Dosya şifreleme virüsü. Garantili şifre çözme için nereye başvurulur. Kriptografik kötü amaçlı yazılımların işletim sistemine nüfuz etme yolları

Bilgisayarınızda dosyalarınızın şifreli olduğunu söyleyen bir metin mesajı görünürse, paniğe kapılmayın. Dosya şifrelemenin belirtileri nelerdir? Normal uzantı *.vault, *.xtbl, * olarak değişir [e-posta korumalı] _XO101 vb. Dosyalar açılamıyor - mesajda belirtilen adrese bir mektup göndererek satın alınabilecek bir anahtar gereklidir.

Şifrelenmiş dosyaları nereden aldınız?

Bilgisayar bilgiye erişimi engelleyen bir virüs kaptı. Genellikle antivirüsler bunları atlar, çünkü bu program genellikle bazı zararsız ücretsiz şifreleme yardımcı programlarına dayanır. Virüsün kendisini yeterince hızlı bir şekilde kaldıracaksınız, ancak bilgilerin şifresinin çözülmesiyle ilgili ciddi sorunlar ortaya çıkabilir.

Kullanıcıların verilerin şifresini çözme isteklerine yanıt olarak, Kaspersky Lab, Dr.Web ve anti-virüs yazılımının geliştirilmesinde yer alan diğer tanınmış şirketlerin teknik desteği, bunu makul bir sürede yapmanın imkansız olduğunu bildiriyor. Kodu alabilen birkaç program vardır, ancak bunlar yalnızca önceden çalışılmış virüslerle çalışabilir. Yeni bir değişiklikle karşı karşıya kalırsanız, bilgiye erişimi geri kazanma şansınız son derece küçüktür.

Fidye yazılımı virüsü bilgisayara nasıl bulaşır?

Vakaların% 90'ında, kullanıcılar virüsü bilgisayarda kendileri etkinleştirir bilinmeyen e-postaları açarak. Bundan sonra, kışkırtıcı bir konuyla - “Mahkemeye Çağrı”, “Kredi Borcu”, “Vergi Müfettişliğinden Bildirim” vb. Sahte e-postanın içinde, indirdikten sonra fidye yazılımının bilgisayara girdiği ve dosyalara erişimi kademeli olarak engellemeye başladığı bir ek vardır.

Şifreleme anında gerçekleşmez, bu nedenle kullanıcıların tüm bilgiler şifrelenmeden önce virüsü kaldırmak için zamanları olur. Dr.Web CureIt, Kaspersky Internet Security ve Malwarebytes Antimalware temizleme yardımcı programlarını kullanarak kötü amaçlı bir komut dosyasını yok edebilirsiniz.

Dosyaları kurtarmanın yolları

Bilgisayarda sistem koruması etkinleştirildiyse, fidye yazılımı virüsünün eyleminden sonra bile, dosyaların gölge kopyalarını kullanarak dosyaları normal bir duruma geri yükleme şansı vardır. Fidye yazılımı genellikle bunları kaldırmaya çalışır, ancak bazen yönetici ayrıcalıklarının olmaması nedeniyle bunu yapamazlar.

Önceki bir sürümü geri yükleme:

Önceki sürümleri korumak için sistem koruması etkinleştirilmelidir.

Önemli: Fidye yazılımı ortaya çıkmadan önce sistem koruması etkinleştirilmelidir, bundan sonra artık yardımcı olmayacaktır.

1. "Bilgisayar" özelliklerini açın.
2. Soldaki menüden "Sistem Koruması"nı seçin.
   
3. C sürücüsünü vurgulayın ve "Yapılandır" ı tıklayın.
4. Ayarları ve dosyaların önceki sürümlerini geri yüklemeyi seçin. Tamam'ı tıklatarak değişiklikleri uygulayın.

Bu önlemleri, dosyaları şifreleyen bir virüs ortaya çıkmadan önce aldıysanız, bilgisayarınızı kötü amaçlı kodlardan temizledikten sonra, bilgilerinizi kurtarmak için iyi bir şansınız olacaktır.

Özel yardımcı programları kullanma

Kaspersky Lab, virüs temizlendikten sonra şifrelenmiş dosyaları açmanıza yardımcı olacak birkaç yardımcı program hazırlamıştır. Denemeye değer ilk şifre çözücü Kaspersky RectorDecryptor.

1. Uygulamayı Kaspersky Lab'ın resmi web sitesinden indirin.
2. Ardından yardımcı programı çalıştırın ve "Taramayı Başlat" ı tıklayın. Herhangi bir şifrelenmiş dosyanın yolunu belirtin.

Kötü amaçlı yazılım dosyaların uzantısını değiştirmediyse, şifrelerini çözmek için bunları ayrı bir klasörde toplamanız gerekir. Yardımcı program RectorDecryptor ise, resmi Kaspersky web sitesinden iki program daha indirin - XoristDecryptor ve RakhniDecryptor.

Kaspersky Lab'in en son yardımcı programına Ransomware Decryptor adı verilir. RuNet'te henüz çok yaygın olmayan ancak yakında diğer Truva atlarının yerini alabilecek olan CoinVault virüsünden sonra dosyaların şifresinin çözülmesine yardımcı olur.

Hatırlamak: Trojan.Encoder ailesinin Truva atları, bir bilgisayarın sabit diskindeki dosyaları şifreleyen ve bu dosyaların şifresini çözmek için para talep eden kötü amaçlı programlardır. *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar ve benzeri dosyalar şifrelenebilir.
Bu virüsün tüm ailesiyle kişisel olarak tanışmak mümkün değildi, ancak uygulamanın gösterdiği gibi, enfeksiyon, tedavi ve şifre çözme yöntemi herkes için yaklaşık olarak aynıdır:
1. kurban, eki olan bir spam e-posta yoluyla bulaşır (daha az sıklıkla enfeksiyon yoluyla),
2. virüs, yeni veritabanlarına sahip hemen hemen tüm antivirüsler tarafından tanınır ve kaldırılır (zaten),
3. Dosyaların şifresi, kullanılan şifreleme türleri için parola-anahtarları seçilerek çözülür.
Örneğin, Trojan.Encoder.225, RC4 (değiştirilmiş) + DES şifrelemesini kullanırken Trojan.Encoder.263, TO modunda BlowFish'i kullanır. Bu virüslerin şifresi şu anda kişisel uygulamaya dayalı olarak %99 oranında çözülmektedir.

Ama her şey o kadar pürüzsüz değil. Bazı fidye yazılımı virüsleri aylarca sürekli şifre çözme gerektirirken (Trojan.Encoder.102), diğerlerinin (Trojan.Encoder.283) şifresi Doctor Web uzmanları tarafından bile çözülemez, ki bu aslında bu makalede önemli bir rol oynar. .

Şimdi sırayla.

Ağustos 2013'ün başında, müşteriler Trojan.Encoder.225 virüsü tarafından şifrelenen dosyalarla ilgili bir sorunla benimle iletişime geçti. Virüs o zamanlar yeni, kimse bir şey bilmiyor, internette 2-3 tematik Google bağlantısı var. İnternette uzun bir araştırmadan sonra, bu virüsten sonra dosyaların şifresini çözme sorunuyla ilgilenen tek (bulunan) kuruluşun Doctor Web olduğu ortaya çıkıyor. Yani: önerilerde bulunur, teknik desteğe başvururken yardımcı olur, kendi şifre çözücülerini geliştirir vb.

Negatif geri çekilme.

Ve bu fırsatı iki noktaya dikkat çekmek istiyorum. besi eksi "Kaspersky Lab". Hangi, teknik destekleriyle iletişime geçtiğinizde, “bu konu üzerinde çalışıyoruz, sonuçları size posta yoluyla bildireceğiz” ifadesini reddedin. Ve yine de eksi, talebe hiçbir zaman yanıt almamış olmam. 4 ay sonra. Tepki süreni sikeyim. Ve burada "başvurunun kaydından bir saatten fazla olmamak üzere" standardı için çabalıyorum.
Yazık, yoldaş Evgeny Kaspersky, Kaspersky Lab'ın CEO'su. Ama üzerinde "oturan" tüm şirketlerin iyi bir yarısı var. Pekala, tamam, lisanslar Ocak-Mart 2014'te bitiyor. Lisansı yenileyip yenilemeyeceğimi konuşmaya değer mi?;)

Anti-virüs endüstrisinin devlerini DEĞİL, tabiri caizse "daha basit" şirketlerden "uzmanların" yüzlerini temsil ediyorum. Muhtemelen genel olarak "bir köşeye sıkışmış" ve "sessizce ağlamış".
Orada ne varsa, kesinlikle herkes sonuna kadar “sıçtı”. Antivirüs, prensip olarak, bu virüsün bilgisayara girmesine izin vermemeliydi. Özellikle modern teknoloji düşünüldüğünde. Ve anti-VİRÜS endüstrisinin DEVLERİ olan “onlar”, iddiaya göre her şeyi kontrol altında tutuyor, “sezgisel analiz”, “öngörü sistemi”, “proaktif savunma” ...

İK ÇALIŞANI "ÖZET" KONUSU İLE "ZARARLI" MEKTUBU AÇTIĞINDA TÜM BU SÜPER SİSTEMLER NEREDE OLDU???
Çalışan ne düşünmeli?
Eğer bizi koruyamıyorsanız, neden SİZE ihtiyacımız var?

Ve Doctor Web ile her şey yoluna girecek, ancak yardım almak için, elbette, yazılım ürünlerinden herhangi biri için bir lisansa sahip olmalısınız. Teknik desteğe başvururken (bundan sonra TS olarak anılacaktır), Dr.Web'in seri numarasını sağlamalı ve "Talep kategorisi:" satırında "tedavi talebi"ni seçmeyi unutmayın veya onlara şifreli bir dosya ile birlikte verin. laboratuvar. İnternette gruplar halinde düzenlenmiş olan Dr.Web'in sözde “günlük anahtarları”nın, herhangi bir yazılım ürününün satın alınmasını onaylamadıkları ve TP uzmanları tarafından bir veya iki kez taranır. En "deshman" lisansını satın almak daha kolaydır. Çünkü şifre çözmeyi üstlenirseniz, bu lisans sizin için milyonlarca kez amorti edecek. Özellikle "Mısır 2012" resimlerinin bulunduğu klasör bir kopyadaysa ...

1. deneme

Böylece, n-tutarlı bir para karşılığında “yıllık 2 PC için lisans” satın alarak, TP ile iletişime geçerek ve bazı dosyalar sağladıktan sonra, te225decrypt.exe şifre çözme yardımcı programının 1.3.0.0 sürümünün bağlantısını aldım. Başarı beklentisiyle yardımcı programı çalıştırıyorum (onu şifreli *.doc dosyalarından birine yönlendirmeniz gerekiyor). Yardımcı program, eski işlemci E5300 DualCore, 2600 MHz (3.46 GHz'e hız aşırtmalı) / 8192 MB DDR2-800, HDD 160Gb Western Digital'in %90-100'ünü acımasızca yükleyerek seçimi başlatır.
Burada, benimle paralel olarak, çalışmaya bir çekirdek i5 2500k PC (4.5ghz'e hız aşırtma) / 16 ram 1600 / ssd intel dahil edilmiştir (bu, makalenin sonunda harcanan süreyi karşılaştırmak içindir).
6 gün sonra, yardımcı program 7277 dosyanın şifresinin çözüldüğünü bildirdi. Ama mutluluk uzun sürmedi. Tüm dosyaların şifresi "çarpık" bir şekilde çözüldü. Yani, örneğin, microsoft office belgeleri açılır, ancak farklı hatalarla: "Word *.docx belgesinde okunamayan içerik bulundu" veya "İçeriğindeki hatalar nedeniyle *.docx dosyası açılamıyor." *.jpg dosyaları da ya bir hatayla açılıyor ya da görüntünün %95'i soluk siyah veya limon yeşili bir arka plan olarak çıkıyor. *.rar dosyalarında "Beklenmeyen arşiv sonu" var.
Genel olarak, tam bir başarısızlık.

2. deneme

Sonuçlar hakkında TP'ye yazıyoruz. Lütfen birkaç dosya sağlayın. Bir gün sonra, yine te225decrypt.exe yardımcı programına bir bağlantı veriyorlar, ancak zaten 1.3.2.0 sürümü. Peki, başlayalım, o zaman zaten alternatif yoktu. Yaklaşık 6 gün sürer ve yardımcı program "Şifreleme parametreleri seçilemiyor" hatasıyla çalışmasını sonlandırıyor. Toplam 13 gün "boşalma".
Ancak *aptal* müşterimizin temel yedekleri olmayan önemli belgeleri nedeniyle pes etmiyoruz.

3 numaralı deneme

Sonuçlar hakkında TP'ye yazıyoruz. Lütfen birkaç dosya sağlayın. Ve tahmin edebileceğiniz gibi, bir gün sonra aynı te225decrypt.exe yardımcı programına, ancak zaten 1.4.2.0 sürümüne bir bağlantı veriyorlar. Pekala, başlayalım, ne Kaspersky Lab'den, ne ESET NOD32'den ne de diğer anti-virüs çözümleri üreticilerinden başka bir alternatif yoktu. Ve şimdi, 5 gün 3 saat 14 dakika (123,5 saat) sonra, yardımcı program dosyaların şifresinin çözüldüğünü bildiriyor (core i5'teki bir iş arkadaşı için şifre çözme sadece 21 saat 10 dakika sürdü).
Bence öyleydi, değildi. Ve bakın ve bakın: tam başarı! Tüm dosyaların şifresi doğru şekilde çözülür. Her şey düzgün açılır, kapanır, bakar, düzenler ve kaydeder.

Herkes mutlu, SON.

“Trojan.Encoder.263 virüsü hakkındaki hikaye nerede?” diye soruyorsunuz. Ve bir sonraki bilgisayarda, masanın altında ... oldu. Orada her şey daha basitti: Doctor Web'in TP'sine yazıyoruz, te263decrypt.exe yardımcı programını alıyoruz, çalıştırın, 6,5 gün bekleyin, işte! ve her şey hazır.Özetle, size Doctor Web forumundan birkaç ipucu verebilirim.

Bir fidye yazılımı virüsü bulaşması durumunda yapılması gerekenler:
- virüs laboratuvarına gönder Dr. Web veya "Şüpheli bir dosya gönder" formu, şifreli bir belge dosyası.
- Dr.Web çalışanından bir yanıt bekleyin ve ardından talimatlarını izleyin.

YAPILMAMASI GEREKENLER:
- şifreli dosyaların uzantısını değiştirin; Aksi takdirde, iyi seçilmiş bir anahtarla, yardımcı program şifresi çözülmesi gereken dosyaları “görmeyecektir”.
- verilerin şifresini çözmek / kurtarmak için uzmanlara danışmadan kendi başınıza kullanın.

Dikkat, diğer görevlerden bağımsız bir sunucuya sahip olmak, SİZİN verilerinizin şifresini çözmek için ücretsiz hizmetlerimi sunuyorum. *Belirli frekanslarda* hız aşırtma özellikli sunucu çekirdeği i7-3770K, 16 GB RAM ve SSD Vertex 4.
Tüm aktif Habr kullanıcıları için kaynaklarımın kullanımı ÜCRETSİZ olacaktır!!!
Kişisel veya diğer kişilerden bana yazın. Bu konuda zaten "köpeği yedim". Bu nedenle, geceleri şifre çözme için bir sunucu koyacak kadar tembel değilim.
Bu virüs, modernitenin “belası” ve diğer askerlerden “ganimet” almak insani değil. Yine de, birileri 410011278501419 Yandex.para hesabıma birkaç dolar "fırsat" - umurumda değil. Ama bu hiç gerekli değil. İletişim. Boş zamanlarımda istekleri işliyorum.

Yeni ipuçları!

12/08/2013 tarihinden itibaren, aynı Trojan.Encoder serisinden yeni bir virüs Doctor Web'in sınıflandırması altında yayılmaya başladı - Trojan.Encoder.263, ancak RSA şifrelemesi ile. Bu görüş bugün itibariyle (12/20/2013) çözülemez, çünkü çok güçlü bir şifreleme yöntemi kullanır.

Bu virüsten etkilenen herkese tavsiye ederim:
1. Yerleşik Windows aramasını kullanarak, .perfect uzantısını içeren tüm dosyaları bulun ve bunları harici ortama kopyalayın.
2. Aynı dosyayı CONTACT.txt kopyalayın
3. Bu harici ortamı rafa koyun.
4. Dekoder yardımcı programının görünmesini bekleyin.

YAPILMAMASI GEREKENLER:
Dolandırıcılarla uğraşmanıza gerek yok. Bu aptalca. Vakaların %50'sinden fazlasında, yaklaşık 5000 rublelik bir "ödemeden" sonra HİÇBİR ŞEY almazsınız. Para yok, kod çözücü yok.
Adil olmak gerekirse, İnternette “yağma” için dosyalarını şifresini çözerek geri alan “şanslı olanlar” olduğuna dikkat edilmelidir. Ama bu insanlara güvenmeyin. Bir virüs yazarı olsaydım ilk yapacağım şey “Ödedim ve bana şifre çözücü gönderdiler!!!” gibi bilgileri yaymak olur.
Bu "şanslıların" arkasında hala aynı saldırganlar olabilir.

Peki... Trojan.Encoder grubu virüslerinden sonra dosyaların şifresini çözmek için bir yardımcı program oluşturma konusunda diğer anti-virüs şirketlerine iyi şanslar diliyoruz.

Doctor Web forumundan yoldaş v.martyanov'a kod çözücü yardımcı programlarının oluşturulmasında yapılan çalışma için özel teşekkürler.

Herkese iyi günler, sevgili dostlarım ve blogumun okuyucuları. Bugün konu biraz hüzünlü olacak çünkü virüslere değinecek. Size çok uzun zaman önce iş yerimde olan bir olayı anlatayım. Bölümde bir çalışan heyecanlı bir sesle beni aradı: “Dima, virüs bilgisayardaki dosyaları şifreledi: şimdi ne yapmalıyım?”. Sonra çantanın kızarmış koktuğunu fark ettim ama sonunda onu görmeye gittim.

Evet. Her şey üzücü çıktı. Bilgisayardaki dosyaların çoğuna virüs bulaşmış veya daha doğrusu şifrelenmiş: Office belgeleri, PDF dosyaları, 1C veritabanları ve diğerleri. Genel olarak, eşek doludur. Muhtemelen sadece arşivler, uygulamalar ve metin belgeleri etkilenmedi (ve bir sürü başka şey). Tüm bu veriler uzantısını değiştirdi ve adlarını sjd7gy2HjdlVnsjds gibi bir şeye değiştirdi.Ayrıca, masaüstünde ve klasörlerde birkaç özdeş README.txt belgesi belirdi. Dürüstçe, bilgisayarınıza virüs bulaştığını ve herhangi bir işlem yapmamanız gerektiğini söylüyorlar. , hiçbir şeyi silmedi, antivirüsleri kontrol etmedi, aksi takdirde dosyalar iade edilemez.
Dosya ayrıca bu güzel insanların her şeyi eski haline getirebileceklerini söylüyor. Bunu yapmak için, anahtarı belgeden postalarına göndermeleri gerekir, ardından gerekli talimatları alacaksınız. Fiyatı yazmıyorlar, ama aslında iade maliyetinin 20.000 ruble gibi bir şey olduğu ortaya çıktı.

Verileriniz paraya değer mi? Fidye yazılımının ortadan kaldırılması için ödeme yapmaya hazır mısınız? Şüpheliyim. O zaman ne yapmalı? Bunu daha sonra konuşalım. Bu arada, sırayla her şeye başlayalım.

Bu kötü şifreleme virüsü nereden geliyor? Burada her şey çok basit. Adamları e-posta yoluyla alıyor. Kural olarak, bu virüs yalnızca değil, kuruluşlara, kurumsal posta kutularına nüfuz eder. Görünüşe göre, spam şeklinde gelmediğinden, ancak gerçekten var olan ciddi bir organizasyondan, örneğin, Rostelecom sağlayıcısından resmi postalarından bir mektup aldık, çünkü kaku için hata yapmayacaksınız.

Mektup, "Tüzel kişiler için yeni tarife planları" gibi oldukça sıradandı. Ekli bir PDF dosyasıdır. Ve bu dosyayı açtığınızda Pandora'nın kutusunu açıyorsunuz. Tüm önemli dosyalar şifrelenir ve basit kelimelerle bir "tuğlaya" dönüşür. Üstelik antivirüsler bu saçmalığı hemen yakalamazlar.

Ne yaptım ve ne işe yaramadı

Doğal olarak, kimse bunun için 20 bin ödemek istemedi, çünkü bilgi o kadar değerli değildi ve ayrıca dolandırıcılarla iletişim kurmak hiç de bir seçenek değil. Ayrıca, bu miktar için sizin için her şeyin kilidinin açılacağı bir gerçek değil.

drweb Cureit yardımcı programını inceledim ve bir virüs buldu, ancak virüsten sonra bile dosyalar şifreli kaldığı için çok az faydası oldu. Virüsü kaldırmanın kolay olduğu ortaya çıktı, ancak sonuçlarla başa çıkmak zaten çok daha zor. Doctor Web ve Kaspersky forumlarına gittim ve orada ihtiyacım olan konuyu buldum ve ayrıca ne orada ne de orada şifre çözme konusunda yardımcı olamayacağını öğrendim. Her şey ağır bir şekilde şifrelenmişti.

Ancak arama motorları, bazı şirketlerin bir ücret karşılığında dosyaların şifresini çözdüğü arama sonuçlarında görünmeye başladı. Bu beni ilgilendirdi, özellikle şirketin gerçek, gerçekten var olduğu ortaya çıktığından beri. Web sitelerinde yeteneklerini göstermek için beş parçayı ücretsiz olarak deşifre etmeyi teklif ettiler. Ben de bence en önemli 5 dosyayı alıp gönderdim.
Bir süre sonra, her şeyi deşifre etmeyi başardıkları ve tam bir deşifre için benden 22 bin alacaklarına dair bir cevap aldım. Ve bana dosyaları vermek istemediler. Hemen, büyük olasılıkla dolandırıcılarla birlikte çalıştıklarını varsaydım. Tabii ki cehenneme gönderildiler.

• Recuva ve RStudio programlarını kullanarak
• Çeşitli yardımcı programlar tarafından çalıştırın
• Pekala, sakinleşmek için yardım edemedim ama denedim (bunun yardımcı olmayacağını çok iyi bilsem de) sadece doğru şey için bayattı. tabiki bravo)

Bunların hiçbiri bana yardımcı olmadı. Ama yine de bir çıkış yolu buldum.\r\n\r\nElbette aniden böyle bir durumla karşılaşırsanız, dosyaların şifrelendiği uzantıya bakın. ondan sonra git http://support.kaspersky.ru/viruses/dezenfeksiyon/10556 ve hangi uzantıların listelendiğini görün. Uzantınız listedeyse, bu yardımcı programı kullanın.
Ancak bu fidye yazılımlarını gördüğüm her 3 durumda da bu yardımcı programların hiçbiri yardımcı olmadı. Özellikle, virüsle tanıştım da Vinci Şifresi ve "KASA". İlk durumda, hem ad hem de uzantı değişti ve ikinci durumda yalnızca uzantı değişti. Genel olarak, bu tür bir sürü kriptograf var. xtbl, artık fidye yok, daha iyi call saul ve diğerleri gibi piçler duyuyorum.

Ne yardımcı oldu

Hiç gölge kopyaları duydunuz mu? Bu nedenle, bir geri yükleme noktası oluşturulduğunda, dosyalarınızın gölge kopyaları otomatik olarak oluşturulur. Ve dosyalarınıza bir şey olursa, onları her zaman geri yükleme noktasının oluşturulduğu ana geri döndürebilirsiniz. Gölge kopyalardan dosyaları kurtarmak için harika bir program bu konuda bize yardımcı olacaktır.

Başlamak indirmek ve "Gölge Gezgini" programını yükleyin. En son sürüm çökerse (olursa), öncekini yükleyin.

Gölge Gezgini'ne gidin. Gördüğümüz gibi, programın ana kısmı Explorer'a benzer, yani. dosyalar ve Klasörler. Şimdi sol üst köşeye dikkat edin. Orada yerel sürücünün harfini ve tarihi görüyoruz. Bu tarih, C sürücüsüne gönderilen tüm dosyaların o sırada güncel olduğu anlamına gelir. 30 Kasım'ım var. Bu, son geri yükleme noktasının 30 Kasım'da oluşturulduğu anlamına gelir.
Tarih açılır listesine tıklarsak, hangi tarihler için hala gölge kopyalarımız olduğunu göreceğiz. Ve yerel sürücülerin açılır listesine tıklarsanız ve örneğin D sürücüsünü seçerseniz, mevcut dosyalarımızın olduğu tarihi göreceğiz. Ama disk için D puanlar otomatik olarak oluşturulmaz, bu nedenle bu şeyin ayarlara kaydedilmesi gerekir. BT yapmak çok kolay.
Gördüğünüz gibi, eğer disk için C Oldukça yeni bir randevum var, sonra araba kullanacağım D Son nokta neredeyse bir yıl önce oluşturuldu. Peki, o zaman adım adım yapıyoruz:

Her şey. Şimdi geriye kalan tek şey, dışa aktarmanın tamamlanmasını beklemek. Ardından, seçtiğiniz klasöre gidiyoruz ve tüm dosyaları açılabilirlik ve performans açısından kontrol ediyoruz. Herşey harika).
İnternette başka yöntemlerin, yardımcı programların vb. sunulduğunu biliyorum, ancak bunlar hakkında yazmayacağım, çünkü bu sorunla üçüncü kez zaten karşılaştım ve bir kez değil, gölge kopyalardan başka hiçbir şey bana yardımcı olmadı. Belki de sadece şanssızım.

Ancak ne yazık ki, varsayılan olarak yalnızca C sürücüsü için noktalar oluşturulduğundan, son kez yalnızca C sürücüsündeki dosyaları geri yüklemek mümkündü. Buna göre, D sürücüsü için gölge kopya yoktu. Tabii ki, geri yükleme noktalarının nelere yol açabileceğini de unutmamanız gerekiyor, bu yüzden buna da dikkat edin.

Ve diğer sabit sürücüler için gölge kopyaların oluşturulması için onlara da ihtiyacınız var.

Önleme

Kurtarma ile ilgili sorunlardan kaçınmak için önleme yapmanız gerekir. Bunu yapmak için aşağıdaki kurallara uymalısınız.

Bu arada, bir kez bu virüs, dijital imza anahtarı sertifikalarımızın bulunduğu bir flash sürücüdeki dosyaları şifreledi. Yani flash sürücülerle de çok dikkatli olun.

Saygılarımla, Dmitry Kostin.

Günümüzün en sorunlu kötü amaçlı yazılımlarından biri, kullanıcının sürücüsündeki dosyaları şifreleyen bir truva atı veya virüstür. Bu dosyaların bazılarının şifresi çözülebilir, bazıları ise henüz çözülmemiştir. Makalede, her iki durumda da olası eylem algoritmalarını ve ayrıca fidye yazılımı virüslerine karşı korunma yollarını anlatacağım.

Bu virüsün birkaç modifikasyonu var (ve sürekli olarak yenileri ortaya çıkıyor), ancak işin genel özü, bilgisayarınıza kurulumdan sonra, belge dosyalarınız, resimleriniz ve potansiyel olarak önemli olan diğerlerinin bir uzantı değişikliği ile şifrelenmesidir. ve orijinal dosyaların silinmesi, ardından tüm dosyalarınızın şifrelendiğini belirten bir mesaj alırsınız ve bunların şifresini çözmek için saldırgana belirli bir miktar göndermeniz gerekir.

Tüm önemli veriler şifrelenirse ne yapmalı

İlk olarak, bilgisayarlarında önemli dosyaların şifrelenmesiyle karşılaşanlar için bazı genel bilgiler. Bilgisayarınızdaki önemli veriler şifrelenmişse, her şeyden önce panik yapmamalısınız.

Fidye yazılımı virüsünün (fidye yazılımı) göründüğü bilgisayarın diskinden böyle bir fırsatınız varsa, harici bir sürücüye (flash sürücü) bir saldırganın şifre çözme metin isteğini ve şifrelenmiş herhangi bir kopyasını içeren bir örnek dosya kopyalayın. dosyasını seçin ve ardından, mümkünse, virüsün verileri şifrelemeye devam edememesi için bilgisayarı kapatın ve kalan adımları başka bir bilgisayarda gerçekleştirin.

Bir sonraki adım, verilerinizi tam olarak ne tür bir virüsün şifrelediğini bulmak için mevcut şifreli dosyaları kullanmaktır: bazıları için şifre çözücüler vardır (bazılarını burada göstereceğim, bazıları makalenin sonuna daha yakın olarak belirtilmiştir), bazıları için - henüz değil. Ancak bu durumda bile, çalışma için anti-virüs laboratuvarlarına (Kaspersky, Dr. Web) şifrelenmiş dosya örneklerini gönderebilirsiniz.

Tam olarak nasıl öğrenilir? Bu, dosya uzantısına göre tartışmaları veya fidye yazılımı türünü bularak Google'ın yardımıyla yapılabilir. Fidye yazılımının türünü belirlemeye yönelik hizmetler de görünmeye başladı, örneğin https://id-ransomware.malwarehunterteam.com/ (virüsün Rusça sürümleri için ne kadar iyi çalıştığını bilmesem de buna değer hizmete şifreli bir dosya örneği vererek bir deneyin - Şifreli dosya örneği).

Şifreleyicinin türünü belirledikten sonra, başarılı olduysanız, aşağıdaki gibi sorgularla bu değişkenin şifresini çözmek için bir yardımcı program bulmaya çalışın: Encryptor_Type Decryptor. Bu tür yardımcı programlar ücretsizdir ve antivirüs geliştiricileri tarafından yayınlanır, örneğin, bu yardımcı programlardan bazıları Kaspersky web sitesinde https://support.kaspersky.ru/viruses/utility bulunabilir (diğer yardımcı programlar makalenin sonunda mevcuttur) . Ve daha önce de belirtildiği gibi, forumlarında antivirüs geliştiricileriyle iletişime geçmekten veya destek ekibiyle posta yoluyla iletişime geçmekten çekinmeyin.

Ne yazık ki, tüm bunlar her zaman yardımcı olmuyor ve her zaman çalışan dosya şifre çözücüleri yok. Bu durumda, senaryolar farklıdır: birçoğu saldırganlara bu faaliyete devam etmeleri için teşvik ederek ödeme yapar. Bazı kullanıcılara bilgisayardaki verileri kurtarma programları yardımcı olur (çünkü bir virüs şifreli bir dosya oluştururken teorik olarak geri yüklenebilecek sıradan önemli bir dosyayı siler).

Bilgisayardaki dosyalar xtbl'de şifrelenir

Fidye yazılımı virüsünün en son türevlerinden biri, dosyaları şifreler ve onları .xtbl uzantılı ve rastgele bir dizi karakterden oluşan bir adla değiştirir.

Aynı zamanda, bilgisayara aşağıdaki içeriğe sahip bir benioku.txt metin dosyası yerleştirilir: “Dosyalarınız şifrelendi. Şifrelerini çözmek için kodu e-posta adresine göndermeniz gerekir. [e-posta korumalı], [e-posta korumalı] veya [e-posta korumalı] Ardından, gerekli tüm talimatları alacaksınız. Dosyaların şifresini kendiniz çözme girişimleri, geri dönüşü olmayan bilgi kaybına yol açacaktır ”(e-posta adresi ve metin farklı olabilir).

Ne yazık ki, şu anda .xtbl'nin şifresini çözmenin bir yolu yoktur (göründüğü anda talimatlar güncellenecektir). Bilgisayarlarında gerçekten önemli bilgilere sahip olan bazı kullanıcılar, virüsten koruma forumlarında, virüsün yazarlarına 5.000 ruble veya diğer gerekli miktarı gönderdiklerini ve bir şifre çözücü aldıklarını bildiriyor, ancak bu çok riskli: hiçbir şey alamayabilirsiniz.

Dosyalar .xtbl'de şifrelenmişse ne olur? Önerilerim aşağıdaki gibidir (ancak diğer birçok tematik sitedekilerden farklıdır, örneğin bilgisayarın elektrik şebekesinden derhal kapatılmasını veya virüsün kaldırılmasını önermezler. Bence bu gereksiz ve bazı durumlarda zararlı bile olabilir, ama bu size kalmış.):

1. Nasıl yapılacağını biliyorsanız, görev yöneticisinde uygun görevleri kaldırarak, bilgisayarın İnternet bağlantısını keserek şifreleme işlemini kesin (bu şifreleme için gerekli bir koşul olabilir)
2. Saldırganların e-posta adresine gönderilmesini istediği kodu hatırlayın veya not edin (ancak her ihtimale karşı bilgisayardaki bir metin dosyasına değil, şifrelenmemesi için).
3. Dosyaları şifreleyen bir virüsü kaldırmak için Kaspersky Internet Security'nin deneme sürümü olan Malwarebytes Antimalware'i veya Dr.Web Cure It'i kullanın (bu araçların tümü bu konuda iyi bir iş çıkarır). Listedeki birinci ve ikinci ürünü sırayla kullanmanızı tavsiye ederim (ancak, yüklü bir antivirüsünüz varsa, ikinci "yukarıdan" yüklemek, bilgisayarınızda sorunlara yol açabileceğinden istenmeyen bir durumdur.)
4. Bazı virüsten koruma şirketlerinden bir şifre çözücünün görünmesini bekleyin. Burada ön planda Kaspersky Lab var.
5. Ayrıca, şifrelenmiş bir dosyanın bir örneğini ve gerekli kodu şu adrese gönderebilirsiniz: [e-posta korumalı] , aynı dosyanın şifrelenmemiş bir kopyasına sahipseniz, lütfen onu da gönderin. Teoride bu, kod çözücünün görünümünü hızlandırabilir.

Yapılmaması gerekenler:

• Şifrelenmiş dosyaları yeniden adlandırın, uzantıyı değiştirin ve sizin için önemliyse silin.

Belki de bu noktada .xtbl uzantılı şifrelenmiş dosyalar hakkında söyleyebileceğim tek şey bu.

Better_call_saul tarafından şifrelenen dosyalar

En son fidye yazılımı virüsleri arasında, şifrelenmiş dosyalar için .better_call_saul uzantısını yükleyen Better Call Saul (Trojan-Ransom.Win32.Shade) bulunmaktadır. Bu tür dosyaların şifresinin nasıl çözüleceği henüz belli değil. Kaspersky Lab ve Dr.Web ile iletişime geçen kullanıcılar, bunun henüz yapılamayacağı bilgisini aldı (ancak yine de göndermeyi deneyin - geliştiricilerden daha fazla şifreli dosya örneği = bir yol bulma olasılığı daha yüksektir).

Trojan-Ransom.Win32.Aura ve Trojan-Ransom.Win32.Rakhni

Aşağıdaki Truva Atı, dosyaları şifreler ve bu listedeki uzantıları yükler:

• .kilitli
• .kripto
• .kraken
• .AES256 (mutlaka bu truva atı değil, aynı uzantıyı yükleyen başkaları da var).
• [e-posta korumalı] _com
• .oshit
• Ve diğerleri.

Bu virüslerin çalıştırılmasından sonra dosyaların şifresini çözmek için Kaspersky web sitesinde, http://support.kaspersky.ru/viruses/disinfection/10556 resmi sayfasında bulunan ücretsiz bir RakhniDecryptor yardımcı programı bulunur.

Ayrıca, bu yardımcı programın nasıl kullanılacağına dair ayrıntılı bir talimat var, şifreli dosyaların nasıl kurtarılacağını gösteren, her ihtimale karşı, "Şifreli dosyaları başarılı bir şekilde çözdükten sonra sil" öğesini kaldıracağım (ancak, her şeyin iyi olacağını düşünüyorum). yüklü olan seçenek).

Dr.Web anti-virüs lisansınız varsa, bu şirketin ücretsiz şifre çözme özelliğini http://support.drweb.com/new/free_unlocker/ adresinden kullanabilirsiniz.

Fidye yazılımı virüsünün daha fazla çeşidi

Daha az yaygın olmakla birlikte, dosyaları şifreleyen ve şifre çözme için para gerektiren aşağıdaki Truva atları da vardır. Sağlanan bağlantılar yalnızca dosyalarınızı geri döndürmek için yardımcı programları değil, aynı zamanda bu virüse sahip olduğunuzu belirlemenize yardımcı olacak işaretlerin açıklamalarını da içerir. Genel olarak en iyi yol, sistemi Kaspersky Anti-Virus kullanarak taramak olsa da, bu şirketin sınıflandırmasına göre Truva atının adını öğrenin ve ardından yardımcı programı bu adla arayın.

• Trojan-Ransom.Win32.Rector - ücretsiz RectorDecryptor şifre çözme yardımcı programı ve kullanım kılavuzu şu adreste bulunabilir: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist, ücretli bir SMS göndermenizi veya şifre çözme talimatları için bir e-posta ile iletişim kurmanızı isteyen bir pencere açan benzer bir Truva atıdır. Şifrelenmiş dosyaları kurtarma talimatları ve bunun için XoristDecryptor yardımcı programı http://support.kaspersky.ru/viruses/disinfection/2911 adresinde bulunabilir.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor yardımcı programı http://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 ve aynı ada sahip diğerleri (Dr.Web antivirüs veya Cure It yardımcı programı aracılığıyla arama yaparken) ve farklı numaralar - İnternette Truva atı adını aramayı deneyin. Bazıları için Dr.Web'den şifre çözme yardımcı programları vardır, ayrıca yardımcı programı bulamadıysanız, ancak bir Dr.Web lisansı varsa, http://support.drweb.com/new/ resmi sayfasını kullanabilirsiniz. free_unlocker/
• CryptoLocker - CryptoLocker çalıştıktan sonra dosyaların şifresini çözmek için http://decryptlocker.com sitesini kullanabilirsiniz - örnek bir dosya gönderdikten sonra, dosyalarınızı kurtarmak için bir anahtar ve yardımcı program alacaksınız.
• Sitede https://bitbucket.org/jadacyrus/ransomwareremovalk... indirmeler Fidye Yazılımı Kaldırma Kitine erişim sağlar - farklı türde fidye yazılımı ve şifre çözme yardımcı programları hakkında bilgi içeren büyük bir arşiv (İngilizce)

Pekala, en son haberlerden - Kaspersky Lab, Hollanda'dan kolluk kuvvetleriyle birlikte CoinVault'tan sonra dosyaların şifresini çözmek için Ransomware Decryptor'ı (http://noransom.kaspersky.com) geliştirdi, ancak bu fidye yazılımı henüz enlemlerimizde bulunamadı.

Fidye yazılımı veya fidye yazılımı virüslerine karşı koruma

Fidye yazılımları yayıldıkça, birçok virüsten koruma ve kötü amaçlı yazılımdan koruma satıcısı, fidye yazılımlarının bir bilgisayarda çalışmasını önlemek için kendi çözümlerini yayınlamaya başladı, bunların arasında şunlar yer alıyor:

İlk ikisi hala beta sürümlerindedir, ancak ücretsizdir (bu tür yalnızca sınırlı sayıda virüsün tespit edilmesini desteklerler - TeslaCrypt, CTBlocker, Locky, CryptoLocker. WinAntiRansom, neredeyse tüm fidye yazılımları tarafından şifrelemeyi önlemeyi vaat eden ücretli bir üründür. örnekler, hem yerel hem de ağ sürücüleri için koruma sağlar.

Ancak: bu programlar şifreyi çözmek için değil, yalnızca bilgisayardaki önemli dosyaların şifrelenmesini önlemek için tasarlanmıştır. Ve genel olarak, bana öyle geliyor ki, bu işlevlerin anti-virüs ürünlerinde uygulanması gerekiyor, aksi takdirde garip bir durum ortaya çıkıyor: kullanıcının bilgisayarda bir anti-virüs tutması, AdWare ve Kötü Amaçlı Yazılımla mücadele için bir araç ve şimdi de Fidye yazılımına karşı koruma yardımcı programı ve her ihtimale karşı, istismara karşı koruma.

Bu arada, aniden ekleyecek bir şeyiniz olduğu ortaya çıkarsa (çünkü şifre çözme yöntemlerinde neler olduğunu izlemek için zamanım olmayabilir), yorumlarda bana bildirin, bu bilgi diğer kullanıcılar için faydalı olacaktır. Bir sorun çıktı.

Ve her yıl daha da yenileri ortaya çıkıyor ... daha ilginç ve daha ilginç. Tüm dosyalarınızı (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, vb.) şifreleyen en popüler son virüs (Trojan-Ransom.Win32.Rector). .) .d.). Sorun, bu tür dosyaların şifresini çözmenin son derece zor ve zaman alıcı olmasıdır, şifreleme türüne bağlı olarak şifre çözme haftalar, aylar hatta yıllar alabilir. Bence bu virüs şu anda diğer virüsler arasında tehlike açısından zirvede. Çoğu kullanıcı verilerini yedeklemediği ve dosyaları şifrelediklerinde tüm verilerini kaybettiği için özellikle ev bilgisayarları/dizüstü bilgisayarlar için tehlikelidir. Kuruluşlar için bu virüs daha az tehlikelidir, çünkü önemli verilerin yedek kopyalarını oluştururlar ve virüs bulaşması durumunda, elbette virüsü kaldırdıktan sonra basitçe geri yüklerler. Bu virüsle birkaç kez karşılaştım, nasıl olduğunu ve neye yol açtığını anlatacağım.

Dosyaları şifreleyen bir virüsle ilk tanışmam 2014 yılının başındaydı. Başka bir şehirden bir yönetici benimle iletişime geçti ve bana en tatsız haberi verdi - Dosya sunucusundaki tüm dosyalar şifreli! Enfeksiyon basit bir şekilde gerçekleşti - muhasebe departmanına "Orada bir şey yapın.pdf.exe" eki ile bir mektup geldi, anladığınız gibi bu EXE dosyasını açtılar ve süreç başladı ... üzerindeki tüm kişisel dosyaları şifreledi bilgisayar ve dosya sunucusuna gitti (bir ağ sürücüsü tarafından eşlendi). Yönetici ile birlikte internette bilgi kazmaya başladık ... o zaman çözüm yoktu ... herkes böyle bir virüs olduğunu yazdı, nasıl tedavi edileceği bilinmiyor, şifresini çözmek mümkün değildi dosyalar, belki de dosyaları Kaspersky, Dr Web veya Nod32'ye göndermek yardımcı olabilir. Bunları yalnızca anti-virüs programlarını kullanıyorsanız gönderebilirsiniz (lisansları vardır). Dosyaları Dr Web ve Nod32'ye gönderdik, sonuçlar 0 çıktı, Dr Web'de ne dediklerini hatırlamıyorum ama Nod 32'de tamamen sessizdiler ve onlardan herhangi bir yanıt beklemedim. Genel olarak, her şey üzücüydü ve hiçbir zaman bir çözüm bulamadık, bazı dosyalar bir yedekten geri yüklendi.

İkinci hikaye - daha geçen gün (2014 Ekim ortası) bir kuruluştan virüsle ilgili sorunu çözmemi isteyen bir telefon aldım, anladığınız gibi bilgisayardaki tüm dosyalar şifreliydi. İşte neye benzediğine bir örnek.

Görüldüğü gibi her dosyaya *.AES256 uzantısı eklenmiştir. Her klasörde, iletişim için kişilerin bulunduğu bir "Attention_open-me.txt" dosyası vardı.

Bu dosyaları açmaya çalışırken, şifre çözme için ödeme yapmak için virüsün yazarlarıyla iletişim kurmak için kişileri olan bir program açıldı. Tabii ki, onlarla iletişime geçmenizi ve kod için ödeme yapmanızı önermiyorum, çünkü onları yalnızca finansal olarak destekleyeceksiniz ve bir şifre çözme anahtarı alacağınız bir gerçek değil.

Virüs, İnternet'ten indirilen bir programın yüklenmesi sırasında meydana geldi. En şaşırtıcı olan şey, dosyaların değiştiğini (simgeler ve dosya uzantıları değişmiş) fark ettiklerinde hiçbir şey yapmadılar ve çalışmaya devam ettiler ve bu arada fidye yazılımı tüm dosyaları şifrelemeye devam etti.

Dikkat!!! Bilgisayarınızda dosya şifreleme (simge değiştirme, uzantı değiştirme) fark ederseniz hemen bilgisayarınızı/dizüstü bilgisayarınızı kapatın ve başka bir cihazdan (başka bir bilgisayardan/dizüstü bilgisayardan, telefondan, tabletten) çözüm arayın veya BT uzmanlarıyla iletişime geçin. Bilgisayarınız/dizüstü bilgisayarınız ne kadar uzun süre açık kalırsa, o kadar çok dosya şifreleyecektir.

Genel olarak, onlara yardım etmeyi reddetmek istedim, ancak internette gezinmeye karar verdim, belki de bu sorun için zaten bir çözüm var. Aramalar sonucunda şifresinin çözülemeyeceği, anti-virüs şirketlerine (Kaspersky, Dr Web veya Nod32) dosya göndermeniz gerektiğine dair birçok bilgi okudum - teşekkürler, bir deneyim oldu.
Kaspersky - RectorDecryptor'dan bir yardımcı programla karşılaştım. Ve bakın, dosyaların şifresi çözüldü. Peki, önce ilk şeyler...

İlk adım fidye yazılımını durdurmaktır. Yüklü Dr Web hiçbir şey bulamadığı için antivirüslerde bulunmayacaksınız. Her şeyden önce, otomatik yüklemelere girdim ve tüm otomatik yüklemeleri devre dışı bıraktım (antivirüs hariç). Bilgisayarı yeniden başlattı. Sonra başlangıçta ne tür dosyalar olduğuna bakmaya başladı.

Gördüğünüz gibi, "Komut" alanında dosyanın bulunduğu yer belirtilir, imzasız uygulamaları kaldırmak için özel dikkat gerekir (Üretici - Veri yok). Genel olarak, henüz benim için net olmayan kötü amaçlı yazılımları ve dosyaları buldum ve kaldırdım. Ondan sonra geçici klasörleri ve tarayıcı önbelleklerini temizledim, programı bu amaçlar için kullanmak en iyisidir. CCleaner .

Sonra dosyaların şifresini çözmeye devam ettim, bunun için indirdim şifre çözme programı RectorDecryptor . Başlatıldı ve oldukça münzevi bir yardımcı program arayüzü gördü.

"Kontrol Başlat" ı tıkladım, değiştirilen tüm dosyaların sahip olduğu uzantıyı belirttim.

Ve şifreli dosyayı gösterdi. RectorDecryptor'ın daha yeni sürümlerinde, şifrelenmiş dosyayı basitçe belirtebilirsiniz. "Aç" düğmesini tıklayın.

Tada-a-a-am!!! Bir mucize oldu ve dosyanın şifresi çözüldü.

Bundan sonra, yardımcı program otomatik olarak tüm bilgisayar dosyalarını + bağlı ağ sürücüsündeki dosyaları kontrol eder ve şifrelerini çözer. Şifre çözme işlemi birkaç saat sürebilir (şifreli dosya sayısına ve bilgisayarınızın hızına bağlı olarak).

Sonuç olarak, tüm şifrelenmiş dosyaların şifresi, orijinal olarak bulundukları dizine başarıyla çözüldü.

.AES256 uzantılı tüm dosyaları silmek için kalır, bu, RectorDecryptor penceresinde "Doğrulama ayarlarını değiştir"i tıklarsanız "Başarılı şifre çözmeden sonra şifreli dosyaları sil" onay kutusu işaretlenerek yapılabilir.

Ancak, bu kutuyu işaretlememenin daha iyi olduğunu unutmayın, çünkü dosyaların şifresinin başarısız bir şekilde çözülmesi durumunda bunlar silinecek ve şifrelerini tekrar çözmeyi denemek için onları başlatmanız gerekecek. yeniden kurmak .

Standart arama ve silmeyi kullanarak tüm şifrelenmiş dosyaları silmeye çalışırken, donmalar ve aşırı yavaş bilgisayar performansı ile karşılaştım.

Bu nedenle, onu kaldırmak için komut satırını kullanmak, çalıştırmak ve yazmak en iyisidir. del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Benim durumumda "d:\*.AES256" /f /s.

"Attention_open-me.txt" dosyalarını silmeyi unutmayın, bunun için komut satırındaki komutu kullanın. del"<диск>:\*.<имя файла>"/f/s,örneğin
"d:\Attention_open-me.txt" /f /s

Böylece virüs yenildi ve dosyalar geri yüklendi. Bu yöntemin herkese yardımcı olmayacağı konusunda sizi uyarmak istiyorum, mesele şu ki, bu yardımcı programdaki Kapersky, bilinen tüm şifre çözme anahtarlarını (virüs bulaşmış olanlar tarafından gönderilen dosyalardan) topladı ve anahtarları seçip kaba bir şekilde şifresini çözdü. Kuvvet. Şunlar. Dosyalarınız henüz bilinmeyen bir anahtara sahip bir virüs tarafından şifrelenmişse, bu yöntem yardımcı olmaz... virüslü dosyaları şifrelerini çözmek için Kaspersky, Dr Web veya Nod32 gibi anti-virüs şirketlerine göndermeniz gerekir.