Dešifriranje datoteka je zaključano nakon virusa. Kako dešifrirati datoteke koristeći Kaspersky RakhniDecryptor uslužni program

Uslužni program Kaspresky RakhniDecryptor će dešifrirati datoteke čije su ekstenzije promijenjene prema sljedećim obrascima:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.locked;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.mrak;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nema šanse;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>.crypto;
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>.p *** [email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id373;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id371;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id372;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id374;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id375;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id376;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id392;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id357;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id356;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id358;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id359;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id360;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id20.

Trojan-Ransom.Win32.Rakhni kreira datoteku exit.hhr.oshit, koja sadrži šifrovanu lozinku iz korisničkih datoteka. Ako je ova datoteka sačuvana na zaraženom računaru, dešifrovanje će biti mnogo brže. Ako je datoteka exit.hhr.oshit izbrisana, vratite je pomoću programa za oporavak izbrisanih datoteka, a zatim je stavite u mapu% APPDATA% i ponovo pokrenite provjeru uslužnog programa. Datoteku exit.hhr.oshit možete pronaći na sljedećoj putanji: C: \ Korisnici<имя_пользователя>\ AppData \ Roaming

• Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_crypt.
• Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email protected] _. slova>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.cry;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.encrypted.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman verzija 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.micro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman verzija 4:<имя_файла>.<оригинальное_расширение>(ime datoteke i ekstenzija se ne mijenjaju).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.encrypted;
  • <имя_файла>.locked;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.zabava;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epski;
  • <имя_файла>.encrypted;
  • <имя_файла>.J;
  • <имя_файла>.payransom;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paymds;
  • <имя_файла>.paymrss;
  • <имя_файла>.paymrts;
  • <имя_файла>.paymst;
  • <имя_файла>.paymts;
  • <имя_файла>.gefickt;
  • <имя_файла>[email protected]
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.@..xtbl;
  • <имя_файла>.ID<…>.@..CrySiS;
  • <имя_файла>.id-<…>.@..xtbl;
  • <имя_файла>.id-<…>.@..wallet;
  • <имя_файла>.id-<…>.@..dhrama;
  • <имя_файла>.id-<…>.@..luk;
  • <имя_файла>.@..wallet;
  • <имя_файла>.@..dhrama;
  • <имя_файла>.@..luk.

Primjeri nekih zlonamjernih adresa distributera:

• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected]
• Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email protected]
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.bloked;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.cripted;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.ovdje;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.PLAGUE17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected] _.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected] ____ kripta;
  • <имя_файла>.<оригинальное_расширение>[email protected] ________ kripta;
  • <имя_файла>.<оригинальное_расширение>[email protected] ___.kripta;
  • <имя_файла>.<оригинальное_расширение>[email protected]==.kripta;
  • <имя_файла>.<оригинальное_расширение>[email protected]= -.kripta.

Ako je datoteka šifrirana ekstenzijom CRYPT, dešifriranje može potrajati dugo. Na primjer, na Intel Core i5-2400 procesoru može potrajati oko 120 dana.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.crypt;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0day;
  • <имя_файла>.lock;
  • <имя_файла>[email protected] _hu;
  • <имя_файла>[email protected];
  • <имя_файла>~ xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

• Verzija zlonamjernog softvera	Adresa elektronske pošte napadača
  	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
  	[email protected] _graf1 [email protected] _mod [email protected] _mod2
  	[email protected] [email protected]
  	[email protected]
  	[email protected] [email protected][email protected] [email protected]

Kako dešifrirati datoteke koristeći Kaspersky RakhniDecryptor uslužni program

1. Preuzmite arhivu RakhniDecryptor.zip i raspakujte je. Upute u članku.
2. Idite u fasciklu sa fajlovima iz arhive.
3. Pokrenite datoteku RakhniDecryptor.exe.
4. Kliknite na Promijenite parametre skeniranja.

1. Odaberite objekte za skeniranje: tvrdi diskovi, prenosivi diskovi ili mrežni diskovi.
2. Označite polje Izbrišite šifrirane datoteke nakon uspješnog dešifriranja... U tom slučaju, uslužni program će izbrisati kopije šifriranih datoteka s dodijeljenim ekstenzijama LOCKED, KRAKEN, DARKNESS, itd.
3. Kliknite na uredu.

1. Kliknite na Započnite provjeru.

1. Odaberite šifriranu datoteku i kliknite Otvori.

1. Pročitajte upozorenje i kliknite uredu.

Fajlovi će biti dešifrovani.

Datoteka se može šifrirati ekstenzijom CRYPT više puta. Na primjer, ako je test.doc datoteka šifrirana dvaput, prvi sloj će biti dešifrovan od strane uslužnog programa RakhniDecryptor u test.1.doc.layerDecryptedKLR datoteku. Sljedeći unos će se pojaviti u izvještaju o radu uslužnog programa: "Uspješno dešifriranje: disk: \ put \ test.doc_crypt -> pogon: \ staza \ test.1.doc.layerDecryptedKLR". Uslužni program mora ponovo dešifrirati ovu datoteku. Ako je dešifriranje uspješno, datoteka će biti ponovo sačuvana sa originalnim imenom test.doc.

Parametri za pokretanje uslužnog programa iz komandne linije

Za praktičnost i ubrzanje procesa dešifriranja datoteka, Kaspersky RakhniDecryptor podržava sljedeće parametre komandne linije:

Činjenica da je internet pun virusa danas nikoga ne iznenađuje. Mnogi korisnici percipiraju situacije vezane za njihov uticaj na sisteme ili lične podatke, najblaže rečeno, zatvarajući oči, ali samo dok se virus šifrovanja posebno ne nastani u sistemu. Većina običnih korisnika ne zna kako izliječiti i dešifrirati podatke pohranjene na tvrdom disku. Stoga se ovaj kontingent „vodi“ na zahtjeve koje postavljaju napadači. Ali hajde da vidimo šta možete da uradite ako se otkrije takva pretnja ili da je sprečite da uđe u sistem.

Šta je ransomware virus?

Ova vrsta prijetnje koristi standardne i nestandardne algoritme za šifriranje datoteka koji u potpunosti mijenjaju njihov sadržaj i blokiraju pristup. Na primjer, biće apsolutno nemoguće otvoriti šifriranu tekstualnu datoteku za čitanje ili uređivanje, kao i za reprodukciju multimedijalnog sadržaja (grafika, video ili audio) nakon izlaganja virusu. Čak ni standardne operacije za kopiranje ili premještanje objekata nisu dostupne.

Samo softversko punjenje virusa je sredstvo koje šifrira podatke na takav način da nije uvijek moguće vratiti njihovo prvobitno stanje čak ni nakon uklanjanja prijetnje iz sistema. Obično takvi zlonamjerni programi kreiraju vlastite kopije i nastanjuju se vrlo duboko u sistemu, tako da virus šifriranja datoteka ponekad može biti potpuno nemoguće ukloniti. Deinstaliranjem glavnog programa ili brisanjem glavnog tijela virusa, korisnik se ne oslobađa utjecaja prijetnje, a kamoli vraća šifrirane informacije.

Kako prijetnja ulazi u sistem?

Po pravilu, prijetnje ovog tipa uglavnom su usmjerene na velike komercijalne strukture i mogu prodrijeti u kompjutere putem mail programa kada zaposlenik otvori navodno priloženi dokument u e-mailu, koji je, recimo, dodatak nekoj vrsti ugovora o saradnji ili plan nabavke robe (komercijalne ponude sa investicijama iz sumnjivih izvora su prvi put za virus).

Nevolja je u tome što se ransomware virus na računaru koji ima pristup lokalnoj mreži i u njemu može prilagoditi, stvarajući vlastite kopije ne samo u umreženom okruženju, već i na administratorskom terminalu, ako mu nedostaje potrebna zaštita u oblik antivirusnog softvera, firewall ili firewall.

Ponekad takve prijetnje mogu prodrijeti i u kompjuterske sisteme običnih korisnika, koji uglavnom nisu od interesa za sajber kriminalce. To se događa u vrijeme instalacije nekih programa preuzetih sa sumnjivih Internet resursa. Mnogi korisnici pri pokretanju preuzimanja zanemaruju upozorenja sistema antivirusne zaštite, a tokom procesa instalacije ne obraćaju pažnju na sugestije za instaliranje dodatnog softvera, panela ili dodataka za pretraživače, a zatim, kako oni recimo, grize ih za laktove.

Raznolikost virusa i malo istorije

U osnovi, prijetnje ovog tipa, posebno najopasniji ransomware virus No_more_ransom, ne klasificiraju se samo kao alati za šifriranje podataka ili blokiranje pristupa njima. Zapravo, sve takve zlonamjerne aplikacije su klasificirane kao ransomware. Drugim riječima, sajber kriminalci zahtijevaju određenu svotu novca za dešifriranje informacija, vjerujući da će ovaj proces biti nemoguće izvesti bez početnog programa. Ovo je djelimično slučaj.

Ali, ako zadubite u istoriju, primijetit ćete da je jedan od prvih virusa ovog tipa, iako nije nametao novčane zahtjeve, bio zloglasni aplet I Love You, koji je u potpunosti šifrirao multimedijalne fajlove (uglavnom muzičke numere) kod korisnika. sistemi. Dešifriranje datoteka nakon ransomware virusa pokazalo se nemogućim u to vrijeme. Sada se s tom prijetnjom može riješiti na elementaran način.

Ali razvoj samih virusa ili korištenih algoritama šifriranja ne miruje. Šta nedostaje među virusima - ovdje imate XTBL, i CBF, i Breaking_Bad, i [email protected], i gomila drugih gadnih stvari.

Tehnika uticaja na korisničke fajlove

I ako je donedavno većina napada vršena korištenjem RSA-1024 algoritama baziranih na AES enkripciji sa istom bitnošću, isti No_more_ransom ransomware virus danas je predstavljen u nekoliko interpretacija, koristeći ključeve za šifriranje bazirane na RSA-2048, pa čak i RSA-3072 tehnologijama.

Problemi dešifriranja za korištene algoritme

Problem je u tome što su savremeni sistemi za dešifrovanje nemoćni pred takvom opasnošću. Dešifriranje datoteka nakon virusa ransomwarea baziranog na AES256 još uvijek je donekle podržano, a uz veću brzinu prijenosa ključa, gotovo svi programeri samo sliježu ramenima. Ovo su, inače, službeno potvrdili stručnjaci iz Kaspersky Lab-a i Eset-a.

U najprimitivnijoj verziji, od korisnika koji se obratio službi podrške traži se da pošalje šifriranu datoteku i njen original radi upoređivanja i daljnjih operacija za određivanje algoritma šifriranja i metoda oporavka. Ali, u pravilu, u većini slučajeva to ne funkcionira. Ali ransomware virus može sam da dešifruje fajlove, kako se veruje, pod uslovom da žrtva pristane na uslove napadača i plati određeni iznos u novčanom smislu. Međutim, takva formulacija pitanja izaziva opravdane sumnje. I zato.

Enkripcijski virus: kako izliječiti i dešifrirati datoteke i može li se to učiniti?

Nakon izvršene uplate, kaže se da hakeri aktiviraju dešifriranje putem daljinskog pristupa svom virusu koji se nalazi na sistemu ili putem dodatnog apleta ako je tijelo virusa uklonjeno. Izgleda više nego sumnjivo.

Napominjem i činjenicu da je internet pun lažnih postova u kojima se navodi da je, kažu, uplaćena potrebna suma, a podaci su uspješno vraćeni. Ovo je sve laž! I zaista - gdje je garancija da se nakon plaćanja virus šifriranja u sistemu neće ponovo aktivirati? Nije teško razumjeti psihologiju provalnika: ako platiš jednom, platiš ponovo. A ako je riječ o posebno važnim informacijama poput konkretnih komercijalnih, naučnih ili vojnih dešavanja, vlasnici takvih informacija spremni su da plate koliko je potrebno, kako bi dosijei ostali netaknuti i sigurni.

Prvi lijek za uklanjanje prijetnje

Ovo je priroda ransomware virusa. Kako dezinficirati i dešifrirati datoteke nakon što su bili izloženi prijetnji? Da, nema šanse, ako nema alata pri ruci, koji također ne pomažu uvijek. Ali možete pokušati.

Pretpostavimo da se na sistemu pojavio ransomware virus. Kako da dezinficiram zaražene datoteke? Prvo, trebalo bi da izvršite dubinsko skeniranje sistema bez upotrebe S.M.A.R.T. tehnologije, koja detektuje pretnje samo kada su boot sektori i sistemski fajlovi oštećeni.

Preporučljivo je ne koristiti postojeći standardni skener, koji je već propustio prijetnju, već koristiti prijenosne uslužne programe. Najbolja opcija bi bila pokretanje sa Kaspersky Rescue Disk, koji može da se pokrene čak i pre nego što operativni sistem počne da radi.

Ali ovo je samo pola bitke, jer se na ovaj način možete riješiti samo samog virusa. Ali s dekoderom će biti teže. Ali više o tome kasnije.

Postoji još jedna kategorija u koju spadaju ransomware virusi. Kako dešifrirati informacije bit će rečeno odvojeno, ali za sada se zadržimo na činjenici da oni mogu potpuno otvoreno postojati u sistemu u obliku službeno instaliranih programa i aplikacija (drskost napadača nema granica, jer prijetnja postoji čak ni ne pokušava da se preruši).

U tom slučaju, trebali biste koristiti odjeljak programa i komponenti gdje se vrši standardna deinstalacija. Međutim, također treba obratiti pažnju na činjenicu da standardni Windows deinstalator ne briše u potpunosti sve programske datoteke. Konkretno, ransom ransomware virus je u stanju da kreira sopstvene fascikle u osnovnim direktorijumima sistema (obično su to Csrss direktorijumi, gde je prisutna izvršna datoteka csrss.exe istog imena). Windows, System32 ili korisnički direktoriji (Korisnici na sistemskom disku) su odabrani kao glavna lokacija.

Osim toga, No_more_ransom ransomware virus upisuje svoje ključeve u registar u obliku veze naizgled ka službenoj sistemskoj usluzi Client Server Runtime Subsystem, što je za mnoge obmanjujuće, budući da bi ovaj servis trebao biti odgovoran za interakciju između klijentskog i serverskog softvera. . Sam ključ se nalazi u folderu Run, do kojeg se može doći preko HKLM grane. Jasno je da ćete morati ručno izbrisati takve ključeve.

Da biste to olakšali, možete koristiti uslužne programe kao što je iObit Uninstaller, koji automatski traže preostale datoteke i ključeve registratora (ali samo ako je virus vidljiv u sistemu kao instalirana aplikacija). Ali ovo je najjednostavnija stvar.

Rješenja koja nude programeri antivirusnog softvera

Vjeruje se da se dešifriranje ransomware virusa može obaviti pomoću posebnih uslužnih programa, iako ako imate tehnologije s ključem od 2048 ili 3072 bita, ne biste se trebali oslanjati na njih (osim toga, mnogi od njih brišu datoteke nakon dešifriranja, a zatim vraćene datoteke nestaju zbog greške prisustva tijela virusa koje prije nije uklonjeno).

Ipak, možete pokušati. Od svih programa vrijedi istaknuti RectorDecryptor i ShadowExplorer. Vjeruje se da ništa bolje do sada nije stvoreno. Ali problem može biti i to što kada pokušate koristiti dešifriranje, nema garancije da datoteke koje se dezinficiraju neće biti izbrisane. Odnosno, ako se u početku ne riješite virusa, svaki pokušaj dešifriranja bit će osuđen na neuspjeh.

Osim brisanja šifriranih informacija, to može biti i kobno - cijeli sistem će biti nefunkcionalan. Osim toga, moderni ransomware virus može utjecati ne samo na podatke pohranjene na tvrdom disku računara, već i na datoteke u skladištu u oblaku. I ovdje nema rješenja za vraćanje informacija. Osim toga, kako se ispostavilo, mnoge usluge poduzimaju nedovoljno efikasne mjere zaštite (isti ugrađeni OneDrive u Windows 10, koji je izložen direktno iz operativnog sistema).

Radikalno rješenje problema

Kao što je već jasno, većina modernih metoda ne daje pozitivan rezultat kada je zaražena takvim virusima. Naravno, ako postoji original oštećene datoteke, može se poslati na ispitivanje u antivirusnu laboratoriju. Istina, postoje i vrlo ozbiljne sumnje da će običan korisnik kreirati rezervne kopije podataka koji, kada se pohranjuju na hard disk, također mogu biti izloženi zlonamjernom kodu. A o činjenici da korisnici kopiraju informacije na prenosivi medij, kako bi izbjegli nevolje, uopće ne govorimo.

Stoga se za radikalno rješenje problema nameće zaključak: potpuno formatiranje tvrdog diska i svih logičkih particija uz brisanje informacija. Pa šta da radimo? Morat ćete donirati ako ne želite da se virus ili njegova samosčuvana kopija ponovo aktiviraju u sistemu.

Da biste to učinili, ne biste trebali koristiti alate samih Windows sistema (mislim na formatiranje virtuelnih particija, jer će se prilikom pokušaja pristupa sistemskom disku izdati zabrana). Bolje je koristiti pokretanje s optičkih medija kao što su LiveCD-ovi ili instalacijske distribucije, poput onih kreiranih pomoću alata za kreiranje medija za Windows 10.

Prije početka formatiranja, pod uvjetom da je virus uklonjen iz sistema, možete pokušati vratiti integritet komponenti sistema putem komandne linije (sfc / scannow), ali to neće imati efekta u smislu dešifriranja i otključavanja podataka. Stoga je format c: jedino ispravno moguće rješenje, sviđalo se to vama ili ne. Ovo je jedini način da se u potpunosti riješite ove vrste prijetnji. Avaj, nema drugog načina! Čak je i tretman standardnim alatima koje nudi većina antivirusnih paketa nemoćan.

Umjesto pogovora

U smislu sugeriranja zaključaka, možemo samo reći da danas ne postoji jedinstveno i univerzalno rješenje za otklanjanje posljedica utjecaja ovakvih prijetnji (nažalost, ali činjenica – to potvrđuje većina programera i stručnjaka za antivirusni softver u oblasti kriptografije).

Ostaje nejasno zašto su pojavu algoritama baziranih na 1024-, 2048- i 3072-bitnoj enkripciji prošli oni koji su direktno uključeni u razvoj i implementaciju ovakvih tehnologija? Zaista, danas se algoritam AES256 smatra najperspektivnijim i najsigurnijim. Biljeska! 256! Ovaj sistem, kako se ispostavilo, nije pogodan za moderne viruse. Što onda možemo reći o pokušajima dešifriranja njihovih ključeva?

Kako god bilo, prilično je lako izbjeći uvođenje prijetnje u sistem. U najjednostavnijem slučaju, sve dolazne poruke sa prilozima u Outlooku, Thunderbirdu i drugim mail klijentima treba skenirati antivirusom odmah nakon prijema i ni u kom slučaju ne otvarati priloge dok se skeniranje ne završi. Također treba pažljivo pročitati prijedloge za instaliranje dodatnog softvera prilikom instaliranja nekih programa (obično su napisani vrlo sitnim slovima ili maskirani kao standardni dodaci poput ažuriranja Flash Player-a ili nečeg drugog). Bolje je ažurirati medijske komponente putem službenih stranica. Ovo je jedini način da barem nekako spriječite prodor ovakvih prijetnji u vlastiti sistem. Posljedice mogu biti potpuno nepredvidive s obzirom da se virusi ovog tipa trenutno šire po lokalnoj mreži. A za kompaniju se takav razvoj događaja može pretvoriti u pravi kolaps svih poduhvata.

Konačno, administrator sistema ne bi trebao sjediti besposlen. U takvoj situaciji bolje je isključiti sredstva softverske zaštite. Isti firewall (firewall) ne bi trebao biti softver, već "hardver" (naravno, sa pratećim softverom na ploči). A, podrazumjeva se da se ne isplati štedjeti ni na kupovini antivirusnih paketa. Bolje je kupiti licencirani paket, a ne instalirati primitivne programe koji navodno pružaju zaštitu u stvarnom vremenu samo od riječi programera.

A ako je prijetnja već ušla u sistem, redoslijed radnji trebao bi uključivati ​​uklanjanje samog tijela virusa, a tek onda pokušaje dešifriranja oštećenih podataka. Idealno - potpuno formatiranje (imajte na umu, ne brzo sa brisanjem sadržaja, već potpuno formatiranje, po mogućnosti sa vraćanjem ili zamjenom postojećeg sistema datoteka, sektora za pokretanje i zapisa).

Danas se korisnici računara i laptopa sve više suočavaju sa zlonamjernim softverom koji datoteke zamjenjuje njihovim šifriranim kopijama. U stvari, ovo su virusi. Jedan od najopasnijih u ovoj seriji je XTBL ransomware. Šta je ovo štetočina, kako ulazi u računar korisnika i da li je moguće povratiti oštećene informacije?

Šta je XTBL ransomware i kako ulazi u računar

Ako na svom računaru ili laptopu pronađete fajlove sa dugim imenom i ekstenzijom .xtbl, onda sa sigurnošću možemo reći da je opasan virus - XTBL ransomware - ušao u sistem. Utječe na sve verzije Windows OS-a. Gotovo je nemoguće samostalno dešifrirati takve datoteke, jer program koristi hibridni način rada, u kojem je odabir ključa jednostavno nemoguć.

Zaražene datoteke popunjavaju sistemske direktorije. Unosi se dodaju u Windows registar koji automatski pokreće virus svaki put kada se OS pokrene.

Skoro sve vrste fajlova su šifrovane – grafički, tekstualni, arhivski, mail, video, muzika, itd. Postaje nemoguće raditi u Windows-u.

Kako to radi? XTBL ransomware pokrenut u Windowsu prvo skenira sve logičke diskove. Ovo uključuje oblak i mrežno skladište koje se nalazi na vašem računaru. Kao rezultat toga, datoteke se grupišu po ekstenzijama, a zatim šifriraju. Tako sve vrijedne informacije koje se nalaze u korisničkim folderima postaju nedostupne.

Ovo je slika koju će korisnik vidjeti umjesto ikona s imenima poznatih datoteka.

Ekstenzija datoteke se mijenja pod utjecajem XTBL ransomwarea. Korisnik sada vidi ikonu praznog lista i dugačak naslov koji završava sa .xtbl umjesto slike ili teksta u Wordu. Osim toga, na radnoj površini se pojavljuje poruka, svojevrsna instrukcija za oporavak šifriranih informacija, koja zahtijeva da platite otključavanje. Ovo nije ništa drugo do ucjena otkupninom.

Takva poruka se prikazuje u "desktop" prozoru računara.

Distribucija XTBL ransomwarea se obično događa putem e-pošte. Pismo sadrži priložene datoteke ili dokumente zaražene virusom. Prevarant privlači korisnika šarenim naslovom. Sve je urađeno tako da poruka koja kaže da ste vi, na primer, osvojili milion, bude otvorena. Ne odgovarajte na takve poruke jer postoji veliki rizik da će virus završiti u vašem OS-u.

Da li je moguće povratiti informacije

Možete pokušati dešifrirati informacije pomoću posebnih uslužnih programa. Međutim, ne postoji garancija da ćete se moći riješiti virusa i oporaviti oštećene datoteke.

Trenutno, XTBL ransomware predstavlja nesumnjivu prijetnju svim računarima koji koriste Windows. Čak ni priznati lideri u borbi protiv virusa - Dr.Web i Kaspersky Lab - nemaju 100% rješenje za ovaj problem.

Uklanjanje virusa i vraćanje šifriranih datoteka

Postoje različite metode i programi koji vam omogućavaju da radite sa XTBL ransomware-om. Neki uklanjaju sam virus, drugi pokušavaju dešifrirati zaključane datoteke ili vratiti njihove prethodne kopije.

Prekid kompjuterske infekcije

Ako imate sreće da primijetite početak pojavljivanja datoteka sa ekstenzijom .xtbl na vašem računaru, onda je proces dalje infekcije sasvim moguće prekinuti.

Kaspersky Virus Removal Tool za uklanjanje XTBL ransomware-a

Sve takve programe treba otvoriti u OS-u koji je prethodno bio pokrenut u sigurnom načinu rada s opcijom učitavanja mrežnih drajvera. U ovom slučaju je mnogo lakše ukloniti virus, jer je povezan minimalni broj sistemskih procesa potrebnih za pokretanje Windowsa.

Za učitavanje bezbednog režima u Windows XP, 7 tokom pokretanja sistema, stalno pritiskajte taster F8 i nakon što se pojavi prozor menija izaberite odgovarajuću stavku. Kada koristite Windows 8, 10, ponovo pokrenite OS dok držite pritisnut taster Shift. Tokom procesa pokretanja, otvorit će se prozor u kojem možete odabrati potrebnu opciju sigurnog pokretanja.

Odabir sigurnog načina rada s učitavanjem mrežnih drajvera

Kaspersky Virus Removal Tool savršeno prepoznaje XTBL ransomware i uklanja ovu vrstu virusa. Pokrenite skeniranje računara klikom na odgovarajuće dugme nakon što se uslužni program učita. Nakon što se skeniranje završi, izbrišite otkrivene zlonamjerne datoteke.

Pokretanje skeniranja računara za prisustvo XTBL ransomware-a u Windows OS-u, a zatim uklanjanje virusa

Dr.Web CureIt!

Algoritam za skeniranje i uklanjanje virusa je praktički isti kao u prethodnoj verziji. Skenirajte sve logičke diskove pomoću uslužnog programa. Da biste to učinili, samo trebate slijediti komande programa nakon pokretanja. Na kraju procesa, riješite se zaraženih datoteka klikom na dugme "Neutraliziraj".

Neutralizacija zlonamjernih datoteka nakon Windows skeniranja

Malwarebytes Anti-malware

Program će izvršiti korak po korak skeniranje vašeg računara u potrazi za zlonamjernim kodovima i uništiti ih.

1. Instalirajte i pokrenite uslužni program Anti-malware.
2. Odaberite stavku "Pokreni skeniranje" na dnu prozora koji se otvori.
3. Pričekajte do kraja procesa i označite potvrdne okvire sa zaraženim datotekama.
4. Izbrišite odabir.

Uklanjanje zlonamjernih XTBL ransomware datoteka otkrivenih tokom skeniranja

Online skript-dekoder iz Dr.Web-a

Na službenoj stranici Dr.Web, u odjeljku podrške, nalazi se kartica sa skriptom za onlajn dešifriranje datoteka. Treba imati na umu da će samo oni korisnici na čijim računarima je instaliran antivirus ovog programera moći koristiti dešifriranje na mreži.

Pročitajte uputstva, popunite sve što vam je potrebno i kliknite na dugme "Pošalji".

Uslužni program za dešifriranje RectorDecryptor iz Kaspersky Lab-a

Kaspersky Lab takođe dešifruje datoteke. Na službenoj stranici možete preuzeti uslužni program RectorDecryptor.exe za Windows Vista, 7, 8 slijedeći veze u meniju "Podrška - Tretman i dešifriranje datoteka - RectorDecryptor - Kako dešifrirati datoteke". Pokrenite program, provjerite ga, a zatim izbrišite šifrirane datoteke odabirom odgovarajuće stavke.

Skeniranje i dešifriranje datoteka zaraženih XTBL ransomwareom

Vraćanje šifriranih datoteka iz sigurnosne kopije

Počevši od Windows 7, možete pokušati vratiti datoteke iz rezervnih kopija.

ShadowExplorer za oporavak šifriranih datoteka

Program je prenosiva verzija, može se preuzeti sa bilo kojeg medija.

QPhotoRec

Program je posebno dizajniran za oporavak oštećenih i izbrisanih datoteka. Koristeći ugrađene algoritme, uslužni program pronalazi i vraća sve izgubljene informacije u prvobitno stanje.

QPhotoRec je besplatan.

Nažalost, postoji samo engleska verzija QPhotoRec-a, ali nije teško razumjeti postavke, interfejs je intuitivan.

1. Pokrenite program.
2. Provjerite logičke pogone sa šifriranim informacijama.
3. Kliknite na dugme Formati datoteka i OK.
4. Koristeći dugme Pregledaj koji se nalazi na dnu otvorenog prozora, izaberite lokaciju za čuvanje datoteka i pokrenite proceduru vraćanja klikom na Traži.

QPhotoRec obnavlja datoteke koje je izbrisao XTBL ransomware i zamijenjene njihovim vlastitim kopijama

Kako dešifrirati datoteke - video

Šta ne raditi

1. Nikada ne preduzimajte radnje u koje niste sasvim sigurni. Bolje je pozvati stručnjaka iz servisnog centra ili možete sami odnijeti računar tamo.
2. Ne otvarajte mejlove nepoznatih pošiljalaca.
3. Ni u kom slučaju ne bi trebalo da vas vode ucenjivači pristankom da im prenesete novac. To, najvjerovatnije, neće dati rezultat.
4. Nemojte ručno preimenovati ekstenzije šifrovanih datoteka i nemojte žuriti da ponovo instalirate Windows. Možda će biti moguće pronaći rješenje koje će ispraviti situaciju.

Profilaksa

Pokušajte da instalirate pouzdanu zaštitu od prodora XTBL ransomwarea i sličnih ransomware virusa na vaš računar. Ovi programi uključuju:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

Unatoč činjenici da su svi na engleskom, rad s takvim uslužnim programima je prilično jednostavan. Pokrenite program i odaberite nivo zaštite u postavkama.

Pokretanje programa i odabir nivoa zaštite

Ako ste naišli na ransomware virus koji šifrira datoteke na vašem računalu, onda, naravno, ne biste trebali odmah očajavati. Pokušajte koristiti predložene metode za oporavak oštećenih informacija. Ovo je često korisno. Nemojte koristiti neprovjerene programe nepoznatih programera za uklanjanje XTBL ransomwarea. Uostalom, ovo može samo pogoršati situaciju. Ako je moguće, instalirajte jedan od programa koji sprečavaju virus da radi na vašem računaru i redovno planirajte Windows skeniranje u potrazi za zlonamernim procesima.

Nastavljam ozloglašeni odjeljak na svojoj web stranici s još jednom pričom u kojoj sam i sam bio žrtva. Reći ću vam o ransomware ransomware Crusis (Dharma), koji je šifrirao sve datoteke na mrežnom disku i dao im ekstenziju .combo. Radio je ne samo na lokalnim datotekama, kao što se najčešće događa, već i na mrežnim datotekama.

Zajamčeno dešifriranje datoteka nakon ransomware virusa - dr-shifro.ru. Detalji rada i šema interakcije sa kupcem nalaze se ispod u mom članku ili na web stranici u odjeljku "Procedura rada".

Uvod

Priča će biti u prvom licu, jer su podaci i infrastruktura kojima sam upravljao bili pogođeni ransomwareom. Žalosno je to priznati, ali dijelom sam i sama kriva za ono što se dogodilo, iako poznajem ransomware jako dugo. U svoju odbranu reći ću da podaci nisu izgubljeni, sve je brzo restaurirano i istraženo u vrućoj potjeri. Ali prvo stvari.

Dosadno jutro počelo je činjenicom da je u 9:15 ujutro pozvao sistem administrator sa jedne udaljene lokacije i rekao da je ransomware na mreži, podaci na mrežnim diskovima su već šifrirani. Jeza je prošla kroz kožu :) Počeo je sam da provjerava izvor infekcije, a ja sa svojim. Naravno, odmah sam otišao na server, isključio mrežne diskove i počeo da gledam dnevnik pristupa podacima. Mrežni diskovi su konfigurisani na, moraju biti omogućeni. Iz dnevnika sam odmah vidio izvor zaraze, račun s kojeg je pokrenut ransomware i vrijeme početka šifriranja.

Opis Crusis ransomware virusa (Dharma)

Tada je počela istraga. Šifrovani fajlovi su dobili ekstenziju .combo... Bilo ih je puno. Ransomware je počeo da radi kasno uveče, oko 23:00 sata. Srećom - sigurnosna kopija zahvaćenih diskova je do tada upravo bila završena. Podaci uopće nisu izgubljeni, jer su uspjeli napraviti rezervnu kopiju na kraju radnog dana. Odmah sam počeo sa vraćanjem iz rezervne kopije, koja je na zasebnom serveru bez smb pristupa.

Tokom noći virus je uspio da šifrira oko 400 GB podataka na mrežnim diskovima. Banalno brisanje svih šifriranih datoteka s combo ekstenzijom je dugo trajalo. U početku sam htio da ih sve izbrišem odjednom, ali kada je samo odbrojavanje ovih fajlova trajalo 15 minuta, shvatio sam da je stvar u ovom trenutku beskorisna. Umjesto toga, počeo je savijati stvarne podatke, a nakon toga je očistio diskove od šifriranih datoteka.

Odmah ću vam reći jednu uobičajenu istinu. Posjedovanje ažuriranih, pouzdanih rezervnih kopija čini svaki problem riješivim. Šta učiniti ako ih nema, ili nisu relevantni, ne mogu ni da zamislim. Uvijek obraćam posebnu pažnju na sigurnosne kopije. Volim ih, njegujem ih i nikome ne dam pristup njima.

Nakon što sam započeo oporavak šifriranih datoteka, bilo je vremena da mirno shvatim situaciju i bolje pogledam Crusis (Dharma) ransomware virus. Ovdje su me čekala iznenađenja i iznenađenja. Izvor zaraze bila je virtuelna mašina sa Windows 7 sa proslijeđeno rdp port kroz rezervni kanal. Port nije bio standardan - 33333. Mislim da je bila velika greška koristiti takav port. Iako nije standardan, veoma je popularan. Naravno, bolje je uopšte ne prosleđivati ​​rdp, ali u ovom slučaju je to zaista bilo neophodno. Inače, sada se umjesto ove virtuelne mašine koristi i virtuelna mašina sa CentOS 7, ona ima kontejner koji radi u svom docker-u sa xfce-om i pretraživačem. Pa ova virtuelna mašina nema pristup nigde, samo tamo gde je potrebna.

Šta je strašno u cijeloj ovoj priči. Virtuelna mašina je ažurirana. Ransomware je počeo sa radom krajem avgusta. Kada je došlo do infekcije mašine, nemoguće je sa sigurnošću utvrditi. Virus je izbrisao mnogo stvari u samoj virtuelnoj mašini. Ažuriranja ovog sistema su izvršena u maju. Odnosno, na njemu ne bi trebalo biti starih otvorenih rupa. Sada uopće ne znam kako da održim rdp port pristupačnim sa interneta. Previše je slučajeva u kojima je to zaista potrebno. Na primjer, terminal server na iznajmljenom hardveru. Nećete takođe iznajmiti gateway za vpn za svaki server.

Sada, bliže stvari i samom enkriptoru. Virtuelnoj mašini je onemogućen mrežni interfejs, a zatim je pokrenuta. Dočekao me standardni znak, koji sam mnogo puta vidio kod drugih ransomware-a.

Svi vaši fajlovi su šifrirani! Svi vaši fajlovi su šifrovani zbog bezbednosnog problema na vašem računaru. Ako želite da ih vratite, pišite nam na e-mail [email protected] Upišite ovaj ID u naslov vaše poruke 501BED27 U slučaju da nema odgovora u roku od 24 sata pišite nam na ove e-mailove: [email protected] Morate platiti za dešifriranje u bitcoinima. Cijena zavisi od toga koliko brzo nam pišete. Nakon uplate poslat ćemo vam alat za dešifriranje koji će dešifrirati sve vaše datoteke. Besplatno dešifrovanje kao garancija Prije plaćanja možete nam poslati do 1 fajl za besplatno dešifriranje. Ukupna veličina fajlova mora biti manja od 1Mb (ne arhivirani), a fajlovi ne bi trebalo da sadrže vredne informacije. (baze podataka, rezervne kopije, veliki Excel listovi, itd.) Kako doći do Bitcoina Najlakši način za kupovinu bitcoina je LocalBitcoins stranica. Morate se registrovati, kliknuti na "Kupi bitcoine" i odabrati prodavca po načinu plaćanja i cijeni. https://localbitcoins.com/buy_bitcoins Također možete pronaći druga mjesta za kupovinu Bitcoina i vodič za početnike ovdje: Pažnja! Nemojte preimenovati šifrovane datoteke. Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može uzrokovati trajni gubitak podataka. Dešifriranje vaših datoteka uz pomoć trećih strana može uzrokovati povećanje cijene (oni svoju naknadu dodaju našoj) ili možete postati žrtva prevare.

Na radnoj površini su bila 2 tekstualna fajla sa imenima FILES ENCRYPTED.TXT sa sljedećim sadržajem:

Svi vaši podaci su nam zaključani. Želite li vratiti? napiši email [email protected]

Zanima me da su se dozvole za direktorij promijenile Desktop... Korisnik nije imao prava pisanja. Očigledno, virus je to učinio kako korisnik ne bi slučajno izbrisao informacije u tekstualnim datotekama sa radne površine. Postojao je i direktorij na radnoj površini troy koji sadrži sam virus - fajl l20VHC_playload.exe.

Kako Crusis (Dharma) ransomware virus šifrira datoteke

Nakon što sam sve mirno shvatio i pročitavši slične poruke na temu ransomwarea na internetu, saznao sam da sam zahvatio razni poznati ransomware virus Crusis (Dharma). Kaspersky ga detektuje kao Trojan-Ransom.Win32.Crusis.to... Stavlja različite ekstenzije datotekama, uključujući .combo. Moja lista fajlova je izgledala otprilike ovako:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatskiy.docx.id-24EE2FBC..combo
• Horol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Reći ću vam još neke detalje o tome kako je ransomware funkcionirao. Nisam spomenuo bitnu stvar. Ovaj računar je bio u domeni. Fajlovi su šifrirani od korisnika domene !!! Ovo postavlja pitanje odakle je virus došao. Na logovima kontrolera domena nisam vidio informacije i nagađanje korisničke lozinke. Nije bilo mase neuspješnih autorizacija. Ili je korištena ranjivost, ili ne znam šta da mislim. Korišten je račun koji se nikada nije prijavio na ovaj sistem. Došlo je do autorizacije putem rdp-a sa korisničkog računa domene, a potom i enkripcije. Ni na samom sistemu nije bilo tragova brute force korisnika i lozinki. Skoro odmah se pojavila prijava na nalog rdp domene. Trebalo je pronaći, barem, ne samo lozinku, već i ime.

Nažalost, nalog je imao lozinku 123456. Ovo je bio jedini nalog sa takvom lozinkom koju su administratori polja propustili. Ljudski faktor. Bio je to menadžer, i iz nekog razloga čitav niz sistemskih administratora je znao za ovu lozinku, ali je nije promijenio. Očigledno, to je razlog za korištenje ovog naloga. Ali ipak, mehanizam dobivanja čak i tako jednostavne lozinke i korisničkog imena ostaje nepoznat.

Isključio sam i izbrisao virtuelnu mašinu zaraženu ransomwareom, nakon što sam snimio sliku diska. Sam virus sam uzeo sa slike da pogledam njegov rad. Dalja priča će se zasnivati ​​na lansiranju virusa u virtuelnoj mašini.

Još jedan mali detalj. Virus je skenirao cijelu lokalnu mrežu i istovremeno šifrirao informacije na onim računalima na kojima su postojali neki zajednički folderi sa pristupom za sve. Ovo je prvi put da sam vidio ovakvu modifikaciju ransomwarea. Ovo je zaista strašna stvar. Takav virus može jednostavno paralizirati rad cijele organizacije. Recimo, iz nekog razloga ste imali mrežni pristup samim rezervnim kopijama. Ili su koristili neku vrstu slabe lozinke za račun. Može se ispostaviti da će sve biti šifrirano - i podaci i arhivske kopije. Generalno, sada razmišljam o čuvanju rezervnih kopija ne samo u izolovanom mrežnom okruženju, već generalno na isključenoj opremi, koja se pokreće samo da bi se napravila rezervna kopija.

Kako liječiti svoj kompjuter i ukloniti Crusis (Dharma) ransomware

U mom slučaju, Crusis (Dharma) ransomware virus se nije posebno skrivao i ne bi trebao predstavljati probleme za njegovo uklanjanje. Kao što sam rekao, bio je u folderu na desktopu. Osim toga, snimio je sebe i informativnu poruku u autostartu.

Tijelo samog virusa je duplicirano u startu u sekciji Startup svim korisnicima i windows / system32... Nisam pažljivije gledao, jer ne vidim smisao. Nakon što ste zaraženi ransomwareom, toplo preporučujem da ponovo instalirate sistem. Ovo je jedini način da osigurate da je virus uklonjen. Nikada nećete biti potpuno sigurni da je virus uklonjen, jer je mogao iskoristiti neke neobjavljene i nepoznate ranjivosti kako bi ostavio marker u sistemu. Nakon nekog vremena, preko ove hipoteke, možete dobiti neku vrstu novog virusa i sve će se ponoviti u krug.

Zato preporučujem da ne dezinfikujete računar odmah nakon otkrivanja ransomware-a, već da ponovo instalirate sistem, čuvajući preostale podatke. Možda virus nije uspio sve šifrirati. Ove preporuke su za one koji neće pokušati oporaviti datoteke. Ako imate ažurirane sigurnosne kopije, samo ponovo instalirajte sistem i vratite podatke.

Ako nemate rezervne kopije i spremni ste da vratite fajlove po svaku cenu, onda se trudimo da uopšte ne diramo računar. Prije svega, samo odspojite mrežni kabel, preuzmite nekoliko šifriranih datoteka i tekstualnu datoteku s informacijama o cisto USB fleš disk, a zatim isključite računar. Računar se više ne može uključiti. Ako se uopće ne razumijete u kompjuterske stvari, tada se nećete moći sami nositi s virusom, a još manje dešifrirati ili vratiti datoteke. Kontaktirajte nekoga ko razumije. Ako mislite da možete nešto učiniti sami, čitajte dalje.

Gdje preuzeti Crusis dekoder (Dharma)

Ono što slijedi je moj univerzalni savjet o svim ransomware virusima. Postoji stranica - https://www.nomoreransom.org Ona teoretski može sadržavati dešifriranje za Crusis ili Dharma, ili neke druge informacije o dešifriranju datoteka. U mojoj praksi to se nikada ranije nije dogodilo, ali odjednom imate sreće. Vrijedi pokušati. Da biste to učinili, na glavnoj stranici pristajemo klikom DA.

Priložite 2 datoteke i zalijepite sadržaj poruke ransomwarea i kliknite Provjeri.

Ako budeš imao sreće, dobij neke informacije. U mom slučaju ništa nije pronađeno.

Svi postojeći dekriptori za ransomware prikupljeni su na posebnoj stranici - https://www.nomoreransom.org/ru/decryption-tools.html Postojanje ove liste nam omogućava da očekujemo da još uvijek ima smisla u ovoj stranici i usluzi. Kaspersky ima sličnu uslugu - https://noransom.kaspersky.com/ru/ Tu možete okušati sreću.

Mislim da ne vrijedi tražiti dekodere negdje drugdje putem pretrage na internetu. Malo je vjerovatno da će oni biti pronađeni. Najvjerovatnije će to biti ili obična prevara sa neželjenim softverom u najboljem slučaju, ili novi virus.

Važan dodatak. Ako imate instaliranu licenciranu verziju antivirusnog programa, obavezno kreirajte zahtjev za antivirusni TP na temu dešifriranja datoteke. Ponekad zaista pomaže. Vidio sam recenzije uspješnog dešifriranja od strane antivirusnih snaga.

Kako dešifrirati i oporaviti datoteke nakon Crusis (Dharma) virusa

Što učiniti kada je Crusis (Dharma) virus šifrirao vaše datoteke, nijedna od prethodno opisanih metoda nije pomogla, a stvarno trebate oporaviti datoteke? Tehnička implementacija enkripcije ne dozvoljava dešifriranje datoteka bez ključa ili dešifratora, koji ima samo autor enkriptora. Možda postoji neki drugi način da se to dobije, ali nemam takve informacije. Moramo samo pokušati da povratimo datoteke praktičnim metodama. To uključuje:

• Alat kopije u senci prozori.
• Softver za oporavak izbrisanih podataka

Prije daljnjih manipulacija, preporučujem da napravite sliku diska sektor po sektor. Ovo će vam omogućiti da popravite trenutno stanje i ako ništa ne uspije, onda se barem možete vratiti na početnu tačku i pokušati nešto drugo. Zatim morate ukloniti sam ransomware bilo kojim antivirusom s najnovijim setom antivirusnih baza podataka. Fit CureIt ili Kaspersky Virus Removal Tool... Možete instalirati bilo koji drugi antivirus u probnom načinu rada. Ovo je dovoljno za uklanjanje virusa.

Nakon toga, dižemo se na zaraženi sistem i provjeravamo da li imamo omogućene sjene kopije. Ovaj alat radi prema zadanim postavkama u Windows 7 i novijim, osim ako ga ručno ne onemogućite. Da biste provjerili, otvorite svojstva računara i idite na odjeljak za zaštitu sistema.

Ako tokom infekcije niste potvrdili UAC zahtjev za brisanje datoteka u sjenčanim kopijama, onda bi neki podaci trebali ostati tamo. Za praktičan oporavak datoteka iz sjenčanih kopija, predlažem korištenje besplatnog programa za to - ShadowExplorer. Preuzmite arhivu, raspakujte program i pokrenite ga.

Otvara se posljednja kopija datoteka i korijen diska C. U gornjem lijevom uglu možete odabrati rezervnu kopiju ako ih imate više. Provjerite različite kopije za datoteke koje želite. Uporedite po datumima, gdje je novija verzija. U mom primjeru ispod, pronašao sam 2 fajla na svom desktopu prije tri mjeseca kada su posljednji put uređivani.

Uspio sam oporaviti ove datoteke. Da to uradim, odabrao sam ih, kliknuo desnim tasterom miša, odabrao Izvezi i pokazao fasciklu u koju da ih vratim.

Fascikle možete vratiti odmah na isti način. Ako su sjene kopije radile za vas, a niste ih izbrisali, imate dosta šansi da oporavite sve ili gotovo sve datoteke šifrirane virusom. Možda će neki od njih biti starija verzija nego što bismo željeli, ali je ipak bolje nego ništa.

Ako iz nekog razloga nemate kopije datoteka u sjeni, jedina šansa da dobijete barem nešto od šifriranih datoteka je da ih vratite pomoću alata za oporavak izbrisanih datoteka. Da biste to učinili, predlažem korištenje besplatnog programa Photorec.

Pokrenite program i odaberite disk na kojem ćete oporaviti datoteke. Pokretanje grafičke verzije programa pokreće fajl qphotorec_win.exe... Potrebno je odabrati folder u koji će se nalaziti fajlovi. Bolje je da se ovaj folder ne nalazi na istom disku na kojem pretražujemo. Za ovo povežite USB fleš disk ili eksterni čvrsti disk.

Proces traženja će trajati dugo. Na kraju ćete vidjeti statistiku. Sada možete otići u prethodno navedeni folder i vidjeti šta je tamo pronađeno. Najvjerovatnije će biti mnogo datoteka i većina njih će biti ili oštećena, ili će biti neka vrsta sistemskih i beskorisnih datoteka. Ali ipak, na ovoj listi možete pronaći neke korisne datoteke. Već sada nema garancija da ćete pronaći ono što ćete pronaći. Slike se obično najbolje obnavljaju.

Ako niste zadovoljni rezultatom, još uvijek postoje programi za oporavak izbrisanih datoteka. Ispod je lista programa koje obično koristim kada trebam da povratim maksimalni broj datoteka:

• R.saver
• Starus File Recovery
• JPEG Recovery Pro
• Active File Recovery Professional

Ovi programi nisu besplatni, tako da neću davati linkove. Uz veliku želju, možete ih i sami pronaći na internetu.

Cijeli proces oporavka datoteka pomoću navedenih programa detaljno je prikazan u videu na samom kraju članka.

Kaspersky, eset nod32 i drugi u borbi protiv ransomwarea Crusis (Dharma)

Kao i obično, prošao sam forume popularnih antivirusa u potrazi za informacijama o ransomware-u koji instalira ekstenziju .combo. Jasno je vidljiv trend širenja virusa. Veliki broj zahtjeva počinje sredinom avgusta. Sada se čini da nisu vidljivi, ali, možda privremeno, ili se ekstenzija šifriranih datoteka jednostavno promijenila.

Evo primjera tipičnog zahtjeva sa Kaspersky foruma.

Ispod je i komentar moderatora.

Forum EsetNod32 odavno je upoznat sa virusom koji se instalira preko ekstenzije .combo. Koliko sam shvatio, virus nije jedinstven ili nov, već varijacija dobro poznate serije Crusis (Dharma) virusa. Evo tipičnog zahtjeva za dešifriranje podataka:

Primijetio sam da na Eset forumu ima mnogo recenzija da je virus prodro na server preko rdp-a. Izgleda da je ovo zaista jaka prijetnja i ne možete ostaviti rdp bez pokrića. Jedino pitanje koje se postavlja je kako virus ulazi kroz rdp. Podiže lozinku, povezuje se sa poznatim korisnikom i lozinkom ili nečim drugim.

Gdje ići za garantirano dešifriranje

Slučajno sam sreo kompaniju koja zapravo dešifruje podatke nakon rada raznih ransomware virusa, uključujući Crusis (Dharma). Njihova adresa je http://www.dr-shifro.ru. Plaćanje tek nakon dešifriranja i vaše verifikacije. Evo primjera kako to funkcionira:

1. Specijalista kompanije dolazi do vaše kancelarije ili kuće i potpisuje ugovor sa vama u kojem fiksira cenu posla.
2. Pokreće dešifrator na svom računaru i dešifruje neke fajlove.
3. Osiguravate da su svi fajlovi otvoreni, potpisujete potvrdu o prijemu za obavljeni posao i dobijate dekoder.
4. Vi dešifrujete svoje fajlove i sređujete ostale dokumente.

Ne rizikujete ništa. Plaćanje tek nakon demonstracije rada dekodera. Molimo napišite recenziju o svom iskustvu sa ovom kompanijom.

Metode zaštite od ransomware virusa

Neću nabrajati očigledne stvari oko pokretanja nepoznatih programa sa interneta i otvaranja priloga u mailu. To sada svi znaju. Osim toga, pisao sam o tome mnogo puta u svojim člancima u odjeljku o. Želeo bih da vam skrenem pažnju na rezervne kopije. Oni ne bi trebali samo biti, već bi trebali biti nedostupni izvana. Ako je u pitanju neka vrsta mrežnog diska, onda bi mu pristup trebao imati poseban račun sa jakom lozinkom.

Ako pravite rezervnu kopiju vaših ličnih datoteka na USB fleš disk ili eksterni disk, nemojte ih stalno držati povezanim sa sistemom. Nakon kreiranja rezervnih kopija, isključite uređaje sa računara. U idealnom slučaju, vidim rezervnu kopiju na zasebnom uređaju, koji se uključuje samo da bi napravio sigurnosnu kopiju, a zatim se ponovo fizički isključuje iz mreže isključivanjem mrežne žice ili jednostavnim isključivanjem.

Sigurnosne kopije moraju biti inkrementalne. Ovo je neophodno kako bi se izbjegla situacija u kojoj je ransomware šifrirao sve podatke, a vi to niste primijetili. Izvršena je sigurnosna kopija kojom su zamijenjeni stari fajlovi novim, ali već šifriranima. Kao rezultat, imate arhivu, ali u njoj nema smisla. Morate imati dubinu arhive od najmanje nekoliko dana. Mislim da će se u budućnosti pojaviti, ako se još nisu pojavili, ransomware koji će tajno šifrirati dio podataka i čekati neko vrijeme a da se ne pokažu. To će biti učinjeno uz očekivanje da će šifrirani fajlovi završiti u arhivi i tamo, s vremenom, zamijeniti prave datoteke.

Ovo će biti teško vrijeme za korporativni sektor. Već sam naveo primjer iznad sa eset foruma, gdje su mrežni diskovi sa 20TB podataka bili šifrirani. Sada zamislite da imate takav mrežni disk, ali samo 500G podataka je šifrirano u direktorijima kojima se ne pristupa stalno. Prođe nekoliko nedelja, niko ne primeti šifrovane fajlove, jer se nalaze u arhivskim direktorijumima i ne koriste se stalno. Ali na kraju izvještajnog perioda podaci su potrebni. Odu tamo i vide da je sve šifrovano. Idu u arhivu i tamo dubina skladištenja je recimo 7 dana. I to je sve, podaci su nestali.

Ovo zahtijeva poseban pažljiv pristup arhivama. Potreban vam je softver i resursi za dugotrajno skladištenje podataka.

Video s dešifriranjem i oporavkom datoteka

Evo primjera slične modifikacije virusa, ali video je potpuno relevantan za kombinaciju.

Zaključani virus je ransomware virus koji ulazi u računar i šifrira lične podatke. Tada se nalazite pred dilemom - platite otkupninu ili se oprostite od šifrovanih informacija. Ako naiđete na ovo, prvo što trebate učiniti je ukloniti .Locked virus. Upute za uklanjanje možete pročitati u nastavku.

Ovaj ransomware virus je vrlo sličan prijetnjama kao što su Locky virus, .locky extension virus, TeslaCrypt, Cerber i KeRanger. Međutim, postoje male razlike između stare i nove verzije ransomwarea. .Locked koristi AES-256 algoritam za šifrovanje za razliku od algoritama - RSA-2048 i AES-128 koje Locky koristi, na primjer. Ransomware zahtijeva 500 USD, što je ekvivalentno 1,22 bitcoina, za razliku od obično potrebnog iznosa od 400 USD. Takođe, ako ne žurite da platite otkupninu, otkupnina će se udvostručiti tokom određenog vremenskog perioda. Ako odaberete da platite sajber kriminalcima klikom na dugme „Plati“, .Locked Threat vam prikazuje detaljna uputstva za plaćanje. Nakon toga morate preuzeti poseban softver i privatni ključ za dešifriranje. Međutim, ne preporučujemo da to radite jer nema garancije da će funkcionirati nakon što završite konačnu transakciju. Možete izgubiti lične podatke i svoj novac nakon uplate. Stoga, treba razmišljati o uklanjanju .Locked virusa i ne postupati prema krivcima. Za to preporučujemo korištenje.

Pitanja o .Locked virusu

• 27/08/16 1

Dok govore o kreatorima ransomwarea, neki vjeruju da je možda povezana neka poznata organizacija pod nazivom Anonymus. Takve sumnje su se pojavile nakon pojave još jednog ransomwarea - Anonymusa. Vjeruje se da je i ovaj drugi virus nastao preko ove organizacije. Poznavajući domišljatost ovih hakera koji su uspjeli provaliti u međunarodne vladine i privatne institucije, virus .Locked mogao bi biti prava prijetnja. Osim toga, hakeri koriste fotografije s brendom Anonymus, što omogućava mnogo nagađanja.

Kako. Zaključani ransomware inficira računare?

Poput sličnog zlonamjernog softvera, virus prodire kroz zaražene priloge. Korisnik prima lažne fakture ili promet koji sadrži ZIP ili Word datoteke s ugrađenim kodom. Ako žrtva otpremi takvu datoteku na operativni sistem, ransomware se instalira i šifrira važne dokumente, certifikate, račune, račune i slične informacije. Kada završi sa radom, ostavlja .locked fajl u šifrovanim fasciklama. Tada se na ekranu korisnika pojavljuje poruka.

Osim toga, primjećeno je da se .Locked može širiti preko trojanca. Ova prijetnja pruža potrebnu masku za ransomware. Antivirusni programi obično ne otkrivaju trojance, jer se čini da je to legitiman program. Nakon što prođe kroz sigurnosni sistem, trojanac instalira zlonamjerni sadržaj i .Locked počinje sa radom. U ovoj situaciji morate imati antivirusni program za otkrivanje trojanaca i drugih zlonamjernih programa ove vrste. Takođe, ransomware se širi kroz hakovane igre. Dakle, ako ste strastveni igrač, pazite, pošto PUP napadi mogu hakovati vaš računar, nakon svake igre, ozbiljni virusi mogu da vas izazovu.

Uputstvo za uklanjanje. Zaključano:

Ako ste se zarazili .Locked ransomware-om, trebali biste doći do zaključka da su vaše šifrirane datoteke možda izgubljene. Možete ih vratiti iz rezervnih kopija, ali ako ne možete pronaći kopije važnih podataka, to znači da nećete vratiti te datoteke. Ručno uklanjanje možda neće funkcionirati, s obzirom na složenu strukturu ransomwarea i njegov algoritam šifriranja. Dakle, ostaje vam samo jedno rješenje - deinstaliranje. Zaključano moćnim antivirusnim programom poput ili. Na kraju, važno je ažurirati i skenirati svoju sigurnosnu opremu i ponovo uživati ​​u surfanju internetom. Ako ne možete pokrenuti bilo koji od gore navedenih programa, slijedite donji vodič.