İle verilerin şifresini çözün ve şifreleyin. Dr.Web'den çevrimiçi kod çözücü. Şifreleme tamamlandıysa

Son zamanlarda, yeni nesil kötü amaçlı bilgisayar programlarının faaliyetlerinde bir artış oldu. Oldukça uzun bir süre önce ortaya çıktılar (6-8 yıl önce), ancak girişlerinin hızı şu anda maksimuma ulaştı. Giderek, bir virüsün dosyaları şifrelediği gerçeğiyle karşı karşıya kalabilirsiniz.

Bunların yalnızca ilkel kötü amaçlı yazılımlar olmadığı (örneğin mavi ekranın ortaya çıkmasına neden olan) değil, kural olarak muhasebe verilerine zarar vermeyi amaçlayan ciddi programlar olduğu zaten bilinmektedir. 1C muhasebe verileri, docx, xlsx, jpg, doc, xls, pdf, zip dahil olmak üzere erişilebilen tüm mevcut dosyaları şifreler.

Söz konusu virüslerin özel tehlikesi

Bu durumda, belirli bir kullanıcının bilgisayarına bağlı bir RSA anahtarının kullanılması gerçeğinden oluşur, bu nedenle evrensel şifre çözücü ( şifre çözücü) yok. Bilgisayarlardan birinde etkinleştirilen virüsler, başka bir bilgisayarda çalışmayabilir.

Tehlike aynı zamanda bir yıldan fazla bir süredir hazır yapımcı programlarının İnternette yayınlanması ve bu da kulkhacker'ların bile böyle bir virüs geliştirmesine izin vermesidir (kendilerini bilgisayar korsanları olarak gören ancak programlama çalışmayan bireyler).

Şu anda, daha güçlü değişiklikler ortaya çıktı.

Bu kötü amaçlı yazılım nasıl enjekte edilir

Virüs, kural olarak amaca yönelik olarak şirketin muhasebe departmanına gönderilir. Öncelikle personel departmanlarının, muhasebe departmanlarının e-postaları örneğin hh.ru gibi veri tabanlarından toplanır. Ardından mektuplar gönderilir. Çoğu zaman belirli bir pozisyon için kabul talebinde bulunurlar. İçinde implante edilmiş bir OLE nesnesi (virüs içeren bir pdf dosyası) olan gerçek bir belge olan özgeçmişli böyle bir mektuba.

Muhasebe departmanının bu belgeyi hemen başlattığı durumlarda, yeniden başlatmanın ardından şunlar oldu: virüs dosyaları yeniden adlandırdı ve şifreledi ve ardından kendi kendini imha etti.

Bu tür bir mektup, kural olarak, yeterince yazılır ve istenmeyen posta olmayan bir posta kutusundan gönderilir (adı imzaya karşılık gelir). Her zaman şirketin ana faaliyetine göre bir boşluk talep edilir, bu nedenle herhangi bir şüphe oluşmaz.

Ne lisanslı "Kaspersky" (anti-virüs programı) ne de "Virus Total" (virüslere karşı ekleri kontrol etmek için bir çevrimiçi hizmet) bilgisayarı koruyamaz. Bazen, tarama sırasında bazı antivirüs programları ekin Gen: Variant.Zusy.71505'i içerdiğini bildirir.

Bu virüsü kapmaktan nasıl kaçınabilirim?

Alınan her dosya kontrol edilmelidir. Katıştırılmış pdf'leri olan Word belgelerine özellikle dikkat edilir.

"Virüslü" e-postaların çeşitleri

Orada oldukça fazla var. Virüs şifreli dosyaların nasıl yapıldığına ilişkin en yaygın seçenekler aşağıda sunulmuştur. Her durumda, aşağıdaki belgeler e-posta ile alınır:

1. Belirli bir şirket aleyhine açılan bir davayı değerlendirme sürecinin başlangıcına ilişkin bildirim (mektup, belirtilen bağlantıya tıklayarak verilerin kontrol edilmesini önerir).
2. Rusya Federasyonu Yüksek Tahkim Mahkemesinden alacak tahsilatına ilişkin mektup.
3. Sberbank'tan mevcut borçtaki artışa ilişkin bir mesaj.
4. Trafik ihlallerini düzeltme bildirimi.
5. Tahsilat Bürosundan, ödemede mümkün olan maksimum gecikmeyi belirten bir mektup.

Dosya şifreleme bildirimi

Enfeksiyondan sonra, C sürücüsünün kök klasöründe görünür.Bazen CHTO_DOE.txt, CONTACT.txt türündeki dosyalar, metinleri bozuk olan tüm dizinlere yerleştirilir. Kullanıcı, güvenilir kriptografik algoritmalar aracılığıyla gerçekleştirilen dosyalarının şifrelenmesi hakkında bilgilendirilir. Ayrıca, üçüncü taraf yardımcı programlarını kullanmanın uygunsuzluğu konusunda da uyarıldı, çünkü bu, dosyalara kalıcı hasara yol açabilir ve bu da sonraki şifre çözme işlemlerinin imkansızlığına yol açacaktır.

Bildirim, bilgisayarı değiştirmeden bırakmanızı önerir. Sağlanan anahtarın saklama süresini gösterir (kural olarak 2 gündür). Kesin tarih belirlenir, bundan sonra her türlü itiraz dikkate alınmayacaktır.

Sonunda bir e-posta sağlanır. Ayrıca, kullanıcının kimliğini vermesi gerektiğini ve aşağıdaki eylemlerden herhangi birinin anahtarın kaldırılmasına neden olabileceğini söyler, yani:

Bir virüs tarafından şifrelenen dosyaların şifresi nasıl çözülür?

Bu tür bir şifreleme çok güçlüdür: dosyaya mükemmel, şanssız vb. Gibi bir uzantı atanır. Kırılması imkansızdır, ancak kriptanalistleri bağlayarak bir boşluk bulmayı deneyebilirsiniz (bazı durumlarda, Dr. WEB yardımcı olacaktır).

Bir virüs tarafından şifrelenen dosyaları geri yüklemenin 1 yolu daha var, ancak tüm virüsler için çalışmıyor, ayrıca bu kötü amaçlı programla birlikte orijinal exe'yi çıkarmanız gerekecek, ki bu kendi kendini yok ettikten sonra yapmak kolay değil.

Virüsün özel bir kodun girilmesi ile ilgili talebi önemsiz bir kontroldür, çünkü dosya şu anda zaten bir şifre çözücüye sahip (tabiri caizse, saldırganlardan gelen kod gerekli olmayacak). Bu yöntemin özü, nüfuz edilen virüse boş komutlar girmektir (girilen kodu karşılaştırmak yerine). Sonuç olarak, kötü amaçlı programın kendisi dosyaların şifresini çözmeye başlar ve böylece onları tamamen geri yükler.

Her bir virüsün kendi özel şifreleme işlevi vardır; bu, üçüncü taraf bir yürütülebilir dosyanın (exe format dosyası) şifresini çözmenin mümkün olmayacağı anlamına gelir veya WinAPI üzerinde tüm eylemleri gerçekleştirmeniz gereken yukarıdaki işlevi seçmeyi deneyebilirsiniz.

dosyalar: ne yapmalı?

Şifre çözme prosedürünü gerçekleştirmek için ihtiyacınız olacak:

Söz konusu kötü amaçlı yazılım nedeniyle veri kaybını nasıl önleyebilirim?

Bir virüsün dosyaları şifrelediği bir durumda, bunların şifresini çözmenin zaman alacağını bilmeye değer. Önemli bir nokta, yukarıda belirtilen kötü amaçlı yazılımda, daha önce belirtilen uzantıya sahip çok sayıda dosya görünür görünmez bilgisayarı hızlı bir şekilde kapatırsanız (fişi çekin, aşırı gerilim koruyucuyu kapatın, pili çıkarın) bazı dosyaları kaydetmenize izin veren bir hata olmasıdır. ...

Virüsün bu modifikasyonu da bu yerlere ulaşacağından, asıl önemli olanın sürekli olarak bir yedekleme oluşturmak olduğu, ancak başka bir klasöre değil, bilgisayara takılan çıkarılabilir bir medyaya değil, yedeklemek olduğu vurgulanmalıdır. Yedeklemeleri başka bir bilgisayara, kalıcı olarak bilgisayara bağlı olmayan bir sabit sürücüye ve buluta kaydetmeye değer.

Bilinmeyen kişilerden postaya gelen tüm belgeler şüpheyle ele alınmalıdır (özgeçmiş, fatura, Rusya Federasyonu Yüksek Tahkim Mahkemesi veya vergi makamları vb. Kararlar şeklinde). Bunları bilgisayarınızda çalıştırmanıza gerek yoktur (bu amaçla, önemli veriler içermeyen bir netbook seçebilirsiniz).

*[email protected] kötü amaçlı yazılım: nasıl ortadan kaldırılır

Yukarıdaki virüslerin cbf, doc, jpg vb. Dosyaları şifrelediği bir durumda, olayın geliştirilmesi için yalnızca üç seçenek vardır:

1. Ondan kurtulmanın en kolay yolu, etkilenen tüm dosyaları silmektir (veriler çok önemli olmadığı sürece bu kabul edilebilir).
2. Bir virüsten koruma programının laboratuvarına gidin, örneğin, Dr. AĞ. Bilgisayarda KEY.PRIVATE olarak bulunan şifre çözme anahtarı ile birlikte birkaç virüslü dosyanın geliştiricilere gönderilmesi zorunludur.
3. En pahalı yol. Bilgisayar korsanları tarafından etkilenen dosyaların şifresini çözmek için talep edilen miktarı ödemeyi içerir. Kural olarak, bu hizmetin maliyeti 200-500 ABD doları aralığındadır. Bu, bir virüsün, önemli miktarda günlük bilgi akışının gerçekleştiği büyük bir şirketin dosyalarını şifrelediği bir durumda kabul edilebilir ve bu kötü amaçlı program, birkaç saniye içinde muazzam zarara neden olabilir. Bu nedenle, virüslü dosyaları kurtarmanın en hızlı yolu ödeme yapmaktır.

Bazen ek bir seçenek de etkilidir. Bir virüs şifrelenmiş dosyalar (paycrypt @ gmail_com veya diğer kötü amaçlı yazılımlar) ise, birkaç gün önce yardımcı olabilir.

RectorDecryptor şifre çözme programı

Virüs jpg, doc, cbf vb. Dosyaları şifrelemişse, özel bir program yardımcı olabilir. Bunu yapmak için, önce başlatmaya gitmeniz ve antivirüs hariç her şeyi devre dışı bırakmanız gerekir. Ardından, bilgisayarınızı yeniden başlatmanız gerekir. Tüm dosyaları görüntüleyin, şüpheli olanları vurgulayın. "Komut" başlıklı alan, belirli bir dosyanın konumunu gösterir (imzası olmayan uygulamalara dikkat edilmelidir: üretici - veri yok).

Tüm şüpheli dosyaların silinmesi gerekir, bundan sonra tarayıcı önbelleklerini, geçici klasörleri temizlemeniz gerekir (CCleaner bunun için uygundur).

Şifre çözmeyi başlatmak için yukarıdaki programı indirmeniz gerekir. Ardından çalıştırın ve değiştirilen dosyaları ve uzantılarını belirten "Taramayı başlat" düğmesini tıklayın. Bu programın modern sürümlerinde, yalnızca virüslü dosyanın kendisini belirleyebilir ve "Aç" düğmesini tıklayabilirsiniz. Dosyaların şifresi daha sonra çözülecektir.

Daha sonra, yardımcı program, bağlı ağ sürücüsünde bulunan dosyalar da dahil olmak üzere tüm bilgisayar verilerini otomatik olarak kontrol eder ve bunların şifresini çözer. Bu kurtarma işlemi birkaç saat sürebilir (çalışma miktarına ve bilgisayarın hızına bağlı olarak).

Sonuç olarak, tüm hasarlı dosyaların şifresi, orijinal olarak bulundukları dizine çözülür. Sonunda, geriye kalan tek şey şüpheli bir uzantıya sahip mevcut tüm dosyaları silmektir, bunun için "Tarama ayarlarını değiştir" düğmesini tıklayarak "Başarılı şifre çözme işleminden sonra şifrelenmiş dosyaları sil" kutusunu işaretleyebilirsiniz. Ancak, onu yüklememek daha iyidir, çünkü dosyaların şifresinin çözülememesi durumunda bunlar silinebilir ve daha sonra önce onları geri yüklemeniz gerekir.

Bu nedenle, virüs şifreli doc, cbf, jpg dosyaları vb. İçeriyorsa, kod için ödeme yapmak için acele etmemelisiniz. Belki ona ihtiyaç duyulmaz.

Şifrelenmiş dosyaları silme nüansları

Standart bir arama ve ardından silme yoluyla tüm bozuk dosyaları ortadan kaldırmaya çalışırken, bilgisayar donabilir ve yavaşlayabilir. Bu bağlamda, bu prosedür için, özel bir tane kullanmaya değer. Başlatıldıktan sonra, aşağıdakileri girmelisiniz: del «<диск>:\*.<расширение зараженного файла>"/ F / s.

Aynı komut satırında şunu belirtmeniz gereken "Read-me.txt" gibi dosyaları silmek zorunludur: del "<диск>:\*.<имя файла>"/ F / s.

Bu nedenle, eğer virüs dosyaları yeniden adlandırıp şifrelemişse, siber suçlulardan bir anahtar satın almak için hemen para harcamamalısınız, önce sorunu kendiniz anlamaya çalışmalısınız. Bozuk dosyaların şifresini çözmek için özel bir program satın almaya yatırım yapmak daha iyidir.

Son olarak, bu makalenin bir virüs tarafından şifrelenen dosyaların şifresinin nasıl çözüleceği sorusunu ele aldığını hatırlamakta fayda var.

Etkinleştirildiğinde belgeler, fotoğraflar vb. Gibi tüm kişisel dosyaları şifreleyen kötü amaçlı bir programdır. Bu tür programların sayısı çok fazladır ve her geçen gün artmaktadır. Yakın zamanda düzinelerce şifreleme seçeneğiyle karşılaştık: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, vb. Bu tür fidye yazılımı virüslerinin amacı, kullanıcıları genellikle büyük miktarda parayla kendi dosyalarının şifresini çözmek için gereken bir program ve anahtarı satın almaya zorlamaktır.

Elbette, şifrelenmiş dosyaları, virüsün yaratıcılarının virüslü bilgisayarda bıraktığı talimatları izleyerek geri yükleyebilirsiniz. Ancak çoğu zaman şifre çözme maliyeti çok önemlidir, ayrıca bazı fidye yazılımı virüslerinin dosyaları daha sonra şifresini çözmek imkansız olacak şekilde şifrelediğini de bilmeniz gerekir. Ve elbette, kendi dosyalarınızı kurtarmak için ödeme yapmak sinir bozucu.

Aşağıda size fidye yazılımı virüsleri, kurbanın bilgisayarına nasıl girdikleri ve fidye yazılımı virüsünün nasıl kaldırılacağı ve şifrelenen dosyaların nasıl geri yükleneceği hakkında daha ayrıntılı bilgi vereceğiz.

Bir fidye yazılımı virüsü bilgisayara nasıl sızar?

Fidye yazılımı virüsü genellikle e-posta yoluyla yayılır. E-posta virüslü belgeler içeriyor. Bu e-postalar, büyük bir e-posta adresleri veritabanına gönderilir. Bu virüsün yazarları, kullanıcıyı e-postaya ekli belgeyi açması için kandırmak için yanıltıcı başlıklar ve e-posta içerikleri kullanır. Mektuplardan bazıları faturayı ödeme ihtiyacı hakkında bilgi verirken, diğerleri yeni bir fiyat listesi görmeyi teklif ederken, diğerleri komik bir fotoğraf açmayı vb. Her durumda, ekli dosyanın açılmasının sonucu, bilgisayara bir şifreleme virüsü bulaşması olacaktır.

Fidye yazılımı virüsü nedir

Fidye yazılımı virüsü, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 gibi Windows işletim sistemlerinin modern sürümlerini etkileyen kötü amaçlı bir programdır. Bu virüsler, mümkün olan en güçlü şifreleme modlarını kullanmaya çalışır; örneğin RSA-2048 ile 2048 bit anahtar uzunluğuyla, dosyaların şifresini çözmek için bir anahtar seçme olasılığını pratik olarak ortadan kaldırır.

Bir bilgisayara bulaşırken, fidye yazılımı virüsü kendi dosyalarını saklamak için% APPDATA% sistem dizinini kullanır. Bilgisayar açıldığında otomatik olarak kendini başlatmak için, fidye yazılımı Windows kayıt defterinde bir girdi oluşturur: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run, HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ RunOnce, HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Virüs, başlatıldıktan hemen sonra, hangi dosyaların şifreleneceğini belirlemek için ağ ve bulut depolama da dahil olmak üzere tüm mevcut sürücüleri tarar. Fidye yazılımı virüsü, şifrelenecek dosya grubunu belirlemenin bir yolu olarak dosya adı uzantısını kullanır. Aşağıdakiler gibi yaygın olanlar da dahil olmak üzere hemen hemen tüm dosya türleri şifrelenmiştir:

{!LANG-b849c1809e76c9930ea929bf8ab5b7e2!}

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos ,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa ,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv ,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm ,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb ,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Dosya şifrelendikten hemen sonra, fidye yazılımının adı veya türünün genellikle tanımlanabileceği yeni bir uzantı alır. Bu kötü amaçlı yazılımların bazı türleri, şifrelenmiş dosyaların adlarını da değiştirebilir. Virüs daha sonra şifrelenmiş dosyaların şifresini çözmek için talimatlar içeren HELP_YOUR_FILES, README gibi adlarla bir metin belgesi oluşturur.

Fidye yazılımı virüsü, çalışması sırasında SVC sistemini (gölge dosya kopyaları) kullanarak dosyaları kurtarma özelliğini kapatmaya çalışır. Bunu yapmak için, komut kipindeki virüs, dosyaların tam olarak kaldırılması için prosedürü başlatan bir anahtarla dosyaların gölge kopyalarını yönetmek için yardımcı programı çağırır. Bu nedenle, gölge kopyalarını kullanarak dosyaları kurtarmak neredeyse her zaman imkansızdır.

Fidye yazılımı virüsü, mağdura şifreleme algoritmasının açıklamasına bir bağlantı vererek ve masaüstünde tehdit edici bir mesaj görüntüleyerek aktif bir şekilde sindirme taktikleri kullanır. Bu şekilde, virüs bulaşmış bilgisayarın kullanıcısını, dosyalarını geri almaya çalışmak için, bilgisayar kimliğini virüsün yazarının e-posta adresine göndermeye tereddüt etmeden zorlamaya çalışır. Böyle bir mesaja verilen yanıt çoğunlukla fidye miktarı ve e-cüzdan adresidir.

Bilgisayarıma fidye yazılımı virüsü bulaştı mı?

Bir bilgisayara şifreleme virüsünün bulaşıp bulaşmadığını belirlemek oldukça kolaydır. Kişisel dosyalarınızın belge, fotoğraf, müzik vb. Uzantılarına dikkat edin. Uzantı değiştiyse veya kişisel dosyalarınız kaybolduysa, birçok dosya bilinmeyen adlarla geride kaldıysa, bilgisayara virüs bulaşmış demektir. Ek olarak, dizinlerinizdeki HELP_YOUR_FILES veya README adlı bir dosyanın varlığı da bir enfeksiyon belirtisidir. Bu dosya, dosyaların şifresini çözmek için talimatlar içerecektir.

Şifreleyici tarafından virüs bulaşmış bir mesajı açtığınızdan şüpheleniyorsanız, ancak henüz herhangi bir bulaşma belirtisi yoksa, bilgisayarınızı kapatmayın veya yeniden başlatmayın. Bu talimat bölümünde açıklanan adımları izleyin. Bir kez daha tekrar ediyorum, bilgisayarı kapatmamak çok önemli, bazı şifreleme fidye yazılımlarında, bilgisayar enfeksiyondan sonra ilk kez açıldığında dosya şifreleme işlemi etkinleştiriliyor!

Bir fidye yazılımı virüsü tarafından şifrelenen dosyaların şifresi nasıl çözülür?

Bu talihsizlik olduysa, paniğe gerek yok! Ancak çoğu durumda ücretsiz şifre çözücü olmadığını bilmeniz gerekir. Bunun nedeni, bu tür kötü amaçlı programlar tarafından kullanılan güçlü şifreleme algoritmalarıdır. Bu, dosyaların şifresini özel anahtar olmadan çözmenin neredeyse imkansız olduğu anlamına gelir. Anahtar seçim yöntemini kullanmak da büyük anahtar uzunluğu nedeniyle bir seçenek değildir. Bu nedenle, maalesef sadece virüsün yazarlarına istenen miktarın tamamı için ödeme yapmak, şifre çözme anahtarını elde etmenin tek yoludur.

Elbette, ödeme yapıldıktan sonra virüsün yazarlarının sizinle iletişime geçeceği ve dosyalarınızın şifresini çözmek için gerekli anahtarı sağlayacağına dair hiçbir garanti yoktur. Ek olarak, virüs geliştiricilerine para ödeyerek, onları yeni virüsler oluşturmaya zorladığınızı anlamanız gerekir.

Fidye yazılımı virüsü nasıl kaldırılır?

Buna devam etmeden önce, virüsü kaldırmaya başlayarak ve dosyaları kendi başınıza kurtarmaya çalışarak, virüsün yazarlarına talep ettikleri miktarı ödeyerek dosyaların şifresini çözme yeteneğini engellediğinizi bilmeniz gerekir.

Kaspersky Virus Removal Tool ve Malwarebytes Anti-malware farklı aktif fidye yazılımı virüslerini tespit edebilir ve bunları bilgisayardan kolayca kaldırabilir, ANCAK şifrelenmiş dosyaları kurtaramazlar.

5.1. Kaspersky Virus Removal Tool kullanarak fidye yazılımı virüsünü kaldırın

Varsayılan olarak, program tüm dosya türlerini kurtaracak şekilde yapılandırılmıştır, ancak işi hızlandırmak için yalnızca kurtarmanız gereken dosya türlerini bırakmanız önerilir. Seçiminizi tamamladıktan sonra Tamam'ı tıklayın.

QPhotoRec penceresinin altında, Gözat düğmesini bulun ve tıklayın. Kurtarılan dosyaların kaydedileceği dizini seçmeniz gerekir. Kurtarma gerektiren şifreli dosyalar içermeyen bir sürücü kullanmanız önerilir (bir USB flash sürücü veya bir harici sürücü kullanabilirsiniz).

Şifrelenmiş dosyaların orijinal kopyalarını arama ve geri yükleme prosedürünü başlatmak için Ara düğmesine tıklayın. Bu süreç uzun sürüyor, bu yüzden sabırlı olun.

Arama bittiğinde, Çık düğmesine tıklayın. Şimdi kurtarılan dosyaları kaydetmeyi seçtiğiniz klasörü açın.

Klasör, recup_dir.1, recup_dir.2, recup_dir.3 ve benzeri adlı dizinleri içerecektir. Program ne kadar çok dosya bulursa, o kadar çok dizin olur. İhtiyacınız olan dosyaları bulmak için sırayla tüm dizinleri kontrol edin. İhtiyaç duyduğunuz dosyanın aranmasını kolaylaştırmak için, çok sayıda kurtarılan dosya arasında, yerleşik Windows arama sistemini (dosya içeriğine göre) kullanın ve ayrıca dizinlerdeki dosyaları sıralama işlevini de unutmayın. Sıralama seçeneği olarak dosyanın değiştirildiği tarihi seçebilirsiniz, çünkü QPhotoRec dosyayı geri yüklerken bu özelliği geri yüklemeye çalışır.

Bir bilgisayar fidye yazılımının virüs bulaşmasını nasıl önleyebilirim?

Çoğu modern anti-virüs programında, fidye yazılımı virüslerinin girmesine ve etkinleştirilmesine karşı yerleşik bir koruma sistemi vardır. Bu nedenle, bilgisayarınızda bir virüsten koruma programı yoksa, onu yüklediğinizden emin olun. Bunu okuyarak nasıl seçeceğinizi öğrenebilirsiniz.

Dahası, özel güvenlik programları vardır. Örneğin, bu CryptoPrevent, daha fazla ayrıntı.

Son birkaç söz

Bu talimatı izleyerek, bilgisayarınız fidye yazılımı virüsünden temizlenecektir. Herhangi bir sorunuz varsa veya yardıma ihtiyacınız varsa, lütfen bizimle iletişime geçin.

Bilinmeyen bir gönderenden E-posta, Skype veya ICQ aracılığıyla arkadaşınızın fotoğrafına bağlantı içeren bir mesaj veya yaklaşan tatil için tebrikler aldınız mı? Görünüşe göre herhangi bir kurulum beklemiyorsunuz ve bir bağlantıya tıkladığınızda aniden bilgisayarınıza ciddi bir kötü amaçlı yazılım yüklenir. Siz farkına varmadan, virüs tüm dosyaları zaten şifrelemiştir. Böyle bir durumda ne yapmalı? Belgeleri kurtarmak mümkün mü?

Kötü amaçlı yazılımlarla nasıl başa çıkılacağını anlamak için, ne olduğunu ve işletim sistemine nasıl girdiğini bilmeniz gerekir. Ek olarak, hangi Windows sürümünü kullandığınız önemli değildir - Critroni virüsü herhangi bir işletim sistemine bulaşacak şekilde tasarlanmıştır.

Bilgisayar şifreleme virüsü: eylem tanımı ve algoritması

İnternette birçok kişi tarafından CTB (Curve Tor Bitcoin) veya Critroni olarak bilinen yeni bir bilgisayar virüsü yazılımı ortaya çıktı. Algoritma açısından daha önce bilinen kötü amaçlı yazılım CriptoLocker'a benzeyen gelişmiş bir fidye yazılımı Truva atıdır. Virüs tüm dosyaları şifrelemişse, bu durumda ne yapmalı? Her şeyden önce, çalışmasının algoritmasını anlamanız gerekir. Virüsün özü, tüm dosyalarınızı .ctbl, .ctb2, .vault, .xtbl veya diğer uzantılarla şifrelemektir. Ancak, talep edilen miktarda parayı ödeyene kadar onları açamazsınız.

Trojan-Ransom.Win32.Shade ve Trojan-Ransom.Win32.Onion virüsleri yaygındır. Yerel eylemlerinde PTS'ye çok benzerler. Şifrelenmiş dosyaların uzantısı ile ayırt edilebilirler. Trojan-Ransom bilgileri .xtbl biçiminde kodlar. Herhangi bir dosyayı açtığınızda, ekranda kişisel belgelerinizin, veritabanlarınızın, fotoğraflarınızın ve diğer dosyalarınızın kötü amaçlı yazılım tarafından şifrelendiğini belirten bir mesaj görüntülenir. Bunların şifresini çözmek için, gizli bir sunucuda saklanan bir ücret karşılığında benzersiz bir anahtar almanız gerekir ve yalnızca bu durumda belgelerinizle şifresini çözebilir ve kriptografik işlemler gerçekleştirebilirsiniz. Ancak endişelenmeyin ve daha da fazlası belirtilen numaraya kadar para gönderin, bu tür siber suçlarla mücadele etmenin başka bir yolu var. Bilgisayarınıza böyle bir virüs bulaşmışsa, tüm .xtbl dosyalarını şifrelemişse, böyle bir durumda ne yapmalısınız?

Bilgisayarınıza bir şifreleme virüsü girdiğinde ne yapılmamalıdır?

Bir panik anında bir anti-virüs programı yükleriz ve bunun yardımıyla virüs yazılımını otomatik veya manuel olarak kaldırırız, onunla birlikte önemli belgeleri de kaybederiz. Bu rahatsız edici bir durum, ayrıca bilgisayar, üzerinde çalışmakta olduğunuz verileri aylardır depolayabilir. Bu tür belgeleri, kurtarılma ihtimali olmadan kaybetmek utanç verici.

Virüs tüm .xtbl dosyalarını şifrelemişse, bazıları uzantılarını değiştirmeye çalışır, ancak bu da olumlu sonuçlara yol açmaz. Sabit sürücüyü yeniden yüklemek ve biçimlendirmek kötü amaçlı programı kalıcı olarak kaldırır, ancak aynı zamanda tüm belge kurtarma olasılığını da kaybedersiniz. Bu durumda, özel olarak oluşturulmuş kod çözücü programları da yardımcı olmaz, çünkü fidye yazılımı standart olmayan bir algoritmaya göre programlanır ve özel bir yaklaşım gerektirir.

Fidye yazılımı virüsü kişisel bir bilgisayar için neden tehlikelidir?

Kişisel bilgisayarınıza hiçbir kötü amaçlı yazılımın fayda sağlamayacağı açıktır. Bu yazılım neden oluşturuldu? İşin garibi, bu tür programlar yalnızca kullanıcılardan mümkün olduğunca çok para çekmek için yaratılmadı. Aslında, viral pazarlama birçok antivirüs mucidi için oldukça faydalıdır. Sonuçta, bir virüs bilgisayarınızdaki tüm dosyaları şifrelemişse, önce nereye gidersiniz? Doğal olarak, profesyonellerin yardımı için. Dizüstü bilgisayarınız veya kişisel bilgisayarınız için şifreleme nedir?

İşlemlerinin algoritması standart değildir, bu nedenle virüslü dosyaları sıradan anti-virüs yazılımlarıyla iyileştirmek imkansız olacaktır. Kötü amaçlı nesnelerin kaldırılması veri kaybına neden olur. Yalnızca karantinaya geçmek, kötü amaçlı virüsün henüz şifrelemeyi başaramadığı diğer dosyaların güvenliğini sağlamayı mümkün kılacaktır.

Şifreleme kötü amaçlı yazılımının sona erme tarihi

Bilgisayarınıza Critroni (kötü amaçlı yazılım) bulaşmışsa ve virüs tüm dosyaları şifrelemişse ne yapmalı? .vault-, .xtbl-, .rar-biçimleri, uzantıyı manuel olarak .doc, .mp3, .txt ve diğerleri olarak değiştirerek kendi başınıza çözülemez. 96 saat içinde siber suçlulara gerekli miktarı ödemediğiniz takdirde, e-posta ile tüm dosyalarınızın geri dönülemez bir şekilde silineceği konusunda korkutulacaksınız. Çoğu durumda, bu tür tehditler insanlara etki eder ve isteksizce, ancak itaatkar bir şekilde, değerli bilgileri kaybetmekten korkarak belirtilen eylemleri gerçekleştirirler. Kullanıcıların siber suçluların her zaman sözlerine sadık olmadığı gerçeğini anlamamaları utanç verici. Parayı aldıktan sonra, artık kilitli dosyalarınızın şifresini çözme konusunda endişelenmezler.

Zamanlayıcı sona erdiğinde otomatik olarak kapanır. Ancak yine de önemli belgeleri kurtarma şansınız var. Ekranda sürenin dolduğunu belirten bir mesaj belirecek ve özel olarak oluşturulmuş DecryptAllFiles.txt dosyasındaki belgeler klasöründeki dosyalar hakkında daha ayrıntılı bilgi görüntüleyebilirsiniz.

Şifreleme kötü amaçlı yazılımı işletim sistemine nasıl girer?

Genellikle fidye yazılımı virüsleri, e-postaya gönderilen virüslü iletiler veya sahte indirmeler yoluyla bir bilgisayara sızar. Bunlar sahte flash güncellemeleri veya hileli video oynatıcılar olabilir. Program, bu yöntemlerden herhangi biri kullanılarak bilgisayara yüklenir yüklenmez verileri hemen şifreler ve kurtarılamaz. Virüs tüm .cbf, .ctbl, .ctb2 dosyalarını diğer biçimlerde şifrelemişse ve çıkarılabilir medyada depolanan belgenin yedek kopyasına sahip değilseniz, artık bunları kurtaramayacağınızı düşünün. Şu anda anti-virüs laboratuvarları bu tür şifreleme virüslerini nasıl kıracaklarını bilmiyor. Gerekli anahtar olmadan, yalnızca etkilenen dosyaları engellemek, onları karantinaya taşımak veya silmek mümkündür.

Bilgisayarınıza virüs bulaşmasını nasıl önleyebilirsiniz?

Tüm .xtbl dosyaları uğursuz. Ne yapalım? Çoğu web sitesinde yazılmış birçok gereksiz bilgiyi zaten okudunuz ve cevabını bulamıyorsunuz. Öyle ki, en uygunsuz anda, işte acilen bir rapor sunmanız, üniversitede bir tez sunmanız veya profesörlüğünüzü savunmanız gerektiğinde, bilgisayar kendi hayatını yaşamaya başlar: bozulur, virüslere bulaşır, donar. Bu tür durumlara hazırlıklı olmanız ve bilgileri sunucuda ve çıkarılabilir ortamda tutmanız gerekir. Bu, işletim sistemini istediğiniz zaman yeniden yüklemenize ve 20 dakika içinde bilgisayarda hiçbir şey olmamış gibi çalışmanıza olanak tanır. Maalesef her zaman o kadar maceracı değiliz.

Bilgisayarınıza virüs bulaşmasını önlemek için önce iyi bir antivirüs programı yüklemeniz gerekir. Ağ üzerinden çeşitli kötü amaçlı nesnelerin girişine karşı koruma sağlayan Windows güvenlik duvarını doğru şekilde yapılandırmış olmanız gerekir. Ve en önemlisi: doğrulanmamış sitelerden, torrent izleyicilerinden yazılım indirmeyin. Bilgisayarınıza virüs programları bulaştırmaktan kaçınmak için, hangi bağlantılara gittiğinizi takip edin. Anlaşılmaz bir alıcıdan bağlantının arkasında neyin gizli olduğunu görmek için bir istek veya teklif içeren bir e-posta alırsanız, en iyisi iletiyi spam'e taşımak veya tamamen silmek.

Bir noktada virüsün tüm .xtbl dosyalarını şifrelemesinin gerçekleşmemesi için, antivirüs yazılımı laboratuvarları şifreleme virüsleriyle bulaşmaya karşı korumanın ücretsiz bir yolunu önerir: haftada bir, durumlarını kontrol edin.

Virüs bilgisayardaki tüm dosyaları şifreledi: tedavi yöntemleri

Siber suçların kurbanı olduysanız ve bilgisayarınızdaki verilere, şifreleme türlerinden kötü amaçlı yazılım bulaşmışsa, dosyalarınızı kurtarmanın zamanı gelmiştir.

Etkilenen belgeleri ücretsiz olarak dezenfekte etmenin birkaç yolu vardır:

1. En yaygın ve muhtemelen şu anda en etkili yöntem, belgeleri yedeklemek ve beklenmedik bir bulaşma durumunda geri yüklemektir.
2. CTB virüsünün yazılım Algoritması ilginç bir şekilde çalışır. Bilgisayara girdikten sonra, dosyaları kopyalar, şifreler ve orijinal belgeleri siler, böylece kurtarma olasılığını ortadan kaldırır. Ancak Photorec veya R-Studio yazılımının yardımıyla bazı orijinal dosyaların bozulmadan kalmasını sağlayabilirsiniz. Bilgisayarınızı virüs bulaştıktan sonra ne kadar uzun süre kullanırsanız, gerekli tüm belgeleri kurtarma olasılığınızın o kadar düşük olacağını bilmelisiniz.
3. Virüs tüm .vault dosyalarını şifrelemişse, bunların şifresini çözmenin başka bir iyi yolu vardır - gölge kopya birimleri kullanmak. Elbette, virüs hepsini kalıcı ve kalıcı olarak silmeye çalışacak, ancak aynı zamanda bazı dosyalar bozulmadan kalacaktır. Bu durumda, küçük de olsa iyileşme şansınız olacaktır.
4. DropBox gibi dosya barındırma hizmetlerinde veri depolamak mümkündür. Yerel disk eşlemesi olarak bilgisayarınıza kurulabilir. Doğal olarak, şifreleme virüsü de ona bulaşacaktır. Ancak bu durumda, belgeleri ve önemli dosyaları kurtarmak çok daha gerçekçidir.

Kişisel bilgisayar virüsü enfeksiyonunun yazılımla önlenmesi

Bilgisayarınıza kötü amaçlı kötü amaçlı yazılım bulaşmasından korkuyorsanız ve sinsi bir virüsün tüm dosyaları şifrelemesini istemiyorsanız, Yerel İlke Düzenleyicisi'ni veya Windows Grupları'nı kullanmalısınız. Bu entegre yazılım sayesinde, program kısıtlama politikasını yapılandırabilirsiniz - ve daha sonra bilgisayarınıza virüs bulaştırma düşüncesi sizi rahatsız etmez.

Etkilenen dosyalar nasıl kurtarılır

CTB virüsü tüm dosyaları şifrelediyse, bu durumda gerekli belgeleri kurtarmak için ne yapılmalıdır? Ne yazık ki, şu anda tek bir antivirüs laboratuvarı dosyalarınızın şifresini çözemez, ancak bulaşmanın etkisiz hale getirilmesi, kişisel bir bilgisayardan tamamen kaldırılması mümkündür. Yukarıda, tüm etkili bilgi kurtarma yöntemleri bulunmaktadır. Dosyalarınız sizin için çok değerliyse ve bunları çıkarılabilir bir medyaya veya bir İnternet sürücüsüne yedeklemeye zahmet etmediyseniz, siber suçlular tarafından talep edilen parayı ödemeniz gerekecektir. Ancak ödeme yapıldıktan sonra bile şifre çözme anahtarının size gönderilme şansı yoktur.

Virüs bulaşmış dosyalar nasıl bulunur

Etkilenen dosyaların listesini görmek için şu yola gidebilirsiniz: "Belgelerim" \\. Html veya "C:" \\ "Kullanıcılar" \\ "Tüm kullanıcılar" \\. Html. Bu html sayfası yalnızca rastgele talimatlar hakkında değil, aynı zamanda etkilenen nesneler hakkında da veriler içerir.

Şifreleme virüsü nasıl engellenir

Bilgisayara kötü amaçlı yazılım bulaştıktan sonra, kullanıcının yapması gereken ilk eylem ağı açmaktır. Bu, F10 klavye tuşuna basılarak yapılır.

Bilgisayarınıza yanlışlıkla bir Critroni virüsü gelirse, tüm dosyaları .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf veya başka bir biçimde şifreler, bu durumda onları kurtarmak zaten zordur. Ancak virüs henüz pek çok değişiklik yapmayı başaramadıysa, program kısıtlı erişim politikasını kullanarak onu engelleme olasılığı vardır.

Tipik olarak, kötü amaçlı yazılımın çalışması, bir zombi ağında da dahil olmak üzere bir bilgisayar üzerinde kontrol sağlamayı veya kişisel verileri çalmayı amaçlamaktadır. Dikkatsiz bir kullanıcı, sisteme virüs bulaştığını uzun süre fark etmeyebilir. Ancak fidye yazılımı virüsleri, özellikle xtbl, tamamen farklı bir şekilde çalışır. Kullanıcı dosyalarını en karmaşık algoritma ile şifreleyerek ve bilgileri kurtarma yeteneği için sahibinden büyük bir miktar talep ederek kullanılamaz hale getirir.

Sorunun nedeni: xtbl virüsü

Xtbl ransomware virüsü, adını kendisi tarafından şifrelenen kullanıcı belgelerinin .xtbl uzantısını almasından almıştır. Genellikle kodlayıcılar dosya gövdesinde bir anahtar bırakır, böylece evrensel bir kod çözücü programı bilgileri orijinal biçiminde geri yükleyebilir. Bununla birlikte, virüs başka amaçlar için tasarlanmıştır, bu nedenle, ekranda bir anahtar yerine, anonim hesap ayrıntılarını kullanarak belirli bir tutarı ödemek için bir teklif belirir.

Xtbl virüsü nasıl çalışır?

Virüs, bilgisayara ofis uygulama dosyaları olan virüslü ekler içeren e-postalar yoluyla girer. Kullanıcı mesajın içeriğini açtıktan sonra, kötü amaçlı yazılım fotoğrafları, anahtarları, videoları, belgeleri vb. Aramaya başlar ve ardından orijinal bir karmaşık algoritma (hibrit şifreleme) kullanarak bunları xtbl depolamaya dönüştürür.

Virüs, dosyalarını depolamak için sistem klasörlerini kullanır.

Virüs kendini başlangıç \u200b\u200blistesine ekler. Bunu yapmak için, Windows kayıt defterine bölümlerde girişler ekler:

• HKCU \\ Yazılım \\ Microsoft \\ Windows \\ CurrentVersion \\ RunOnce;
• HKCU \\ Yazılım \\ Microsoft \\ Windows \\ CurrentVersion \\ Run;
• HKCU \\ Yazılım \\ Microsoft \\ Windows \\ CurrentVersion \\ RunOnce.

Etkilenen bilgisayar kararlı bir şekilde çalışır, sistem "çökmez", ancak anlaşılmaz bir ada sahip küçük bir uygulama (veya iki) RAM'de sürekli olarak bulunur. Ve kullanıcının çalışma dosyalarının bulunduğu klasörler tuhaf bir görünüme bürünür.

Xtbl virüsü ile şifrelenen dosyalar adlarını değiştirir

Açılış ekranı yerine masaüstünde bir mesaj belirir:

Dosyalarınız şifrelenmiştir. Bunların şifresini çözmek için kodu e-posta adresine göndermeniz gerekir: [email protected] (kod aşağıdadır). Daha sonra başka talimatlar alacaksınız. Dosyaların şifresini çözmeye yönelik bağımsız girişimler, dosyaların tamamen yok edilmesine neden olacaktır.

Xtbl virüsünün fark edilmemesi imkansızdır: sadece kullanıcı dosyaları görünümü değil, aynı zamanda masaüstü açılış ekranını da değiştirir

Aynı metin, dosyalar.txt dosyanızın şifresi nasıl çözülür? Oluşturulan dosyada bulunur. E-posta adresi, kod, talep edilen miktar değişiklik gösterebilir.

Çoğu zaman, bazı dolandırıcılar başkalarından para kazanır - fidye yazılımının e-cüzdanının numarası, dosyaların şifresini çözmenin hiçbir yolu olmayan virüsün gövdesine eklenir. Yani saf bir kullanıcı para göndererek karşılığında hiçbir şey almaz.

Neden fidye yazılımı ödememelisiniz?

Şantajcılarla işbirliği yapmayı kabul etmek sadece ahlaki ilkeler nedeniyle mümkün değildir. Pratik açıdan bakıldığında bu mantıksız.

1. Dolandırıcılık. Saldırganların dosyalarınızın şifresini çözebileceği bir gerçek değil. Size iade edildiği iddia edilen şifresi çözülmüş fotoğraflardan biri de kanıt olarak kullanılmamaktadır - bu, şifrelemeden önce çalınan orijinal fotoğraf olabilir. Ödenen para işe yaramaz.
2. Tekrarlanabilirlik. Ödemeye istekli olduğunuzu onaylayarak, tekrarlanan bir saldırı için daha cazip bir av haline gelirsiniz. Belki bir dahaki sefere dosyalarınız farklı bir uzantıya sahip olacak ve açılış ekranında farklı bir mesaj görünecek, ancak para aynı kişilere gidecek.
3. Gizlilik. Dosyalar şifrelenirken bilgisayarınızdadır. "Dürüst kötü adamlar" ile anlaştıktan sonra, onlara tüm kişisel bilgilerinizi göndermek zorunda kalacaksınız. Algoritma, bir anahtarın elde edilmesini ve kendi başına şifresinin çözülmesini sağlamaz, yalnızca dosyaları bir kod çözücüye gönderir.
4. Bilgisayar enfeksiyonu. Bilgisayarınız hala virüslüdür, bu nedenle dosya şifre çözme, soruna tam bir çözüm değildir.

Sisteminizi bir virüsten nasıl korursunuz

Kötü amaçlı yazılımlara karşı korumaya ve hasarı en aza indirmeye yönelik evrensel kurallar bu durumda da yardımcı olacaktır.

1. Sıradan bağlantılara dikkat edin. Reklamlar ve bonus teklifleri dahil, bilinmeyen göndericilerden alınan e-postaları açmaya gerek yoktur. Olağanüstü durumlarda, önce eki diske kaydedip bir antivirüs ile kontrol ederek okuyabilirsiniz.
2. Korumanın tadını çıkarın. Virüsten koruma programları sürekli olarak kötü amaçlı kod kitaplıklarına ekliyor, bu nedenle savunucunun mevcut sürümü çoğu virüsün bilgisayarınıza girmesine izin vermeyecek.
3. Erişimi dağıtın. Virüs, yönetici hesabına girerse çok daha fazla zarar verecektir. Kullanıcı adına çalışmak daha iyidir, dolayısıyla enfeksiyon olasılığını büyük ölçüde azaltır.
4. Yedeklemeler oluşturun. Önemli bilgiler düzenli olarak bilgisayarınızdan ayrı olarak saklanan harici ortama kopyalanmalıdır. Ayrıca, Windows geri yükleme noktaları oluşturmayı da unutmayın.

Şifrelenmiş bilgileri kurtarmak mümkün mü

İyi haber: veri kurtarma mümkündür. Kötü: kendin yapamazsın. Bunun nedeni, sıradan bir kullanıcının sahip olduğundan çok daha fazla kaynak ve bilgi birikimi gerektiren anahtar seçimi olan şifreleme algoritmasının tuhaflığıdır. Neyse ki, antivirüs geliştiricileri her kötü amaçlı programla uğraşmanın bir onur meselesi olduğunu düşünüyor, bu nedenle şu anda fidye yazılımınızla baş edemiyor olsalar bile, kesinlikle bir veya iki ay içinde bir çözüm bulacaklar. Sabırlı olmamız gerekecek.

Uzmanlarla iletişim kurma ihtiyacı nedeniyle, virüslü bir bilgisayarla çalışma algoritması değişiyor. Genel bir kural olarak, ne kadar az değişiklik olursa o kadar iyidir. Antivirüsler, kötü amaçlı bir programın genel özelliklerine göre tedavi yöntemini belirler, bu nedenle virüslü dosyalar onlar için önemli bilgi kaynağı olur. Yalnızca ana sorunu çözdükten sonra kaldırılmalıdırlar.

İkinci kural, ne pahasına olursa olsun virüsün çalışmasını kesintiye uğratmaktır. Belki de henüz tüm bilgileri mahvetmedi ve fidye yazılımının izleri RAM'de kaldı ve yardımı ile tespit edilebildi. Bu nedenle, bilgisayarı ağdan hemen kapatmanız ve ağ düğmesine uzun basarak dizüstü bilgisayarı kapatmanız gerekir. Bu kez, tüm süreçleri doğru bir şekilde tamamlamayı mümkün kılan standart "dikkatli" kapatma prosedürü çalışmayacaktır çünkü bunlardan biri bilgilerinizin kodlanmasıdır.

Şifrelenmiş dosyaları kurtarma

Bilgisayarınızı kapatmayı başardıysanız

Şifreleme işlemi tamamlanmadan bilgisayarınızı kapatmayı başardıysanız, kendi başınıza açmanıza gerek yoktur. "Hastayı" doğrudan uzmanlara götürün, kesintiye uğramış kodlama kişisel dosyaların kaydedilme şansını önemli ölçüde artırır. Burada ayrıca depolama ortamınızı güvenli modda kontrol edebilir ve yedeklemeler oluşturabilirsiniz. Yüksek bir olasılıkla virüsün kendisi bilinecek, dolayısıyla tedavisi başarılı olacaktır.

Şifreleme tamamlandıysa

Maalesef, şifreleme sürecini başarılı bir şekilde kesme şansı çok düşük. Genellikle, virüsün dosyaları kodlamak ve bilgisayardan gereksiz izleri kaldırmak için zamanı vardır. Ve şimdi iki probleminiz var: Windows hala virüslü ve kişisel dosyalar bir karakter seti haline geldi. İkinci sorunu çözmek için, virüsten koruma yazılımı üreticilerinin yardımını kullanmak gerekir.

Dr.Web Lab, şifre çözme hizmetlerini yalnızca ticari lisans sahiplerine ücretsiz olarak sağlar. Başka bir deyişle, henüz müşterisi değilseniz, ancak dosyalarınızı geri yüklemek istiyorsanız, programı satın almanız gerekecektir. Mevcut durum göz önüne alındığında, bu doğru yatırımdır.

Bir sonraki adım, üreticinin web sitesine gitmek ve giriş formunu doldurmaktır.

Resmi Dr.Web web sitesindeki formu doldurun

Şifrelenmiş dosyalar arasında kopyaları harici ortama kaydedilmişse, bunların aktarımı kod çözücülerin işini büyük ölçüde kolaylaştıracaktır.

Kaspersky

Kaspersky Lab, şirketin resmi web sitesinden bir bilgisayara indirilebilen RectorDecryptor adlı kendi şifre çözme yardımcı programını geliştirdi.

Windows sürümünüz için dosyayı indirin ve kontrol etmeye başlayın

Windows 7 dahil olmak üzere işletim sisteminin her sürümünün kendi yardımcı programı vardır. İndirdikten sonra, "Kontrolü başlat" düğmesine tıklayın.

Virüs nispeten yeniyse hizmetler biraz zaman alabilir. Bu durumda şirket genellikle bir bildirim gönderir. Bazen şifre çözme birkaç ay sürebilir.

Diğer servisler

Şifre çözme hizmetlerine olan talebi gösteren benzer işlevlere sahip gittikçe daha fazla hizmet var. Eylemlerin algoritması aynıdır: siteye gidin (örneğin, https://decryptcryptolocker.com/), şifrelenmiş dosyayı kaydedin ve gönderin.

Hizmet% 100 sonuç garantisi vermez, ancak deneyebilirsiniz

Dekoder programları

Ağda çok sayıda "evrensel kod çözücü" (elbette ücretli olanlar) var, ancak bunların yararlılığı sorgulanabilir. Elbette, virüs satıcılarının kendileri bir kod çözücü yazarsa, başarılı bir şekilde çalışacaktır, ancak aynı program başka bir kötü amaçlı uygulama için işe yaramayacaktır. Ek olarak, virüslerle düzenli olarak karşılaşan uzmanlar genellikle gerekli yardımcı programların eksiksiz bir paketine sahiptir, bu nedenle yüksek olasılıkla tüm çalışma programlarına sahiptirler. Böyle bir kod çözücü satın almak büyük ihtimalle para israfı olacaktır.

Kaspersky Lab kullanarak dosyaların şifresini çözme - video

Self servis bilgi kurtarma

Herhangi bir nedenle üçüncü taraf uzmanlarla iletişim kurmak imkansızsa, bilgileri kendi başınıza kurtarmayı deneyebilirsiniz. Arıza durumunda dosyaların kalıcı olarak kaybolabileceği bir rezervasyon yapalım.

Silinen dosyaları kurtarma

Şifrelemeden sonra, virüs orijinal dosyaları siler. Ancak, Windows 7, silinen tüm bilgileri bir süre sözde gölge kopya biçiminde saklar.

ShadowExplorer, dosyaları gölge kopyalarından kurtarmak için tasarlanmış bir yardımcı programdır.

Kurtarılan dosyalar için dizin seçin

Ücretsiz PhotoRec yardımcı programı aynı şekilde çalışır, ancak toplu iş modunda.

1. Arşivi geliştiricinin sitesinden indirin ve diske açın. Yürütülebilir dosya QPhotoRec_Win olarak adlandırılır.

   

   Yürütülebilir dosyanın adı QPhotoRec_Win'dir

2. Uygulamayı başlattıktan sonra, bir iletişim kutusu mevcut tüm disk cihazlarının bir listesini gösterecektir. Şifrelenmiş dosyaların depolandığı yeri seçin ve kurtarılan kopyaları kaydetme yolunu belirtin.
   

   Depolama için, USB flash sürücü gibi harici bir ortam kullanmak daha iyidir, çünkü diske her yazma gölge kopyaları silerek tehlikelidir.

3. İstenilen dizinler seçiliyken, Dosya Biçimleri çerçeve düğmesine basın.

   

   Gözat düğmesine tıklayarak hedef dizini seçin

4. Açılır menü, uygulamanın geri yükleyebileceği dosya türlerinin bir listesidir. Varsayılan olarak, her birinin yanında bir onay işareti vardır, ancak çalışmayı hızlandırmak için gereksiz "onay kutularını" kaldırabilir, yalnızca karşılık gelen dosya türlerini geri yükleyebilirsiniz. Seçiminizi bitirdiğinizde OK düğmesine basın.

   

   İşin hızını artırmak için gereksiz işaretleri kaldırın

5. Seçimi tamamladıktan sonra Ara düğmesi kullanılabilir hale gelir. Tıkla. İyileşme süreci zaman alan bir süreçtir, bu nedenle lütfen sabırlı olun.

   

   Rapor oldukça özlü

6. İşlemin tamamlanmasını bekledikten sonra ekrandaki Çık düğmesine basın ve programdan çıkın.
7. Kurtarılan dosyalar önceden belirtilen dizinde bulunur ve recup_dir.1, recup_dir.2, recup_dir.3 vb. Adlarıyla klasörler halinde sıralanır. Her birini teker teker gözden geçirin ve eski adlarına döndürün.

   

   Şimdi klasörleri manuel olarak yineleyin ve eski adlarına döndürün

Virüs temizleme

Virüs bilgisayara girdiğinden beri, kurulu güvenlik programları görevleriyle baş edemedi. Üçüncü taraf yardımı kullanmayı deneyebilirsiniz.

Önemli! Virüsün kaldırılması bilgisayarı iyileştirir ancak şifrelenmiş dosyaları geri yüklemez. Ayrıca, yeni yazılım yüklemek, onları geri yüklemek için gerekli olan dosyaların bazı gölge kopyalarına zarar verebilir veya bunları silebilir. Bu nedenle, uygulamaları diğer sürücülere yüklemek daha iyidir.

Programın sistemi kontrol etmesi biraz zaman alacak

Taramanın sonuna kadar beklemeye ve bulunan davetsiz misafirleri silmeye devam eder.

Tarayıcının ücretsiz bir sürümünü sağlayan başka bir virüsten koruma yazılımı geliştiricisi. Eylemlerin algoritması aynıdır:

Ne yapmamalı

XTBL virüsü, diğer fidye yazılımı virüsleri gibi, hem sisteme hem de kullanıcı bilgilerine zarar verir. Bu nedenle olası hasarı azaltmak için bazı önlemler alınmalıdır:

1. Şifrelemenin bitmesini beklemeyin. Dosya şifreleme, gözünüzün önünde başladıysa, her şeyin bitmesini beklemeyin veya işlemi yazılımla kesintiye uğratmaya çalışmayın. Hemen bilgisayarın fişini çekin ve bir servis teknisyenini arayın.
2. Profesyonellere güvenebiliyorsanız, virüsü kendiniz kaldırmaya çalışmayın.
3. Tedavi sonrasına kadar sistemi yeniden yüklemeyin. Virüs yeni sisteme de güvenli bir şekilde bulaşacaktır.
4. Şifrelenmiş dosyaları yeniden adlandırmayın. Bu, yalnızca kod çözücünün işini zorlaştıracaktır.
5. Virüsü kaldırmadan önce virüslü dosyaları başka bir bilgisayarda okumaya çalışmayın. Bu enfeksiyonu yayabilir.
6. Şantajcılara ödeme yapmayın. Yararsızdır ve virüs yaratıcılarını ve dolandırıcıları teşvik eder.
7. Önlemeyi unutma. Bir antivirüs yüklemek, düzenli yedeklemeler ve geri yükleme noktaları oluşturmak, kötü amaçlı yazılımlardan kaynaklanan olası hasarı önemli ölçüde azaltacaktır.

Fidye yazılımı virüsü bulaşmış bir bilgisayarı iyileştirmek uzun ve her zaman başarılı olmayan bir prosedürdür. Bu nedenle, ağdan bilgi alırken ve doğrulanmamış harici ortamla çalışırken önlemlere uymak çok önemlidir.

Hatırlayın: Trojan.Encoder ailesinin Truva atları, bir bilgisayarın sabit diskindeki dosyaları şifreleyen ve bunların şifresini çözmek için para isteyen kötü amaçlı programlardır. * .Mp3, * .doc, * .docx, * .pdf, * .jpg, * .rar ve benzeri dosyalar şifrelenebilir.
Bu virüsün tüm ailesini kişisel olarak tanımak mümkün değildi, ancak uygulamanın gösterdiği gibi, enfeksiyon, tedavi ve şifre çözme yöntemi herkes için yaklaşık olarak benzer:
1. kurban, ekli bir spam e-postayla enfekte olursa (daha az sıklıkla bulaşıcı bir yolla),
2. virüs, yeni veritabanları olan hemen hemen her antivirüs tarafından tanınır ve kaldırılır (zaten),
3. dosyaların şifreleri, kullanılan şifreleme türlerinin şifreleri-anahtarları seçilerek çözülür.
Örneğin, Trojan.Encoder.225 RC4 (değiştirilmiş) + DES şifrelemesini kullanırken Trojan.Encoder.263, CTR modunda BlowFish kullanır. Bu virüsler şu anda kişisel uygulamalara göre% 99 şifresi çözülüyor.

Ama her şey o kadar düzgün değil. Bazı fidye yazılımı virüsleri aylarca sürekli şifre çözme (Trojan.Encoder.102) gerektirirken, diğerleri (Trojan.Encoder.283), Doktor Web uzmanları için bile, bu makalede önemli bir rol oynayan şifre çözmeyi düzeltmek için kendilerini ödünç vermezler. ...

Şimdi sırayla.

Ağustos 2013'ün başlarında, müşteriler benimle Trojan.Encoder.225 virüsü tarafından şifrelenmiş dosyalar sorunuyla ilgili olarak iletişime geçti. Virüs o zaman yeni, kimse bir şey bilmiyor, internette 2-3 tematik Google bağlantısı var. İnternette uzun bir aramanın ardından, bu virüsten sonra dosyaların şifresini çözme sorunuyla ilgilenen tek (bulunan) kuruluşun Doktor Web olduğu ortaya çıktı. Şöyle ki: tavsiyelerde bulunur, teknik desteğe başvururken yardımcı olur, kendi şifre çözücülerini geliştirir vb.

Negatif geri çekilme.

Ve bu fırsatı değerlendirerek, iki not almak istiyorum besi eksi "Kaspersky Lab". Teknik destekle iletişime geçerken "bu konu üzerinde çalışıyoruz, sonuçları posta ile bildireceğiz" diyen kişi. Yine de, olumsuz yanı, talebe hiçbir zaman yanıt almamış olmam. 4 ay sonra. Tepki süresi umrumda değil. Ve burada "başvurunun kaydından en fazla bir saat sonra" standardı için çabalıyorum.
Bu utanç verici, yoldaş Evgeny Kaspersky, Kaspersky Lab Genel Müdürü. Ama tüm şirketlerin yarısı bende "oturuyor". Pekala, lisanslar Ocak-Mart 2014'te sona eriyor. Söylemeye gerek yok, ehliyetimi yenileyecek miyim ?;)

Antivirüs endüstrisinin "daha basit" şirketlerin, deyim yerindeyse dev OLMAYAN şirketlerin "uzmanlarının" yüzlerini temsil ediyorum. Muhtemelen genellikle "bir köşede toplanmış" ve "sessizce ağlamış".
Yine de, zaten orada olan, kesinlikle herkes sonuna kadar "berbat". Anti-virüs, prensip olarak, bu virüsün bilgisayara geçmesine izin vermemeliydi. Dahası, modern teknolojileri dikkate alarak. Ve anti-virüs endüstrisinin DEVLERİ olan "onlar", iddiaya göre her şeyi kontrol altında tutuyor, "heüretik analiz", "proaktif sistem", "proaktif savunma" ...

İNSAN KAYNAKLARI DAİRESİ ÇALIŞANI, "ÖZET" KONUYLA "SİGORTALI" MEKTUBU AÇTIĞINDA BU TÜM SÜPER SİSTEMLER NEREDE OLDU ???
Çalışan ne düşünmeli?
Bizi koruyamıyorsanız, neden SİZE ihtiyacımız var?

Ve Doktor Web ile her şey yoluna girecektir, ancak sadece yardım almak için, tabii ki, yazılım ürünlerinden herhangi biri için bir lisansa sahip olmanız gerekir. Teknik desteğe başvururken (bundan sonra TP olarak anılacaktır), Dr.Web'in seri numarasını vermeli ve "Talep kategorisi:" satırında "tedavi talebinde bulun" u seçmeyi veya laboratuvara şifreli bir dosya sağlamalısınız. İnternette toplu olarak gönderilen sözde Dr.Web “log anahtarları” nın, herhangi bir yazılım ürününün satın alınmasını onaylamadıkları ve TP uzmanları tarafından bir veya iki kez tarandıkları için uygun olmadıkları için hemen rezervasyon yaptırmak istiyorum. En çok "deshman" lisansını satın almak daha kolaydır. Çünkü şifre çözmeyi ayarlarsanız - bu lisans size bir "milyon" süre kazandırır. Özellikle "Mısır 2012" fotoğraflarının bulunduğu klasör tek nüsha ise ...

Deneme 1

Bu yüzden, n miktar para karşılığında "2 PC için bir yıl lisansı" satın alarak, TP ile iletişime geçip bazı dosyalar sağladıktan sonra te225decrypt.exe şifre çözücü yardımcı programı 1.3.0.0 sürümüne bir bağlantı aldım. Başarı beklentisiyle, yardımcı programı başlatıyorum (şifrelenmiş * .doc dosyalarından birine yönlendirmeniz gerekiyor). Yardımcı program, eski bir E5300 DualCore işlemci, 2600 MHz (3.46 GHz'e hız aşırtılmış) / 8192 MB DDR2-800, HDD 160Gb Western Digital'in% 90-100'ünü acımasızca yükleyerek seçimi başlatır.
Burada benimle paralel olarak, bir PC çekirdeği i5 2500k (4.5 ghz'e hız aşırtma) / 16 ram 1600 / ssd intel üzerinde çalışan bir meslektaşım çalışmaya dahil edildi (bu, makalenin sonunda harcanan sürenin karşılaştırılması içindir).
6 gün sonra, yardımcı programım 7277 dosyanın şifresinin çözüldüğünü bildirdi. Ancak mutluluk uzun sürmedi. Tüm dosyaların şifresi "çarpık bir şekilde" çözüldü. Örneğin, microsoft office belgeleri açılıyor, ancak farklı hatalarla: "Word, * .docx belgesinde okunamayan içerik buldu" veya "İçerik hataları nedeniyle * .docx dosyası açılamıyor." * .Jpg dosyaları da bir hatayla açılır veya görüntünün% 95'i siyah veya açık yeşil arka planla bulanıklaşır. Dosyalar * .rar - "Beklenmeyen arşiv sonu".
Genelde tam bir başarısızlık.

Deneme 2

TP'ye sonuçlar hakkında yazıyoruz. Birkaç dosya sağlamayı istiyorlar. Bir gün sonra, yine te225decrypt.exe yardımcı programına bir bağlantı veriyorlar, ancak bu sefer 1.3.2.0 sürümü. Peki, başlayalım, o zaman başka alternatif yoktu. Yaklaşık 6 gün sürer ve yardımcı program, "Şifreleme parametrelerini seçmek imkansızdır" hatasıyla çalışmasını bitirir. Toplam 13 gün "boşa harcama".
Ancak, temel yedeklemeler olmadan * aptal * istemcimizin önemli belgeleri nedeniyle pes etmiyoruz.

Deneme 3

TP'ye sonuçlar hakkında yazıyoruz. Birkaç dosya sağlamayı istiyorlar. Ve zaten tahmin ettiğiniz gibi, bir gün sonra aynı yardımcı program te225decrypt.exe'ye bir bağlantı veriyorlar, ancak zaten sürüm 1.4.2.0. Pekala, başlayalım, ne Kaspersky Lab'den ne ESET NOD32'den ne de diğer anti-virüs çözümleri üreticilerinden bir alternatif yoktu. Ve şimdi, 5 gün, 3 saat 14 dakika (123.5 saat) sonra, yardımcı program dosyaların şifresinin çözülmesi hakkında bilgi veriyor (çekirdek i5'teki bir meslektaş için şifre çözme yalnızca 21 saat 10 dakika sürdü).
Sanırım öyleydi, değildi. Ve bakalım: tam başarı! Tüm dosyaların şifresi doğru bir şekilde çözüldü. Her şey düzgün bir şekilde açılır, kapanır, bakar, düzenlenir ve kaydedilir.

Herkes mutlu, SON.

"Trojan.Encoder.263 virüsünün hikayesi nerede?" Diye soruyorsunuz. Ve sonraki bilgisayarda, masanın altında ... öyleydi. Orada her şey daha basitti: TP "Doctor Web" e yazıyoruz, te263decrypt.exe yardımcı programını alıyoruz, çalıştırın, 6.5 gün bekleyin, işte! ve her şey hazır. Özetlemek gerekirse, sürümümdeki "Doctor Web" forumundan size birkaç ipucu verebilirim:

Bir fidye yazılımı virüsü bulaşması durumunda yapılması gerekenler:
- Dr. Web veya "Şüpheli dosya gönder" biçiminde şifrelenmiş doc dosyası.
- Bir Dr.Web çalışanının yanıtını bekleyin ve ardından talimatlarını izleyin.

YAPILMAMASI gerekenler:
- şifrelenmiş dosyaların uzantısını değiştirin; Aksi takdirde, iyi seçilmiş bir anahtarla, yardımcı program şifresinin çözülmesi gereken dosyaları "görmez".
- uzmanlara danışmadan bağımsız olarak verilerin şifresini çözmek / kurtarmak için herhangi bir programı kullanın.

Dikkat, diğer görevlerden bağımsız bir sunucuya sahip olarak, SİZİN verilerinizin şifresini çözmek için ücretsiz hizmetlerimi sunuyorum. Core i7-3770K sunucu * belirli frekanslara *, 16 GB RAM'e ve SSD Vertex 4'e hız aşırtılmış.
Tüm aktif "habr" kullanıcıları için kaynaklarımın kullanımı ÜCRETSİZ olacaktır !!!
Bana kişisel veya diğer kişilerle yaz. Ben zaten bununla "köpeği yedim". Bu nedenle, sunucuyu geceleri şifre çözme işlemine sokacak kadar tembel değilim.
Bu virüs, zamanımızın "belası" dır ve diğer askerlerden "ganimet" almak insancıl değildir. Yine de, birisi Yandex.Money hesabıma 410011278501419 birkaç dolar "atarsa" - umursamıyorum. Ancak bu hiç gerekli değil. Lütfen iletişime geçin. Başvuruları boş zamanlarımda işlerim.

Yeni bilgi!

12/08/2013 tarihinden itibaren, aynı Trojan.Encoder serisinden yeni bir virüs, Doctor Web sınıflandırması - Trojan.Encoder.263 altında, ancak RSA şifrelemeyle yayılmaya başladı. Bugünün tarihi için bu görünüm (12/20/2013) çözülemezçok güçlü bir şifreleme yöntemi kullandığından.

Bu virüsten muzdarip herkese tavsiye ederim:
1. Yerleşik Windows aramasını kullanarak, .perfect uzantısını içeren tüm dosyaları bulun ve bunları harici bir ortama kopyalayın.
2. Aynı dosyayı CONTACT.txt kopyalayın
3. Bu harici ortamı rafa yerleştirin.
4. Kod çözücü yardımcı programının görünmesini bekleyin.

YAPILMAMASI gerekenler:
Davetsiz misafirlerle iletişim kurmanıza gerek yok. Bu aptalca. Vakaların% 50'den fazlasında, yaklaşık 5000 ruble'de "ödeme" yapıldıktan sonra, HİÇBİR ŞEY almayacaksınız. Para yok, umutsuzluk yok.
Adil olmak adına, internette "ganimet" için dosyalarını şifre çözme yoluyla geri alan "şanslı" kişiler olduğu unutulmamalıdır. Ama bu insanlara güvenmemelisin. Bir virüs yazarı olsaydım, ilk yapacağım şey “ödedim ve bana bir kod çözücü gönderdiler !!!” gibi bilgileri yaymak olurdu.
Bu "şanslı olanlar" aynı davetsiz misafirlerce destekleniyor olabilir.

Pekala ... diğer anti-virüs şirketlerine Trojan.Encoder grubunun virüslerinden sonra dosyaların şifresini çözmek için bir yardımcı program oluşturmada iyi şanslar diliyoruz.

Doktor Web forumundan yoldaş v. Martyanov'a kod çözücü araçlarının oluşturulması için yapılan çalışmalar için özel teşekkürler.