Kako dešifrirati zaključane datoteke. Kaspersky Virus Removal Tool za uklanjanje XTBL ransomware-a

12.05.2019 Greške

Ako je sistem zaražen malverom porodice Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX, tada će sve datoteke na računaru biti šifrirane na sljedeći način:

Kada je zaražen Trojan-Ransom.Win32.Rannoh imena i ekstenzije će se promijeniti u obrazac zaključano-<оригинальное_имя>.<4 произвольных буквы> .
Kada je zaražen Trojan-Ransom.Win32.Cryakl oznaka se dodaje na kraj sadržaja datoteke (CRYPTENDBLACKDC) .
Kada je zaražen Trojan-Ransom.Win32.AutoIt ekstenzija mijenja veličinu prema uzorku <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
Na primjer, [email protected] _.RZWDTDIC.
Kada je zaražen Trojan-Ransom.Win32.CryptXXX ekstenzija se mijenja prema predlošcima <оригинальное_имя>.crypt,<оригинальное_имя>. crypz i <оригинальное_имя>. cryp1.

Uslužni program RannohDecryptor dizajniran je za dešifriranje datoteka nakon infekcije Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX verzije 1 , 2 i 3 .

Kako izliječiti sistem

Za dezinfekciju zaraženog sistema:

Preuzmite datoteku RannohDecryptor.zip.
Pokrenite datoteku RannohDecryptor.exe na zaraženom računaru.
U glavnom prozoru kliknite Započnite provjeru.

Navedite putanju do šifrirane i nešifrirane datoteke.
Ako je datoteka šifrirana Trojan-Ransom.Win32.CryptXXX, navedite datoteke najveće veličine. Dešifriranje će biti dostupno samo za datoteke jednake ili manje veličine.
Pričekajte do kraja pretraživanja i dešifriranja šifriranih datoteka.
Ponovo pokrenite računar ako je potrebno.
Za brisanje kopije šifriranih datoteka obrasca zaključano-<оригинальное_имя>.<4 произвольных буквы> nakon uspješnog dešifriranja, odaberite.

Ako je datoteka šifrirana Trojan-Ransom.Win32.Cryakl, tada će uslužni program spremiti datoteku na staru lokaciju s ekstenzijom .decryptedKLR.original_extension... Ako ste izabrali Izbrišite šifrirane datoteke nakon uspješnog dešifriranja, tada će uslužni program sačuvati dešifrovanu datoteku pod njenim originalnim imenom.

Po defaultu, uslužni program šalje izvještaj o svom radu u korijen sistemskog diska (disk na kojem je OS instaliran).
Naziv izvještaja je sljedeći: UtilityName.Version_Date_Time_log.txt
Na primjer, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Na zaraženom sistemu Trojan-Ransom.Win32.CryptXXX, uslužni program skenira ograničen broj formata datoteka. Kada korisnik odabere datoteku na koju utiče CryptXXX v2, oporavak ključa može potrajati dugo. U tom slučaju, uslužni program prikazuje upozorenje.

Činjenica da je internet pun virusa danas nikoga ne iznenađuje. Mnogi korisnici percipiraju situacije vezane za njihov uticaj na sisteme ili lične podatke, najblaže rečeno, zatvarajući oči, ali samo dok se virus šifrovanja posebno ne nastani u sistemu. Većina običnih korisnika ne zna kako izliječiti i dešifrirati podatke pohranjene na tvrdom disku. Stoga se ovaj kontingent „vodi“ na zahtjeve koje postavljaju napadači. Ali hajde da vidimo šta možete da uradite ako se otkrije takva pretnja ili da je sprečite da uđe u sistem.

Šta je ransomware virus?

Ova vrsta prijetnje koristi standardne i nestandardne algoritme za šifriranje datoteka koji u potpunosti mijenjaju njihov sadržaj i blokiraju pristup. Na primjer, biće apsolutno nemoguće otvoriti šifriranu tekstualnu datoteku za čitanje ili uređivanje, kao i za reprodukciju multimedijalnog sadržaja (grafika, video ili audio) nakon izlaganja virusu. Čak ni standardne operacije za kopiranje ili premještanje objekata nisu dostupne.

Samo softversko punjenje virusa je sredstvo koje šifrira podatke na takav način da nije uvijek moguće vratiti njihovo prvobitno stanje čak ni nakon uklanjanja prijetnje iz sistema. Obično takvi zlonamjerni programi kreiraju vlastite kopije i nastanjuju se vrlo duboko u sistemu, tako da virus šifriranja datoteka ponekad može biti potpuno nemoguće ukloniti. Deinstaliranjem glavnog programa ili brisanjem glavnog tijela virusa, korisnik se ne oslobađa utjecaja prijetnje, a kamoli vraća šifrirane informacije.

Kako prijetnja ulazi u sistem?

Po pravilu, prijetnje ovog tipa uglavnom su usmjerene na velike komercijalne strukture i mogu prodrijeti u kompjutere putem mail programa kada zaposlenik otvori navodno priloženi dokument u e-mailu, koji je, recimo, dodatak nekoj vrsti ugovora o saradnji ili plan nabavke robe (komercijalne ponude sa investicijama iz sumnjivih izvora su prvi put za virus).

Nevolja je u tome što se ransomware virus na računaru koji ima pristup lokalnoj mreži i u njemu može prilagoditi, stvarajući vlastite kopije ne samo u umreženom okruženju, već i na administratorskom terminalu, ako mu nedostaje potrebna zaštita u oblik antivirusnog softvera, firewall ili firewall.

Ponekad takve prijetnje mogu prodrijeti i u kompjuterske sisteme običnih korisnika, koji uglavnom nisu od interesa za sajber kriminalce. To se događa u vrijeme instalacije nekih programa preuzetih sa sumnjivih Internet resursa. Mnogi korisnici pri pokretanju preuzimanja zanemaruju upozorenja sistema antivirusne zaštite, a tokom procesa instalacije ne obraćaju pažnju na sugestije za instaliranje dodatnog softvera, panela ili dodataka za pretraživače, a zatim, kako oni recimo, grize ih za laktove.

Raznolikost virusa i malo istorije

U osnovi, prijetnje ovog tipa, posebno najopasniji ransomware virus No_more_ransom, ne klasificiraju se samo kao alati za šifriranje podataka ili blokiranje pristupa njima. Zapravo, sve takve zlonamjerne aplikacije su klasificirane kao ransomware. Drugim riječima, sajber kriminalci zahtijevaju određenu svotu novca za dešifriranje informacija, vjerujući da će ovaj proces biti nemoguće izvesti bez početnog programa. Ovo je djelimično slučaj.

Ali ako zadubite u istoriju, primijetit ćete da je jedan od prvih virusa ovog tipa, iako nije nametao novčane zahtjeve, bio zloglasni aplet I Love You, koji je u potpunosti šifrirao multimedijalne datoteke (uglavnom muzičke numere) u korisničkim sistemima. . Dešifriranje datoteka nakon ransomware virusa pokazalo se nemogućim u to vrijeme. Sada se s tom prijetnjom može riješiti na elementaran način.

Ali razvoj samih virusa ili korištenih algoritama šifriranja ne miruje. Šta nedostaje među virusima - ovdje imate XTBL, i CBF, i Breaking_Bad, i [email protected], i gomila drugih gadnih stvari.

Tehnika uticaja na korisničke fajlove

I ako je donedavno većina napada vršena korištenjem RSA-1024 algoritama baziranih na AES enkripciji sa istom bitnošću, isti No_more_ransom ransomware virus danas je predstavljen u nekoliko interpretacija, koristeći ključeve za šifriranje bazirane na RSA-2048, pa čak i RSA-3072 tehnologijama.

Problemi dešifriranja za korištene algoritme

Problem je u tome što su savremeni sistemi za dešifrovanje nemoćni pred takvom opasnošću. Dešifriranje datoteka nakon virusa ransomwarea baziranog na AES256 još uvijek je donekle podržano, a uz veću brzinu prijenosa ključa, gotovo svi programeri samo sliježu ramenima. Ovo su, inače, službeno potvrdili stručnjaci iz Kaspersky Lab-a i Eset-a.

U najprimitivnijoj verziji, od korisnika koji se obratio službi podrške traži se da pošalje šifriranu datoteku i njen original radi upoređivanja i daljnjih operacija za određivanje algoritma šifriranja i metoda oporavka. Ali, u pravilu, u većini slučajeva to ne funkcionira. Ali ransomware virus može sam da dešifruje fajlove, kako se veruje, pod uslovom da žrtva pristane na uslove napadača i plati određeni iznos u novčanom smislu. Međutim, takva formulacija pitanja izaziva opravdane sumnje. I zato.

Enkripcijski virus: kako izliječiti i dešifrirati datoteke i može li se to učiniti?

Nakon izvršene uplate, kaže se da hakeri aktiviraju dešifriranje putem daljinskog pristupa svom virusu koji se nalazi na sistemu ili putem dodatnog apleta ako je tijelo virusa uklonjeno. Izgleda više nego sumnjivo.

Napominjem i činjenicu da je internet pun lažnih postova u kojima se navodi da je, kažu, uplaćena potrebna suma, a podaci su uspješno vraćeni. Ovo je sve laž! I zaista - gdje je garancija da se nakon plaćanja virus šifriranja u sistemu neće ponovo aktivirati? Nije teško razumjeti psihologiju provalnika: ako platiš jednom, platiš ponovo. A ako je riječ o posebno važnim informacijama poput konkretnih komercijalnih, naučnih ili vojnih dešavanja, vlasnici takvih informacija spremni su da plate koliko je potrebno, kako bi dosijei ostali netaknuti i sigurni.

Prvi lijek za uklanjanje prijetnje

Ovo je priroda ransomware virusa. Kako dezinficirati i dešifrirati datoteke nakon što su bili izloženi prijetnji? Da, nema šanse, ako nema alata pri ruci, koji također ne pomažu uvijek. Ali možete pokušati.

Pretpostavimo da se na sistemu pojavio ransomware virus. Kako da dezinficiram zaražene datoteke? Prvo, trebalo bi da izvršite dubinsko skeniranje sistema bez upotrebe S.M.A.R.T. tehnologije, koja detektuje pretnje samo kada su boot sektori i sistemski fajlovi oštećeni.

Preporučljivo je ne koristiti postojeći standardni skener, koji je već propustio prijetnju, već koristiti prijenosne uslužne programe. Najbolja opcija bi bila pokretanje sa Kaspersky Rescue Disk, koji može da se pokrene čak i pre nego što operativni sistem počne da radi.

Ali ovo je samo pola bitke, jer se na ovaj način možete riješiti samo samog virusa. Ali s dekoderom će biti teže. Ali više o tome kasnije.

Postoji još jedna kategorija u koju spadaju ransomware virusi. Kako dešifrirati informacije bit će rečeno odvojeno, ali za sada se zadržimo na činjenici da oni mogu potpuno otvoreno postojati u sistemu u obliku službeno instaliranih programa i aplikacija (drskost napadača nema granica, jer prijetnja postoji čak ni ne pokušava da se preruši).

U tom slučaju, trebali biste koristiti odjeljak programa i komponenti gdje se vrši standardna deinstalacija. Međutim, također treba obratiti pažnju na činjenicu da standardni Windows deinstalator ne briše u potpunosti sve programske datoteke. Konkretno, ransom ransomware virus je u stanju da kreira sopstvene fascikle u osnovnim direktorijumima sistema (obično su to Csrss direktorijumi, gde je prisutna izvršna datoteka csrss.exe istog imena). Windows, System32 ili korisnički direktoriji (Korisnici na sistemskom disku) su odabrani kao glavna lokacija.

Osim toga, No_more_ransom ransomware virus upisuje svoje ključeve u registar u obliku veze naizgled ka službenoj sistemskoj usluzi Client Server Runtime Subsystem, što je za mnoge obmanjujuće, budući da bi ovaj servis trebao biti odgovoran za interakciju između klijentskog i serverskog softvera. . Sam ključ se nalazi u folderu Run, do kojeg se može doći preko HKLM grane. Jasno je da ćete morati ručno izbrisati takve ključeve.

Da biste to olakšali, možete koristiti uslužne programe kao što je iObit Uninstaller, koji automatski traže preostale datoteke i ključeve registratora (ali samo ako je virus vidljiv na sistemu kao instalirana aplikacija). Ali ovo je najjednostavnija stvar.

Rješenja koja nude programeri antivirusnog softvera

Vjeruje se da se dešifriranje ransomware virusa može obaviti pomoću posebnih uslužnih programa, iako ako imate tehnologije s ključem od 2048 ili 3072 bita, ne biste se trebali oslanjati na njih (osim toga, mnogi od njih brišu datoteke nakon dešifriranja, a zatim vraćene datoteke nestaju zbog greške prisustva tijela virusa koje prije nije uklonjeno).

Ipak, možete pokušati. Od svih programa vrijedi istaknuti RectorDecryptor i ShadowExplorer. Vjeruje se da ništa bolje do sada nije stvoreno. Ali problem može biti i to što kada pokušate koristiti dešifriranje, nema garancije da datoteke koje se dezinficiraju neće biti izbrisane. Odnosno, ako se u početku ne riješite virusa, svaki pokušaj dešifriranja bit će osuđen na neuspjeh.

Osim brisanja šifriranih informacija, to može biti i kobno - cijeli sistem će biti nefunkcionalan. Osim toga, moderni ransomware virus može utjecati ne samo na podatke pohranjene na tvrdom disku računara, već i na datoteke u skladištu u oblaku. I ovdje nema rješenja za vraćanje informacija. Osim toga, kako se ispostavilo, mnoge usluge poduzimaju nedovoljno efikasne mjere zaštite (isti ugrađeni OneDrive u Windows 10, koji je izložen direktno iz operativnog sistema).

Radikalno rješenje problema

Kao što je već jasno, većina modernih metoda ne daje pozitivan rezultat kada je zaražena takvim virusima. Naravno, ako postoji original oštećene datoteke, može se poslati na ispitivanje u antivirusnu laboratoriju. Istina, postoje i vrlo ozbiljne sumnje da će običan korisnik kreirati rezervne kopije podataka koji, kada se pohranjuju na hard disk, također mogu biti izloženi zlonamjernom kodu. A o činjenici da korisnici kopiraju informacije na prenosivi medij, kako bi izbjegli nevolje, uopće ne govorimo.

Stoga se za radikalno rješenje problema nameće zaključak: potpuno formatiranje tvrdog diska i svih logičkih particija uz brisanje informacija. Pa šta da radimo? Morat ćete donirati ako ne želite da se virus ili njegova samosčuvana kopija ponovo aktiviraju u sistemu.

Da biste to učinili, ne biste trebali koristiti alate samih Windows sistema (mislim na formatiranje virtuelnih particija, jer će se prilikom pokušaja pristupa sistemskom disku izdati zabrana). Bolje je koristiti pokretanje s optičkih medija kao što su LiveCD-ovi ili instalacijske distribucije, poput onih kreiranih pomoću alata za kreiranje medija za Windows 10.

Prije početka formatiranja, pod uvjetom da je virus uklonjen iz sistema, možete pokušati vratiti integritet komponenti sistema putem komandne linije (sfc / scannow), ali to neće imati efekta u smislu dešifriranja i otključavanja podataka. Stoga je format c: jedino ispravno moguće rješenje, sviđalo se to vama ili ne. Ovo je jedini način da se u potpunosti riješite ove vrste prijetnji. Avaj, nema drugog načina! Čak je i tretman standardnim alatima koje nudi većina antivirusnih paketa nemoćan.

Umjesto pogovora

U smislu sugeriranja zaključaka, možemo samo reći da danas ne postoji jedinstveno i univerzalno rješenje za otklanjanje posljedica utjecaja ovakvih prijetnji (nažalost, ali činjenica – to potvrđuje većina programera i stručnjaka za antivirusni softver u oblasti kriptografije).

Ostaje nejasno zašto su pojavu algoritama baziranih na 1024-, 2048- i 3072-bitnoj enkripciji prošli oni koji su direktno uključeni u razvoj i implementaciju ovakvih tehnologija? Zaista, danas se algoritam AES256 smatra najperspektivnijim i najsigurnijim. Biljeska! 256! Ovaj sistem, kako se ispostavilo, nije pogodan za moderne viruse. Što onda možemo reći o pokušajima dešifriranja njihovih ključeva?

Kako god bilo, prilično je lako izbjeći uvođenje prijetnje u sistem. U najjednostavnijem slučaju, sve dolazne poruke sa prilozima u Outlooku, Thunderbirdu i drugim mail klijentima treba skenirati antivirusom odmah nakon prijema i ni u kom slučaju ne otvarati priloge dok se skeniranje ne završi. Također treba pažljivo pročitati prijedloge za instaliranje dodatnog softvera prilikom instaliranja nekih programa (obično su napisani vrlo sitnim slovima ili maskirani kao standardni dodaci poput ažuriranja Flash Player-a ili nečeg drugog). Bolje je ažurirati medijske komponente putem službenih stranica. Ovo je jedini način da barem nekako spriječite prodor ovakvih prijetnji u vlastiti sistem. Posljedice mogu biti potpuno nepredvidive s obzirom da se virusi ovog tipa trenutno šire po lokalnoj mreži. A za kompaniju se takav razvoj događaja može pretvoriti u pravi kolaps svih poduhvata.

Konačno, administrator sistema ne bi trebao sjediti besposlen. U takvoj situaciji bolje je isključiti sredstva softverske zaštite. Isti firewall (firewall) ne bi trebao biti softver, već "hardver" (naravno, sa pratećim softverom na ploči). A, podrazumjeva se da se ne isplati štedjeti ni na kupovini antivirusnih paketa. Bolje je kupiti licencirani paket, a ne instalirati primitivne programe koji navodno pružaju zaštitu u stvarnom vremenu samo od riječi programera.

A ako je prijetnja već ušla u sistem, redoslijed radnji trebao bi uključivati uklanjanje samog tijela virusa, a tek onda pokušaje dešifriranja oštećenih podataka. Idealno - potpuno formatiranje (imajte na umu, ne brzo sa brisanjem sadržaja, već potpuno formatiranje, po mogućnosti sa vraćanjem ili zamjenom postojećeg sistema datoteka, sektora za pokretanje i zapisa).

Uslužni program Kaspresky RakhniDecryptor će dešifrirati datoteke čije su ekstenzije promijenjene prema sljedećim obrascima:

Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.locked;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.mrak;
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.nema šanse;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>.crypto;
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>.p *** [email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id373;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id371;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id372;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id374;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id375;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id376;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id392;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id357;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id356;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id358;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id359;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id360;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id20.

Trojan-Ransom.Win32.Rakhni kreira datoteku exit.hhr.oshit, koja sadrži šifrovanu lozinku iz korisničkih datoteka. Ako je ova datoteka sačuvana na zaraženom računaru, dešifrovanje će biti mnogo brže. Ako je datoteka exit.hhr.oshit izbrisana, vratite je pomoću programa za oporavak izbrisanih datoteka, a zatim je stavite u mapu% APPDATA% i ponovo pokrenite provjeru uslužnog programa. Datoteku exit.hhr.oshit možete pronaći na sljedećoj putanji: C: \ Korisnici<имя_пользователя>\ AppData \ Roaming

Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_crypt.
Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email protected] _. slova>.
Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.cry;
- <имя_файла>.<оригинальное_расширение>.AES256.
Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.encrypted.
Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
Trojan-Ransom.Win32.Bitman verzija 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.micro;
- <имя_файла>.mp3.
Trojan-Ransom.Win32.Bitman verzija 4:<имя_файла>.<оригинальное_расширение>(ime datoteke i ekstenzija se ne mijenjaju).
Trojan-Ransom.Win32.Libra:
- <имя_файла>.encrypted;
- <имя_файла>.locked;
- <имя_файла>.SecureCrypted.
Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.zabava;
- <имя_файла>.gws;
- <имя_файла>.btc;
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epski;
- <имя_файла>.encrypted;
- <имя_файла>.J;
- <имя_файла>.payransom;
- <имя_файла>.paybtcs;
- <имя_файла>.paymds;
- <имя_файла>.paymrss;
- <имя_файла>.paymrts;
- <имя_файла>.paymst;
- <имя_файла>.paymts;
- <имя_файла>.gefickt;
- <имя_файла>[email protected]
Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.@..xtbl;
- <имя_файла>.ID<…>.@..CrySiS;
- <имя_файла>.id-<…>.@..xtbl;
- <имя_файла>.id-<…>.@..wallet;
- <имя_файла>.id-<…>.@..dhrama;
- <имя_файла>.id-<…>.@..luk;
- <имя_файла>.@..wallet;
- <имя_файла>.@..dhrama;
- <имя_файла>.@..luk.

Primjeri nekih zlonamjernih adresa distributera:

Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email protected]
Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.bloked;
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smit;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.criptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.cripted;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.criptiks;
- <имя_файла>.<оригинальное_расширение>.cripttt;
- <имя_файла>.<оригинальное_расширение>.ovdje;
- <имя_файла>.<оригинальное_расширение>.aga.
Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.PLAGUE17;
- <имя_файла>.<оригинальное_расширение>.ktldll.
Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected] _.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected] ____ kripta;
- <имя_файла>.<оригинальное_расширение>[email protected] ________ kripta;
- <имя_файла>.<оригинальное_расширение>[email protected] ___.kripta;
- <имя_файла>.<оригинальное_расширение>[email protected]==.kripta;
- <имя_файла>.<оригинальное_расширение>[email protected]= -.kripta.

Ako je datoteka šifrirana ekstenzijom CRYPT, dešifriranje može potrajati dugo. Na primjer, na Intel Core i5-2400 procesoru može potrajati oko 120 dana.

Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.crypt;
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.lock;
- <имя_файла>[email protected] _hu;
- <имя_файла>[email protected];
- <имя_файла>~ xdata.
Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

Verzija zlonamjernog softvera	Adresa elektronske pošte napadača
	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
	[email protected] _graf1 [email protected] _mod [email protected] _mod2
	[email protected] [email protected]
	[email protected]
	[email protected] [email protected][email protected] [email protected]

Kako dešifrirati datoteke koristeći Kaspersky RakhniDecryptor uslužni program

Preuzmite arhivu RakhniDecryptor.zip i raspakujte je. Upute u članku.
Idite u fasciklu sa fajlovima iz arhive.
Pokrenite datoteku RakhniDecryptor.exe.
Kliknite na Promijenite parametre skeniranja.

Odaberite objekte za skeniranje: tvrdi diskovi, prenosivi diskovi ili mrežni diskovi.
Označite polje Izbrišite šifrirane datoteke nakon uspješnog dešifriranja... U tom slučaju, uslužni program će izbrisati kopije šifriranih datoteka s dodijeljenim ekstenzijama LOCKED, KRAKEN, DARKNESS, itd.
Kliknite na uredu.

Kliknite na Započnite provjeru.

Odaberite šifriranu datoteku i kliknite Otvori.

Pročitajte upozorenje i kliknite uredu.

Fajlovi će biti dešifrovani.

Datoteka se može šifrirati ekstenzijom CRYPT više puta. Na primjer, ako je test.doc datoteka šifrirana dva puta, prvi sloj uslužnog programa RakhniDecryptor će dešifrirati u test.1.doc.layerDecryptedKLR datoteku. Sljedeći unos će se pojaviti u izvještaju o radu uslužnog programa: "Uspješno dešifriranje: disk: \ put \ test.doc_crypt -> pogon: \ staza \ test.1.doc.layerDecryptedKLR". Uslužni program mora ponovo dešifrirati ovu datoteku. Ako je dešifriranje uspješno, datoteka će biti ponovo sačuvana sa originalnim imenom test.doc.

Parametri za pokretanje uslužnog programa iz komandne linije

Za praktičnost i ubrzanje procesa dešifriranja datoteka, Kaspersky RakhniDecryptor podržava sljedeće parametre komandne linije:

Ime tima	Značenje	Primjer
– Niti	Pokretanje uslužnog programa sa pogađanjem lozinke u nekoliko niti. Ako ovaj parametar nije naveden, broj niti je jednak broju procesorskih jezgri.	RakhniDecryptor.exe – niti 6
– Počni<число>–Kraj<число>	Nastavak pogađanja lozinke iz određenog stanja. Minimalni broj je 0. Zaustavite brute-force lozinku u određenom stanju. Maksimalni broj je 1.000.000. Pogađanje lozinke u rasponu između dva stanja.	RakhniDecryptor.exe – početak 123 RakhniDecryptor.exe – kraj 123 RakhniDecryptor.exe – početak 100 – kraj 50.000
-l<название файла с указанием полного пути к нему>	Određivanje putanje do datoteke u koju treba pohraniti izvještaj o radu pomoćnog programa.	RakhniDecryptor.exe -l C: Korisnici \ Administrator \ RakhniReport.txt
-h	Prikaži pomoć o dostupnim parametrima komandne linije	RakhniDecryptor.exe -h

Sami po sebi, virusi kao kompjuterska prijetnja danas nikoga ne iznenađuju. Ali ako su ranije utjecali na sistem u cjelini, uzrokujući kvarove u njegovom radu, danas, s pojavom takve vrste kao što je ransomware virus, radnje infiltrirajuće prijetnje tiču se više korisničkih podataka. To je možda čak i veća prijetnja od izvršnih aplikacija koje uništavaju Windows ili špijunskih apleta.

Šta je ransomware virus?

Sam po sebi, kod napisan u samokopirajućem virusu pretpostavlja šifriranje gotovo svih korisničkih podataka posebnim kriptografskim algoritmima, bez utjecaja na sistemske datoteke operativnog sistema.

U početku, logika uticaja virusa mnogima nije bila sasvim jasna. Sve je postalo jasno tek kada su hakeri koji su kreirali takve aplete počeli tražiti novac za vraćanje početne strukture datoteka. Istovremeno, sam virus za šifriranje ne dozvoljava dešifriranje datoteka zbog svojih posebnosti. Da biste to učinili, potreban vam je poseban dešifrator, ako želite, šifra, lozinka ili algoritam potreban za vraćanje željenog sadržaja.

Princip prodiranja u sistem i rad virusnog koda

U pravilu je prilično teško "pokupiti" takvu prljavštinu na internetu. Glavni izvor širenja "zaraze" je e-pošta na nivou programa instaliranih na određenom računarskom terminalu kao što su Outlook, Thunderbird, The Bat, itd. imaju dovoljno visok stepen zaštite, a pristup korisničkim podacima moguć je samo na nivou

Druga stvar je aplikacija na kompjuterskom terminalu. Ovdje je polje djelovanja virusa toliko široko da je to nemoguće zamisliti. Istina, ovdje je također vrijedno rezervirati: u većini slučajeva virusi su usmjereni na velike kompanije, od kojih možete "otrgnuti" novac za davanje koda za dešifriranje. To je razumljivo, jer ne samo na lokalnim računarskim terminalima, već i na serverima takvih kompanija, ne samo u potpunosti, već i datoteke, da tako kažem, u jednoj kopiji, ni u kom slučaju ne podliježu uništavanju, mogu se pohraniti. A onda dešifriranje datoteka nakon ransomware virusa postaje prilično problematično.

Naravno, i običan korisnik može biti podložan takvom napadu, ali u većini slučajeva to je malo vjerojatno ako slijedite najjednostavnije preporuke za otvaranje priloga s ekstenzijama nepoznatog tipa. Čak i ako mail klijent definiše prilog sa ekstenzijom .jpg kao standardni grafički fajl, prvo ga mora proveriti sa standardnim instaliranim u sistemu.

Ako se to ne učini, kada ga otvorite dvostrukim klikom (standardna metoda), pokrenut će se aktivacija koda i započeti proces enkripcije, nakon čega isti Breaking_Bad (virus šifriranja) neće samo biti nemoguće izbrisati, ali datoteke se neće moći vratiti nakon što je prijetnja eliminisana.

Opće posljedice prodora svih virusa ovog tipa

Kao što je već spomenuto, većina virusa ovog tipa ulazi u sistem putem e-pošte. Pa, recimo, u velikoj organizaciji, određena preporučena pošta dobije pismo sa sadržajem „Promenili smo ugovor, skenirajte u prilogu“ ili „Poslana vam je faktura za otpremu robe (kopija je tamo)". Naravno, zaposlenik koji ništa ne sumnja otvara fajl i...

Svi korisnički fajlovi na nivou kancelarijskih dokumenata, multimedije, specijalizovanih AutoCAD projekata ili bilo kojih drugih arhivskih podataka se trenutno šifruju, a ako je računarski terminal u lokalnoj mreži, virus se može dalje prenositi, šifrujući podatke na drugim mašinama (ovo postaje vidljivo odmah nakon "usporavanja" sistema i zamrzavanja programa ili trenutno pokrenutih aplikacija).

Na kraju procesa enkripcije, sam virus, po svemu sudeći, šalje svojevrsni izvještaj, nakon čega kompanija može dobiti poruku da je takva i takva prijetnja ušla u sistem i da je samo takva i takva organizacija može dešifrirati. . Obično se radi o virusu [email protected] Slijedi zahtjev za plaćanjem usluga dešifriranja uz prijedlog slanja nekoliko fajlova na e-mail klijenta, koji je najčešće fiktivan.

Šteta od izlaganja kodu

Ako netko još nije shvatio: dešifriranje datoteka nakon ransomware virusa prilično je naporan proces. Čak i ako vas ne “navedu” na zahtjeve sajber-kriminalaca i ne pokušate koristiti službene vladine strukture za borbu protiv kompjuterskog kriminala i njihovo sprječavanje, obično od toga neće biti ništa dobro.

Ako izbrišete sve datoteke, proizvedete pa čak i kopirate originalne podatke sa prenosivog medija (naravno, ako postoji takva kopija), svejedno, kada se virus aktivira, sve će biti ponovo šifrirano. Dakle, ne treba se laskati, pogotovo jer kada isti fleš disk ubacite u USB port, korisnik neće ni primijetiti kako virus šifrira podatke na njemu. Tada sigurno nećete zaobići probleme.

Prvorođenče u porodici

Skrenimo pažnju na prvi ransomware virus. Kako izliječiti i dešifrirati datoteke nakon izlaganja izvršnom kodu priloženom u prilogu e-pošte s ponudom za upoznavanje, u trenutku njegovog pojavljivanja, niko još nije razmišljao. Svest o razmerama katastrofe došla je tek s vremenom.

Taj virus je imao romantično ime "Volim te". Nesuđeni korisnik otvorio je prilog u e-poruci i primio potpuno nemoguće multimedijalne datoteke (grafike, video i audio). Tada su, međutim, takve radnje izgledale destruktivnije (nanošenje štete medijskim bibliotekama korisnika), a za to niko nije tražio novac.

Najnovije modifikacije

Kao što možete vidjeti, evolucija tehnologije postala je prilično profitabilan posao, pogotovo ako se uzme u obzir da mnogi čelnici velikih organizacija odmah trče da plate akcije dešifriranja, potpuno ne razmišljajući o tome da mogu izgubiti i novac i informacije.

Usput, ne gledajte sve ove "lijeve" postove na internetu, oni kažu: "Uplatio sam/platio potreban iznos, poslali su mi kod, sve je vraćeno." Gluposti! Sve ovo pišu programeri virusa kako bi privukli potencijalne, oprostite, "naivčine". Ali, po standardima običnog korisnika, iznosi za plaćanje su prilično ozbiljni: od stotina do nekoliko hiljada ili desetina hiljada evra ili dolara.

Pogledajmo sada najnovije tipove virusa ovog tipa koji su zabilježeni relativno nedavno. Svi su praktički slični i spadaju ne samo u ransomware kategoriju, već i u grupu tzv. ransomwarea. U nekim slučajevima se ponašaju ispravnije (kao paycrypt), poput slanja formalnih poslovnih prijedloga ili poruka da je nekome stalo do sigurnosti korisnika ili organizacije. Takav ransomware virus jednostavno obmanjuje korisnika svojom porukom. Ako preduzme i najmanju akciju da plati, sve - "razvod" će biti u potpunosti.

XTBL virus

Relativno noviji se može pripisati klasičnoj verziji ransomwarea. Po pravilu, prodire u sistem putem e-mail poruka koje sadrže priloge u obliku datoteka iz kojih je standardno za Windows screensaver. Sistem i korisnik misle da je sve u redu i aktiviraju pregled ili pohranjivanje priloga.

Nažalost, to dovodi do tužnih posljedica: nazivi datoteka se pretvaraju u skup znakova, a glavnoj ekstenziji se dodaje .xtbl, nakon čega se na željenu e-mail adresu šalje poruka o mogućnosti dešifriranja nakon uplate navedenog iznos (obično 5 hiljada rubalja).

CBF virus

Ova vrsta virusa također spada u klasike žanra. Pojavljuje se u sistemu nakon otvaranja priloga e-pošte, a zatim preimenuje korisničke datoteke, dodajući na kraju ekstenziju poput .nochance ili .perfect.

Nažalost, ovu vrstu ransomware virusa nije moguće dešifrirati kako bi se analizirao sadržaj koda čak ni u fazi njegovog pojavljivanja u sistemu, jer se nakon dovršetka svojih radnji samouništava. Čak ni ono što mnogi vjeruju da je univerzalni alat kao što je RectorDecryptor ne pomaže. Ponovo korisnik dobija pismo sa zahtevom za uplatu, koje mu daje dva dana.

Breaking_Bad virus

Ova vrsta prijetnje funkcionira na isti način, ali standardno preimenuje datoteke dodavanjem .breaking_bad ekstenziji.

Situacija nije ograničena na ovo. Za razliku od prethodnih virusa, ovaj može kreirati još jednu ekstenziju - .Heisenberg, tako da nije uvijek moguće pronaći sve zaražene datoteke. Dakle, Breaking_Bad (virus ransomware) je prilično ozbiljna prijetnja. Usput, postoje slučajevi kada čak i licencirani Kaspersky Endpoint Security 10 paket dozvoljava prolazak ove vrste prijetnji.

Virus [email protected]

Evo još jedne, možda i najozbiljnije prijetnje, koja je uglavnom usmjerena na velike komercijalne organizacije. Po pravilu, nekom odeljenju dolazi pismo koje kao da sadrži izmene ugovora o nabavci, ili čak samo fakturu. Prilog može sadržavati običnu .jpg datoteku (kao što je slika), ali češće izvršni script.js (Java aplet).

Kako dešifrirati ovu vrstu ransomware virusa? Sudeći po tome da se tamo koristi neki nepoznati algoritam RSA-1024, nikako. Kao što ime govori, radi se o 1024-bitnom sistemu šifriranja. Ali, ako se neko sjeća, danas se 256-bitni AES smatra najnaprednijim.

Virus za šifriranje: kako dezinficirati i dešifrirati datoteke pomoću antivirusnog softvera

Do danas nisu pronađena rješenja ovog tipa za dešifriranje prijetnji ovog tipa. Čak i takvi majstori u oblasti antivirusne zaštite kao što su Kaspersky, Dr. Web i Eset, ne mogu pronaći ključ za rješavanje problema kada ga je virus ransomware naslijedio u sistemu. Kako dezinficirati fajlove? U većini slučajeva predlaže se slanje zahtjeva na službenu web stranicu antivirusnog programera (usput, samo ako sistem ima licencirani softver ovog programera).

U tom slučaju morate priložiti nekoliko šifriranih datoteka, kao i njihove "zdrave" originale, ako ih ima. Općenito, uglavnom, malo ljudi sprema kopije podataka, tako da problem njihovog odsustva samo pogoršava ionako neugodnu situaciju.

Mogući načini za ručno prepoznavanje i otklanjanje prijetnje

Da, skeniranje konvencionalnim antivirusnim programima otkriva prijetnje i čak ih uklanja iz sistema. Ali šta je sa informacijama?

Neki ljudi pokušavaju koristiti programe za dekodiranje kao što je već spomenuti uslužni program RectorDecryptor (RakhniDecryptor). Odmah da primijetimo: ovo neće pomoći. A u slučaju virusa Breaking_Bad, može samo mnogo naškoditi. I zato.

Činjenica je da ljudi koji stvaraju takve viruse pokušavaju da se zaštite i daju upute drugima. Prilikom korištenja uslužnih programa za dešifriranje virus može reagirati na način da će cijeli sistem "odletjeti", te potpunim uništenjem svih podataka pohranjenih na tvrdim diskovima ili logičkim particijama. Ovo je, da tako kažem, indikativna lekcija za pouku svih onih koji ne žele da plate. Možemo se osloniti samo na zvanične antivirusne laboratorije.

Kardinalne metode

Međutim, ako su stvari zaista loše, morat ćete žrtvovati informacije. Da biste se u potpunosti riješili prijetnje, morate formatirati cijeli tvrdi disk, uključujući virtualne particije, a zatim ponovo instalirati "operativni sistem".

Nažalost, drugog izlaza nema. Čak ni do određene sačuvane tačke vraćanja neće pomoći. Virus može nestati, ali datoteke će ostati šifrirane.

Umjesto pogovora

U zaključku, treba napomenuti da je situacija sljedeća: ransomware virus prodire u sistem, čini svoje prljavo djelo i ne liječi se nijednom poznatom metodom. Antivirusna odbrana nije bila pripremljena za ovu vrstu prijetnji. Podrazumijeva se da možete otkriti virus nakon izlaganja ili ga ukloniti. Ali šifrirane informacije će ostati ružne. Stoga se želi nadati da će najbolji umovi antivirusnih softverskih kompanija ipak pronaći rješenje, iako će to, sudeći po algoritmima enkripcije, biti vrlo teško izvodljivo. Prisjetimo se, na primjer, mašine za šifrovanje Enigma, koju je njemačka mornarica imala tokom Drugog svjetskog rata. Najbolji kriptografi nisu mogli riješiti problem algoritma za dešifriranje poruka dok se nisu dočepali uređaja. To je slučaj i ovdje.

Zaključani ransomware virus Je zlonamjerni program koji, kada se aktivira, šifrira sve lične datoteke (kao što su fotografije i dokumenti) koristeći vrlo jak AES + RSA hibridni sistem šifriranja. Nakon što je datoteka šifrirana, njena ekstenzija se mijenja u .locked. Kao i ranije, svrha Locked virusa je da natjera korisnike da kupe program i ključ potreban za dešifriranje vlastitih datoteka.

Na kraju procesa šifriranja datoteke, Locked virus prikazuje poruku sličnu onoj iznad. Govori vam kako se datoteke mogu dešifrirati. Korisnik je pozvan da autorima virusa prenese iznos od 250 dolara, što je oko 17.000 rubalja.

Kako se zaključani ransomware virus infiltrira u računar

Locked ransomware virus se obično širi putem e-pošte. Pismo sadrži zaražene dokumente. Ove e-poruke se šalju u ogromnu bazu podataka e-mail adresa. Autori ovog virusa koriste obmanjujuća zaglavlja i sadržaj pisama u pokušaju da prevare korisnika da otvori dokument priložen uz pismo. Neka od pisama obaveštavaju o potrebi plaćanja računa, druga nude da pogledate najnoviji cenovnik, treća otvaraju smešnu fotografiju itd. U svakom slučaju, rezultat otvaranja priložene datoteke bit će zaraza računala virusom za šifriranje.

Šta je zaključani ransomware virus

Locked ransomware virus je zlonamjerni program koji inficira moderne verzije Windows operativnih sistema, kao što su Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ovaj virus koristi hibridni način šifriranja AES + RSA, što praktično isključuje mogućnost brute-force ključ za samodešifriranje datoteka.

Dok inficira računar, Locked ransomware virus koristi sistemske direktorijume za skladištenje sopstvenih fajlova. Da bi se automatski pokrenuo svaki put kada se računar uključi, ransomware kreira unos u Windows registru: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Odmah nakon lansiranja, virus skenira sve dostupne diskove, uključujući mrežu i pohranu u oblaku, kako bi odredio koje će datoteke biti šifrirane. Locked ransomware virus koristi ekstenziju naziva datoteke kao način da odredi grupu datoteka koje treba šifrirati. Gotovo sve vrste datoteka su šifrirane, uključujući one uobičajene kao što su:

0, .1, .1., .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, novčanik, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Nakon što je datoteka šifrirana, njena ekstenzija se mijenja u zaključana. Zatim virus kreira tekstualni dokument pod nazivom UNLOCK_FILES_INSTRUCTIONS.txt, koji sadrži upute za dešifriranje šifriranih datoteka.

Locked ransomware virus aktivno koristi taktiku zastrašivanja, dajući žrtvi kratak opis algoritma šifriranja i prikazujući prijeteću poruku na radnoj površini. Na taj način pokušava natjerati korisnika zaraženog računara, bez oklijevanja, da plati otkupninu kako bi pokušao vratiti svoje fajlove.

Da li je moj računar zaražen virusom Locked ransomware?

Utvrđivanje da li je računar zaražen ili ne virusom Locked je prilično lako. Imajte na umu da svi vaši lični fajlovi kao što su dokumenti, fotografije, muzika itd. normalno otvoren u odgovarajućim programima. Ako, na primjer, prilikom otvaranja dokumenta Word prijavi da je datoteka nepoznatog tipa, onda je najvjerovatnije dokument šifriran, a računar je zaražen. Naravno, prisustvo poruke od zaključanog virusa na radnoj površini ili pojava UNLOCK_FILES_INSTRUCTIONS.txt datoteke na disku je također znak infekcije.

Ako sumnjate da ste otvorili poruku zaraženu virusom Locked, ali još nema simptoma infekcije, nemojte isključivati ili ponovo pokretati računar. Prije svega, isključite internet! Zatim slijedite korake opisane u ovom priručniku, odjeljak. Druga opcija je da isključite računar, uklonite čvrsti disk i testirate ga na drugom računaru.

Kako dešifrirati fajlove šifrirane zaključanim virusom?

Ako se ova nesreća dogodila, onda nema potrebe za panikom! Ali morate znati da nema besplatnog dešifratora. To je zbog jakih algoritama šifriranja koje koristi ovaj virus. To znači da je gotovo nemoguće dešifrirati datoteke bez privatnog ključa. Upotreba metode odabira ključa također nije opcija, zbog velike dužine ključa. Stoga je, nažalost, samo plaćanje autorima virusa za cijeli traženi iznos jedini način da pokušate dobiti ključ za dešifriranje.

Naravno, ne postoji apsolutno nikakva garancija da će nakon uplate autori virusa stupiti u kontakt i dati ključ potreban za dešifriranje vaših datoteka. Osim toga, morate shvatiti da plaćajući novac programerima virusa, sami ih tjerate da kreiraju nove viruse.

Kako ukloniti zaključani ransomware virus?

Prije nego što nastavite s ovim, morate znati da počinjenjem uklanjanja virusa i pokušajem da sami vratite datoteke, blokirate mogućnost dešifriranja datoteka plaćajući autorima virusa iznos koji su tražili.

Kaspersky Virus Removal Tool i Malwarebytes Anti-malware mogu otkriti različite vrste aktivnih ransomware virusa i lako ih ukloniti s vašeg računala, ALI ne mogu oporaviti šifrirane datoteke.

5.1. Uklonite zaključani ransomware virus koristeći Kaspersky Virus Removal Tool

Štaviše, postoje specijalizovani sigurnosni programi. Na primjer, ovo je CryptoPrevent, detaljnije (eng).

Nekoliko završnih riječi

Slijedeći ovo uputstvo, vaš računar će biti očišćen od zaključanog ransomware virusa. Ako imate bilo kakvih pitanja ili vam je potrebna pomoć, kontaktirajte nas.

Kako dešifrirati zaključane datoteke. Kaspersky Virus Removal Tool za uklanjanje XTBL ransomware-a

Kako izliječiti sistem

Šta je ransomware virus?

Kako prijetnja ulazi u sistem?

Raznolikost virusa i malo istorije

Tehnika uticaja na korisničke fajlove

Problemi dešifriranja za korištene algoritme

Enkripcijski virus: kako izliječiti i dešifrirati datoteke i može li se to učiniti?

Prvi lijek za uklanjanje prijetnje

Rješenja koja nude programeri antivirusnog softvera

Radikalno rješenje problema

Umjesto pogovora

Kako dešifrirati datoteke koristeći Kaspersky RakhniDecryptor uslužni program

Parametri za pokretanje uslužnog programa iz komandne linije

Šta je ransomware virus?

Princip prodiranja u sistem i rad virusnog koda

Opće posljedice prodora svih virusa ovog tipa

Šteta od izlaganja kodu

Prvorođenče u porodici

Najnovije modifikacije

XTBL virus

CBF virus

Breaking_Bad virus

Virus [email protected]

Virus za šifriranje: kako dezinficirati i dešifrirati datoteke pomoću antivirusnog softvera

Mogući načini za ručno prepoznavanje i otklanjanje prijetnje

Kardinalne metode

Umjesto pogovora

Kako se zaključani ransomware virus infiltrira u računar

Šta je zaključani ransomware virus

Da li je moj računar zaražen virusom Locked ransomware?

Kako dešifrirati fajlove šifrirane zaključanim virusom?

Kako ukloniti zaključani ransomware virus?

5.1. Uklonite zaključani ransomware virus koristeći Kaspersky Virus Removal Tool

Nekoliko završnih riječi

Top srodni članci