Virus je šifrirao sve datoteke. Šta učiniti u takvoj situaciji? Virus šifriranja - šta je to, zašto je opasan

29.09.2019 Windows 10

Ako je sistem zaražen malverom porodice Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX, tada će sve datoteke na računaru biti šifrirane na sljedeći način:

Kada je zaražen Trojan-Ransom.Win32.Rannoh imena i ekstenzije će se mijenjati prema predlošku zaključano-<оригинальное_имя>.<4 произвольных буквы> .
Kada je zaražen Trojan-Ransom.Win32.Cryakl oznaka se dodaje na kraj sadržaja datoteka (CRYPTENDBLACKDC) .
Kada je zaražen Trojan-Ransom.Win32.AutoIt proširenje se mijenja prema obrascu <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
Na primjer, [email protected] _.RZWDTDIC.
Kada je zaražen Trojan-Ransom.Win32.CryptXXX proširenja se mijenjaju po obrascima <оригинальное_имя>.crypt,<оригинальное_имя>. crypz I <оригинальное_имя>. cryp1.

Uslužni program RannohDecryptor dizajniran je za dešifriranje datoteka nakon infekcije Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX verzije 1 , 2 I 3 .

Kako izliječiti sistem

Da biste izliječili zaraženi sistem:

Preuzmite datoteku RannohDecryptor.zip.
Pokrenite datoteku RannohDecryptor.exe na zaraženom računaru.
U glavnom prozoru kliknite Započni verifikaciju.

Navedite putanju do šifrirane i nešifrirane datoteke.
Ako je datoteka šifrirana Trojan-Ransom.Win32.CryptXXX, navedite najveće datoteke. Dešifriranje će biti dostupno samo za datoteke jednake ili manje veličine.
Pričekajte do kraja pretraživanja i dešifriranja šifriranih datoteka.
Ponovo pokrenite računar ako je potrebno.
Za brisanje kopije šifriranih datoteka kao što je zaključano-<оригинальное_имя>.<4 произвольных буквы> nakon uspješnog dešifriranja odaberite .

Ako je datoteka šifrirana Trojan-Ransom.Win32.Cryakl, tada će uslužni program spremiti datoteku na staru lokaciju s ekstenzijom .decryptedKLR.original_extension. Ako ste izabrali Izbrišite šifrirane datoteke nakon uspješnog dešifriranja, tada će uslužni program sačuvati dešifrovanu datoteku s originalnim imenom.

Po defaultu, uslužni program šalje izvještaj o radu u korijen sistemske disk jedinice (disk na kojem je OS instaliran).
Naziv izvještaja izgleda ovako: UtilityName.Version_Date_Time_log.txt
Na primjer, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Na zaraženom sistemu Trojan-Ransom.Win32.CryptXXX, uslužni program skenira ograničen broj formata datoteka. Kada korisnik odabere datoteku na koju utiče CryptXXX v2, oporavak ključa može potrajati dugo. U tom slučaju, uslužni program prikazuje upozorenje.

Ne tako davno, novi virus (i mnoge njegove modifikacije) pojavio se na Internetu, šifrirao datoteke na vašem računalu i ponudio da naručite program za njihovo dešifriranje za novac. U ovom slučaju, šifrirani fajlovi se preimenuju i dobijaju ovakva imena

DSC00122.JPG. [email protected] _XO101

Označeni dio se sastoji od e-pošte autora virusa (na koju će „žrtva“ virusa poslati zahtjev za dešifriranje) i identifikatora modifikacije virusa. Svaka modifikacija virusa ima svoj algoritam šifriranja i, shodno tome, zahtijeva vlastiti dešifrator.

Na sreću, programeri iz Dr.Web-a su se uhvatili u koštac sa ovim problemom i spremni su da obezbede poseban uslužni program koji dešifruje datoteke oštećene virusom. Radi praktičnosti, u nastavku postavljam sam uslužni program i kratku instrukciju o njegovoj upotrebi.

(lozinka je naziv moje stranice bez "http://")

Ispod je kratak vodič.

Preuzmite uslužni program za oporavak, raspakirajte arhivu u praznu mapu s jednostavnim imenom (na primjer, " C:\_dec"). Zatim pokrenite komandnu liniju (Start - Pokreni - cmd) i tamo upišite sljedeće:

ovdje " [email protected] _XO101” je prefiks kojim su vaše datoteke preimenovane od strane virusa, obratite pažnju na tačku na početku. ALI c:\myfiles\ je fascikla u kojoj se nalaze vaši kodirani fajlovi. Nakon pokretanja, program će otvoriti prozor za potvrdu.

A nakon klika na dugme "Nastavi", automatski tretman će početi. Po završetku programa, dobićete izveštaj, a sve dekodirane datoteke će ležati pored kodiranih u fascikli koju ste naveli (program ne briše kodirane verzije datoteka).

Autori programa ne garantuju 100% tretman svih fajlova, a ja nemam priliku da testiram njegov rad na velikom broju fajlova, pa vas molim: ako je neko uspeo da izleči fajlove sa ovim uslužnim programom (ili nije radio ) - odjavite se u komentarima.

To je sve! Budite zdravi!

P.S. A da se situacija sa kompjuterskom infekcijom ne bi ponovila, kupite već normalan antivirus. Koristim Kaspersky Internet Security, ali očigledno je i Dr.Web prilično dobar. Vjerujte mom iskustvu, hiljadu i po rubalja godišnje za duševni mir i povjerenje u budućnost je smiješna cijena.

Ransomware hakeri su vrlo slični običnim ucjenjivačima. I u stvarnom svijetu iu sajber okruženju postoji pojedinačni ili grupni objekt napada. Ili je ukraden ili nedostupan. Nadalje, počinioci koriste određena sredstva komunikacije sa žrtvama kako bi prenijeli svoje zahtjeve. Kompjuterski prevaranti obično biraju samo nekoliko formata za poruku o otkupnini, ali njene kopije se mogu naći na gotovo svakoj memorijskoj lokaciji na zaraženom sistemu. U slučaju porodice špijunskog softvera poznate kao Troldesh ili Shade, prevaranti imaju drugačiji pristup kada kontaktiraju žrtvu.

Pogledajmo pobliže ovu vrstu virusa za šifriranje, koja je namijenjena publici koja govori ruski. Većina sličnih infekcija detektuje raspored tastature na napadnutom računaru, a ako je jedan od jezika ruski, upad prestaje. Međutim, ransomware XTBL promiskuitetno: na nesreću korisnika, napad se sprovodi bez obzira na njihovu geografsku lokaciju i jezičke preferencije. Jasno oličenje ove svestranosti je upozorenje koje se pojavljuje kao pozadina radne površine, kao i TXT fajl sa uputstvima za plaćanje otkupnine.

Virus XTBL se obično širi putem neželjene pošte. Poruke podsjećaju na pisma poznatih brendova ili jednostavno upadaju u oči, jer se u predmetu poruke koriste izrazi poput "Hitno!" ili "Važni finansijski dokumenti." Phishing trik će raditi kada primalac takve e-pošte. poruka će preuzeti ZIP datoteku koja sadrži JavaScript kod ili Docm objekt s potencijalno ranjivim makroom.

Nakon izvršenja osnovnog algoritma na kompromitovanom računaru, ransomware trojanac nastavlja da traži podatke koji bi mogli biti od vrednosti za korisnika. U tu svrhu, virus skenira lokalnu i vanjsku memoriju, istovremeno uspoređujući svaku datoteku sa skupom formata odabranih na osnovu ekstenzije objekta. Sve .jpg, .wav, .doc, .xls datoteke, kao i mnogi drugi objekti, šifrirani su korištenjem AES-256 simetričnog blok kripto algoritma.

Postoje dva aspekta ovog štetnog efekta. Prije svega, korisnik gubi pristup važnim podacima. Osim toga, nazivi datoteka su duboko kodirani, što rezultira besmislenim skupom heksadecimalnih znakova kao izlazom. Sve što objedinjuje imena zahvaćenih fajlova je ekstenzija xtbl koja im je dodata, tj. naziv sajber prijetnje. Nazivi šifriranih datoteka ponekad imaju poseban format. U nekim verzijama Troldesha, imena šifriranih objekata mogu ostati nepromijenjena, a na kraju se dodaje jedinstveni kod: [email protected], [email protected], ili [email protected]

Očigledno, napadači, koji su uveli adrese e-pošte. mail direktno u nazive datoteka, ukazati žrtvama kako da komuniciraju. E-pošta je također navedena na drugom mjestu, naime u poruci o otkupnini koja se nalazi u datoteci “Readme.txt”. Takvi Notepad dokumenti će se pojaviti na radnoj površini, kao iu svim folderima sa kodiranim podacima. Ključna poruka je:

“Svi fajlovi su šifrirani. Da biste ih dešifrirali, potrebno je da pošaljete kod: [Vaša jedinstvena šifra] na adresu e-pošte [email protected] ili [email protected] Zatim ćete dobiti sva potrebna uputstva. Pokušaji samostalnog dešifriranja neće dovesti do ničega, osim do nepovratnog gubitka informacija”

Adresa e-pošte može se promijeniti ovisno o grupi ransomwarea koja širi virus.

Što se tiče puta naprijed, općenito, prevaranti odgovaraju preporukom otkupnine, koja može biti 3 bitcoina ili neki drugi iznos u tom rasponu. Imajte na umu da niko ne može garantovati da će hakeri održati obećanje čak i nakon što dobiju novac. Za vraćanje pristupa .xtbl datotekama, pogođenim korisnicima se savjetuje da prvo isprobaju sve dostupne alternativne metode. U nekim slučajevima, podaci se mogu dovesti u red pomoću servisa za kopiranje u sjeni volumena (Volume Shadow Copy), koji se pruža direktno u Windows OS-u, kao i dešifratora i programa za oporavak podataka od dobavljača softvera trećih strana.

Uklonite XTBL ransomware automatskim čistačem

Izuzetno efikasan metod za rješavanje malvera općenito i ransomwarea posebno. Upotreba dokazanog zaštitnog kompleksa jamči temeljitost detekcije bilo koje komponente virusa, njihovo potpuno uklanjanje jednim klikom. Imajte na umu da govorimo o dva različita procesa: deinstaliranju infekcije i vraćanju datoteka na vaš PC. Međutim, prijetnju svakako treba ukloniti, jer postoje izvještaji o uvođenju drugih kompjuterskih trojanaca uz njenu pomoć.

. Nakon pokretanja softvera, kliknite na dugme Pokrenite skeniranje računara(Pokreni skeniranje).
Instalirani softver će dati izvještaj o prijetnjama otkrivenim tokom skeniranja. Da biste uklonili sve pronađene prijetnje, odaberite opciju Fix Threats(Uklonite prijetnje). Predmetni zlonamjerni softver će biti u potpunosti uklonjen.

Vratite pristup šifrovanim datotekama sa ekstenzijom .xtbl

Kao što je napomenuto, XTBL ransomware zaključava datoteke snažnim algoritmom šifriranja, tako da se šifrirani podaci ne mogu vratiti mahanjem čarobnog štapića - ako se ne uzme u obzir plaćanje nečuvenog otkupa. Ali neke metode zaista mogu postati spas koji će vam pomoći da povratite važne podatke. U nastavku se možete upoznati sa njima.

Decryptor - program za automatski oporavak datoteka

Poznata je vrlo neobična okolnost. Ova infekcija briše originalne datoteke u nešifriranom obliku. Proces iznuđivanja enkripcije stoga cilja na njihove kopije. Ovo omogućava softverske alate kao što je oporavak izbrisanih objekata, čak i ako je zagarantovana pouzdanost njihovog uklanjanja. Preporučljivo je pribjeći proceduri oporavka datoteka, čija je učinkovitost potvrđena više puta.

Volume Shadow Copies

Pristup se zasniva na Windows-baziranoj proceduri sigurnosne kopije datoteka koja se ponavlja na svakoj tački vraćanja. Važan uvjet za funkcioniranje ove metode: funkcija „Oporavak sistema“ mora biti aktivirana prije infekcije. Međutim, sve promjene napravljene u datoteci nakon točke vraćanja neće se odraziti na vraćenu verziju datoteke.

Backup

Ovo je najbolja od svih metoda bez otkupa. Ako je procedura za pravljenje rezervnih kopija podataka na eksternom serveru korišćena pre nego što je ransomware napao vaš računar, da biste vratili šifrovane datoteke, jednostavno morate da uđete u odgovarajući interfejs, odaberete potrebne datoteke i pokrenete mehanizam za oporavak podataka iz rezervne kopije. Prije izvođenja operacije, morate biti sigurni da je ransomware potpuno uklonjen.

Provjerite postoji li moguće prisustvo preostalih komponenti XTBL ransomware virusa

Ručno čišćenje je ispunjeno rizikom da nedostaju dijelovi ransomwarea koji mogu izbjeći uklanjanje u obliku skrivenih objekata operativnog sistema ili unosa u registar. Da biste eliminirali rizik od djelomičnog očuvanja pojedinačnih zlonamjernih elemenata, skenirajte svoj računar pomoću pouzdanog univerzalnog antivirusnog paketa.

Oporavak šifriranih datoteka je problem sa kojim se suočava veliki broj korisnika personalnih računara koji su postali žrtve raznih virusa za šifrovanje. Broj zlonamjernih programa u ovoj grupi je veoma velik i svakim danom se povećava. Nedavno smo naišli na desetine ransomware opcija: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, itd.

Naravno, možete oporaviti šifrovane datoteke jednostavnim praćenjem uputstava koje kreatori virusa ostavljaju na zaraženom računaru. Ali najčešće je cijena dešifriranja vrlo značajna, također morate znati da neki virusi za šifriranje šifriraju datoteke na takav način da ih je kasnije jednostavno nemoguće dešifrirati. I naravno, jednostavno je neugodno plaćati restauraciju vlastitih datoteka.

Načini besplatnog oporavka šifriranih datoteka

Postoji nekoliko načina za oporavak šifriranih datoteka pomoću potpuno besplatnih i provjerenih programa kao što su ShadowExplorer i PhotoRec. Prije i tokom oporavka, pokušajte što manje koristiti zaraženi računar, čime ćete povećati svoje šanse za uspješan oporavak datoteke.

Uputu opisanu u nastavku morate slijediti korak po korak, ako vam nešto ne uspije, onda STANI, zatražite pomoć pisanjem komentara na ovaj članak ili kreiranjem nove teme na našoj stranici.

1. Uklonite ransomware virus

Kaspersky Virus Removal Tool i Malwarebytes Anti-malware mogu otkriti različite vrste aktivnih ransomware virusa i lako će ih ukloniti s vašeg računala, ALI ne mogu oporaviti šifrirane datoteke.

1.1. Uklonite ransomware pomoću Kaspersky Virus Removal Tool

Kliknite na dugme Skeniraj da započnete skeniranje vašeg računara za ransomware.

Pričekajte kraj ovog procesa i uklonite pronađeni zlonamjerni softver.

1.2. Uklonite ransomware pomoću Malwarebytes Anti-malware

Preuzmite program. Nakon što se preuzimanje završi, pokrenite preuzetu datoteku.

Procedura ažuriranja programa će se pokrenuti automatski. Kada je gotovo, pritisnite dugme Pokreni provjeru. Malwarebytes Anti-malware će početi da skenira vaš računar.

Odmah nakon što se skeniranje računara završi, Malwarebytes Anti-malware će otvoriti listu pronađenih komponenti virusa ransomware.

Kliknite na dugme Izbriši odabrano da očistite svoj računar. Tokom uklanjanja zlonamjernog softvera, Malwarebytes Anti-malware može zahtijevati da ponovo pokrenete računar kako biste nastavili proces. Potvrdite ovo odabirom Da.

Nakon što se računar ponovo pokrene, Malwarebytes Anti-malware će automatski nastaviti proces dezinfekcije.

2. Oporavite šifrirane datoteke koristeći ShadowExplorer

ShadowExplorer je mali uslužni program koji vam omogućava da vratite zasjenjene kopije datoteka koje automatski kreira Windows operativni sistem (7-10). Ovo će vam omogućiti da vratite izvorno stanje šifriranih datoteka.

Preuzmite program. Program je u zip arhivi. Stoga, kliknite desnim tasterom miša na preuzetu datoteku i odaberite Izdvoj sve. Zatim otvorite fasciklu ShadowExplorerPortable.

Pokrenite ShadowExplorer. Odaberite disk koji vam je potreban i datum kreiranja sjenčanih kopija, redom, brojeve 1 i 2 na slici ispod.

Desnom tipkom miša kliknite na direktorij ili datoteku čiji kopiju želite vratiti. Izaberite Izvezi iz menija koji se pojavi.

Na kraju, odaberite mapu u koju će oporavljena datoteka biti kopirana.

3. Oporavite šifrovane datoteke koristeći PhotoRec

PhotoRec je besplatni program dizajniran za oporavak izbrisanih i izgubljenih datoteka. Koristeći ga, možete vratiti originalne datoteke koje su ransomware virusi izbrisali nakon kreiranja njihovih šifriranih kopija.

Preuzmite program. Program je u arhivi. Stoga, kliknite desnim tasterom miša na preuzetu datoteku i odaberite Izdvoj sve. Zatim otvorite folder testdisk.

Pronađite QPhotoRec_Win na listi datoteka i pokrenite ga. Otvara se programski prozor u kojem će biti prikazane sve particije dostupnih diskova.

Na listi particija odaberite onu koja sadrži šifrirane datoteke. Zatim kliknite na dugme Formati datoteka.

Program je po defaultu konfiguriran za oporavak svih vrsta datoteka, ali da biste ubrzali rad, preporučuje se da ostavite samo one vrste datoteka koje trebate oporaviti. Kada završite sa odabirom, pritisnite dugme OK.

Na dnu prozora QPhotoRec pronađite dugme Pregledaj i kliknite na njega. Morate odabrati direktorij u koji će oporavljene datoteke biti sačuvane. Preporučljivo je koristiti disk koji ne sadrži šifrirane datoteke koje zahtijevaju oporavak (možete koristiti USB fleš disk ili eksterni disk).

Da biste započeli proceduru pretraživanja i vraćanja originalnih kopija šifriranih datoteka, kliknite na dugme Traži. Ovaj proces traje dosta dugo, stoga budite strpljivi.

Kada se pretraga završi, kliknite na dugme Prekini. Sada otvorite mapu koju ste odabrali za spremanje oporavljenih datoteka.

Fascikla će sadržavati direktorije pod nazivom recup_dir.1, recup_dir.2, recup_dir.3 i tako dalje. Što više datoteka program pronađe, to će biti više direktorija. Da biste pronašli datoteke koje su vam potrebne, provjerite sve direktorije jedan po jedan. Da biste lakše pronašli datoteku koja vam je potrebna među velikim brojem oporavljenih, koristite ugrađeni Windows sistem pretraživanja (po sadržaju datoteke), a također ne zaboravite na funkciju sortiranja datoteka u direktorijima. Možete odabrati datum kada je datoteka izmijenjena kao parametar sortiranja, budući da QPhotoRec pokušava vratiti ovo svojstvo prilikom vraćanja datoteke.

je zlonamjerni program koji, kada se aktivira, šifrira sve lične datoteke, kao što su dokumenti, fotografije itd. Broj ovakvih programa je veoma velik i svakim danom se povećava. Nedavno smo naišli na desetine ransomware opcija: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, itd., toste, Svrha takvog ransomwarea je da natjera korisnike da kupe, često za veliku količinu novca, program i ključ koji su potrebni za dešifriranje vlastitih datoteka.

U nastavku ćemo detaljnije govoriti o ransomware virusima, kako oni prodiru u računar žrtve, kao i kako ukloniti ransomware virus i vratiti datoteke šifrirane njime.

Kako virus ransomware ulazi u računar

Virus ransomware se obično distribuira putem e-pošte. Pismo sadrži zaražene dokumente. Ove e-poruke se šalju u ogromnu bazu podataka e-mail adresa. Autori ovog virusa koriste obmanjujuća zaglavlja i sadržaj e-poruka, pokušavajući da prevare korisnika da otvori dokument priložen uz e-poštu. Neka pisma obaveštavaju o potrebi plaćanja računa, druga nude da pogledate najnoviji cenovnik, treća otvaraju smešnu fotografiju itd. U svakom slučaju, rezultat otvaranja priložene datoteke će biti zaraza računara virusom ransomware.

Šta je ransomware virus

Virus ransomware je zlonamjerni program koji inficira moderne verzije Windows porodice operativnih sistema, kao što su Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ovi virusi pokušavaju koristiti najjače moguće načine šifriranja, kao što je RSA -2048 sa dužinom ključa je 2048 bita, što praktično isključuje mogućnost odabira ključa za samodešifriranje datoteka.

Dok inficira računar, virus ransomware koristi sistemski direktorij %APPDATA% za pohranjivanje vlastitih datoteka. Da bi se automatski pokrenuo kada je računar uključen, ransomware kreira unos u Windows registru: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\ Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Odmah nakon pokretanja, virus skenira sve dostupne diskove, uključujući mrežu i pohranu u oblaku, kako bi odredio koje će datoteke biti šifrirane. Virus ransomware koristi ekstenziju naziva datoteke kao način da odredi grupu datoteka koje će biti šifrirane. Gotovo sve vrste datoteka su šifrirane, uključujući one uobičajene kao što su:

0, .1, .1., .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, novčanik, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wpt, .wp, .wp, .wp, .wp, . .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Odmah nakon što je datoteka šifrirana, ona dobija novu ekstenziju, koja se često može koristiti za identifikaciju imena ili tipa enkriptora. Neke vrste ovog zlonamjernog softvera također mogu promijeniti nazive šifriranih datoteka. Virus tada kreira tekstualni dokument s imenima poput HELP_YOUR_FILES, README, koji sadrži upute za dešifriranje šifriranih datoteka.

Tokom svog rada, ransomware pokušava blokirati mogućnost oporavka datoteka pomoću SVC sistema (skrivene kopije datoteka). Da bi to učinio, virus u komandnom načinu poziva uslužni program za administriranje sjenčanih kopija datoteka s ključem koji pokreće proceduru za njihovo potpuno uklanjanje. Stoga je gotovo uvijek nemoguće oporaviti datoteke korištenjem njihovih kopija u sjeni.

Virus ransomware aktivno koristi taktiku zastrašivanja tako što žrtvi daje vezu do opisa algoritma šifriranja i prikazuje prijeteću poruku na radnoj površini. Na taj način pokušava natjerati korisnika zaraženog računara da bez oklijevanja pošalje ID računala na e-mail adresu autora virusa, kako bi pokušao vratiti svoje fajlove. Odgovor na takvu poruku najčešće je iznos otkupnine i adresa elektronskog novčanika.

Da li je moj računar zaražen virusom ransomware?

Lako je utvrditi je li računalo zaraženo ransomware virusom ili ne. Obratite pažnju na ekstenzije vaših ličnih datoteka kao što su dokumenti, fotografije, muzika itd. Ako se ekstenzija promijenila ili su vaše lične datoteke nestale, ostavljajući iza sebe mnogo datoteka nepoznatih imena, onda je računar zaražen. Osim toga, znak infekcije je prisustvo datoteke s imenom HELP_YOUR_FILES ili README u vašim direktorijima. Ova datoteka će sadržavati upute za dešifriranje datoteka.

Ako sumnjate da ste otvorili pismo zaraženo virusom ransomware-a, ali još nema simptoma infekcije, nemojte isključivati ili ponovo pokretati računalo. Slijedite korake opisane u ovom priručniku, odjeljak. Još jednom, veoma je važno ne isključivati računar, kod nekih vrsta ransomware-a, proces šifrovanja fajlova se aktivira prvi put kada se računar uključi nakon infekcije!

Kako dešifrirati datoteke šifrirane virusom ransomware?

Ako se ova nesreća dogodila, onda nema potrebe za panikom! Ali morate znati da u većini slučajeva nema besplatnog dešifratora. Razlog za to su jaki algoritmi šifriranja koje koristi takav zlonamjerni softver. To znači da je gotovo nemoguće dešifrirati datoteke bez privatnog ključa. Upotreba metode odabira ključa također nije opcija, zbog velike dužine ključa. Stoga je, nažalost, samo plaćanje autorima virusa cjelokupnog traženog iznosa jedini način da pokušate dobiti ključ za dešifriranje.

Naravno, ne postoji apsolutno nikakva garancija da će nakon uplate autori virusa stupiti u kontakt i dati ključ potreban za dešifriranje vaših datoteka. Osim toga, morate shvatiti da plaćajući novac programerima virusa, sami ih tjerate da kreiraju nove viruse.

Kako ukloniti ransomware virus?

Prije nego što nastavite s ovim, morate znati da kada počnete uklanjati virus i pokušavate sami da vratite datoteke, blokirate mogućnost dešifriranja datoteka plaćajući autorima virusa iznos koji su tražili.