Se il sistema è infetto da malware delle famiglie Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl o Trojan Ransom.Win32.CryptXXX, quindi tutti i file sul computer verranno crittografati come segue:
- Quando infetto Trojan-Ransom.Win32.Rannoh nomi ed estensioni cambieranno in pattern bloccato-<оригинальное_имя>.<4 произвольных буквы> .
- Quando infetto Trojan-Ransom.Win32.Cryakl viene aggiunta un'etichetta alla fine del contenuto del file (CRYPTENDBLACKDC) .
- Quando infetto Trojan-Ransom.Win32.AutoIt l'estensione si ridimensiona in base al modello <оригинальное_имя>@<почтовый_домен>_.<набор_символов>
.
Ad esempio, [e-mail protetta] _.RZWDTDIC. - Quando infetto Trojan Ransom.Win32.CryptXXX l'estensione cambia in base ai modelli <оригинальное_имя>.cripta,<оригинальное_имя>. cripto e <оригинальное_имя>. cripto1.
L'utilità RannohDecryptor è progettata per decrittografare i file dopo l'infezione Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl o Trojan Ransom.Win32.CryptXXX versioni 1 , 2 e 3 .
Come curare il sistema
Per disinfettare un sistema infetto:
- Scarica il file RannohDecryptor.zip.
- Esegui il file RannohDecryptor.exe sulla macchina infetta.
- Nella finestra principale, fare clic su Inizia il controllo.
- Specificare il percorso del file crittografato e non crittografato.
Se il file è crittografato Trojan Ransom.Win32.CryptXXX, specificare i file con la dimensione maggiore. La decrittazione sarà disponibile solo per file di dimensioni uguali o inferiori. - Attendi fino alla fine della ricerca e decrittazione dei file crittografati.
- Riavvia il computer se necessario.
- Per eliminare una copia dei file crittografati del modulo bloccato-<оригинальное_имя>.<4 произвольных буквы> dopo la corretta decrittazione, selezionare.
Se il file è stato crittografato Trojan Ransom.Win32.Cryakl, quindi l'utilità salverà il file nella vecchia posizione con l'estensione .decryptedKLR.original_extension... Se hai scelto Elimina i file crittografati dopo la decrittografia riuscita, quindi il file decrittografato verrà salvato dall'utilità con il suo nome originale.
- Per impostazione predefinita, l'utility invia un report del suo lavoro alla radice del disco di sistema (il disco su cui è installato il sistema operativo).
Il nome del rapporto è il seguente: UtilityName.Version_Date_Time_log.txt
Ad esempio, C: \RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
Su un sistema infetto Trojan Ransom.Win32.CryptXXX, l'utilità esegue la scansione di un numero limitato di formati di file. Quando un utente seleziona un file interessato da CryptXXX v2, il recupero della chiave potrebbe richiedere molto tempo. In questo caso, l'utilità visualizza un avviso.
Il fatto che Internet sia pieno di virus oggi non sorprende nessuno. Molti utenti percepiscono situazioni legate al loro impatto sui sistemi o sui dati personali, per usare un eufemismo, chiudendo un occhio, ma solo fino a quando il virus di crittografia si insedia in modo specifico nel sistema. La maggior parte degli utenti comuni non sa come curare e decrittografare i dati archiviati su un disco rigido. Pertanto, questo contingente è "guidato" alle richieste avanzate dagli aggressori. Ma vediamo cosa puoi fare se viene rilevata una tale minaccia o per impedire che entri nel sistema.
Che cos'è un virus ransomware?
Questo tipo di minaccia utilizza algoritmi di crittografia dei file standard e non standard che ne alterano completamente il contenuto e ne bloccano l'accesso. Ad esempio, sarà assolutamente impossibile aprire un file di testo crittografato per la lettura o la modifica, nonché per riprodurre contenuti multimediali (grafica, video o audio) dopo l'esposizione a un virus. Anche le operazioni standard per copiare o spostare oggetti non sono disponibili.
Lo stesso riempimento software del virus è il mezzo che crittografa i dati in modo tale che non sia sempre possibile ripristinare il loro stato originale anche dopo aver rimosso la minaccia dal sistema. Di solito, tali programmi dannosi creano le proprie copie e si installano molto profondamente nel sistema, quindi a volte il virus di crittografia dei file può essere completamente impossibile da rimuovere. Disinstallando il programma principale o eliminando il corpo principale del virus, l'utente non elimina l'impatto della minaccia, né tanto meno ripristina le informazioni crittografate.
Come entra la minaccia nel sistema?
Di norma, minacce di questo tipo sono per lo più mirate a grandi strutture commerciali e possono penetrare nei computer attraverso programmi di posta quando un dipendente apre un presunto documento allegato in un messaggio di posta elettronica, che è, ad esempio, un'aggiunta a una sorta di accordo di cooperazione o il piano per l'approvvigionamento delle merci (le offerte commerciali con investimenti da fonti dubbie sono la prima strada per il virus).
Il guaio è che un virus ransomware su una macchina che ha accesso a una rete locale è in grado di adattarsi anche ad essa, creando le proprie copie non solo in un ambiente di rete, ma anche sul terminale dell'amministratore, se manca della necessaria protezione in sotto forma di software antivirus firewall o firewall.
A volte tali minacce possono penetrare anche nei sistemi informatici degli utenti ordinari che, nel complesso, non interessano i criminali informatici. Ciò accade al momento dell'installazione di alcuni programmi scaricati da risorse Internet dubbie. Molti utenti, all'avvio del download, ignorano gli avvisi del sistema di protezione antivirus, e durante il processo di installazione non prestano attenzione ai suggerimenti per installare software aggiuntivi, pannelli o plug-in per browser, quindi, man mano che dire, mordersi i gomiti.
Varietà di virus e un po' di storia
Fondamentalmente, le minacce di questo tipo, in particolare il virus ransomware più pericoloso No_more_ransom, sono classificate non solo come strumenti per crittografare i dati o bloccarne l'accesso. In effetti, tutte queste applicazioni dannose sono classificate come ransomware. In altre parole, i criminali informatici richiedono una certa somma di denaro per decrittare le informazioni, ritenendo che questo processo sia impossibile da eseguire senza un programma iniziale. Questo è in parte il caso.
Ma se scavi nella storia, noterai che uno dei primissimi virus di questo tipo, sebbene non imponesse requisiti di denaro, era la famigerata applet I Love You, che crittografava completamente i file multimediali (principalmente brani musicali) nei sistemi degli utenti . La decrittazione dei file dopo che il virus ransomware si è rivelata impossibile in quel momento. Ora è questa minaccia che può essere affrontata in modo elementare.
Ma lo sviluppo dei virus stessi o degli algoritmi di crittografia utilizzati non si ferma. Cosa manca tra i virus: qui hai XTBL, CBF e Breaking_Bad e [e-mail protetta], e un mucchio di altre brutte cose.
Tecnica per influenzare i file utente
E se fino a poco tempo fa la maggior parte degli attacchi veniva effettuata utilizzando algoritmi RSA-1024 basati sulla crittografia AES con lo stesso bit, lo stesso virus ransomware No_more_ransom viene oggi presentato in diverse interpretazioni, utilizzando chiavi di crittografia basate su tecnologie RSA-2048 e persino RSA-3072.
Problemi di decrittazione per gli algoritmi utilizzati
Il problema è che i moderni sistemi di decrittazione sono impotenti di fronte a un tale pericolo. La decrittazione dei file dopo il virus ransomware basato su AES256 è ancora in qualche modo supportata e, con una velocità in bit della chiave più elevata, quasi tutti gli sviluppatori si limitano a scrollare le spalle. Questo, tra l'altro, è stato ufficialmente confermato dagli specialisti di Kaspersky Lab ed Eset.
Nella versione più primitiva, all'utente che ha contattato il servizio di supporto viene chiesto di inviare un file crittografato e il suo originale per il confronto e ulteriori operazioni per determinare l'algoritmo di crittografia e le modalità di ripristino. Ma, di regola, nella maggior parte dei casi questo non funziona. Ma il virus ransomware può decrittografare i file da solo, come si crede, a condizione che la vittima accetti i termini degli aggressori e paghi una certa somma in termini monetari. Tuttavia, una tale formulazione della questione solleva legittimi dubbi. Ed ecco perché.
Virus di crittografia: come curare e decifrare i file e si può fare?
Dopo che il pagamento è stato effettuato, si dice che gli hacker attivino la decrittazione tramite l'accesso remoto al loro virus che si trova nel sistema o tramite un'applet aggiuntiva se il corpo del virus è stato rimosso. Sembra più che dubbioso.
Vorrei anche notare il fatto che Internet è pieno di post falsi che affermano che, dicono, è stato pagato l'importo richiesto e che i dati sono stati ripristinati con successo. Questa è tutta una bugia! E davvero, dov'è la garanzia che dopo il pagamento il virus di crittografia nel sistema non verrà più attivato? Non è difficile capire la psicologia dei ladri: se paghi una volta, paghi ancora. E se si tratta di informazioni particolarmente importanti come specifici sviluppi commerciali, scientifici o militari, i proprietari di tali informazioni sono disposti a pagare quanto necessario, affinché i file rimangano intatti e al sicuro.
Il primo rimedio per eliminare la minaccia
Questa è la natura di un virus ransomware. Come disinfettare e decrittografare i file dopo essere stati esposti a una minaccia? Sì, no, se non ci sono strumenti a portata di mano, che non sempre aiutano. Ma puoi provare.
Supponiamo che nel sistema sia apparso un virus ransomware. Come si disinfettano i file infetti? Innanzitutto, dovresti eseguire una scansione approfondita del sistema senza l'uso della tecnologia S.M.A.R.T., che rileva le minacce solo quando i settori di avvio e i file di sistema sono danneggiati.
Si consiglia di non utilizzare lo scanner standard esistente, che ha già perso la minaccia, ma di utilizzare utilità portatili. L'opzione migliore sarebbe l'avvio da Kaspersky Rescue Disk, che può avviarsi anche prima che il sistema operativo inizi a funzionare.
Ma questa è solo metà della battaglia, poiché in questo modo puoi solo sbarazzarti del virus stesso. Ma con il decoder sarà più difficile. Ma ne parleremo più avanti.
C'è un'altra categoria in cui rientrano i virus ransomware. Come decifrare le informazioni verrà detto separatamente, ma per ora soffermiamoci sul fatto che possono esistere completamente apertamente nel sistema sotto forma di programmi e applicazioni ufficialmente installati (l'impudenza degli aggressori non conosce limiti, poiché la minaccia non nemmeno tentare di camuffarsi).
In questo caso, dovresti usare la sezione di programmi e componenti in cui viene eseguita la disinstallazione standard. Tuttavia, dovresti anche prestare attenzione al fatto che il programma di disinstallazione standard di Windows non elimina completamente tutti i file di programma. In particolare, il virus ransomware ransomware è in grado di creare le proprie cartelle nelle directory root di sistema (di solito si tratta di directory Csrss, dove è presente il file eseguibile csrss.exe con lo stesso nome). Windows, System32 o le directory utente (Utenti sull'unità di sistema) vengono selezionate come posizione principale.
Inoltre, il virus ransomware No_more_ransom scrive le proprie chiavi nel registro sotto forma di un collegamento apparentemente al servizio di sistema ufficiale Client Server Runtime Subsystem, che è fuorviante per molti, poiché questo servizio dovrebbe essere responsabile dell'interazione tra software client e server . La chiave stessa si trova nella cartella Esegui, che può essere raggiunta tramite il ramo HKLM. È chiaro che dovrai eliminare manualmente tali chiavi.
Per semplificare, puoi utilizzare utilità come iObit Uninstaller, che cerca automaticamente i file rimanenti e le chiavi di registro (ma solo se il virus è visibile sul sistema come applicazione installata). Ma questa è la cosa più semplice da fare.
Soluzioni offerte dagli sviluppatori di software antivirus
Si ritiene che la decrittazione del virus ransomware possa essere eseguita utilizzando utilità speciali, anche se se si dispone di tecnologie con una chiave a 2048 o 3072 bit, non è necessario fare affidamento su di esse (inoltre, molte di esse eliminano i file dopo la decrittazione e quindi il i file ripristinati scompaiono a causa dell'errore la presenza di un corpo del virus che non è stato rimosso prima).
Tuttavia, puoi provare. Di tutti i programmi, vale la pena evidenziare RectorDecryptor e ShadowExplorer. Si ritiene che finora non sia stato creato nulla di meglio. Ma il problema potrebbe anche essere che quando si tenta di utilizzare il decryptor, non vi è alcuna garanzia che i file da disinfettare non vengano eliminati. Cioè, se non ti sbarazzi inizialmente del virus, qualsiasi tentativo di decrittazione sarà destinato al fallimento.
Oltre a eliminare le informazioni crittografate, può anche essere fatale: l'intero sistema non sarà operativo. Inoltre, un moderno virus ransomware è in grado di influenzare non solo i dati memorizzati sul disco rigido di un computer, ma anche i file nel cloud storage. E qui non ci sono soluzioni per ripristinare le informazioni. Inoltre, come si è scoperto, molti servizi stanno adottando misure di protezione non sufficientemente efficaci (lo stesso OneDrive integrato in Windows 10, che è esposto direttamente dal sistema operativo).
Una soluzione radicale al problema
Come è già chiaro, i metodi più moderni non danno un risultato positivo quando vengono infettati da tali virus. Naturalmente, se c'è un originale del file danneggiato, può essere inviato per l'esame a un laboratorio antivirus. È vero, ci sono anche dubbi molto seri che un utente normale crei copie di backup di dati che, se archiviati su un disco rigido, possono anche essere esposti a codice dannoso. E il fatto che per evitare problemi, gli utenti copino le informazioni su supporti rimovibili, non stiamo affatto parlando.
Quindi, per una soluzione radicale al problema, la conclusione suggerisce se stessa: formattazione completa del disco rigido e di tutte le partizioni logiche con la cancellazione delle informazioni. Quindi che si fa? Dovrai donare se non vuoi che il virus o la sua copia salvata da te vengano riattivati nel sistema.
Per fare ciò, non dovresti usare gli strumenti dei sistemi Windows stessi (intendo formattare le partizioni virtuali, poiché verrà emesso un divieto quando si tenta di accedere al disco di sistema). Meglio usare l'avvio da supporti ottici come LiveCD o distribuzioni di installazione, come quelle create utilizzando Media Creation Tool per Windows 10.
Prima di avviare la formattazione, a patto che il virus venga rimosso dal sistema, si può provare a ripristinare l'integrità dei componenti del sistema tramite la riga di comando (sfc/scannow), ma ciò non avrà alcun effetto in termini di decrittografia e sblocco dei dati. Pertanto, il formato c: è l'unica soluzione corretta possibile, che ti piaccia o no. Questo è l'unico modo per sbarazzarsi completamente di questo tipo di minaccia. Ahimè, non c'è altro modo! Anche il trattamento con gli strumenti standard offerti dalla maggior parte dei pacchetti antivirus è impotente.
Invece di una postfazione
In termini di suggerire conclusioni, possiamo solo dire che non esiste una soluzione unica e universale per eliminare le conseguenze dell'impatto di tali minacce oggi (purtroppo, ma un fatto - questo è confermato dalla maggior parte degli sviluppatori e degli specialisti di software antivirus nel campo della crittografia).
Non è chiaro perché l'emergere di algoritmi basati sulla crittografia a 1024, 2048 e 3072 bit passati da coloro che sono direttamente coinvolti nello sviluppo e nell'implementazione di tali tecnologie? Infatti, oggi l'algoritmo AES256 è considerato il più promettente e il più sicuro. Avviso! 256! Questo sistema, a quanto pare, non è adatto ai virus moderni. Cosa possiamo dire quindi dei tentativi di decifrare le loro chiavi?
Comunque sia, è abbastanza facile evitare di introdurre una minaccia nel sistema. Nella versione più semplice, dovresti scansionare tutti i messaggi in arrivo con allegati in Outlook, Thunderbird e altri client di posta con antivirus immediatamente dopo la ricezione e in nessun caso aprire gli allegati fino al completamento della scansione. Dovresti anche leggere attentamente i suggerimenti per l'installazione di software aggiuntivo durante l'installazione di alcuni programmi (di solito sono scritti in caratteri molto piccoli o mascherati da componenti aggiuntivi standard come l'aggiornamento di Flash Player o qualcos'altro). È meglio aggiornare i componenti multimediali tramite i siti ufficiali. Questo è l'unico modo per prevenire almeno in qualche modo la penetrazione di tali minacce nel tuo sistema. Le conseguenze possono essere del tutto imprevedibili, considerando che virus di questo tipo si diffondono istantaneamente sulla rete locale. E per l'azienda, una tale svolta degli eventi può trasformarsi in un vero e proprio crollo di tutte le imprese.
Infine, l'amministratore di sistema non dovrebbe rimanere inattivo. È meglio escludere i mezzi di protezione del software in una situazione del genere. Lo stesso firewall (firewall) non dovrebbe essere software, ma "hardware" (ovviamente con software di accompagnamento a bordo). E, va da sé, non vale la pena risparmiare nemmeno sull'acquisto di pacchetti antivirus. È meglio acquistare un pacchetto con licenza e non installare programmi primitivi che presumibilmente forniscono protezione in tempo reale solo dalle parole dello sviluppatore.
E se una minaccia è già entrata nel sistema, la sequenza di azioni dovrebbe includere la rimozione del corpo del virus stesso e solo allora tenta di decrittografare i dati danneggiati. Idealmente - formattazione completa (attenzione, non veloce con la cancellazione del sommario, ma formattazione completa, preferibilmente con il ripristino o la sostituzione del file system, dei settori di avvio e dei record esistenti).
L'utilità Kaspresky RakhniDecryptor decrittograferà i file le cui estensioni sono cambiate secondo i seguenti schemi:
- Trojan Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.bloccato;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.buio;
- <имя_файла>.<оригинальное_расширение>.oh merda;
- <имя_файла>.<оригинальное_расширение>.nessuna possibilità;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>.cripto;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta];
- <имя_файла>.<оригинальное_расширение>.P *** [e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id373;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id371;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id372;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id374;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id375;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id376;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id392;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id357;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id356;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id358;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id359;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id360;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _com_id20.
Trojan-Ransom.Win32.Rakhni crea un file exit.hhr.oshit, che contiene password crittografate dai file dell'utente. Se questo file viene salvato sul computer infetto, la decrittazione sarà molto più veloce. Se il file exit.hhr.oshit è stato eliminato, ripristinarlo utilizzando i programmi di ripristino dei file eliminati, quindi posizionarlo nella cartella% APPDATA% ed eseguire nuovamente il controllo dell'utilità. Puoi trovare il file exit.hhr.oshit nel seguente percorso: C: \ Users<имя_пользователя>\ AppData \ Roaming
- Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_cripta.
- Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[e-mail protetta] _.lettere>.
- Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.gridare;
- <имя_файла>.<оригинальное_расширение>.AES256.
- Trojan Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
- Trojan Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+
. - Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.criptato.
- Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
- Trojan-Ransom.Win32.Bitman versione 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.micro;
- <имя_файла>.mp3.
- Trojan-Ransom.Win32.Bitman versione 4:<имя_файла>.<оригинальное_расширение>(il nome del file e l'estensione non cambiano).
- Trojan Ransom.Win32.Libra:
- <имя_файла>.criptato;
- <имя_файла>.bloccato;
- <имя_файла>.SecureCrypted.
- Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.divertimento;
- <имя_файла>.gws;
- <имя_файла>.btc;
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epico;
- <имя_файла>.criptato;
- <имя_файла>.J;
- <имя_файла>.riscatto;
- <имя_файла>.paybtc;
- <имя_файла>.pagamenti;
- <имя_файла>.paganti;
- <имя_файла>.pagamenti;
- <имя_файла>.pagamento;
- <имя_файла>.pagamenti;
- <имя_файла>.gefickt;
- <имя_файла>[e-mail protetta]
- Trojan Ransom.Win32.Mircop:
.<имя_файла>.<оригинальное_расширение>. - Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.
@ . .xtbl; - <имя_файла>.ID<…>.
@ . .Crisi; - <имя_файла>.ID-<…>.
@ . .xtbl; - <имя_файла>.ID-<…>.
@ . .portafoglio; - <имя_файла>.ID-<…>.
@ . .dramma; - <имя_файла>.ID-<…>.
@ . .cipolla; - <имя_файла>.
@ . .portafoglio; - <имя_файла>.
@ . .dramma; - <имя_файла>.
@ . .cipolla.
- <имя_файла>.ID<…>.
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta];
- [e-mail protetta]
- Trojan Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[e-mail protetta]
- Trojan Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.bloccato;
- <имя_файла>.<оригинальное_расширение>.cripaaaaa;
- <имя_файла>.<оригинальное_расширение>.smettere;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.criptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.criptato;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.criptik;
- <имя_файла>.<оригинальное_расширение>.criptt;
- <имя_файла>.<оригинальное_расширение>.Ciao;
- <имя_файла>.<оригинальное_расширение>.aga.
- Trojan Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.PESTE17;
- <имя_файла>.<оригинальное_расширение>.ktldll.
- Trojan Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[e-mail protetta];
- <имя_файла>.<оригинальное_расширение>[e-mail protetta];
- <имя_файла>.<оригинальное_расширение>[e-mail protetta];
- <имя_файла>.<оригинальное_расширение>[e-mail protetta];
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _.cripta;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] ____ cripta;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] _______ cripta;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta] ___ cripta;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta]==.cripta;
- <имя_файла>.<оригинальное_расширение>[e-mail protetta]= -.cripta.
Esempi di alcuni indirizzi di distributori dannosi:
Se il file è crittografato con l'estensione CRYPT, la decrittografia potrebbe richiedere molto tempo. Ad esempio, su un processore Intel Core i5-2400, possono essere necessari circa 120 giorni.
- Trojan Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.cripta;
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
- Trojan Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.serratura;
- <имя_файла>[e-mail protetta] _hu;
- <имя_файла>[e-mail protetta];
- <имя_файла>. ~ xdata.
- Trojan Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.ID-<...>.nomecasuale-<...>.<случайное_расширение>.
Versione malware Indirizzo e-mail degli aggressori [e-mail protetta] _graf1
[e-mail protetta] _mod
[e-mail protetta] _mod2
Come decrittografare i file utilizzando l'utilità Kaspersky RakhniDecryptor
- Scarica l'archivio RakhniDecryptor.zip e scompattalo. Istruzioni nell'articolo.
- Vai alla cartella con i file dall'archivio.
- Esegui il file RakhniDecryptor.exe.
- Clicca su Modifica i parametri di scansione.
- Seleziona gli oggetti da scansionare: dischi rigidi, unità rimovibili o unità di rete.
- Selezionare la casella Elimina i file crittografati dopo la decrittografia riuscita... In questo caso, l'utilità eliminerà le copie dei file crittografati con le estensioni assegnate LOCKED, KRAKEN, DARKNESS, ecc.
- Clicca su ok.
- Clicca su Inizia il controllo.
- Seleziona il file crittografato e fai clic su Aprire.
- Leggi l'avviso e fai clic su ok.
I file verranno decifrati.
Un file può essere crittografato con l'estensione CRYPT più di una volta. Ad esempio, se il file test.doc viene crittografato due volte, il primo livello verrà decrittografato dall'utilità RakhniDecryptor nel file test.1.doc.layerDecryptedKLR. La seguente voce apparirà nel rapporto sull'operazione dell'utilità: "Decrittografia riuscita: unità: \ percorso \ test.doc_crypt -> unità: \ percorso \ test.1.doc.layerDecryptedKLR". Questo file deve essere nuovamente decifrato dall'utility. Se la decrittazione ha esito positivo, il file verrà nuovamente salvato con il nome originale test.doc.
Parametri per eseguire l'utilità dalla riga di comando
Per comodità e accelerare il processo di decrittografia dei file, Kaspersky RakhniDecryptor supporta i seguenti parametri della riga di comando:
| Nome della squadra | Senso | Esempio |
|---|---|---|
| –Fili | Avvio dell'utilità con indovinare la password in diversi thread. Se questo parametro non è specificato, il numero di thread è uguale al numero di core del processore. | RakhniDecryptor.exe – thread 6 |
| -Inizio<число>-Fine<число> |
Ripresa del tentativo di indovinare la password da un determinato stato. Il numero minimo è 0. Interrompi la password di forza bruta in un determinato stato. Il numero massimo è 1.000.000. Indovinare la password nell'intervallo tra due stati. |
RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50.000 |
| -l<название файла с указанием полного пути к нему> | Specificare il percorso del file in cui salvare il report dell'operazione di utilità. | RakhniDecryptor.exe -l C: Utenti \ Amministratore \ RakhniReport.txt |
| -h | Visualizza la guida sui parametri della riga di comando disponibili | RakhniDecryptor.exe -h |
Di per sé, i virus come minaccia informatica non sorprendono nessuno oggi. Ma se prima influenzavano il sistema nel suo insieme, causando malfunzionamenti nelle sue prestazioni, oggi, con l'avvento di una varietà come un virus ransomware, le azioni di una minaccia infiltrante riguardano più dati dell'utente. Forse è anche più una minaccia delle applicazioni eseguibili distruttive di Windows o degli applet spyware.
Che cos'è un virus ransomware?
Di per sé, il codice scritto in un virus autocopiante presuppone la crittografia di quasi tutti i dati dell'utente con speciali algoritmi crittografici, senza influire sui file di sistema del sistema operativo.
All'inizio, la logica dell'impatto del virus non era del tutto chiara a molti. Tutto è diventato chiaro solo quando gli hacker che hanno creato tali applet hanno iniziato a richiedere denaro per ripristinare la struttura del file iniziale. Allo stesso tempo, lo stesso virus di crittografia penetrato non consente la decrittazione dei file a causa delle sue peculiarità. Per fare ciò, hai bisogno di un decryptor speciale, se lo desideri, un codice, una password o un algoritmo necessario per ripristinare il contenuto desiderato.
Il principio di penetrazione nel sistema e il funzionamento del codice del virus
Di norma, è abbastanza difficile "raccogliere" un tale letame su Internet. La fonte principale della diffusione del "infezione" è la posta elettronica a livello di programmi installati su un determinato terminale di computer come Outlook, Thunderbird, The Bat, ecc. Nota subito: questo non vale per i server di posta Internet, poiché hanno un grado di protezione sufficientemente elevato e l'accesso ai dati degli utenti è possibile solo a livello
Un'altra cosa è un'applicazione su un terminale di computer. È qui che il campo d'azione dei virus è così ampio che è impossibile immaginare. È vero, vale anche la pena fare una prenotazione qui: nella maggior parte dei casi, i virus sono rivolti a grandi aziende, da cui è possibile "rubare" denaro per fornire un codice di decrittazione. Ciò è comprensibile, del resto, non solo sui terminali di computer locali, ma anche sui server di tali società, non solo completamente, ma anche file, per così dire, in un'unica copia, non soggetta comunque a distruzione, può essere immagazzinato. E poi decifrare i file dopo che il virus ransomware diventa piuttosto problematico.
Naturalmente, anche un utente normale può essere soggetto a un tale attacco, ma nella maggior parte dei casi ciò è improbabile se si seguono i consigli più semplici per l'apertura di allegati con estensioni di tipo sconosciuto. Anche se il client di posta definisce un allegato con estensione .jpg come file grafico standard, prima deve essere verificato con quello standard installato nel sistema.
In caso contrario, quando lo aprirai con un doppio clic (metodo standard), inizierà l'attivazione del codice e inizierà il processo di crittografia, dopodiché lo stesso Breaking_Bad (virus di crittografia) non solo sarà impossibile da eliminare, ma i file non potranno essere ripristinati dopo che la minaccia è stata eliminata.
Le conseguenze generali della penetrazione di tutti i virus di questo tipo
Come già accennato, la maggior parte dei virus di questo tipo entra nel sistema tramite e-mail. Bene, diciamo, in una grande organizzazione, una specifica raccomandata riceve una lettera con il contenuto come "Abbiamo cambiato il contratto, scansiona in allegato" o "Ti è stata inviata una fattura per la spedizione della merce (una copia è là)". Naturalmente, un dipendente ignaro apre il file e ...
Tutti i file utente a livello di documenti d'ufficio, multimediali, progetti AutoCAD specializzati o qualsiasi altro dato di archivio vengono crittografati istantaneamente e se il terminale del computer si trova nella rete locale, il virus può essere ulteriormente trasmesso, crittografando i dati su altre macchine (questo diventa evidente immediatamente dopo il "Rallentamento" del sistema e il blocco dei programmi o delle applicazioni attualmente in esecuzione).
Alla fine del processo di crittografia, il virus stesso, a quanto pare, invia una sorta di rapporto, dopo il quale la società potrebbe ricevere un messaggio che tale o tale minaccia è entrata nel sistema e che solo tale o tale organizzazione può decrittografarla . Di solito riguarda il virus [e-mail protetta] Poi viene l'obbligo di pagare per i servizi di decrittazione con la proposta di inviare diversi file all'e-mail del cliente, che è molto spesso fittizia.
Danno da esposizione al codice
Se qualcuno non ha ancora capito: decifrare i file dopo un virus ransomware è un processo piuttosto laborioso. Anche se non ci si "conduce" alle richieste dei criminali informatici e si cerca di utilizzare le strutture governative ufficiali per combattere i crimini informatici e prevenirli, di solito non ne verrà fuori nulla di buono.
Se elimini tutti i file, produci e persino copi i dati originali da un supporto rimovibile (ovviamente, se esiste una copia del genere), tuttavia, quando il virus viene attivato, tutto verrà nuovamente crittografato. Quindi non dovresti illuderti, soprattutto perché quando la stessa unità flash viene inserita nella porta USB, l'utente non si accorgerà nemmeno di come il virus crittograferà i dati su di essa. Allora sicuramente non risolverai i problemi.
Primogenito in famiglia
Ora rivolgiamo la nostra attenzione al primo virus ransomware. Come curare e decifrare i file dopo l'esposizione al codice eseguibile racchiuso in un allegato di posta elettronica con un'offerta di appuntamenti, al momento della sua comparsa, nessuno pensava. La consapevolezza della portata del disastro è arrivata solo con il tempo.
Quel virus aveva il nome romantico "Ti amo". Un utente ignaro ha aperto un allegato in un messaggio elettronico e ha ricevuto file multimediali (grafica, video e audio) completamente non riproducibili. Quindi, tuttavia, tali azioni sembravano più distruttive (causando danni alle librerie multimediali degli utenti) e nessuno ha chiesto soldi per questo.
Modifiche più recenti
Come puoi vedere, l'evoluzione della tecnologia è diventata un'attività piuttosto redditizia, soprattutto se si considera che molti leader di grandi organizzazioni corrono immediatamente a pagare per azioni di decrittazione, senza pensare completamente al fatto che possono perdere denaro e informazioni.
A proposito, non guardare tutti questi post "sinistri" su Internet, dicono: "Ho pagato / pagato l'importo richiesto, mi hanno inviato un codice, tutto è stato ripristinato". Senza senso! Tutto questo è scritto dagli sviluppatori del virus per attirare potenziali, mi scusi, "sfigati". Ma, per gli standard di un normale utente, gli importi da pagare sono piuttosto seri: da centinaia a diverse migliaia o decine di migliaia di euro o dollari.
Ora diamo un'occhiata ai più recenti tipi di virus di questo tipo che sono stati registrati relativamente di recente. Tutti sono praticamente simili e appartengono non solo alla categoria dei ransomware, ma anche al gruppo dei cosiddetti ransomware. In alcuni casi, agiscono in modo più corretto (come paycrypt), come l'invio di proposte commerciali formali o messaggi che qualcuno si preoccupa per la sicurezza dell'utente o dell'organizzazione. Un tale virus ransomware inganna semplicemente l'utente con il suo messaggio. Se intraprende anche la minima azione per pagare, tutto - il "divorzio" sarà per intero.
virus XTBL
Quello relativamente recente può essere attribuito alla versione classica del ransomware. Di norma, entra nel sistema tramite messaggi di posta elettronica contenenti allegati sotto forma di file da cui è standard per lo screensaver di Windows. Il sistema e l'utente pensano che tutto sia in ordine e attivano la visualizzazione o il salvataggio dell'allegato.
Purtroppo, questo porta a tristi conseguenze: i nomi dei file vengono convertiti in un insieme di caratteri e .xtbl viene aggiunto all'estensione principale, dopodiché viene inviato un messaggio all'indirizzo di posta desiderato sulla possibilità di decrittazione dopo il pagamento dell'importo specificato importo (di solito 5 mila rubli).
Virus CBF
Anche questo tipo di virus appartiene ai classici del genere. Appare nel sistema dopo aver aperto gli allegati di posta elettronica, quindi rinomina i file utente, aggiungendo un'estensione come .nochance o .perfect alla fine.
Sfortunatamente, non è possibile decifrare questo tipo di virus ransomware per analizzare il contenuto del codice anche nella fase della sua comparsa nel sistema, poiché dopo aver completato le sue azioni, si autodistrugge. Anche quello che molti credono sia uno strumento universale come RectorDecryptor non aiuta. Anche in questo caso, l'utente riceve una lettera di richiesta di pagamento, a cui vengono concessi due giorni.
Breaking_Bad virus
Questo tipo di minaccia funziona allo stesso modo, ma rinomina i file come standard aggiungendo .breaking_bad all'estensione.
La situazione non si limita a questo. A differenza dei virus precedenti, questo può creare un'altra estensione - .Heisenberg, quindi non è sempre possibile trovare tutti i file infetti. Quindi Breaking_Bad (virus ransomware) è una minaccia piuttosto seria. A proposito, ci sono casi in cui anche il pacchetto Kaspersky Endpoint Security 10 con licenza consente il passaggio di questo tipo di minaccia.
Virus [e-mail protetta]
Ecco un'altra, forse la più grave minaccia, che si rivolge principalmente alle grandi organizzazioni commerciali. Di norma, a qualche reparto arriva una lettera, che sembra contenere modifiche al contratto di fornitura, o anche solo una fattura. L'allegato può contenere un normale file .jpg (come un'immagine), ma più spesso uno script.js eseguibile (applet Java).
Come decifrare questo tipo di virus ransomware? A giudicare dal fatto che lì viene utilizzato un algoritmo sconosciuto RSA-1024, in nessun modo. Come suggerisce il nome, è un sistema di crittografia a 1024 bit. Ma, se qualcuno ricorda, oggi AES a 256 bit è considerato il più avanzato.
Virus di crittografia: come disinfettare e decrittografare i file utilizzando un software antivirus
Ad oggi non sono state trovate soluzioni di questo tipo per decifrare minacce di questo tipo. Anche maestri nel campo della protezione antivirus come Kaspersky, il Dr. Web ed Eset, non riescono a trovare la chiave per risolvere il problema quando un virus ransomware lo ha ereditato nel sistema. Come disinfettare i file? Nella maggior parte dei casi, si consiglia di inviare una richiesta al sito Web ufficiale dello sviluppatore dell'antivirus (a proposito, solo se il sistema dispone di software con licenza di questo sviluppatore).
In questo caso, è necessario allegare diversi file crittografati, nonché i loro originali "sani", se presenti. In generale, in generale, poche persone salvano copie di dati, quindi il problema della loro assenza non fa che esacerbare la già spiacevole situazione.
Possibili modi per identificare e rimediare manualmente a una minaccia
Sì, la scansione con antivirus convenzionali rileva le minacce e le rimuove persino dal sistema. Ma per quanto riguarda le informazioni?
Alcune persone cercano di utilizzare programmi di decodifica come l'utilità già menzionata RectorDecryptor (RakhniDecryptor). Notiamo subito: questo non aiuterà. E nel caso del virus Breaking_Bad, può solo fare molto male. Ed ecco perché.
Il fatto è che le persone che creano tali virus stanno cercando di proteggersi e dare una guida agli altri. Quando si utilizzano le utilità di decrittazione, il virus può reagire in modo tale che l'intero sistema "vola via" e con la completa distruzione di tutti i dati archiviati su dischi rigidi o partizioni logiche. Questa è, per così dire, una lezione indicativa per l'edificazione di tutti coloro che non vogliono pagare. Possiamo affidarci solo ai laboratori antivirus ufficiali.
Metodi cardinali
Tuttavia, se le cose vanno davvero male, dovrai sacrificare le informazioni. Per eliminare completamente la minaccia, è necessario formattare l'intero disco rigido, comprese le partizioni virtuali, quindi reinstallare il "sistema operativo".
Sfortunatamente, non c'è altra via d'uscita. Anche fino a un certo punto di ripristino salvato non sarà di aiuto. Il virus potrebbe scomparire, ma i file rimarranno crittografati.
Invece di una postfazione
In conclusione, va notato che la situazione è la seguente: un virus ransomware penetra nel sistema, fa il suo atto sporco e non viene curato con alcun metodo noto. Le difese antivirus non erano preparate per questo tipo di minaccia. Inutile dire che è possibile rilevare un virus dopo l'esposizione o rimuoverlo. Ma le informazioni crittografate rimarranno sgradevoli. Quindi si vorrebbe sperare che le migliori menti delle aziende di software antivirus riescano comunque a trovare una soluzione, anche se, a giudicare dagli algoritmi di crittografia, sarà molto difficile da fare. Ricordiamo, ad esempio, la macchina di crittografia Enigma, che la marina tedesca aveva durante la seconda guerra mondiale. I migliori crittografi non potevano risolvere il problema dell'algoritmo per decifrare i messaggi finché non mettevano le mani sul dispositivo. Questo è anche il caso qui.
Virus ransomware bloccatoÈ un programma dannoso che, quando attivato, crittografa tutti i file personali (come foto e documenti) utilizzando il potentissimo sistema di crittografia ibrido AES + RSA. Dopo che il file è stato crittografato, la sua estensione viene modificata in .locked. Come prima, lo scopo del virus Locked è costringere gli utenti ad acquistare il programma e la chiave necessaria per decrittografare i propri file.
Al termine del processo di crittografia dei file, il virus Locked visualizza un messaggio simile a quello sopra. Ti dice come i file possono essere decifrati. L'utente è invitato a trasferire agli autori del virus un importo di $ 250, che è di circa 17.000 rubli.
In che modo il virus ransomware bloccato si infiltra in un computer
Il virus ransomware bloccato di solito si diffonde tramite e-mail. La lettera contiene documenti infetti. Queste e-mail vengono inviate a un enorme database di indirizzi e-mail. Gli autori di questo virus utilizzano intestazioni e contenuti fuorvianti delle lettere nel tentativo di indurre l'utente ad aprire il documento allegato alla lettera. Alcune lettere informano sulla necessità di pagare il conto, altre offrono di vedere l'ultimo listino prezzi, altre di aprire una foto divertente, ecc. In ogni caso, il risultato dell'apertura del file allegato sarà l'infezione del computer con un virus di crittografia.
Che cos'è il virus ransomware bloccato
Il virus ransomware bloccato è un programma dannoso che infetta le versioni moderne dei sistemi operativi Windows, come Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Questo virus utilizza una modalità di crittografia ibrida AES + RSA, che praticamente esclude la possibilità di chiave di forza bruta per l'auto-decrittografia dei file.
Durante l'infezione di un computer, il virus ransomware Locked utilizza le directory di sistema per archiviare i propri file. Per avviarsi automaticamente ogni volta che il computer viene acceso, il ransomware crea una voce nel registro di Windows: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
Immediatamente dopo l'avvio, il virus esegue la scansione di tutte le unità disponibili, inclusa la rete e l'archiviazione cloud, per determinare quali file verranno crittografati. Il virus ransomware Locked utilizza l'estensione del nome file come un modo per determinare il gruppo di file da crittografare. Quasi tutti i tipi di file sono crittografati, inclusi quelli comuni come:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Dopo che il file è stato crittografato, la sua estensione viene modificata in bloccata. Quindi il virus crea un documento di testo denominato UNLOCK_FILES_INSTRUCTIONS.txt, che contiene le istruzioni per la decrittografia dei file crittografati.
Il virus ransomware Locked utilizza attivamente tattiche di intimidazione, fornendo alla vittima una breve descrizione dell'algoritmo di crittografia e visualizzando un messaggio minaccioso sul desktop. In questo modo, cerca di costringere l'utente del computer infetto, senza esitazione, a pagare il riscatto per cercare di riavere i suoi file.
Il mio computer è stato infettato dal virus ransomware Locked?
Determinare se un computer è stato infettato o meno dal virus Locked è abbastanza semplice. Tieni presente che tutti i tuoi file personali come documenti, foto, musica, ecc. normalmente aperto nei programmi corrispondenti. Se, ad esempio, quando si apre un documento, Word segnala che il file è di un tipo sconosciuto, molto probabilmente il documento è crittografato e il computer è infetto. Ovviamente anche la presenza sul Desktop di un messaggio del virus Locked o la comparsa del file UNLOCK_FILES_INSTRUCTIONS.txt sul disco è un segno di infezione.
Se sospetti di aver aperto un messaggio infetto dal virus Locked, ma non ci sono ancora sintomi di infezione, non spegnere o riavviare il computer. Prima di tutto, spegni Internet! Quindi seguire i passaggi descritti in questo manuale, sezione. Un'altra opzione è spegnere il computer, rimuovere il disco rigido e testarlo su un altro computer.
Come decifrare i file crittografati dal virus Locked?
Se questa disgrazia è accaduta, non c'è bisogno di farsi prendere dal panico! Ma devi sapere che non esiste un decryptor gratuito. Ciò è dovuto ai potenti algoritmi di crittografia utilizzati da questo virus. Ciò significa che è quasi impossibile decrittografare i file senza una chiave privata. Anche l'utilizzo del metodo di selezione della chiave non è un'opzione, a causa della lunghezza della chiave elevata. Pertanto, purtroppo, solo pagare gli autori del virus per l'intero importo richiesto è l'unico modo per cercare di ottenere la chiave di decrittazione.
Naturalmente, non c'è assolutamente alcuna garanzia che dopo il pagamento gli autori del virus si metteranno in contatto e forniranno la chiave necessaria per decrittografare i tuoi file. Inoltre, devi capire che pagando soldi agli sviluppatori di virus, li stai spingendo a creare nuovi virus.
Come rimuovere il virus ransomware bloccato?
Prima di procedere con questa operazione, devi sapere che iniziando a rimuovere il virus e provando a ripristinare i file da solo, blocchi la possibilità di decrittografare i file pagando agli autori del virus l'importo da loro richiesto.
Kaspersky Virus Removal Tool e Malwarebytes Anti-malware possono rilevare diversi tipi di virus ransomware attivi e possono rimuoverli facilmente dal computer, MA non possono recuperare i file crittografati.
5.1. Rimuovere il virus ransomware bloccato utilizzando Kaspersky Virus Removal Tool
Inoltre, ci sono programmi di sicurezza specializzati. Ad esempio, questo è CryptoPrevent, in modo più dettagliato (ita).
Qualche parola finale
Seguendo queste istruzioni, il tuo computer verrà ripulito dal virus ransomware bloccato. Se hai domande o hai bisogno di aiuto, contattaci.
