Kako dešifrirati zaključane datoteke. Kaspersky Virus Removal Tool za uklanjanje XTBL ransomwarea

Ako je sustav zaražen zlonamjernim softverom obitelji Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX, tada će sve datoteke na računalu biti šifrirane na sljedeći način:

• Kada se zarazi Trojan-Ransom.Win32.Rannoh imena i ekstenzije će se promijeniti u uzorak zaključan-<оригинальное_имя>.<4 произвольных буквы> .
• Kada se zarazi Trojan-Ransom.Win32.Cryakl oznaka se dodaje na kraj sadržaja datoteke (CRYPTENDBLACKDC) .
• Kada se zarazi Trojan-Ransom.Win32.AutoIt proširenje mijenja veličinu prema uzorku <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Na primjer, [e-mail zaštićen] _.RZWDTDIC.
• Kada se zarazi Trojan-Ransom.Win32.CryptXXX proširenje se mijenja prema predlošcima <оригинальное_имя>.kripta,<оригинальное_имя>. crypz i <оригинальное_имя>. cryp1.

Uslužni program RannohDecryptor dizajniran je za dešifriranje datoteka nakon infekcije Trojanac-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ili Trojan-Ransom.Win32.CryptXXX verzije 1 , 2 i 3 .

Kako izliječiti sustav

Za dezinfekciju zaraženog sustava:

1. Preuzmite datoteku RannohDecryptor.zip.
2. Pokrenite datoteku RannohDecryptor.exe na zaraženom računalu.
3. U glavnom prozoru kliknite Započni provjeru.

1. Navedite put do šifrirane i nešifrirane datoteke.
   Ako je datoteka šifrirana Trojan-Ransom.Win32.CryptXXX, navedite datoteke najveće veličine. Dešifriranje će biti dostupno samo za datoteke jednake ili manje veličine.
2. Pričekajte do kraja pretraživanja i dešifriranja šifriranih datoteka.
3. Ponovno pokrenite računalo ako je potrebno.
4. Za brisanje kopije šifriranih datoteka obrasca zaključan-<оригинальное_имя>.<4 произвольных буквы> nakon uspješnog dešifriranja, odaberite.

Ako je datoteka šifrirana Trojan-Ransom.Win32.Cryakl, tada će uslužni program spremiti datoteku na staro mjesto s ekstenzijom .dešifriranoKLR.izvorno_proširenje... Ako ste izabrali Izbrišite šifrirane datoteke nakon uspješnog dešifriranja, tada će uslužni program spremiti dešifriranu datoteku s njezinim izvornim nazivom.

1. Prema zadanim postavkama, uslužni program šalje izvješće o svom radu u korijen diska sustava (disk na kojem je OS instaliran).

   Naziv izvješća je sljedeći: UtilityName.Version_Date_Time_log.txt

   Na primjer, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Na zaraženom sustavu Trojan-Ransom.Win32.CryptXXX, uslužni program skenira ograničen broj formata datoteka. Kada korisnik odabere datoteku na koju utječe CryptXXX v2, oporavak ključa može potrajati dugo. U tom slučaju uslužni program prikazuje upozorenje.

Činjenica da je internet pun virusa danas nikoga ne čudi. Mnogi korisnici percipiraju situacije vezane uz njihov utjecaj na sustave ili osobne podatke, najblaže rečeno, zatvarajući oči, ali samo dok se virus ransomware posebno ne smjesti u sustav. Većina običnih korisnika ne zna kako izliječiti i dešifrirati podatke pohranjene na tvrdom disku. Stoga se ovaj kontingent "vodi" na zahtjeve koje postavljaju napadači. No, pogledajmo što možete učiniti ako se otkrije takva prijetnja ili kako biste je spriječili da uđe u sustav.

Što je ransomware virus?

Ova vrsta prijetnje koristi standardne i nestandardne algoritme za šifriranje datoteka koji u potpunosti mijenjaju njihov sadržaj i blokiraju pristup. Na primjer, bit će apsolutno nemoguće otvoriti šifriranu tekstualnu datoteku za čitanje ili uređivanje, kao i za reprodukciju multimedijskog sadržaja (grafika, video ili audio) nakon izlaganja virusu. Čak ni standardne operacije za kopiranje ili premještanje objekata nisu dostupne.

Samo softversko punjenje virusa sredstvo je koje šifrira podatke na način da nije uvijek moguće vratiti njihovo izvorno stanje čak ni nakon uklanjanja prijetnje iz sustava. Obično takvi zlonamjerni programi stvaraju vlastite kopije i vrlo se duboko nasele u sustavu, pa je virus šifriranja datoteka ponekad potpuno nemoguće ukloniti. Deinstaliranjem glavnog programa ili brisanjem glavnog tijela virusa, korisnik se ne rješava utjecaja prijetnje, a kamoli vraća šifrirane podatke.

Kako prijetnja ulazi u sustav?

U pravilu, prijetnje ovog tipa uglavnom su usmjerene na velike komercijalne strukture i mogu prodrijeti u računala putem mail programa kada zaposlenik u e-mailu otvori navodno priloženi dokument, koji je, recimo, dodatak nekakvom ugovoru o suradnji ili plan nabave robe (komercijalne ponude s ulaganjima iz sumnjivih izvora prvi su put za virus).

Problem je u tome što se ransomware virus na računalu koji ima pristup lokalnoj mreži također može prilagoditi i u njemu, stvarajući vlastite kopije ne samo u umreženom okruženju, već i na administratorskom terminalu, ako mu nedostaje potrebna zaštita u oblik antivirusnog softvera.vatrozid ili vatrozid.

Ponekad takve prijetnje mogu prodrijeti i u računalne sustave običnih korisnika, koji uglavnom nisu od interesa za kibernetičke kriminalce. To se događa u vrijeme instalacije nekih programa preuzetih s sumnjivih internetskih resursa. Mnogi korisnici pri pokretanju preuzimanja zanemaruju upozorenja sustava antivirusne zaštite, a tijekom instalacijskog procesa ne obraćaju pažnju na prijedloge za instaliranje dodatnog softvera, panela ili dodataka za preglednike, a zatim, kako oni recimo, gristi ih za laktove.

Vrste virusa i malo povijesti

U osnovi, prijetnje ove vrste, posebno najopasniji ransomware virus No_more_ransom, klasificiraju se ne samo kao alati za šifriranje podataka ili blokiranje pristupa njima. Zapravo, sve takve zlonamjerne aplikacije klasificiraju se kao ransomware. Drugim riječima, cyber kriminalci zahtijevaju određenu svotu novca za dešifriranje informacija, vjerujući da će taj proces biti nemoguće provesti bez početnog programa. To je dijelom slučaj.

Ali ako zadubite u povijest, primijetit ćete da je jedan od prvih virusa ove vrste, iako nije nametao novčane zahtjeve, bio zloglasni applet I Love You, koji je potpuno šifrirao multimedijske datoteke (uglavnom glazbene zapise) u korisničkim sustavima. . Dešifriranje datoteka nakon ransomware virusa u to se vrijeme pokazalo nemogućim. Sada se s tom prijetnjom može riješiti na elementaran način.

Ali razvoj samih virusa ili korištenih algoritama šifriranja ne miruje. Što nedostaje među virusima - ovdje imate XTBL, i CBF, i Breaking_Bad, i [e-mail zaštićen], i hrpa drugih gadnih stvari.

Tehnika utjecaja na korisničke datoteke

I ako se donedavno većina napada provodila korištenjem algoritama RSA-1024 baziranih na AES enkripciji s istom bitnošću, isti je No_more_ransom ransomware virus danas predstavljen u nekoliko interpretacija, koristeći ključeve za šifriranje temeljene na RSA-2048, pa čak i RSA-3072 tehnologijama.

Problemi dešifriranja za korištene algoritme

Nevolja je u tome što su moderni sustavi za dešifriranje nemoćni pred takvom opasnošću. Dešifriranje datoteka nakon ransomware virusa baziranog na AES256 još uvijek je donekle podržano, a uz veću brzinu prijenosa ključa, gotovo svi programeri samo sliježu ramenima. To su, inače, službeno potvrdili stručnjaci iz Kaspersky Laba i Eseta.

U najprimitivnijoj verziji, od korisnika koji se obratio službi podrške traži se da pošalje šifriranu datoteku i njezin izvornik radi usporedbe i daljnjih operacija kako bi se odredio algoritam šifriranja i metode oporavka. Ali, u pravilu, u većini slučajeva to ne funkcionira. No, ransomware virus može sam dešifrirati datoteke, kako se vjeruje, pod uvjetom da žrtva pristane na uvjete napadača i plati određeni iznos u novčanom smislu. Međutim, takva formulacija pitanja izaziva opravdane sumnje. I zato.

Enkripcijski virus: kako izliječiti i dešifrirati datoteke i može li se to učiniti?

Nakon izvršene uplate, hakeri će aktivirati dešifriranje putem udaljenog pristupa svom virusu koji se nalazi na sustavu ili putem dodatnog appleta ako je tijelo virusa uklonjeno. Izgleda više nego sumnjivo.

Napominjem i činjenicu da je internet pun lažnih objava u kojima se navodi da je, kažu, uplaćen potreban iznos, a podaci su uspješno vraćeni. Ovo je sve laž! I stvarno – gdje je jamstvo da se nakon plaćanja virus enkripcije u sustavu neće ponovno aktivirati? Nije teško razumjeti psihologiju provalnika: platiš li jednom, platiš opet. A ako je riječ o posebno važnim informacijama poput konkretnih komercijalnih, znanstvenih ili vojnih razvoja, vlasnici takvih informacija spremni su platiti koliko je potrebno, kako bi dosjei ostali netaknuti i sigurni.

Prvi lijek za uklanjanje prijetnje

To je priroda ransomware virusa. Kako dezinficirati i dešifrirati datoteke nakon što su bile izložene prijetnji? Da, nema šanse, ako nema alata pri ruci, koji također ne pomažu uvijek. Ali možete pokušati.

Pretpostavimo da se na sustavu pojavio ransomware virus. Kako mogu dezinficirati zaražene datoteke? Prvo, trebali biste izvršiti dubinsko skeniranje sustava bez upotrebe tehnologije S.M.A.R.T., koja otkriva prijetnje samo kada su sektori za pokretanje i sistemske datoteke oštećeni.

Preporučljivo je ne koristiti postojeći standardni skener, koji je već propustio prijetnju, već koristiti prijenosne uslužne programe. Najbolja opcija bila bi podizanje sustava s Kaspersky Rescue Disk, koji se može pokrenuti i prije nego operativni sustav počne raditi.

Ali ovo je samo pola bitke, jer se na taj način možete riješiti samo samog virusa. Ali s dekoderom će biti teže. Ali više o tome kasnije.

Postoji još jedna kategorija u koju spadaju ransomware virusi. Kako dešifrirati informacije bit će rečeno zasebno, ali za sada se zadržimo na činjenici da oni mogu potpuno otvoreno postojati u sustavu u obliku službeno instaliranih programa i aplikacija (drskost napadača nema granica, jer prijetnja postoji ni ne pokušavati se prikriti).

U tom slučaju trebate koristiti odjeljak programa i komponenti u kojem se izvodi standardna deinstalacija. Međutim, također biste trebali obratiti pozornost na činjenicu da standardni deinstalacijski program za Windows ne briše u potpunosti sve programske datoteke. Konkretno, ransom ransomware virus može stvoriti vlastite mape u korijenskim direktorijima sustava (obično su to direktoriji Csrss, u kojima se nalazi izvršna datoteka csrss.exe istog imena). Windows, System32 ili korisnički imenici (Korisnici na pogonu sustava) odabrani su kao glavno mjesto.

Osim toga, virus No_more_ransom ransomware upisuje vlastite ključeve u registar u obliku veze naizgled na službenu uslugu sustava Client Server Runtime Subsystem, što je za mnoge varljivo, budući da bi ova usluga trebala biti odgovorna za interakciju između klijentskog i poslužiteljskog softvera . Sam ključ se nalazi u mapi Run, do koje se može doći preko HKLM grane. Jasno je da ćete takve ključeve morati ručno izbrisati.

Da biste to olakšali, možete koristiti uslužne programe kao što je iObit Uninstaller, koji automatski traže preostale datoteke i ključeve registra (ali samo ako je virus vidljiv na sustavu kao instalirana aplikacija). Ali ovo je najjednostavnija stvar.

Rješenja koja nude programeri antivirusnog softvera

Vjeruje se da se dešifriranje virusa ransomwarea može obaviti pomoću posebnih uslužnih programa, iako ako imate tehnologije s ključem od 2048 ili 3072 bita, ne biste se trebali oslanjati na njih (osim toga, mnogi od njih brišu datoteke nakon dešifriranja, a zatim vraćene datoteke nestaju zbog pogreške prisutnosti tijela virusa koje prije nije uklonjeno).

Ipak, možete pokušati. Od svih programa vrijedi istaknuti RectorDecryptor i ShadowExplorer. Vjeruje se da ništa bolje do sada nije stvoreno. No, problem može biti i to što kada pokušate upotrijebiti dešifriranje, nema jamstva da datoteke koje se dezinficiraju neće biti izbrisane. Odnosno, ako se u početku ne riješite virusa, svaki pokušaj dešifriranja bit će osuđen na neuspjeh.

Osim brisanja šifriranih informacija, to može biti i kobno – cijeli sustav neće raditi. Osim toga, moderni ransomware virus može utjecati ne samo na podatke pohranjene na tvrdom disku računala, već i na datoteke u pohrani u oblaku. I ovdje nema rješenja za vraćanje informacija. Osim toga, kako se pokazalo, mnoge usluge poduzimaju nedovoljno učinkovite mjere zaštite (isti ugrađeni OneDrive u Windows 10, koji je izložen izravno iz operativnog sustava).

Radikalno rješenje problema

Kao što je već jasno, većina modernih metoda ne daje pozitivan rezultat kada je zaražena takvim virusima. Naravno, ako postoji izvornik oštećene datoteke, može se poslati na pregled u antivirusni laboratorij. Istina, postoje i vrlo ozbiljne sumnje da će obični korisnik stvoriti sigurnosne kopije podataka koji, kada su pohranjeni na tvrdi disk, također mogu biti izloženi zlonamjernom kodu. A o činjenici da korisnici kopiraju informacije na prijenosni medij, kako bi izbjegli nevolje, uopće ne govorimo.

Stoga se za radikalno rješenje problema nameće zaključak: potpuno formatiranje tvrdog diska i svih logičkih particija s brisanjem informacija. Dakle, što učiniti? Morat ćete donirati ako ne želite da se virus ili njegova samospremljena kopija ponovno aktiviraju u sustavu.

Da biste to učinili, ne biste trebali koristiti alate samih Windows sustava (mislim na formatiranje virtualnih particija, jer će se prilikom pokušaja pristupa disku sustava izdati zabrana). Bolje je koristiti dizanje s optičkih medija kao što su LiveCD-ovi ili instalacijske distribucije, poput onih stvorenih pomoću Media Creation Tool za Windows 10.

Prije početka formatiranja, pod uvjetom da je virus uklonjen iz sustava, možete pokušati vratiti integritet komponenti sustava putem naredbenog retka (sfc / scannow), ali to neće imati učinka u smislu dešifriranja i otključavanja podataka. Stoga je format c: jedino ispravno moguće rješenje, sviđalo se to vama ili ne. Ovo je jedini način da se potpuno riješite ove vrste prijetnje. Jao, nema drugog načina! Čak je i liječenje standardnim alatima koje nudi većina antivirusnih paketa nemoćno.

Umjesto pogovora

Što se tiče sugeriranja zaključaka, možemo samo reći da danas ne postoji jedinstveno i univerzalno rješenje za otklanjanje posljedica utjecaja takvih prijetnji (nažalost, ali činjenica - to potvrđuje većina programera i stručnjaka za antivirusni softver u području kriptografije).

Ostaje nejasno zašto su pojavu algoritama baziranih na 1024-, 2048- i 3072-bitnoj enkripciji prošli oni koji su izravno uključeni u razvoj i implementaciju takvih tehnologija? Doista, danas se algoritam AES256 smatra najperspektivnijim i najsigurnijim. Obavijest! 256! Ovaj sustav, kako se ispostavilo, nije prikladan za moderne viruse. Što onda možemo reći o pokušajima dešifriranja njihovih ključeva?

Kako god bilo, vrlo je lako izbjeći uvođenje prijetnje u sustav. U najjednostavnijem slučaju, sve dolazne poruke s privitcima u Outlooku, Thunderbirdu i drugim mail klijentima trebali biste skenirati antivirusom odmah nakon primitka i ni u kojem slučaju ne otvarati privitke dok skeniranje ne završi. Također biste trebali pažljivo pročitati prijedloge za instalaciju dodatnog softvera prilikom instaliranja nekih programa (obično su napisani vrlo sitnim slovima ili prerušeni u standardne dodatke poput ažuriranja Flash Playera ili nečeg drugog). Bolje je ažurirati medijske komponente putem službenih stranica. To je jedini način da barem nekako spriječite prodor ovakvih prijetnji u vlastiti sustav. Posljedice mogu biti potpuno nepredvidive s obzirom na to da se virusi ovog tipa trenutno šire po lokalnoj mreži. A za tvrtku se takav razvoj događaja može pretvoriti u pravi krah svih pothvata.

Konačno, administrator sustava ne bi trebao sjediti besposlen. U takvoj situaciji bolje je isključiti sredstva zaštite softvera. Isti firewall (firewall) ne bi trebao biti softverski, već "hardverski" (naravno, s pripadajućim softverom). A, razumije se da se ne isplati štedjeti ni na kupnji antivirusnih paketa. Bolje je kupiti licencirani paket, a ne instalirati primitivne programe koji navodno pružaju zaštitu u stvarnom vremenu samo od riječi programera.

A ako je prijetnja već ušla u sustav, slijed radnji trebao bi uključivati ​​uklanjanje samog tijela virusa, a tek onda pokušaje dešifriranja oštećenih podataka. Idealno - potpuno formatiranje (napomena, ne brzo s brisanjem tablice sadržaja, već potpuno formatiranje, po mogućnosti s vraćanjem ili zamjenom postojećeg datotečnog sustava, sektora za pokretanje i zapisa).

Uslužni program Kaspresky RakhniDecryptor će dešifrirati datoteke čije su ekstenzije promijenjene prema sljedećim obrascima:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.zaključan;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.tama;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nema šanse;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>.crypto;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen];
  • <имя_файла>.<оригинальное_расширение>.p *** [e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id373;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id371;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id372;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id374;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id375;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id376;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id392;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id357;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id356;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id358;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id359;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id360;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _com_id20.

Trojan-Ransom.Win32.Rakhni stvara datoteku exit.hhr.oshit, koja sadrži šifriranu lozinku iz datoteka korisnika. Ako je ova datoteka spremljena na zaraženom računalu, dešifriranje će biti puno brže. Ako je datoteka exit.hhr.oshit izbrisana, vratite je pomoću programa za oporavak izbrisanih datoteka, a zatim je stavite u mapu% APPDATA% i ponovno pokrenite provjeru uslužnog programa. Datoteku exit.hhr.oshit možete pronaći na sljedećem putu: C: \ Korisnici<имя_пользователя>\ AppData \ Roaming

• Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_kripta.
• Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[e-mail zaštićen] _. slova>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.plakati;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.šifrirano.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman verzija 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.micro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman verzija 4:<имя_файла>.<оригинальное_расширение>(naziv datoteke i ekstenzija se ne mijenjaju).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.šifrirano;
  • <имя_файла>.zaključan;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.zabava;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.ep;
  • <имя_файла>.šifrirano;
  • <имя_файла>.J;
  • <имя_файла>.payransom;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paymds;
  • <имя_файла>.paymrss;
  • <имя_файла>.paymrts;
  • <имя_файла>.paymst;
  • <имя_файла>.paymts;
  • <имя_файла>.gefickt;
  • <имя_файла>[e-mail zaštićen]
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ISKAZNICA<…>.@..xtbl;
  • <имя_файла>.ISKAZNICA<…>.@..Kriza;
  • <имя_файла>.iskaznica-<…>.@..xtbl;
  • <имя_файла>.iskaznica-<…>.@..novčanik;
  • <имя_файла>.iskaznica-<…>.@..dhrama;
  • <имя_файла>.iskaznica-<…>.@..luk;
  • <имя_файла>.@..novčanik;
  • <имя_файла>.@..dhrama;
  • <имя_файла>.@..luk.

Primjeri nekih zlonamjernih adresa distributera:

• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen];
• [e-mail zaštićen]
• Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[e-mail zaštićen]
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.blokirano;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.kriptirano;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.bok tamo;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.PLAGUE17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen];
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen];
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen];
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen];
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _.kripta;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] ____.kripta;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] _______.kripta;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen] ___. kripta;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen]==.kripta;
  • <имя_файла>.<оригинальное_расширение>[e-mail zaštićen]= -.kripta.

Ako je datoteka šifrirana s nastavkom CRYPT, dešifriranje može potrajati. Na primjer, na procesoru Intel Core i5-2400 može potrajati oko 120 dana.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.kripta;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0day;
  • <имя_файла>.lock;
  • <имя_файла>[e-mail zaštićen] _hu;
  • <имя_файла>[e-mail zaštićen];
  • <имя_файла>~ xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.iskaznica-<...>.randomname-<...>.<случайное_расширение>.

• Verzija zlonamjernog softvera	E-mail adresa napadača
  	[e-mail zaštićen] [e-mail zaštićen] [e-mail zaštićen] [e-mail zaštićen] [e-mail zaštićen] [e-mail zaštićen] [e-mail zaštićen]
  	[e-mail zaštićen] _graf1 [e-mail zaštićen] _mod [e-mail zaštićen] _mod2
  	[e-mail zaštićen] [e-mail zaštićen]
  	[e-mail zaštićen]
  	[e-mail zaštićen] [e-mail zaštićen][e-mail zaštićen] [e-mail zaštićen]

Kako dešifrirati datoteke pomoću uslužnog programa Kaspersky RakhniDecryptor

1. Preuzmite arhivu RakhniDecryptor.zip i raspakirajte je. Upute u članku.
2. Idite u mapu s datotekama iz arhive.
3. Pokrenite datoteku RakhniDecryptor.exe.
4. Kliknite na Promijenite parametre skeniranja.

1. Odaberite objekte za skeniranje: tvrdi diskovi, izmjenjivi pogoni ili mrežni pogoni.
2. Označite okvir Izbrišite šifrirane datoteke nakon uspješnog dešifriranja... U tom slučaju, uslužni program će izbrisati kopije šifriranih datoteka s dodijeljenim nastavcima LOCKED, KRAKEN, DARKNESS itd.
3. Kliknite na u redu.

1. Kliknite na Započni provjeru.

1. Odaberite šifriranu datoteku i kliknite Otvorena.

1. Pročitajte upozorenje i kliknite u redu.

Datoteke će biti dešifrirane.

Datoteka se može šifrirati nastavkom CRYPT više puta. Na primjer, ako je datoteka test.doc dvaput šifrirana, prvi sloj će dešifrirati uslužni program RakhniDecryptor u datoteku test.1.doc.layerDecryptedKLR. U izvješću o radu pomoćnog programa pojavit će se sljedeći unos: "Uspješno dešifriranje: pogon: \ put \ test.doc_crypt -> pogon: \ put \ test.1.doc.layerDecryptedKLR". Uslužni program mora ponovno dešifrirati ovu datoteku. Ako je dešifriranje uspješno, datoteka će biti ponovno spremljena s izvornim nazivom test.doc.

Parametri za pokretanje uslužnog programa iz naredbenog retka

Za praktičnost i ubrzanje procesa dešifriranja datoteka, Kaspersky RakhniDecryptor podržava sljedeće parametre naredbenog retka:

Sami po sebi virusi kao računalna prijetnja danas nikoga ne iznenađuju. Ali ako su ranije utjecali na sustav u cjelini, uzrokujući kvarove u njegovom radu, danas, s pojavom takve vrste kao što je ransomware virus, radnje infiltrirajuće prijetnje tiču ​​se više korisničkih podataka. To je možda čak i veća prijetnja od izvršnih aplikacija koje uništavaju Windows ili špijunskih apleta.

Što je ransomware virus?

Sam po sebi, kod napisan u samokopirajućem virusu pretpostavlja šifriranje gotovo svih korisničkih podataka posebnim kriptografskim algoritmima, bez utjecaja na sistemske datoteke operacijskog sustava.

U početku logika utjecaja virusa mnogima nije bila posve jasna. Sve je postalo jasno tek kada su hakeri koji su stvorili takve aplete počeli tražiti novac za vraćanje početne strukture datoteka. Istodobno, sam prodrli virus za šifriranje ne dopušta dešifriranje datoteka zbog svojih osobitosti. Da biste to učinili, potreban vam je poseban dešifrator, ako želite, kod, lozinka ili algoritam potreban za vraćanje željenog sadržaja.

Princip prodora u sustav i rad koda virusa

U pravilu je prilično teško "pokupiti" takvu prljavštinu na internetu. Glavni izvor širenja "zaraze" je e-pošta na razini programa instaliranih na određenom računalnom terminalu poput Outlooka, Thunderbirda, The Bat itd. Odmah napominjemo: ovo se ne odnosi na internetske poslužitelje pošte, jer imaju dovoljno visok stupanj zaštite, a pristup korisničkim podacima moguć je samo na razini

Druga stvar je aplikacija na terminalu računala. Ovdje je polje djelovanja virusa toliko široko da je to nemoguće zamisliti. Istina, ovdje je također vrijedno rezervirati: u većini slučajeva virusi su usmjereni na velike tvrtke, od kojih možete "otrgnuti" novac za davanje koda za dešifriranje. To je razumljivo, jer ne samo na lokalnim računalnim terminalima, već i na poslužiteljima takvih tvrtki, ne samo u potpunosti, nego i datoteke, da tako kažem, u jednom primjerku, ni u kojem slučaju ne podliježu uništavanju, mogu se pohraniti. A onda dešifriranje datoteka nakon ransomware virusa postaje prilično problematično.

Naravno, i obični korisnik može biti podvrgnut takvom napadu, ali u većini slučajeva to je malo vjerojatno ako slijedite najjednostavnije preporuke za otvaranje privitaka s ekstenzijama nepoznatog tipa. Čak i ako mail klijent definira privitak s ekstenzijom .jpg kao standardnu ​​grafičku datoteku, prvo se mora provjeriti sa standardnim instaliranim u sustavu.

Ako to nije učinjeno, kada ga otvorite dvostrukim klikom (standardna metoda), pokrenut će se aktivacija koda i započeti proces enkripcije, nakon čega isti Breaking_Bad (virus šifriranja) neće samo biti nemoguće izbrisati, ali datoteke se neće moći vratiti nakon što je prijetnja eliminirana.

Opće posljedice prodora svih virusa ove vrste

Kao što je već spomenuto, većina virusa ove vrste ulazi u sustav putem e-pošte. Pa, recimo, nekoj velikoj organizaciji, određena preporučena pošta primi pismo sa sadržajem poput “Promijenili smo ugovor, skenirajte u prilogu” ili “Poslan vam je račun za otpremu robe (kopija je tamo)". Naravno, nesuđeni zaposlenik otvara datoteku i ...

Sve korisničke datoteke na razini uredskih dokumenata, multimedije, specijaliziranih AutoCAD projekata ili bilo kojih drugih arhivskih podataka trenutno se kriptiraju, a ako je računalni terminal u lokalnoj mreži, virus se može dalje prenositi, šifrirajući podatke na drugim strojevima (ovo postaje vidljivo odmah nakon "usporavanja" sustava i zamrzavanja programa ili trenutno pokrenutih aplikacija).

Na kraju procesa enkripcije, sam virus, očito, šalje svojevrsno izvješće, nakon čega tvrtka može dobiti poruku da je takva i takva prijetnja ušla u sustav, te da je samo takva i takva organizacija može dešifrirati . Obično se radi o virusu [e-mail zaštićen] Slijedi obveza plaćanja usluga dešifriranja uz prijedlog slanja nekoliko datoteka na e-mail klijenta, koji je najčešće fiktivan.

Šteta od izlaganja kodu

Ako netko još nije shvatio: dešifriranje datoteka nakon ransomware virusa prilično je naporan proces. Čak i ako vas ne “navedu” na zahtjeve kibernetičkih kriminalaca i pokušate upotrijebiti službene državne strukture za borbu protiv računalnih zločina i njihovo sprječavanje, obično od toga neće biti ništa dobro.

Ako izbrišete sve datoteke, izradite pa čak i kopirate izvorne podatke s prijenosnog medija (naravno, ako postoji takva kopija), svejedno, kada se virus aktivira, sve će biti ponovno šifrirano. Dakle, ne treba se laskati, pogotovo jer kada se isti flash disk ubaci u USB port, korisnik neće ni primijetiti kako će virus šifrirati podatke na njemu. Tada sigurno nećete zaobići probleme.

Prvorođenče u obitelji

Skrenimo pozornost na prvi ransomware virus. Kako izliječiti i dešifrirati datoteke nakon izlaganja izvršnom kodu priloženom u privitku e-pošte s ponudom za upoznavanje, u trenutku njegovog pojavljivanja, nitko još nije razmišljao. Svjesnost o razmjerima katastrofe došla je tek s vremenom.

Taj je virus imao romantično ime "Volim te". Nesuđeni korisnik otvorio je privitak u elektroničkoj poruci i primio potpuno nemoguće multimedijske datoteke (grafike, video i audio). Tada su, međutim, takve radnje izgledale destruktivnije (nanošenje štete medijskim knjižnicama korisnika), a nitko za to nije tražio novac.

Najnovije modifikacije

Kao što vidite, evolucija tehnologije postala je prilično profitabilan posao, pogotovo ako uzmete u obzir da mnogi čelnici velikih organizacija odmah trče platiti akcije dešifriranja, potpuno ne razmišljajući o činjenici da mogu izgubiti i novac i informacije.

Usput, nemojte gledati sve ove "lijeve" postove na Internetu, oni kažu: "Uplatio sam / platio traženi iznos, poslali su mi kod, sve je vraćeno." Gluposti! Sve su to napisali programeri virusa kako bi privukli potencijalne, oprostite, "naivčine". No, prema standardima običnog korisnika, iznosi za plaćanje su prilično ozbiljni: od stotina do nekoliko tisuća ili desetaka tisuća eura ili dolara.

Pogledajmo sada najnovije vrste virusa ove vrste koje su zabilježene relativno nedavno. Svi su praktički slični i ne pripadaju samo ransomware kategoriji, već i skupini tzv. ransomwarea. U nekim slučajevima djeluju ispravnije (kao paycrypt), poput slanja službenih poslovnih prijedloga ili poruka da je netko stalo do sigurnosti korisnika ili organizacije. Takav ransomware virus jednostavno obmanjuje korisnika svojom porukom. Ako poduzme i najmanju akciju da plati, sve - "razvod" će biti u potpunosti.

XTBL virus

Relativno noviji može se pripisati klasičnoj verziji ransomwarea. U pravilu prodire u sustav putem e-mail poruka koje sadrže privitke u obliku datoteka iz kojih je standardno za Windows screensaver. Sustav i korisnik misle da je sve u redu i aktiviraju pregled ili spremanje privitka.

Nažalost, to dovodi do tužnih posljedica: nazivi datoteka se pretvaraju u skup znakova, a glavnoj ekstenziji se dodaje .xtbl, nakon čega se na željenu e-mail adresu šalje poruka o mogućnosti dešifriranja nakon plaćanja navedenog iznos (obično 5 tisuća rubalja).

CBF virus

Ova vrsta virusa također spada u klasike žanra. Pojavljuje se u sustavu nakon otvaranja privitaka e-pošte, a zatim preimenuje korisničke datoteke, dodajući na kraju ekstenziju poput .nochance ili .perfect.

Nažalost, ovu vrstu ransomware virusa nije moguće dešifrirati za analizu sadržaja koda čak ni u fazi njegovog pojavljivanja u sustavu, jer se nakon dovršetka svojih radnji samouništava. Čak ni ono što mnogi vjeruju da je univerzalni alat kao što je RectorDecryptor ne pomaže. Opet, korisnik dobiva dopis kojim se traži plaćanje, koje mu se daje dva dana.

Breaking_Bad virus

Ova vrsta prijetnje radi na isti način, ali standardno preimenuje datoteke dodavanjem .breaking_bad proširenju.

Situacija nije ograničena samo na to. Za razliku od prethodnih virusa, ovaj može stvoriti još jednu ekstenziju - .Heisenberg, pa nije uvijek moguće pronaći sve zaražene datoteke. Dakle, Breaking_Bad (virus ransomware) je prilično ozbiljna prijetnja. Usput, postoje slučajevi kada čak i licencirani Kaspersky Endpoint Security 10 paket dopušta prolazak ove vrste prijetnje.

Virus [e-mail zaštićen]

Evo još jedne, možda najozbiljnije prijetnje, koja je uglavnom usmjerena na velike komercijalne organizacije. U pravilu u neki odjel dolazi dopis koji kao da sadrži izmjene ugovora o opskrbi, ili čak samo račun. Privitak može sadržavati običnu .jpg datoteku (kao što je slika), ali češće izvršnu script.js (Java aplet).

Kako dešifrirati ovu vrstu ransomware virusa? Sudeći po tome da se tamo koristi neki nepoznati algoritam RSA-1024, nikako. Kao što ime govori, radi se o 1024-bitnom sustavu za šifriranje. Ali, ako se netko sjeća, danas se 256-bitni AES smatra najnaprednijim.

Virus za šifriranje: kako dezinficirati i dešifrirati datoteke pomoću antivirusnog softvera

Do danas nisu pronađena rješenja ove vrste za dešifriranje prijetnji ovog tipa. Čak i takvi majstori u području antivirusne zaštite kao što su Kaspersky, Dr. Web i Eset, ne mogu pronaći ključ za rješavanje problema kada ga je ransomware virus naslijedio u sustavu. Kako dezinficirati datoteke? U većini slučajeva predlaže se slanje zahtjeva na službenu web stranicu antivirusnog programera (usput, samo ako sustav ima licencirani softver ovog programera).

U tom slučaju morate priložiti nekoliko šifriranih datoteka, kao i njihove "zdrave" izvornike, ako ih ima. Općenito, malo ljudi sprema kopije podataka, tako da problem njihove odsutnosti samo pogoršava ionako neugodnu situaciju.

Mogući načini za ručno prepoznavanje i otklanjanje prijetnje

Da, skeniranje konvencionalnim antivirusnim programima otkriva prijetnje i čak ih uklanja iz sustava. Ali što je s informacijama?

Neki ljudi pokušavaju koristiti programe za dekodiranje poput već spomenutog uslužnog programa RectorDecryptor (RakhniDecryptor). Odmah primijetimo: ovo neće pomoći. A u slučaju virusa Breaking_Bad, može samo mnogo naškoditi. I zato.

Činjenica je da se ljudi koji stvaraju takve viruse pokušavaju zaštititi i dati smjernice drugima. Pri korištenju uslužnih programa za dešifriranje virus može reagirati na način da će cijeli sustav "odletjeti" i potpunim uništenjem svih podataka pohranjenih na tvrdim diskovima ili logičkim particijama. Ovo je, da tako kažem, indikativna lekcija za pouku svih onih koji ne žele platiti. Možemo se pouzdati samo u službene antivirusne laboratorije.

Kardinalne metode

Međutim, ako su stvari jako loše, morat ćete žrtvovati informacije. Da biste se u potpunosti riješili prijetnje, morate formatirati cijeli tvrdi disk, uključujući virtualne particije, a zatim ponovno instalirati "operacijski sustav".

Nažalost, drugog izlaza nema. Čak i do određene spremljene točke vraćanja neće pomoći. Virus može nestati, ali datoteke će ostati šifrirane.

Umjesto pogovora

Zaključno, treba napomenuti da je situacija sljedeća: ransomware virus prodire u sustav, čini svoje prljavo djelo i ne liječi se nijednom poznatom metodom. Antivirusna obrana nije bila pripremljena za ovu vrstu prijetnje. Podrazumijeva se da možete otkriti virus nakon izlaganja ili ga ukloniti. Ali šifrirane informacije ostat će ružne. Stoga se želi nadati da će najbolji umovi tvrtki za antivirusni softver ipak pronaći rješenje, iako će to, sudeći po algoritmima enkripcije, biti vrlo teško izvedivo. Prisjetimo se, primjerice, stroja za šifriranje Enigma, koji je njemačka mornarica imala tijekom Drugog svjetskog rata. Najbolji kriptografi nisu mogli riješiti problem algoritma za dešifriranje poruka dok se nisu dočepali uređaja. Tako je i ovdje.

Zaključani ransomware virus Je zlonamjerni program koji, kada se aktivira, šifrira sve osobne datoteke (kao što su fotografije i dokumenti) koristeći vrlo jak AES + RSA hibridni sustav šifriranja. Nakon što je datoteka šifrirana, njezina ekstenzija se mijenja u .locked. Kao i prije, svrha Locked virusa je prisiliti korisnike da kupe program i ključ potreban za dešifriranje vlastitih datoteka.

Na kraju procesa šifriranja datoteke, Locked virus prikazuje poruku sličnu onoj iznad. Govori vam kako se datoteke mogu dešifrirati. Korisnik je pozvan da autorima virusa prenese iznos od 250 dolara, što je oko 17.000 rubalja.

Kako se zaključani ransomware virus infiltrira u računalo

Locked ransomware virus se obično širi putem e-pošte. Pismo sadrži zaražene dokumente. Ove e-poruke se šalju u ogromnu bazu podataka e-mail adresa. Autori ovog virusa koriste obmanjujuća zaglavlja i sadržaj pisama u pokušaju da prevare korisnika da otvori dokument priložen pismu. Neka od pisama obavještavaju o potrebi plaćanja računa, druga nude pogledati najnoviji cjenik, treća otvaraju smiješnu fotografiju itd. U svakom slučaju, rezultat otvaranja priložene datoteke bit će zaraza računala virusom za šifriranje.

Što je Locked ransomware virus

Locked ransomware virus je zlonamjerni program koji inficira moderne verzije Windows operativnih sustava, kao što su Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ovaj virus koristi hibridni način šifriranja AES + RSA, što praktički isključuje mogućnost brute-force ključ za samodešifriranje datoteka.

Dok zarazi računalo, Locked ransomware virus koristi direktorije sustava za pohranu vlastitih datoteka. Kako bi se automatski pokrenuo svaki put kada se računalo uključi, ransomware stvara unos u Windows registru: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Odmah nakon pokretanja, virus skenira sve dostupne diskove, uključujući mrežu i pohranu u oblaku, kako bi odredio koje će datoteke biti šifrirane. Locked ransomware virus koristi ekstenziju naziva datoteke kao način za određivanje grupe datoteka koje treba šifrirati. Gotovo sve vrste datoteka su šifrirane, uključujući one uobičajene kao što su:

0, .1, .1., .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, novčanik, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Nakon što je datoteka šifrirana, njezina ekstenzija se mijenja u zaključana. Zatim virus stvara tekstualni dokument pod nazivom UNLOCK_FILES_INSTRUCTIONS.txt, koji sadrži upute za dešifriranje šifriranih datoteka.

Locked ransomware virus aktivno koristi taktiku zastrašivanja, dajući žrtvi kratak opis algoritma šifriranja i prikazujući prijeteću poruku na radnoj površini. Na taj način pokušava natjerati korisnika zaraženog računala, bez oklijevanja, da plati otkupninu kako bi pokušao vratiti svoje datoteke.

Je li moje računalo zaraženo virusom Locked ransomware?

Utvrditi je li računalo zaraženo ili ne virusom Locked vrlo je jednostavno. Imajte na umu da sve vaše osobne datoteke kao što su dokumenti, fotografije, glazba itd. normalno otvoren u odgovarajućim programima. Ako, na primjer, prilikom otvaranja dokumenta Word prijavi da je datoteka nepoznate vrste, tada je najvjerojatnije dokument šifriran, a računalo je zaraženo. Naravno, prisutnost na radnoj površini poruke od Locked virusa ili pojava UNLOCK_FILES_INSTRUCTIONS.txt datoteke na disku također je znak infekcije.

Ako sumnjate da ste otvorili poruku zaraženu virusom Locked, ali još nema simptoma infekcije, nemojte isključivati ​​niti ponovno pokretati računalo. Prije svega, isključite internet! Zatim slijedite korake opisane u ovom odjeljku priručnika. Druga je mogućnost isključiti računalo, ukloniti tvrdi disk i testirati ga na drugom računalu.

Kako dešifrirati datoteke šifrirane zaključanim virusom?

Ako se ova nesreća dogodila, onda nema potrebe za panikom! Ali morate znati da nema besplatnog dešifratora. To je zbog jakih algoritama šifriranja koje koristi ovaj virus. To znači da je gotovo nemoguće dešifrirati datoteke bez privatnog ključa. Korištenje metode odabira ključa također nije opcija, zbog velike duljine ključa. Stoga je, nažalost, samo plaćanje autorima virusa za cijeli traženi iznos jedini način da pokušate dobiti ključ za dešifriranje.

Naravno, ne postoji apsolutno nikakvo jamstvo da će nakon uplate autori virusa stupiti u kontakt i dati ključ potreban za dešifriranje vaših datoteka. Osim toga, morate razumjeti da plaćajući novac programerima virusa, sami ih tjerate na stvaranje novih virusa.

Kako ukloniti zaključani ransomware virus?

Prije nego što nastavite s tim, morate znati da počevši uklanjati virus i pokušavate sami vratiti datoteke, blokirate mogućnost dešifriranja datoteka plaćajući autorima virusa iznos koji su zatražili.

Kaspersky Virus Removal Tool i Malwarebytes Anti-malware mogu otkriti različite vrste aktivnih ransomware virusa i lako ih ukloniti s vašeg računala, ALI ne mogu oporaviti šifrirane datoteke.

5.1. Uklonite zaključani ransomware virus koristeći Kaspersky Virus Removal Tool

Štoviše, postoje specijalizirani sigurnosni programi. Na primjer, ovo je CryptoPrevent, detaljnije (eng).

Nekoliko završnih riječi

Slijedeći ove upute, vaše će računalo biti očišćeno od Locked ransomware virusa. Ako imate bilo kakvih pitanja ili trebate pomoć, kontaktirajte nas.