Jinsi ya kurejesha faili baada ya virusi vya wanna ransomware. Inarejesha faili baada ya Trojan ya ransomware. Programu ya kuzuia maambukizi ya virusi vya kompyuta binafsi

Takriban wiki moja au mbili zilizopita, utapeli mwingine kutoka kwa watunga virusi vya kisasa ulionekana kwenye mtandao, ambao husimba faili zote za mtumiaji. Kwa mara nyingine tena nitazingatia swali la jinsi ya kuponya kompyuta baada ya virusi vya ransomware imesimbwa kwa njia fiche000007 na kurejesha faili zilizosimbwa. KATIKA kwa kesi hii hakuna jipya au la kipekee limeonekana, ni marekebisho tu ya toleo la awali.

Usimbuaji uliohakikishwa wa faili baada ya virusi vya ukombozi - dr-shifro.ru. Maelezo ya kazi na mpango wa mwingiliano na mteja ni hapa chini katika makala yangu au kwenye tovuti katika sehemu ya "Utaratibu wa Kazi".

Maelezo ya virusi vya CRYPTED000007 ransomware

CRYPTED000007 encryptor kimsingi haina tofauti na watangulizi wake. Inafanya kazi karibu kwa njia sawa. Lakini bado kuna nuances kadhaa ambayo huitofautisha. Nitakuambia juu ya kila kitu kwa utaratibu.

Inafika, kama analogi zake, kwa barua. Mbinu zilizotumika uhandisi wa kijamii ili mtumiaji hakika atapendezwa na barua na kuifungua. Katika kesi yangu, barua hiyo ilizungumza juu ya aina fulani ya mahakama na habari muhimu kuhusu kesi katika kiambatisho. Baada ya kuzindua kiambatisho, mtumiaji hufungua hati ya Neno na dondoo kutoka mahakama ya usuluhishi Moscow.

Sambamba na kufungua hati, usimbaji fiche wa faili huanza. Huanza kujitokeza kila wakati Tangazo kutoka kwa Udhibiti wa Akaunti ya Mtumiaji wa Windows.

Ikiwa unakubaliana na pendekezo, basi chelezo faili kwenye kivuli nakala za Windows itafutwa na urejeshaji wa habari itakuwa ngumu sana. Ni dhahiri kwamba huwezi kukubaliana na pendekezo kwa hali yoyote. KATIKA ransomware hii maombi haya yanajitokeza mara kwa mara, moja baada ya nyingine na usisitishe, na kulazimisha mtumiaji kukubaliana na kufuta nakala za chelezo. Hii ndio tofauti kuu kutoka kwa marekebisho ya hapo awali ya encryptors. Sijawahi kukutana na maombi ya kufuta nakala za kivuli bila kuacha. Kawaida, baada ya matoleo 5-10 waliacha.

Mara moja nitatoa pendekezo kwa siku zijazo. Ni kawaida sana kwa watu kuzima maonyo ya Udhibiti wa Akaunti ya Mtumiaji. Hakuna haja ya kufanya hivi. Utaratibu huu unaweza kweli kusaidia katika kupinga virusi. Ushauri wa pili dhahiri ni kutofanya kazi kila wakati akaunti msimamizi wa kompyuta, isipokuwa kama kuna hitaji la kusudi lake. Katika kesi hiyo, virusi haitakuwa na fursa ya kufanya madhara mengi. Utakuwa na nafasi nzuri ya kumpinga.

Lakini hata kama umejibu vibaya kila mara kwa maombi ya ransomware, data yako yote tayari imesimbwa kwa njia fiche. Baada ya mchakato wa usimbaji kukamilika, utaona picha kwenye eneo-kazi lako.

Wakati huo huo, kutakuwa na faili nyingi za maandishi zilizo na maudhui sawa kwenye eneo-kazi lako.

Faili zako zimesimbwa kwa njia fiche. Ili kusimbua ux, unahitaji kutuma msimbo: 329D54752553ED978F94|0 kwa anwani ya barua pepe. [barua pepe imelindwa]. Ifuatayo, utapokea maagizo yote muhimu. Majaribio ya kuchambua peke yako hayataongoza kwa kitu chochote isipokuwa idadi isiyoweza kubatilishwa ya habari. Ikiwa bado unataka kujaribu, basi fanya nakala za nakala za faili kwanza, vinginevyo, katika tukio la mabadiliko, usimbuaji hautawezekana kwa hali yoyote. Ikiwa haujapokea arifa kwenye anwani iliyo hapo juu ndani ya masaa 48 (katika kesi hii tu!), tumia fomu ya mawasiliano. Hii inaweza kufanywa kwa njia mbili: 1) Pakua na usakinishe Kivinjari cha Tor kupitia kiungo: https://www.torproject.org/download/download-easy.html.en Katika kisanduku cha anwani cha Kivinjari cha Tor, weka anwani: http://cryptsen7fo43rr6.onion/ na ubonyeze Enter. Ukurasa ulio na fomu ya mawasiliano utapakia. 2) Katika kivinjari chochote, nenda kwenye mojawapo ya anwani: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Faili zote muhimu kwenye kompyuta yako zilisimbwa kwa njia fiche. Ili kusimbua faili unafaa kutuma msimbo ufuatao: 329D54752553ED978F94|0 kwa anwani ya barua pepe. [barua pepe imelindwa]. Kisha utapokea maagizo yote muhimu. Majaribio yote ya usimbuaji wako mwenyewe yatasababisha upotezaji usioweza kubatilishwa wa data yako. Ikiwa bado ungependa kujaribu kuzisimbua peke yako, tafadhali weka nakala rudufu mwanzoni kwa sababu usimbuaji hautawezekana endapo kutakuwa na mabadiliko yoyote ndani ya faili. Ikiwa haukupokea jibu kutoka kwa barua pepe iliyotajwa kwa zaidi ya saa 48 (na tu katika kesi hii!), tumia fomu ya maoni. Unaweza ifanye kwa njia mbili: 1) Pakua Kivinjari cha Tor kutoka hapa: https://www.torproject.org/download/download-easy.html.en Isakinishe na uandike anwani ifuatayo kwenye upau wa anwani: http://cryptsen7fo43rr6 .onion/ Bonyeza Enter kisha ukurasa wenye fomu ya maoni utapakiwa. 2) Nenda kwenye mojawapo ya anwani zifuatazo kwenye kivinjari chochote: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Anwani ya barua pepe inaweza kubadilika. Pia nilikutana na anwani zifuatazo:

Anwani zinasasishwa kila mara, ili waweze kuwa tofauti kabisa.

Mara tu unapogundua kuwa faili zako zimesimbwa kwa njia fiche, zima kompyuta yako mara moja. Hii lazima ifanyike ili kukatiza mchakato wa usimbaji fiche kama ilivyo kompyuta ya ndani, na kwenye viendeshi vya mtandao. Virusi vya usimbaji fiche vinaweza kusimba taarifa zote zinazoweza kufikia, ikiwa ni pamoja na kwenye hifadhi za mtandao. Lakini ikiwa kuna kiasi kikubwa cha habari huko, basi itamchukua muda mwingi. Wakati mwingine, hata katika masaa kadhaa, ransomware haikuwa na wakati wa kusimba kila kitu kwenye gari la mtandao na uwezo wa takriban gigabytes 100.

Ifuatayo, unahitaji kufikiria kwa uangalifu jinsi ya kutenda. Ikiwa unahitaji habari kwenye kompyuta yako kwa gharama yoyote na huna nakala za chelezo, basi ni bora kwa wakati huu kurejea kwa wataalamu. Si lazima kwa ajili ya fedha kwa baadhi ya makampuni. Unahitaji tu mtu ambaye ni mjuzi katika mifumo ya habari. Ni muhimu kutathmini ukubwa wa maafa, kuondoa virusi, na kukusanya taarifa zote zilizopo juu ya hali hiyo ili kuelewa jinsi ya kuendelea.

Vitendo visivyo sahihi vimewashwa katika hatua hii inaweza kutatiza sana mchakato wa kusimbua au kurejesha faili. Katika hali mbaya zaidi, wanaweza kuifanya kuwa haiwezekani. Kwa hivyo chukua muda wako, kuwa mwangalifu na thabiti.

Jinsi kirusi cha CRYPTED000007 kinavyosimba faili kwa njia fiche

Baada ya virusi kuzinduliwa na kumaliza shughuli zake, faili zote muhimu zitasimbwa, zitabadilishwa jina kutoka kiendelezi.kilichofichwa000007. Zaidi ya hayo, sio tu ugani wa faili utabadilishwa, lakini pia jina la faili, kwa hivyo hutajua hasa ni aina gani za faili ulizokuwa nazo ikiwa hukumbuki. Itaonekana kitu kama hiki.

Katika hali kama hiyo, itakuwa ngumu kutathmini kiwango cha msiba, kwani hautaweza kukumbuka kikamilifu kile ulichokuwa nacho katika maisha yako. folda tofauti. Hii ilifanywa mahsusi ili kuwachanganya watu na kuwahimiza walipe usimbuaji wa faili.

Je, ikiwa folda zako za mtandao zilisimbwa kwa njia fiche au la? chelezo kamili, basi hii inaweza kuacha kabisa kazi ya shirika zima. Itakuchukua muda kujua ni nini kilipotea ili kuanza urejeshaji.

Jinsi ya kutibu kompyuta yako na kuondoa CRYPTED000007 ransomware

Virusi vya CRYPTED000007 tayari viko kwenye kompyuta yako. Swali la kwanza na muhimu zaidi ni jinsi ya kufuta kompyuta na jinsi ya kuondoa virusi kutoka kwake ili kuzuia usimbuaji zaidi ikiwa haujakamilika. Ningependa kuteka mawazo yako mara moja kwa ukweli kwamba baada ya wewe mwenyewe kuanza kufanya vitendo fulani na kompyuta yako, nafasi za kufuta data hupungua. Ikiwa unahitaji kurejesha faili kwa gharama yoyote, usigusa kompyuta yako, lakini mara moja wasiliana na wataalamu. Hapo chini nitazungumza juu yao na kutoa kiunga cha wavuti na kuelezea jinsi wanavyofanya kazi.

Wakati huo huo, tutaendelea kujitegemea kutibu kompyuta na kuondoa virusi. Kijadi, ransomware hutolewa kwa urahisi kutoka kwa kompyuta, kwani virusi haina kazi ya kubaki kwenye kompyuta kwa gharama yoyote. Baada ya kusimba faili kabisa, ni faida zaidi kwake kujifuta na kutoweka, ili iwe vigumu zaidi kuchunguza tukio hilo na kufuta faili.

Eleza kuondolewa kwa mikono virusi ni ngumu, ingawa nilijaribu kufanya hivi hapo awali, lakini naona kuwa mara nyingi haina maana. Majina ya faili na njia za uwekaji virusi zinabadilika kila wakati. Nilichoona hakifai tena kwa wiki moja au mbili. Kwa kawaida, virusi hutumwa kupitia huenda kwa barua katika mawimbi na kila wakati kuna marekebisho mapya ambayo bado hayajagunduliwa na antivirus. Zana za jumla zinazoangalia uanzishaji na kugundua shughuli za kutiliwa shaka kwenye folda za mfumo husaidia.

Ili kuondoa virusi vya CRYPTED000007, unaweza kutumia programu zifuatazo:

  1. Virusi vya Kaspersky Chombo cha Kuondoa- matumizi kutoka kwa Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - bidhaa sawa kutoka kwa wavuti nyingine http://free.drweb.ru/cureit.
  3. Ikiwa huduma mbili za kwanza hazikusaidia, jaribu MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Uwezekano mkubwa zaidi, moja ya bidhaa hizi itafuta kompyuta yako ya CRYPTED000007 ransomware. Ikiwa ghafla hutokea kwamba hawana msaada, jaribu kuondoa virusi kwa manually. Nilitoa mfano wa njia ya kuondoa na unaweza kuiona hapo. Kwa kifupi, hatua kwa hatua, unahitaji kutenda kama hii:

  1. Tunaangalia orodha ya taratibu, baada ya kuongeza safu kadhaa za ziada kwa meneja wa kazi.
  2. Tunapata mchakato wa virusi, fungua folda ambayo inakaa na kuifuta.
  3. Tunafuta kutajwa kwa mchakato wa virusi kwa jina la faili kwenye Usajili.
  4. Tunawasha upya na kuhakikisha kuwa virusi vya CRYPTED000007 haviko kwenye orodha ya michakato inayoendeshwa.

Mahali pa kupakua decryptor CRYPTED000007

Swali la decryptor rahisi na ya kuaminika huja kwanza linapokuja suala la virusi vya ukombozi. Jambo la kwanza ninalopendekeza ni kutumia huduma https://www.nomoreransom.org. Itakuwaje ikiwa una bahati na wana kipunguza sauti cha toleo lako la usimbuaji wa CRYPTED000007. Nitasema mara moja kwamba huna nafasi nyingi, lakini kujaribu sio mateso. Washa ukurasa wa nyumbani bonyeza Ndiyo:

Kisha pakua faili kadhaa zilizosimbwa na ubofye Nenda! Jua:

Wakati wa kuandika, hakukuwa na decryptor kwenye tovuti.

Labda utakuwa na bahati nzuri zaidi. Unaweza pia kuona orodha ya decryptors kwa kupakuliwa kwenye ukurasa tofauti - https://www.nomoreransom.org/decryption-tools.html. Labda kuna kitu muhimu hapo. Wakati virusi ni safi kabisa, kuna uwezekano mdogo wa hii kutokea, lakini baada ya muda, kitu kinaweza kuonekana. Kuna mifano wakati decryptors kwa baadhi ya marekebisho ya encrypters alionekana kwenye mtandao. Na mifano hii iko kwenye ukurasa maalum.

Sijui ni wapi pengine unaweza kupata dekoda. Haiwezekani kwamba itakuwa kweli, kwa kuzingatia upekee wa kazi ya encryptors ya kisasa. Waandishi tu wa virusi wanaweza kuwa na decryptor kamili.

Jinsi ya kusimbua na kurejesha faili baada ya virusi vya CRYPTED000007

Nini cha kufanya wakati virusi vya CRYPTED000007 vimesimba faili zako? Utekelezaji wa kiufundi wa usimbaji fiche hauruhusu kufuta faili bila ufunguo au decryptor, ambayo mwandishi wa encryptor pekee anayo. Labda kuna njia nyingine ya kuipata, lakini sina habari hiyo. Tunaweza tu kujaribu kurejesha faili kwa kutumia mbinu zilizoboreshwa. Hizi ni pamoja na:

  • Zana nakala za kivuli madirisha.
  • Programu za kurejesha data zimefutwa

Kwanza, hebu tuangalie ikiwa tumewasha nakala za vivuli. Zana hii inafanya kazi kwa chaguo-msingi katika Windows 7 na matoleo mapya zaidi, isipokuwa ukiizima wewe mwenyewe. Kuangalia, fungua mali ya kompyuta na uende kwenye sehemu ya ulinzi wa mfumo.

Ikiwa wakati wa maambukizi haukuthibitisha ombi la UAC la kufuta faili kwenye nakala za kivuli, basi data fulani inapaswa kubaki pale. Nilizungumza kwa undani zaidi juu ya ombi hili mwanzoni mwa hadithi, nilipozungumza juu ya kazi ya virusi.

Ili kurejesha faili kwa urahisi kutoka kwa nakala za kivuli, napendekeza kutumia programu ya bure kwa hili - ShadowExplorer. Pakua kumbukumbu, fungua programu na uikimbie.

Nakala ya hivi punde ya faili na mzizi wa hifadhi C itafunguliwa. Katika upande wa kushoto kona ya juu unaweza kuchagua nakala rudufu ikiwa una kadhaa kati ya hizo. Angalia nakala tofauti kwa upatikanaji faili muhimu. Linganisha kwa tarehe, wapi zaidi toleo la hivi punde. Katika mfano wangu hapa chini, nilipata faili 2 kwenye desktop yangu kutoka miezi mitatu iliyopita wakati wao mara ya mwisho imehaririwa.

Niliweza kurejesha faili hizi. Ili kufanya hivyo, niliwachagua, kubofya kulia, kuchaguliwa Export na kutaja folda ambapo kuzirejesha.

Unaweza kurejesha folda mara moja kwa kutumia kanuni sawa. Ikiwa ulikuwa na nakala za kivuli zinazofanya kazi na haukuzifuta, una nafasi nzuri ya kurejesha faili zote, au karibu zote, zilizosimbwa na virusi. Labda baadhi yao yatakuwa toleo la zamani kuliko tungependa, lakini hata hivyo, ni bora kuliko chochote.

Ikiwa kwa sababu fulani huna nakala za kivuli za faili zako, nafasi yako pekee ya kupata angalau kitu kutoka kwa faili zilizosimbwa ni kuzirejesha kwa kutumia zana za kurejesha. faili zilizofutwa. Ili kufanya hivyo, napendekeza kutumia programu ya bure ya Photorec.

Zindua programu na uchague diski ambayo utarejesha faili. Kuzindua toleo la picha la programu hutekeleza faili qphotorec_win.exe. Lazima uchague folda ambapo faili zilizopatikana zitawekwa. Ni bora ikiwa folda hii haipo kwenye kiendeshi sawa ambapo tunatafuta. Unganisha gari la flash au ngumu ya nje disk kwa hili.

Mchakato wa utafutaji utachukua muda mrefu. Mwishoni utaona takwimu. Sasa unaweza kwenda kwenye folda iliyoainishwa hapo awali na uone kile kinachopatikana hapo. Kuna uwezekano mkubwa wa kuwa na faili nyingi na nyingi kati yao zitaharibiwa au zitakuwa aina fulani ya mfumo na faili zisizo na maana. Lakini hata hivyo, baadhi ya faili muhimu zinaweza kupatikana katika orodha hii. Hakuna dhamana hapa; unachopata ndicho utakachopata. Picha kawaida hurejeshwa bora.

Ikiwa matokeo hayakukidhi, basi kuna programu za kurejesha faili zilizofutwa. Ifuatayo ni orodha ya programu ambazo mimi hutumia kawaida ninapohitaji kurejesha idadi ya juu ya faili:

  • R.saver
  • Urejeshaji wa Faili ya Starus
  • JPEG Recovery Pro
  • Mtaalamu wa Urejeshaji Faili Amilifu

Programu hizi sio bure, kwa hivyo sitatoa viungo. Ikiwa unataka kweli, unaweza kuzipata mwenyewe kwenye mtandao.

Mchakato mzima wa kurejesha faili unaonyeshwa kwa undani katika video mwishoni mwa kifungu.

Kaspersky, eset nod32 na wengine katika mapambano dhidi ya Filecoder.ED encryptor

Antivirus maarufu hugundua programu ya ukombozi CRYPTED000007 kama Filecoder.ED na kisha kunaweza kuwa na jina lingine. Niliangalia mabaraza kuu ya antivirus na sikuona chochote muhimu hapo. Kwa bahati mbaya, kama kawaida, programu ya antivirus iligeuka kuwa haijajiandaa kwa uvamizi wa wimbi jipya la ransomware. Hapa kuna chapisho kutoka kwa jukwaa la Kaspersky.

Antivirus kawaida hukosa marekebisho mapya ya Trojans ya ransomware. Walakini, napendekeza kuzitumia. Ikiwa una bahati na kupokea barua pepe ya ukombozi sio katika wimbi la kwanza la maambukizi, lakini baadaye kidogo, kuna nafasi ya kuwa antivirus itakusaidia. Wote wanafanya kazi hatua moja nyuma ya washambuliaji. Inageuka toleo jipya ransomware, antivirus hazijibu. Mara tu kiasi fulani cha nyenzo za utafiti juu ya virusi mpya hujilimbikiza, programu ya antivirus hutoa sasisho na huanza kuitikia.

Sielewi ni nini kinachozuia antivirus kujibu mara moja kwa mchakato wowote wa usimbaji fiche kwenye mfumo. Labda kuna nuance fulani ya kiufundi juu ya mada hii ambayo haituruhusu kujibu vya kutosha na kuzuia usimbaji fiche faili za mtumiaji. Inaonekana kwangu kuwa ingewezekana angalau kuonyesha onyo juu ya ukweli kwamba mtu anasimba faili zako, na kutoa kusimamisha mchakato.

Mahali pa kwenda kwa usimbaji fiche uliohakikishwa

Nilitokea kukutana na kampuni moja ambayo kwa hakika inasimbua data baada ya kazi ya virusi mbalimbali vya usimbuaji, ikiwa ni pamoja na CRYPTED000007. Anwani yao ni http://www.dr-shifro.ru. Malipo tu baada ya kusimbua kikamilifu na uthibitishaji wako. Hapa kuna mpango wa takriban wa kazi:

  1. Mtaalamu wa kampuni anakuja ofisini au nyumbani kwako na kusaini makubaliano na wewe, ambayo huweka gharama ya kazi.
  2. Inazindua decryptor na kusimbua faili zote.
  3. Unahakikisha kwamba faili zote zimefunguliwa na kusaini cheti cha utoaji / kukubalika kwa kazi iliyokamilishwa.
  4. Malipo hufanywa tu baada ya matokeo ya kusimbua kwa mafanikio.

Nitakuwa mkweli, sijui jinsi wanavyofanya, lakini hauhatarishi chochote. Malipo tu baada ya maonyesho ya uendeshaji wa dekoda. Tafadhali andika hakiki kuhusu uzoefu wako na kampuni hii.

Mbinu za ulinzi dhidi ya virusi vya CRYPTED000007

Jinsi ya kujikinga na ransomware na epuka uharibifu wa nyenzo na maadili? Kuna vidokezo rahisi na vya ufanisi:

  1. Hifadhi nakala! Hifadhi nakala ya data zote muhimu. Na sio tu nakala rudufu, lakini nakala rudufu ambayo hakuna ufikiaji wa kudumu. Vinginevyo, virusi vinaweza kuambukiza hati zako zote mbili na nakala za chelezo.
  2. Antivirus yenye leseni. Ingawa hazitoi dhamana ya 100%, huongeza uwezekano wa kuepuka usimbaji fiche. Mara nyingi hawako tayari kwa matoleo mapya ya encryptor, lakini baada ya siku 3-4 wanaanza kujibu. Hii huongeza uwezekano wako wa kuepuka maambukizi ikiwa hukujumuishwa katika wimbi la kwanza la usambazaji wa marekebisho mapya ya ransomware.
  3. Usifungue viambatisho vinavyotiliwa shaka katika barua. Hakuna cha kutoa maoni hapa. Ransomware zote ninazojua ziliwafikia watumiaji kupitia barua pepe. Zaidi ya hayo, kila wakati mbinu mpya zinapovumbuliwa kudanganya mwathirika.
  4. Usifungue bila kufikiria viungo vilivyotumwa kwako kutoka kwa marafiki zako kupitia mtandao wa kijamii au wajumbe. Hivi ndivyo pia virusi wakati mwingine huenea.
  5. Washa madirisha ili kuonyesha viendelezi vya faili. Jinsi ya kufanya hivyo ni rahisi kupata kwenye mtandao. Hii itawawezesha kutambua ugani wa faili kwenye virusi. Mara nyingi itakuwa .exe, .vbs, .src. Katika kazi yako ya kila siku na hati, hakuna uwezekano wa kukutana na upanuzi wa faili kama hizo.

Nilijaribu kuongezea yale ambayo tayari nimeandika hapo awali katika kila nakala kuhusu virusi vya ukombozi. Wakati huo huo, nasema kwaheri. Ningefurahi kupokea maoni muhimu juu ya kifungu na virusi vya CRYPTED000007 kwa ujumla.

Video kuhusu usimbuaji wa faili na urejeshaji

Hapa kuna mfano wa marekebisho ya awali ya virusi, lakini video inafaa kabisa kwa CRYPTED000007.

Imewahi kutokea kwamba ulipokea ujumbe kupitia Barua pepe, Skype au ICQ kutoka kwa mtumaji asiyejulikana na kiungo cha picha ya rafiki yako au pongezi kwenye likizo ijayo? Huonekani kutarajia aina yoyote ya usanidi, na ghafla, unapobofya kiungo, programu mbaya mbaya inapakuliwa kwenye kompyuta yako. Kabla ya kujua, virusi tayari vimesimbwa kwa njia fiche faili zako zote. Nini cha kufanya katika hali kama hiyo? Je, inawezekana kurejesha hati?

Ili kuelewa jinsi ya kukabiliana na programu hasidi, unahitaji kujua ni nini na jinsi inavyoingia kwenye mfumo wa uendeshaji. Kwa kuongeza, haijalishi ni nini Toleo la Windows unatumia - virusi vya Critroni inalenga kuambukiza mfumo wowote wa uendeshaji.

Virusi vya usimbuaji wa kompyuta: ufafanuzi na algorithm ya hatua

Mpya imeonekana kwenye mtandao virusi vya kompyuta programu mpya, inayojulikana kwa wengi kama CTB (Curve Tor Bitcoin) au Critroni. Hii ni programu ya kuokoa ya Trojan iliyoboreshwa, sawa kimsingi na CriptoLocker ya programu hasidi iliyojulikana hapo awali. Ikiwa virusi vimesimba faili zote, unapaswa kufanya nini katika kesi hii? Kwanza kabisa, unahitaji kuelewa algorithm ya uendeshaji wake. Kiini cha virusi ni kusimba kwa njia fiche faili zako zote kwa viendelezi .ctbl, .ctb2, .vault, .xtbl au vingine. Hata hivyo, hutaweza kuzifungua hadi ulipe kiasi cha pesa ulichoomba.

Virusi vya Trojan-Ransom.Win32.Shade na Trojan-Ransom.Win32.Onion ni kawaida. Wanafanana sana na STV katika shughuli zao za ndani. Wanaweza kutofautishwa na upanuzi wa faili zilizosimbwa. Trojan-Ransom husimba maelezo katika umbizo la .xtbl. Unapofungua faili yoyote, ujumbe huonekana kwenye skrini ukisema kwamba hati zako za kibinafsi, hifadhidata, picha na faili zingine zimesimbwa kwa njia fiche na programu hasidi. Ili kuzichambua, unahitaji kulipa ufunguo wa kipekee, ambao umehifadhiwa kwenye seva ya siri, na ni katika kesi hii tu utaweza kufanya shughuli za decryption na cryptographic na hati zako. Lakini usijali, achilia mbali kutuma pesa kwa nambari iliyobainishwa; kuna njia nyingine ya kupambana na aina hii ya uhalifu wa mtandao. Ikiwa virusi kama hivyo viliingia kwenye kompyuta yako na kusimba faili zote za .xtbl, ufanye nini katika hali kama hii?

Nini cha kufanya ikiwa virusi vya usimbaji hupenya kwenye kompyuta yako

Inatokea kwamba kwa hofu sisi kufunga programu ya antivirus na kwa msaada wake, tunaondoa programu ya virusi kiotomatiki au kwa mikono, na kupoteza hati muhimu pamoja nayo. Hii haifurahishi, kwa kuongeza, kompyuta inaweza kuwa na data ambayo umekuwa ukifanya kazi kwa miezi. Ni aibu kupoteza hati kama hizo bila uwezekano wa kupona.

Ikiwa virusi imesimba faili zote za .xtbl, wengine hujaribu kubadilisha ugani wao, lakini hii pia haileti matokeo mazuri. Ufungaji upya na umbizo ngumu disk itaondoa kabisa programu mbaya, lakini wakati huo huo utapoteza uwezekano wowote wa kurejesha hati. Katika hali hii, programu maalum za decryption zilizoundwa hazitasaidia, kwa sababu programu ya ransomware imepangwa kwa kutumia algorithm isiyo ya kawaida na inahitaji mbinu maalum.

Je, virusi vya ransomware ni hatari kwa kompyuta ya kibinafsi?

Ni wazi kabisa kwamba hakuna programu moja mbaya itafaidika kompyuta yako binafsi. Kwa nini programu kama hiyo imeundwa? Kwa kushangaza, programu kama hizo ziliundwa sio tu kwa madhumuni ya kudanganya watumiaji iwezekanavyo. zaidi pesa. Kwa kweli, uuzaji wa virusi ni faida kabisa kwa wavumbuzi wengi wa antivirus. Baada ya yote, ikiwa virusi vilisimba faili zote kwenye kompyuta yako, ungeelekeza wapi kwanza? Kwa kawaida, tafuta msaada wa wataalamu. Usimbaji fiche wa kompyuta yako ndogo au kompyuta ya kibinafsi ni nini?

Algorithm ya uendeshaji wao sio ya kawaida, hivyo haitawezekana kuponya faili zilizoambukizwa na programu ya kawaida ya kupambana na virusi. Kuondoa vitu hasidi kutasababisha upotezaji wa data. Kuhamia kwa karantini pekee kutafanya iwezekane kupata faili zingine ambazo virusi hasidi bado hazijaweza kusimba kwa njia fiche.

Tarehe ya mwisho wa matumizi ya usimbaji programu hasidi

Ikiwa kompyuta yako imeambukizwa na Critroni (programu hasidi) na virusi imesimba faili zako zote, unapaswa kufanya nini? Huwezi kusimbua umbizo la .vault-, .xtbl-, .rar mwenyewe kwa kubadilisha kiendelezi kuwa .doc, .mp3, .txt na vingine. Usipolipa kiasi kinachohitajika kwa wahalifu wa mtandao ndani ya saa 96, watakutumia barua pepe za kutisha wakisema kuwa faili zako zote zitafutwa kabisa. Mara nyingi, watu huathiriwa na vitisho hivyo, na wanatekeleza kwa kusita lakini kwa utii vitendo vilivyobainishwa, kwa hofu ya kupoteza habari za thamani. Inasikitisha kwamba watumiaji hawaelewi ukweli kwamba wahalifu wa mtandao sio waaminifu kila wakati kwa neno lao. Mara tu wanapopokea pesa, mara nyingi hawana wasiwasi tena kuhusu kusimbua faili zako zilizofungwa.

Kipima muda kinapoisha, hujifunga kiotomatiki. Lakini bado una nafasi ya kurejesha nyaraka muhimu. Ujumbe utaonekana kwenye skrini ukionyesha kuwa muda umekwisha na zaidi. maelezo ya kina Unaweza kutazama faili kwenye folda ya hati katika faili ya notepad iliyoundwa mahususi DecryptAllFiles.txt.

Njia zisizo za usimbaji fiche hupenya mfumo wa uendeshaji

Kwa kawaida, virusi vya ukombozi huingia kwenye kompyuta kupitia barua pepe zilizoambukizwa au kupitia upakuaji wa uwongo. Hizi zinaweza kuwa visasisho bandia vya flash au vicheza video vya ulaghai. Mara tu programu inapopakuliwa kwa kompyuta yako kwa kutumia mojawapo ya njia hizi, mara moja husimba data bila uwezekano wa kurejesha. Ikiwa virusi vimesimbwa kwa njia fiche faili zote za .cbf, .ctbl, .ctb2 katika miundo mingine na huna nakala mbadala ya hati iliyohifadhiwa kwenye midia inayoweza kutolewa, chukulia kwamba hutaweza kuzirejesha tena. Kwa sasa, maabara ya antivirus hajui jinsi ya kufuta virusi vile vya usimbuaji. Bila ufunguo unaohitajika Inawezekana tu kuzuia faili zilizoambukizwa, kuzihamisha ili ziweke karantini au kuzifuta.

Jinsi ya kuzuia kupata virusi kwenye kompyuta yako

Faili zote za .xtbl za kutisha. Nini cha kufanya? Tayari umesoma sana habari zisizo za lazima, ambayo imeandikwa kwenye tovuti nyingi, na hupati jibu. Inatokea kwamba kwa wakati usiofaa zaidi, wakati unahitaji haraka kuwasilisha ripoti kazini, thesis katika chuo kikuu, au kutetea digrii ya profesa wako, kompyuta huanza kuishi maisha yake mwenyewe: inavunjika, inaambukizwa na virusi. , na kuganda. Lazima uwe tayari kwa hali kama hizi na uhifadhi habari kwenye seva na media inayoweza kutolewa. Hii itakuruhusu kuweka tena mfumo wa kufanya kazi wakati wowote na baada ya dakika 20 fanya kazi kwenye kompyuta kana kwamba hakuna kilichotokea. Lakini, kwa bahati mbaya, sisi sio wa kushangaza kila wakati.

Ili kuepuka kuambukiza kompyuta yako na virusi, kwanza unahitaji kufunga programu nzuri ya antivirus. Lazima iwe imesanidiwa kwa usahihi Windows firewall, ambayo inalinda dhidi ya kuingia kwa vitu mbalimbali hasidi kupitia Mtandao. Na jambo muhimu zaidi: usipakue programu kutoka kwa tovuti ambazo hazijathibitishwa au wafuatiliaji wa torrent. Ili kuepuka kuambukiza kompyuta yako programu za virusi, kuwa mwangalifu ni viungo gani unavyobofya. Ukipokea barua pepe kutoka kwa mpokeaji asiyejulikana na ombi au ofa ili kuona kilichofichwa nyuma ya kiungo, ni bora kuhamisha ujumbe kwa barua taka au kuufuta kabisa.

Ili kuzuia virusi kusimba faili zote za .xtbl siku moja, maabara za programu za kuzuia virusi zinashauri njia ya bure ulinzi dhidi ya maambukizi na virusi vya usimbuaji: mara moja kwa wiki, kagua hali yao.

Virusi imeficha faili zote kwenye kompyuta: mbinu za matibabu

Ikiwa umekuwa mhasiriwa wa uhalifu wa mtandaoni na data kwenye kompyuta yako imeambukizwa na mojawapo ya aina za usimbaji fiche za programu hasidi, basi ni wakati wa kujaribu kurejesha faili zako.

Kuna njia kadhaa za kutibu hati zilizoambukizwa bila malipo:

  1. Njia ya kawaida na pengine yenye ufanisi zaidi kwa sasa ni chelezo hati na kupona baadae katika kesi ya maambukizi yasiyotarajiwa.
  2. Algorithm ya programu ya virusi vya CTB inafanya kazi kwa njia ya kuvutia. Mara moja kwenye kompyuta, inakili faili, kuzificha, na kufuta nyaraka za awali, na hivyo kuondoa uwezekano wa kurejesha kwao. Lakini kwa usaidizi wa programu ya Photorec au R-Studio, unaweza kudhibiti kuhifadhi baadhi ya faili asili ambazo hazijaguswa. Unapaswa kujua kwamba unapotumia kompyuta yako kwa muda mrefu baada ya kuambukizwa, kuna uwezekano mdogo kwamba utaweza kurejesha nyaraka zote muhimu.
  3. Ikiwa virusi imesimba faili zote za .vault, kuna njia nyingine nzuri ya kuziondoa - tumia kiasi cha kivuli nakala Bila shaka, virusi vitajaribu kufuta kabisa na bila kubadilika, lakini pia hutokea kwamba baadhi ya faili zinabaki bila kuguswa. Katika kesi hii, utakuwa na nafasi ndogo lakini ya kuwarejesha.
  4. Inawezekana kuhifadhi data kwenye huduma za kupangisha faili kama vile DropBox. Inaweza kusakinishwa kwenye kompyuta yako kama onyesho la ndani diski. Kwa kawaida, virusi vya usimbaji fiche pia atamwambukiza. Lakini katika kesi hii, ni kweli zaidi kurejesha hati na faili muhimu.

Programu ya kuzuia maambukizi ya virusi vya kompyuta binafsi

Ikiwa unaogopa programu mbaya kuingia kwenye kompyuta yako na hutaki virusi vya siri kusimba faili zako zote, unapaswa kutumia kihariri. siasa za ndani au vikundi vya Windows. Shukrani kwa programu hii iliyounganishwa, unaweza kuweka sera ya kizuizi cha programu - na kisha huwezi kuwa na wasiwasi kuhusu kompyuta yako kuambukizwa.

Jinsi ya kurejesha faili zilizoambukizwa

Ikiwa virusi vya CTB vimeficha faili zote, unapaswa kufanya nini katika kesi hii ili kurejesha nyaraka muhimu? Kwa bahati mbaya, kwa wakati huu, hakuna maabara moja ya kupambana na virusi inayoweza kutoa usimbuaji wa faili zako, lakini kugeuza maambukizo na kuiondoa kabisa kutoka kwa kompyuta ya kibinafsi inawezekana. Njia zote za ufanisi zimeorodheshwa hapo juu urejeshaji wa habari. Ikiwa faili zako ni za thamani sana kwako, na haukujisumbua kuzihifadhi kwenye kiendeshi kinachoweza kutolewa au kiendeshi cha Mtandao, basi utalazimika kulipa kiasi cha pesa kilichoombwa na wahalifu wa mtandao. Lakini hakuna nafasi kwamba ufunguo wa usimbuaji utatumwa kwako hata baada ya malipo.

Jinsi ya kupata faili zilizoambukizwa

Ili kuona orodha ya faili zilizoambukizwa, unaweza kwenda kwa njia hii: "Nyaraka Zangu"\.html au "C:"\"Watumiaji"\"Watumiaji Wote"\.html. Laha hii ya html ina data sio tu kuhusu maagizo ya nasibu, lakini pia kuhusu vitu vilivyoambukizwa.

Jinsi ya kuzuia virusi vya usimbuaji

Mara tu kompyuta imeambukizwa na programu hasidi, ya kwanza hatua inayohitajika kwa upande wa mtumiaji - uunganisho kwenye mtandao. Hii inafanywa kwa kushinikiza kitufe cha kibodi F10.

Ikiwa virusi vya Critroni viliingia kwenye kompyuta yako kwa bahati mbaya na kusimba faili zote katika .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf au umbizo lingine lolote, basi tayari ni vigumu kuzipata. Lakini ikiwa virusi bado havijafanya mabadiliko mengi, kuna uwezekano kwamba vitazuiwa na sera ufikiaji mdogo programu.

Ukweli kwamba mtandao umejaa virusi haishangazi mtu yeyote leo. Watumiaji wengi huona hali zinazohusiana na athari zao kwenye mifumo au data ya kibinafsi, kuiweka kwa upole, kufumba macho, lakini hadi tu virusi vya ukombozi vitakaposhikilia mfumo. Watumiaji wengi wa kawaida hawajui jinsi ya kuua na kufuta data iliyohifadhiwa kwenye gari ngumu. Kwa hiyo, kikosi hiki "kinaongozwa" kwa madai yaliyotolewa na washambuliaji. Lakini hebu tuone nini kinaweza kufanywa ikiwa tishio kama hilo limegunduliwa au kuizuia kuingia kwenye mfumo.

Virusi vya ukombozi ni nini?

Aina hii ya tishio hutumia algoriti za usimbaji fiche za kawaida na zisizo za kawaida ambazo hubadilisha kabisa yaliyomo na kuzuia ufikiaji. Kwa mfano, haitawezekana kabisa kufungua faili ya maandishi iliyosimbwa kwa kusoma au kuhariri, na pia kucheza maudhui ya media titika (picha, video au sauti) baada ya kufichuliwa na virusi. Hata vitendo vya kawaida vya kunakili au kuhamisha vitu havipatikani.

Programu ya virusi yenyewe ni chombo ambacho husimba data kwa njia ambayo inaweza kurejeshwa hali ya awali Hata baada ya kuondoa tishio kutoka kwa mfumo, haiwezekani kila wakati. Kwa kawaida, programu hizo mbaya huunda nakala zao wenyewe na hukaa kwa undani sana katika mfumo, hivyo virusi vya encrypting faili inaweza kuwa haiwezekani kabisa kuondoa. Kwa kufuta programu kuu au kufuta mwili kuu wa virusi, mtumiaji haondoi tishio, achilia mbali kurejesha habari iliyosimbwa.

Je, tishio linaingiaje kwenye mfumo?

Kama sheria, vitisho vya aina hii vinalenga zaidi mashirika makubwa ya kibiashara na vinaweza kupenya kompyuta kupitia programu za barua, wakati mfanyakazi anafungua hati inayodaiwa kuambatanishwa katika barua pepe, ambayo ni, kusema, nyongeza ya aina fulani ya makubaliano ya ushirikiano au mpango wa usambazaji wa bidhaa ( ofa za kibiashara na viambatisho kutoka kwa vyanzo vya shaka - njia ya kwanza ya virusi).

Shida ni kwamba virusi vya usimbaji fiche viko kwenye mashine ambayo inaweza kufikia mtandao wa ndani, ina uwezo wa kuzoea, na kuunda nakala zake sio tu ndani mazingira ya mtandao, lakini pia kwenye terminal ya msimamizi, ikiwa haina fedha zinazohitajika ulinzi kwa namna ya programu ya kupambana na virusi, firewall au firewall.

Wakati mwingine vitisho vile vinaweza kupenya mifumo ya kompyuta ya watumiaji wa kawaida, ambayo, kwa kiasi kikubwa, haina maslahi kwa washambuliaji. Hii hufanyika wakati wa usakinishaji wa programu zingine zilizopakuliwa kutoka kwa rasilimali za mtandao zenye shaka. Watumiaji wengi hupuuza maonyo ya mfumo wa kinga dhidi ya virusi wakati wa kuanza kupakua, na wakati wa mchakato wa usakinishaji hawazingatii matoleo ya kusakinisha programu za ziada, paneli au programu-jalizi za kivinjari, na kisha, kama wanasema, kuuma yao. viwiko vya mkono.

Aina za virusi na historia kidogo

Vitisho vingi vya aina hii, haswa zaidi virusi hatari vya ransomware No_more_ransom haijaainishwa kama zana za kusimba data kwa njia fiche au kuzuia ufikiaji wake. Kwa kweli, programu zote hasidi kama hizo ziko chini ya kitengo cha ransomware. Kwa maneno mengine, washambuliaji wanadai hongo fulani kwa kufuta habari, wakiamini kwamba bila programu ya msingi kuzalisha mchakato huu itakuwa haiwezekani. Hii ni kweli kwa kiasi.

Lakini, ikiwa utaingia kwenye historia, utagundua kuwa moja ya virusi vya kwanza vya aina hii, ingawa haikudai pesa, ilikuwa programu maarufu ya I Love You, ambayo ilisimbwa kabisa faili za media titika kwenye mifumo ya watumiaji (haswa. nyimbo za muziki) Kusimbua faili baada ya virusi vya ukombozi kuwa haiwezekani wakati huo. Sasa ni tishio hili haswa ambalo linaweza kupiganwa kwa njia ya msingi.

Lakini maendeleo ya virusi wenyewe au algorithms ya encryption kutumika haina kusimama bado. Kuna nini kati ya virusi - hapa unayo XTBL, na CBF, na Breaking_Bad, na [barua pepe imelindwa], na rundo la crap nyingine.

Njia ya kushawishi faili za mtumiaji

Na ikiwa hadi hivi majuzi mashambulizi mengi yalifanywa kwa kutumia algoriti za RSA-1024 kulingana na usimbaji fiche wa AES na kina kidogo sawa, virusi sawa vya fidia ya No_more_ransom sasa vinawasilishwa kwa tafsiri kadhaa kwa kutumia funguo za usimbaji fiche kulingana na teknolojia ya RSA-2048 na hata RSA-3072.

Matatizo ya kuchambua algoriti zilizotumika

Shida ni kwamba mifumo ya kisasa ya usimbuaji haikuwa na nguvu mbele ya hatari kama hiyo. Usimbuaji wa faili baada ya kirusi cha uokoaji chenye msingi wa AES256 bado unaungwa mkono kwa kiasi fulani, lakini kwa kuzingatia kina cha juu zaidi cha ufunguo, karibu watengenezaji wote huinua mabega yao tu. Hii, kwa njia, imethibitishwa rasmi na wataalamu kutoka Kaspersky Lab na Eset.

Katika toleo la awali zaidi, mtumiaji anayewasiliana na huduma ya usaidizi anaombwa kutuma faili iliyosimbwa na asili yake kwa kulinganisha na uendeshaji zaidi ili kubaini algorithm ya usimbaji fiche na mbinu za uokoaji. Lakini, kama sheria, katika hali nyingi hii haitoi matokeo. Lakini virusi vya encrypting vinaweza kufuta faili yenyewe, inaaminika, mradi mhasiriwa anakubaliana na masharti ya washambuliaji na kulipa kiasi fulani kwa masharti ya fedha. Hata hivyo, uundaji huu wa swali unaleta mashaka halali. Na ndiyo maana.

Virusi vya Encryptor: jinsi ya disinfect na decrypt files na inaweza kufanyika?

Inadaiwa, baada ya malipo, wadukuzi huwezesha usimbuaji kupitia ufikiaji wa mbali kwa virusi vyao, ambavyo vimekaa kwenye mfumo, au kupitia applet ya ziada ikiwa mwili wa virusi umefutwa. Hii inaonekana zaidi ya shaka.

Pia ningependa kutambua ukweli kwamba mtandao umejaa machapisho ya uwongo yanayodai kuwa kiasi kinachohitajika kililipwa na data ilirejeshwa kwa ufanisi. Yote ni uwongo! Na kwa kweli - ni wapi dhamana ya kwamba baada ya malipo virusi vya encryption haitaamilishwa tena kwenye mfumo? Si vigumu kuelewa saikolojia ya wezi: kulipa mara moja, kulipa tena. Na kama tunazungumzia kuhusu habari muhimu hasa kama vile maendeleo mahususi ya kibiashara, kisayansi au kijeshi, wamiliki wa taarifa hizo wako tayari kulipa chochote wanachotaka ili kuhakikisha kwamba mafaili yanabaki salama na salama.

Dawa ya kwanza ya kuondoa tishio

Hii ndio asili ya virusi vya usimbaji fiche. Jinsi ya kuua na kufuta faili baada ya kufichuliwa na tishio? Hakuna njia, ikiwa hakuna njia zinazopatikana, ambazo pia hazisaidii kila wakati. Lakini unaweza kujaribu.

Wacha tufikirie kuwa virusi vya ukombozi vimeonekana kwenye mfumo. Jinsi ya kutibu faili zilizoambukizwa? Kwanza, unapaswa kufanya uchunguzi wa kina wa mfumo bila kutumia teknolojia ya S.M.A.R.T., ambayo inahusisha kuchunguza vitisho tu wakati umeharibiwa. sekta za buti na faili za mfumo.

Inashauriwa kutotumia skana ya kawaida iliyopo, ambayo tayari imekosa tishio, lakini kutumia huduma za portable. Chaguo bora zaidi itaanza kutoka kwa diski ya Kaspersky Diski ya Uokoaji, ambayo inaweza kuanza hata kabla ya mfumo wa uendeshaji kuanza.

Lakini hii ni nusu tu ya vita, kwa kuwa kwa njia hii unaweza tu kuondokana na virusi yenyewe. Lakini kwa decoder itakuwa ngumu zaidi. Lakini zaidi juu ya hilo baadaye.

Kuna jamii nyingine ambayo virusi vya ukombozi huanguka. Jinsi ya kufuta habari itajadiliwa tofauti, lakini kwa sasa hebu tuzingatie ukweli kwamba wanaweza kuwepo kwa uwazi kabisa katika mfumo kwa namna ya programu zilizowekwa rasmi na maombi (uzembe wa washambuliaji haujui mipaka, kwani tishio haliingii hata. jaribu kujificha).

Katika kesi hii, unapaswa kutumia sehemu ya Programu na Vipengele ambapo unafanya ufutaji wa kawaida. Walakini, unahitaji kulipa kipaumbele kwa ukweli kwamba kiondoaji cha kawaida cha mifumo ya Windows haifuti kabisa faili zote za programu. Hasa, virusi vya fidia uwezo wa kuunda folda mwenyewe katika saraka za mizizi ya mfumo (kawaida hizi ni saraka za Csrss, ambapo jina moja lipo faili inayoweza kutekelezwa csrss.exe). Saraka za Windows, System32 au watumiaji (Watumiaji kwenye kiendeshi cha mfumo) huchaguliwa kama eneo kuu.

Kwa kuongezea, virusi vya fidia ya No_more_ransom huandika funguo zake kwenye sajili kwa njia ya kiunga, inayoonekana kwa huduma rasmi ya mfumo wa Mfumo wa Mfumo wa Runtime wa Mteja, ambayo inapotosha wengi, kwani huduma hii inapaswa kuwajibika kwa mwingiliano wa programu ya mteja na seva. . Kitufe yenyewe iko kwenye folda ya Run, ambayo inaweza kufikiwa kupitia tawi la HKLM. Ni wazi kwamba funguo hizo zitahitaji kufutwa kwa mikono.

Ili kurahisisha, unaweza kutumia huduma kama vile Kiondoa iObit, ambayo tafuta faili za mabaki na funguo za usajili kiotomatiki (lakini tu ikiwa virusi vinaonekana kwenye mfumo kama programu iliyosakinishwa). Lakini hii ndiyo jambo rahisi zaidi unaweza kufanya.

Suluhisho zinazotolewa na watengenezaji wa programu za antivirus

Uteuzi wa virusi vya ukombozi, inaaminika, unaweza kufanywa kwa kutumia huduma maalum, ingawa ikiwa una teknolojia na ufunguo wa 2048 au 3072 kidogo, haupaswi kuwategemea sana (kwa kuongeza, wengi wao hufuta faili baada ya kufutwa, na kisha faili zilizorejeshwa hupotea kwa sababu ya kosa la uwepo wa mwili wa virusi ambao haujaondolewa hapo awali).

Walakini, unaweza kujaribu. Kati ya programu zote, inafaa kuangazia RectorDecryptor na ShadowExplorer. Inaaminika kuwa hakuna kitu bora zaidi kimeundwa bado. Lakini tatizo linaweza pia kuwa wakati unapojaribu kutumia decryptor, hakuna uhakika kwamba faili zinazoponywa hazitafutwa. Hiyo ni, ikiwa hautaondoa virusi hapo awali, jaribio lolote la usimbuaji litahukumiwa kutofaulu.

Mbali na kufuta habari iliyosimbwa, kunaweza pia kuwa na matokeo mabaya - mfumo mzima hautafanya kazi. Kwa kuongeza, virusi vya kisasa vya encryption vinaweza kuathiri sio tu data iliyohifadhiwa kwenye gari ngumu ya kompyuta, lakini pia faili katika hifadhi ya wingu. Lakini hakuna suluhisho za kurejesha data. Kwa kuongeza, kama ilivyotokea, huduma nyingi hazikubali kutosha hatua za ufanisi ulinzi (OneDrive sawa iliyojengwa ndani ya Windows 10, ambayo inaonekana moja kwa moja kutoka kwa mfumo wa uendeshaji).

Suluhisho kali kwa shida

Kama ilivyo wazi, njia nyingi za kisasa hazitoi matokeo mazuri wakati umeambukizwa na virusi kama hivyo. Bila shaka, ikiwa una asili ya faili iliyoharibiwa, inaweza kutumwa kwa uchunguzi kwa maabara ya antivirus. Kweli, pia kuna mashaka makubwa sana juu ya ukweli kwamba mtumiaji wa kawaida ataunda nakala za chelezo za data, ambazo, wakati zimehifadhiwa kwenye gari ngumu, zinaweza pia kuwa wazi kwa msimbo mbaya. Na kwamba ili kuzuia shida, watumiaji wanakili habari kwa vyombo vya habari vinavyoweza kutolewa, hakuna swali hata kidogo.

Kwa hivyo, ili kutatua tatizo kwa kiasi kikubwa, hitimisho linajipendekeza: fomati kamili ya gari ngumu na sehemu zote za mantiki na kuondolewa kwa habari. Basi nini cha kufanya? Utalazimika kujitolea ikiwa hutaki virusi au nakala yake iliyojihifadhi iwashwe tena kwenye mfumo.

Ili kufanya hivyo, haupaswi kutumia zana za mifumo ya Windows yenyewe (hii inamaanisha kupangilia sehemu za kawaida, tangu wakati wa kujaribu kupata. diski ya mfumo marufuku itatolewa). Ni bora kutumia upakiaji kutoka vyombo vya habari vya macho kama vile LiveCD au usambazaji wa usakinishaji, kama vile ule ulioundwa kwa kutumia matumizi ya Media Zana ya Uumbaji kwa Windows 10.

Kabla ya kupangilia, ikiwa virusi huondolewa kwenye mfumo, unaweza kujaribu kurejesha uadilifu vipengele vya mfumo kupitia safu ya amri (sfc /scannow), lakini hii haitakuwa na athari yoyote katika suala la kusimbua na kufungua data. Kwa hivyo umbizo c: ndio pekee sahihi Suluhisho linalowezekana, upende usipende. Hii ndiyo njia pekee ya kuondoa kabisa vitisho vya aina hii. Ole, hakuna njia nyingine! Hata matibabu njia za kawaida, inayotolewa na vifurushi vingi vya antivirus, inageuka kuwa haina nguvu.

Badala ya neno la baadaye

Kwa upande wa hitimisho dhahiri, tunaweza kusema tu kwamba hakuna suluhisho moja na la ulimwengu wote la kuondoa matokeo ya aina hii ya tishio leo (ya kusikitisha, lakini ni kweli - hii imethibitishwa na watengenezaji wengi wa programu ya kupambana na virusi na wataalam. katika uwanja wa cryptography).

Bado haijulikani kwa nini kuibuka kwa algorithms kulingana na encryption 1024-, 2048- na 3072-bit iliyopitishwa na wale wanaohusika moja kwa moja katika maendeleo na utekelezaji wa teknolojia hizo? Hakika, leo algorithm ya AES256 inachukuliwa kuwa ya kuahidi zaidi na salama zaidi. Taarifa! 256! Mfumo huu, kama inavyogeuka, haufanani na virusi vya kisasa. Tunaweza kusema nini basi kuhusu majaribio ya kusimbua funguo zao?

Kuwa hivyo iwezekanavyo, kuepuka kuanzishwa kwa tishio kwenye mfumo ni rahisi sana. Katika sana toleo rahisi Unapaswa kuangalia ujumbe wote unaoingia na viambatisho ndani Programu za Outlook, Thunderbird na wateja wengine wa barua pepe na kizuia virusi mara baada ya kuipokea na bila hali yoyote fungua viambatisho hadi tambazo kukamilika. Unapaswa pia kusoma kwa uangalifu mapendekezo ya kusanikisha programu ya ziada wakati wa kusanikisha programu zingine (kawaida zimeandikwa sana chapa ndogo au kujificha kama nyongeza za kawaida kama sasisho la Flash Player au kitu). Ni bora kusasisha vipengele vya multimedia kupitia tovuti rasmi. Hii ndiyo njia pekee ya angalau kwa namna fulani kuzuia vitisho hivyo kupenya kwenye mfumo wako mwenyewe. Matokeo yanaweza kuwa haitabiriki kabisa, kutokana na kwamba virusi vya aina hii huenea mara moja kwenye mtandao wa ndani. Na kwa kampuni, zamu kama hiyo ya matukio inaweza kusababisha kuanguka kwa kweli kwa juhudi zote.

Hatimaye, msimamizi wa mfumo haipaswi kukaa bila kufanya kazi. Programu Ni bora kuwatenga ulinzi katika hali kama hiyo. Firewall sawa ( firewall) haipaswi kuwa programu, lakini "vifaa" (kwa kawaida, na programu inayoambatana kwenye ubao). Na, inakwenda bila kusema kwamba haupaswi kuruka kununua vifurushi vya antivirus pia. Ni bora kununua kifurushi kilicho na leseni badala ya kusakinisha programu za awali ambazo eti hutoa ulinzi wa wakati halisi kulingana na msanidi programu.

Na ikiwa tishio tayari limeingia kwenye mfumo, mlolongo wa vitendo unapaswa kujumuisha kuondoa mwili wa virusi yenyewe, na kisha tu kujaribu kusimbua data iliyoharibiwa. Kwa kweli, muundo kamili (kumbuka, sio haraka na kusafisha jedwali la yaliyomo, lakini kamili, ikiwezekana na urejesho au uingizwaji wa mfumo wa faili uliopo, sekta za boot na rekodi).

Je, umekuwa mwathirika wa ransomware? Usilipe fidia!

Decryptor zetu zisizolipishwa zitakusaidia kupata tena ufikiaji wa faili zilizozuiwa na aina mbalimbali za programu ya uokoaji iliyofafanuliwa hapa chini. Chagua tu mada ili kuona dalili za maambukizi na upate usaidizi bila malipo.

Je, ungependa kuepuka maambukizo ya ransomware katika siku zijazo?

Locker ya Alcatraz

Alcatraz Locker ni mojawapo ya programu za ukombozi ambazo ziligunduliwa kwa mara ya kwanza katikati ya Novemba 2016. Inatumia mbinu ya AES 256 pamoja na usimbaji wa Base64 ili kusimba faili kwa njia fiche.

Kubadilisha majina ya faili.

Faili zilizosimbwa kwa njia fiche hupokea kiendelezi .Alcatraz.

Ujumbe wa fidia.

fidia.html»kwenye eneo-kazi:

Ikiwa Alcatraz imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

Apocalypse

Apocalypse ni aina ya ransomware ambayo iligunduliwa kwa mara ya kwanza mnamo Juni 2016. Ishara za maambukizi zinaelezwa hapa chini.

Kubadilisha majina ya faili.

Apocalypse inaongeza viendelezi .iliyosimbwa, .FuckYourData, .imefungwa, .Faili iliyosimbwa kwa njia fiche au .SecureCrypted Thesis.doc.imefungwa.)

Ujumbe wa fidia.

Wakati wa kufungua faili na ugani .How_To_Decrypt.txt, .SOMA.Tuma, .Wasiliana_Hapa_Ili_Kurejesha_Faili_zako.txt, .Jinsi_ya_Kurejesha_Data.txt au .Where_my_files.txt(Kwa mfano, Thesis.doc.How_To_Decrypt.txt) ujumbe sawa na ufuatao utaonekana:

BadBlock

BadBlock ni aina ya ransomware ambayo iligunduliwa kwa mara ya kwanza Mei 2016. Ishara za maambukizi zimeelezwa hapa chini.

Kubadilisha majina ya faili.

BadBlock haibadilishi jina faili.

Ujumbe wa fidia.

Baada ya kusimba faili zako, Trojan ya BadBlock inaonyesha moja ya ujumbe zifuatazo (kwa kutumia faili ya mfano Msaada Decrypt.html):

Ikiwa BadBlock imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

Bart

Bart ni aina ya ransomware ambayo iligunduliwa kwa mara ya kwanza mwishoni mwa Juni 2016. Dalili za maambukizi zimeelezwa hapa chini.

Kubadilisha majina ya faili.

Programu ya Bart inaongeza maandishi .bart.zip mwisho wa majina ya faili (kwa mfano, badala ya Thesis.doc faili itaitwa Thesis.docx.bart.zip) Kumbukumbu hii ya ZIP iliyosimbwa kwa njia fiche ina faili chanzo.

Ujumbe wa fidia.

Baada ya kusimba faili, Bart hubadilisha mandharinyuma ya eneo-kazi kama inavyoonyeshwa hapa chini. Maandishi katika picha hii yanaweza pia kutumika kutambua programu ya Bart. Maandishi yanahifadhiwa kwenye eneo-kazi katika faili kupona.bmp Na kurejesha.txt.

Ikiwa Bart amesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

Shukrani. Tungependa kumshukuru Peter Conrad, mwandishi wa programu ya PkCrack, ambaye alituruhusu kutumia maktaba yake katika decryptor yetu kwa Trojan ya Bart ransomware.

Crypto888

Crypt888 (pia inajulikana kama Mircop) ni aina ya programu ya kukomboa ambayo iligunduliwa kwa mara ya kwanza mnamo Juni 2016. Dalili za maambukizi zimefafanuliwa hapa chini.

Kubadilisha majina ya faili.

Programu ya Crypt888 inaongeza maandishi Funga. hadi mwanzo wa majina ya faili (kwa mfano, badala ya Thesis.doc faili itaitwa Funga.Thesis.hati).

Ujumbe wa fidia.

Baada ya kusimba faili zako kwa njia fiche, Crypt888 hubadilisha usuli wa eneo-kazi lako hadi mojawapo ya chaguo zilizo hapa chini.

Ikiwa Crypt888 imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

CryptoMix (toleo la pekee)

CryptoMix (pia inajulikana kama CryptFile2 na Zeta) ni mojawapo ya programu za ukombozi ambazo zilionekana mara ya kwanza mnamo Machi 2016. Mwanzoni mwa 2017, aina mpya ya CryptoMix ilionekana, inayoitwa CryptoShield. Matoleo yote mawili ya programu husimba faili kwa kutumia algorithm ya AES256 na ufunguo wa kipekee wa usimbuaji, ambao hupakuliwa kutoka kwa seva ya mbali. Ikiwa seva haipatikani au mtumiaji hana muunganisho wa Mtandao, programu ya kukomboa husimba faili kwa njia fiche kwa kutumia kitufe kisichobadilika ("ufunguo wa nje ya mtandao").

Kumbuka. Decryptor inayopendekezwa ina uwezo wa kufungua faili zilizosimbwa tu kwa kutumia "ufunguo wa nje ya mtandao". Katika hali ambapo ufunguo wa nje ya mtandao haukutumiwa kusimba faili kwa njia fiche, mcheshi wetu hataweza kurejesha ufikiaji wa faili.

Kubadilisha majina ya faili.

.CRIPTOSHIELD, .rdmk, lesli, .scl, .code, .rmd au .rscl.

Ujumbe wa fidia.

Baada ya kusimba faili kwenye Kompyuta yako, unaweza kupata faili zifuatazo:

Ikiwa CryptoMix imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu ya bila malipo ili kuifungua.

CrySiS

CrySiS (JohnyCryptor, Virus-Encode au Aura) ni mojawapo ya programu za ukombozi ambazo zilionekana mara ya kwanza mnamo Septemba 2015. Inatumia usimbaji fiche wa AES256 pamoja na njia ya asymmetric Usimbaji fiche wa RSA1024.

Kubadilisha majina ya faili.

Faili zilizosimbwa kwa njia fiche zina mojawapo ya viendelezi vifuatavyo:
[barua pepe imelindwa] ,
[barua pepe imelindwa] ,
[barua pepe imelindwa] ,
[barua pepe imelindwa] ,
.{[barua pepe imelindwa]).CrySiS,
.{[barua pepe imelindwa]).xtbl,
.{[barua pepe imelindwa]).xtbl,
.{[barua pepe imelindwa]).xtbl

Ujumbe wa fidia.

Baada ya kusimba faili zako, programu inaonyesha moja ya ujumbe zifuatazo. Ujumbe huu upo kwenye faili inayoitwa " Maagizo ya kusimbua.txt», « Decryptions instructions.txt" au "* README.txt"kwenye desktop.

Ikiwa CrySiS imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

Globu

Globe ni moja wapo ya ransomware ambayo iligunduliwa kwa mara ya kwanza mnamo Agosti 2016. Inatumia mbinu ya usimbaji fiche ya RC4 au Blowfish. Dalili za maambukizo zimeelezewa hapa chini.

Kubadilisha majina ya faili.

Globe inaambatanisha mojawapo ya viendelezi vifuatavyo kwa jina la faili: .ARRIPT, .GSsupport, .kizuizi, .dll555, .duhust, .nyonya, .iliyogandishwa, .globu, .gsupport, .kyra, .kusafishwa, .uvamizi, [barua pepe imelindwa] , .xtbl, .zendrz, .zendr au .hnyear. Kwa kuongezea, matoleo kadhaa ya programu husimba jina la faili yenyewe.

Ujumbe wa fidia.

Baada ya kusimba faili, programu inaonyesha ujumbe ufuatao, ambao uko kwenye faili " Jinsi ya kurejesha faili.hta"au" Nisome Tafadhali.hta»):

Ikiwa Globe imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

Chozi Siri

HiddenTear ni mojawapo ya programu za kwanza za ukombozi na chanzo wazi, iliyoandaliwa kwenye GitHub na inajulikana tangu Agosti 2015. Tangu wakati huo, mamia ya vibadala vya programu ya HiddenTear vimeundwa na walaghai kwa kutumia msimbo wa chanzo huria. HiddenTear hutumia usimbaji fiche wa AES.

Kubadilisha majina ya faili.

Faili zilizosimbwa kwa njia fiche hupokea mojawapo ya viendelezi vifuatavyo (lakini vinaweza kuwa na vingine): .imefungwa, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .kufuli, .saeid, .fungua, .vivu, .mecpt, .monstro, .lok, .암호화됨 , .8kufuli8, .imepigwa, .kipeperushi, .kratos, .iliyofichwa, .CAZZO, .kuhukumiwa.

Ujumbe wa fidia.

Wakati faili zimesimbwa kwa njia fiche, faili ya maandishi huonekana kwenye skrini ya kwanza ya mtumiaji (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Chaguo mbalimbali pia zinaweza kuonyesha ujumbe wa fidia:

Ikiwa HiddenTear imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

Jigsaw

Jigsaw ni mojawapo ya programu za ukombozi ambazo zimekuwepo tangu Machi 2016. Ametajwa baada ya mhalifu wa filamu anayeitwa "Jigsaw Killer". Baadhi ya vibadala vya programu hii hutumia picha ya herufi hii kwenye skrini ikiwa na hitaji la fidia ili kufunguliwa.

Kubadilisha majina ya faili.

Faili zilizosimbwa kwa njia fiche hupokea mojawapo ya viendelezi vifuatavyo: .kkk, .btc, .gws, .J, .iliyosimbwa, . ponografia, .fidia, .ponoransom, .epic, .xyz, .versiegelt, .iliyosimbwa, .payb, .hulipa, .malipo, .malipo, .malipo, .malipo, .malipo, .malipo, .malipo, .paybtcs, .furaha, .nyamaza, [barua pepe imelindwa] au .gefickt.

Ujumbe wa fidia.

Faili zikishasimbwa kwa njia fiche, mojawapo ya skrini iliyo hapa chini itaonyeshwa:

Ikiwa Jigsaw imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu isiyolipishwa ili kuifungua.

Jeshi

Legion ni aina ya ransomware ambayo iligunduliwa kwa mara ya kwanza mnamo Juni 2016. Zifuatazo ni dalili za maambukizi.

Kubadilisha majina ya faili.

Legion anaongeza kitu kama [barua pepe imelindwa]$.jeshi au [barua pepe imelindwa]$.cbf mwisho wa majina ya faili. (Kwa mfano, badala ya Thesis.doc faili itaitwa [barua pepe imelindwa]$.jeshi.)

Ujumbe wa fidia.

Baada ya kusimba faili zako, Legion hubadilisha mandharinyuma ya eneo-kazi lako na kuonyesha dirisha ibukizi sawa na hili:

Ikiwa Legion imesimba faili zako kwa njia fiche, bofya hapa ili kupakua decryptor yetu ya bila malipo ili kuifungua.



MAKALA INAYOHUSIANA