Bir fidye yazılımı virüsünden sonra dosyaları geri yükleme. Virüs fidye yazılımı nasıl tedavi edilir ve dosyaların şifresini çözer tedavi yardımı

Çok uzun zaman önce, İnternette yeni bir virüs (ve değişikliklerinin çoğu) ortaya çıktı, bilgisayarınızdaki dosyaları şifreledi ve para için şifrelerini çözmek için bir program sipariş etmeyi teklif etti. Bu durumda, şifrelenmiş dosyalar yeniden adlandırılır ve bunun gibi adlar alır.

DSC00122.JPG. [e-posta korumalı] _XO101

Vurgulanan kısım, virüs yazarının e-postasından (virüsün “kurbanının” şifre çözme isteği göndereceği) ve virüs değiştirme tanımlayıcısından oluşur. Virüsün her modifikasyonunun kendi şifreleme algoritması vardır ve buna göre kendi şifre çözücüsüne ihtiyaç duyar.

Neyse ki, Dr.Web geliştiricileri bu sorunu çözdüler ve bir virüs tarafından bozulan dosyaların şifresini çözen özel bir yardımcı program sunmaya hazırlar. Kolaylık olması için, aşağıda yardımcı programın kendisini ve kullanımıyla ilgili kısa bir talimat gönderiyorum.

(şifre, sitemin "http://" olmadan adıdır)

Aşağıda kısa bir kılavuz bulunmaktadır.

Kurtarma yardımcı programını indirin, arşivi basit bir adla boş bir klasöre çıkarın (örneğin, " C:\_aralık"). Ardından bir komut istemi başlatın (Başlat - Çalıştır - cmd) ve buraya şunu yazın:

Burada " [e-posta korumalı] _XO101”, dosyalarınızın virüs tarafından yeniden adlandırıldığı önektir, başlangıçtaki noktaya dikkat edin. ANCAK c:\dosyalarım\ kodlanmış dosyalarınızın bulunduğu klasördür. Başlatıldığında, program bir onay penceresi açacaktır.

Ve "Devam" butonuna tıkladıktan sonra otomatik tedavi başlayacaktır. Programın tamamlanmasının ardından bir rapor alacaksınız ve kodu çözülen tüm dosyalar belirttiğiniz klasördeki kodlanmış dosyaların yanında yer alacaktır (program dosyaların kodlanmış sürümlerini silmez).

Programın yazarları tüm dosyaların %100 işlenmesini garanti etmez ve çalışmasını çok sayıda dosya üzerinde test etme fırsatım yok, bu yüzden lütfen: herhangi biri bu yardımcı programla dosyaları iyileştirmeyi başardıysa (veya çalışmadıysa) ) - yorumlarda abonelikten çıkın.

Bu kadar! Sağlıklı olmak!

not Ve bilgisayar enfeksiyonlu durumun tekrar yaşanmaması için şimdiden satın alın normal antivirüs. Kaspersky Internet Security kullanıyorum ama görünüşe göre Dr.Web de oldukça iyi. Tecrübelerime inanın, gönül rahatlığı ve geleceğe güven için yılda bir buçuk bin ruble saçma bir fiyat.

Modern teknolojiler, bilgisayar korsanlarının sıradan kullanıcılarla ilgili olarak dolandırıcılık yöntemlerini sürekli olarak geliştirmesine olanak tanır. Kural olarak, bir bilgisayara giren virüs yazılımları bu amaçlar için kullanılır. Şifreleme virüsleri özellikle tehlikeli olarak kabul edilir. Tehdit, virüsün çok hızlı yayılması ve dosyaları şifrelemesidir (kullanıcı herhangi bir belgeyi açamaz). Ve oldukça basitse, verilerin şifresini çözmek çok daha zordur.

Bilgisayarınızda bir virüs şifrelenmiş dosyalara sahipse ne yapmalısınız?

Herkes bir fidye yazılımı tarafından saldırıya uğrayabilir, güçlü antivirüs yazılımına sahip kullanıcılar bile sigortalı değildir. Dosya şifreleyici truva atları, antivirüsün gücünün ötesinde olabilecek farklı kodlarla temsil edilir. Bilgisayar korsanları, bilgilerinin gerekli korunmasına özen göstermeyen büyük şirketlere bu şekilde saldırmayı bile başarır. Bu nedenle, çevrimiçi bir fidye yazılımı programını "aldıktan" sonra, bir dizi önlem almanız gerekir.

Enfeksiyonun ana belirtileri, bilgisayarın yavaş çalışması ve belge adlarındaki değişikliktir (masaüstünde görebilirsiniz).

1. Şifrelemeyi durdurmak için bilgisayarınızı yeniden başlatın. Etkinleştirildiğinde, bilinmeyen programların başlatılmasını onaylamayın.
2. Fidye yazılımı tarafından saldırıya uğramadıysa, virüsten koruma programını çalıştırın.
3. Bazı durumlarda, gölge kopyalar bilgilerin geri yüklenmesine yardımcı olur. Onları bulmak için şifreli belgenin "Özellikleri" ni açın. Bu yöntem, portalda bilgi bulunan Vault uzantısının şifrelenmiş verileriyle çalışır.
4. En son anti-kripto virüsü yardımcı programını indirin. En etkili olanları Kaspersky Lab tarafından sunulmaktadır.

2016'da şifreleme virüsleri: örnekler

Herhangi bir virüs saldırısıyla mücadele ederken, yeni antivirüs korumasıyla desteklenen kodun çok sık değiştiğini anlamak önemlidir. Elbette, koruma programlarının geliştirici veritabanlarını güncelleyene kadar biraz zamana ihtiyacı vardır. Son zamanların en tehlikeli şifreleme virüslerini seçtik.

Ishtar fidye yazılımı

Ishtar, kullanıcıdan zorla para alan bir fidye yazılımıdır. Virüs, 2016 sonbaharında fark edildi ve Rusya'dan ve bir dizi başka ülkeden çok sayıda kullanıcı bilgisayarına bulaştı. Ekli belgeleri (kurulumcular, belgeler vb.) içeren e-posta dağıtımı kullanılarak dağıtılır. Ishtar fidye yazılımının bulaştığı veriler, adında "ISHTAR" ön ekini alır. İşlem, şifreyi almak için nereye gidileceğini gösteren bir test belgesi oluşturur. Saldırganlar bunun için 3.000 ila 15.000 ruble talep ediyor.

Ishtar virüsünün tehlikesi, bugün kullanıcılara yardımcı olacak bir şifre çözücünün olmamasıdır. Virüsten koruma yazılımı şirketlerinin tüm kodu deşifre etmesi için zamana ihtiyacı vardır. Artık, yalnızca önemli bilgileri (özellikle önemliyse) ayrı bir ortamda izole edebilir ve belgelerin şifresini çözebilen bir yardımcı programın yayınlanmasını bekleyebilirsiniz. İşletim sistemini yeniden yüklemeniz önerilir.

Neitrino

Neitrino fidye yazılımı 2015 yılında internette ortaya çıktı. Saldırı prensibi ile bu kategorideki diğer virüslere benzer. "Neitrino" veya "Neutrino" ekleyerek klasörlerin ve dosyaların adlarını değiştirir. Virüsün deşifre edilmesi zordur - antivirüs şirketlerinin tüm temsilcilerinden çok uzak, çok karmaşık bir koda atıfta bulunarak bunu üstlenir. Bir gölge kopyayı geri yüklemek bazı kullanıcılara yardımcı olabilir. Bunu yapmak için şifreli belgeye sağ tıklayın, "Özellikler"e gidin, "Önceki Sürümler" sekmesine gidin, "Geri Yükle"ye tıklayın. Kaspersky Lab'in ücretsiz yardımcı programını kullanmak gereksiz olmayacaktır.

Cüzdan veya .wallet.

Cüzdan şifreleme virüsü 2016'nın sonunda ortaya çıktı. Enfeksiyon işlemi sırasında, verilerin adını "Name..wallet" veya benzeri olarak değiştirir. Çoğu fidye yazılımı virüsü gibi, sisteme bilgisayar korsanları tarafından gönderilen e-posta ekleri yoluyla girer. Tehdit oldukça yakın zamanda ortaya çıktığından, virüsten koruma programları bunu fark etmez. Şifrelemeden sonra, dolandırıcının iletişim için postayı belirttiği bir belge oluşturur. Şu anda, virüsten koruma yazılımı geliştiricileri, fidye yazılımı virüsünün kodunun şifresini çözmek için çalışıyor. [e-posta korumalı] Saldırıya uğrayan kullanıcılar sadece bekleyebilir. Veriler önemliyse, sistemi temizleyerek harici bir sürücüye kaydetmeniz önerilir.

muamma

Enigma şifreleme virüsü, Nisan 2016'nın sonunda Rus kullanıcılarının bilgisayarlarına bulaşmaya başladı. Günümüzde çoğu fidye yazılımında bulunan AES-RSA şifreleme modelini kullanır. Virüs, kullanıcının şüpheli bir e-postadan dosyaları açarak çalıştırdığı bir komut dosyası kullanarak bilgisayara nüfuz eder. Enigma şifresiyle başa çıkmak için hala evrensel bir çözüm yok. Antivirüs lisansı olan kullanıcılar, geliştiricinin resmi web sitesinde yardım isteyebilir. Küçük bir "açıklık" da bulundu - Windows UAC. Kullanıcı, virüs bulaşması sırasında görünen pencerede "Hayır"ı tıklarsa, daha sonra gölge kopyaları kullanarak bilgileri geri yükleyebilir.

Granit

Yeni fidye yazılımı virüsü Granit, 2016 sonbaharında Web'de ortaya çıktı. Bulaşma şu senaryoya göre gerçekleşir: kullanıcı, bilgisayardaki ve bağlı sürücülerdeki tüm verilere bulaşan ve şifreleyen bir yükleyici başlatır. Virüsle mücadele zordur. Kaldırmak için Kaspersky'nin özel yardımcı programlarını kullanabilirsiniz, ancak kodun şifresi henüz çözülmedi. Verilerin önceki sürümlerini geri yüklemek yardımcı olabilir. Ek olarak, kapsamlı deneyime sahip bir uzman şifreyi çözebilir, ancak hizmet pahalıdır.

agresif

Geçenlerde görüldü. Web sitemizden öğrenebileceğiniz, zaten iyi bilinen no_more_ransom fidye yazılımının bir uzantısıdır. E-postadan kişisel bilgisayarlara ulaşır. Birçok kurumsal PC saldırıya uğradı. Virüs, "fidye" ödemeyi teklif eden, kilidi açma talimatları içeren bir metin belgesi oluşturur. Tyson fidye yazılımı yakın zamanda ortaya çıktı, bu nedenle henüz bir kilit açma anahtarı yok. Bilgileri geri yüklemenin tek yolu, bir virüs tarafından silinmemişlerse önceki sürümlere geri dönmektir. Saldırganların belirttiği hesaba para aktararak elbette risk alabilirsiniz ancak şifre alacağınızın garantisi yoktur.

spor

2017 yılının başlarında, birkaç kullanıcı yeni Spora fidye yazılımının kurbanı oldu. Çalışma prensibi olarak, benzerlerinden çok farklı değildir, ancak daha profesyonel bir performansa sahiptir: şifre alma talimatları daha iyidir, web sitesi daha güzel görünür. C dilinde oluşturulan Spora fidye yazılımı, kurban verilerini şifrelemek için RSA ve AES kombinasyonunu kullanır. Kural olarak, 1C muhasebe programının aktif olarak kullanıldığı bilgisayarlara saldırı düzenlendi. .pdf formatında basit bir fatura kisvesi altına gizlenen virüs, şirket çalışanlarını faturayı başlatmaya zorluyor. Henüz bir tedavisi bulunamadı.

1C.Drop.1

1C için bu şifreleme virüsü, 2016 yazında ortaya çıktı ve birçok muhasebe departmanının işini aksattı. 1C yazılımı kullanan bilgisayarlar için özel olarak geliştirilmiştir. Bir PC'ye bir e-postadaki bir dosyadan geçerek, sahibinden programı güncellemesini ister. Kullanıcı hangi düğmeye basarsa bassın, virüs dosyaları şifrelemeye başlayacaktır. Dr.Web uzmanları şifre çözme araçları üzerinde çalışıyor ancak şu ana kadar hiçbir çözüm bulunamadı. Bu, çeşitli modifikasyonlarda olabilen karmaşık koddan kaynaklanmaktadır. 1C.Drop.1'e karşı tek koruma, kullanıcıların dikkatli olması ve önemli belgelerin düzenli olarak arşivlenmesidir.

da Vinci Şifresi

Alışılmadık bir ada sahip yeni bir fidye yazılımı. Virüs 2016 baharında ortaya çıktı. Geliştirilmiş kod ve güçlü şifreleme modu ile öncekilerden farklıdır. da_vinci_code, kullanıcının bağımsız olarak başlattığı yürütülebilir bir uygulama (genellikle bir e-postaya eklenir) sayesinde bilgisayara bulaşır. Da Vinci kodlayıcı (da vinci kodu), gövdeyi sistem dizinine ve kayıt defterine kopyalayarak Windows açıldığında otomatik olarak başlamasını sağlar. Her kurbanın bilgisayarına benzersiz bir kimlik atanır (şifrenin alınmasına yardımcı olur). Verilerin şifresini çözmek neredeyse imkansızdır. Saldırganlara para ödeyebilirsiniz, ancak kimse şifreyi alacağınızı garanti etmez.

[e-posta korumalı] / [e-posta korumalı]

2016'da fidye yazılımlarına sıklıkla eşlik eden iki e-posta adresi. Kurbanı saldırganla ilişkilendirmeye hizmet ederler. Adresler çeşitli virüs türlerine eklenmiştir: da_vinci_code, no_more_ransom vb. Dolandırıcılara para transfer etmenin yanı sıra iletişim kurmanız şiddetle tavsiye edilmez. Çoğu durumda kullanıcılar şifresiz kalır. Böylece saldırganların fidye yazılımlarının çalıştığını göstererek gelir elde ediyor.

Kötü kırma

2015'in başında ortaya çıktı, ancak sadece bir yıl sonra aktif olarak yayıldı. Bulaşma ilkesi diğer fidye yazılımlarıyla aynıdır: bir e-postadan dosya yükleme, veri şifreleme. Geleneksel antivirüsler genellikle Breaking Bad virüsünü fark etmez. Bazı kodlar Windows UAC'yi atlayamaz, bu nedenle kullanıcı yine de belgelerin önceki sürümlerini geri yükleyebilir. Dekoder henüz anti-virüs yazılımı geliştiren hiçbir şirket tarafından sunulmadı.

XTBL

Birçok kullanıcı için sorun yaratan çok yaygın bir fidye yazılımı. Bir PC'deyken, virüs birkaç dakika içinde dosya uzantısını .xtbl olarak değiştirir. Saldırganın şantaj yaptığı bir belge oluşturulur. XTBL virüsünün bazı türleri, sistem geri yükleme dosyalarını yok edemez ve önemli belgelerin kurtarılmasına izin verir. Virüsün kendisi birçok program tarafından kaldırılabilir, ancak belgelerin şifresini çözmek çok zordur. Lisanslı bir antivirüsünüz varsa, virüslü veri örneklerini ekleyerek teknik destek kullanın.

Kukaraça

Kukaracha şifresi Aralık 2016'da tespit edildi. İlginç bir ada sahip bir virüs, oldukça dirençli olan RSA-2048 algoritmasını kullanarak kullanıcı dosyalarını gizler. Kaspersky Anti-Virus, onu Trojan-Ransom.Win32.Scatter.lb olarak tanımladı. Kukaracha, diğer belgelere bulaşmaması için bilgisayardan kaldırılabilir. Ancak, virüslü olanların şifresini çözmek bugün neredeyse imkansız (çok güçlü bir algoritma).

Fidye yazılımı nasıl çalışır?

Çok sayıda fidye yazılımı var, ancak hepsi benzer bir prensipte çalışıyor.

1. Kişisel bir bilgisayara erişim. Kural olarak, e-postaya ekli dosya sayesinde. Kurulum, kullanıcının kendisi tarafından dokümanı açarak başlatılır.
2. Dosya enfeksiyonu. Hemen hemen tüm dosya türleri şifrelenir (virüse bağlı olarak). Davetsiz misafirlerle iletişim için kişileri içeren bir metin belgesi oluşturulur.
3. Herşey. Kullanıcı herhangi bir belgeye erişemez.

Popüler laboratuvarlardan ilaçlar

Kullanıcı verilerine yönelik en tehlikeli tehdit olarak kabul edilen fidye yazılımının yaygın kullanımı, birçok antivirüs laboratuvarı için bir itici güç haline geldi. Her popüler şirket, kullanıcılarına fidye yazılımlarıyla mücadele etmelerine yardımcı olan programlar sağlar. Ek olarak, birçoğu sistem tarafından korunan belgelerin şifresinin çözülmesine yardımcı olur.

Kaspersky ve şifreleme virüsleri

Bugün Rusya ve dünyadaki en ünlü anti-virüs laboratuvarlarından biri, fidye yazılımı virüsleriyle mücadele için en etkili araçları sunuyor. Fidye yazılımı virüsünün önündeki ilk engel, en son güncellemelerle Kaspersky Endpoint Security 10 olacak. Anti-virüs, tehdidin bilgisayara girmesine izin vermez (ancak yeni sürümler durdurulmayabilir). Geliştirici, bilgilerin şifresini çözmek için aynı anda birkaç ücretsiz yardımcı program sunar: XoristDecryptor, RakhniDecryptor ve Ransomware Decryptor. Virüsü bulmaya ve şifreyi almaya yardımcı olurlar.

Dr. Web ve fidye yazılımı

Bu laboratuvar, ana özelliği dosya yedekleme olan anti-virüs programlarının kullanılmasını önerir. Belgelerin kopyalarının bulunduğu depolama, izinsiz girişlere karşı da korunur. Lisanslı ürünün sahipleri Dr. Web, yardım için teknik desteğe başvurma işlevi mevcuttur. Doğru, deneyimli uzmanlar bile bu tür bir tehdide her zaman direnemez.

ESET Nod 32 ve fidye yazılımı

Bu şirket de bir kenara çekilmedi ve kullanıcılarına bilgisayara giren virüslere karşı iyi bir koruma sağladı. Buna ek olarak, laboratuvar yakın zamanda güncel veritabanlarıyla ücretsiz bir yardımcı program yayınladı - Eset Crysis Decryptor. Geliştiriciler, en yeni fidye yazılımlarına karşı mücadelede yardımcı olacağını iddia ediyor.

Son zamanlarda, yeni nesil kötü amaçlı bilgisayar programlarının faaliyetlerinde bir artış oldu. Oldukça uzun zaman önce (6-8 yıl önce) ortaya çıktılar, ancak uygulama hızı şu anda maksimuma ulaştı. Giderek, virüsün şifreli dosyalara sahip olduğu gerçeğiyle karşılaşabilirsiniz.

Bunların, örneğin (mavi ekrana neden olan) yalnızca ilkel kötü amaçlı yazılımlar değil, kural olarak muhasebe verilerine zarar vermeyi amaçlayan ciddi programlar olduğu zaten bilinmektedir. 1C muhasebe verileri, docx, xlsx, jpg, doc, xls, pdf, zip dahil olmak üzere erişilebilen tüm dosyaları şifrelerler.

Söz konusu virüslerin özel tehlikesi

Bu durumda, belirli bir kullanıcı bilgisayarına bağlı bir RSA anahtarının kullanılması gerçeğinde yatmaktadır, bu nedenle evrensel şifre çözücü ( şifre çözücü) eksik. Bilgisayarlardan birinde etkinleştirilen virüsler diğerinde çalışmayabilir.

Tehlike aynı zamanda bir yıldan fazla bir süredir hazır inşaatçıların (inşaatçıların) internette yayınlanması ve havalı bilgisayar korsanlarının (kendilerini bilgisayar korsanı olarak gören, ancak programlama eğitimi almayan kişiler) bile böyle bir virüs geliştirmesine izin vermesidir.

Artık daha güçlü değişiklikler ortaya çıktı.

Bu kötü amaçlı programları tanıtma yöntemi

Virüs, kural olarak, kasıtlı olarak şirketin muhasebe departmanına gönderilir. İlk olarak, personel departmanlarının, muhasebe departmanlarının e-postaları, örneğin hh.ru gibi veritabanlarından toplanır. Ardından mektuplar gönderilir. Genellikle belirli bir pozisyona kabul ile ilgili bir talep içerirler. İçinde implante edilmiş bir OLE nesnesine sahip gerçek bir belge (virüslü pdf dosyası) olan özgeçmişli böyle bir mektuba.

Muhasebe personelinin bu belgeyi hemen başlattığı durumlarda, yeniden başlatmanın ardından aşağıdakiler oldu: virüs dosyaları yeniden adlandırdı ve şifreledi ve ardından kendi kendini imha etti.

Bu tür bir mektup, kural olarak, spam olmayan bir posta kutusundan yeterince yazılır ve gönderilir (adı imzayla eşleşir). Boş pozisyon her zaman şirketin ana işi temelinde talep edilir, bu nedenle şüpheler ortaya çıkmaz.

Ne lisanslı "Kaspersky" (anti-virüs programı) ne de "Virus Total" (ekleri virüslere karşı kontrol etmeye yönelik çevrimiçi bir hizmet) bu durumda bilgisayarın güvenliğini sağlayamaz. Bazen, bazı virüsten koruma programları, tarama sırasında ekin Gen:Variant.Zusy.71505 içerdiğini verir.

Bu virüsle enfeksiyon nasıl önlenir?

Alınan her dosya kontrol edilmelidir. Gömülü pdf içeren Word belgelerine özellikle dikkat edilir.

"Enfekte" harflerin çeşitleri

Onlardan yeterince var. Bir virüsün nasıl şifrelendiğine ilişkin en yaygın seçenekler aşağıda sunulmuştur. Her durumda, aşağıdaki belgeler e-posta ile gönderilir:

1. Belirli bir şirkete karşı açılan bir davayı değerlendirme sürecinin başlangıcına ilişkin bildirim (mektup, sağlanan bağlantıya tıklayarak verilerin kontrol edilmesini önerir).
2. Rusya Federasyonu Yüksek Tahkim Mahkemesi'nden borç tahsilatı hakkında mektup.
3. Sberbank'tan mevcut borç artışına ilişkin bir mesaj.
4. Trafik ihlallerini düzeltme bildirimi.
5. Tahsilat kurumundan olası maksimum ertelenmiş ödemeyi gösteren bir mektup.

Dosya Şifreleme Bildirimi

Enfeksiyondan sonra, C sürücüsünün kök klasöründe görünecektir. Bazen WHAT_DO.txt, CONTACT.txt gibi dosyalar bozuk metin içeren tüm dizinlere yerleştirilir. Burada kullanıcı, güvenilir kriptoya dayanıklı algoritmalar aracılığıyla gerçekleştirilen dosyalarının şifrelenmesi hakkında bilgilendirilir. Ayrıca, dosyalarda kalıcı hasara yol açabileceğinden, üçüncü taraf yardımcı programları kullanmanın uygunsuzluğu konusunda da uyarılır ve bu da daha sonra şifrelerinin çözülmesini imkansız hale getirir.

Bildirim, bilgisayarınızı aynı durumda bırakmanızı önerir. Sağlanan anahtarın saklama süresini gösterir (genellikle 2 gün). Kesin tarih belirlenir, bundan sonra her türlü itiraz dikkate alınmaz.

Sonunda bir e-posta verilir. Ayrıca, kullanıcının kimliğini sağlaması gerektiğini ve aşağıdaki eylemlerden herhangi birinin anahtarın imhasına yol açabileceğini, yani:

Bir virüs tarafından şifrelenmiş dosyaların şifresi nasıl çözülür?

Bu tür şifreleme çok güçlüdür: dosyaya mükemmel, nochance, vb. gibi bir uzantı verilir. Hacklemek kesinlikle imkansızdır, ancak kriptanalitiklere bağlanmayı ve bir boşluk bulmayı deneyebilirsiniz (bazı durumlarda Dr. WEB size yardımcı olacaktır). ).

Bir virüs tarafından şifrelenmiş dosyaları kurtarmanın başka bir yolu daha vardır, ancak tüm virüsler için uygun değildir, ayrıca, kendi kendini imha ettikten sonra yapılması kolay olmayan bu kötü amaçlı yazılımla birlikte orijinal exe'yi çıkarmanız gerekecektir.

Virüsün özel bir kodun girilmesiyle ilgili talebi, dosyanın şu anda zaten bir kod çözücüye sahip olması nedeniyle önemsiz bir kontroldür (tabii ki, saldırganlardan gelen kod gerekli olmayacaktır). Bu yöntemin özü, sızan virüse boş komutlar girmektir (girilen kodun karşılaştırıldığı yerde). Sonuç olarak, kötü niyetli programın kendisi dosyaların şifresini çözmeye başlar ve böylece onları tamamen geri yükler.

Her bir virüsün kendi özel şifreleme işlevi vardır; bu, bir üçüncü taraf yürütülebilir dosyasının (exe dosyasının) şifresinin çözülemeyeceği veya WinAPI'de tüm eylemleri gerçekleştirmeniz gereken yukarıdaki işlevi almaya çalışabileceğiniz anlamına gelir.

dosyalar: ne yapmalı?

Şifre çözme prosedürünü gerçekleştirmek için ihtiyacınız olacak:

Söz konusu kötü amaçlı yazılım nedeniyle veri kaybı nasıl önlenir?

Bir virüsün dosyaları şifrelediği bir durumda, bunların şifresini çözmenin zaman alacağını bilmeye değer. Önemli bir nokta, yukarıda belirtilen kötü amaçlı yazılımda, bilgisayarı hızlı bir şekilde kapatırsanız (fişi prizden çekin, aşırı gerilim koruyucuyu kapatın, bir durumda pili çıkarın) bazı dosyaları kaydetmenize izin veren bir hata olmasıdır. laptop), daha önce belirtilen uzantıya sahip çok sayıda dosya göründüğünde .

Bir kez daha, asıl meselenin sürekli olarak yedek oluşturmak olduğu, ancak başka bir klasöre değil, bilgisayara takılı çıkarılabilir medyaya değil, virüsün bu değişikliği bu yerlere ulaşacağından vurgulanmalıdır. Yedeklemeleri başka bir bilgisayarda, bilgisayara kalıcı olarak bağlı olmayan bir sabit sürücüde ve bulutta kaydetmeye değer.

Bilinmeyen kişilerden postaya gelen tüm belgelerden şüphelenmelisiniz (özgeçmiş, fatura, Rusya Federasyonu Yüksek Tahkim Mahkemesi Kararı veya vergi vb.). Bunları bilgisayarınızda çalıştırmanız gerekmez (bu amaçlar için önemli veriler içermeyen bir netbook seçebilirsiniz).

Kötü amaçlı program * [e-posta korumalı]: ortadan kaldırmanın yolları

Yukarıdaki virüsün cbf, doc, jpg vb. dosyaları şifrelediği bir durumda, olayın gelişmesi için sadece üç senaryo vardır:

1. Ondan kurtulmanın en kolay yolu, virüslü tüm dosyaları silmektir (veriler özellikle önemli değilse, bu kabul edilebilir).
2. Bir anti-virüs programının laboratuvarına gidin, örneğin Dr. AĞ. Birkaç virüslü dosyayı, bilgisayarda KEY.PRIVATE olarak bulunan şifre çözme anahtarıyla birlikte geliştiricilere gönderdiğinizden emin olun.
3. En maliyetli yol. Virüslü dosyaların şifresini çözmek için bilgisayar korsanları tarafından talep edilen miktarın ödenmesini içerir. Kural olarak, bu hizmetin maliyeti 200 - 500 ABD doları arasındadır. Bu, bir virüsün günlük olarak önemli bir bilgi akışının aktığı büyük bir şirketin dosyalarını şifrelediği bir durumda kabul edilebilir ve bu kötü amaçlı program birkaç saniye içinde çok büyük zararlara neden olabilir. Bu bağlamda, virüslü dosyaları kurtarmak için ödeme en hızlı seçenektir.

Bazen ek bir seçeneğin etkili olduğu ortaya çıkıyor. Virüsün dosyaları şifrelemesi durumunda ( [e-posta korumalı] _com veya diğer kötü amaçlı yazılımlar) birkaç gün önce yardımcı olabilir.

RectorDecryptor şifre çözme programı

Bir virüsün jpg, doc, cbf vb. dosyaları şifrelenmişse, özel bir program yardımcı olabilir. Bunu yapmak için önce başlatmaya gitmeniz ve antivirüs dışındaki her şeyi devre dışı bırakmanız gerekir. Ardından, bilgisayarınızı yeniden başlatmanız gerekir. Tüm dosyaları görüntüleyin, şüpheli olanları vurgulayın. "Komut" adı verilen alan, belirli bir dosyanın konumunu belirtir (imzası olmayan uygulamalara dikkat edilmelidir: üretici - veri yok).

Tüm şüpheli dosyalar silinmeli, bundan sonra tarayıcı önbelleklerini, geçici klasörleri temizlemeniz gerekecek (CCleaner bunun için uygundur).

Şifre çözmeyi başlatmak için yukarıdaki programı indirmeniz gerekir. Ardından çalıştırın ve değiştirilen dosyaları ve uzantılarını belirterek "Taramayı başlat" düğmesini tıklayın. Bu programın modern sürümlerinde, yalnızca virüslü dosyanın kendisini belirleyebilir ve "Aç" düğmesini tıklayabilirsiniz. Bundan sonra, dosyaların şifresi çözülecektir.

Ardından, yardımcı program, bağlı ağ sürücüsünde bulunan dosyalar da dahil olmak üzere tüm bilgisayar verilerini otomatik olarak kontrol eder ve bunların şifresini çözer. Bu kurtarma işlemi (iş miktarına ve bilgisayarınızın hızına bağlı olarak) birkaç saat sürebilir.

Sonuç olarak, tüm bozuk dosyaların şifresi, orijinal olarak bulundukları dizine çözülecektir. Sonunda, geriye kalan tek şey, önce "Tarama ayarlarını değiştir" düğmesini tıklayarak "Başarılı şifre çözme işleminden sonra şifreli dosyaları sil" kutusunu işaretleyebileceğiniz şüpheli bir uzantıya sahip mevcut tüm dosyaları silmek. Ancak, yüklememek daha iyidir, çünkü dosyaların şifresinin başarısız bir şekilde çözülmesi durumunda silinebilirler ve daha sonra önce geri yüklenmeleri gerekir.

Bu nedenle, bir virüs şifrelenmiş doc, cbf, jpg dosyalarına vb. sahipse, kod için ödeme yapmak için acele etmemelisiniz. Belki ona ihtiyacı olmayacak.

Şifrelenmiş dosyaları silmenin nüansları

Standart bir arama kullanarak tüm bozuk dosyaları ortadan kaldırmaya ve ardından silmeye çalıştığınızda, bilgisayarınız donabilir ve yavaşlayabilir. Bu bağlamda, bu prosedür için özel bir tane kullanmaya değer. Başladıktan sonra aşağıdakileri girmelisiniz: del "<диск>:\*.<расширение зараженного файла>»/f/s.

Aynı komut satırında belirtmeniz gereken "Beni oku.txt" gibi dosyaları sildiğinizden emin olun: del "<диск>:\*.<имя файла>»/f/s.

Bu nedenle, virüs dosyaları yeniden adlandırır ve şifrelerse, saldırganlardan bir anahtar satın almak için hemen para harcamamalısınız, önce sorunu kendiniz bulmaya çalışmalısınız. Hasarlı dosyaların şifresini çözmek için özel bir program satın almak için yatırım yapmak daha iyidir.

Son olarak, bu makalenin bir virüs tarafından şifrelenmiş dosyaların şifresinin nasıl çözüleceği sorusuna değindiğini hatırlatmakta fayda var.

Etkinleştirildiğinde belgeler, fotoğraflar vb. tüm kişisel dosyaları şifreleyen kötü amaçlı bir programdır. Bu tür programların sayısı oldukça fazladır ve her geçen gün artmaktadır. Kısa süre önce düzinelerce fidye yazılımı seçeneğiyle karşılaştık: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, .da_vinci_code, toste, fff, vb. Bu tür fidye yazılımlarının amacı, kullanıcıları, genellikle büyük miktarda para karşılığında, kendi dosyalarının şifresini çözmek için gereken programı ve anahtarı satın almaya zorlamaktır.

Elbette, virüs oluşturucuların virüslü bilgisayarda bıraktığı talimatları izleyerek şifrelenmiş dosyaları kurtarabilirsiniz. Ancak çoğu zaman şifre çözme maliyeti çok önemlidir, ayrıca bazı şifreleme virüslerinin dosyaları daha sonra şifrelerini çözmenin imkansız olduğu şekilde şifrelediğini de bilmeniz gerekir. Ve elbette, kendi dosyalarınızın geri yüklenmesi için ödeme yapmak hoş değil.

Aşağıda fidye yazılımı virüsleri, kurbanın bilgisayarına nasıl sızdıkları ve fidye yazılımı virüsünün nasıl kaldırılacağı ve onun tarafından şifrelenen dosyaların nasıl geri yükleneceği hakkında daha ayrıntılı olarak konuşacağız.

Bir fidye yazılımı virüsü bilgisayara nasıl girer?

Bir fidye yazılımı virüsü genellikle e-posta yoluyla dağıtılır. Mektup virüslü belgeler içeriyor. Bu e-postalar, büyük bir e-posta adresi veritabanına gönderilir. Bu virüsün yazarları, kullanıcıyı e-postaya ekli belgeyi açması için kandırmaya çalışarak yanıltıcı başlıklar ve e-posta içeriği kullanır. Bazı mektuplar faturayı ödeme ihtiyacı hakkında bilgi verir, diğerleri en son fiyat listesini görmeyi teklif eder, diğerleri komik bir fotoğraf açar, vb. Her durumda, ekli dosyanın açılmasının sonucu, bilgisayara bir fidye yazılımı virüsü bulaşması olacaktır.

Fidye yazılımı virüsü nedir

Fidye yazılımı virüsü, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 gibi Windows işletim sistemlerinin modern sürümlerine bulaşan kötü amaçlı bir programdır. Bu virüsler, RSA gibi olası en güçlü şifreleme modlarını kullanmaya çalışır. -2048, anahtar uzunluğu 2048 bittir ve bu, dosyaların kendi kendine şifresini çözmek için bir anahtar seçme olasılığını pratik olarak dışlar.

Bir bilgisayara bulaşırken, fidye yazılımı virüsü kendi dosyalarını depolamak için %APPDATA% sistem dizinini kullanır. Bilgisayar açıldığında kendini otomatik olarak başlatmak için, fidye yazılımı Windows kayıt defterinde bir giriş oluşturur: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\Çalıştır, HKCU\Yazılım\Microsoft\Windows\CurrentVersion\RunOnce.

Başlatıldıktan hemen sonra virüs, hangi dosyaların şifreleneceğini belirlemek için ağ ve bulut depolama dahil tüm kullanılabilir sürücüleri tarar. Fidye yazılımı virüsü, şifrelenecek dosya grubunu belirlemenin bir yolu olarak dosya adı uzantısını kullanır. Aşağıdakiler gibi yaygın olanlar da dahil olmak üzere hemen hemen tüm dosya türleri şifrelenir:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wpt, .wps, .wppt, .wp6 .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Dosya şifrelendikten hemen sonra, genellikle şifreleyicinin adını veya türünü tanımlamak için kullanılabilen yeni bir uzantı alır. Bu kötü amaçlı yazılımların bazı türleri, şifrelenmiş dosyaların adlarını da değiştirebilir. Virüs daha sonra HELP_YOUR_FILES, README gibi, şifrelenmiş dosyaların şifresini çözmek için talimatlar içeren bir metin belgesi oluşturur.

Fidye yazılımı, çalışması sırasında SVC sistemini (dosyaların gölge kopyaları) kullanarak dosyaları kurtarma olasılığını engellemeye çalışır. Bunu yapmak için, komut modundaki virüs, dosyaların gölge kopyalarını tamamen kaldırma prosedürünü başlatan bir anahtarla yönetmek için yardımcı programı çağırır. Bu nedenle, gölge kopyalarını kullanarak dosyaları kurtarmak neredeyse her zaman imkansızdır.

Fidye yazılımı virüsü, kurbana şifreleme algoritmasının bir açıklamasının bağlantısını vererek ve Masaüstünde bir tehdit mesajı görüntüleyerek korkutma taktiklerini aktif olarak kullanır. Bu şekilde, virüs bulaşan bilgisayarın kullanıcısını, dosyalarını geri döndürmeye çalışmak için bilgisayar kimliğini tereddüt etmeden virüs yazarının e-posta adresine göndermeye zorlamaya çalışır. Böyle bir mesaja verilen yanıt genellikle fidye miktarı ve elektronik cüzdanın adresidir.

Bilgisayarıma fidye yazılımı virüsü bulaşmış mı?

Bir bilgisayara fidye yazılımı virüsü bulaşıp bulaşmadığını belirlemek oldukça kolaydır. Belge, fotoğraf, müzik vb. kişisel dosyalarınızın uzantılarına dikkat edin. Uzantı değiştiyse veya kişisel dosyalarınız kaybolduysa ve ardında bilinmeyen adlara sahip birçok dosya bıraktıysa, bilgisayara virüs bulaşmış demektir. Ek olarak, dizinlerinizde HELP_YOUR_FILES veya README adında bir dosyanın bulunması bir enfeksiyon belirtisidir. Bu dosya, dosyaların şifresini çözmek için talimatlar içerecektir.

Fidye yazılımı virüsü bulaşmış bir mektubu açtığınızdan şüpheleniyorsanız ancak henüz bulaşma belirtisi yoksa, bilgisayarınızı kapatmayın veya yeniden başlatmayın. Bu kılavuz bölümünde açıklanan adımları izleyin. Bir kez daha, bilgisayarı kapatmamak çok önemlidir, bazı fidye yazılım türlerinde, enfeksiyondan sonra bilgisayar ilk açıldığında dosya şifreleme işlemi etkinleştirilir!

Bir fidye yazılımı virüsü tarafından şifrelenmiş dosyaların şifresi nasıl çözülür?

Bu talihsizlik olduysa, paniğe gerek yok! Ancak çoğu durumda ücretsiz şifre çözücü olmadığını bilmelisiniz. Bunun nedeni, bu tür kötü amaçlı yazılımlar tarafından kullanılan güçlü şifreleme algoritmalarıdır. Bu, özel bir anahtar olmadan dosyaların şifresini çözmenin neredeyse imkansız olduğu anlamına gelir. Anahtarın uzun olması nedeniyle, anahtar seçim yöntemini kullanmak da bir seçenek değildir. Bu nedenle, ne yazık ki, yalnızca virüsün yazarlarına talep edilen miktarın tamamını ödemek, şifre çözme anahtarını almaya çalışmanın tek yoludur.

Elbette, ödeme yapıldıktan sonra virüsün yazarlarının iletişime geçip dosyalarınızın şifresini çözmek için gereken anahtarı sağlayacağının kesinlikle garantisi yoktur. Ek olarak, virüs geliştiricilerine para ödeyerek, onları yeni virüsler oluşturmaya zorladığınızı anlamanız gerekir.

Fidye yazılımı virüsü nasıl kaldırılır?

Bununla devam etmeden önce, virüsü temizlemeye başladığınızda ve dosyaları kendiniz geri yüklemeye çalıştığınızda, virüsün yazarlarına talep ettikleri tutarı ödeyerek dosyaların şifresini çözme yeteneğini engellediğinizi bilmelisiniz.

Kaspersky Virus Removal Tool ve Malwarebytes Anti-malware, farklı türdeki aktif fidye yazılımı virüslerini algılayabilir ve bunları bilgisayarınızdan kolayca kaldırabilir, ancak şifrelenmiş dosyaları kurtaramazlar.

5.1. Kaspersky Virus Removal Tool ile fidye yazılımını kaldırın

Varsayılan olarak, program her tür dosyayı kurtaracak şekilde yapılandırılmıştır, ancak işi hızlandırmak için yalnızca kurtarmanız gereken dosya türlerini bırakmanız önerilir. Seçiminizi tamamladığınızda OK düğmesine basın.

QPhotoRec penceresinin altında, Gözat düğmesini bulun ve tıklayın. Kurtarılan dosyaların kaydedileceği bir dizin seçmeniz gerekir. Kurtarma gerektiren şifreli dosyalar içermeyen bir disk kullanmanız önerilir (bir USB flash sürücü veya harici bir sürücü kullanabilirsiniz).

Şifrelenmiş dosyaların orijinal kopyalarını arama ve geri yükleme prosedürünü başlatmak için Ara düğmesini tıklayın. Bu işlem oldukça uzun sürüyor, bu yüzden sabırlı olun.

Arama bittiğinde, Çık düğmesine tıklayın. Şimdi kurtarılan dosyaları kaydetmek için seçtiğiniz klasörü açın.

Klasör, recup_dir.1, recup_dir.2, recup_dir.3 vb. adlı dizinleri içerecektir. Program ne kadar çok dosya bulursa, o kadar çok dizin olacaktır. İhtiyacınız olan dosyaları bulmak için tüm dizinleri tek tek kontrol edin. Çok sayıda kurtarılmış dosya arasından ihtiyacınız olan dosyayı bulmayı kolaylaştırmak için, yerleşik Windows arama sistemini (dosyanın içeriğine göre) kullanın ve ayrıca dizinlerdeki dosyaları sıralama işlevini de unutmayın. QPhotoRec bir dosyayı geri yüklerken bu özelliği geri yüklemeye çalıştığından, dosyanın değiştirildiği tarihi bir sıralama parametresi olarak seçebilirsiniz.

Bir bilgisayara fidye yazılımı virüsünün bulaşması nasıl önlenir?

Modern anti-virüs programlarının çoğu, fidye yazılımı virüslerinin sızmasına ve etkinleştirilmesine karşı zaten yerleşik bir koruma sistemine sahiptir. Bu nedenle, bilgisayarınızda bir virüsten koruma programı yoksa, yüklediğinizden emin olun. Bunu okuyarak nasıl seçeceğinizi öğrenebilirsiniz.

Ayrıca, özel koruyucu programlar vardır. Örneğin, bu CryptoPrevent, daha fazla ayrıntı.

Birkaç son söz

Bu talimatı izleyerek bilgisayarınız fidye yazılımı virüsünden temizlenecektir. Sorularınız varsa veya yardıma ihtiyacınız varsa, lütfen bizimle iletişime geçin.

Farklı şehirlerde ve köylerde seyahat eden bir kişi ister istemez hem hoş hem de artan rahatsızlık, şiddetli keder uyandıran sürprizlerle karşılaşır.

İnternette "seyahat etmeyi" seven bir kullanıcıyı da aynı duygular bekleyebilir. Bazen hoş olmayan sürprizler, tehdit mektupları şeklinde e-postalara uçsa da, kullanıcıların en kısa zamanda okumak istedikleri belgeler, böylece dolandırıcıların ağlarına düşüyor.

İnternette, bilgisayarınızda birden fazla olumsuz görevi yerine getirmek üzere programlanmış inanılmaz sayıda virüsle karşılaşabilirsiniz, bu nedenle dosya ve belge indirmek için güvenli bağlantıları ayırt etmeyi öğrenmek ve bilgisayarınız için açık bir tehlike oluşturanları atlamak önemlidir.

Bir virüsün müdahalesinin olumsuz sonuçlarını yaşamak zorunda kalan talihsizlerden biri olduysanız, bir bilgisayara bulaşmanın nasıl önleneceğine dair bilgileri toplamanın ve ardından düzenlemenin yararlı olduğundan şüpheniz olmasın.

Bilgisayar teknolojisi ortaya çıkar çıkmaz virüsler ortaya çıktı. Her yıl daha fazla virüs çeşidi vardır, bu nedenle kullanıcının yalnızca uzun süredir bilinen virüs taşıyıcısını yok etmesi kolaydır ve %100 yok etme yöntemi bulunmuştur.

Bir kullanıcının ağda yeni ortaya çıkan veya tam ölçekli yıkıcı eylemlerin eşlik ettiği virüs taşıyıcılarına karşı “savaşması” çok daha zordur.

Dosyaları kurtarmanın yolları

Bir virüsün bilgisayardaki dosyaları şifrelediği bir durumda, birçokları için ne yapılması önemli bir konudur. Bunlar amatör fotoğraflarsa ve sizin de kaybıyla yüzleşmek istemiyorsanız, sorunu uzun süre çözmenin yollarını arayabilirsiniz. Bununla birlikte, bir virüs, iş için gerekli olan dosyaları şifrelemişse, ne yapacağını bulma arzusu inanılmaz derecede artar ve ayrıca, yeterince hızlı bir şekilde harekete geçmek istersiniz.

Önceki bir sürümü geri yükleme

Bilgisayarınızda sistem koruması önceden etkinleştirilmişse, “davetsiz bir şifreleyici konuğunun” sizinle ilgilenmeyi başardığı durumlarda bile, bu durumda ne yapacağınızı bilerek belgeleri kurtarmaya devam edebilirsiniz.

Sistem, gölge kopyalarını kullanarak belgeleri geri yüklemenize yardımcı olacaktır. Tabii ki Truva atı da bu tür kopyaları ortadan kaldırmak için çabalarını yönlendiriyor, ancak virüsler yönetici haklarına sahip olmadıkları için bu tür manipülasyonlarda her zaman başarılı olamıyor.

Aşama 1

Bu nedenle, önceki kopyasını kullanarak bir belgeyi geri yüklemek kolaydır. Bunu yapmak için, hasarlı olduğu ortaya çıkan dosyaya sağ tıklayın. Açılan menüden "Özellikler"i seçin. PC ekranınızda dört sekmenin olacağı bir pencere açılacak, son sekmeye "Önceki Sürümler" gitmeniz gerekiyor.

Adım 2

Aşağıdaki pencerede, belgenin mevcut tüm gölge kopyaları listelenecektir, sizin için en uygun seçeneği seçmeniz ve ardından "Geri Yükle" düğmesine tıklamanız yeterlidir.

Ne yazık ki, böyle bir "ambulans", sistem korumasının önceden etkinleştirilmediği bir bilgisayarda uygulanamaz. Bu nedenle, önceden açmanızı öneririz, böylece daha sonra “dirseklerinizi ısırmazsınız”, kendinizi bariz bir itaatsizlikle suçlarsınız.

Aşama 3

Bir bilgisayarda sistem korumasını etkinleştirmek de kolaydır, fazla zamanınızı almaz. Bu nedenle tembelliğinizi, inatçılığınızı uzaklaştırın ve bilgisayarınızın Truva atlarına karşı daha az savunmasız olmasına yardımcı olun.

"Bilgisayar" simgesine sağ tıklayın, "Özellikler" i seçin. Açılan pencerenin sol tarafında, "Sistem Koruması" satırını bulan bir liste olacak, üzerine tıklayın.

Şimdi, bir disk seçmenizin isteneceği bir pencere tekrar açılacaktır. Yerel sürücü "C" vurgulanmış durumdayken, "Yapılandır" düğmesini tıklayın.

4. Adım

Şimdi kurtarma seçenekleri sunan bir pencere açılacaktır. Sistem ayarlarını ve belgelerin önceki sürümlerini geri yüklemeyi içeren ilk seçeneği kabul etmeniz gerekir. Son olarak, geleneksel "Tamam" düğmesini tıklayın.

Tüm bu manipülasyonları önceden yaptıysanız, bir Truva atı bilgisayarınızı ziyaret edip dosyaları şifrelese bile, önemli bilgilerin kurtarılması için mükemmel tahminlere sahip olacaksınız.

En azından bilgisayarınızdaki tüm dosyaların şifreli olduğunu fark ettiğinizde paniklemezsiniz, bu durumda zaten tam olarak ne yapacağınızı bileceksiniz.

yardımcı programları kullanma

Birçok antivirüs şirketi, virüsler belgeleri şifrelerken kullanıcıları sorunla baş başa bırakmaz. Kaspersky Lab ve Doctor Web, bu tür sorunlu durumların ortadan kaldırılmasına yardımcı olmak için özel yardımcı programlar geliştirmiştir.

Bu nedenle, bir fidye yazılımı ziyaretinin korkunç izlerini bulursanız Kaspersky RectorDecryptor yardımcı programını kullanmayı deneyin.

Yardımcı programı bilgisayarda çalıştırın, şifrelenmiş dosyanın yolunu belirtin. Yardımcı programın doğrudan ne yapması gerektiğini anlamak zor değil. Birden çok seçeneği sıralayarak dosyanın şifresini çözmek için anahtarı bulmaya çalışıyor. Ne yazık ki, böyle bir işlem çok uzun olabilir ve zaman çerçevesi açısından birçok kullanıcı için uygun olmayabilir.

Özellikle, doğru anahtarın seçilmesi yaklaşık 120 gün sürebilir. Aynı zamanda, şifre çözme işlemini kesintiye uğratmanın tavsiye edilmediğini anlamalısınız, bu nedenle bilgisayarı kapatamazsınız.

Kaspersky Lab ayrıca başka yardımcı programlar da sunar:

• XoristDecryptor;
• RakhniDecryptor;
• fidye yazılımı şifre çözücü.

Bu yardımcı programlar, diğer fidye yazılımı Truva atlarının kötü niyetli faaliyetlerinin sonuçlarını hedefler. Özellikle, Ransomware Decryptor yardımcı programı, henüz İnternete saldırmaya ve kullanıcıların bilgisayarlarına sızmaya başlayan CoinVault ile mücadele etmeyi amaçladığından, çoğu kişi tarafından hala bilinmiyor.

Doctor Web'in geliştiricileri de boşta değiller, bu nedenle yardımcı programlarını kullanıcılara sunuyorlar ve bu sayede bir bilgisayardaki şifreli belgeleri kurtarmaya çalışabiliyorlar.

C sürücüsünde herhangi bir klasör oluşturun, bunun için basit bir ad bulun. Bu klasörde, şirketin resmi web sitesinden indirilen yardımcı programı açın.

Artık soruna pratik bir çözüm için kullanabilirsiniz. Bunu yapmak için komut satırını çalıştırın, içine "cd c:\XXX" yazın, burada XXX yerine yardımcı programı yerleştirdiğiniz klasörün adını yazın.

"Dosyalarım" yerine, hasarlı belgelerin bulunduğu klasörün adı yazılmalıdır.

Şimdi yardımcı program başlayacak ve tedavi süreci başlayacak, başarılı bir şekilde tamamlandıktan sonra neyin kurtarıldığını gösteren bir rapor bulacaksınız. Bu arada, program şifrelenmiş dosyaları silmez, ancak geri yüklenen sürümü yanlarına kaydeder.

Ne yazık ki, bu Doctor Web aracı bile sizin tarafınızdan sihirli bir değnek olarak görülemez, aynı zamanda her şeyi yapamaz.

Enfeksiyon durumunda ne yapılması gerektiği, birçoğu zaten anlamış olabilir, ancak deneyimli kullanıcılar, belgelerin kurtarma şansı sıfıra eşit olduğunda daha ciddi sonuçlara yol açmamak için ne yapılması gerektiği hakkında bilgi almanın kategorik olarak önerilmediğini tavsiye eder.

İşletim sistemini bilgisayara yeniden yükleyemezsiniz. Bu durumda zararlıyı ortadan kaldırabilirsiniz ancak belgeleri kesinlikle çalışır duruma getiremezsiniz.

Kayıt defterini temizlemekten, bilgisayardaki geçici dosyaları silmekten sorumlu programları çalıştıramazsınız.

Virüslü belgelerin kolayca silinebileceği anti-virüs taraması yapılması önerilmez. Biraz aptalsanız ve antivirüsünüzü panik içinde başlatıyorsanız, en azından virüslü tüm dosyaların silinmediğinden, yalnızca karantinaya alındığından emin olun.

Gelişmiş bir kullanıcıysanız, bilgisayarınızdaki şifreleme işlemini tüm dosya ve belgelere yayılana kadar kesebilirsiniz. Bunu yapmak için "Görev Yöneticisi" ni başlatın ve işlemi durdurun. Deneyimsiz bir kullanıcının hangi işlemin virüsle ilgili olduğunu anlaması olası değildir.

Bilgisayarın İnternet bağlantısını kesmek yararlıdır. Bu bağlantı koparsa, çoğu durumda bilgisayardaki dosya ve belgeleri şifreleme işlemi de kesintiye uğrar.

Böylece, bir fidye yazılımı truva atı ziyareti tespit edildiğinde ne yapacağınızı çok iyi bilerek, başarı ümidi olan adımlar atabilirsiniz. Ek olarak, bir virüs tarafından şifrelenen dosyaların şifresinin nasıl çözüleceği hakkında bilgi aldıktan sonra, sorunu kendiniz çözmeyi deneyebilir ve yeniden ortaya çıkmasını önleyebilirsiniz.