Súbory sú šifrované pomocou txt. Ako dešifrovať súbory pomocou Kaspersky Lab - video. Programová prevencia vírusovej infekcie osobného počítača

Pri cestovaní po rôznych mestách a dedinách sa človek chtiac-nechtiac stretáva s prekvapeniami, ktoré môžu byť príjemné a zároveň vyvolávať zvýšené nepohodlie, silný smútok.

Rovnaké emócie môžu čakať na používateľa, ktorý má rád „cestovanie“ po internete. Aj keď niekedy samé od seba na e-mail priletia nepríjemné prekvapenia vo forme výhražných listov, dokumentov, ktoré si používatelia chcú čo najskôr prečítať, čím sa dostanú do siete podvodníkov.

Na internete sa môžete stretnúť s neskutočným množstvom vírusov naprogramovaných na vykonávanie viacerých negatívnych úloh na vašom počítači, preto je dôležité naučiť sa rozlišovať medzi bezpečnými odkazmi na sťahovanie súborov a dokumentov a obísť tie, ktoré sú jasným nebezpečenstvom pre váš počítač.

Ak ste sa zaradili medzi tých nešťastníkov, ktorí museli zažiť negatívne dôsledky zásahu vírusu, určite nepochybujete, že je užitočné zbierať a následne organizovať informácie o tom, ako predísť infekcii počítača.

Vírusy sa objavili hneď, ako sa objavila počítačová technológia. Každým rokom existuje stále viac odrôd vírusov, takže pre používateľa je ľahké zničiť iba nosič vírusu, ktorý je už dlho známy, a našiel sa 100% spôsob jeho zničenia.

Pre používateľa je oveľa ťažšie „bojovať“ proti vírusovým nosičom, ktoré sa práve objavia v sieti alebo sú sprevádzané rozsiahlymi deštruktívnymi akciami.

Spôsoby obnovenia súborov

V situácii, keď vírus zašifroval súbory v počítači, je pre mnohých kľúčovou otázkou, čo robiť. Ak ide o amatérske fotografie, pri ktorých sa tiež nechcete zmieriť so stratou, môžete dlhodobo hľadať spôsoby, ako problém vyriešiť. Ak však vírus zašifruje súbory, ktoré sú nevyhnutné pre podnikanie, túžba zistiť, čo robiť, je neuveriteľne veľká a okrem toho chcete konať dostatočne rýchlo.

Obnovenie predchádzajúcej verzie

Ak bola na vašom počítači vopred povolená ochrana systému, potom aj v prípadoch, keď sa o vás „nezvaný hosť šifrovania“ už dokázal postarať, budete môcť obnoviť dokumenty a vedieť, čo robiť v tomto prípade.

Systém vám pomôže obnoviť dokumenty pomocou ich tieňových kópií. Samozrejme, že trójsky kôň tiež smeruje svoje úsilie na odstránenie takýchto kópií, ale vírusy nie vždy uspejú v takýchto manipuláciách, pretože nemajú práva správcu.

Krok 1

Obnovenie dokumentu pomocou jeho predchádzajúcej kópie je teda jednoduché. Ak to chcete urobiť, kliknite pravým tlačidlom myši na súbor, ktorý sa ukázal byť poškodený. V zobrazenej ponuke vyberte položku „Vlastnosti“. Na obrazovke počítača sa zobrazí okno, v ktorom budú štyri karty, musíte prejsť na poslednú kartu "Predchádzajúce verzie".

Krok 2

V okne nižšie budú uvedené všetky dostupné tieňové kópie dokumentu, stačí si vybrať možnosť, ktorá je pre vás najvhodnejšia, a potom kliknúť na tlačidlo „Obnoviť“.

Žiaľ, takáto „sanitka“ sa nedá aplikovať na počítači, kde nebola vopred povolená ochrana systému. Z tohto dôvodu vám odporúčame zapnúť si ho vopred, aby ste si neskôr „nezahryzli do lakťov“ a vyčítali si zjavnú neposlušnosť.

Krok 3

Povolenie ochrany systému na počítači je tiež jednoduché, nezaberie vám to veľa času. Zažeňte preto svoju lenivosť, tvrdohlavosť a pomôžte svojmu počítaču stať sa menej zraniteľným voči trójskym koňom.

Kliknite pravým tlačidlom myši na ikonu "Počítač" a vyberte "Vlastnosti". Na ľavej strane okna, ktoré sa otvorí, bude zoznam, v ktorom nájdete riadok „Ochrana systému“, kliknite naň.

Teraz sa znova otvorí okno, v ktorom budete vyzvaní na výber disku. So zvýraznenou miestnou jednotkou "C" kliknite na tlačidlo "Konfigurovať".

Krok 4

Teraz sa otvorí okno s možnosťami obnovenia. Musíte súhlasiť s prvou možnosťou, ktorá zahŕňa obnovenie systémových nastavení a predchádzajúcich verzií dokumentov. Nakoniec kliknite na tradičné tlačidlo „OK“.

Ak ste všetky tieto manipulácie vykonali vopred, potom aj keď trójsky kôň navštívi váš počítač a zašifruje súbory, budete mať vynikajúce predpovede na obnovenie dôležitých informácií.

Aspoň neprepadnete panike, keď zistíte, že všetky súbory vo vašom počítači sú zašifrované, v takom prípade už budete presne vedieť, čo máte robiť.

Používanie pomôcok

Mnoho antivírusových spoločností nenechá používateľov na pokoji s problémom, keď vírusy šifrujú dokumenty. Kaspersky Lab a Doctor Web vyvinuli špeciálne nástroje, ktoré pomáhajú eliminovať takéto problematické situácie.

Ak teda nájdete strašné stopy návštevy ransomvéru, skúste použiť pomôcku Kaspersky RectorDecryptor.

Spustite obslužný program v počítači, zadajte cestu k súboru, ktorý bol zašifrovaný. Nie je ťažké pochopiť, čo by mal nástroj priamo robiť. Snaží sa nájsť kľúč na dešifrovanie súboru triedením cez viacero možností. Žiaľ, takáto operácia môže byť veľmi zdĺhavá a pre mnohých používateľov z časového hľadiska nevyhovujúca.

Predovšetkým sa môže stať, že výber správneho kľúča trvá približne 120 dní. Zároveň musíte pochopiť, že sa neodporúča prerušiť proces dešifrovania, takže nemôžete vypnúť ani počítač.

Spoločnosť Kaspersky Lab ponúka aj ďalšie nástroje:

• XoristDecryptor;
• RakhniDecryptor;
• ransomware decryptor.

Tieto nástroje sú zamerané na výsledky škodlivých aktivít iných ransomvérových trójskych koní. Najmä pomôcka Ransomware Decryptor je pre mnohých stále neznáma, pretože je zameraná na boj proti CoinVault, ktorý len teraz začína útočiť na internet a prenikať do počítačov používateľov.

Ani vývojári Doctor Web nezaháľajú, a tak používateľom predstavujú svoje utility, pomocou ktorých sa môžu pokúsiť obnoviť zašifrované dokumenty aj v počítači.

Vytvorte ľubovoľný priečinok na jednotke C a vymyslite mu jednoduchý názov. V tomto priečinku rozbaľte pomôcku stiahnutú z oficiálnej webovej stránky spoločnosti.

Teraz ho môžete použiť na praktické riešenie problému. Ak to chcete urobiť, spustite príkazový riadok, zadajte do neho "cd c:\XXX", kde namiesto XXX napíšte názov priečinka, do ktorého ste umiestnili pomôcku.

Namiesto „myfiles“ by sa mal uviesť názov priečinka, v ktorom sa nachádzajú poškodené dokumenty.

Teraz sa spustí pomôcka a začne sa proces liečby, po úspešnom dokončení nájdete správu, ktorá bude uvádzať, čo bolo obnovené. Mimochodom, program nevymaže šifrované súbory, ale jednoducho uloží obnovenú verziu vedľa nich.

Žiaľ, ani túto utilitu Doctor Web nemôžete považovať za čarovný prútik, taktiež nedokáže všetko.

Čo robiť v prípade infekcie, mnohí už možno prišli na to, ale skúsení používatelia odporúčajú získať informácie o tom, čo robiť, kategoricky sa neodporúča, aby nevyvolali vážnejšie následky, keď sa šanca na obnovenie dokumentov bude rovnať nule.

Operačný systém nie je možné preinštalovať do počítača. V tomto prípade možno budete schopní odstrániť škodcu, ale určite nebudete môcť vrátiť dokumenty do funkčného stavu.

Nemôžete spustiť programy zodpovedné za čistenie registra, odstránenie dočasných súborov v počítači.

Neodporúča sa vykonávať antivírusovú kontrolu, počas ktorej je možné infikované dokumenty jednoducho odstrániť. Ak ste trochu hlúpi a spúšťate svoj antivírus v panike, potom sa aspoň uistite, že všetky infikované súbory nie sú vymazané, ale jednoducho umiestnené do karantény.

Ak ste pokročilý používateľ, môžete prerušiť proces šifrovania v počítači, kým sa nerozšíri na všetky súbory a dokumenty. Ak to chcete urobiť, spustite "Správcu úloh" a zastavte proces. Neskúsený používateľ pravdepodobne nebude schopný zistiť, ktorý proces súvisí s vírusom.

Je užitočné odpojiť počítač od internetu. Ak sa toto spojenie preruší, vo väčšine prípadov sa preruší aj proces šifrovania súborov a dokumentov v počítači.

Ak teda dokonale viete, čo robiť, keď sa zistí návšteva trójskeho koňa ransomware, môžete podniknúť kroky, ktoré dúfajú v úspech. Okrem toho, keď ste dostali informácie o tom, ako dešifrovať súbory zašifrované vírusom, môžete sa pokúsiť problém vyriešiť sami a zabrániť tomu, aby sa znova objavil.

Asi pred týždňom či dvomi sa na sieti objavil ďalší diel moderných tvorcov vírusov, ktorý šifruje všetky používateľské súbory. Opäť zvážim otázku, ako vyliečiť počítač po víruse ransomware zašifrované000007 a obnoviť zašifrované súbory. V tomto prípade sa neobjavilo nič nové a jedinečné, iba modifikácia predchádzajúcej verzie.

Zaručené dešifrovanie súborov po víruse ransomware - dr-shifro.ru. Podrobnosti o práci a schéma interakcie so zákazníkom sú uvedené nižšie v mojom článku alebo na webovej stránke v časti „Postup práce“.

Popis vírusu ransomware CRYPTED000007

Šifrovač CRYPTED000007 sa od svojich predchodcov zásadne nelíši. Funguje to takmer jeden k druhému. Ale stále existuje niekoľko nuancií, ktoré ho odlišujú. Poviem vám o všetkom v poriadku.

Prichádza, rovnako ako jeho kolegovia, poštou. Techniky sociálneho inžinierstva sa používajú na to, aby sa používateľ začal zaujímať o list a otvoril ho. V mojom prípade bol list o nejakom súde a o dôležitých informáciách o prípade v prílohe. Po spustení prílohy používateľ otvorí dokument programu Word s výpisom z moskovského arbitrážneho súdu.

Súbežne s otvorením dokumentu sa spustí šifrovanie súboru. Začne neustále vyskakovať informačnú správu zo systému Windows User Account Control.

Ak súhlasíte s návrhom, záložné kópie súborov v tieňových kópiách systému Windows budú odstránené a obnova informácií bude veľmi náročná. Je zrejmé, že v žiadnom prípade nemožno s návrhom súhlasiť. V tomto ransomvéri tieto požiadavky neustále vyskakujú, jedna po druhej, a nezastavia sa, čo núti používateľa súhlasiť a vymazať zálohy. Toto je hlavný rozdiel oproti predchádzajúcim modifikáciám ransomvéru. Nikdy som nevidel, že by žiadosti o vymazanie tieňovej kópie prebiehali nepretržite. Väčšinou po 5-10 vetách prestali.

Dám vám odporúčanie do budúcna. Ľudia veľmi často vypínajú upozornenia zo systému kontroly používateľských účtov. Nemusíte to robiť. Tento mechanizmus môže skutočne pomôcť pri odolnosti proti vírusom. Druhou samozrejmou radou je nepracovať trvalo pod administrátorským účtom počítača, pokiaľ to nie je objektívna potreba. V tomto prípade vírus nebude mať príležitosť spôsobiť veľa škody. S väčšou pravdepodobnosťou mu budete odolávať.

Ale aj keď ste na žiadosti o ransomvér odpovedali negatívne, všetky vaše údaje sú už zašifrované. Po dokončení procesu šifrovania sa na pracovnej ploche zobrazí obrázok.

Zároveň bude na ploche veľa textových súborov s rovnakým obsahom.

Vaše súbory boli zašifrované. Ak chcete dešifrovať ux, musíte opraviť kód: 329D54752553ED978F94|0 na e-mailovú adresu [e-mail chránený]. Potom dostanete všetky potrebné pokyny. Pokusy rozlúštiť to sami k ničomu nepovedú, okrem nenávratného množstva informácií. Ak to stále chcete skúsiť, urobte si vopred záložné kópie súborov, inak v prípade zmien ux nebude dešifrovanie za žiadnych okolností možné. Ak ste nedostali odpoveď na vyššie uvedenú adresu do 48 hodín (a iba v tomto prípade!), použite prosím formulár spätnej väzby. Môžete to urobiť dvoma spôsobmi: 1) Stiahnite si a nainštalujte Tor Browser z odkazu: https://www.torproject.org/download/download-easy.html.en Zadajte adresu do adresy Tor Browser: http:/ /cryptsen7fo43rr6 .onion/ a stlačte Enter. Načíta sa stránka s kontaktným formulárom. 2) V ľubovoľnom prehliadači prejdite na jednu z adries: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Všetky dôležité súbory vo vašom počítači boli zašifrované. Na dešifrovanie súborov by ste mali poslať nasledujúci kód: 329D54752553ED978F94|0 na e-mailovú adresu [e-mail chránený]. Potom dostanete všetky potrebné pokyny. Všetky vaše pokusy o dešifrovanie povedú iba k neodvolateľnej strate vašich údajov. Ak sa ich stále chcete pokúsiť dešifrovať sami, urobte si najskôr zálohu, pretože dešifrovanie nebude možné v prípade akýchkoľvek zmien v súboroch. Ak ste nedostali odpoveď z vyššie uvedeného e-mailu dlhšie ako 48 hodín (a iba v tomto prípade!), použite formulár spätnej väzby. Môžete to urobiť dvoma spôsobmi: 1) Stiahnite si Tor Browser tu: https://www.torproject.org/download/download-easy.html.en Nainštalujte ho a do panela s adresou zadajte nasledujúcu adresu: http:/ /cryptsen7fo43rr6.onion/ Stlačte Enter a následne sa načíta stránka s formulárom spätnej väzby. 2) V ľubovoľnom prehliadači prejdite na jednu z nasledujúcich adries: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Poštová adresa sa môže zmeniť. Videl som aj iné adresy, ako je táto:

• [e-mail chránený]
• [e-mail chránený]

Adresy sa neustále aktualizujú, takže môžu byť úplne odlišné.

Akonáhle zistíte, že súbory sú zašifrované, okamžite vypnite počítač. Toto sa musí urobiť, aby sa prerušil proces šifrovania na lokálnom počítači aj na sieťových jednotkách. Vírus ransomware dokáže zašifrovať všetky informácie, ku ktorým sa dostane, a to aj na sieťových diskoch. Ale ak existuje veľké množstvo informácií, potom mu to zaberie značné množstvo času. Niekedy ani za pár hodín ransomvér nestihol zašifrovať všetko na sieťovom disku s objemom približne 100 gigabajtov.

Ďalej si musíte dobre premyslieť, ako konať. Ak v každom prípade potrebujete informácie vo svojom počítači a nemáte záložné kópie, je lepšie v tejto chvíli kontaktovať špecialistov. Nie nevyhnutne za peniaze v niektorých firmách. Potrebujete len človeka, ktorý sa dobre orientuje v informačných systémoch. Je potrebné posúdiť rozsah katastrofy, odstrániť vírus, zhromaždiť všetky dostupné informácie o situácii, aby sme pochopili, ako postupovať.

Nesprávne akcie v tejto fáze môžu výrazne skomplikovať proces dešifrovania alebo obnovy súborov. Prinajhoršom to dokážu znemožniť. Neponáhľajte sa preto, buďte opatrní a dôslední.

Ako vírus CRYPTED000007 ransomware šifruje súbory

Po spustení vírusu a ukončení činnosti budú všetky užitočné súbory zašifrované, premenované z rozšírenie.crypted000007. A nahradí sa nielen prípona súboru, ale aj názov súboru, takže ak si nepamätáte, nebudete presne vedieť, aké súbory ste mali. Bude tam niečo ako tento obrázok.

V takejto situácii bude ťažké posúdiť rozsah tragédie, pretože si nebudete môcť úplne spomenúť, čo ste mali v rôznych priečinkoch. Toto bolo urobené zámerne, aby zmiatlo osobu a povzbudilo ju, aby zaplatila za dešifrovanie súborov.

A ak ste mali šifrované sieťové priečinky a žiadne úplné zálohy, potom to môže vo všeobecnosti zastaviť prácu celej organizácie. Okamžite nepochopíte, čo sa nakoniec stratí, aby ste mohli začať s obnovou.

Ako ošetriť počítač a odstrániť ransomvér CRYPTED000007

Vírus CRYPTED000007 je už vo vašom počítači. Prvou a najdôležitejšou otázkou je, ako vyliečiť počítač a ako z neho odstrániť vírus, aby sa zabránilo ďalšiemu šifrovaniu, ak ešte nebolo dokončené. Okamžite vás upozorňujem na skutočnosť, že keď sami začnete vykonávať nejaké akcie s počítačom, šanca na dešifrovanie údajov sa zníži. Ak potrebujete obnoviť súbory všetkými prostriedkami, nedotýkajte sa počítača, ale okamžite kontaktujte odborníkov. Nižšie o nich budem hovoriť a dám odkaz na stránku a opíšem schému ich práce.

Medzitým budeme pokračovať v nezávislej liečbe počítača a odstraňovaní vírusu. Tradične sa ransomvér ľahko odstráni z počítača, pretože vírus nemá za úlohu zostať v počítači za každú cenu. Po úplnom zašifrovaní súborov je pre neho ešte výhodnejšie sa vymazať a zmiznúť, takže by bolo ťažšie vyšetriť incident a dešifrovať súbory.

Popísať manuálne odstránenie vírusu je ťažké, aj keď som sa o to už predtým pokúšal, ale vidím, že väčšinou je to zbytočné. Názvy súborov a cesty umiestňovania vírusov sa neustále menia. To, čo som videl, už o týždeň alebo dva nie je aktuálne. Vírusy sa zvyčajne posielajú poštou vo vlnách a zakaždým sa objaví nová modifikácia, ktorú antivírusy ešte nerozpoznali. Pomáhajú univerzálne nástroje, ktoré kontrolujú autorun a zisťujú podozrivú aktivitu v systémových priečinkoch.

Na odstránenie vírusu CRYPTED000007 môžete použiť nasledujúce programy:

1. Kaspersky Virus Removal Tool – pomôcka od spoločnosti Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
2. Dr.Web CureIt! - podobný produkt z iného webu http://free.drweb.ru/cureit .
3. Ak prvé dva nástroje nepomáhajú, skúste MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

S najväčšou pravdepodobnosťou jeden z týchto produktov vyčistí počítač od ransomvéru CRYPTED000007. Ak sa zrazu stane, že nepomáhajú, skúste vírus odstrániť manuálne. Techniku ​​odstraňovania som uviedol ako príklad a môžete ju tam vidieť. V skratke, čo musíte urobiť:

1. Pozeráme sa na zoznam procesov a predtým sme do správcu úloh pridali niekoľko ďalších stĺpcov.
2. Nájdeme proces vírusu, otvoríme priečinok, v ktorom sa nachádza, a odstránime ho.
3. Zmienku o vírusovom procese vyčistíme podľa názvu súboru v registri.
4. Reštartujeme a uistíme sa, že vírus CRYPTED000007 nie je v zozname spustených procesov.

Kde stiahnuť decryptor CRYPTED000007

Otázka jednoduchého a spoľahlivého decryptora vyvstáva v prvom rade, keď ide o vírus ransomware. Prvá vec, ktorú odporúčam, je použiť službu https://www.nomoreransom.org. Čo ak budete mať šťastie, budú mať dešifrovač pre vašu verziu šifrovača CRYPTED000007. Hneď poviem, že nemáte veľa šancí, ale pokus nie je mučenie. Na hlavnej stránke kliknite na tlačidlo Áno:

Potom nahrajte niekoľko zašifrovaných súborov a kliknite na tlačidlo Prejsť! zistiť:

V čase písania tohto článku sa dekodér na stránke nenachádzal.

Možno budete mať viac šťastia. Zoznam decryptorov na stiahnutie si môžete pozrieť aj na samostatnej stránke - https://www.nomoreransom.org/decryption-tools.html . Možno je tam niečo užitočné. Keď je vírus veľmi čerstvý, je to malá šanca, ale časom sa môže niečo objaviť. Existujú príklady, keď sa v sieti objavili dešifrovače pre niektoré úpravy ransomvéru. A tieto príklady sú na uvedenej stránke.

Kde inde nájdem dekodér, neviem. Je nepravdepodobné, že bude skutočne existovať, berúc do úvahy zvláštnosti práce moderného ransomvéru. Plnohodnotný dekodér môžu mať len autori vírusu.

Ako dešifrovať a obnoviť súbory po víruse CRYPTED000007

Čo robiť, keď vírus CRYPTED000007 zašifroval vaše súbory? Technická implementácia šifrovania neumožňuje dešifrovanie súborov bez kľúča alebo dešifrovača, ktorý má iba autor šifrovača. Možno existuje nejaký iný spôsob, ako to získať, ale nemám takéto informácie. Súbory sa môžeme pokúsiť obnoviť iba pomocou improvizovaných metód. Tie obsahujú:

• Nástroj tieňové kópie okná.
• Programy na obnovu zmazaných údajov

Najprv skontrolujeme, či máme povolené tieňové kópie. Tento nástroj funguje predvolene v systéme Windows 7 a novšom, pokiaľ ho manuálne nezakážete. Ak chcete skontrolovať, otvorte vlastnosti počítača a prejdite do časti Ochrana systému.

Ak ste počas infekcie nepotvrdili požiadavku UAC na odstránenie súborov v tieňových kópiách, niektoré údaje by tam mali zostať. Podrobnejšie som o tejto požiadavke hovoril na začiatku príbehu, keď som hovoril o pôsobení vírusu.

Pre pohodlné obnovenie súborov z tieňových kópií navrhujem použiť bezplatný program - ShadowExplorer. Stiahnite si archív, rozbaľte program a spustite.

Otvorí sa posledná kópia súborov a koreňový adresár jednotky C. V ľavom hornom rohu si môžete vybrať zálohu, ak máte viac ako jednu. Skontrolujte rôzne kópie pre potrebné súbory. Porovnajte podľa dátumov, kde je najnovšia verzia. V mojom príklade nižšie som na pracovnej ploche našiel 2 súbory, ktoré boli tri mesiace staré, keď boli naposledy upravované.

Podarilo sa mi obnoviť tieto súbory. Aby som to urobil, vybral som ich, klikol pravým tlačidlom myši, vybral Exportovať a označil priečinok, kde ich mám obnoviť.

Rovnakým spôsobom môžete okamžite obnoviť priečinky. Ak vám tieňové kópie fungovali a neodstránili ste ich, máte pomerne veľkú šancu obnoviť všetky alebo takmer všetky súbory zašifrované vírusom. Možno niektoré z nich budú staršou verziou, ako by sme chceli, no napriek tomu je to lepšie ako nič.

Ak z nejakého dôvodu nemáte tieňové kópie súborov, jedinou šancou, ako získať aspoň niektoré zo zašifrovaných súborov, je obnoviť ich pomocou nástrojov na obnovu zmazaných súborov. Na tento účel navrhujem použiť bezplatný program Photorec.

Spustite program a vyberte disk, na ktorom budete obnovovať súbory. Spustenie grafickej verzie programu spustí súbor qphotorec_win.exe. Musíte vybrať priečinok, do ktorého budú umiestnené nájdené súbory. Je lepšie, ak sa tento priečinok nenachádza na rovnakom disku, na ktorom hľadáme. Za týmto účelom pripojte flash disk alebo externý pevný disk.

Proces vyhľadávania bude trvať dlho. Na konci uvidíte štatistiky. Teraz môžete prejsť do predtým určeného priečinka a zistiť, čo sa tam nachádza. S najväčšou pravdepodobnosťou bude veľa súborov a väčšina z nich bude buď poškodená, alebo to budú nejaké systémové a zbytočné súbory. V tomto zozname však bude možné nájsť niekoľko užitočných súborov. Tu neexistujú žiadne záruky, čo nájdete, to nájdete. Najlepšie zo všetkého je, že obrázky sa zvyčajne obnovia.

Ak vás výsledok neuspokojí, stále existujú programy na obnovenie odstránených súborov. Nižšie je uvedený zoznam programov, ktoré zvyčajne používam, keď potrebujem obnoviť maximálny počet súborov:

• R.saver
• Obnova súboru Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Tieto programy nie sú zadarmo, preto nebudem poskytovať odkazy. So silnou túžbou si ich môžete nájsť sami na internete.

Celý proces obnovy súboru je podrobne zobrazený vo videu na samom konci článku.

Kaspersky, eset nod32 a ďalší v boji proti ransomvéru Filecoder.ED

Populárne antivírusy definujú ransomvér CRYPTED000007 ako Filecoder.ED a potom môže byť nejaké iné označenie. Prešiel som fóra hlavných antivírusov a nevidel som tam nič užitočné. Bohužiaľ, ako to už býva, antivírusy neboli pripravené na inváziu novej vlny ransomvéru. Tu je správa z fóra Kaspersky.

Antivírusy tradične vynechávajú nové modifikácie ransomvérových trójskych koní. Odporúčam ich však používať. Ak budete mať šťastie a ransomvér vám príde poštou nie v prvej vlne infekcií, ale o niečo neskôr, existuje šanca, že vám antivírus pomôže. Všetci pracujú jeden krok za útočníkmi. Je vydaná nová verzia ransomvéru, antivírusy na ňu nereagujú. Akonáhle sa nahromadí určitá masa materiálu na výskum nového vírusu, antivírusy vydajú aktualizáciu a začnú na ňu reagovať.

Čo bráni antivírusom okamžite reagovať na akýkoľvek proces šifrovania v systéme, mi nie je jasné. Možno existuje nejaká technická nuansa v tejto téme, ktorá vám neumožňuje primerane reagovať a zabrániť šifrovaniu používateľských súborov. Zdá sa mi, že by bolo možné aspoň zobraziť varovanie o tom, že niekto šifruje vaše súbory, a ponúknuť zastavenie procesu.

Kde požiadať o zaručené dešifrovanie

Náhodou som sa stretol s jednou spoločnosťou, ktorá skutočne dešifruje dáta po práci rôznych šifrovacích vírusov, vrátane CRYPTED000007. Ich adresa je http://www.dr-shifro.ru. Platba až po úplnom dešifrovaní a vašom overení. Tu je príklad pracovného postupu:

1. Špecialista spoločnosti príde do vašej kancelárie alebo domov a podpíše s vami zmluvu, v ktorej stanoví cenu práce.
2. Spustí decryptor a dešifruje všetky súbory.
3. Uistite sa, že sú otvorené všetky súbory a podpisujete akt doručenia / prevzatia vykonanej práce.
4. Platba až po úspešnom výsledku dešifrovania.

Úprimne povedané, neviem, ako to robia, ale nič neriskujete. Platba až po predvedení dekodéra. Napíšte recenziu o svojich skúsenostiach s touto spoločnosťou.

Spôsoby ochrany pred vírusom CRYPTED000007

Ako sa chrániť pred prácou ransomvéru a zaobísť sa bez materiálnych a morálnych škôd? Existuje niekoľko jednoduchých a účinných tipov:

1. Zálohujte! Zálohovanie všetkých dôležitých údajov. A nielen záloha, ale záloha, ku ktorej nie je trvalý prístup. V opačnom prípade môže vírus infikovať vaše dokumenty aj zálohy.
2. Licencovaný antivírus. Neposkytujú síce 100% záruku, ale zvyšujú šancu vyhnúť sa šifrovaniu. Najčastejšie nie sú pripravené na nové verzie ransomvéru, ale po 3-4 dňoch začnú reagovať. To zvyšuje vaše šance vyhnúť sa infekcii, ak nie ste súčasťou prvej vlny rozosielania novej modifikácie ransomvéru.
3. Neotvárajte podozrivé prílohy v pošte. Tu nie je čo komentovať. Všetci mne známi kryptografi sa k používateľom dostali cez poštu. A zakaždým sa vymyslia nové triky na oklamanie obete.
4. Neotvárajte bezhlavo odkazy, ktoré vám poslali vaši priatelia cez sociálne siete alebo instant messenger. Takto sa niekedy šíria vírusy.
5. Povoľte oknám zobrazovať prípony súborov. Ako to urobiť, je ľahké nájsť na internete. To vám umožní všimnúť si príponu súboru na víruse. Najčastejšie to bude .exe, .vbs, .src. Pri každodennej práci s dokumentmi sa s takýmito príponami súborov pravdepodobne nestretnete.

Snažil som sa doplniť to, čo som už napísal skôr v každom článku o víruse ransomware. Dovtedy sa lúčim. Budem rád, ak dostanem užitočné komentáre k článku a všeobecne k šifrovaciemu vírusu CRYPTED000007.

Video s dešifrovaním a obnovou súborov

Tu je príklad predchádzajúcej modifikácie vírusu, ale video je plne relevantné aj pre CRYPTED000007.

Stalo sa vám už, že ste dostali na Email, Skype alebo ICQ správu od neznámeho odosielateľa s odkazom na fotografiu vášho priateľa alebo gratuláciu k blížiacej sa dovolenke? Zdá sa, že neočakávate žiadne nastavenie a zrazu, keď kliknete na odkaz, sa do vášho počítača načíta vážny škodlivý softvér. Nemáte čas vstúpiť do svedomia, keďže vírus už zašifroval všetky súbory. Čo robiť v takejto situácii? Je možné obnoviť dokumenty?

Aby ste pochopili, ako sa vysporiadať s malvérom, musíte vedieť, čo to je a ako preniká do operačného systému. Okrem toho nezáleží na tom, ktorú verziu systému Windows používate - vírus Critroni je zameraný na infikovanie akéhokoľvek operačného systému.

Šifrovací počítačový vírus: definícia a akčný algoritmus

Na internete sa objavil nový počítačový vírusový softvér, ktorý mnohí poznajú pod názvom CTB (Curve Tor Bitcoin) alebo Critroni. Ide o pokročilý ransomvérový trójsky kôň v princípe podobný predtým známemu malvéru CriptoLocker. Ak vírus zašifroval všetky súbory, čo robiť v tomto prípade? Najprv musíte pochopiť algoritmus jeho práce. Podstatou vírusu je zašifrovať všetky vaše súbory v príponách .ctbl, .ctb2, .vault, .xtbl alebo iných. Nebudete ich však môcť otvoriť, kým nezaplatíte požadovanú sumu peňazí.

Bežné sú vírusy Trojan-Ransom.Win32.Shade a Trojan-Ransom.Win32.Onion. Vo svojej lokálnej akcii sú veľmi podobní STV. Možno ich rozlíšiť podľa prípony šifrovaných súborov. Trojan-Ransom kóduje informácie vo formáte .xtbl. Keď otvoríte akýkoľvek súbor, na obrazovke sa zobrazí správa, že vaše osobné dokumenty, databázy, fotografie a ďalšie súbory boli zašifrované škodlivým softvérom. Na ich dešifrovanie potrebujete za poplatok získať jedinečný kľúč, ktorý je uložený na tajnom serveri a iba v tomto prípade môžete s dokumentmi vykonávať dešifrovanie a kryptografické akcie. Ale nebojte sa a ešte viac posielajte peniaze na zadané číslo, existuje aj iný spôsob, ako sa vysporiadať s týmto typom počítačovej kriminality. Ak sa práve takýto vírus dostal do vášho počítača a zašifroval všetky .xtbl súbory, čo by ste mali v takejto situácii robiť?

Čo nerobiť, keď sa do vášho počítača dostane kryptografický vírus

Stáva sa, že v panike nainštalujeme antivírusový program a použijeme ho na automatické alebo manuálne odstránenie vírusového softvéru, pričom spolu s ním stratíme dôležité dokumenty. Je to nepríjemné, navyše sa v počítači môžu ukladať dáta, na ktorých ste pracovali mesiace. O takéto doklady bez možnosti ich obnovenia je škoda.

Ak vírus zašifroval všetky súbory .xtbl, niektorí sa pokúšajú zmeniť ich príponu, ale to tiež nevedie k pozitívnym výsledkom. Preinštalovaním a naformátovaním pevného disku sa malvér natrvalo odstráni, no zároveň stratíte akúkoľvek možnosť obnovenia dokumentov. V tejto situácii nepomôžu ani špeciálne vytvorené dešifrovacie programy, pretože softvérový ransomvér je naprogramovaný podľa neštandardného algoritmu a vyžaduje si špeciálny prístup.

Aký nebezpečný je ransomware vírus pre osobný počítač

Je úplne jasné, že vášmu osobnému počítaču neprospeje žiadny škodlivý program. Na čo je tento softvér? Napodiv, takéto programy boli vytvorené nielen s cieľom vymámiť od používateľov čo najviac peňazí. V skutočnosti je vírusový marketing pre mnohých antivírusových vynálezcov celkom výnosný. Koniec koncov, ak vírus zašifroval všetky súbory vo vašom počítači, kam idete ako prvý? Prirodzene, s pomocou profesionálov. Čo je šifrovanie pre váš laptop alebo osobný počítač?

Algoritmus ich práce je neštandardný, takže infikované súbory nebude možné liečiť bežným antivírusovým softvérom. Odstránenie škodlivých objektov bude mať za následok stratu údajov. Iba presun do karantény umožní zabezpečiť ďalšie súbory, ktoré sa škodlivému vírusu ešte nepodarilo zašifrovať.

Dátum vypršania platnosti šifrovacieho malvéru

Ak je váš počítač infikovaný Critroni (malvér) a vírus zašifruje všetky súbory, čo by ste mali robiť? Formáty .vault-, .xtbl-, .rar-sami nemôžete dešifrovať manuálnou zmenou prípony na .doc, .mp3, .txt a iné. Ak do 96 hodín nezaplatíte kyberzločincom požadovanú sumu, budete poštou zastrašení, že všetky vaše súbory budú natrvalo odstránené. Vo väčšine prípadov sú ľudia zasiahnutí takýmito hrozbami a tieto akcie vykonávajú neochotne, ale poslušne v strachu, že stratia vzácne informácie. Je škoda, že používatelia nechápu, že kyberzločinci nie vždy dodržia slovo. Keď dostanú peniaze, často si nerobia starosti s dešifrovaním uzamknutých súborov.

Keď časovač uplynie, automaticky sa zatvorí. Stále však máte šancu získať späť dôležité dokumenty. Na obrazovke sa zobrazí hlásenie, že čas vypršal a podrobnejšie informácie o súboroch v priečinku dokumentov si môžete pozrieť v špeciálne vytvorenom súbore poznámkového bloku DecryptAllFiles.txt.

Spôsoby, ako kryptografický malvér preniknúť do operačného systému

Ransomvér sa zvyčajne dostane do počítača prostredníctvom infikovaných e-mailových správ alebo falošných stiahnutí. Môžu to byť falošné aktualizácie flash alebo nečestné prehrávače videa. Akonáhle sa program niektorým z týchto spôsobov stiahne do počítača, okamžite dáta zašifruje bez možnosti ich obnovy. Ak vírus zašifroval všetky súbory .cbf, .ctbl, .ctb2 do iných formátov a nemáte záložnú kópiu dokumentu uloženú na vymeniteľnom médiu, zvážte, že ich už nebudete môcť obnoviť. V súčasnosti antivírusové laboratóriá nevedia, ako takéto šifrovacie vírusy prelomiť. Bez potrebného kľúča je možné infikované súbory iba zablokovať, presunúť do karantény alebo zmazať.

Ako sa vyhnúť infekcii počítačovými vírusmi

Sinister všetky súbory .xtbl. Čo robiť? Prečítali ste si už veľa zbytočných informácií, ktoré sa píšu na väčšine webov, a nenachádzate odpoveď. Stáva sa, že v tú najnevhodnejšiu chvíľu, keď potrebujete súrne odovzdať posudok v práci, diplomovú prácu na univerzite alebo obhájiť titul profesora, počítač si začne žiť vlastným životom: pokazí sa, nakazí sa vírusmi, počítač sa pokazí, nakazí sa vírusmi, napadne ho. zamrzne. Musíte byť na takéto situácie pripravení a uchovávať informácie na serveri a na vymeniteľnom médiu. To vám umožní kedykoľvek preinštalovať operačný systém a po 20 minútach pracovať pri počítači, akoby sa nič nestalo. Ale, žiaľ, nie vždy sme takí podnikaví.

Aby ste sa vyhli infikovaniu počítača vírusom, musíte si najskôr nainštalovať dobrý antivírusový program. Musíte mať správne nakonfigurovaný firewall systému Windows, ktorý chráni pred vstupom rôznych škodlivých objektov cez sieť. A čo je najdôležitejšie: nesťahujte softvér z neoverených stránok, sledovače torrentov. Aby ste sa vyhli infikovaniu počítača vírusovými programami, dávajte pozor, na aké odkazy klikáte. Ak dostanete e-mail od nechápavého adresáta so žiadosťou alebo ponukou, aby ste si pozreli, čo sa skrýva za odkazom, najlepšie je presunúť správu do spamu alebo ju úplne vymazať.

Aby vírus v jednom okamihu nezašifroval všetky súbory .xtbl, laboratóriá antivírusového softvéru odporúčajú bezplatný spôsob ochrany pred infekciou šifrovacími vírusmi: raz týždenne skontrolujte ich stav.

Vírus zašifroval všetky súbory v počítači: metódy liečby

Ak ste sa stali obeťou počítačovej kriminality a údaje vo vašom počítači boli infikované jedným z typov šifrovania škodlivého softvéru, potom je čas pokúsiť sa obnoviť vaše súbory.

Existuje niekoľko spôsobov, ako bezplatne dezinfikovať infikované dokumenty:

1. Najbežnejšou a momentálne asi najúčinnejšou metódou je zálohovanie dokumentov a ich následné obnovenie v prípade neočakávanej infekcie.
2. Softvérový algoritmus vírusu CTB funguje zaujímavým spôsobom. Keď sa dostane do počítača, skopíruje súbory, zašifruje ich a odstráni pôvodné dokumenty, čím eliminuje možnosť ich obnovy. Ale pomocou softvéru Photorec alebo R-Studio sa vám podarí uložiť niektoré neporušené pôvodné súbory. Mali by ste si uvedomiť, že čím dlhšie používate počítač po infikovaní, tým menšia je pravdepodobnosť obnovenia všetkých potrebných dokumentov.
3. Ak vírus zašifroval všetky súbory .vault, existuje ďalší dobrý spôsob, ako ich dešifrovať – pomocou zväzkov tieňových kópií. Vírus sa ich samozrejme pokúsi natrvalo a natrvalo odstrániť všetky, no stáva sa aj to, že niektoré súbory zostanú nedotknuté. V tomto prípade budete mať, aj keď malú, ale šancu na ich zotavenie.
4. Dáta je možné ukladať na služby zdieľania súborov, ako je DropBox. Dá sa nainštalovať do počítača ako mapovanie lokálneho disku. Prirodzene, šifrovací vírus nakazí aj jeho. Ale v tomto prípade je oveľa reálnejšie obnoviť dokumenty a dôležité súbory.

Programová prevencia vírusovej infekcie osobného počítača

Ak sa bojíte, že sa do vášho počítača dostane zlovestný malvér a nechcete, aby zákerný vírus zašifroval všetky súbory, mali by ste použiť editor miestnych zásad alebo skupinu Windows. Vďaka tomuto integrovanému softvéru si môžete nastaviť politiku obmedzovania programov – a potom sa nebudete obávať infikovania vášho počítača.

Ako obnoviť infikované súbory

Ak vírus CTB zašifroval všetky súbory, čo by sa malo v tomto prípade urobiť, aby sa obnovili potrebné dokumenty? Bohužiaľ, v súčasnosti ani jedno antivírusové laboratórium nemôže ponúknuť dešifrovanie vašich súborov, ale je možné infekciu neutralizovať a úplne ju odstrániť z osobného počítača. Všetky vyššie uvedené sú účinné metódy obnovy informácií. Ak sú pre vás vaše súbory príliš vzácne a neobťažovali ste sa ich zálohovaním na vymeniteľné médium alebo internetovú jednotku, budete musieť zaplatiť množstvo peňazí, ktoré si kyberzločinci vyžiadali. Ale nie je šanca, že vám bude zaslaný dešifrovací kľúč aj po zaplatení.

Ako nájsť infikované súbory

Ak chcete zobraziť zoznam infikovaných súborov, môžete prejsť na nasledujúcu cestu: "Moje dokumenty"\.html alebo "C:"\"Používatelia"\"Všetci používatelia"\.html. Tento html list obsahuje údaje nielen o náhodných pokynoch, ale aj o infikovaných objektoch.

Ako blokovať šifrovací vírus

Po infikovaní počítača škodlivým softvérom je prvou nevyhnutnou akciou používateľa zapnutie počítača prostredníctvom siete. To sa vykonáva stlačením klávesu F10 na klávesnici.

Ak sa vírus Critroni náhodou dostal do vášho počítača, zašifroval všetky súbory vo formáte .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf alebo v akomkoľvek inom formáte, potom je už ťažké ich obnoviť. Ak sa však vírusu ešte nepodarilo vykonať veľa zmien, existuje šanca, že bude zablokovaný pomocou politiky obmedzenia softvéru.

Odvolanie: Trójske kone z rodiny Trojan.Encoder sú škodlivé programy, ktoré šifrujú súbory na pevnom disku počítača a za ich dešifrovanie požadujú peniaze. Šifrovať možno súbory *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar atď.
Nebolo možné osobne stretnúť celú rodinu tohto vírusu, ale ako ukazuje prax, spôsob infekcie, liečby a dešifrovania je pre každého približne rovnaký:
1. obeť sa nakazí prostredníctvom nevyžiadanej pošty s prílohou (menej často infekciou),
2. vírus je rozpoznaný a odstránený (už) takmer každým antivírusom s čerstvými databázami,
3. súbory sa dešifrujú výberom hesiel-kľúčov pre typy použitého šifrovania.
Napríklad Trojan.Encoder.225 používa šifrovanie RC4 (upravené) + DES, zatiaľ čo Trojan.Encoder.263 používa BlowFish v režime CTR. Tieto vírusy sú v súčasnosti dešifrované na 99% na základe osobnej praxe.

Ale nie všetko je také hladké. Niektoré ransomvérové ​​vírusy vyžadujú mesiace nepretržitého dešifrovania (Trojan.Encoder.102), zatiaľ čo iné (Trojan.Encoder.283) nedokážu dešifrovať vôbec ani špecialisti Doctor Web, čo v skutočnosti zohráva kľúčovú úlohu v tomto článku.

Teraz v poriadku.

Začiatkom augusta 2013 ma klienti kontaktovali s problémom so súbormi zašifrovanými vírusom Trojan.Encoder.225. Vírus je v tom čase nový, nikto nič nevie, na internete sú 2-3 tematické odkazy Google. Po dlhom hľadaní na internete sa ukazuje, že jedinou (nájdenou) organizáciou, ktorá sa problémom dešifrovania súborov po tomto víruse zaoberá, je Doctor Web. Konkrétne: dáva odporúčania, pomáha pri kontaktovaní technickej podpory, vyvíja vlastné dešifrovače atď.

Negatívny ústup.

A rád by som využil túto príležitosť a poukázal na dva výkrm mínus "Kaspersky Lab". Čo pri kontaktovaní ich technickej podpory odmietne „na tomto probléme pracujeme, o výsledkoch vás budeme informovať e-mailom“. A napriek tomu, mínus je, že som nikdy nedostal odpoveď na žiadosť. Po 4 mesiacoch. Jebte na reakčný čas. A tu sa snažím o štandard „nie viac ako jednu hodinu od registrácie žiadosti“.
Je to hanba, súdruh Evgeny Kaspersky, generálny riaditeľ spoločnosti Kaspersky Lab. Ale "sedí" mi na ňom dobrá polovica všetkých firiem. Dobre, licencie končia v januári až marci 2014. Oplatí sa hovoriť o tom, či si obnovím licenciu? ;)

Zastupujem tváre „špecialistov“ z „jednoduchších“ spoločností, NIE gigantov antivírusového priemyslu. Pravdepodobne vo všeobecnosti „schúlený v rohu“ a „potichu plakal“.
Aj keď, čo tam je, sa úplne všetci „vysrali“ na plné pecky. Antivírus by v zásade nemal dovoliť, aby sa tento vírus dostal do počítača. Najmä vzhľadom na moderné technológie. A „oni“, GIANTI antivírusového priemyslu, majú údajne všetko pod kontrolou, „heuristickú analýzu“, „systém predvídania“, „proaktívnu obranu“ ...

KDE BOLI VŠETKY TIETO SUPER-SYSTÉMY, KEĎ HR PRACOVNÍK OTVORIL „ŠKODLIVÝ“ LIST S PREDMETOM „SÚHRN“???
Na čo by mal zamestnanec myslieť?
Ak nás nemôžete ochrániť VY, tak prečo VÁS vôbec potrebujeme?

A s Doctor Web by bolo všetko v poriadku, ale ak chcete získať pomoc, musíte mať, samozrejme, licenciu na ktorýkoľvek z ich softvérových produktov. Pri kontaktovaní technickej podpory (ďalej len TS) je potrebné uviesť sériové číslo Dr.Web a v riadku "Kategória žiadosti:" nezabudnúť vybrať "žiadosť o liečbu" alebo im jednoducho poskytnúť zašifrovaný súbor na laboratórium. Okamžite urobím rezerváciu, že takzvané “log kľúče” Dr.Web, ktoré sú rozmiestnené v dávkach na internete, nie sú vhodné, pretože nepotvrdzujú nákup žiadnych softvérových produktov a sú TP špecialistami skrínovaný na jednu alebo dve. Jednoduchšie je kúpiť si tú najviac „deshmanovskú“ licenciu. Pretože ak ste sa pustili do dešifrovania, táto licencia sa vám miliónkrát vyplatí. Najmä ak bol priečinok s obrázkami "Egypt 2012" v jednej kópii ...

Pokus #1

Po zakúpení „licencie pre 2 počítače na rok“ za n-objem peňazí, kontaktovaní TP a poskytnutí niektorých súborov som dostal odkaz na dešifrovaciu pomôcku te225decrypt.exe verzie 1.3.0.0. V očakávaní úspechu spustím utilitu (treba ju nasmerovať na jeden zo zašifrovaných súborov *.doc). Utilita spustí výber, nemilosrdne načíta 90-100% starého procesora E5300 DualCore, 2600 MHz (pretaktovaný na 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital.
Tu je paralelne so mnou do práce zaradený kolega na PC core i5 2500k (pretaktovanie na 4,5ghz) / 16 ram 1600 / ssd intel (to je na porovnanie času stráveného na konci článku).
Po 6 dňoch obslužný program informoval o dešifrovaní 7277 súborov. Šťastie však netrvalo dlho. Všetky súbory boli dešifrované „krivo“. To znamená, že napríklad dokumenty balíka Microsoft Office sú otvorené, ale s rôznymi chybami: „Slovo našiel obsah v dokumente *.docx, ktorý sa nedal prečítať“ alebo „Súbor *.docx sa nedá otvoriť pre chyby v jeho obsahu“. Súbory *.jpg sa tiež otvárajú buď s chybou, alebo sa ukáže, že 95 % obrázka je vyblednuté čierne alebo limetkovo zelené pozadie. *.rar súbory majú "neočakávaný koniec archívu".
Vo všeobecnosti úplné zlyhanie.

Pokus #2

O výsledkoch píšeme do TP. Poskytnite niekoľko súborov. O deň neskôr opäť dávajú odkaz na utilitu te225decrypt.exe, ale už verziu 1.3.2.0. No, začnime, vtedy aj tak nebola alternatíva. Trvá to približne 6 dní a pomôcka ukončí svoju prácu s chybou „Nedá sa vybrať parametre šifrovania.“ Celkovo 13 dní „dole vodou“.
Ale nevzdávame sa, na účet dôležitých dokumentov nášho *hlúpeho* klienta bez elementárnych záloh.

Pokus #3

O výsledkoch píšeme do TP. Poskytnite niekoľko súborov. A ako ste možno uhádli, o deň neskôr dávajú odkaz na rovnakú utilitu te225decrypt.exe, ale už verziu 1.4.2.0. No začnime, keďže neexistovala žiadna alternatíva ani od Kaspersky Lab, ani od ESET NOD32, ani od iných výrobcov antivírusových riešení. A teraz, po 5 dňoch 3 hodinách 14 minútach (123,5 hodinách), nástroj hlási dešifrovanie súborov (kolegovi na core i5 trvalo dešifrovanie iba 21 hodín 10 minút).
No myslím, že bolo, nebolo. A hľa: úplný úspech! Všetky súbory sú správne dešifrované. Všetko sa správne otvára, zatvára, vyzerá, upravuje a ukladá.

Všetci sú šťastní, KONIEC.

"Kde je príbeh o víruse Trojan.Encoder.263?", pýtate sa. A na ďalšom PC, pod stolom ... bol. Všetko tam bolo jednoduchšie: Zapíšeme do TP Doctor Web, získame utilitu te263decrypt.exe, spustíme ju, počkáme 6,5 dňa, voila! a všetko je pripravené. Na záver vám môžem dať niekoľko tipov z fóra Doctor Web v mojom vydaní:

Čo robiť v prípade infekcie vírusom ransomware:
- poslať do vírusového laboratória Dr. Web alebo formulár „Odoslať podozrivý súbor“, zašifrovaný súbor doc.
- Počkajte na odpoveď od zamestnanca Dr.Web a potom postupujte podľa jeho pokynov.

Čo NEROBIŤ:
- zmeniť príponu šifrovaných súborov; V opačnom prípade s dobre zvoleným kľúčom obslužný program jednoducho „neuvidí“ súbory, ktoré je potrebné dešifrovať.
- používajte sami bez konzultácie s odborníkmi akékoľvek programy na dešifrovanie / obnovu údajov.

Pozor, keď mám server bez iných úloh, ponúkam svoje bezplatné služby na dešifrovanie VAŠICH údajov. Serverové jadro i7-3770K s pretaktovaním na *určité frekvencie*, 16GB RAM a SSD Vertex 4.
Pre všetkých aktívnych používateľov Habr bude používanie mojich zdrojov ZADARMO!!!
Napíšte mi do osobných alebo iných kontaktov. Na tomto som už "zožral psa". Preto nie som príliš lenivý dať server na dešifrovanie v noci.
Tento vírus je „metlou“ modernosti a brať „korisť“ od spoluvojakov nie je humánne. Aj keď, ak mi niekto "prihodí" pár peňazí na môj účet Yandex.money 410011278501419 - nebude mi to vadiť. Ale to vôbec nie je potrebné. Kontakt. Žiadosti vybavujem vo svojom voľnom čase.

Nové stopy!

Od 12.08.2013 sa začal šíriť nový vírus z rovnakej série Trojan.Encoder pod klasifikáciou Doctor Web - Trojan.Encoder.263, ale so šifrovaním RSA. Tento pohľad k dnešnému dňu (20.12.2013) nerozlúštiteľné, pretože používa veľmi silnú metódu šifrovania.

Každému postihnutému týmto vírusom odporúčam:
1. Pomocou vstavaného vyhľadávania vo Windows nájdite všetky súbory obsahujúce príponu .perfect, skopírujte ich na externé médium.
2. Skopírujte rovnaký súbor CONTACT.txt
3. Položte toto externé médium na policu.
4. Počkajte, kým sa objaví pomocný program dekodéra.

Čo NEROBIŤ:
Nemusíte sa zaoberať podvodníkmi. To je hlúpe. Vo viac ako 50% prípadov po „platbe“ vo výške približne 5000 rubľov nedostanete NIČ. Žiadne peniaze, žiadny dekodér.
Spravodlivo treba poznamenať, že na internete sú tí „šťastlivci“, ktorí za „korisť“ dostali svoje súbory späť dešifrovaním. Ale neverte týmto ľuďom. Keby som bol autorom vírusov, prvá vec, ktorú by som urobil, by bolo šírenie informácií typu „Zaplatil som a poslali mi dešifrovač!!!“.
Za týmito „šťastlivcami“ môžu byť stále tí istí útočníci.

Nuž... poprajme veľa šťastia ostatným antivírusovým spoločnostiam pri vytváraní utility na dešifrovanie súborov po vírusoch skupiny Trojan.Encoder.

Špeciálne poďakovanie za prácu vykonanú na vytvorení pomocných programov dekodéra súdruhovi v.martyanovovi z fóra Doctor Web.

To, že je internet plný vírusov, už dnes nikoho neprekvapuje. Mnohí používatelia vnímajú situácie súvisiace s ich dopadom na systémy alebo osobné údaje, mierne povedané, pozerajúc sa cez prsty, ale len dovtedy, kým sa v systéme konkrétne neusadí šifrovací vírus. Väčšina bežných používateľov nevie, ako liečiť a dešifrovať dáta uložené na pevnom disku. Preto je tento kontingent „vedený“ k požiadavkám, ktoré predkladajú votrelci. Pozrime sa však, čo sa dá urobiť, ak sa takáto hrozba zistí alebo zabráni jej preniknutiu do systému.

Čo je to ransomware vírus?

Tento typ hrozby využíva štandardné a neštandardné algoritmy šifrovania súborov, ktoré úplne menia ich obsah a blokujú prístup. Napríklad otvorenie zašifrovaného textového súboru na čítanie alebo úpravu, ako aj prehrávanie multimediálneho obsahu (grafika, video alebo zvuk) po vystavení vírusu bude absolútne nemožné. K dispozícii nie sú ani štandardné akcie na kopírovanie alebo presúvanie objektov.

Práve softvérová náplň vírusu je nástroj, ktorý šifruje dáta tak, že nie vždy je možné obnoviť ich pôvodný stav ani po odstránení hrozby zo systému. Takéto škodlivé programy zvyčajne vytvárajú svoje kópie a usadzujú sa veľmi hlboko v systéme, takže môže byť úplne nemožné odstrániť vírus na šifrovanie súborov. Odinštalovaním hlavného programu alebo odstránením hlavného tela vírusu sa používateľ nezbaví dopadu hrozby, nehovoriac o obnove zašifrovaných informácií.

Ako sa hrozba dostane do systému?

Hrozby tohto typu sú spravidla zacielené väčšinou na veľké komerčné štruktúry a môžu preniknúť do počítačov cez emailové programy, keď zamestnanec otvorí údajne priložený dokument v emaile, ktorý je povedzme dodatkom k nejakej zmluve o spolupráci alebo k tovaru. plán zásobovania (komerčné ponuky s investíciami z pochybných zdrojov – prvá cesta pre vírus).

Problém je v tom, že šifrovací vírus na počítači, ktorý má prístup do lokálnej siete, sa mu dokáže prispôsobiť a vytvárať si vlastné kópie nielen v sieťovom prostredí, ale aj na správcovskom termináli, ak mu chýbajú potrebné ochranné nástroje. vo forme antivírusového softvéru, firewallu alebo firewallu.

Niekedy môžu takéto hrozby preniknúť aj do počítačových systémov bežných používateľov, ktoré vo všeobecnosti votrelcov nezaujímajú. Stáva sa to v čase inštalácie niektorých programov stiahnutých z pochybných internetových zdrojov. Mnoho používateľov na začiatku sťahovania ignoruje upozornenia systému antivírusovej ochrany a počas procesu inštalácie nevenuje pozornosť ponukám na inštaláciu dodatočného softvéru, panelov alebo doplnkov pre prehliadače a potom, ako sa hovorí , hryzie si lakte.

Odrody vírusov a trochu histórie

Hrozby tohto typu, najmä najnebezpečnejší šifrovací vírus No_more_ransom, sa v zásade neradia len ako nástroje na šifrovanie údajov alebo blokovanie prístupu k nim. V skutočnosti sú všetky takéto škodlivé aplikácie kategorizované ako ransomvér. Inými slovami, útočníci požadujú určitú sumu peňazí za dešifrovanie informácií v domnení, že tento proces nebude možné uskutočniť bez počiatočného programu. Čiastočne to tak aj je.

Ak sa však pozriete do histórie, môžete vidieť, že jedným z úplne prvých vírusov tohto typu, aj keď nenáročného na peniaze, bol neslávne známy applet I Love You, ktorý úplne šifroval multimediálne súbory (hlavne hudobné skladby) na používateľských systémoch. Dešifrovanie súborov po víruse ransomware sa v tom čase ukázalo ako nemožné. Teraz sa práve s touto hrozbou dá elementárne bojovať.

Vývoj samotných vírusov alebo použitých šifrovacích algoritmov však nezostáva stáť. Čo je medzi vírusmi - tu máte XTBL, CBF a Breaking_Bad a [e-mail chránený] a kopu iných svinstiev.

Metodika ovplyvňovania užívateľských súborov

A ak sa až donedávna väčšina útokov vykonávala pomocou algoritmov RSA-1024 založených na šifrovaní AES s rovnakou bitovou hĺbkou, rovnaký šifrovací vírus No_more_ransom je teraz prezentovaný v niekoľkých interpretáciách pomocou šifrovacích kľúčov založených na technológiách RSA-2048 a dokonca aj RSA-3072.

Problémy s dekódovaním použitých algoritmov

Problém je v tom, že moderné dešifrovacie systémy sa tvárou v tvár takému nebezpečenstvu ukázali ako bezmocné. Dešifrovanie súborov po šifrovacom víruse založenom na AES256 je stále nejakým spôsobom podporované a s vyššou bitovou rýchlosťou kľúča takmer všetci vývojári jednoducho pokrčia plecami. To, mimochodom, oficiálne potvrdili špecialisti z Kaspersky Lab a Eset.

V najprimitívnejšej verzii je používateľ, ktorý kontaktoval službu podpory, vyzvaný, aby poslal zašifrovaný súbor a jeho originál na porovnanie a ďalšie operácie na určenie šifrovacieho algoritmu a metód obnovy. Ale spravidla to vo väčšine prípadov nefunguje. Šifrovací vírus však dokáže dešifrovať súbory sám, ako sa verí, za predpokladu, že obeť súhlasí s podmienkami útočníkov a zaplatí určitú sumu v peniazoch. Takáto formulácia otázky však vyvoláva oprávnené pochybnosti. A preto.

Šifrovací vírus: ako vyliečiť a dešifrovať súbory a dá sa to urobiť?

Údajne po zaplatení hackeri aktivujú dešifrovanie prostredníctvom vzdialeného prístupu k ich vírusu, ktorý sa nachádza v systéme, alebo prostredníctvom dodatočného apletu, ak je telo vírusu odstránené. Vyzerá to viac než pochybne.

Chcel by som tiež poznamenať, že internet je plný falošných príspevkov, v ktorých sa uvádza, že bola zaplatená požadovaná suma a údaje boli úspešne obnovené. Všetko sú to lži! A pravdou je - kde je záruka, že po zaplatení sa šifrovací vírus v systéme znova neaktivuje? Nie je ťažké pochopiť psychológiu zlodejov: ak zaplatíte raz, zaplatíte znova. A pokiaľ ide o obzvlášť dôležité informácie, ako je konkrétny komerčný, vedecký alebo vojenský vývoj, vlastníci takýchto informácií sú pripravení zaplatiť, koľko chcú, pokiaľ súbory zostanú v bezpečí.

Prvý liek na hrozbu

Taká je povaha ransomvérového vírusu. Ako liečiť a dešifrovať súbory po vystavení hrozbe? Áno, v žiadnom prípade, ak neexistujú žiadne improvizované prostriedky, ktoré tiež nie vždy pomôžu. Ale skúsiť to môžeš.

Predpokladajme, že sa v systéme objavil ransomvérový vírus. Ako liečiť infikované súbory? Na začiatok by ste mali vykonať hĺbkovú kontrolu systému bez použitia technológie S.M.A.R.T., ktorá umožňuje detekciu hrozieb iba pri poškodení zavádzacích sektorov a systémových súborov.

Je vhodné nepoužívať existujúci štandardný skener, ktorý už hrozbu minul, ale použiť prenosné nástroje. Najlepšou možnosťou by bolo zaviesť systém zo záchranného disku Kaspersky, ktorý sa môže spustiť ešte predtým, ako začne fungovať operačný systém.

Ale to je len polovica úspechu, pretože týmto spôsobom sa môžete zbaviť iba samotného vírusu. Ale s dekodérom to bude ťažšie. Ale o tom neskôr.

Existuje ďalšia kategória, do ktorej spadajú vírusy ransomware. O tom, ako informácie dešifrovať, si povieme samostatne, ale zatiaľ sa sústreďme na to, že môžu v systéme existovať celkom otvorene vo forme oficiálne nainštalovaných programov a aplikácií (arogancia útočníkov nepozná hraníc, keďže hrozba nemá dokonca sa pokúsiť zamaskovať).

V takom prípade by ste mali použiť časť Programy a funkcie, kde sa vykonáva štandardná odinštalácia. Musíte však venovať pozornosť skutočnosti, že štandardný odinštalačný program systémov Windows úplne neodstráni všetky programové súbory. Vírus na šifrovanie výkupného je schopný vytvárať svoje vlastné priečinky v koreňových adresároch systému (zvyčajne sú to adresáre Csrss, kde sa nachádza spustiteľný súbor csrss.exe s rovnakým názvom). Ako hlavné umiestnenie sa vyberú Windows, System32 alebo adresáre používateľov (Používatelia na systémovej jednotke).

Okrem toho šifrovací vírus No_more_ransom zapisuje svoje vlastné kľúče do registra ako odkaz na oficiálnu službu Client Server Runtime Subsystem, čo mnohých mätie, pretože táto služba by mala byť zodpovedná za interakciu medzi klientskym a serverovým softvérom. Samotný kľúč sa nachádza v priečinku Run, do ktorého sa dostanete cez vetvu HKLM. Je jasné, že takéto kľúče budete musieť vymazať ručne.

Na uľahčenie môžete použiť nástroje ako iObit Uninstaller, ktoré automaticky vyhľadajú zvyškové súbory a kľúče databázy Registry (ale iba v prípade, že je vírus v systéme viditeľný ako nainštalovaná aplikácia). Ale to je najjednoduchšie.

Riešenia ponúkané vývojármi antivírusového softvéru

Predpokladá sa, že dešifrovanie šifrovacieho vírusu je možné vykonať pomocou špeciálnych pomôcok, hoci ak existujú technológie s kľúčom 2048 alebo 3072 bitov, nemali by ste sa na ne zvlášť spoliehať (okrem toho mnohé z nich po dešifrovaní odstránia súbory a potom sa obnovia súbory zmiznú v dôsledku chyby prítomnosť tela vírusu, ktorý ešte nebol odstránený).

Môžete to však skúsiť. Zo všetkých programov stojí za to vyzdvihnúť RectorDecryptor a ShadowExplorer. Verí sa, že nič lepšie ešte nebolo vytvorené. Problém však môže spočívať aj v tom, že keď sa pokúsite použiť dešifrovač, neexistuje žiadna záruka, že vyliečené súbory nebudú odstránené. To znamená, že ak sa vírusu na začiatku nezbavíte, každý pokus o dešifrovanie bude odsúdený na neúspech.

Okrem vymazania zašifrovaných informácií môže dôjsť k fatálnemu výsledku – celý systém bude nefunkčný. Navyše, moderný ransomvérový vírus môže ovplyvniť nielen dáta uložené na pevnom disku počítača, ale aj súbory v cloudovom úložisku. A neexistujú žiadne riešenia na obnovu dát. Okrem toho, ako sa ukázalo, v mnohých službách sa prijímajú nedostatočne účinné ochranné opatrenia (rovnaký vstavaný OneDrive v systéme Windows 10, ktorý je ovplyvnený priamo operačným systémom).

Radikálne riešenie problému

Ako je už zrejmé, väčšina moderných metód nedáva pozitívny výsledok pri infekcii takýmito vírusmi. Samozrejme, ak existuje originál poškodeného súboru, možno ho poslať na vyšetrenie do antivírusového laboratória. Pravda, existujú vážne pochybnosti o tom, že bežný používateľ vytvorí záložné kópie dát, ktoré po uložení na pevný disk môžu byť vystavené aj škodlivému kódu. A o skutočnosti, že používatelia kopírujú informácie na vymeniteľné médiá, aby sa predišlo problémom, vôbec nehovoríme.

Pre zásadné riešenie problému sa teda navrhuje záver: úplné formátovanie pevného disku a všetkých logických oddielov s vymazaním informácií. Čo teda robiť? Ak nechcete, aby sa vírus alebo jeho uložená kópia opäť aktivovala v systéme, budete musieť prispieť.

Na tento účel by ste nemali používať nástroje samotných systémov Windows (čo znamená formátovanie virtuálnych oddielov, pretože pokus o prístup na systémový disk bude zakázaný). Je lepšie použiť zavádzanie z optických médií, ako je LiveCD alebo inštalačné distribúcie, ako sú napríklad tie, ktoré sú vytvorené pomocou nástroja Media Creation Tool pre Windows 10.

Pred začatím formátovania, za predpokladu, že je vírus odstránený zo systému, sa môžete pokúsiť obnoviť integritu systémových komponentov cez príkazový riadok (sfc / scannow), ale nebude to fungovať z hľadiska dešifrovania a odomykania údajov. Takže formát c: je jediné správne možné riešenie, či sa vám to páči alebo nie. Toto je jediný spôsob, ako sa úplne zbaviť týchto typov hrozieb. Žiaľ, niet inej cesty! Dokonca aj liečba štandardnými nástrojmi, ktoré ponúka väčšina antivírusových balíkov, je bezmocná.

Namiesto doslovu

Pokiaľ ide o zrejmé závery, môžeme len povedať, že dnes neexistuje jediné a univerzálne riešenie na odstránenie následkov dopadu takýchto hrozieb (smutné, ale pravdivé - potvrdzuje to väčšina vývojárov antivírusového softvéru a odborníkov na kryptografiu) .

Zostáva nejasné, prečo objavenie sa algoritmov založených na 1024-, 2048- a 3072-bitovom šifrovaní prešlo tými, ktorí sa priamo podieľajú na vývoji a implementácii takýchto technológií? V skutočnosti je dnes algoritmus AES256 považovaný za najsľubnejší a najbezpečnejší. Všimnite si! 256! Tento systém, ako sa ukázalo, nie je vhodný pre moderné vírusy. Čo potom povedať o pokusoch o dešifrovanie ich kľúčov?

Nech je to akokoľvek, je celkom jednoduché vyhnúť sa zavedeniu hrozby do systému. V najjednoduchšom prípade by všetky prichádzajúce správy s prílohami v Outlooku, Thunderbirde a iných e-mailových klientoch mali byť skontrolované antivírusom ihneď po prijatí a v žiadnom prípade neotvárajte prílohy, kým sa kontrola nedokončí. Pri inštalácii niektorých programov by ste si mali pozorne prečítať aj návrhy na inštaláciu dodatočného softvéru (zvyčajne sú napísané veľmi malým písmom alebo sú zamaskované ako štandardné doplnky, ako je aktualizácia prehrávača Flash Player alebo niečo iné). Komponenty médií sa najlepšie aktualizujú prostredníctvom oficiálnych stránok. Len tak sa dá aspoň ako-tak zabrániť prieniku takýchto hrozieb do vlastného systému. Dôsledky môžu byť úplne nepredvídateľné, keďže vírusy tohto typu sa okamžite šíria v lokálnej sieti. A pre spoločnosť sa takýto obrat udalostí môže zmeniť na skutočný kolaps všetkých podnikov.

Nakoniec by správca systému nemal nečinne sedieť. Softvérovú ochranu v takejto situácii je lepšie vylúčiť. Ten istý firewall (firewall) by nemal byť softvér, ale „hardvér“ (samozrejme so súvisiacim softvérom na palube). A je samozrejmé, že šetriť na nákupe antivírusových balíkov sa tiež neoplatí. Je lepšie kúpiť si licencovaný balík, ako inštalovať primitívne programy, ktoré údajne poskytujú ochranu v reálnom čase iba pred slovami vývojára.

A ak už hrozba prenikla do systému, postupnosť akcií by mala zahŕňať odstránenie samotného tela vírusu a až potom pokusy o dešifrovanie poškodených údajov. V ideálnom prípade úplný formát (poznámka, nie rýchly s vymazaním obsahu, ale úplný, najlepšie s obnovením alebo nahradením existujúceho súborového systému, zavádzacích sektorov a záznamov).