Virus ransomware. I-decrypt ang mga file na naka-encrypt ng isang virus: ransomware Trojans. Paano protektahan ang iyong sarili mula sa isang ransomware virus sa Windows

ay isang malisyosong programa na, kapag na-activate, ine-encrypt ang lahat mga personal na file, tulad ng mga dokumento, litrato, atbp. Dami mga katulad na programa napakalaki at dumarami ito araw-araw. Lamang sa kani-kanina lang Nakatagpo kami ng dose-dosenang variant ng ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, atbp. Ang layunin ng naturang mga virus sa pag-encrypt ay pilitin ang mga user na bumili, kadalasan para sa malaking halaga ng pera, ang programa at susi na kinakailangan para sa pag-decryption sariling mga file.

Siyempre, maaari mong ibalik ang mga naka-encrypt na file sa pamamagitan lamang ng pagsunod sa mga tagubilin na iniiwan ng mga tagalikha ng virus sa nahawaang computer. Ngunit kadalasan, ang halaga ng pag-decryption ay napakahalaga, at kailangan mo ring malaman na ang ilang ransomware virus ay nag-e-encrypt ng mga file sa paraang imposibleng i-decrypt ang mga ito sa ibang pagkakataon. At siyempre, nakakainis lang magbayad para maibalik ang sarili mong mga file.

Sa ibaba ay pag-uusapan natin nang mas detalyado ang tungkol sa mga virus ng pag-encrypt, kung paano sila tumagos sa computer ng biktima, pati na rin kung paano alisin ang virus ng pag-encrypt at ibalik ang mga file na naka-encrypt nito.

Paano tumagos ang isang ransomware virus sa isang computer?

Ang isang ransomware virus ay karaniwang kumakalat sa pamamagitan ng email. Ang liham ay naglalaman ng mga nahawaang dokumento. Ang ganitong mga liham ay ipinapadala sa malaking database mga email address. Gumagamit ang mga may-akda ng virus na ito ng mga mapanlinlang na header at nilalaman ng mga titik, sinusubukang linlangin ang user na buksan ang isang dokumentong nakalakip sa sulat. Ang ilang mga liham ay nagpapaalam tungkol sa pangangailangan na magbayad ng bill, ang iba ay nag-aalok upang tingnan ang pinakabagong listahan ng presyo, ang iba ay nag-aalok na magbukas ng isang nakakatawang larawan, atbp. Sa anumang kaso, ang pagbubukas ng naka-attach na file ay magreresulta sa iyong computer na mahawahan ng isang encryption virus.

Ano ang ransomware virus?

Ang ransomware virus ay isang malisyosong programa na nakakahawa mga modernong bersyon mga operating system Pamilya sa Windows, tulad ng Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Sinusubukan ng mga virus na ito na gamitin ang pinakamalakas na posibleng mga mode ng pag-encrypt, halimbawa RSA-2048 na may susi na haba na 2048 bits, na halos nag-aalis ng posibilidad na pumili ng isang susi sa pag-decrypt ng mga file sa iyong sarili.

Kapag na-infect ang isang computer, ginagamit ng ransomware virus direktoryo ng system%APPDATA% para sa pag-iimbak ng sarili mong mga file. Para sa awtomatikong pagsisimula mismo kapag binuksan mo ang computer, lumilikha ang ransomware ng entry in Windows registry: mga seksyong HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion.

Kaagad pagkatapos ilunsad, ini-scan ng virus ang lahat ng magagamit na drive, kabilang ang network at imbakan ng ulap, upang matukoy kung aling mga file ang ie-encrypt. Gumagamit ang isang ransomware virus ng extension ng filename bilang isang paraan upang matukoy ang isang pangkat ng mga file na ie-encrypt. Halos lahat ng uri ng mga file ay naka-encrypt, kabilang ang mga karaniwang tulad ng:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Kaagad pagkatapos ma-encrypt ang isang file, makakatanggap ito ng bagong extension, na kadalasang magagamit upang matukoy ang pangalan o uri ng ransomware. Ang ilang uri ng malware na ito ay maaari ding baguhin ang mga pangalan ng mga naka-encrypt na file. Lumilikha ang virus ng isang text na dokumento na may mga pangalan tulad ng HELP_YOUR_FILES, README, na naglalaman ng mga tagubilin para sa pag-decryption ng mga naka-encrypt na file.

Sa panahon ng operasyon nito, sinusubukan ng encryption virus na harangan ang kakayahang ibalik ang mga file gamit ang SVC (shadow copy of files) system. Para sa layuning ito, ang virus command mode tinatawag ang administration utility mga kopya ng anino mga file na may key na magsisimula ng pamamaraan para sa kanilang kumpletong pag-alis. Kaya, halos palaging imposibleng ibalik ang mga file sa pamamagitan ng paggamit ng kanilang mga anino na kopya.

Ang ransomware virus ay aktibong gumagamit ng mga taktika sa pananakot sa pamamagitan ng pagbibigay sa biktima ng isang link sa isang paglalarawan ng algorithm ng pag-encrypt at pagpapakita ng isang nagbabantang mensahe sa Desktop. Sa ganitong paraan, sinusubukan niyang pilitin ang gumagamit ng nahawaang computer, nang walang pag-aalinlangan, na ipadala ang computer ID sa email address ng may-akda ng virus upang subukang maibalik ang kanyang mga file. Ang tugon sa naturang mensahe ay kadalasan ang halaga ng ransom at ang e-wallet address.

Ang aking computer ba ay nahawaan ng ransomware virus?

Ito ay medyo madali upang matukoy kung ang isang computer ay nahawaan ng isang encryption virus o hindi. Bigyang-pansin ang mga extension ng iyong mga personal na file, tulad ng mga dokumento, larawan, musika, atbp. Kung nagbago ang extension o nawala ang iyong mga personal na file, nag-iiwan ng maraming file na may hindi kilalang mga pangalan, kung gayon ang iyong computer ay nahawahan. Bilang karagdagan, ang isang senyales ng impeksyon ay ang pagkakaroon ng isang file na pinangalanang HELP_YOUR_FILES o README sa iyong mga direktoryo. Maglalaman ang file na ito ng mga tagubilin para sa pag-decrypt ng mga file.

Kung pinaghihinalaan mo na nagbukas ka ng email na nahawaan ng ransomware virus, ngunit wala pang mga sintomas ng impeksyon, huwag isara o i-restart ang iyong computer. Sundin ang mga hakbang na inilarawan sa manwal na ito, seksyon. Uulitin ko muli, napakahalaga na huwag patayin ang computer sa ilang mga uri ng ransomware, ang proseso ng pag-encrypt ng file ay isinaaktibo sa unang pagkakataon na i-on mo ang computer pagkatapos ng impeksyon!

Paano i-decrypt ang mga file na naka-encrypt gamit ang isang ransomware virus?

Kung mangyari ang sakuna na ito, hindi na kailangang mag-panic! Ngunit kailangan mong malaman na sa karamihan ng mga kaso ay walang libreng decryptor. Ito ay dahil sa malakas na mga algorithm ng pag-encrypt na ginagamit ng naturang malware. Nangangahulugan ito na walang pribadong key, halos imposibleng i-decrypt ang mga file. Ang paggamit ng paraan ng pagpili ng susi ay hindi rin isang opsyon, dahil sa malaking haba ng susi. Samakatuwid, sa kasamaang-palad, ang pagbabayad lamang sa mga may-akda ng virus ng buong hiniling na halaga ay ang tanging paraan upang subukang makuha ang decryption key.

Siyempre, walang ganap na garantiya na pagkatapos ng pagbabayad ang mga may-akda ng virus ay makikipag-ugnay sa iyo at ibigay ang susi na kinakailangan upang i-decrypt ang iyong mga file. Bilang karagdagan, kailangan mong maunawaan na sa pamamagitan ng pagbabayad ng pera sa mga developer ng virus, hinihikayat mo sila mismo na lumikha ng mga bagong virus.

Paano alisin ang isang ransomware virus?

Bago ka magsimula, kailangan mong malaman na sa pamamagitan ng pagsisimulang alisin ang virus at pagtatangka na ibalik ang mga file sa iyong sarili, hinaharangan mo ang kakayahang i-decrypt ang mga file sa pamamagitan ng pagbabayad sa mga may-akda ng virus ng halaga na kanilang hiniling.

Kaspersky Virus Tool sa Pag-alis At Malwarebytes Anti-malware makakadetect iba't ibang uri aktibong ransomware virus at madaling maalis ang mga ito sa iyong computer, PERO hindi nila maibabalik ang mga naka-encrypt na file.

5.1. Alisin ang ransomware gamit ang Kaspersky Virus Removal Tool

Bilang default, ang programa ay na-configure upang mabawi ang lahat ng mga uri ng file, ngunit upang mapabilis ang trabaho, inirerekumenda na iwanan lamang ang mga uri ng file na kailangan mong mabawi. Kapag nakumpleto mo na ang iyong pagpili, i-click ang OK.

Sa ibaba ng QPhotoRec program window, hanapin ang Browse button at i-click ito. Kailangan mong piliin ang direktoryo kung saan ise-save ang mga na-recover na file. Maipapayo na gumamit ng isang disk na hindi naglalaman ng mga naka-encrypt na file na nangangailangan ng pagbawi (maaari kang gumamit ng flash drive o panlabas na drive).

Upang simulan ang pamamaraan para sa paghahanap at pagpapanumbalik ng mga orihinal na kopya ng mga naka-encrypt na file, i-click ang pindutang Paghahanap. Medyo matagal ang prosesong ito, kaya maging matiyaga.

Kapag kumpleto na ang paghahanap, i-click ang Quit button. Ngayon buksan ang folder na iyong pinili upang i-save ang mga nakuhang file.

Maglalaman ang folder ng mga direktoryo na pinangalanang recup_dir.1, recup_dir.2, recup_dir.3, atbp. Ang mas maraming mga file na mahahanap ng programa, mas maraming mga direktoryo ang magkakaroon. Upang mahanap ang mga file na kailangan mo, suriin ang lahat ng mga direktoryo nang paisa-isa. Upang gawing mas madaling mahanap ang file na kailangan mo sa isang malaking bilang ng mga na-recover, gamitin ang built-in na system Paghahanap sa Windows(sa pamamagitan ng nilalaman ng file), at huwag ding kalimutan ang tungkol sa pag-andar ng pag-uuri ng mga file sa mga direktoryo. Maaari mong piliin ang petsa kung kailan binago ang file bilang opsyon sa pag-uuri, dahil sinusubukan ng QPhotoRec na ibalik ang property na ito kapag nire-restore ang isang file.

Paano mapipigilan ang isang ransomware virus na makahawa sa iyong computer?

Karamihan sa mga modernong programang anti-virus ay mayroon nang built-in na sistema ng proteksyon laban sa pagtagos at pag-activate ng mga virus sa pag-encrypt. Samakatuwid, kung wala kang antivirus program sa iyong computer, siguraduhing i-install ito. Malalaman mo kung paano ito pipiliin sa pamamagitan ng pagbabasa nito.

Bukod dito, may mga espesyal na programa sa proteksyon. Halimbawa, ito ay CryptoPrevent, higit pang mga detalye.

Ilang huling salita

Sa pamamagitan ng pagsunod sa mga tagubiling ito, mali-clear ang iyong computer sa ransomware virus. Kung mayroon kang anumang mga katanungan o kailangan ng tulong, mangyaring makipag-ugnayan sa amin.

Ang mga hacker ng ransomware ay halos kapareho sa mga regular na blackmailer. Parehong sa totoong mundo at sa cyber na kapaligiran, mayroong isang solong o pangkat na target ng pag-atake. Ito ay ninakaw o ginawang hindi naa-access. Susunod, ang mga kriminal ay gumagamit ng ilang paraan ng komunikasyon sa mga biktima upang ihatid ang kanilang mga kahilingan. Ang mga computer scammer ay karaniwang pumipili lamang ng ilang mga format para sa isang ransom letter, ngunit ang mga kopya nito ay matatagpuan sa halos anumang lokasyon sa memorya. nahawaang sistema. Sa kaso ng pamilya ng spyware na kilala bilang Troldesh o Shade, gumawa ng espesyal na diskarte ang mga scammer kapag nakikipag-ugnayan sa biktima.

Tingnan natin ang strain ng ransomware virus na ito, na naglalayong sa madlang nagsasalita ng Russian. Karamihan sa mga katulad na impeksyon ay nakakakita ng layout ng keyboard sa inaatakeng PC, at kung ang isa sa mga wika ay Russian, ang panghihimasok ay hihinto. Gayunpaman, ang ransomware virus XTBL hindi matukoy: sa kasamaang palad para sa mga gumagamit, ang pag-atake ay nagbubukas anuman ang kanilang heyograpikong lokasyon at mga kagustuhan sa wika. Ang isang malinaw na embodiment ng versatility na ito ay isang babala na lumalabas sa desktop background, pati na rin ang isang TXT file na may mga tagubilin para sa pagbabayad ng ransom.

Ang XTBL virus ay karaniwang kumakalat sa pamamagitan ng spam. Ang mga mensahe ay kahawig ng mga titik mula sa mga sikat na brand, o sadyang kapansin-pansin dahil ang linya ng paksa ay gumagamit ng mga expression tulad ng "Apurahan!" o “Mahahalagang Dokumento sa Pananalapi.” Ang phishing trick ay gagana kapag ang tatanggap ng naturang email. magda-download ang mga mensahe ng ZIP file na naglalaman ng JavaScript code o isang Docm object na naglalaman ng isang potensyal na masusugatan na macro.

Nang matapos pangunahing algorithm sa isang nakompromisong PC, ang ransomware Trojan ay nagpapatuloy sa paghahanap ng data na maaaring may halaga sa user. Para sa layuning ito, ini-scan ng virus ang lokal at panlabas na memorya, sabay-sabay na tumutugma sa bawat file na may isang hanay ng mga format na pinili batay sa extension ng object. Lahat ng .jpg, .wav, .doc, .xls file, pati na rin ang maraming iba pang object, ay naka-encrypt gamit ang AES-256 symmetric block crypto algorithm.

Mayroong dalawang aspeto ang mapaminsalang epektong ito. Una sa lahat, nawawalan ng access ang user sa mahalagang data. Bilang karagdagan, ang mga pangalan ng file ay malalim na naka-encode, na nagreresulta sa isang walang kahulugan na string ng mga hexadecimal na character. Anumang bagay na magkakatulad ang mga pangalan ng mga apektadong file ay isang bagay na idinagdag sa kanila xtbl extension, ibig sabihin. pangalan ng cyber threat. Minsan may espesyal na format ang mga naka-encrypt na pangalan ng file. Sa ilang bersyon ng Troldesh, maaaring manatiling hindi nagbabago ang mga pangalan ng mga naka-encrypt na bagay, at may idinagdag na natatanging code sa dulo: [email protected], [email protected], o [email protected].

Malinaw, ang mga umaatake, na nagpakilala ng mga email address. mail nang direkta sa mga pangalan ng mga file, na nagpapahiwatig sa mga biktima ng paraan ng komunikasyon. Ang email ay nakalista din sa ibang lugar, lalo na sa ransom letter na nasa "Readme.txt" file. Ang mga nasabing dokumento ng Notepad ay lilitaw sa Desktop, gayundin sa lahat ng mga folder na may naka-encrypt na data. Ang pangunahing mensahe ay:

"Lahat ng mga file ay naka-encrypt. Upang i-decrypt ang mga ito, kailangan mong ipadala ang code: [Ang iyong natatanging cipher] sa email address [email protected] o [email protected]. Susunod na matatanggap mo ang lahat ng kinakailangang mga tagubilin. Ang mga pagtatangka na mag-decrypt nang mag-isa ay hahantong sa walang anuman kundi hindi na mababawi na pagkawala ng impormasyon."

Maaaring magbago ang email address depende sa blackmail group na nagkakalat ng virus.

Para sa karagdagang mga pag-unlad: sa mga pangkalahatang tuntunin, ang mga scammer ay tumugon nang may rekomendasyon na maglipat ng isang ransom, na maaaring 3 bitcoin, o isa pang halaga sa hanay na ito. Pakitandaan na walang makakagarantiya na tutuparin ng mga hacker ang kanilang pangako kahit na matanggap ang pera. Upang maibalik ang access sa mga .xtbl file, inirerekomenda ang mga apektadong user na subukan muna ang lahat ng available na alternatibong pamamaraan. Sa ilang mga kaso, maaaring ayusin ang data gamit ang serbisyo pagkopya ng anino volume (Volume Shadow Copy), na direktang ibinigay sa Windows OS, pati na rin ang mga decryption at data recovery programs mula sa mga independiyenteng software developer.

Alisin ang XTBL ransomware gamit ang isang awtomatikong tagapaglinis

Isang napaka-epektibong paraan ng pagtatrabaho sa malware sa pangkalahatan at partikular sa ransomware. Ang paggamit ng isang napatunayang proteksiyon complex ay ginagarantiyahan ang masusing pagtuklas ng anumang mga bahagi ng viral, ang kanilang kumpletong pagtanggal sa isang click. Mangyaring tandaan pinag-uusapan natin mga dalawa iba't ibang proseso: I-uninstall ang impeksyon at ibalik ang mga file sa iyong PC. Gayunpaman, ang banta ay tiyak na kailangang alisin, dahil mayroong impormasyon tungkol sa pagpapakilala ng iba mga trojan ng computer sa tulong niya.

  1. . Pagkatapos simulan ang software, i-click ang pindutan Simulan ang Computer Scan(Simulan ang pag-scan).
  2. Ang naka-install na software ay magbibigay ng ulat sa mga banta na nakita sa panahon ng pag-scan. Upang alisin ang lahat ng nakitang pagbabanta, piliin ang opsyon Ayusin ang mga Banta(Alisin ang mga pagbabanta). Ang malware na pinag-uusapan ay ganap na aalisin.

Ibalik ang access sa mga naka-encrypt na file gamit ang extension na .xtbl

Gaya ng nabanggit, ang XTBL ransomware ay nagla-lock ng mga file gamit ang isang malakas na algorithm ng pag-encrypt, upang ang naka-encrypt na data ay hindi maibalik gamit ang isang wave ng isang magic wand - kulang sa pagbabayad ng hindi pa naririnig na halaga ng ransom. Ngunit ang ilang mga pamamaraan ay maaari talagang maging isang lifesaver na makakatulong sa iyong mabawi ang mahalagang data. Sa ibaba maaari mong maging pamilyar sa kanila.

Decryptor – awtomatikong programa sa pagbawi ng file

Ang isang napaka hindi pangkaraniwang pangyayari ay kilala. Binubura ng impeksyong ito ang orihinal na mga file sa hindi naka-encrypt na anyo. Ang proseso ng pag-encrypt para sa mga layunin ng pangingikil ay nagta-target ng mga kopya ng mga ito. Nagbibigay ito ng pagkakataon para sa mga ganyan software kung paano mabawi ang mga nabura na bagay, kahit na garantisado ang pagiging maaasahan ng kanilang pag-alis. Lubos na inirerekumenda na gumamit ng pamamaraan ng pagbawi ng file, ang pagiging epektibo nito ay nakumpirma nang higit sa isang beses.

Mga anino na kopya ng mga volume

Ang diskarte ay batay sa Pamamaraan sa Windows backup ng file, na inuulit sa bawat recovery point. Isang mahalagang kondisyon para gumana ang pamamaraang ito: ang function na "System Restore" ay dapat na i-activate bago ang impeksyon. Gayunpaman, ang anumang mga pagbabago sa file na ginawa pagkatapos ng restore point ay hindi lalabas sa naibalik na bersyon ng file.

Backup

Ito ang pinakamahusay sa lahat ng pamamaraang hindi pantubos. Kung ang pamamaraan para sa pag-back up ng data sa isang panlabas na server ay ginamit bago ang pag-atake ng ransomware sa iyong computer, upang maibalik ang mga naka-encrypt na file kailangan mo lamang na ipasok ang naaangkop na interface, piliin kinakailangang mga file at simulan ang mekanismo ng pagbawi ng data mula sa backup. Bago isagawa ang operasyon, dapat mong tiyakin na ang ransomware ay ganap na naalis.

Suriin ang posibleng pagkakaroon ng mga natitirang bahagi ng XTBL ransomware virus

Paglilinis sa manu-manong mode ay puno ng pagtanggal ng mga indibidwal na fragment ng ransomware na maaaring makatakas sa pag-alis sa anyo ng mga nakatagong operating system object o mga elemento ng registry. Upang alisin ang panganib ng bahagyang pagpapanatili ng mga indibidwal na nakakahamak na elemento, i-scan ang iyong computer gamit ang isang maaasahang unibersal na anti-virus suite.

Kamakailan, ang pinaka-mapanganib na virus ay isang file-encrypting Trojan, kinikilala bilang Trojan-Ransom.Win32.Rector, na nag-encrypt ng lahat ng iyong mga file (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, atbp.). Ang problema ay ang pag-decrypting ng mga naturang file ay napakahirap, at kung walang tiyak na kaalaman at kasanayan ito ay imposible lamang.

Ang proseso ng impeksyon ay nangyayari sa isang tusong paraan. Dumating ang isang email na may kasamang naka-attach na file na may uri ng “document. pdf .exe " Kapag ang file na ito ay binuksan, at sa katunayan kapag ito ay inilunsad, ang virus ay nagsisimulang gumana at i-encrypt ang mga file. Kung matuklasan mo ang epekto ng file na ito, ngunit patuloy na gumagana sa computer na ito, lalo itong nag-e-encrypt higit pa mga file. Ang isang extension tulad ng "Ang e-mail address na ito ay pinoprotektahan mula sa mga spam bot, dapat na pinagana mo ang Javascript upang tingnan ito" ay idinagdag sa mga naka-encrypt na file (maaaring mag-iba ang pagpapangalan), at Internet o text file uri“EXPAND_FILES.html” kung saan inilalarawan ng mga umaatake kung paano makakuha ng pera mula sa iyo para sa kanilang maruming trabaho. Narito ang teksto ng totoong file mula sa nahawaang computer ng aking mga kliyente:

Ang lahat ng iyong mga dokumento ay na-encrypt gamit ang isa sa pinakamalakas na algorithm ng pag-encrypt. Imposibleng i-decrypt ang mga file nang hindi nalalaman ang natatanging password para sa iyong PC! Huwag baguhin ang pangalan o istraktura ng mga file at huwag subukang i-decrypt ang mga file gamit ang iba't ibang mga decryptor na nai-post sa Internet ay maaaring gawing imposibleng mabawi ang iyong mga file.

Kung kailangan mong tiyakin na ang iyong mga file ay maaaring i-decrypt, maaari kang magpadala sa amin ng isang email - Ang e-mail address na ito ay protektado mula sa mga spambots Upang matingnan ito, kailangan mong pinagana ang JavaScript para sa anumang isang file at ibabalik namin ang orihinal nito bersyon.

Ang halaga ng decryptor para i-decrypt ang iyong mga file ay 0.25 BTC (Bitcoin)Your Bitcoin wallet para sa pagbabayad - 1AXJ4eRhAxgjRh6Gdaej4yPGgKt1DnZwGF

Mahahanap mo kung saan makakabili ng bitcoin sa forum - https://forum.btcsec.com/index.php?/forum/35-obmenniki/ Inirerekomenda namin ang mga exchanger tulad ng https://wmglobus.com/, https:// orangeexchangepro.com /Posible ring magbayad ng 3,500 rubles sa isang qiwi wallet, para makuha ang numero ng pitaka na kailangan mong kontakin kami sa pamamagitan ng email - Ang e-mail address na ito ay protektado mula sa mga spambots

Dati, ang tanging kaligtasan mula sa virus na ito ay tanggalin ang lahat ng mga nahawaang file at ibalik ang mga ito mula sa isang backup na nakaimbak sa isang panlabas na drive o flash drive. Gayunpaman, dahil kakaunti ang gumagawa ng mga backup na kopya, mas hindi gaanong i-update ang mga ito nang regular, ang impormasyon ay nawala lamang. Ang karamihan sa mga opsyon na magbayad ng ransomware upang i-decrypt ang iyong mga file ay nagtatapos sa pagkawala ng pera at isa lamang itong scam.

Ngayon ang mga laboratoryo ng antivirus ay gumagawa ng mga pamamaraan at programa para maalis ang virus na ito. Ang Kaspersky Lab ay bumuo ng isang utility - RectorDecryptor, na nagpapahintulot sa iyo na i-decrypt ang mga nahawaang file. Mula sa link na ito maaari mong i-download ang RectorDecryptor program. Pagkatapos ay kailangan mong ilunsad ito, i-click ang pindutan ng "Start scan", pumili ng isang naka-encrypt na file, pagkatapos kung saan ang programa ay awtomatikong i-decrypt ang lahat ng mga naka-encrypt na file ng ganitong uri. Ibinabalik ang mga file sa parehong mga folder kung saan naroon ang mga naka-encrypt na file. Pagkatapos nito, kailangan mong tanggalin ang mga naka-encrypt na file. Ang pinakamadaling paraan upang gawin ito ay ang sumusunod na command, na nai-type command line: del "d:\*.AES256" /f /s (kung saan AES256 dapat ang iyong extension ng virus). Kinakailangan din na tanggalin ang mga email file ng attacker na nakakalat sa buong computer. Magagawa mo ito gamit ang sumusunod na utos: del"d:\ EXTEND_FILES.html " /f /s ay nag-type sa command line.

Kailangan mo munang protektahan ang iyong computer mula sa posibilidad ng pagkalat ng virus. Upang gawin ito, kailangan mong i-clear ang mga kahina-hinalang startup file, i-uninstall ang mga kahina-hinalang programa, i-clear ang mga pansamantalang folder at mga cache ng browser (maaari mong gamitin ang CCleaner utility para dito. ).

Gayunpaman, dapat tandaan na ang pamamaraang ito Ang decryption ay makakatulong lamang sa mga may virus na naproseso na ng Kaspersky Lab at kasama sa listahan sa RectorDecryptor utility. Kung ito bagong virus, hindi pa kasama sa listahan ng mga neutralized na virus, pagkatapos ay kailangan mong ipadala ang iyong mga nahawaang file para sa pag-decryption sa Kaspersky Labs, Sinabi ni Dr .Web , o Tumango 32 o ibalik ang mga ito mula sa isang backup (na mas madali).

Kung ang mga pagkilos upang i-neutralize ang iyong mga virus at gamutin ang iyong computer ay nagpapakita ng isang tiyak na kahirapan, kung gayon upang hindi magdulot ng higit pang pinsala o pagsira operating system, (na maaaring humantong sa kumpletong muling pag-install Windows ), mas mabuting makipag-ugnayan sa isang espesyalista na gagawa nito nang propesyonal. Modernong paraan payagan ang lahat ng mga pagkilos na ito na maisagawa nang malayuan sa anumang punto globo kung saan may koneksyon sa Internet.

Ang mga encryptors (cryptolockers) ay nangangahulugang isang pamilya ng mga nakakahamak na programa na, gamit ang iba't ibang mga algorithm ng pag-encrypt, hinaharangan ang access ng user sa mga file sa isang computer (kilala, halimbawa, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, atbp.).

Karaniwang ini-encrypt ng virus ang mga sikat na uri mga file ng gumagamit: mga dokumento, mga spreadsheet, 1C database, anumang data array, litrato, atbp. Ang file decryption ay inaalok para sa pera - hinihiling ka ng mga creator na maglipat isang tiyak na halaga, kadalasan sa Bitcoin. At kung ang organisasyon ay hindi gumawa ng tamang hakbang upang matiyak ang kaligtasan mahalagang impormasyon, ang paglilipat ng kinakailangang halaga sa mga umaatake ay maaaring maging ang tanging paraan ibalik ang functionality ng kumpanya.

Sa karamihan ng mga kaso, kumakalat ang virus email nagpapanggap na medyo regular na mga titik: abiso mula sa tanggapan ng buwis, mga aksyon at kasunduan, impormasyon tungkol sa mga pagbili, atbp. Sa pamamagitan ng pag-download at pagbubukas ng naturang file, ang user, nang hindi namamalayan, ay nagsisimula malisyosong code. Sunud-sunod na ini-encrypt ng virus ang mga kinakailangang file, at tinatanggal din ang mga orihinal na kopya gamit ang mga garantisadong paraan ng pagkasira (upang hindi mabawi ng user ang mga kamakailang tinanggal na file gamit ang mga espesyal na tool).

Makabagong ransomware

Ang mga encryptor at iba pang mga virus na humaharang sa access ng user sa data ay hindi bagong problema sa seguridad ng impormasyon. Ang mga unang bersyon ay lumitaw noong 90s, ngunit pangunahing ginagamit nila ang alinman sa "mahina" (hindi matatag na mga algorithm, maliit na laki ng key) o simetriko na pag-encrypt (mga file mula sa isang malaking bilang ng mga biktima ay naka-encrypt gamit ang isang susi; posible ring mabawi ang susi. sa pamamagitan ng pag-aaral ng virus code ), o kahit na gumawa ng sarili nilang mga algorithm. Ang mga modernong kopya ay walang ganoong mga pagkukulang; ang mga umaatake ay gumagamit ng hybrid na pag-encrypt: gamit ang simetriko algorithm, ang mga nilalaman ng mga file ay naka-encrypt nang napakataas mataas na bilis, at ang encryption key ay naka-encrypt gamit ang isang asymmetric algorithm. Nangangahulugan ito na upang i-decrypt ang mga file kailangan mo ng isang susi na pagmamay-ari lamang ng umaatake, sa source code Hindi ko mahanap ang program. Halimbawa, ginagamit ng CryptoLocker Algoritmo ng RSA na may key na haba na 2048 bits kasama ang simetriko na AES algorithm na may key na haba na 256 bits. Ang mga algorithm na ito ay kasalukuyang kinikilala bilang crypto-resistant.

Ang computer ay nahawaan ng virus. Ano ang gagawin?

Ito ay nagkakahalaga ng pag-iingat na kahit na ang ransomware virus ay gumagamit modernong mga algorithm pag-encrypt, ngunit hindi nila agad na na-encrypt ang lahat ng mga file sa computer. Ang pag-encrypt ay nangyayari nang sunud-sunod, ang bilis ay depende sa laki ng mga naka-encrypt na file. Samakatuwid, kung nakita mo habang nagtatrabaho na ang iyong karaniwang mga file at program ay hindi na bukas nang tama, dapat mong ihinto kaagad ang pagtatrabaho sa computer at i-off ito. Sa ganitong paraan mapoprotektahan mo ang ilang file mula sa pag-encrypt.

Sa sandaling nakatagpo ka ng isang problema, ang unang bagay na kailangan mong gawin ay alisin ang virus mismo. Hindi namin ito tatalakayin nang detalyado; sapat na upang subukang pagalingin ang iyong computer gamit ang mga programang anti-virus o alisin ang virus nang manu-mano. Nararapat lamang na tandaan na ang virus ay madalas na naninira sa sarili pagkatapos makumpleto ang algorithm ng pag-encrypt, sa gayon ay nagiging mahirap na i-decrypt ang mga file nang hindi lumingon sa mga umaatake para sa tulong. Kung ganoon antivirus program maaaring walang mahanap.

Ang pangunahing tanong ay kung paano mabawi ang naka-encrypt na data? Sa kasamaang palad, ang pagbawi ng mga file pagkatapos ng ransomware virus ay halos imposible. Sa pamamagitan ng kahit man lang, garantiya ganap na paggaling Sa kaso ng matagumpay na impeksyon, walang sinuman ang magkakaroon ng anumang data. Maraming mga tagagawa ng antivirus ang nag-aalok ng kanilang tulong sa pag-decrypting ng mga file. Upang gawin ito, kailangan mong magpadala ng naka-encrypt na file at karagdagang impormasyon(file na may mga contact ng mga umaatake, pampublikong key) sa pamamagitan ng mga espesyal na form na naka-post sa mga website ng mga manufacturer. May isang maliit na pagkakataon na ang isang paraan upang labanan ang isang partikular na virus ay natagpuan at ang iyong mga file ay matagumpay na ma-decrypt.

Subukang gumamit ng mga tinanggal na kagamitan sa pagbawi ng file. Posible na ang virus ay hindi gumamit ng mga garantisadong paraan ng pagkasira at ang ilang mga file ay maaaring mabawi (ito ay lalo na maaaring gumana sa mga file malaking sukat, halimbawa, na may mga file ng ilang sampu-sampung gigabytes). Mayroon ding pagkakataon na mabawi ang mga file mula sa mga anino na kopya. Kapag gumagamit ng mga function ng pagbawi Mga sistema ng Windows lumilikha ng mga larawan ("mga snapshot"), na maaaring naglalaman ng data ng file sa oras ng paglikha ng isang recovery point.

Kung ang iyong data ay naka-encrypt sa mga serbisyo sa ulap, makipag-ugnayan sa teknikal na suporta o tuklasin ang mga kakayahan ng serbisyong ginagamit mo: sa karamihan ng mga kaso, ang mga serbisyo ay nagbibigay ng function na "rollback" sa mga nakaraang bersyon mga file upang mabawi ang mga ito.

Ang mahigpit naming hindi inirerekomendang gawin ay ang pagsunod sa pangunguna ng ransomware at pagbabayad para sa decryption. May mga kaso kapag ang mga tao ay nagbigay ng pera at hindi natanggap ang mga susi. Walang gumagarantiya na ang mga umaatake, na nakatanggap ng pera, ay talagang magpapadala ng encryption key at magagawa mong ibalik ang mga file.

Paano protektahan ang iyong sarili mula sa isang ransomware virus. Mga hakbang sa pag-iwas

Pigilan mapanganib na kahihinatnan mas madali kaysa ayusin ang mga ito:

  • Gumamit ng maaasahan mga ahente ng antivirus at regular na mag-update mga database ng antivirus. Ito ay tila walang halaga, ngunit ito ay makabuluhang bawasan ang posibilidad ng isang virus na matagumpay na mag-inject ng sarili nito sa iyong computer.
  • Panatilihin ang mga backup na kopya ng iyong data.

Pinakamabuting gawin ito gamit ang mga espesyal na tool sa pag-backup. Karamihan sa mga cryptolocker ay nakakapag-encrypt din ng mga backup na kopya, kaya makatuwirang mag-imbak ng mga backup na kopya sa iba pang mga computer (halimbawa, sa mga server) o sa nakahiwalay na media.

Limitahan ang mga karapatang baguhin ang mga file sa mga backup na folder, na nagpapahintulot lamang sa karagdagang pagsusulat. Bilang karagdagan sa mga kahihinatnan ng ransomware, ang mga backup system ay neutralisahin ang maraming iba pang mga banta na nauugnay sa pagkawala ng data. Ang pagkalat ng virus ay muling nagpapakita ng kaugnayan at kahalagahan ng paggamit ng mga naturang sistema. Ang pagbawi ng data ay mas madali kaysa sa pag-decrypt nito!

  • Limitahan ang kapaligiran ng software sa domain.

Isa pa sa isang mahusay na paraan ang pakikibaka ay isang limitasyon sa paglulunsad ng ilang potensyal mapanganib na mga uri mga file, halimbawa, na may mga extension na .js, .cmd, .bat, .vba, .ps1, atbp. Magagawa ito gamit ang AppLocker tool (sa mga Enterprise edition) o mga patakaran ng SRP sa gitna ng domain. Mayroong medyo detalyadong mga gabay sa online kung paano ito gagawin. Sa karamihan ng mga kaso, hindi kakailanganin ng user na gamitin ang mga script file na nakalista sa itaas, at ang ransomware ay magkakaroon ng mas kaunting pagkakataon na matagumpay na makalusot.

  • Mag-ingat ka.

Ang pag-iisip ay isa sa pinakamabisang paraan ng pagpigil sa pagbabanta. Maghinala sa bawat liham na natatanggap mo mula sa mga hindi kilalang tao. Huwag magmadali upang buksan ang lahat ng mga attachment kung may pagdududa, mas mahusay na makipag-ugnay sa administrator na may isang katanungan.

Alexander Vlasov, senior engineer ng information security systems implementation department sa SKB Kontur

Kung ang sistema ay nahawaan malware mga pamilya Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl o Trojan-Ransom.Win32.CryptXXX, kung gayon ang lahat ng mga file sa computer ay mai-encrypt tulad ng sumusunod:

  • Kapag nahawa Trojan-Ransom.Win32.Rannoh ang mga pangalan at extension ay magbabago ayon sa template naka-lock-<оригинальное_имя>.<4 произвольных буквы> .
  • Kapag nahawa Trojan-Ransom.Win32.Cryakl ang isang label ay idinagdag sa dulo ng mga nilalaman ng file (CRYPTENDBLACKDC) .
  • Kapag nahawa Trojan-Ransom.Win32.AutoIt pagbabago ng extension ayon sa template <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
    Halimbawa, [email protected] _.RZWDTDIC.
  • Kapag nahawa Trojan-Ransom.Win32.CryptXXX pagbabago ng extension ayon sa mga template <оригинальное_имя>.crypt,<оригинальное_имя>. crypz At <оригинальное_имя>. cryp1.

Ang RannohDecryptor utility ay idinisenyo upang i-decrypt ang mga file pagkatapos ng impeksyon Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl o Trojan-Ransom.Win32.CryptXXX mga bersyon 1 , 2 At 3 .

Paano gamutin ang sistema

Upang pagalingin ang isang nahawaang sistema:

  1. I-download ang RannohDecryptor.zip file.
  2. Patakbuhin ang RannohDecryptor.exe sa nahawaang makina.
  3. Sa pangunahing window, i-click Simulan ang pagsuri.
  1. Tukuyin ang path patungo sa naka-encrypt at hindi naka-encrypt na file.
    Kung ang file ay naka-encrypt Trojan-Ransom.Win32.CryptXXX, tukuyin ang pinakamalaking mga file. Magiging available lang ang pag-decryption para sa mga file na may katumbas o mas maliit na laki.
  2. Maghintay hanggang sa katapusan ng paghahanap at pag-decryption ng mga naka-encrypt na file.
  3. I-restart ang iyong computer kung kinakailangan.
  4. Upang magtanggal ng kopya ng mga naka-encrypt na file tulad ng naka-lock-<оригинальное_имя>.<4 произвольных буквы> Pagkatapos ng matagumpay na pag-decryption, piliin ang .

Kung ang file ay naka-encrypt Trojan-Ransom.Win32.Cryakl, pagkatapos ay ise-save ng utility ang file sa lumang lokasyon na may extension .decryptedKLR.original_extension. Kung pinili mo Tanggalin ang mga naka-encrypt na file pagkatapos ng matagumpay na pag-decryption, pagkatapos ay ang decrypted na file ay ise-save ng utility na may orihinal na pangalan.

  1. Bilang default, ang utility ay naglalabas ng ulat sa trabaho sa ugat ng system disk (ang disk kung saan naka-install ang OS).

    Ang pangalan ng ulat ay ang sumusunod: UtilityName.Version_Date_Time_log.txt

    Halimbawa, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Sa isang sistemang nahawaan Trojan-Ransom.Win32.CryptXXX, ang utility ay nag-scan ng limitadong bilang ng mga format ng file. Kung pipili ang isang user ng file na apektado ng CryptXXX v2, maaaring tumagal ng oras upang mabawi ang key sa mahabang panahon. Sa kasong ito, ang utility ay nagpapakita ng isang babala.



MGA KAUGNAY NA ARTIKULO