Benioku txt virüsü tarafından şifrelenmiş dosyaların şifresi nasıl çözülür. Virüs fidye yazılımı nasıl tedavi edilir ve dosyaların şifresini çözer tedavi yardımı. Şifreleme tamamlandıysa

Çok uzun zaman önce internette ortaya çıktı yeni virüs(ve değişikliklerinin birçoğu), bilgisayarınızdaki dosyaları şifreleyen ve para için şifrelerini çözmek için bir program sipariş etmeyi teklif eden. Bu durumda, şifrelenmiş dosyalar yeniden adlandırılır ve bunun gibi adlar alır.

DSC00122.JPG. [e-posta korumalı] _XO101

Vurgulanan kısım, virüs yazarının e-postasından (virüsün “kurbanının” şifre çözme isteği göndereceği) ve virüs değişikliği tanımlayıcısından oluşur. Virüsün her modifikasyonunun kendi şifreleme algoritması vardır ve buna göre kendi şifre çözücüsüne ihtiyaç duyar.

Neyse ki, Dr.Web'den geliştiriciler bu sorunla başa çıktılar ve sunmaya hazırlar. özel yardımcı program, bir virüs tarafından bozulmuş dosyaların şifresini çözer. Kolaylık sağlamak için aşağıda yardımcı programın kendisini gönderiyorum ve kısa talimatlar kullanımı üzerine.

(şifre, sitemin "http://" içermeyen adıdır)

Aşağıda kısa bir kılavuz bulunmaktadır.

Kurtarma yardımcı programını indirin, arşivi boş bir klasöre açın. basit isim(örneğin, " C:\_aralık"). O zaman koş Komut satırı(Başlat - Çalıştır - cmd) ve buraya şunu yazın:

Burada " [e-posta korumalı] _XO101”, dosyalarınızın virüs tarafından yeniden adlandırıldığı önektir, başlangıçtaki noktaya dikkat edin. ANCAK c:\dosyalarım\ kodlanmış dosyalarınızın bulunduğu klasördür. Başlatıldığında, program bir onay penceresi açacaktır.

Ve "Devam" butonuna tıkladıktan sonra otomatik tedavi başlayacaktır. Programın tamamlanmasının ardından bir rapor alacaksınız ve kodu çözülen tüm dosyalar, belirttiğiniz klasördeki kodlanmış dosyaların yanında yer alacaktır (program, dosyaların kodlanmış sürümlerini silmez).

Programın yazarları tüm dosyaların %100 işlenmesini garanti etmez ve üzerinde çalışmasını test etme imkanım yok. çok sayıda dosyalar, öyleyse lütfen: kim bu yardımcı programla dosyaları iyileştirmeyi başardı (veya çalışmadı) - yorumlarda aboneliğinizi iptal edin.

Bu kadar! Sağlıklı olmak!

not Ve bilgisayar enfeksiyonlu durumun tekrar yaşanmaması için şimdiden satın alın normal antivirüs. Kaspersky Internet Security kullanıyorum ama görünüşe göre Dr.Web de oldukça iyi. Tecrübelerime inanın, gönül rahatlığı ve geleceğe güven için yılda bir buçuk bin ruble saçma bir fiyat.

E-posta, Skype veya ICQ aracılığıyla bilinmeyen bir göndericiden arkadaşınızın bir fotoğrafına bağlantı içeren veya yaklaşan tatil için tebrikler içeren bir mesaj aldınız mı? Görünüşe göre herhangi bir kurulum beklemiyorsunuz ve bir anda bağlantıya tıkladığınızda bilgisayarınıza ciddi kötü amaçlı yazılımlar yükleniyor. Virüs zaten tüm dosyaları şifrelediği için aklınıza gelmek için zamanınız yok. Böyle bir durumda ne yapmalı? Belgeleri kurtarmak mümkün mü?

Kötü amaçlı yazılımlarla nasıl başa çıkılacağını anlamak için, bunun ne olduğunu ve işletim sistemine nasıl girdiğini bilmeniz gerekir. Ayrıca, ne olduğu önemli değil Windows sürümü kullandığınız - Critroni-virüs, herhangi bir virüse bulaşmayı amaçlamaktadır. işletim sistemi.

Şifreleme bilgisayar virüsü: tanım ve eylem algoritması

İnternette yenisi var bilgisayar virüsü Birçok kişi tarafından CTB (Curve Tor Bitcoin) veya Critroni adı altında bilinen herhangi bir yazılım. Bu, prensipte daha önce bilinen kötü amaçlı yazılım CriptoLocker'a benzer gelişmiş bir fidye yazılımı Truva atıdır. Virüs tüm dosyaları şifrelemişse, bu durumda ne yapmalı? Her şeyden önce, çalışmasının algoritmasını anlamanız gerekir. Virüsün özü, .ctbl, .ctb2, .vault, .xtbl veya diğer uzantılardaki tüm dosyalarınızı şifrelemektir. Ancak, istenen parayı ödeyene kadar onları açamazsınız.

Trojan-Ransom.Win32.Shade ve Trojan-Ransom.Win32.Onion virüsleri yaygındır. Yerel eylemlerinde STV'lere çok benzerler. Şifrelenmiş dosyaların uzantısı ile ayırt edilebilirler. Trojan-Ransom, bilgileri .xtbl biçiminde kodlar. Herhangi bir dosyayı açtığınızda, ekranda kişisel belgelerinizin, veritabanlarınızın, fotoğraflarınızın ve diğer dosyalarınızın kötü amaçlı yazılım tarafından şifrelendiğini belirten bir mesaj görüntülenir. Bunların şifresini çözmek için, bir ücret karşılığında gizli bir sunucuda saklanan benzersiz bir anahtar almanız gerekir ve yalnızca bu durumda belgelerinizle şifre çözme ve şifreleme işlemleri yapabilirsiniz. Ama merak etmeyin, hatta daha fazlasını şu adrese gönderin: belirtilen sayı para, bu tür siber suçlarla savaşmanın başka bir yolu var. Bilgisayarınıza böyle bir virüs bulaştıysa ve tüm .xtbl dosyalarını şifrelediyse, böyle bir durumda ne yapmalısınız?

Bilgisayarınıza bir kriptografik virüs girdiğinde ne yapılmamalıdır?

Bir panik içinde belirlediğimiz olur antivirüs programı ve onun yardımıyla otomatik veya manuel mod virüs yazılımını kaldırırız, onunla birlikte önemli belgeleri kaybederiz. Bu hoş değil, ayrıca bilgisayar aylardır üzerinde çalıştığınız verileri depolayabilir. Bu tür belgeleri kurtarma olasılığı olmadan kaybetmek utanç verici.

Virüs tüm .xtbl dosyalarını şifrelemişse, bazıları uzantılarını değiştirmeye çalışır, ancak bu aynı zamanda pozitif sonuçlar. Yeniden yükleme ve sert biçimlendirme disk, kötü amaçlı programı kalıcı olarak kaldıracak, ancak aynı zamanda belgeleri kurtarma olasılığını da kaybedeceksiniz. Bu durumda, özel olarak oluşturulmuş şifre çözücü programlar da yardımcı olmaz, çünkü yazılım fidye yazılımı standart olmayan bir algoritmaya göre programlanır ve özel bir yaklaşım gerektirir.

Kişisel bir bilgisayar için fidye yazılımı virüsü ne kadar tehlikelidir?

Hiçbir kötü amaçlı programın kişisel bilgisayarınıza fayda sağlayamayacağı oldukça açıktır. Bu yazılım ne için? İşin garibi, bu tür programlar yalnızca kullanıcıları mümkün olduğunca cezbetmek için yaratılmadı. daha fazla paradan. Aslında viral pazarlama birçok anti-virüs mucidi için oldukça faydalıdır. Sonuçta, bir virüs bilgisayarınızdaki tüm dosyaları şifrelemişse, önce nereye gidersiniz? Doğal olarak, profesyonellerin yardımıyla. Dizüstü bilgisayarınız için şifreleme nedir veya kişisel bilgisayar?

Çalışmalarının algoritması standart değildir, bu nedenle olağan antivirüs yazılımı virüslü dosyaları dezenfekte etmek imkansız olacaktır. Kötü amaçlı nesnelerin kaldırılması veri kaybına neden olur. Yalnızca karantinaya geçmek, kötü niyetli virüsün henüz şifrelemeyi başaramadığı diğer dosyaların güvenliğini sağlamayı mümkün kılacaktır.

Şifreleme kötü amaçlı yazılım son kullanma tarihi

Bilgisayarınıza Critroni (kötü amaçlı yazılım) bulaşmışsa ve virüs tüm dosyaları şifreliyorsa ne yapmalısınız? .vault-, .xtbl-, .rar-formatlarının şifresi, uzantıyı manuel olarak .doc, .mp3, .txt ve diğerleri olarak değiştirerek kendiniz çözemezsiniz. 96 saat içinde siber suçlulara gerekli tutarı ödemezseniz, tüm dosyalarınızın kalıcı olarak silineceği postasıyla korkutulacaksınız. Çoğu durumda, insanlar bu tür tehditlerden etkilenir ve değerli bilgilerini kaybetmekten korkarak bu eylemleri isteksizce ama itaatkar bir şekilde gerçekleştirirler. Kullanıcıların siber suçluların her zaman sözlerini tutmadığı gerçeğini anlamaması üzücü. Parayı aldıklarında, genellikle kilitli dosyalarınızın şifresini çözme konusunda endişelenmezler.

Zamanlayıcı sona erdiğinde, otomatik olarak kapanır. Ancak yine de önemli belgeleri kurtarma şansınız var. Ekranda sürenin geçtiğini ve daha fazlasını belirten bir mesaj belirecektir. detaylı bilgi Belgeler klasöründeki dosyaları özel olarak oluşturulmuş bir not defteri dosyası olan DecryptAllFiles.txt içinde görüntüleyebilirsiniz.

Kriptografik kötü amaçlı yazılımların işletim sistemine nüfuz etme yolları

Tipik olarak, fidye yazılımı bir bilgisayara, şu anda gelen virüslü iletiler yoluyla girer. e-posta veya sahte indirmeler yoluyla. Bunlar sahte flaş güncellemeleri veya hileli video oynatıcılar olabilir. Program bu yollardan herhangi biri ile bilgisayara indirilir yüklenmez verileri kurtarma olasılığı olmadan hemen şifreler. Virüs tüm .cbf, .ctbl, .ctb2 dosyalarını başka biçimlerde şifrelemişse ve çıkarılabilir medyada saklanan belgenin yedek kopyasına sahip değilseniz, artık onları geri yükleyemeyeceğinizi düşünün. Üzerinde şu an anti-virüs laboratuvarları bu tür şifreleme virüslerini nasıl kıracaklarını bilmiyorlar. Gerekli anahtar olmadan, yalnızca virüslü dosyaları engellemek, karantinaya almak veya silmek mümkündür.

Bilgisayar virüsü enfeksiyonu nasıl önlenir

Tüm .xtbl dosyalarını kötüleyin. Ne yapalım? zaten çok okudun gereksiz bilgi, çoğu web sitesinde yazılmıştır ve cevabı bulamıyorsunuz. En uygunsuz anda, işte acilen bir rapor, üniversitede bir tez veya profesörlük derecenizi savunmanız gerektiğinde, bilgisayar kendi hayatını yaşamaya başlar: bozulur, virüslere bulaşır, donar. . Bu tür durumlara hazırlıklı olmalı ve sunucu ve çıkarılabilir medyadaki bilgileri saklamalısınız. Bu, işletim sistemini istediğiniz zaman yeniden yüklemenize ve 20 dakika sonra hiçbir şey olmamış gibi bilgisayarınızda çalışmanıza olanak tanır. Ama ne yazık ki, her zaman bu kadar girişimci değiliz.

Bilgisayarınıza virüs bulaşmasını önlemek için öncelikle iyi bir virüsten koruma programı yüklemeniz gerekir. doğru yapılandırmış olmalısınız Windows Güvenlik Duvarı Ağ üzerinden çeşitli kötü amaçlı nesnelerin girişine karşı koruma sağlayan . Ve en önemlisi: doğrulanmamış sitelerden, torrent izleyicilerden yazılım indirmeyin. Bilgisayar enfeksiyonunu önlemek için virüs programları, hangi bağlantılara tıkladığınıza dikkat edin. Anlaşılmaz bir muhataptan bağlantının arkasında nelerin gizlendiğini görmek için bir istek veya teklif içeren bir e-posta alırsanız, mesajı spam'e taşımak veya tamamen silmek en iyisidir.

Virüsten koruma yazılımı laboratuvarları, bir virüsün tüm .xtbl dosyalarını tek bir noktada şifrelemesini önlemek için şunları önerir: Otobanşifreleme virüsleri ile enfeksiyona karşı koruma: haftada bir kez, durumlarını gerçekleştirin ve inceleyin.

Virüs bilgisayardaki tüm dosyaları şifreledi: tedavi yöntemleri

Siber suçun kurbanı olduysanız ve bilgisayarınızdaki verilere kötü amaçlı yazılımların şifreleme türlerinden biri bulaştıysa, dosyalarınızı kurtarmanın zamanı gelmiştir.

Virüs bulaşmış belgeleri ücretsiz olarak dezenfekte etmenin birkaç yolu vardır:

1. Şu anda en yaygın ve muhtemelen en etkili yöntem - destek olmakÖngörülemeyen enfeksiyon durumunda belgeler ve müteakip iyileşme.
2. CTB virüsünün yazılım algoritması ilginç bir şekilde çalışıyor. Bilgisayara girerek dosyaları kopyalar, şifreler ve orijinal belgeleri siler, böylece kurtarma olasılığını ortadan kaldırır. Ama yardımla yazılım Photorec veya R-Studio bazı bozulmamış kaydetmek için zamanınız olabilir orijinal dosyalar. Virüs bulaştıktan sonra bilgisayarınızı ne kadar uzun süre kullanırsanız, gerekli tüm belgeleri kurtarma olasılığının o kadar düşük olduğunu bilmelisiniz.
3. Virüs tüm .vault dosyalarını şifrelemişse, bunların şifresini çözmenin başka bir iyi yolu daha vardır - gölge kopya birimleri kullanmak. Tabii ki, virüs hepsini kalıcı olarak ve kalıcı olarak silmeye çalışacak, ancak bazı dosyalara dokunulmadan kaldığı da oluyor. Bu durumda, küçük de olsa iyileşme şansınız olacak.
4. DropBox gibi dosya paylaşım servislerinde veri depolamak mümkündür. Bir bilgisayara yerel sürücü eşlemesi olarak kurulabilir. Doğal olarak, şifreleme virüsü ona bulaştıracak. Ancak bu durumda belgeleri geri yüklemek çok daha gerçekçi ve önemli dosyalar.

Kişisel bilgisayar virüsü bulaşmasının programlı önlenmesi

Bilgisayarınıza kötü niyetli kötü amaçlı yazılımların girmesinden korkuyorsanız ve sinsi bir virüsün tüm dosyaları şifrelemesini istemiyorsanız, düzenleyiciyi kullanmalısınız. yerel politika veya Windows grupları. Bu entegre yazılım sayesinde, bir program kısıtlama politikası oluşturabilirsiniz - ve ardından bilgisayarınıza bulaşma endişesi duymazsınız.

Virüslü dosyalar nasıl kurtarılır

CTB virüsü tüm dosyaları şifrelediyse, ne yapılmalı? bu durum yenilemek Gerekli belgeler? Maalesef şu anda hiçbiri antivirüs laboratuvarı dosyalarınızın şifresini çözmeyi teklif edemez, ancak enfeksiyonun etkisiz hale getirilmesi, tam kaldırma kişisel bir bilgisayardan mümkündür. hepsi yukarıda etkili yöntemler bilgi kurtarma. Dosyalarınız sizin için çok değerliyse ve onları yedeklemeye zahmet etmiyorsanız çıkarılabilir medya veya bir İnternet diski, o zaman siber suçlular tarafından talep edilen para miktarını ödemek zorunda kalacaksınız. Ancak ödeme yapıldıktan sonra bile size bir şifre çözme anahtarı gönderilme şansı yoktur.

Virüslü dosyalar nasıl bulunur

Etkilenen dosyaların listesini görmek için şu yola gidebilirsiniz: "Belgelerim"\.html veya "C:"\"Kullanıcılar"\"Tüm Kullanıcılar"\.html. Bu html sayfası, yalnızca rastgele talimatlar hakkında değil, aynı zamanda virüslü nesneler hakkında da veriler içerir.

Şifreleme virüsü nasıl engellenir

Bilgisayara kötü amaçlı yazılım bulaştığında yazılım, ilk gerekli eylem kullanıcı tarafından - ağa dahil olma. Bu, F10 klavye tuşuna basılarak yapılır.

eğer bilgisayarınız rastgele Critroni virüsünü kaptı, tüm dosyaları .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf veya başka bir formatta şifreledi, bu durumda onları kurtarmak zaten zor. Ancak virüs henüz çok fazla değişiklik yapmayı başaramadıysa, bir politika yardımıyla engelleme olasılığı var. Sınırlı erişim programlar.

Hatırlamak: Trojan.Encoder ailesinin Truva atları, bir bilgisayarın sabit diskindeki dosyaları şifreleyen ve şifrelerini çözmek için para talep eden kötü amaçlı programlardır. *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar ve benzeri dosyalar şifrelenebilir.
Bu virüsün tüm ailesiyle kişisel olarak tanışmak mümkün değildi, ancak uygulamanın gösterdiği gibi, enfeksiyon, tedavi ve şifre çözme yöntemi herkes için yaklaşık olarak aynıdır:
1. kurban, eki olan bir spam e-posta yoluyla bulaşır (daha az sıklıkla enfeksiyon yoluyla),
2. virüs, yeni veritabanlarına sahip hemen hemen tüm antivirüsler tarafından tanınır ve kaldırılır (zaten),
3. Dosyaların şifresi, kullanılan şifreleme türleri için parola-anahtarları seçilerek çözülür.
Örneğin, Trojan.Encoder.225, RC4 (değiştirilmiş) + DES şifrelemesini kullanırken Trojan.Encoder.263, TO modunda BlowFish'i kullanır. Bu virüslerin şifresi şu anda kişisel uygulamaya dayalı olarak %99 oranında çözülmektedir.

Ama her şey o kadar pürüzsüz değil. Bazı fidye yazılımı virüsleri aylarca sürekli şifre çözme gerektirirken (Trojan.Encoder.102), diğerlerinin (Trojan.Encoder.283) şifresi Doctor Web uzmanları tarafından bile çözülemez, ki bu aslında bu makalede önemli bir rol oynar. .

Şimdi sırayla.

Ağustos 2013'ün başında müşteriler Trojan.Encoder.225 virüsü tarafından şifrelenen dosyalarla ilgili bir sorunla benimle iletişime geçti. Virüs o zamanlar yeni, kimse bir şey bilmiyor, internette 2-3 tematik Google bağlantısı var. İnternette uzun bir araştırmadan sonra, bu virüsten sonra dosyaların şifresini çözme sorunuyla ilgilenen tek (bulunan) kuruluşun Doctor Web olduğu ortaya çıkıyor. Yani: önerilerde bulunur, teknik desteğe başvururken yardımcı olur, kendi şifre çözücülerini geliştirir, vb.

Negatif geri çekilme.

Ve bu fırsatı iki noktaya dikkat çekmek istiyorum. besi eksi "Kaspersky Lab". Hangi, teknik destekleriyle iletişime geçtiğinizde, “bu konu üzerinde çalışıyoruz, sizi sonuçlar hakkında posta yoluyla bilgilendireceğiz” diyerek reddedin. Ve yine de eksi, talebe hiçbir zaman yanıt almamış olmam. 4 ay sonra. Tepki süreni sikeyim. Ve burada "başvurunun kaydedilmesinden en fazla bir saat sonra" standardı için çabalıyorum.
Yazık, yoldaş Evgeny Kaspersky, CEO Kaspersky Lab. Ama üzerinde "oturan" tüm şirketlerin iyi bir yarısı var. Pekala, tamam, lisanslar Ocak-Mart 2014'te bitiyor. Lisansı yenileyip yenilemeyeceğimi konuşmaya değer mi?;)

Anti-virüs endüstrisinin devlerini DEĞİL, tabiri caizse "daha basit" şirketlerden "uzmanların" yüzlerini temsil ediyorum. Muhtemelen genel olarak "bir köşeye sıkışmış" ve "sessizce ağlamış".
Her ne kadar orada ne varsa, kesinlikle herkes sonuna kadar “sıçtı”. Antivirüs, prensip olarak, bu virüsün bilgisayara girmesine izin vermemeliydi. Özellikle dikkate alındığında modern teknolojiler. Ve anti-VİRÜS endüstrisinin DEVLERİ olan “onlar”, iddiaya göre her şeyi kontrol altında tutuyor, “sezgisel analiz”, “öngörü sistemi”, “proaktif savunma” ...

İK ÇALIŞANI "ÖZET" KONUSU İLE "ZARARLI" MEKTUBU AÇTIĞINDA TÜM BU SÜPER SİSTEMLER NEREDE OLDU???
Çalışan ne düşünmeli?
Eğer bizi koruyamıyorsan, neden SİZE ihtiyacımız var?

Ve Doctor Web ile her şey yoluna girecek, ancak yardım almak için, elbette, yazılım ürünlerinden herhangi biri için bir lisansa sahip olmalısınız. Teknik desteğe başvururken (bundan böyle TP olarak anılacaktır), şunları sağlamanız gerekir: seri numarası Dr.Web'e gidin ve "Talep kategorisi:" satırında "tedavi talebi"ni seçmeyi veya laboratuvara şifreli bir dosya göndermeyi unutmayın. Hemen sözde bir rezervasyon yapacağım" dergi tuşları» İnternette toplu olarak sunulan Dr.Web, herhangi bir satın alma işlemini onaylamadıkları için uygun değildir. yazılım ürünleri, ve TP uzmanları tarafından bir veya iki kez taranır. En "deshman" lisansını satın almak daha kolaydır. Çünkü şifre çözmeyi üstlenirseniz, bu lisans sizin için milyonlarca kez amorti edecek. Özellikle "Mısır 2012" resimlerinin bulunduğu klasör bir kopyadaysa ...

1. deneme

Böylece, n-tutarlı bir para karşılığında “bir yıl için 2 PC için lisans” satın alarak, TP ile iletişime geçerek ve bazı dosyalar sağladıktan sonra, te225decrypt.exe şifre çözme yardımcı programının 1.3.0.0 sürümüne bir bağlantı aldım. Başarı beklentisiyle yardımcı programı çalıştırıyorum (şifreli * . belge dosyaları). Yardımcı program, eski işlemci E5300 DualCore, 2600 MHz (3.46 GHz'e hız aşırtmalı) / 8192 MB DDR2-800, HDD 160Gb Western Digital'in %90-100'ünü acımasızca yükleyerek seçimi başlatır.
Burada, benimle paralel olarak, bir çekirdek i5 2500k PC'de (4.5 ghz'e hız aşırtma) / 16 ram 1600 / çalışmaya dahil olan bir meslektaşım ssd intel(bu, makalenin sonunda geçen süreyi karşılaştırmak içindir).
6 gün sonra, yardımcı program 7277 dosyanın şifresinin çözüldüğünü bildirdi. Ama mutluluk uzun sürmedi. Tüm dosyaların şifresi "çarpık" bir şekilde çözüldü. Yani, örneğin, microsoft belgeleri ofis açık ama farklı hatalar: « kelime uygulaması*.docx belgesi okunamayan içerik buldu" veya "İçerik hataları nedeniyle *.docx dosyası açılamıyor". *.jpg dosyaları da ya bir hatayla açılıyor ya da görüntünün %95'i soluk siyah veya limon yeşili bir arka plan olarak çıkıyor. *.rar dosyaları için - " beklenmedik son Arşiv".
Genel olarak, tam bir başarısızlık.

2. deneme

Sonuçlar hakkında TP'ye yazıyoruz. Lütfen birkaç dosya sağlayın. Bir gün sonra, yine te225decrypt.exe yardımcı programına bir bağlantı veriyorlar, ancak zaten 1.3.2.0 sürümü. Pekala, başlayalım, o zaman zaten alternatif yoktu. Yaklaşık 6 gün sürer ve yardımcı program "Şifreleme parametreleri seçilemiyor" hatasıyla çalışmasını sonlandırıyor. Toplam 13 gün "boşalma".
Ancak *aptal* müşterimizin temel yedekleri olmayan önemli belgeleri nedeniyle pes etmiyoruz.

3 numaralı deneme

Sonuçlar hakkında TP'ye yazıyoruz. Lütfen birkaç dosya sağlayın. Ve tahmin edebileceğiniz gibi, bir gün sonra aynı te225decrypt.exe yardımcı programına, ancak zaten 1.4.2.0 sürümüne bir bağlantı veriyorlar. Pekala, başlayalım, çünkü ne Kaspersky Lab'den, ne ESET NOD32'den, ne de diğer anti-virüs çözümleri üreticilerinden alternatif yoktu. Ve şimdi, 5 gün 3 saat 14 dakika (123,5 saat) sonra, yardımcı program dosyaların şifresinin çözüldüğünü bildiriyor (core i5'teki bir iş arkadaşı için şifre çözme sadece 21 saat 10 dakika sürdü).
Bence öyleydi, değildi. Ve bakın ve görün: tam başarı! Tüm dosyaların şifresi doğru şekilde çözülür. Her şey düzgün bir şekilde açılır, kapanır, görünür, düzenlenir ve kaydedilir.

Herkes mutlu, SON.

“Trojan.Encoder.263 virüsü hakkındaki hikaye nerede?” diye soruyorsunuz. Ve bir sonraki bilgisayarda, masanın altında ... oldu. Orada her şey daha basitti: Doctor Web'in TP'sine yazıyoruz, te263decrypt.exe yardımcı programını alıyoruz, çalıştırın, 6,5 gün bekleyin, işte! ve her şey hazır.Özetle, size Doctor Web forumundan birkaç ipucu verebilirim.

Bir fidye yazılımı virüsü bulaşması durumunda yapılması gerekenler:
- virüs laboratuvarına gönder Dr. Web veya "Gönder" şeklinde şüpheli dosya» şifreli belge dosyası.
- Dr.Web çalışanından bir yanıt bekleyin ve ardından talimatlarını izleyin.

YAPILMAMASI GEREKENLER:
- şifreli dosyaların uzantısını değiştirin; Aksi takdirde, iyi seçilmiş bir anahtarla, yardımcı program şifresi çözülmesi gereken dosyaları “görmeyecektir”.
- verilerin şifresini çözmek / kurtarmak için uzmanlara danışmadan kendi başınıza kullanın.

Dikkat, diğer görevlerden bağımsız bir sunucuya sahip olmak, SİZİN verilerinizin şifresini çözmek için ücretsiz hizmetlerimi sunuyorum. *Belirli frekanslarda* hız aşırtma özellikli sunucu çekirdeği i7-3770K, 16 GB RAM ve SSD Vertex 4.
Hepsi için aktif kullanıcılar"habra" kaynaklarımın kullanımı ÜCRETSİZ olacak!!!
Kişisel veya diğer kişilerden bana yazın. Bu konuda zaten "köpeği yedim". Bu nedenle, geceleri şifre çözme için bir sunucu koyacak kadar tembel değilim.
Bu virüs, modernitenin “belası” ve diğer askerlerden “yağma” almak insani değil. Yine de, birisi Yandex.para hesabıma 410011278501419 "bir kaç dolar atarsa" - aldırmam. Ama bu hiç gerekli değil. İletişim. İstekleri boş zamanlarımda işliyorum.

Yeni ipuçları!

12/08/2013 tarihinden itibaren, aynı Trojan.Encoder serisinden yeni bir virüs Doctor Web'in sınıflandırması altında yayılmaya başladı - Trojan.Encoder.263, ancak RSA şifrelemesi. Bu tip bugün itibariyle (12/20/2013) çözülemez, çünkü çok güçlü bir şifreleme yöntemi kullanır.

Bu virüsten etkilenen herkese tavsiye ederim:
1. Yerleşik kullanma pencerelerde arama.perfect uzantılı tüm dosyaları bulun, kopyalayın harici medya.
2. Aynı dosyayı CONTACT.txt kopyalayın
3. Bu harici ortamı rafa koyun.
4. Dekoder yardımcı programının görünmesini bekleyin.

YAPILMAMASI GEREKENLER:
Dolandırıcılarla uğraşmanıza gerek yok. Bu aptalca. Vakaların %50'sinden fazlasında, yaklaşık 5000 rublelik bir "ödemeden" sonra HİÇBİR ŞEY almazsınız. Para yok, kod çözücü yok.
Adil olmak gerekirse, İnternette “yağma” için dosyalarını şifresini çözerek geri alan “şanslı olanlar” olduğuna dikkat edilmelidir. Ama bu insanlara güvenmeyin. Bir virüs yazarı olsaydım, yapacağım ilk şey “Ödedim ve bana bir şifre çözücü gönderdiler!!!” gibi bilgileri yaymak olur.
Bu "şanslıların" arkasında hala aynı saldırganlar olabilir.

Peki... Trojan.Encoder grubu virüslerinden sonra dosyaların şifresini çözmek için bir yardımcı program oluşturma konusunda diğer anti-virüs şirketlerine iyi şanslar diliyoruz.

Doctor Web forumundan yoldaş v.martyanov'a kod çözücü yardımcı programlarının oluşturulmasında yapılan çalışma için özel teşekkürler.

Merhaba arkadaşlar! Sorun bu, sorun bu! Dün neredeyse kurban oluyordum fidye yazılımı virüsü. Ve bu yazıyı öfkeyle yazdım. Böylece, sevgili okuyucu, "şifre memuru günü" nden kaçınmak için nasıl ve ne yapılması gerektiğini bilsin. Bu sefer batırdım. Sana nasıl olduğunu söyleyeceğim. Bu konuyla ilgili bazı gözlemlerimi ve deneyimlerimi de paylaşacağım.

Hepimiz zaman zaman televizyonda "petya", "ağlamak istiyorum" ve benzeri virüsler hakkında bir şeyler duyuyoruz. Bunlar sözde "dünya ölçeğinin yıldızları", uluslararası sınıf. TV'de konuşulursa ve şu ana kadar bilgisayarınızda her şey yolundaysa, büyük olasılıkla "yıldız" ile görüşme artık sizi tehdit etmeyecektir. Alınan tedbirler. Virüs tespit edildi ve etkisiz hale getirildi. İmzası, yerleşik antivirüsünüzün veritabanında bile var. Çok daha tehlikeli olan, televizyonda konuşulmayan şifreleme virüsleridir. Yurttaşlarımız tarafından yazılmıştır. "Özgür sanatçılar", ahlaki standartlara bağlı değildir.

Eskiden daha kolaydı. Fidye yazılımı virüsü masaüstünü engelledi. Müstehcen bir pankart ekranda asılıydı ve sen falan filansın diyordu. Ceza alırsın, para cezası ödersin. Bütün bunlar oldukça hızlı ve kolay bir şekilde tedavi edildi. Ve oldukça hızlı bir şekilde fidye yazılımı afişlerinin modası geçti.

Daha sonra programcılar yüksek yol Daha da geliştirmemiz gerektiğine karar verdik. Postaya “masum” mektuplar gelmeye başladı. Ve genellikle ayın başında, üç aylık ve yıllık tarihlerde gelirler. Şüphelenmeyen bir şef (veya değil) muhasebeci böyle bir mektubu açar. İçerik açılmıyor. Hiçbir şey olmuyor. Mektubu kapatır. Ancak bir saat sonra tüm belge dosyalarının, fotoğrafların, veritabanlarının şifreli olduğunu keşfeder. Ve bilgisayardaki her klasörde yüzsüz, sakin bir mesaj içeren bir dosya var.

Umutsuzluğa kapılma! Makaleyi oku! Kendinizi korumanıza yardımcı olacak yollar var. Şimdi onları mümkün olduğunca ayrıntılı olarak ele almaya çalışacağım.

Bu nedenle, alınan mektubun konusunda şu kelimeler olabilir: “muhasebeciye”, “muhasebe departmanına”, “Uzlaşma yasası”, “Mahkemeden çağırma”, “Tahkim”, “para cezası” , “mahkeme” sıklıkla bulunur.

Bir kez daha tekrar ediyorum - ayın başında ve üç ayda bir, yıllık tarihlerde, bu tür “mutluluk mektupları” en sık gelir. Hesap basit. Üç aylık raporları zaten “yanan” talihsiz muhasebeci (genellikle bir kadın), ifadelerini, veritabanlarını, tablolarını, hesaplamalarını ve yıllarca çalışmasını geri almak için her şeye hazırdır.

Arkadaşlar şantajcıları takip etmeyin. Şifre çözme garantisi yoktur. Neden bu talihsiz "bilgisayar korsanlarına" özsaygılarını yükseltip, onlara dürüst ve çalışkan insanları soymaya devam etme fırsatı veriyorsun? Onlara para göndermeyin! Bilgisayarınızın doğru yapılandırılması ve korunması koşuluyla kurtarma mümkündür. Tavsiyelere uyun!

Kendinizi pencerelerde bir fidye yazılımı virüsünden nasıl korursunuz?

İlk kez iki ya da üç yıl önce yardım etmem istendi ... Ve o zamanları hatırlıyorum, kurnazlık diyebilir, buna şaşırdım. Sisteme giren virüs şöyle çalışıyor düzenli program. Kurulu lisanslı (!) antivirüsün veritabanları imzalarını içermiyordu, bu nedenle ilk başta antivirüsler bu tür "uygulamaları" kötü niyetli olarak "görmediler".

Destek servisine yapılan çağrılar çok büyük olana kadar. kötü amaçlı yazılım belirli bir tür bilgisayardaki tüm dosyaları şifreler - metin, belgeler, fotoğraflar, PDF dosyaları. Ve dünkü "misafirim", 1C programının bazı dosyalarını bile şifreledi. İlerleme var.

Ama biz sobanın arkasında doğmadık ... Hemen söylemeliyim ki, herhangi bir şifreli dosyanın şifresini çözmek için. üçüncü taraf programı başarısız. Kaspersky Lab'in web sitelerinde dekoder programları yayınladığını hatırlıyorum.

Ancak bunlar yalnızca belirli virüs türleri içindir. Bana yardımcı olmadı.Yarın saldırgan şifreyi değiştirecek ve bu program yardımcı olmayacak. Anahtar yalnızca "geliştirici" tarafından bilinir. Ve zaten hapsedilmişse, kimse size kesinlikle bir şifre çözücü göndermeyecektir. Cüzdanınızı hafifletmek için, zararlı kod birkaç savunma hattını aşmak zorundadır.

İlk savunma hattı, dikkatiniz ve okunaklılığınızdır. Hep aynı sitelere giriyorsun. Posta alırsanız, hemen hemen tamamını her zaman aynı alıcılardan ve her zaman aynı içerikle alırsınız.

Alışılmadık içeriğe sahip bir mektup aldığınızda, onu açmak için acele etmeyin. Bilmediğiniz bir siteye girdiyseniz ve alışılmadık bir pencere gördüyseniz, gitmek için acele etmeyin.

Sizin veya kuruluşunuzun bir web sitesi varsa, elektronik cihazınızla ilgili bilgileri kaldırın. posta adresi. Onu görebiliyorsanız, kesinlikle akıllı "ana yoldan romantiklerin" posta listesine girecektir. Adresi yalnızca güvendiğiniz kişilere ve özel olarak verin.

İkinci savunma hattı, lisanslı bir yerli antivirüsdür. Neden lisanslı? fark ettim ücretli lisanslı antivirüs(geçti devlet sertifikası FSTEC) ücretsizden daha iyi çalışır.

Bir kez daha, Kaspersky'nin "deneme" sürümünden sonra (uzun zaman önce de olsa) bir şeyi iki kez kontrol ettim. Sonuç cesaret kırıcıydı. Sonra bir sürü virüs buldum.. İşte bir gözlem. Gerçek güvenlik için küçük de olsa para ödemek zorundasınız.

Ve neden yerli antivirüs? Çünkü sertifikalı antivirüs ürünlerimiz istenmeyen ve sahte sitelerden oluşan bir veri tabanı tutar. Yabancı "meslektaşlar" bununla her zaman övünemezler, İnternet'in farklı bir segmentine sahipler, her şeyi kapsayamazsınız.

Koşmak virüs tarayıcı gece bilgisayar başında

ayda bir.

Fidye yazılımı virüsü bilgisayara nasıl bulaşır?

Kılık değiştirmek için ek neredeyse her zaman arşivde gönderilir. Bu nedenle, önce olağandışı mektubu bir virüsten koruma yazılımıyla kontrol edeceğiz.Dosyayı bilgisayarınıza kaydetmeniz gerekir (antivirüs zaten "inceleyecektir"). Ardından ayrıca diske kaydedilen dosyaya sağ tıklayın ve tekrar kontrol edin:

Site kullanımdan kaldırılmış veritabanındadır. Bu, ondan zaten “alarm çağrıları” olduğu anlamına gelir. Daha, ücretli sürümlerİnternet bağlantılarını ücretsiz olanlardan daha iyi "bağlanmış" virüsler için kontrol ederler. Ve böyle bir bağlantıya tıkladığınızda, virüsü etkisiz hale getiriyorlar veya "şüpheli"ler listesine ekleyip engelliyorlar.

Mart ayının sonunda, bu kadar basit yöntemlerle postadan başka bir “üç aylık” şifreleme virüsü yakaladım. Yapabildiği tek şey, bilgisayarın her yerine dosyaların şifrelendiğine dair bir mesaj yazmaktı, ama öyle değildi. Sağlam kaldılar, kod yalnızca bir mesaj oluşturmak için çalıştı:

Lütfen burada yazılanlara dikkat edin. e-posta adresi 1991'de belirli bir Shcherbinin Vladimir. 90'ların nesli... Bu yanlış bir iz çünkü gerçek adres aşağıda. Bilgisayarınızı İnternet'te izlemekten kaçınmanıza olanak tanır standart araçlar. Burada, böyle bir tarayıcı aracılığıyla saldırgan size onunla iletişim kurmanızı önerir. Her şey anonim. Kimse hapiste olmak istemez.

Ne yazık ki, bazen virüsler ilk iki savunma hattımızı atlar. Aceleyle, dosyayı taramayı unuttuk veya belki de antivirüsün yeni bir tehdit hakkında veri alacak zamanı olmadı. Ancak işletim sisteminde korumayı yapılandırabilirsiniz.

Windows 10'da fidye yazılımı virüs koruması nasıl kurulur?

Yalnızca fidye yazılımlarından değil, fidye yazılımı virüslerine karşı da derin ve katmanlı bir savunma oluşturmaya devam ediyoruz. Dosyaların şifresi çözülemez. Ve onları geri yükleyebilirsiniz. Her şey ayarlarla ilgili. Virüs bilgisayara girmeden önce yapılırsa virüs hiçbir şey yapamaz. Ve eğer öyleyse, dosyaları geri yüklemek mümkün olacaktır.

Üçüncü savunma hattı bilgisayarımızdır. Microsoft, 2003'ten beri uzun bir süredir teknolojiyi kullanıyor " gölge kopya diskler". Sizin ve benim için bu, sistemdeki herhangi bir değişikliğin geri alınabileceği anlamına gelir.

Bir "anlık görüntü" sabit disk bilginiz olmadan otomatik olarak Ve sistem onu ​​saklar, sadece değişiklikleri ekler. Bu teknoloji veri yedekleme için kullanılır. Sadece açmanız gerekiyor.

Disk boyutuna ve ayarlarına bağlı olarak, birimde 64'e kadar önceki "gölge kopya" saklanabilir.Bu seçenek etkinleştirilirse, günlük olarak sessizce oluşturulan böyle bir gölge kopyadan şifrelenmiş dosyaları geri yükleyebilirsiniz.

İlk adım - Hadi Bu Bilgisayara Gidelim - "özellikler"e sağ tıklayın:

Ekstra seçenekler

"Sistem Koruması" sekmesini açalım.Örnekte, disklerden birinde koruma seçeneği devre dışı bırakılmıştır. Seçilen diskte fare ile kalkıyoruz ve "Yapılandır" ı tıklıyoruz

Verileri bir kopyadan geri yüklemek, "Geri Yükle" düğmesine tıklayarak bu pencereden yapılabilir.

Ayarları şekildeki gibi yapıyoruz:

Bir sonraki adım, Kullanıcı Hesabı Kontrolünü ayarlamaktır. Cihazlarda virüs "salgınları" hakkında TV'de hiç konuşma yapılmadığını fark ettiniz mi? Linux aileleri, android?

Ne, saldırganlar onları fark etmiyor mu? Fark ederler, yoğun olarak virüs yazarlar ama virüs henüz orada çalışmıyor. Böyle bir cihaz üzerinde çalıştığınızda, o cihaz üzerinde Yönetici haklarına sahip değilsiniz. Sen normal kullanıcı, olağan haklarla, hiç kimse sistemi değiştirmenize izin vermez.

Cihazınız hala garanti kapsamındaysa ve özel yollarla kendinize yönetici hakları (kök) atayın, ardından üretici sizi bunun için garantiden mahrum eder. Halihazırda bilinen herhangi bir virüs, bu kadar sınırlı bir “kullanıcı” hapishane ortamına girerek bir şeyi değiştirmeye çalışır, ancak sistemi değiştirme komutları sessizce engellendiğinden boşuna olmaz. Bu, Linux'un büyük bir avantajıdır.

Microsoft ("küçük ve narin" anlamına gelir), ideolojisinin bir parçası olarak, kullanıcıların işletim sistemlerindeki güvenlik ayarlarını kolayca ve özgürce değiştirmelerine izin verdi.

O kadar kolay ve özgür ki, “yönetim” ortamına giren virüs zaten yönetici haklarıyla hareket ediyor, hiçbir şey buna müdahale etmiyor. Bu nedenle, büyük salgınlar ve verilerinin güvenliğinden yalnızca bir Windows bilgisayar kullanıcısının sorumlu olduğu sonucu. Ve aramızda kim ayarlara dikkat ediyor? Gök gürültüsü çarpana kadar.. :-

Umarım seni ikna etmişimdir. Her şey kolay. Kullanıcı hesaplarına git

Kaydırıcıyı istediğimiz gibi hareket ettiriyoruz.

Artık herhangi bir programa bilginiz ile (veya bilginiz dışında) başladığınızda sistem sizden izin isteyecek ve sizi bilgilendirecektir. İnce ihale aşk bu tür pencereler ...

Yönetici haklarına sahipseniz, yürütülmesine izin verebilirsiniz. Ve eğer normal bir kullanıcıysanız, buna izin vermeyeceksiniz. Bu nedenle, bilgisayarınızda parola korumalı bir tane bulundurmanın en iyisi olduğu sonucuna varıyoruz. hesap Yönetici ve diğer herkes normal kullanıcılar olmalıdır.

Tabii ki, bu pencere uzun zamandır herkese tanıdık geldi, herkes çoktan taktı, herkes kapattı. Ancak, kullanıcı hesabı kontrolü etkinleştirilirse, programı çalıştırmanıza izin vermez. uzak bağlantı doğrudan bilgisayara. Bunun gibi. Ancak, iki kötülükten daha azını seçmelisiniz. Kim neyi sever. İşte konuyla ilgili başka bir kısa video

Bir sonraki adım, klasör izinlerini ayarlamaktır. Belgeler içeren özellikle önemli klasörler için, bu tür her klasör için erişim haklarını ayarlayabilirsiniz. Herhangi bir klasörün özelliklerinde (aracılığıyla sağ düğme fare - "Özellikler") bir "Güvenlik" sekmesi var.

Burada örneğin bizim bilgisayarlarımızda Kullanıcılarımız var diyelim bunlar bizim küçük çocuklarımız. Bu klasörün içeriğini değiştirebilmelerini istemiyoruz. Bu nedenle, "Değiştir" e tıklayın.

Gri onay işaretleri, varsayılan olarak ayarlananlardır. Kutuları işaretleyebilir ve genel olarak her şeyi “yasaklayabiliriz”. Hatta görüntüleme. Bir grup kullanıcıyı yasaklayabilirsiniz (şekilde olduğu gibi). Bazı bireysel kullanıcıları "ekleyebilirsiniz". Bu klasörde "değiştirme" veya "yazma" izinleri reddedilirse virüs hiçbir şey yapamaz. Yazmayı yasaklamayı deneyin ve ardından herhangi bir dosyayı böyle bir klasöre kopyalayın.

Yine de bugün virüslere karşı böyle bir koruma önlemini dosya yedekleme olarak ele alacağız. Böyle bir çözüm için, önceden bilgisayarınıza bir tane daha satın alıp yüklemeniz gerekir. HDD Windows'unuzun kurulu olduğu boyuttan daha az değil. Ardından, üzerinde arşivlemeyi ayarlamanız gerekir.

Orada başarısız olduktan sonra ayarlara giriyoruz:

Şu anda sabit diskimin yalnızca "D" bölümü elimde. Mümkün ve öyle, ancak yalnızca ilk kez. O zaman satın almalısın harici sert disk. Arşivin konumunu seçtikten sonra "İleri" ye tıklayın.

Sabit sürücünüz yoksa, her şeyi şekildeki gibi yapın. Bu durumda, yalnızca standart konumlardaki dosyalar (Belgelerim, Resimlerim, İndirilenler, Masaüstü vb.) kaydedilecektir. Sonrakine tıkla".

Hepsi bu, arkadaşlar. Süreç başladı. İşte bir sistem görüntüsünün nasıl oluşturulacağını ve bir görüntüden bir dosyanın nasıl geri yükleneceğini açıklayan bir video

İçin böylece etkili korumaşifreleme virüslerinden, dikkatli olmak, tercihen ücretli bir yerli antivirüs ve normal güvenlik için yapılandırılmış bir işletim sistemine sahip olmak yeterlidir. "Ama bu kadar zekiysen fidye yazılımı virüsünü nasıl aldın?" okuyucu bana soracak. tövbe ediyorum arkadaşlar.

Yukarıdaki ayarların tamamı tarafımca yapılmıştır. Ama ben kendim her şeyi birkaç saatliğine kapattım. Meslektaşlarım ve ben, gelmeyecek bir veritabanına uzaktan bağlantı kuruyorduk.

Olarak test varyantı acilen bilgisayarımı kullanmaya karar verildi. Virüsten koruma, ağ ayarları ve güvenlik duvarının paketlere müdahale etmemesini sağlamak için virüsten koruma programını bir süreliğine hızla kaldırdım, kullanıcı hesabı kontrolünü devre dışı bıraktım. Neticede. Bundan ne çıktı, aşağıda okuyun.

Fidye yazılımı virüsü bilgisayara bulaştığında ne yapmalıyım?

Kolay olmasa da, önce panik yapmamaya çalışın. Saldırgan bilgisayarınızın içeriğini bilemez. Kör davranıyor. Her şey şifreli değil. Örneğin, programlar ve uygulamalar genellikle şifrelenmez. Arşivler *.rar ve *.7zip - ayrıca değil. Arşivi açmayı deneyin. Açılırsa iyi olur.

“Sürprizi” keşfettiğimde, “vurduğumu” tahmin etmeye başladım. Ne yaptığımı biliyordum... Başlangıç ​​olarak, antivirüsü geri yükledim. Karamsar bir durumda, "bütün için" UAC'yi tekrar açtım ve gece için bir tarama yaptım sistem bölümü C: Windows'un kurulu olduğu yer.

Virüslü dosyayı çıkarmak gerekliydi. Bu yapılmazsa, hiçbir anlamı olmayacak. Her şey tekrar şifrelenecek. Bu yüzden önce bilgisayarı tedavi ediyoruz.

Mümkünse, Dr Web'den veya benzer bir diskten ücretsiz bir yaşam diski aracılığıyla tüm bilgisayarı tarayın. ücretsiz yardımcı program Kaspersky Kspersky Resque Disk 10'dan.

Sabah, antivirüsümün karantinasında aşağıdaki "canavarlar" bulundu:

Sadece üç, daha kötü oldu. Ama bu üçü tüm eşyalarımı şifreledi. Sonra ne yapıyoruz? Arşivleme yapılandırıldıysa, işlemden sonra dosyaları arşivden geri yüklemeniz yeterlidir, o kadar. Dosyalarımın birkaç ay boyunca günlük yedeğini aldığım arşive girdim.

Açtığımda, tüm tarihlere ait tüm arşivlerin de öldürüldüğünü gördüm. Liste boş. Neden oldu?

Virüsler daha akıllı hale geliyor. Sonuçta, virüsten koruma yazılımını kaldırdıktan sonra Kullanıcı Hesabı Denetimini kendim kapattım. ……. Virüsün bundan sonra yaptığı ilk şey sevinmek ve tüm dosyaları silmek oldu. yedekler. Ve o andan itibaren yavaş yavaş umutsuzluğa düşmeye başladım ...

Yapılacak ikinci şey (bence) dosyaları C: sürücüsünün gölge kopyasından geri yüklemek. Bunun için kullanıyorum ücretsiz program ShadowCopyView_en_64 veya 32 bitlik bir diskin gölge kopyalarını görüntülemek için. Gölge kopyaların içeriğini hızlı bir şekilde görsel olarak görüntülemenize ve değerlendirmenize ve ayrıca klasörleri tek tek geri yüklemenize olanak tanır.

Son anlık görüntülere baktığımda, yalnızca şifrelenmiş kopyaların kaldığı ortaya çıktı... Virüsün yaptığı ikinci şey, benim için daha ilginç hale getirmek için korunan birimin eski gölge kopyalarını tekrar öldürmek oldu .... Ya da belki sonraki kopyalar tarafından silindiler ... Finale ...

Görünüşe göre her şey. Hepsi değil arkadaşlar. Ana şey pes etmemek.

Windows 10 bilgisayarda virüs şifreli dosyalar, ne yapmalı, nasıl tedavi edilir ve nasıl düzeltilir?

"Talihsiz bilgisayar korsanlarımızın" henüz başaramadığı şey budur. Son savunma hattı. Yalnızca Windows10'da mevcut, henüz kontrol etmedim, ancak bu yeni harika özelliğin "yedi" ve "sekiz" de olmadığını düşünüyorum. Onu son zamanlarda fark ettim. Bu gerçekten yeni ve harika bir özellik. AT arama hattı"kurtarma" kelimesini yendik

Denetim Masası ek bileşeninde "Dosya Geçmişini Kullanarak Dosyaları Geri Yükle"

Memnun oldum ve hemen "Belgeler" ve "Masaüstü" ne girdim.

Ve dosyaların şifrelenmediğini gördüm. Yaşasın! Teşekkürler Green Arrow! Süreç başladı. Dosyalar geri yüklendi. Bilgisayar virüslerden kurtulur. Güvenlik ayarları yapılır. Yapacak başka ne kaldı?

Ayrıca şifrelenmiş dosyaları da silmeniz gerekir. Ne olduğunu asla bilemezsin ... Ama onlardan çok, çok fazla var. Bunları hızlı bir şekilde nasıl bulabilir ve kaldırabilirim? dosya kullanıyorum Total'in yöneticisi Komutan. Benim zevkime göre, daha iyisi yok. İle başlayan Uzak Yönetici beni anlayacak. Tonal, dosyaları ve çok daha fazlasını hızlı bir şekilde arayabilir. Diskleri tek tek temizleyeceğiz.

Sistem bölümüyle başlayalım, fare tıklamasıyla veya sol üst köşedeki açılır listeden seçin:

Klavyede Alt + F7 tuşlarına aynı anda basın. Dosya arama paneli dediğimiz şey budur.

İsme göre arama yapabilirsiniz. Her şeyi yapabilirsin. Ancak maskeyi kullanacağız, yani şifreli * .freefoam dosyasının uzantısını bir yıldız ve bir nokta ile belirtiyoruz (“yazarınız” farklı olabilir, uzantı farklı olacaktır). Bununla, bu uzantıya sahip TÜM dosyaların aranması gerektiğini belirttik. Arama konumu "Kimden:". Bu panelde sadece "C:" değil tüm bölümleri de belirtebilirsiniz. "Aramayı Başlat" ı tıklayın.

Yan klavyedeki "yıldız" tuşuna basarak paneldeki tüm dosyaları pembe renkle vurgulayın. Çöp kutusundaki dosyaları silmek için F8 veya Del tuşuna basın:

Kalan tüm şifreli çöpleri elektrikli süpürge gibi temizledik. Şimdilik sepette kalsın. Sonra sileceğim. Aynı şekilde yaklaşık kırk dakikada tüm bölümleri tek tek temizledim. Şifreli bir çok şeyim var.

Ama şanslıydım çünkü daha kötü olabilir. Bu yeni özellik kelimenin tam anlamıyla beni kurtardı. Gölge kopyaları etkinleştirmenin bunu etkileyip etkilemediğinden emin değilim yeni özellik. Öyle görünüyor, ama özellikle kontrol etmedim. Sanki istemiyormuşum gibi :)

biliyorsan yaz. Ve aşağıdaki sonuçlar çıkarılabilir. huzurunda iyi antivirüs ve doğru ayar ameliyathane pencere sistemleri 10 Bir saldırganın burnunu silip ona hiçbir şey bırakabilirsiniz. Güle güle arkadaşlar.

herkese iyi günler canım sevgili arkadaşlar ve blogumun okuyucuları. Bugün konu biraz hüzünlü olacak çünkü virüslere değinecek. Size kısa bir süre önce iş yerimde olan bir olayı anlatayım. Bölümde bir çalışan heyecanlı bir sesle beni aradı: “Dima, virüs bilgisayardaki dosyaları şifreledi: şimdi ne yapmalıyım?”. Sonra çantanın kızarmış koktuğunu fark ettim ama sonunda onu görmeye gittim.

Evet. Her şey üzücü çıktı. Bilgisayardaki dosyaların çoğuna virüs bulaşmış veya daha doğrusu şifrelenmiş: ofis belgeleri, PDF dosyaları, 1C veritabanları ve diğerleri. Genel olarak, eşek doludur. Muhtemelen sadece arşivler, uygulamalar ve metin belgeleri(peki ve bir sürü başka şey). Tüm bu veriler uzantısını değiştirdi ve adlarını sjd7gy2HjdlVnsjds gibi bir şeyle değiştirdi. özdeş belgeler README.txt Dürüstçe bilgisayarınıza virüs bulaştığını ve herhangi bir işlem yapmadığınızı, hiçbir şeyi silmediğinizi, antivirüsler ile kontrol etmediğinizi, aksi takdirde dosyalar iade edilmeyeceğini söylüyorlar.
Dosya ayrıca bu güzel insanların her şeyi eski haline getirebileceklerini söylüyor. Bunu yapmak için, anahtarı belgeden postalarına göndermeleri gerekir, bundan sonra alacaksınız gerekli talimatlar. Fiyatı yazmıyorlar, ama aslında iade maliyetinin 20.000 ruble gibi bir şey olduğu ortaya çıktı.

Verileriniz paraya değer mi? Fidye yazılımının ortadan kaldırılması için ödeme yapmaya hazır mısınız? Şüpheliyim. O zaman ne yapmalı? Bunu daha sonra konuşalım. Bu arada, sırayla her şeye başlayalım.

Bu kötü şifreleme virüsü nereden geliyor? Burada her şey çok basit. Adamları e-posta yoluyla alıyor. Genellikle bu virüs organizasyonlara sızar. kurumsal kutular sadece olmasa da. Görünüşe göre, spam şeklinde gelmediğinden, ancak gerçekten var olan ciddi bir kuruluştan, örneğin, Rostelecom sağlayıcısından resmi postalarından bir mektup aldığımız için kaku için hata yapmayacaksınız.

Mektup oldukça sıradandı, "Yeni tarife planları için tüzel kişiler". Ekli bir PDF dosyasıdır. Ve bu dosyayı açtığınızda Pandora'nın kutusunu açıyorsunuz. Tüm önemli dosyalar şifrelenir ve basit terimlerle bir tuğlaya. Üstelik antivirüsler bu saçmalığı hemen yakalamazlar.

Ne yaptım ve ne işe yaramadı

Doğal olarak, kimse bunun için 20 bin ödemek istemedi, çünkü bilgi o kadar değerli değildi ve ayrıca dolandırıcılarla iletişim kurmak hiç de bir seçenek değil. Ayrıca, bu miktar için sizin için her şeyin kilidinin açılacağı bir gerçek değil.

yürüdüm drweb yardımcı programı Cureit ve virüsü buldu, ancak virüsten sonra bile dosyalar şifreli kaldığı için çok az faydası oldu. Virüsü kaldırmanın kolay olduğu ortaya çıktı, ancak sonuçlarla başa çıkmak zaten çok daha zor. Doctor Web ve Kaspersky forumlarına girdim ve orada ihtiyacım olan konuyu buldum ve ayrıca ne orada ne de orada şifre çözme konusunda yardımcı olamayacağını öğrendim. Her şey ağır bir şekilde şifrelenmişti.

Ancak arama motorları, bazı şirketlerin dosyaların şifresini çözdüğü arama sonuçlarında görünmeye başladı. ücretli baz. Bu beni ilgilendirdi, özellikle de şirketin gerçek, gerçekten var olduğu ortaya çıktığından beri. Web sitelerinde yeteneklerini göstermek için beş parçayı ücretsiz olarak deşifre etmeyi teklif ettiler. Ben de bence en önemli 5 dosyayı alıp gönderdim.
Bir süre sonra, her şeyi deşifre etmeyi başardıkları ve tam bir deşifre için benden 22 bin alacaklarına dair bir cevap aldım. Ve bana dosyaları vermek istemediler. Hemen, büyük olasılıkla dolandırıcılarla birlikte çalıştıklarını varsaydım. Tabii ki cehenneme gönderildiler.

• Recuva ve RStudio programlarını kullanarak
• Çeşitli yardımcı programlar tarafından çalıştırın
• Pekala, sakinleşmek için, yardım edemedim ama denedim (bunun yardımcı olmayacağını çok iyi bilsem de) sadece doğru şey için bayattı. tabiki bravo)

Bunların hiçbiri bana yardımcı olmadı. Ama yine de bir çıkış yolu buldum.\r\n\r\nElbette, aniden böyle bir durumla karşılaşırsanız, dosyaların şifrelendiği uzantıya bakın. ondan sonra git http://support.kaspersky.ru/viruses/dezenfeksiyon/10556 ve hangi uzantıların listelendiğini görün. Uzantınız listedeyse, bu yardımcı programı kullanın.
Ancak bu fidye yazılımlarını gördüğüm her 3 durumda da bu yardımcı programların hiçbiri yardımcı olmadı. Özellikle, virüsle tanıştım "da vinci kodu» ve "KASA". İlk durumda, hem ad hem de uzantı değişti ve ikinci durumda yalnızca uzantı değişti. Genel olarak, bu tür bir sürü kriptograf var. xtbl gibi piçler duyuyorum, hayır daha fazla fidye, daha iyi çağrı saul ve diğerleri.

Ne yardımcı oldu

Hiç gölge kopyaları duydunuz mu? Böylece, bir geri yükleme noktası oluşturulduğunda, dosyalarınızın gölge kopyaları otomatik olarak oluşturulur. Ve dosyalarınıza bir şey olursa, onları her zaman geri yükleme noktasının oluşturulduğu ana geri döndürebilirsiniz. Gölge kopyalardan dosyaları kurtarmak için harika bir program bu konuda bize yardımcı olacaktır.

Başlamak indirmek ve "Gölge Gezgini" programını yükleyin. Eğer bir En son sürüm bir sorununuz var (oluyor), ardından bir öncekini kurun.

Gölge Gezgini'ne gidin. Gördüğümüz gibi, programın ana kısmı Explorer'a benzer, yani. dosyalar ve Klasörler. Şimdi sola dikkat et üst köşe. Orada bir mektup görüyoruz yerel disk ve tarih. Bu tarih, C sürücüsüne gönderilen tüm dosyaların o sırada güncel olduğu anlamına gelir. 30 Kasım'ım var. Demek oluyor son nokta kurtarma 30 Kasım'da oluşturuldu.
Tarih açılır listesine tıklarsak, hangi tarihler için hala gölge kopyalarımız olduğunu göreceğiz. Ve açılır menüyü tıklarsanız yerel sürücüler ve örneğin D sürücüsünü seçin, ardından mevcut dosyalarımızın olduğu tarihi göreceğiz. Ama disk için D noktalar otomatik olarak oluşturulmaz, bu nedenle bu şey ayarlardan ayarlanması gerekiyor. BT yapmak çok kolay.
Gördüğünüz gibi, eğer disk için C Oldukça yeni bir randevum var, sonra araba kullanacağım D Son nokta neredeyse bir yıl önce oluşturuldu. Peki, o zaman adım adım yapıyoruz:

Her şey. Şimdi geriye kalan tek şey, dışa aktarmanın tamamlanmasını beklemek. Ardından, seçtiğiniz klasöre gidiyoruz ve tüm dosyaları açılabilirlik ve performans açısından kontrol ediyoruz. Herşey harika).
İnternette biraz daha sunduklarını biliyorum Farklı yollar, yardımcı programlar vb., ancak onlar hakkında yazmayacağım, çünkü bu sorunla üçüncü kez zaten karşılaştım ve hiçbir zaman, gölge kopyalardan başka hiçbir şey bana yardımcı olmadı. Belki de sadece şanssızım.

Ama ne yazık ki son kez Varsayılan olarak noktalar yalnızca C sürücüsü için oluşturulduğundan, yalnızca C sürücüsündeki dosyaları geri yüklemek mümkündü. Buna göre, D sürücüsü için gölge kopyalar yoktu. Tabii ki, geri yükleme noktalarının nelere yol açabileceğini de unutmamanız gerekiyor, bu yüzden buna da dikkat edin.

Ve başkaları için gölge kopyalar oluşturmak için sabit sürücüler, onlar için de ihtiyacınız var.

önleme

Kurtarma ile ilgili sorunlardan kaçınmak için önleme yapmanız gerekir. Bunu yapmak için aşağıdaki kurallara uymalısınız.

Bu arada, bir kez bu virüs bir flash sürücüdeki dosyaları şifreledi, burada anahtar sertifikalarımız elektronik imza. Yani flash sürücülerle de çok dikkatli olun.

Saygılarımla, Dmitry Kostin.