Na konci pracovného dňa dostal účtovník jedného z podnikov e-mail od protistrany, s ktorou neustále viedol obchodnú korešpondenciu, list, ktorý obsahoval priložený súbor, označovaný ako „Aktu o zmieri.xls“. Pri pokuse o vizuálne otvorenie sa z pohľadu účtovníka nič nestalo. Po opakovaných niekoľkých pokusoch o otvorenie účtu sa účtovník uistil, že Excel neotvorí odoslaný súbor. Po odhlásení protistrany o nemožnosti otvoriť súbor, ktorý dostala, účtovníčka stlačila tlačidlo vypnutia počítača a bez čakania na dokončenie počítača opustila pracovisko. Keď som prišiel ráno, zistil som, že počítač sa nevypol. Nepripisoval som tomu veľký význam, pokúsil som sa začať nový pracovný deň zvyčajným klikaním na označenie 1C Accounting, no po výbere základne ma čakalo nemilé prekvapenie.
Neúspešné boli aj následné pokusy o spustenie pracovného prostredia 1C. Účtovník kontaktoval počítačovú servisnú spoločnosť ich organizácie a požiadal o technickú podporu. Špecialisti servisnej organizácie zistili, že problémy sú oveľa ambicióznejšie, pretože okrem toho, že súbory databázy 1C Accounting 7.7 boli šifrované a mali príponu „BLOCKED“, súbory s príponami doc, docx, xls , xlsx, zip, rar, 1cd a iné. Na pracovnej ploche používateľa sa našiel aj textový súbor, v ktorom bolo hlásené, že súbory boli zašifrované pomocou algoritmu RSA 2048 a že na získanie dešifrovača bolo potrebné zaplatiť za služby ransomvéru. Zálohovanie databáz 1C sa vykonávalo denne na iný pevný disk nainštalovaný v tom istom počítači vo forme vytvorenia archívu zip s priečinkom databáz 1C a kópia archívu bola umiestnená na sieťový disk (NAS). Keďže neexistovalo žiadne obmedzenie prístupu k zálohám, mal k nim prístup aj škodlivý softvér.
Po posúdení rozsahu problému špecialisti servisnej organizácie skopírovali iba zašifrované súbory na samostatnú jednotku a preinštalovali operačný systém. Z poštovej schránky účtovníka boli tiež odstránené e-maily obsahujúce škodlivý softvér. Pokusy o dešifrovanie pomocou populárnych dešifrovačov antivírusových spoločností v tom čase nepriniesli žiadny výsledok. Na tom spoločnosť obsluhujúca organizáciu dokončila svoju prácu.
Vyhliadky začať so vstupom primárnej dokumentácie do novej databázy 1C neboli pre účtovníkov veľmi príjemné. Zvažovali sa preto ďalšie možnosti obnovy zašifrovaných súborov.
Žiaľ, pôvodné telo malvéru a správa ransomvéru sa neuložili, čo znemožnilo rozobrať telo a určiť algoritmus jeho činnosti pomocou analýzy v debuggeri. Rovnako nebolo možné skontrolovať, či ho spĺňali rôzne antivírusové spoločnosti.
Preto okamžite pristúpime k analýze súborov, ktorých štruktúry sú dobre známe. V tomto prípade je vhodné použiť na analýzu DBF súbory z databázy 1C, pretože ich štruktúra je veľmi predvídateľná. Vezmite súbor 1SENTRY.DBF.BLOCKED (denník účtovných zápisov), veľkosť tohto súboru je 53 044 658 bajtov
ryža. 2
Vzhľadom na zašifrovaný súbor DBF dávame pozor na to, že prvých 0x35 bajtov nie je zašifrovaných, pretože existuje hlavička špecifická pre tento typ súboru a sledujeme časť popisu prvého poľa záznamu. Vypočítajme veľkosť súboru. Na tento účel vezmite: WORD s posunom 0x08, ktorého obsah je 0x04C1 (určuje veľkosť hlavičky DBF súboru), SLOVO s posunom 0x0A, ktorého obsah je 0x0130 (určuje veľkosť jedného záznamu v databáza), DWORD s posunom 0x04, ktorého obsah je 0x0002A995 (počet záznamov) a 0x01 je veľkosť koncovej značky. Vyriešme príklad: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) bajtov. Veľkosť súboru podľa záznamu systému súborov zodpovedá veľkosti vypočítanej na základe informácií v hlavičke súboru DBF. Vykonajte podobné kontroly pre niekoľko súborov DBF a uistite sa, že veľkosť súboru nebola zmenená škodlivým softvérom.
Analýza obsahu DBF ukazuje, že malé súbory začínajúce od offsetu 0x35 sú plne šifrované, ale veľké nie.
ryža. 3
Čísla účtov, dátumy a sumy boli zmenené, aby nedošlo k porušeniu dohôd o mlčanlivosti, a to aj v šifrovanej oblasti.
Počnúc od offsetu 0x00132CB5 zistíme, že až do konca súboru nie sú žiadne známky šifrovania, po vykonaní kontroly v iných veľkých súboroch potvrdzujeme predpoklad, že iba súbory menšie ako 0x00132CB5 (1 256 629) bajtov sú plne šifrované. Mnohí autori škodlivého softvéru vykonávajú čiastočné šifrovanie súborov, aby skrátili čas potrebný na poškodenie používateľských údajov. Pravdepodobne sa riadia tým, že ich škodlivý kód spôsobí užívateľovi maximálnu možnú škodu v čo najkratšom čase.
Začnime analyzovať šifrovací algoritmus
ryža. štyri
Na obr. 4, namiesto hlavičiek polí súboru DBF sú takmer identické sekvencie 16 bajtov (offsety 0x50, 0x70, 0x90), vidíme aj čiastočné opakovanie sekvencií 16 bajtov (offsety 0x40.0x60.0x80), v ktorých rozdiely sú len v bajtoch, kde by mali predpisovať názov poľa a typ poľa.
Na základe tohto pozorovania, s trochou porozumenia algoritmom kryptografických algoritmov ako AES , RSA , môžeme urobiť jednoznačný záver, že údaje nie sú pomocou týchto algoritmov zašifrované. To znamená, že informácie o šifrovacom algoritme poskytnuté zákazníkom sú nespoľahlivé. Môže byť nespoľahlivý buď z dôvodu niektorých chybných záverov zákazníka, alebo môže byť výsledkom podvodu zo strany autora škodlivého programu. Nemôžeme to overiť, pretože máme k dispozícii iba zašifrované súbory.
Na základe štrukturálnych vlastností hlavičiek súborov DBF a zmien v bajtoch v sekvenciách môžeme predpokladať, že šifrovanie bolo vykonané pomocou operácií XOR na údajoch s určitým vzorom. Na základe dĺžky opakujúcich sa sekvencií môžete tiež predpokladať, že dĺžka vzoru je 16 bajtov (128 bitov). Základná hlavička je 0x04C1 bajtov, veľkosť popisu jedného poľa v hlavičke je 0x20 (32) bajtov. Z toho vyplýva, že hlavička tohto DBF súboru obsahuje (0x4C1-0x21)/0x20=0x25 (37) popisy polí. Na obr. 4 sú fragmenty záznamov dvoch polí podčiarknuté červenou farbou, počnúc od offsetu 0x10, ktorý v prípade 1C má spravidla nulové hodnoty, okrem samotného 0x10 (keďže veľkosť poľa je uvedená pri tomto posune), na základe na tomto môžeme predpokladať, že už máme 15 zo 16 bajtov šifrovania kľúča 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.
Aby sme našli posledný bajt v kľúči, zoberme si ďalší fragment toho istého súboru DBF.
ryža. 5
Na obrázku 5 si dajme pozor na nultý stĺpec, presnejšie na jeho nezašifrovanú časť a vidíme, že tam prevláda hodnota 0x20 (medzerový kód podľa ASCII tabuľky). Podľa toho bude v zašifrovanej časti stĺpca prevládať určitá identická hodnota. Je ľahké vidieť, že toto je 0xFA. Ak chcete získať pôvodnú hodnotu bajtu chýbajúceho kľúča, musíte vykonať 0xFA xor 0x20=0xDA.
Nahradením výslednej hodnoty za chýbajúcu pozíciu dostaneme úplný kľúč 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.
Po vykonaní procedúry xor dostali operácie so získaným kľúčom na zašifrovaných sekciách pôvodný obsah súboru
ryža. 6
Pre konečnú kontrolu vykonáme operáciu dešifrovania zip archívu a potom archív rozbalíme. Ak boli extrahované všetky súbory a pri žiadnom súbore sa nevyskytla chyba CRC, potom môžete konečne potvrdiť správnosť kľúča. A posledným krokom bude rozbalenie zvyšku súborov podľa zadávacích podmienok.
Tento príklad naznačuje, že zrejme nie všetky tvrdenia autorov škodlivého softvéru sú pravdivé. A často je možné vyriešiť problém s obnovou používateľských údajov analýzou zmenených údajov.
Spolu s podobnými jednoduchými prípadmi existujú aj šifrovacie trójske kone, ktoré skutočne využijú moderné kryptografické algoritmy a v prípade útoku je takéto jednoduché riešenie v podstate nemožné. Preto buďte mimoriadne opatrní pri otváraní akýchkoľvek súborov prijatých e-mailom, a to aj z dôveryhodných zdrojov. Udržujte svoj antivírusový softvér aktuálny a zálohujte si ho, aby vaše údaje vo všetkých kópiách neboli dostupné súčasne nikomu.
Inštrukcia
Vyvolajte hlavnú ponuku systému Microsoft Windows stlačením tlačidla "Štart" a prejdite na "Všetky programy" na vykonanie operácie dešifrovania predtým zašifrovaných súborov.
Vyvolajte kontextovú ponuku súboru, priečinka alebo disku, ktorý chcete dešifrovať, kliknutím pravým tlačidlom myši a výberom položky „Vlastnosti.
Prejdite na kartu „Všeobecné“ v dialógovom okne, ktoré sa otvorí, a vyberte príkaz „Iné“.
Zrušte začiarknutie políčka „Šifrovať obsah na ochranu údajov“ a kliknutím na tlačidlo OK použite zmeny. Majte na pamäti, že keď zrušíte šifrovanie priečinkov, ktoré sú zašifrované súbory a podpriečinky zostanú zašifrované, pokiaľ nie je uvedené inak, a novovytvorené súbory a podpriečinky dešifrovaného priečinka nebudú zašifrované.
Stiahnite si bezplatný nástroj te19decrypt.exe z oficiálnej webovej stránky vývojára antivírusovej aplikácie Dr.Web a spustite spustiteľný súbor pomôcky na vykonanie operácie dešifrovania súborov zašifrovaných vírusom Trojan.Encoder. (Tento vírus je ransomvérový program, ktorý zašifruje súbory používateľa a následne sa sám vymaže. Zároveň na systémovom disku zostáva textový súbor crypted.txt, ktorý obsahuje požiadavku na prevody peňazí v rôznych sumách na dešifrovanie poškodených súborov .)
Kliknite na tlačidlo Pokračovať v hlavnom okne programu a vyjadrite súhlas s návrhom zadať umiestnenie súboru kľúča c:crypted.txt manuálne.
V dialógovom okne Otvoriť zadajte úplnú cestu k požadovanému súboru a potvrďte príkaz kliknutím na tlačidlo OK.
Poznámka
Nepokúšajte sa vymazať textový súbor z:\crypted.txt sami, pretože dešifrovanie súborov zašifrovaných vírusmi je potom nemožné!
Zdroje:
- Dešifrovanie súboru alebo priečinka
- Ako dešifrovať súbory zašifrované vírusom Trojan.Encoder?
- zašifrovaný súbor
- Dešifrovanie súborov EFS
Niektoré vírusy šifrujú používateľské súbory, po ktorých môže byť prístup k nim konvenčnými prostriedkami obmedzený. Obnovenie normálneho režimu nastáva softvérovým zásahom.
Inštrukcia
Vykonajte dodatočnú kontrolu počítača na prítomnosť vírusov. Potom si stiahnite jeden z antitrójskych programov z internetu. Je to potrebné, ak bol malvér skrytý pred antivírusom. Skontrolujte a potom nájdite zašifrované súbory.
Pre každý prípad si vytvorte ich záložnú kópiu a uistite sa, že vo vašom počítači nie sú žiadne hrozby. Prepíšte celé meno trójskych koní nájdených vo vašom počítači. Je to potrebné na získanie prístupu k informáciám o metódach šifrovania súborov v budúcnosti, pretože tu pravdepodobne nebudú vhodné univerzálne nástroje. Z rovnakého dôvodu sa počas úvodnej kontroly neponáhľajte s odstránením škodlivého softvéru z počítača.
Stiahnite si akýkoľvek nástroj na dešifrovanie súborov po infikovaní vírusmi. Takéto nástroje sú zvyčajne dostupné na oficiálnych stránkach vývojárov antivírusových systémov. Pri výbere programu sa tiež riaďte názvom trójskeho koňa, pomocou ktorého bolo šifrovanie vykonané, pretože mnohé z nich používajú rôzne metódy.
Najlepšie urobíte, ak si ich stiahnete od dodávateľov zabezpečenia, ktorých poznáte, pretože opäť existuje riziko škodlivého softvéru. Tieto nástroje majú zvyčajne skúšobné obdobie, počas ktorého sa môžu použiť na liečbu.
Podľa pokynov systému vyberte súbory zašifrované vírusom v stiahnutom nástroji spustenom na vašom počítači. súbory a podľa pokynov systému vykonajte potrebné činnosti. Potom znova vykonajte antivírusovú kontrolu, najmä pokiaľ ide o súbory, ktoré ste dešifrovali.
Potom si do počítača nainštalujte spoľahlivý, aktuálny antivírusový softvér, aby ste predišli podobným situáciám v budúcnosti.
Podobné videá
Užitočné rady
Používajte antivírusový softvér.
VIN auto obsahuje takmer všetky dôležité a cenné informácie o vozidle: počnúc krajinou, kde bolo auto zmontované, a končiac jeho farbou, rokom výroby a výbavou. Aby ste mali všetky tieto informácie k dispozícii, VIN len sa musíš naučiť čítať.
Budete potrebovať
- - VIN kód auta
Inštrukcia
Určte časti svojho VIN a.
VIN-kód pozostáva zo 17 znakov, ktoré sú rozdelené do troch častí:
- svetový index výrobcov alebo WMI;
- popisná časť alebo VDS;
- charakteristická časť alebo VIS Svetový index výrobcu sú prvé tri znaky VIN a, popisná časť pozostáva z nasledujúcich šiestich znakov a posledných osem znakov je rozlišovacia časť. Pozrime sa bližšie na to, aké informácie možno získať dešifrovaním každej zo základných častí VIN a.
Dešifrujte index svetových výrobcov Prvý znak indexu vám povie, v ktorej časti sveta bol váš vyrobený, druhý - v ktorej krajine a tretí bude označovať konkrétneho výrobcu. V tejto časti sú písmená latinskej abecedy od A do H kód a, ak bolo auto zmontované v Afrike; od J do R - v jednej z ázijských krajín a od S po Z - v Európe. Aj medzi prvými tromi postavami VIN a môžete vidieť aj čísla. V prípade, že vašou domovinou je Severná Amerika, nájdete čísla od 1 do 5; ak bol vyrobený v Oceánii, index výrobcu bude obsahovať čísla 6 alebo 7 a výrobcovia z Južnej Ameriky budú mať čísla 8 alebo 9.
Dešifrujte popisnú časť indexu. Týchto šesť znakov sa používa na opis typu vozidla: na základe ktorého je postavené, modelu auta, typu karosérie a ďalších. Pre každého výrobcu sú tieto symboly jedinečné, takže pre podrobnejšie dekódovanie by ste si mali vyhľadať informácie týkajúce sa vášho konkrétneho Posledná popisná časť VIN a väčšina výrobcov po roku 1980 používa na označenie typu motora. Upozorňujeme však, že to platí len pre tie modely, pri výrobe ktorých výrobca zabezpečil inštaláciu rôznych typov a / alebo objemov.
Dešifrujte výraznú časť. Obsahuje informácie, ktoré sa týkajú výlučne vášho vozidla. Výrobca mohol zašifrovať posledných osem znakov VIN a kompletnú sadu vášho auta, jeho farbu, typ prevodovky. Niekedy sa stáva, že rozlišovacia časť je len sled znakov, ktorý zodpovedá každému konkrétnemu autu v databáze všeobecného výrobcu a nie je vôbec dešifrovaný. Tu je však to, čo môžeme s istotou povedať: desiaty znak akéhokoľvek VIN-kód a na aute je šifra roku výroby. Písmená latinskej abecedy od A do Y zodpovedajú od roku 1980 do roku 2000, resp. Ak bolo auto vyrobené v rokoch 2001 až 2009, tak v r VIN desiatym znakom v čísle bude číslo od 1 do 9. Všetky nasledujúce roky počnúc rokom 2010 sú opäť označené podľa písmen latinskej abecedy, počnúc A.
Užitočné rady
Na pomoc motoristom na internete existuje veľké množstvo organizácií, ktoré ponúkajú bezplatné dešifrovanie všeobecných informácií vo VIN kóde.
Taktiež veľké medzinárodné organizácie ako Carfax a Autocheck môžu za poplatok poskytnúť spoľahlivé informácie o tom, či sa vozidlo stalo účastníkom dopravných nehôd, kde bol servis vykonaný, aký má počet najazdených kilometrov a ďalšie údaje. Je úplne legálna a navrhnutá tak, aby si automobiloví nadšenci na celom svete mohli pred kúpou zistiť históriu ojazdeného auta.
Zdroje:
- auto vin
Šifrovanie priečinkov je najbezpečnejším spôsobom ochrany informácií poskytovaných operačným systémom Windows. Používateľ, ktorý súbor zašifroval, s ním môže pracovať rovnako ako s inými priečinkami, no na zaručenie prístupu k zašifrovaným údajom je potrebná záložná kópia certifikátu a šifrovacieho kľúča.
Inštrukcia
Vyvolajte kontextové menu priečinka alebo súboru, ktorý chcete zašifrovať, a prejdite na položku „Vlastnosti“.
V dialógovom okne, ktoré sa otvorí, vyberte kartu „Všeobecné“ a vyberte položku „Rozšírené“.
Začiarknite políčko vedľa položky „Šifrovať obsah na ochranu údajov“ a kliknutím na tlačidlo OK potvrďte operáciu šifrovania.
Zrušte začiarknutie políčka „Zašifrovať obsah na ochranu údajov“ a kliknutím na tlačidlo OK potvrďte, že vybraný súbor alebo priečinok bude dešifrovaný.
Stlačením klávesu Enter potvrďte vykonanie príkazu a rozbaľte priečinok„Osobné“ kliknutím na šípku vedľa neho.
Špecifikujte sekciu "Certifikáty" a vyberte certifikát so zoznamom "EFS File System" v "Destinations".
Uistite sa, že vybraný certifikát je správny, posunutím jeho údajov doprava a aplikujte tento algoritmus akcií na všetky existujúce certifikáty EFS.
Vyberte Všetky úlohy z ponuky Akcia na hornom paneli nástrojov okna aplikácie a vyberte príkaz Exportovať.
Potvrďte heslo správcu počítača opätovným zadaním potvrdzovacieho poľa a kliknutím na tlačidlo "Ďalej" vytvorte súbor úložiska certifikátu.
Zadajte názov vybraného súboru a úplnú cestu k nemu a kliknite na tlačidlo "Dokončiť".
Podobné videá
Poznámka
Komprimované priečinky a súbory nie je možné šifrovať.
Užitočné rady
Šifrovať možno iba súbory a priečinky umiestnené na zväzkoch NTFS.
Zdroje:
- Šifrujte a dešifrujte priečinok a súbor v roku 2019
Operačný systém Windows umožňuje v atribútoch nastaviť možnosť šifrovania. Potom bude súbor čitateľný iba pre tohto používateľa, koho určí ako „agenta obnovy“ alebo používateľa, ktorý má „verejný kľúč“. Ak vznikne potreba zrušiť šifrovanie, môžete to urobiť aj v nastaveniach súboru alebo priečinka.
Spustite "Explorer" - stlačte kombináciu klávesov Win + E alebo vyberte "Počítač" v hlavnej ponuke operačného systému. Prejdite stromom adresárov na ľavej table do požadovaného priečinka.
K zašifrovanému súboru sa môžete dostať aj iným spôsobom, pomocou vyhľadávača OS. Vo Windows 7 a Vista je to veľmi jednoduché: stlačte kláves Win a začnite písať názov súboru. Keď sa v zozname výsledkov zobrazí odkaz na požadovaný objekt, kliknite naň pravým tlačidlom myši a vyberte možnosť „Umiestnenie súboru“.
Vyberte tento súbor a kliknite pravým tlačidlom myši na súbor alebo stlačte kláves kontextového menu - je umiestnený na klávesnici medzi pravými tlačidlami Win a Ctrl. V oboch prípadoch sa na obrazovke zobrazí kontextové menu, v ktorom potrebujete úplne posledný riadok - "Vlastnosti". Vyberte ho z ponuky a otvorí sa samostatné okno s nastavením vlastností súboru.
Karta Všeobecné (predvolene sa otvára) je rozdelená na sekcie. Úplne dole je niekoľko začiarkavacích políčok súvisiacich s atribútmi súboru a tlačidlo "Iné" - kliknite naň.
V okne Rozšírené atribúty súboru zrušte začiarknutie políčka Šifrovať obsah na ochranu údajov. Potom kliknite na tlačidlá OK v oboch otvorených oknách a operácia sa dokončí.
V prípade potreby zrušte šifrovanie nie pre jeden súbor, ale pre všetky súbory v priečinku je potrebné konať takmer rovnako. Po prvých troch krokoch vyberte nie súbor, ale požadovaný priečinok na ľavom paneli Prieskumníka. Kontextové menu s položkou "Vlastnosti" pre priečinok, ako aj pre súbor, sa vyvolá kliknutím pravým tlačidlom myši a v okne vlastností objektu je potrebné zopakovať dva predchádzajúce kroky.
Dešifrovanie údajov zakódovaných pomocou profesionálneho softvéru vyžaduje buď rovnaký softvérový balík, alebo obrovský výpočtový výkon a ešte pokročilejšie programy. Častejšie sa však na kódovanie používajú dostupnejšie prostriedky, ktoré sa dekódujú oveľa jednoduchšie.
Inštrukcia
V konštrukcii webu sa najčastejšie používa najdostupnejší spôsob šifrovania dát – pomocou vstavaných funkcií programovacích jazykov. Spomedzi serverových jazykov je dnes najrozšírenejší PHP, v ktorom je funkcia base64_encode určená na šifrovanie. Dáta ním zakódované je možné dekódovať pomocou inverznej funkcie – base64_decode. Ak máte možnosť spúšťať PHP skripty na vašom počítači alebo webovom serveri, vytvorte tento jednoduchý kód:
Medzi úvodzovky funkcie base64_decode umiestnite reťazec údajov, ktorý chcete dekódovať. Potom uložte kód do súboru s príponou php a otvorte túto stránku cez prehliadač - dešifrované údaje uvidíte na prázdnej stránke.
Ak nie je možné spustiť php skripty, použite webový formulár na niektorej z internetových stránok - odkaz na požadovanú stránku je uvedený nižšie. Skopírujte zašifrované údaje a vložte ich do poľa nad tlačidlom Base 64 Decode. Po stlačení tohto tlačidla sa zobrazí ďalšie pole s dešifrovanými údajmi - možno ich tiež skopírovať a použiť podľa vlastného uváženia.
Ak je metóda šifrovania neznáma, skúste údaje dekódovať pomocou jedného z programov, ktoré dokážu iterovať cez niekoľko algoritmov. Jedna z týchto aplikácií sa nazýva "Stirlitz", nevyžaduje inštaláciu a je na internete pomerne populárna, takže nebude ťažké ju nájsť. Program sa pokúša dešifrovať údaje pomocou piatich šifrovacích algoritmov.
Najnovšie verzie operačných systémov Windows umožňujú kódovať všetky súbory na danom disku alebo na všetkých médiách v počítači. Ak potrebujete dekódovať dáta z takéhoto súboru, najlepšie je zveriť to samotnému OS – v jeho nastaveniach si vypnite šifrovanie a Windows prepíše všetky súbory dátami v ich nezašifrovaných verziách. Ak to chcete urobiť, stlačte tlačidlo Win, napíšte a zo zoznamu výsledkov vyhľadávania vyberte „BitLocker Drive Encryption“. Potom kliknite na odkaz „Vypnúť BitLocker“ vedľa požadovaného disku. Keď systém dokončí vykonávanie tohto príkazu, môžete otvoriť súbor s predtým zašifrovanými údajmi.
Zdroje:
- Webový formulár pre funkciu base64_decode
Pri práci s dokumentmi ich možno budete musieť niekomu poslať cez internet (napríklad pomocou e-mailu). V niektorých prípadoch však dôležitosť informácií v nich obsiahnutých neumožňuje robiť to otvorenou formou. Samozrejme, riešením je šifrovanie, ktoré si mnohí ľudia spájajú s niečím vzdialeným a komplikovaným. Takáto úloha sa však dá ľahko vyriešiť pomocou bezplatného programu na archiváciu súborov, napríklad 7-Zip, ktorý s ním vytvorí šifrovaný archív.
Budete potrebovať
- - internet;
- - operačný systém Microsoft Windows;
- - 7-Zip archivačný program.
Inštrukcia
Stiahnite si a nainštalujte. Ak chcete zašifrovať dokument pomocou 7-Zip, musíte ho najskôr nainštalovať. Ak to chcete urobiť, prejdite na webovú stránku http://7-zip.org/ (časť „Na stiahnutie“), vyberte vhodnú verziu programu pre váš počítač (32 alebo 64 bit) a stiahnite si ju. Po stiahnutí spustite inštalačný program programu a postupujte podľa jeho pokynov - to by vám nemalo spôsobiť žiadne otázky.
Skontrolujte asociácie súborov. Po inštalácii 7-Zip spravidla nemení nastavenia operačného systému a nepridáva svoju sekciu do kontextového menu Prieskumníka. Ak chcete vykonať tieto zmeny, musíte otvoriť ponuku Štart, Programy, 7-Zip a vybrať Správca súborov 7-Zip. V hlavnom menu otvorte sekciu „Služba“ a vyberte „Nastavenia ...“. Ďalej prejdite na kartu „Systém“ a kliknite na „Vybrať všetko“. Potvrďte zmeny kliknutím na tlačidlo "OK" v spodnej časti okna programu.
Vyberte súbor dokumentu. Môžete zašifrovať akýkoľvek súbor, na jeho formáte nezáleží. Ak to chcete urobiť, otvorte prieskumníka a nájdite požadovaný súbor. Potom naň kliknite pravým tlačidlom myši a v zobrazenej ponuke vyberte „7-Zip“, „Pridať do archívu ...“.
Nastavte nastavenia a spustite. V okne, ktoré sa otvorí, môžete nastaviť názov archívu, heslo na otvorenie, nastaviť šifrovanie názvov súborov a ďalšie nastavenia. Upozorňujeme, že šifrovanie mien je predvolene vypnuté a nie je nastavené žiadne archívne heslo. Po zadaní všetkých požadovaných nastavení môžete spustiť vytváranie šifrovaného archívu stlačením tlačidla "OK" v aktuálnom okne.
Počkajte na koniec. Dokončenie operácie môže chvíľu trvať v závislosti od veľkosti súborov, ktoré sa majú zašifrovať, stupňa kompresie a ďalších nastavení. Po dokončení sa vedľa súborov, ktoré sa majú zašifrovať, zobrazí archív s predtým zadaným názvom.
A každý rok pribúdajú nové a nové ... zaujímavejšie a zaujímavejšie. Najpopulárnejší najnovší vírus (Trojan-Ransom.Win32.Rector), ktorý šifruje všetky vaše súbory (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar atď. .) .d.). Problém je v tom, že dešifrovanie takýchto súborov je mimoriadne náročné a časovo náročné, v závislosti od typu šifrovania môže dešifrovanie trvať týždne, mesiace alebo aj roky. Podľa môjho názoru je tento vírus v súčasnosti vrcholom nebezpečnosti medzi ostatnými vírusmi. Je to nebezpečné najmä pre domáce počítače/notebooky, pretože väčšina používateľov si nezálohuje svoje dáta a pri zašifrovaní súborov o všetky dáta príde. Pre organizácie je tento vírus menej nebezpečný, pretože si vytvárajú záložné kópie dôležitých dát a v prípade infekcie ich jednoducho obnovia, samozrejme, po odstránení vírusu. S týmto vírusom som sa stretol viackrát, popíšem ako k nemu došlo a k čomu viedol.
Prvýkrát som sa začiatkom roku 2014 zoznámil s vírusom, ktorý šifruje súbory. Kontaktoval ma správca z iného mesta a povedal mi tú najnepríjemnejšiu správu - Všetky súbory na súborovom serveri sú šifrované! Infekcia prebehla elementárnym spôsobom - do účtovného oddelenia prišiel list s prílohou "Urobte niečo tam.pdf.exe", ako ste pochopili, otvorili tento EXE súbor a proces sa začal ... zašifroval všetky osobné súbory na počítač a prešiel na súborový server (bol zmapovaný sieťovou jednotkou). Spolu so správcom sme sa začali hrabať v informáciách na internete ... vtedy nebolo riešenie ... všetci písali, že existuje taký vírus, nevedelo sa, ako ho liečiť, nedalo sa dešifrovať súbory, možno by pomohlo odoslanie súborov do Kaspersky, Dr Web alebo Nod32. Môžete ich poslať, iba ak používate ich antivírusové programy (existujú licencie). Poslali sme súbory Dr Web a Nod32, výsledky boli 0, nepamätám si, čo povedali v Dr Web, ale v Nod 32 boli úplne ticho a nečakal som od nich žiadnu odpoveď. Vo všeobecnosti bolo všetko smutné a nikdy sme nenašli riešenie, niektoré súbory boli obnovené zo zálohy.
Druhý príbeh – práve druhý deň (v polovici októbra 2014) mi volali z organizácie, aby som vyriešil problém s vírusom, ako viete, všetky súbory v počítači boli zašifrované. Tu je príklad, ako to vyzeralo.
Ako vidíte, ku každému súboru bola pridaná prípona *.AES256. V každom priečinku bol súbor „Attention_open-me.txt“, v ktorom boli kontakty na komunikáciu.
Pri pokuse o otvorenie týchto súborov sa otvoril program s kontaktmi na kontaktovanie autorov vírusu, aby zaplatili za dešifrovanie. Samozrejme neodporúčam ich kontaktovať a ani platiť za kód, keďže ich podporíte len finančne a nie je pravda, že dostanete dešifrovací kľúč.
K infekcii došlo počas inštalácie programu stiahnutého z internetu. Najprekvapivejšie bolo, že keď si všimli, že sa súbory zmenili (ikony a prípony súborov sa zmenili), neurobili nič a pokračovali v práci a medzitým ransomvér pokračoval v šifrovaní všetkých súborov.
Pozor!!! Ak na svojom počítači spozorujete šifrovanie súborov (zmena ikon, zmena prípony), okamžite vypnite počítač / notebook a hľadajte riešenie na inom zariadení (z iného počítača / notebooku, telefónu, tabletu) alebo kontaktujte IT špecialistov. Čím dlhšie je váš počítač/notebook zapnutý, tým viac súborov zašifruje.
Vo všeobecnosti som im už chcel odmietnuť pomôcť, ale rozhodol som sa surfovať po internete, možno už existuje riešenie tohto problému. V dôsledku vyhľadávaní som sa dočítal veľa informácií, že sa to nedá dešifrovať, že treba posielať súbory antivírusovým spoločnostiam (Kaspersky, Dr Web alebo Nod32) - vďaka, bol to zážitok.
Narazil som na utilitu od Kaspersky - RectorDecryptor. A hľa, súbory boli dešifrované. No najprv to...
Prvým krokom je zastaviť ransomvér. Na antivírusoch vás nenájdete, pretože nainštalovaný Dr Web nič nenašiel. Najprv som prešiel do automatického načítania a zakázal som všetky automatické načítania (okrem antivírusu). Reštartoval počítač. Potom sa začal pozerať na to, aké súbory boli pri spustení.
Ako vidíte, v poli "Príkaz" je uvedené, kde sa súbor nachádza, osobitnú pozornosť si vyžaduje odstránenie aplikácií bez podpisu (Výrobca - Žiadne údaje). Vo všeobecnosti som našiel a odstránil škodlivý softvér a súbory, ktoré mi ešte neboli jasné. Potom som vyčistil dočasné priečinky a vyrovnávaciu pamäť prehliadača, najlepšie je použiť program na tieto účely CCleaner .
Potom som pokračoval v dešifrovaní súborov, ktoré som si stiahol dešifrovací program RectorDecryptor . Spustil sa a videl skôr asketické rozhranie nástrojov.
Klikol som na „Spustiť kontrolu“ a označil som príponu, ktorú mali všetky upravené súbory.
A označil zašifrovaný súbor. V novších verziách RectorDecryptor môžete jednoducho zadať šifrovaný súbor. Kliknite na tlačidlo "Otvoriť".
Tada-a-a-am!!! Stal sa zázrak a súbor bol dešifrovaný.
Potom pomôcka automaticky skontroluje všetky počítačové súbory + súbory na pripojenom sieťovom disku a dešifruje ich. Proces dešifrovania môže trvať niekoľko hodín (v závislosti od počtu zašifrovaných súborov a rýchlosti vášho počítača).
Výsledkom bolo, že všetky zašifrované súbory boli úspešne dešifrované do rovnakého adresára, kde boli pôvodne umiestnené.
Zostáva vymazať všetky súbory s príponou .AES256, to je možné vykonať zaškrtnutím políčka "Po úspešnom dešifrovaní odstrániť zašifrované súbory", ak ste v okne RectorDecryptor klikli na "Zmeniť nastavenia overovania".
Pamätajte však, že je lepšie nezačiarknuť toto políčko, pretože v prípade neúspešného dešifrovania súborov sa súbory vymažú a ak sa ich chcete pokúsiť dešifrovať znova, budete ich musieť spustiť obnoviť .
Pri pokuse o odstránenie všetkých zašifrovaných súborov pomocou štandardného vyhľadávania a vymazania som narazil na zamrznutie a extrémne pomalý výkon počítača.
Preto na jeho odstránenie je najlepšie použiť príkazový riadok, spustiť ho a písať del"<диск>:\*.<расширение зашифрованного файла>"/f/s. V mojom prípade del "d:\*.AES256" /f /s.
Nezabudnite vymazať súbory "Attention_open-me.txt", na tento účel použite príkaz na príkazovom riadku del"<диск>:\*.<имя файла>"/f/s, napríklad
del "d:\Attention_open-me.txt" /f /s
Vírus bol teda porazený a súbory obnovené. Chcem vás varovať, že táto metóda nepomôže každému, ide o to, že Kapersky v tomto nástroji zhromaždil všetky známe dešifrovacie kľúče (z tých súborov, ktoré poslali infikovaní vírusom) a vyberie kľúče a dešifruje ich brutálnym spôsobom. sila. Tie. ak sú vaše súbory zašifrované vírusom s kľúčom, ktorý ešte nie je známy, tak táto metóda nepomôže... infikované súbory budete musieť poslať antivírusovým spoločnostiam – Kaspersky, Dr Web alebo Nod32, aby ich dešifrovali.
je škodlivý program, ktorý po aktivácii zašifruje všetky osobné súbory, ako sú dokumenty, fotografie atď. Počet takýchto programov je veľmi veľký a každým dňom sa zvyšuje. Len nedávno sme narazili na desiatky možností ransomvéru: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff atď. Účelom takéhoto ransomvéru je prinútiť používateľov, aby si kúpili, často za veľkú sumu peňazí, program a kľúč potrebný na dešifrovanie vlastných súborov.
Samozrejme, zašifrované súbory môžete obnoviť jednoducho podľa pokynov, ktoré tvorcovia vírusu nechajú na infikovanom počítači. Ale najčastejšie sú náklady na dešifrovanie veľmi významné, musíte tiež vedieť, že niektoré šifrovacie vírusy šifrujú súbory takým spôsobom, že je jednoducho nemožné ich dešifrovať neskôr. A samozrejme je len nepríjemné platiť za obnovu vlastných súborov.
Nižšie si povieme podrobnejšie o vírusoch ransomware, o tom, ako prenikajú do počítača obete, ako aj o tom, ako odstrániť vírus ransomware a obnoviť ním zašifrované súbory.
Ako sa ransomvérový vírus dostane do počítača
Vírus ransomware sa zvyčajne distribuuje prostredníctvom e-mailu. List obsahuje infikované dokumenty. Tieto e-maily sa odosielajú do obrovskej databázy e-mailových adries. Autori tohto vírusu používajú zavádzajúce hlavičky a obsah e-mailov, čím sa snažia oklamať používateľa, aby otvoril dokument pripojený k e-mailu. Niektoré listy informujú o nutnosti zaplatiť účet, iné ponúkajú nahliadnutie do najnovšieho cenníka, iné otvoria vtipnú fotku atď. V každom prípade výsledkom otvorenia priloženého súboru bude infikovanie počítača vírusom ransomware.
Čo je to ransomware vírus
Vírus ransomware je škodlivý program, ktorý infikuje moderné verzie operačných systémov z rodiny Windows, ako sú Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Tieto vírusy sa snažia použiť najsilnejšie možné režimy šifrovania, ako napríklad RSA -2048 s dĺžkou kľúča 2048 bitov, čo prakticky vylučuje možnosť výberu kľúča pre vlastné dešifrovanie súborov.
Počas infikovania počítača ransomvérový vírus používa systémový adresár %APPDATA% na ukladanie vlastných súborov. Aby sa automaticky spustil po zapnutí počítača, ransomvér vytvorí záznam v registri Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\Spustiť, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Ihneď po spustení vírus skontroluje všetky dostupné disky vrátane sieťového a cloudového úložiska, aby určil, ktoré súbory budú šifrované. Vírus ransomware používa príponu názvu súboru ako spôsob, ako určiť skupinu súborov, ktoré budú šifrované. Šifrované sú takmer všetky typy súborov vrátane takých bežných, ako sú:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wp, .wpt, .. .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Ihneď po zašifrovaní súbor dostane novú príponu, pomocou ktorej možno často identifikovať názov alebo typ šifrovača. Niektoré typy tohto škodlivého softvéru môžu zmeniť aj názvy šifrovaných súborov. Vírus potom vytvorí textový dokument s názvami ako HELP_YOUR_FILES, README, ktorý obsahuje pokyny na dešifrovanie zašifrovaných súborov.
Ransomvér sa počas svojej činnosti snaží zablokovať možnosť obnovy súborov pomocou systému SVC (tieňové kópie súborov). Na tento účel vírus v príkazovom režime zavolá obslužný program na správu tieňových kópií súborov pomocou kľúča, ktorý spustí procedúru ich úplného odstránenia. Preto je takmer vždy nemožné obnoviť súbory pomocou ich tieňových kópií.
Vírus ransomware aktívne používa taktiku zastrašovania tým, že obeti poskytne odkaz na popis šifrovacieho algoritmu a na pracovnej ploche zobrazí výhražnú správu. Snaží sa tak prinútiť používateľa infikovaného počítača, aby bez váhania poslal ID počítača na e-mailovú adresu autora vírusu, aby sa pokúsil vrátiť svoje súbory. Odpoveďou na takúto správu je najčastejšie výška výkupného a adresa elektronickej peňaženky.
Je môj počítač napadnutý ransomvérovým vírusom?
Je celkom jednoduché určiť, či je počítač infikovaný vírusom ransomware alebo nie. Venujte pozornosť príponám vašich osobných súborov, ako sú dokumenty, fotografie, hudba atď. Ak sa prípona zmenila alebo vaše osobné súbory zmizli a zanechali za sebou veľa súborov s neznámymi názvami, počítač je infikovaný. Okrem toho je znakom infekcie prítomnosť súboru s názvom HELP_YOUR_FILES alebo README vo vašich adresároch. Tento súbor bude obsahovať pokyny na dešifrovanie súborov.
Ak máte podozrenie, že ste otvorili list infikovaný vírusom ransomware, ale zatiaľ sa neprejavili žiadne príznaky infekcie, nevypínajte ani nereštartujte počítač. Postupujte podľa krokov popísaných v časti tohto návodu. Opäť je veľmi dôležité nevypínať počítač, pri niektorých typoch ransomvéru sa proces šifrovania súborov aktivuje už pri prvom zapnutí počítača po infekcii!
Ako dešifrovať súbory zašifrované vírusom ransomware?
Ak sa toto nešťastie stalo, nie je dôvod na paniku! Musíte však vedieť, že vo väčšine prípadov neexistuje bezplatný dešifrovač. Dôvodom sú silné šifrovacie algoritmy používané takýmto malvérom. To znamená, že je takmer nemožné dešifrovať súbory bez súkromného kľúča. Použitie metódy výberu kľúča tiež nie je možné z dôvodu veľkej dĺžky kľúča. Preto je, žiaľ, jediným spôsobom, ako sa pokúsiť získať dešifrovací kľúč, zaplatiť autorom vírusu celú požadovanú sumu.
Samozrejme, neexistuje žiadna záruka, že po zaplatení sa autori vírusu spoja a poskytnú kľúč potrebný na dešifrovanie vašich súborov. Okrem toho musíte pochopiť, že vyplácaním peňazí vývojárom vírusov ich vy sami tlačíte, aby vytvorili nové vírusy.
Ako odstrániť ransomware vírus?
Predtým, ako budete pokračovať, musíte vedieť, že keď začnete odstraňovať vírus a pokúšate sa obnoviť súbory sami, zablokujete možnosť dešifrovať súbory tým, že zaplatíte autorom vírusu sumu, ktorú požadovali.
Kaspersky Virus Removal Tool a Malwarebytes Anti-malware dokážu zistiť rôzne typy aktívnych ransomware vírusov a ľahko ich odstráni z vášho počítača, ALE nedokážu obnoviť zašifrované súbory.
5.1. Odstráňte ransomware pomocou nástroja Kaspersky Virus Removal Tool
V predvolenom nastavení je program nakonfigurovaný na obnovenie všetkých typov súborov, ale na urýchlenie práce sa odporúča ponechať iba typy súborov, ktoré potrebujete obnoviť. Po dokončení výberu stlačte tlačidlo OK.
V spodnej časti okna QPhotoRec nájdite tlačidlo Prehľadávať a kliknite naň. Musíte vybrať adresár, do ktorého sa budú ukladať obnovené súbory. Je vhodné použiť disk, ktorý neobsahuje šifrované súbory vyžadujúce obnovu (môžete použiť USB flash disk alebo externý disk).
Ak chcete spustiť postup vyhľadávania a obnovy pôvodných kópií zašifrovaných súborov, kliknite na tlačidlo Hľadať. Tento proces trvá pomerne dlho, takže buďte trpezliví.
Po dokončení vyhľadávania kliknite na tlačidlo Ukončiť. Teraz otvorte priečinok, ktorý ste vybrali na uloženie obnovených súborov.
Priečinok bude obsahovať adresáre s názvom recup_dir.1, recup_dir.2, recup_dir.3 atď. Čím viac súborov program nájde, tým viac adresárov tam bude. Ak chcete nájsť potrebné súbory, skontrolujte postupne všetky adresáre. Aby ste uľahčili nájdenie potrebného súboru medzi veľkým počtom obnovených, použite vstavaný vyhľadávací systém Windows (podľa obsahu súboru) a nezabudnite ani na funkciu triedenia súborov v adresároch. Ako parameter triedenia môžete vybrať dátum, kedy bol súbor upravený, pretože QPhotoRec sa pri obnove súboru pokúša obnoviť túto vlastnosť.
Ako zabrániť infikovaniu počítača vírusom ransomware?
Väčšina moderných antivírusových programov má už zabudovaný ochranný systém proti prenikaniu a aktivácii ransomvérových vírusov. Preto, ak váš počítač nemá antivírusový program, nezabudnite ho nainštalovať. Ako si ho vybrať, zistíte prečítaním tohto článku.
Okrem toho existujú špeciálne ochranné programy. Toto je napríklad CryptoPrevent, ďalšie podrobnosti.
Pár slov na záver
Podľa týchto pokynov bude váš počítač vyčistený od vírusu ransomware. Ak máte otázky alebo potrebujete pomoc, kontaktujte nás.
Rozmýšľame, ako obnoviť Skype na prenosnom počítači
Fixies masters plná verzia Fixies hra plná verzia stiahnutá do vášho počítača
Inštalácia alebo aktualizácia, oprava chýb Net framework 3
Virtuálne meny a virtuálne burzy vo svete
Zlaté čísla Ako predať krásne telefónne číslo