Kako dešifrirati fajlove. Uklonite ransomware koristeći Kaspersky Virus Removal Tool

20.07.2019 Internet, Wi-Fi, lokalne mreže

Ransomware hakeri su vrlo slični običnim ucjenjivačima. I u stvarnom svijetu iu sajber okruženju postoji pojedinačna ili grupna meta napada. Ili je ukraden ili nedostupan. Zatim, kriminalci koriste određena sredstva komunikacije sa žrtvama kako bi prenijeli svoje zahtjeve. Računalni prevaranti obično biraju samo nekoliko formata za pisma otkupnine, ali kopije se mogu naći na gotovo svakoj memorijskoj lokaciji na zaraženom sistemu. U slučaju porodice špijunskog softvera poznate kao Troldesh ili Shade, prevaranti imaju poseban pristup kada kontaktiraju žrtvu.

Pogledajmo pobliže ovaj soj ransomware virusa, koji je usmjeren na publiku koja govori ruski. Većina sličnih infekcija detektuje raspored tastature na napadnutom računaru, a ako je jedan od jezika ruski, upad prestaje. Međutim, ransomware virus XTBL nedešifrljivo: nažalost za korisnike, napad se odvija bez obzira na njihovu geografsku lokaciju i jezičke preferencije. Jasno oličenje ove svestranosti je upozorenje koje se pojavljuje u pozadini radne površine, kao i TXT datoteka sa uputstvima za plaćanje otkupnine.

Virus XTBL se obično širi putem neželjene pošte. Poruke liče na pisma poznatih brendova ili su jednostavno privlačne jer se u naslovnoj liniji koriste izrazi poput "Hitno!" ili "Važni finansijski dokumenti." Trik za krađu identiteta će raditi kada primalac takve e-pošte. poruke će preuzeti ZIP datoteku koja sadrži JavaScript kod ili Docm objekat koji sadrži potencijalno ranjiv makro.

Nakon što je završio osnovni algoritam na kompromitovanom računaru, ransomware trojanac nastavlja da traži podatke koji mogu biti od vrednosti za korisnika. U tu svrhu, virus skenira lokalnu i eksternu memoriju, istovremeno uparujući svaku datoteku sa skupom formata odabranih na osnovu ekstenzije objekta. Sve .jpg, .wav, .doc, .xls datoteke, kao i mnogi drugi objekti, šifrirani su korištenjem AES-256 simetričnog blok kripto algoritma.

Postoje dva aspekta ovog štetnog uticaja. Prije svega, korisnik gubi pristup važnim podacima. Osim toga, nazivi datoteka su duboko kodirani, što rezultira besmislenim nizom heksadecimalnih znakova. Sve što objedinjuje nazive zahvaćenih fajlova je ekstenzija xtbl koja im je dodata, tj. naziv sajber prijetnje. Nazivi šifriranih datoteka ponekad imaju poseban format. U nekim verzijama Troldesha, imena šifriranih objekata mogu ostati nepromijenjena, a na kraju se dodaje jedinstveni kod: [email protected], [email protected], ili [email protected].

Očigledno, napadači su uveli adrese e-pošte. poštu direktno u nazive fajlova, ukazujući žrtvama na način komunikacije. E-pošta je također navedena na drugim mjestima, naime u pismu za otkupninu sadržanom u datoteci “Readme.txt”. Takvi dokumenti Notepad-a će se pojaviti na radnoj površini, kao iu svim fasciklama sa šifrovanim podacima. Ključna poruka je:

“Svi fajlovi su šifrirani. Da biste ih dešifrirali, potrebno je da pošaljete kod: [Vaša jedinstvena šifra] na adresu e-pošte [email protected] ili [email protected]. Zatim ćete dobiti sva potrebna uputstva. Pokušaji samostalnog dešifriranja neće dovesti do ničega osim nepovratnog gubitka informacija.”

Adresa e-pošte može se promijeniti ovisno o grupi ucjena koja širi virus.

Što se tiče daljeg razvoja događaja: generalno, prevaranti odgovaraju preporukom da prenesu otkupninu, koja može biti 3 bitcoina, ili drugi iznos u ovom rasponu. Imajte na umu da niko ne može garantovati da će hakeri ispuniti svoje obećanje čak i nakon što dobiju novac. Za vraćanje pristupa .xtbl datotekama, pogođenim korisnicima se preporučuje da prvo isprobaju sve dostupne alternativne metode. U nekim slučajevima, podaci se mogu dovesti u red korištenjem usluge Volume Shadow Copy koja se pruža direktno u Windows OS-u, kao i programa za dešifriranje i oporavak podataka nezavisnih programera softvera.

Uklonite XTBL ransomware pomoću automatskog čistača

Izuzetno efikasan metod rada sa zlonamjernim softverom općenito i ransomwareom posebno. Upotreba dokazanog zaštitnog kompleksa jamči temeljnu detekciju svih virusnih komponenti i njihovo potpuno uklanjanje jednim klikom. Imajte na umu da govorimo o dva različita procesa: deinstaliranju infekcije i vraćanju datoteka na vaš PC. Međutim, prijetnju svakako treba ukloniti, jer postoje informacije o uvođenju drugih kompjuterskih trojanaca koji je koriste.

. Nakon pokretanja softvera, kliknite na dugme Pokrenite skeniranje računara(Započnite skeniranje).
Instalirani softver će dati izvještaj o prijetnjama otkrivenim tokom skeniranja. Da biste uklonili sve otkrivene prijetnje, odaberite opciju Fix Threats(Uklonite prijetnje). Predmetni zlonamjerni softver će biti u potpunosti uklonjen.

Vratite pristup šifrovanim datotekama sa ekstenzijom .xtbl

Kao što je napomenuto, XTBL ransomware zaključava datoteke koristeći jak algoritam šifriranja, tako da se šifrirani podaci ne mogu vratiti mahanjem čarobnog štapića – osim plaćanja nečuvenog iznosa otkupnine. Ali neke metode zaista mogu biti spas koji će vam pomoći da povratite važne podatke. U nastavku se možete upoznati sa njima.

Decryptor – program za automatski oporavak datoteka

Poznata je vrlo neobična okolnost. Ova infekcija briše originalne datoteke u nešifriranom obliku. Proces šifriranja u svrhu iznude stoga cilja na njihove kopije. Ovo omogućava softver kao što je oporavak izbrisanih objekata, čak i ako je zagarantovana pouzdanost njihovog uklanjanja. Izričito se preporučuje pribjegavanje proceduri oporavka datoteka, čija je učinkovitost potvrđena više puta.

Sjenčane kopije tomova

Pristup se zasniva na procesu sigurnosne kopije Windows datoteka, koji se ponavlja na svakoj tački vraćanja. Važan uvjet za funkcioniranje ove metode: funkcija "Oporavak sistema" mora biti aktivirana prije infekcije. Međutim, sve promjene u datoteci napravljene nakon točke vraćanja neće se pojaviti u vraćenoj verziji datoteke.

Backup

Ovo je najbolja od svih metoda bez otkupnine. Ako je procedura za pravljenje rezervne kopije podataka na eksternom serveru korišćena pre napada ransomware-a na vašem računaru, da biste vratili šifrovane fajlove potrebno je samo da uđete u odgovarajući interfejs, odaberete potrebne datoteke i pokrenete mehanizam za oporavak podataka iz rezervne kopije. Prije izvođenja operacije, morate se uvjeriti da je ransomware potpuno uklonjen.

Provjerite moguće prisustvo preostalih komponenti XTBL ransomware virusa

Ručno čišćenje rizikuje propuštanje pojedinačnih dijelova ransomwarea koji bi mogli izbjeći uklanjanje kao skriveni objekti operativnog sistema ili stavke registra. Da biste eliminirali rizik od djelomičnog zadržavanja pojedinačnih zlonamjernih elemenata, skenirajte svoj računar pomoću pouzdanog univerzalnog antivirusnog paketa.

Ako je sistem zaražen malverom iz porodice Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX, tada će sve datoteke na računaru biti šifrirane na sljedeći način:

Kada je zaražen Trojan-Ransom.Win32.Rannoh imena i ekstenzije će se mijenjati prema predlošku zaključano-<оригинальное_имя>.<4 произвольных буквы> .
Kada je zaražen Trojan-Ransom.Win32.Cryakl oznaka se dodaje na kraj sadržaja datoteke (CRYPTENDBLACKDC) .
Kada je zaražen Trojan-Ransom.Win32.AutoIt proširenje se mijenja prema šablonu <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
Na primjer, [email protected] _.RZWDTDIC.
Kada je zaražen Trojan-Ransom.Win32.CryptXXX proširenja se mijenjaju prema predlošcima <оригинальное_имя>.crypt,<оригинальное_имя>. crypz I <оригинальное_имя>. cryp1.

RannohDecryptor uslužni program je dizajniran za dešifriranje datoteka nakon infekcije Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX verzije 1 , 2 I 3 .

Kako izliječiti sistem

Da biste izliječili zaraženi sistem:

Preuzmite datoteku RannohDecryptor.zip.
Pokrenite RannohDecryptor.exe na zaraženom računaru.
U glavnom prozoru kliknite Počnite provjeravati.

Navedite putanju do šifrirane i nešifrirane datoteke.
Ako je datoteka šifrirana Trojan-Ransom.Win32.CryptXXX, navedite najveće datoteke. Dešifriranje će biti dostupno samo za datoteke jednake ili manje veličine.
Pričekajte do kraja pretraživanja i dešifriranja šifriranih datoteka.
Ponovo pokrenite računar ako je potrebno.
Za brisanje kopije šifriranih datoteka kao što je zaključano-<оригинальное_имя>.<4 произвольных буквы> Nakon uspješnog dešifriranja, odaberite .

Ako je datoteka šifrirana Trojan-Ransom.Win32.Cryakl, tada će uslužni program spremiti datoteku na staru lokaciju s ekstenzijom .decryptedKLR.original_extension. Ako ste izabrali Izbrišite šifrirane datoteke nakon uspješnog dešifriranja, tada će uslužni program sačuvati dešifrovanu datoteku s originalnim imenom.

Po defaultu, uslužni program šalje izvještaj o radu u korijen sistemskog diska (disk na kojem je OS instaliran).
Naziv izvještaja je sljedeći: UtilityName.Version_Date_Time_log.txt
Na primjer, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

U zaraženom sistemu Trojan-Ransom.Win32.CryptXXX, uslužni program skenira ograničen broj formata datoteka. Ako korisnik odabere datoteku na koju utiče CryptXXX v2, vraćanje ključa može potrajati dugo. U tom slučaju, uslužni program prikazuje upozorenje.

Uslužni program Kaspresky RakhniDecryptor će dešifrirati datoteke čije su ekstenzije promijenjene prema sljedećim obrascima:

Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.locked;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.mrak;
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.nema šanse;
- <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
- <имя_файла>.<оригинальное_расширение>.relock@qq_com;
- <имя_файла>.<оригинальное_расширение>.crypto;
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
- <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
- <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
- <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
- <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
- <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.

Trojan-Ransom.Win32.Rakhni kreira datoteku exit.hhr.oshit, koja sadrži lozinku za datoteke korisnika u šifriranom obliku. Ako je ova datoteka sačuvana na zaraženom računaru, dešifrovanje će biti mnogo brže. Ako je datoteka exit.hhr.oshit izbrisana, vratite je pomoću programa za oporavak izbrisanih datoteka, a zatim je stavite u mapu %APPDATA% i ponovo pokrenite skeniranje pomoću uslužnog programa. Datoteku exit.hhr.oshit možete pronaći na sljedećoj putanji: C:\Users<имя_пользователя>\AppData\Roaming

Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_crypt.
Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email protected] _.slova>.
Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.cry;
- <имя_файла>.<оригинальное_расширение>.AES256.
Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.encrypted.
Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
Trojan-Ransom.Win32.Bitman verzija 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.micro;
- <имя_файла>.mp3.
Trojan-Ransom.Win32.Bitman verzija 4:<имя_файла>.<оригинальное_расширение>(ime datoteke i ekstenzija se ne mijenjaju).
Trojan-Ransom.Win32.Libra:
- <имя_файла>.encrypted;
- <имя_файла>.locked;
- <имя_файла>.SecureCrypted.
Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.zabava;
- <имя_файла>.gws;
- <имя_файла>.btc;
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epski;
- <имя_файла>.encrypted;
- <имя_файла>.J;
- <имя_файла>.payransom;
- <имя_файла>.paybtcs;
- <имя_файла>.paymds;
- <имя_файла>.paymrss;
- <имя_файла>.paymrts;
- <имя_файла>.paymst;
- <имя_файла>.paymts;
- <имя_файла>.gefickt;
- <имя_файла>[email protected].
Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.@..xtbl;
- <имя_файла>.ID<…>.@..CrySiS;
- <имя_файла>.id-<…>.@..xtbl;
- <имя_файла>.id-<…>.@..wallet;
- <имя_файла>.id-<…>.@..dhrama;
- <имя_файла>.id-<…>.@..luk;
- <имя_файла>.@..wallet;
- <имя_файла>.@..dhrama;
- <имя_файла>.@..luk.

Primjeri nekih zlonamjernih distribucijskih adresa:

Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email protected].
Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.blokirano;
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smith;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.cryptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.scripted;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.criptiks;
- <имя_файла>.<оригинальное_расширение>.cripttt;
- <имя_файла>.<оригинальное_расширение>.ovdje;
- <имя_файла>.<оригинальное_расширение>.aga.
Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.PLAGUE17;
- <имя_файла>.<оригинальное_расширение>.ktldll.
Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected] _.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected] ____.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected] _______.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected] ___.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected]==.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected]=--.crypt.

Ako je datoteka šifrirana ekstenzijom CRYPT, dešifriranje može potrajati dugo. Na primjer, na Intel Core i5-2400 procesoru može potrajati oko 120 dana.

Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.crypt;
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.lock;
- <имя_файла>.decrypr_helper@freemail_hu;
- <имя_файла>[email protected];
- <имя_файла>.~xdata.
Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

Verzija zlonamjernog softvera	Adresa elektronske pošte napadača
	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
	[email protected] _graf1 [email protected] _mod [email protected] _mod2
	[email protected] [email protected]
	[email protected]
	[email protected] [email protected][email protected] [email protected]

Kako dešifrirati datoteke koristeći Kaspersky RakhniDecryptor uslužni program

Preuzmite arhivu RakhniDecryptor.zip i raspakujte je. Upute u članku.
Idite u fasciklu sa arhiviranim datotekama.
Pokrenite datoteku RakhniDecryptor.exe.
Kliknite Promijenite postavke skeniranja.

Odaberite objekte za skeniranje: tvrdi diskovi, prenosivi diskovi ili mrežni diskovi.
Označite polje Izbrišite šifrirane datoteke nakon uspješnog dešifriranja. U tom slučaju, uslužni program će izbrisati kopije šifriranih datoteka s dodijeljenim ekstenzijama LOCKED, KRAKEN, DARKNESS, itd.
Kliknite uredu.

Kliknite Počnite provjeravati.

Odaberite šifriranu datoteku i kliknite Otvori.

Pročitajte upozorenje i kliknite uredu.

Fajlovi će biti dešifrovani.

Datoteka se može šifrirati ekstenzijom CRYPT više puta. Na primjer, ako je datoteka test.doc šifrirana dvaput, prvi sloj će biti dešifrovan od strane uslužnog programa RakhniDecryptor u datoteku test.1.doc.layerDecryptedKLR. Sljedeći unos će se pojaviti u izvještaju uslužnog programa: “Uspješno dešifriranje: disk:\path\test.doc_crypt -> drive:\path\test.1.doc.layerDecryptedKLR.” Uslužni program mora ponovo dešifrirati ovu datoteku. Ako je dešifriranje uspješno, datoteka će biti ponovo sačuvana sa originalnim imenom test.doc.

Opcije za pokretanje uslužnog programa iz komandne linije

Za praktičnost i ubrzanje procesa dešifriranja datoteke, Kaspersky RakhniDecryptor podržava sljedeće parametre komandne linije:

Ime tima	Značenje	Primjer
– niti	Pokretanje uslužnog programa za pogađanje lozinke u više niti. Ako parametar nije specificiran, broj niti je jednak broju procesorskih jezgri.	RakhniDecryptor.exe – niti 6
– start<число>–kraj<число>	Nastavak pogađanja lozinke iz određenog stanja. Minimalni broj je 0. Zaustavljanje pogađanja lozinke u određenom stanju. Maksimalni broj je 1.000.000. Pogađanje lozinke u rasponu između dva stanja.	RakhniDecryptor.exe – početak 123 RakhniDecryptor.exe – kraj 123 RakhniDecryptor.exe – početak 100 – kraj 50000
-l<название файла с указанием полного пути к нему>	Određivanje putanje do datoteke u koju treba pohraniti izvještaj o radu pomoćnog programa.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Prikažite pomoć o dostupnim opcijama komandne linije	RakhniDecryptor.exe -h

“Izvinite što vam smetam, ali... vaši fajlovi su šifrirani. Da biste dobili ključ za dešifriranje, hitno prebacite određenu količinu novca u novčanik... U suprotnom, vaši podaci će biti zauvijek uništeni. Imate 3 sata, vrijeme je prošlo.” I nije šala. Enkripcijski virus je više nego stvarna prijetnja.

Danas ćemo razgovarati o tome šta je ransomware zlonamjerni softver koji se širio posljednjih godina, šta učiniti ako je zaražen, kako izliječiti svoj kompjuter i da li je to uopće moguće i kako se zaštititi od njih.

Šifrujemo sve!

ransomware virus (encryptor, cryptor) je posebna vrsta zlonamjernog ransomwarea čija se aktivnost sastoji od šifriranja korisničkih datoteka i potom zahtijevanja otkupnine za alat za dešifriranje. Iznosi otkupnine počinju negde od 200 dolara i dostižu desetine i stotine hiljada zelenih papirića.

Prije nekoliko godina ova klasa zlonamjernog softvera napadala je samo Windows računare. Danas se njihov asortiman proširio na naizgled dobro zaštićene Linux, Mac i Android. Osim toga, raznolikost enkriptora stalno raste - novi proizvodi se pojavljuju jedan za drugim, koji imaju čime iznenaditi svijet. Tako je nastao zbog "ukrštanja" klasičnog enkripcionog trojanca i mrežnog crva (zlonamjerni program koji se širi mrežama bez aktivnog sudjelovanja korisnika).

Nakon WannaCryja pojavili su se ništa manje sofisticirani Petya i Bad Rabbit. A budući da „posao šifriranja“ svojim vlasnicima donosi dobar prihod, možete biti sigurni da oni nisu posljednji.

Sve više i više enkriptora, posebno onih koji su objavljeni u posljednjih 3-5 godina, koriste jake kriptografske algoritme koji se ne mogu razbiti ni grubom silom ni drugim postojećim sredstvima. Jedini način za oporavak podataka je korištenje originalnog ključa koji napadači nude da kupe. Međutim, čak i prijenos potrebnog iznosa na njih ne jamči prijem ključa. Kriminalci ne žure da otkriju svoje tajne i izgube potencijalni profit. I koja je svrha da održe obećanja ako već imaju novac?

Putevi distribucije virusa za šifriranje

Glavni način na koji zlonamjerni softver dospijeva na računare privatnih korisnika i organizacija je e-pošta, tačnije, datoteke i linkovi priloženi e-porukama.

Primjer takvog pisma namijenjenog “korporativnim klijentima”:

„Odmah vratite svoj kreditni dug.”
“Tužba je podnesena sudu.”
“Plati kaznu/naknadu/porez.”
“Doplata za račune za komunalije.”
“Oh, jesi li to ti na fotografiji?”
“Lena me je zamolila da ti ovo hitno dam” itd.

Slažem se, samo obrazovan korisnik bi se prema takvom pismu odnosio s oprezom. Većina ljudi će bez oklijevanja otvoriti prilog i sami pokrenuti zlonamjerni program. Usput, uprkos povicima antivirusa.

Sljedeće se također aktivno koristi za distribuciju ransomwarea:

Društvene mreže (pošta sa naloga prijatelja i stranaca).
Zlonamjerni i zaraženi web resursi.
Baner oglašavanje.
Slanje pošte putem messengera sa hakovanih naloga.
Vareznik sajtovi i distributeri keygena i krekova.
Stranice za odrasle.
Prodavnice aplikacija i sadržaja.

Viruse za šifriranje često nose drugi zlonamjerni programi, posebno reklamni demonstratori i backdoor trojanci. Potonji, koristeći propuste u sistemu i softveru, pomažu kriminalcu da dobije daljinski pristup zaraženom uređaju. Pokretanje enkriptora u takvim slučajevima ne poklapa se uvijek vremenski s potencijalno opasnim radnjama korisnika. Sve dok backdoor ostaje u sistemu, napadač može prodrijeti u uređaj u bilo kojem trenutku i pokrenuti šifriranje.

Za zarazu kompjutera organizacija (na kraju krajeva, iz njih se može izvući više nego od kućnih korisnika), razvijaju se posebno sofisticirane metode. Na primjer, Petya Trojanac je prodro na uređaje kroz modul za ažuriranje programa za porezno računovodstvo MEDoc.

Enkriptori sa funkcijama mrežnih crva, kao što je već spomenuto, šire se po mrežama, uključujući i Internet, kroz ranjivosti protokola. I možete se zaraziti njima, a da ne radite apsolutno ništa. Korisnici Windows operativnih sistema koji se rijetko ažuriraju izloženi su najvećem riziku jer ažuriranja zatvaraju poznate rupe.

Neki zlonamjerni softveri, kao što je WannaCry, iskorištavaju ranjivosti 0 dana, odnosno one kojih programeri sistema još nisu svjesni. Nažalost, nemoguće je u potpunosti odoljeti infekciji na ovaj način, ali vjerovatnoća da ćete biti među žrtvama ne dostiže ni 1%. Zašto? Da, jer zlonamjerni softver ne može zaraziti sve ranjive mašine odjednom. I dok planira nove žrtve, programeri sistema uspevaju da izdaju spasonosno ažuriranje.

Kako se ransomware ponaša na zaraženom računaru

Proces šifriranja, po pravilu, počinje neprimjetno, a kada njegovi znakovi postanu očigledni, prekasno je za spremanje podataka: do tada je zlonamjerni softver šifrirao sve do čega može doći. Ponekad korisnik može primijetiti da se ekstenzija datoteka u otvorenom folderu promijenila.

Nerazumno pojavljivanje nove, a ponekad i druge ekstenzije na datotekama, nakon čega se one prestaju otvarati, apsolutno ukazuje na posljedice napada enkriptorom. Inače, prema ekstenziji koju dobijaju oštećeni objekti obično je moguće identificirati zlonamjerni softver.

Primjer šta mogu biti ekstenzije šifriranih datoteka:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, itd.

Postoji mnogo opcija, a nove će se pojaviti sutra, tako da nema smisla sve nabrajati. Da biste odredili vrstu infekcije, dovoljno je uvesti nekoliko ekstenzija u tražilicu.

Ostali simptomi koji indirektno ukazuju na početak enkripcije:

Prozori komandne linije pojavljuju se na ekranu na djelić sekunde. Najčešće je to normalna pojava prilikom instaliranja ažuriranja sistema i programa, ali je bolje da to ne ostavljate bez nadzora.
UAC traži pokretanje nekog programa koji niste namjeravali otvoriti.
Iznenadno ponovno pokretanje računara praćeno simulacijom rada uslužnog programa za provjeru sistemskog diska (moguće su i druge varijacije). Tokom “verifikacije” dolazi do procesa šifriranja.

Nakon što je zlonamjerna operacija uspješno završena, na ekranu se pojavljuje poruka sa zahtjevom za otkupninom i raznim prijetnjama.

Ransomware šifrira značajan dio korisničkih datoteka: fotografije, muziku, video zapise, tekstualne dokumente, arhive, poštu, baze podataka, datoteke sa programskim ekstenzijama, itd. Međutim, ne dodiruju objekte operativnog sistema, jer napadačima nije potreban zaraženi računar da bi prekinuti rad. Neki virusi zamjenjuju zapise o pokretanju diskova i particija.

Nakon šifriranja, sve sjene kopije i točke oporavka se obično brišu iz sistema.

Kako izliječiti računar od ransomware-a

Uklanjanje zlonamjernog softvera iz zaraženog sistema je jednostavno – gotovo svi antivirusni programi mogu bez poteškoća da se nose sa većinom. Ali! Naivno je vjerovati da će rješavanje krivca riješiti problem: bilo da uklonite virus ili ne, datoteke će i dalje ostati šifrirane. Osim toga, u nekim slučajevima to će zakomplicirati njihovo naknadno dešifriranje, ako je moguće.

Ispravna procedura pri pokretanju šifriranja

Jednom kada primijetite znakove šifriranja, Odmah isključite napajanje računara pritiskom i držanjem dugmetaSnaga 3-4 sekunde. Ovo će sačuvati barem neke od datoteka.
Kreirajte disk za pokretanje ili fleš disk sa antivirusnim programom na drugom računaru. Na primjer, , , itd.
Pokrenite zaraženu mašinu sa ovog diska i skenirajte sistem. Uklonite sve pronađene viruse i držite ih u karantinu (u slučaju da su potrebni za dešifriranje). Tek nakon toga možete pokrenuti računar sa vašeg čvrstog diska.
Pokušajte oporaviti šifrirane datoteke iz sjenčanih kopija koristeći sistemske alate ili korištenje treće strane.

Šta učiniti ako su datoteke već šifrirane

Ne gubi nadu. Web stranice programera antivirusnih proizvoda sadrže besplatne uslužne programe za dešifriranje različitih vrsta zlonamjernog softvera. Konkretno, komunalne usluge iz i .
Nakon što ste odredili tip enkodera, preuzmite odgovarajući uslužni program, definitivno uradi to kopije oštećene datoteke i pokušati ih dešifrirati. Ako je uspješan, dešifrirajte ostatak.

Ako fajlovi nisu dešifrovani

Ako nijedan od uslužnih programa ne pomogne, vjerovatno je da ste patili od virusa za koji još uvijek nema lijeka.

Šta možete učiniti u ovom slučaju:

Ako koristite plaćeni antivirusni proizvod, kontaktirajte njegov tim za podršku. Pošaljite nekoliko kopija oštećenih fajlova u laboratoriju i sačekajte odgovor. Ako je tehnički moguće, oni će vam pomoći.

Ako se pokaže da su datoteke beznadežno oštećene, ali su vam od velike vrijednosti, možete se samo nadati i čekati da će se jednog dana pronaći lijek za spašavanje. Najbolje što možete da uradite je da ostavite sistem i fajlove kakve jesu, odnosno da se potpuno ugase i ne koristite čvrsti disk. Brisanje datoteka zlonamjernog softvera, ponovna instalacija operativnog sistema, pa čak i njegovo ažuriranje može vas lišiti i ovu šansu, budući da se prilikom generiranja ključeva za šifriranje/dešifriranje često koriste jedinstveni sistemski identifikatori i kopije virusa.

Plaćanje otkupnine nije opcija, jer je vjerovatnoća da ćete dobiti ključ blizu nule. I nema smisla finansirati kriminalni posao.

Kako se zaštititi od ove vrste zlonamjernog softvera

Ne bih da ponavljam savete koje je svaki od čitalaca čuo stotine puta. Da, važno je instalirati dobar antivirus, ne kliknuti na sumnjive linkove i blablabla. Međutim, kako je život pokazao, čarobna pilula koja će vam dati 100% garanciju sigurnosti danas ne postoji.

Jedini efikasan način zaštite od ransomwarea ove vrste je backup podataka na druge fizičke medije, uključujući usluge u oblaku. Backup, backup, backup...

Takođe na sajtu:

Bez šanse za spas: šta je virus za šifrovanje i kako se nositi s njim ažurirano: 1. septembra 2018. od: Johnny Mnemonic

Nedavno je došlo do porasta aktivnosti nove generacije zlonamjernih kompjuterskih programa. Pojavili su se dosta davno (prije 6-8 godina), ali je tempo njihove implementacije upravo sada dostigao svoj maksimum. Sve češće se možete susresti s činjenicom da virus ima šifrirane datoteke.

Već je poznato da se ne radi samo o primitivnom zlonamjernom softveru, na primjer, (koji izaziva plavi ekran), već o ozbiljnim programima koji imaju za cilj oštećenje, u pravilu, računovodstvenih podataka. Oni šifriraju sve postojeće datoteke na dohvat ruke, uključujući 1C računovodstvene podatke, docx, xlsx, jpg, doc, xls, pdf, zip.

Posebna opasnost od virusa u pitanju

Ona leži u činjenici da se koristi RSA ključ koji je vezan za računar određenog korisnika, zbog čega se koristi univerzalni dešifrator ( decryptor) odsutan. Virusi aktivirani na jednom računaru možda neće raditi na drugom.

Opasnost leži iu tome što se više od godinu dana na internetu objavljuju gotovi programi za izgradnju, koji čak i hakerima (osobama koje sebe smatraju hakerima, ali ne studiraju programiranje) mogu razviti ovu vrstu virusa.

Trenutno su se pojavile moćnije modifikacije.

Način uvođenja ovih zlonamjernih programa

Virus se šalje namjerno, obično u računovodstvo kompanije. Prvo, e-mailovi HR odjela i računovodstvenih odjela prikupljaju se iz baza podataka kao što je, na primjer, hh.ru. Zatim se šalju pisma. U njima se najčešće nalazi zahtjev za prijem na određenu poziciju. Na takvo pismo sa životopisom, unutar kojeg je pravi dokument sa ugrađenim OLE objektom (pdf fajl sa virusom).

U situacijama kada su zaposleni u računovodstvu odmah pokrenuli ovaj dokument, nakon ponovnog pokretanja se dogodilo sljedeće: virus je preimenovao i šifrirao datoteke, a zatim se samouništavao.

Ovakvo pismo je, po pravilu, adekvatno napisano i poslano iz sandučeta koji nije neželjena pošta (ime odgovara potpisu). Konkurs se uvijek traži na osnovu osnovne djelatnosti kompanije, zbog čega se sumnje ne pojavljuju.

Ni licencirani Kaspersky (antivirusni program) ni Virus Total (online servis za provjeru priloga na viruse) ne mogu osigurati računar u ovom slučaju. Povremeno, neki antivirusni programi, prilikom skeniranja, prijave da prilog sadrži Gen:Variant.Zusy.71505.

Kako izbjeći infekciju ovim virusom?

Svaki primljeni fajl treba provjeriti. Posebna pažnja je posvećena Word dokumentima koji imaju ugrađen pdf.

Opcije za "zaražene" e-poruke

Ima ih dosta. U nastavku su predstavljene najčešće opcije za način na koji su šifrirane datoteke virusom. U svim slučajevima, e-poštom se šalju sljedeći dokumenti:

Obavijest o početku procesa razmatranja tužbe protiv određene kompanije (u pismu se traži da provjerite podatke klikom na navedeni link).
Pismo Vrhovnog arbitražnog suda Ruske Federacije o naplati dugova.
Poruka Sberbanke u vezi povećanja postojećeg duga.
Obaveštenje o evidentiranju saobraćajnog prekršaja.
Pismo Agencije za naplatu u kojem je naznačeno maksimalno moguće odlaganje plaćanja.

Obaveštenje o šifrovanju fajla

Nakon infekcije, pojavit će se u root folderu diska C. Ponekad se datoteke poput WHAT_DO_DELA.txt, CONTACT.txt stavljaju u sve direktorije s oštećenim tekstom. Tamo se korisnik obavještava o šifriranju njegovih datoteka, koje se provodi korištenjem pouzdanih kriptografskih algoritama. Također je upozoren na neprikladnost korištenja uslužnih programa trećih strana, jer to može dovesti do trajnog oštećenja datoteka, što će zauzvrat onemogućiti njihovo kasnije dešifriranje.

Obaveštenje preporučuje da ostavite računar kakav jeste. Označava vrijeme skladištenja za dati ključ (obično 2 dana). Naveden je tačan datum nakon kojeg će se bilo koja vrsta zahtjeva zanemariti.

E-mail se nalazi na kraju. Takođe se navodi da korisnik mora dati svoj ID i da bilo koja od sljedećih radnji može dovesti do uništenja ključa, i to:

Kako dešifrirati datoteke šifrirane virusom?

Ova vrsta enkripcije je vrlo moćna: fajlu se dodjeljuje ekstenzija kao što je perfect, nochance, itd. Jednostavno je nemoguće provaliti, ali možete pokušati koristiti kriptoanalitičare i pronaći rupu (Dr. WEB će pomoći u nekim situacijama) .

Postoji još jedan način za oporavak datoteka šifriranih virusom, ali on ne funkcionira za sve viruse, a morat ćete ukloniti i originalni exe zajedno sa ovim zlonamjernim programom, što je nakon samouništenja prilično teško učiniti.

Zahtjev virusa u vezi sa uvođenjem posebnog koda je manja provjera, jer datoteka u ovom trenutku već ima dešifrator (kod, da tako kažem, napadačima neće biti potreban). Suština ove metode je ubaciti prazne komande u infiltrirani virus (na mjesto gdje se uneti kod poredi). Rezultat je da zlonamjerni program sam počinje dešifrirati datoteke i time ih potpuno vraća.

Svaki pojedinačni virus ima svoju posebnu funkciju šifriranja, zbog čega ga neće biti moguće dešifrirati izvršnom datotekom treće strane (datoteka u formatu exe), ili možete pokušati odabrati gornju funkciju za koju se moraju izvršiti sve radnje van koristeći WinAPI.

fajlovi: šta da radim?

Za provedbu postupka dešifriranja trebat će vam:

Kako izbjeći gubitak podataka zbog dotičnog zlonamjernog softvera?

Vrijedno je znati da će u situaciji kada virus ima šifrirane datoteke, proces dešifriranja potrajati. Važna stvar je da u gore pomenutom malveru postoji greška koja vam omogućava da sačuvate neke datoteke ako brzo isključite računar (izvucite utikač iz utičnice, isključite filter za napajanje, izvadite bateriju iz kućišta laptopa), čim se pojavi veliki broj datoteka sa prethodno navedenom ekstenzijom.

Još jednom treba naglasiti da je glavna stvar stalno kreirati sigurnosne kopije, ali ne u drugu mapu, ne na prenosive medije umetnute u računalo, jer će ova modifikacija virusa doći do ovih mjesta. Vrijedno je čuvati rezervne kopije na drugom računaru, na tvrdom disku koji nije trajno povezan sa računarom i u oblaku.

Trebali biste biti sumnjičavi prema svim dokumentima koji stižu poštom od nepoznatih osoba (u obliku biografije, računa, rješenja Vrhovnog arbitražnog suda Ruske Federacije ili porezne uprave, itd.). Nema potrebe da ih pokrećete na svom računaru (u ove svrhe možete odabrati netbook koji ne sadrži važne podatke).

Zlonamjerni program * [email protected]: rješenja

U situaciji kada gore navedeni virus ima šifrovane datoteke cbf, doc, jpg, itd., postoje samo tri opcije za razvoj događaja:

Najlakši način da ga se riješite je da izbrišete sve zaražene datoteke (ovo je prihvatljivo osim ako su podaci posebno važni).
Idite u laboratoriju antivirusnog programa, na primjer, Dr. WEB. Obavezno pošaljite nekoliko zaraženih datoteka programerima zajedno sa ključem za dešifriranje, koji se nalazi na računaru kao KEY.PRIVATE.
Najskuplji način. To uključuje plaćanje iznosa koji traže hakeri za dešifriranje zaraženih datoteka. U pravilu, cijena ove usluge je između 200 i 500 američkih dolara. Ovo je prihvatljivo u situaciji kada je virus šifrirao datoteke velike kompanije u kojoj se svakodnevno odvija značajan protok informacija, a ovaj zlonamjerni program može nanijeti kolosalnu štetu u nekoliko sekundi. U tom smislu, plaćanje je najbrža opcija za oporavak zaraženih datoteka.

Ponekad se dodatna opcija pokaže efikasnom. U slučaju da virus ima šifrovane fajlove (paycrypt@gmail_com ili neki drugi zlonamjerni softver), može pomoći prije nekoliko dana.

Program za dešifriranje RectorDecryptor

Ako virus ima šifrovane jpg, doc, cbf datoteke itd., tada može pomoći poseban program. Da biste to učinili, prvo ćete morati otići na pokretanje i onemogućiti sve osim antivirusa. Zatim morate ponovo pokrenuti računar. Pogledajte sve fajlove, označite sumnjive. Polje pod nazivom “Command” označava lokaciju određene datoteke (obratite pažnju na aplikacije koje nemaju potpis: proizvođač - nema podataka).

Sve sumnjive datoteke moraju biti izbrisane, nakon čega ćete morati očistiti predmemoriju preglednika i privremene mape (CCleaner je pogodan za to).

Da biste započeli dešifriranje, morate preuzeti gornji program. Zatim ga pokrenite i kliknite na dugme "Pokreni skeniranje", naznačujući promijenjene datoteke i njihovu ekstenziju. U modernim verzijama ovog programa možete samo odrediti samu zaraženu datoteku i kliknuti na dugme „Otvori“. Nakon toga, fajlovi će biti dešifrovani.

Nakon toga, uslužni program automatski skenira sve računarske podatke, uključujući datoteke koje se nalaze na priključenom mrežnom disku, i dešifruje ih. Ovaj proces oporavka može potrajati nekoliko sati (u zavisnosti od količine posla i brzine računara).

Kao rezultat toga, sve oštećene datoteke će biti dešifrovane u isti direktorij gdje su se prvobitno nalazile. Na kraju, ostaje samo da obrišete sve postojeće datoteke sa sumnjivom ekstenzijom, za što možete označiti kućicu u zahtjevu „Izbriši šifrirane datoteke nakon uspješnog dešifriranja“ tako što ćete prvo kliknuti na dugme „Promijeni parametre skeniranja“. Međutim, bolje je ne instalirati ga, jer ako dešifriranje datoteka ne uspije, one se mogu izbrisati, a nakon toga ćete ih prvo morati vratiti.

Dakle, ako virus ima šifrovane datoteke doc, cbf, jpg itd., ne biste trebali žuriti da platite kod. Možda neće biti potreban.

Nijanse brisanja šifriranih datoteka

Kada pokušate da eliminišete sve oštećene datoteke putem standardne pretrage i naknadnog brisanja, vaš računar se može zamrznuti i usporiti. S tim u vezi, za ovu proceduru vrijedi koristiti poseban. Nakon pokretanja, morate unijeti sljedeće: del "<диск>:\*.<расширение зараженного файла>"/f/s.

Neophodno je izbrisati fajlove kao što je “Read-me.txt”, za koje u istoj komandnoj liniji treba da navedete: del “<диск>:\*.<имя файла>"/f/s.

Dakle, može se primijetiti da ako je virus preimenovao i šifrirao datoteke, ne biste trebali odmah trošiti novac na kupovinu ključa od napadača; prvo biste trebali sami pokušati riješiti problem. Bolje je uložiti novac u kupovinu posebnog programa za dešifriranje oštećenih datoteka.

Na kraju, vrijedno je podsjetiti da se u ovom članku raspravljalo o pitanju kako dešifrirati datoteke šifrirane virusom.