbasan", pilih fail yang disulitkan, selepas itu program akan secara automatik menyahsulit semua fail yang disulitkan jenis ini. Fail dipulihkan dalam folder yang sama dengan fail yang disulitkan. Selepas ini, anda perlu memadam fail yang disulitkan. Cara paling mudah untuk melakukan ini adalah dengan arahan berikut, ditaip baris arahan: del "d:\*.AES256" /f /s (di mana AES256 sepatutnya menjadi sambungan virus anda). Ia juga perlu memadamkan fail e-mel penyerang yang bertaburan di seluruh komputer. Anda boleh melakukan ini dengan arahan berikut: del"d:\ EXTEND_FILES.html " /f /s ditaip pada baris arahan.

Anda mesti terlebih dahulu melindungi komputer anda daripada kemungkinan menyebarkan virus. Untuk melakukan ini, anda perlu mengosongkan fail permulaan yang mencurigakan dari permulaan, menyahpasang program yang mencurigakan, mengosongkan folder sementara dan cache penyemak imbas (anda boleh menggunakan utiliti CCleaner untuk ini ).

Walau bagaimanapun, perlu diingatkan bahawa kaedah ini penyahsulitan hanya boleh membantu mereka yang virusnya telah diproses oleh Kaspersky Lab dan dimasukkan ke dalam senarai dalam utiliti RectorDecryptor. Jika ini virus baharu, belum termasuk dalam senarai virus yang dinetralkan, maka anda perlu menghantar fail anda yang dijangkiti untuk penyahsulitan ke Kaspersky Labs, Dr .Web , atau Angguk 32 atau pulihkannya daripada sandaran (yang lebih mudah).

Jika tindakan untuk meneutralkan virus anda dan merawat komputer anda menimbulkan kesukaran tertentu, maka untuk tidak menyebabkan lebih banyak bahaya atau memusnahkan sistem operasi, (yang boleh membawa kepada pemasangan semula lengkap Windows ), adalah lebih baik untuk menghubungi pakar yang akan melakukan ini secara profesional. Maksud moden membenarkan semua tindakan ini dijalankan dari jauh pada bila-bila masa glob di mana terdapat sambungan Internet.

Penyulit (cryptolockers) bermaksud keluarga program berniat jahat yang, menggunakan pelbagai algoritma penyulitan, menyekat akses pengguna kepada fail pada komputer (dikenali, sebagai contoh, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, dll.).

Biasanya virus menyulitkan jenis popular fail pengguna: dokumentasi, hamparan, pangkalan data 1C, sebarang susunan data, gambar, dsb. Penyahsulitan fail ditawarkan untuk wang - pencipta memerlukan anda untuk memindahkan jumlah tertentu, biasanya dalam Bitcoin. Dan jika organisasi tidak mengambil langkah yang sewajarnya untuk memastikan keselamatan maklumat penting, memindahkan jumlah yang diperlukan kepada penyerang boleh menjadi satu-satunya cara memulihkan fungsi syarikat.

Dalam kebanyakan kes, virus merebak melalui emel menyamar sebagai agak surat biasa: pemberitahuan daripada pejabat cukai, akta dan perjanjian, maklumat tentang pembelian, dll. Dengan memuat turun dan membuka fail sedemikian, pengguna, tanpa menyedarinya, bermula kod berniat jahat. Virus ini secara berurutan menyulitkan fail yang diperlukan, dan juga memadamkan salinan asal menggunakan kaedah pemusnahan yang dijamin (supaya pengguna tidak dapat memulihkan fail yang dipadam baru-baru ini menggunakan alat khas).

Perisian tebusan moden

Penyulit dan virus lain yang menyekat akses pengguna kepada data tidak masalah baru dalam keselamatan maklumat. Versi pertama muncul pada tahun 90-an, tetapi kebanyakannya menggunakan sama ada "lemah" (algoritma tidak stabil, saiz kunci kecil) atau penyulitan simetri (fail daripada sejumlah besar mangsa disulitkan dengan satu kunci; ia juga mungkin untuk memulihkan kunci dengan mengkaji kod virus ), atau bahkan menghasilkan algoritma mereka sendiri. Salinan moden bebas daripada kekurangan tersebut; penyerang menggunakan penyulitan hibrid: menggunakan algoritma simetri, kandungan fail disulitkan dengan sangat tinggi kelajuan tinggi, dan kunci penyulitan disulitkan dengan algoritma asimetri. Ini bermakna untuk menyahsulit fail anda memerlukan kunci yang hanya dimiliki oleh penyerang, dalam kod sumber Saya tidak dapat mencari program itu. Sebagai contoh, CryptoLocker menggunakan Algoritma RSA dengan panjang kunci 2048 bit dalam kombinasi dengan algoritma AES simetri dengan panjang kunci 256 bit. Algoritma ini pada masa ini diiktiraf sebagai tahan kripto.

Komputer dijangkiti virus. Apa nak buat?

Perlu diingat bahawa walaupun virus ransomware digunakan algoritma moden penyulitan, tetapi mereka tidak dapat menyulitkan semua fail pada komputer dengan serta-merta. Penyulitan berlaku secara berurutan, kelajuan bergantung pada saiz fail yang disulitkan. Oleh itu, jika anda mendapati semasa bekerja bahawa fail dan program biasa anda tidak lagi dibuka dengan betul, anda harus segera berhenti bekerja pada komputer dan mematikannya. Dengan cara ini anda boleh melindungi beberapa fail daripada penyulitan.

Sebaik sahaja anda menghadapi masalah, perkara pertama yang perlu anda lakukan ialah menyingkirkan virus itu sendiri. Kami tidak akan membincangkan perkara ini secara terperinci; cukup untuk cuba menyembuhkan komputer anda menggunakan program anti-virus atau mengeluarkan virus secara manual. Perlu diingat bahawa virus itu sering memusnahkan sendiri selepas algoritma penyulitan selesai, sekali gus menyukarkan untuk menyahsulit fail tanpa meminta bantuan penyerang. Dalam kes ini program antivirus mungkin tidak menemui apa-apa.

Persoalan utama ialah bagaimana untuk memulihkan data yang disulitkan? Malangnya, memulihkan fail selepas virus ransomware hampir mustahil. Oleh sekurang-kurangnya, jaminan pemulihan penuh Sekiranya jangkitan berjaya, tiada siapa yang akan mempunyai sebarang data. Banyak pengeluar antivirus menawarkan bantuan mereka dalam menyahsulit fail. Untuk melakukan ini, anda perlu menghantar fail yang disulitkan dan Maklumat tambahan(failkan dengan kenalan penyerang, kunci awam) melalui borang khas yang disiarkan di tapak web pengeluar. Terdapat kemungkinan kecil bahawa cara untuk melawan virus tertentu telah ditemui dan fail anda akan berjaya dinyahsulit.

Cuba gunakan utiliti pemulihan fail yang dipadamkan. Ada kemungkinan virus itu tidak menggunakan kaedah pemusnahan yang dijamin dan beberapa fail boleh dipulihkan (ini terutamanya boleh berfungsi dengan fail saiz besar, sebagai contoh, dengan fail beberapa puluh gigabait). Terdapat juga peluang untuk memulihkan fail daripada salinan bayangan. Apabila menggunakan fungsi pemulihan sistem Windows mencipta syot kilat yang mungkin mengandungi data fail untuk tempoh penciptaan titik pemulihan.

Jika data anda telah disulitkan dalam perkhidmatan awan, hubungi sokongan teknikal atau terokai keupayaan perkhidmatan yang anda gunakan: dalam kebanyakan kes, perkhidmatan menyediakan fungsi "putar balik" untuk versi sebelumnya fail supaya ia boleh dipulihkan.

Perkara yang sangat kami tidak syorkan ialah mengikut petunjuk perisian tebusan dan membayar untuk penyahsulitan. Terdapat kes apabila orang memberi wang dan tidak menerima kunci. Tiada siapa yang menjamin bahawa penyerang, setelah menerima wang, sebenarnya akan menghantar kunci penyulitan dan anda akan dapat memulihkan fail.

Bagaimana untuk melindungi diri anda daripada virus ransomware. Langkah-langkah pencegahan

Cegah akibat berbahaya lebih mudah daripada membetulkannya:

• Gunakan yang boleh dipercayai ejen antivirus dan kemas kini dengan kerap pangkalan data antivirus. Kedengarannya remeh, tetapi ini akan mengurangkan dengan ketara kemungkinan virus berjaya menyuntik dirinya ke dalam komputer anda.
• Simpan salinan sandaran data anda.

Ini sebaiknya dilakukan menggunakan alat sandaran khusus. Kebanyakan cryptolockers juga boleh menyulitkan salinan sandaran, jadi masuk akal untuk menyimpan salinan sandaran pada komputer lain (contohnya, pada pelayan) atau pada media asing.

Hadkan hak untuk menukar fail dalam folder sandaran, hanya membenarkan penulisan tambahan. Sebagai tambahan kepada akibat perisian tebusan, sistem sandaran meneutralkan banyak ancaman lain yang berkaitan dengan kehilangan data. Penyebaran virus itu sekali lagi menunjukkan kaitan dan kepentingan menggunakan sistem sedemikian. Memulihkan data adalah lebih mudah daripada menyahsulitnya!

• Hadkan persekitaran perisian dalam domain.

Satu lagi cara yang berkesan perjuangan adalah had pada pelancaran beberapa berpotensi jenis berbahaya fail, contohnya, dengan sambungan .js, .cmd, .bat, .vba, .ps1, dll. Ini boleh dilakukan menggunakan alat AppLocker (dalam edisi Perusahaan) atau dasar SRP secara berpusat dalam domain. Terdapat panduan yang agak terperinci dalam talian tentang cara melakukan ini. Dalam kebanyakan kes, pengguna tidak perlu menggunakan fail skrip yang disenaraikan di atas, dan perisian tebusan akan mempunyai peluang yang lebih kecil untuk berjaya menyusup.

• Hati-hati.

Kesedaran adalah salah satu kaedah paling berkesan untuk mencegah ancaman. Bersikap curiga terhadap setiap surat yang anda terima daripada orang yang tidak dikenali. Jangan tergesa-gesa untuk membuka semua lampiran; jika ragu-ragu, lebih baik menghubungi pentadbir dengan soalan.

Alexander Vlasov, jurutera kanan jabatan pelaksanaan sistem keselamatan maklumat di SKB Kontur

Jika sistem dijangkiti perisian hasad keluarga Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl atau Trojan-Ransom.Win32.CryptXXX, maka semua fail pada komputer akan disulitkan seperti berikut:

• Apabila dijangkiti Trojan-Ransom.Win32.Rannoh nama dan sambungan akan berubah mengikut templat terkunci-<оригинальное_имя>.<4 произвольных буквы> .
• Apabila dijangkiti Trojan-Ransom.Win32.Cryakl label ditambahkan pada penghujung kandungan fail (CRYPTENDBLACKDC) .
• Apabila dijangkiti Trojan-Ransom.Win32.AutoIt perubahan sambungan mengikut templat <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Sebagai contoh, [e-mel dilindungi] _.RZWDTDIC.
• Apabila dijangkiti Trojan-Ransom.Win32.CryptXXX perubahan sambungan mengikut templat <оригинальное_имя>.crypt,<оригинальное_имя>. cryptz Dan <оригинальное_имя>. cryp1.

Utiliti RannohDecryptor direka untuk menyahsulit fail selepas jangkitan Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl atau Trojan-Ransom.Win32.CryptXXX versi 1 , 2 Dan 3 .

Bagaimana untuk menyembuhkan sistem

Untuk menyembuhkan sistem yang dijangkiti:

1. Muat turun fail RannohDecryptor.zip.
2. Jalankan RannohDecryptor.exe pada mesin yang dijangkiti.
3. Dalam tetingkap utama, klik Mula menyemak.

1. Tentukan laluan ke fail yang disulitkan dan tidak disulitkan.
   Jika fail disulitkan Trojan-Ransom.Win32.CryptXXX, tentukan fail terbesar. Penyahsulitan hanya akan tersedia untuk fail dengan saiz yang sama atau lebih kecil.
2. Tunggu sehingga akhir carian dan penyahsulitan fail yang disulitkan.
3. Mulakan semula komputer anda jika perlu.
4. Untuk memadam salinan fail yang disulitkan seperti terkunci-<оригинальное_имя>.<4 произвольных буквы> Selepas penyahsulitan berjaya, pilih .

Jika fail itu disulitkan Trojan-Ransom.Win32.Cryakl, maka utiliti akan menyimpan fail di lokasi lama dengan sambungan .decryptedKLR.original_extension. Jika anda telah memilih Padam fail yang disulitkan selepas penyahsulitan berjaya, maka fail yang dinyahsulit akan disimpan oleh utiliti dengan nama asal.

1. Secara lalai, utiliti mengeluarkan laporan kerja ke akar cakera sistem (cakera di mana OS dipasang).

   Nama laporan adalah seperti berikut: UtilityName.Version_Date_Time_log.txt

   Sebagai contoh, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Dalam sistem yang dijangkiti Trojan-Ransom.Win32.CryptXXX, utiliti mengimbas bilangan format fail yang terhad. Jika pengguna memilih fail yang terjejas oleh CryptXXX v2, ia mungkin mengambil masa untuk memulihkan kunci masa yang lama. Dalam kes ini, utiliti memaparkan amaran.