Cum să decriptați fișierele cu extensia blocată. Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

12.05.2019 Greșeli

Dacă sistemul este infectat cu programe malware ale familiilor Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.CryptXXX, apoi toate fișierele de pe computer vor fi criptate după cum urmează:

Când este infectat Trojan-Ransom.Win32.Rannoh numele și extensiile se vor schimba în funcție de șablon incuiat-<оригинальное_имя>.<4 произвольных буквы> .
Când este infectat Trojan-Ransom.Win32.Cryakl se adaugă un semn la sfârșitul conținutului fișierelor (CRYPTENDBLACKDC) .
Când este infectat Trojan-Ransom.Win32.AutoIt extensia se modifică în funcție de model <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
De exemplu, [email protected] _.RZWDTDIC.
Când este infectat Trojan-Ransom.Win32.CryptXXX extensia se modifică după modele <оригинальное_имя>.criptă,<оригинальное_имя>. cripzȘi <оригинальное_имя>. cript1.

Utilitarul RannohDecryptor este conceput pentru a decripta fișierele după infectare Troian-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.CryptXXX versiuni 1 , 2 Și 3 .

Cum să vindeci sistemul

Pentru a vindeca un sistem infectat:

Descărcați fișierul RannohDecryptor.zip.
Rulați fișierul RannohDecryptor.exe pe mașina infectată.
În fereastra principală, faceți clic Începeți verificarea.

Specificați calea către fișierul criptat și necriptat.
Dacă fișierul este criptat Trojan-Ransom.Win32.CryptXXX, specificați cele mai mari fișiere. Decriptarea va fi disponibilă numai pentru fișierele de dimensiune egală sau mai mică.
Așteptați până la sfârșitul căutării și decriptării fișierelor criptate.
Reporniți computerul dacă este necesar.
Pentru a șterge o copie a fișierelor criptate, cum ar fi incuiat-<оригинальное_имя>.<4 произвольных буквы> după decriptarea cu succes, selectați .

Dacă fișierul a fost criptat Trojan-Ransom.Win32.Cryakl, apoi utilitarul va salva fișierul în locația veche cu extensia .decryptedKLR.original_extension. Daca ai ales Ștergeți fișierele criptate după decriptarea cu succes, apoi fișierul decriptat va fi salvat de utilitar cu numele original.

În mod implicit, utilitarul trimite raportul de operare către rădăcina unității de sistem (unitatea pe care este instalat sistemul de operare).
Numele raportului arată astfel: UtilityName.Version_Date_Time_log.txt
De exemplu, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Pe un sistem infectat Trojan-Ransom.Win32.CryptXXX, utilitarul scanează un număr limitat de formate de fișiere. Când un utilizator selectează un fișier afectat de CryptXXX v2, recuperarea cheii poate dura mult timp. În acest caz, utilitarul afișează un avertisment.

Faptul că internetul este plin de viruși nu surprinde pe nimeni astăzi. Mulți utilizatori percep situații legate de impactul lor asupra sistemelor sau a datelor personale, pentru a spune ușor, uitându-se printre degete, dar numai până când un virus de criptare se instalează în mod specific în sistem. Majoritatea utilizatorilor obișnuiți nu știu cum să vindece și să decripteze datele stocate pe un hard disk. Prin urmare, acest contingent este „condus” la revendicările prezentate de intruși. Dar să vedem ce se poate face dacă o astfel de amenințare este detectată sau pentru a preveni pătrunderea acesteia în sistem.

Ce este un virus ransomware?

Acest tip de amenințare utilizează algoritmi de criptare a fișierelor standard și non-standard care le modifică complet conținutul și blochează accesul. De exemplu, deschiderea unui fișier text criptat pentru citire sau editare, precum și redarea conținutului multimedia (grafică, video sau audio), după expunerea la un virus, va fi absolut imposibilă. Nici măcar acțiunile standard pentru copierea sau mutarea obiectelor nu sunt disponibile.

Însuși umplutura software a virusului este instrumentul care criptează datele în așa fel încât să nu fie întotdeauna posibil să le restabilească starea inițială chiar și după ce amenințarea a fost eliminată din sistem. De obicei, astfel de programe rău intenționate creează copii ale lor și se instalează foarte profund în sistem, astfel încât poate fi complet imposibil să eliminați virusul de criptare a fișierelor. Prin dezinstalarea programului principal sau ștergerea corpului principal al virusului, utilizatorul nu scapă de impactul amenințării, ca să nu mai vorbim de recuperarea informațiilor criptate.

Cum intră amenințarea în sistem?

De regulă, amenințările de acest tip vizează în mare parte structuri comerciale mari și pot pătrunde în computere prin programe de e-mail atunci când un angajat deschide un document presupus atașat într-un e-mail, care este, de exemplu, o completare la un fel de acord de cooperare sau la bunuri. plan de aprovizionare (oferte comerciale cu investiții din surse dubioase - prima cale pentru virus).

Problema este că un virus de criptare de pe o mașină care are acces la o rețea locală este capabil să se adapteze acestuia, creându-și propriile copii nu numai în mediul de rețea, ci și pe terminalul administratorului, dacă îi lipsesc instrumentele de protecție necesare în sub formă de software antivirus, firewall sau firewall.

Uneori, astfel de amenințări pot pătrunde și în sistemele informatice ale utilizatorilor obișnuiți, care, în general, nu prezintă interes pentru intruși. Acest lucru se întâmplă în momentul instalării unor programe descărcate din resurse de internet dubioase. Mulți utilizatori la începutul descărcării ignoră avertismentele sistemului de protecție antivirus, iar în timpul procesului de instalare nu acordă atenție ofertelor de instalare de software, panouri sau plug-in-uri suplimentare pentru browsere, iar apoi, după cum spun ei , musca-le din coate.

Varietăți de viruși și puțină istorie

Practic, amenințările de acest tip, în special cel mai periculos virus de criptare No_more_ransom, sunt clasificate nu doar ca instrumente pentru criptarea datelor sau blocarea accesului la acestea. De fapt, toate astfel de aplicații rău intenționate sunt clasificate drept ransomware. Cu alte cuvinte, atacatorii cer o anumită sumă de bani pentru decriptarea informațiilor, crezând că va fi imposibil de realizat acest proces fără programul inițial. Parțial așa este și.

Dar, dacă cercetezi istorie, poți vedea că unul dintre primii viruși de acest tip, deși nu a cerut bani, a fost infamul applet I Love You, care a criptat complet fișierele multimedia (în principal melodii) pe sistemele utilizatorilor. Decriptarea fișierelor după virusul ransomware la acel moment s-a dovedit a fi imposibilă. Acum tocmai cu această amenințare este posibil să lupți elementar.

Dar dezvoltarea virușilor înșiși sau a algoritmilor de criptare utilizați nu stă pe loc. Ce există printre viruși - aici aveți XTBL și CBF și Breaking_Bad și [email protected], și o grămadă de alte prostii.

Metodologie de influențare a fișierelor utilizator

Și dacă, până de curând, cele mai multe atacuri erau efectuate folosind algoritmi RSA-1024 bazați pe criptare AES cu aceeași adâncime de biți, același virus de criptare No_more_ransom este acum prezentat în mai multe interpretări folosind chei de criptare bazate pe RSA-2048 și chiar RSA-3072 tehnologiilor.

Probleme de decodificare a algoritmilor utilizați

Problema este că sistemele moderne de decriptare în fața unui astfel de pericol s-au dovedit a fi neputincioase. Decriptarea fișierelor după un virus de criptare bazat pe AES256 este încă acceptată cumva și, cu o rată de biți mai mare a cheii, aproape toți dezvoltatorii pur și simplu ridică din umeri. Acest lucru, de altfel, a fost confirmat oficial de specialiștii de la Kaspersky Lab și Eset.

În cea mai primitivă versiune, utilizatorul care a contactat serviciul de asistență este invitat să trimită un fișier criptat și originalul acestuia pentru comparare și operațiuni ulterioare pentru a determina algoritmul de criptare și metodele de recuperare. Dar, de regulă, în majoritatea cazurilor acest lucru nu funcționează. Dar virusul de criptare poate decripta fișierele în sine, așa cum se crede, cu condiția ca victima să fie de acord cu termenii atacatorilor și să plătească o anumită sumă în termeni monetari. Cu toate acestea, o astfel de formulare a întrebării ridică îndoieli legitime. Si de aceea.

Virus de criptare: cum să vindeci și să decriptezi fișierele și se poate face?

Se presupune că, după plată, hackerii activează decriptarea prin acces de la distanță la virusul lor, care se află în sistem, sau printr-un applet suplimentar dacă corpul virusului este eliminat. Pare mai mult decât îndoielnic.

De asemenea, aș dori să remarc faptul că Internetul este plin de postări false care spun că, se spune, a fost plătită suma necesară, iar datele au fost restaurate cu succes. Toate sunt minciuni! Și adevărul este - unde este garanția că, după plată, virusul de criptare din sistem nu va mai fi activat? Nu este greu de înțeles psihologia spărgătorilor: dacă plătești o dată, vei plăti din nou. Și când vine vorba de informații deosebit de importante, cum ar fi anumite dezvoltări comerciale, științifice sau militare, deținătorii unor astfel de informații sunt gata să plătească cât doresc, atâta timp cât fișierele rămân în siguranță.

Primul remediu pentru amenințare

Aceasta este natura unui virus ransomware. Cum să vindeci și să decriptezi fișierele după ce ai fost expus la o amenințare? Da, în niciun caz, dacă nu există mijloace improvizate, care, de asemenea, nu ajută întotdeauna. Dar poți încerca.

Să presupunem că un virus ransomware a apărut în sistem. Cum să vindeci fișierele infectate? Pentru început, ar trebui să efectuați o scanare aprofundată a sistemului fără a utiliza tehnologia S.M.A.R.T., care asigură detectarea amenințărilor numai atunci când sectoarele de boot și fișierele de sistem sunt deteriorate.

Este recomandabil să nu folosiți scanerul standard existent, care a ratat deja amenințarea, ci să folosiți utilități portabile. Cea mai bună opțiune ar fi pornirea de pe Kaspersky Rescue Disk, care poate porni chiar înainte ca sistemul de operare să înceapă să funcționeze.

Dar aceasta este doar jumătate din bătălie, pentru că în acest fel nu poți scăpa decât de virusul în sine. Dar cu decodor va fi mai dificil. Dar mai multe despre asta mai târziu.

Există o altă categorie în care se încadrează virușii ransomware. Cum să decriptați informațiile va fi discutat separat, dar deocamdată să ne concentrăm asupra faptului că acestea pot exista în sistem destul de deschis sub formă de programe și aplicații instalate oficial (aroganța atacatorilor nu cunoaște limite, deoarece amenințarea nu are limite). chiar încearcă să se deghizeze).

În acest caz, ar trebui să utilizați secțiunea Programe și caracteristici, unde se efectuează dezinstalarea standard. Cu toate acestea, trebuie să acordați atenție faptului că programul de dezinstalare standard al sistemelor Windows nu elimină complet toate fișierele de program. În special, virusul de criptare a răscumpărării este capabil să-și creeze propriile foldere în directoarele rădăcină ale sistemului (de obicei acestea sunt directoare Csrss, unde este prezent fișierul executabil csrss.exe cu același nume). Windows, System32 sau directoarele de utilizatori (Utilizatori de pe unitatea de sistem) sunt selectate ca locație principală.

În plus, virusul No_more_ransom encryptor își scrie propriile chei în registru ca o legătură către serviciul oficial Client Server Runtime Subsystem, ceea ce îi încurcă pe mulți, deoarece acest serviciu ar trebui să fie responsabil pentru interacțiunea dintre software-ul client și server. Cheia în sine se află în folderul Run, la care se poate ajunge prin filiala HKLM. Este clar că va trebui să ștergeți manual astfel de chei.

Pentru a fi mai ușor, puteți utiliza utilitare precum iObit Uninstaller, care caută automat fișiere reziduale și chei de registry (dar numai dacă virusul este vizibil în sistem ca aplicație instalată). Dar acesta este cel mai ușor lucru de făcut.

Soluții oferite de dezvoltatorii de software antivirus

Se crede că decriptarea virusului de criptare se poate face folosind utilități speciale, deși dacă există tehnologii cu o cheie de 2048 sau 3072 de biți, nu ar trebui să vă bazați în mod deosebit pe ele (în plus, multe dintre ele șterg fișierele după decriptare și apoi fișierele recuperate dispar din cauza prezenței unui corp de virus care nu a fost încă îndepărtat).

Cu toate acestea, puteți încerca. Dintre toate programele, merită evidențiate RectorDecryptor și ShadowExplorer. Se crede că încă nu s-a creat nimic mai bun. Dar problema poate sta și în faptul că atunci când încercați să utilizați un decriptor, nu există nicio garanție că fișierele vindecate nu vor fi șterse. Adică, dacă nu scapi inițial de virus, orice încercare de decriptare va fi sortită eșecului.

Pe lângă ștergerea informațiilor criptate, poate exista un rezultat fatal - întregul sistem va fi inoperabil. În plus, un virus ransomware modern poate afecta nu numai datele stocate pe hard diskul unui computer, ci și fișierele din stocarea în cloud. Și nu există soluții pentru recuperarea datelor. În plus, după cum sa dovedit, în multe servicii sunt luate măsuri de protecție insuficient de eficiente (același OneDrive încorporat în Windows 10, care este afectat direct de sistemul de operare).

O soluție radicală a problemei

După cum este deja clar, majoritatea metodelor moderne nu dau un rezultat pozitiv atunci când sunt infectate cu astfel de viruși. Desigur, dacă există un original al fișierului deteriorat, acesta poate fi trimis la laboratorul antivirus pentru examinare. Adevărat, există îndoieli serioase că un utilizator obișnuit va crea copii de rezervă ale datelor care, atunci când sunt stocate pe un hard disk, pot fi, de asemenea, expuse unui cod rău intenționat. Și faptul că, pentru a evita problemele, utilizatorii copiază informații pe medii amovibile, nu vorbim deloc.

Astfel, pentru o soluție cardinală a problemei, concluzia se sugerează: formatarea completă a hard disk-ului și a tuturor partițiilor logice cu ștergerea informațiilor. Deci ce să fac? Va trebui să donați dacă nu doriți ca virusul sau copia sa salvată să fie activată din nou în sistem.

Pentru a face acest lucru, nu ar trebui să utilizați instrumentele sistemelor Windows în sine (adică formatarea partițiilor virtuale, deoarece dacă încercați să accesați discul de sistem, va fi emisă o interdicție). Este mai bine să utilizați pornirea de pe medii optice, cum ar fi LiveCD sau distribuții de instalare, cum ar fi cele create folosind Instrumentul de creare media pentru Windows 10.

Înainte de a începe formatarea, cu condiția ca virusul să fie eliminat din sistem, puteți încerca să restabiliți integritatea componentelor sistemului prin linia de comandă (sfc / scannow), dar acest lucru nu va funcționa în ceea ce privește decriptarea și deblocarea datelor. Deci formatul c: este singura soluție posibilă, indiferent dacă vă place sau nu. Acesta este singurul mod de a scăpa complet de aceste tipuri de amenințări. Din păcate, nu există altă cale! Chiar și tratamentul cu instrumente standard oferite de majoritatea pachetelor antivirus este neputincios.

În loc de postfață

În ceea ce privește concluziile evidente, putem spune doar că nu există o soluție unică și universală pentru eliminarea consecințelor impactului unor astfel de amenințări astăzi (trist, dar adevărat - acest lucru este confirmat de majoritatea dezvoltatorilor de software antivirus și experților în criptografie) .

Rămâne neclar de ce apariția algoritmilor bazați pe criptarea pe 1024, 2048 și 3072 de biți a trecut de cei care sunt direct implicați în dezvoltarea și implementarea unor astfel de tehnologii? Într-adevăr, astăzi algoritmul AES256 este considerat cel mai promițător și mai sigur. Înștiințare! 256! Acest sistem, după cum se dovedește, nu este potrivit pentru virușii moderni. Ce să spun atunci despre încercările de a-și decripta cheile?

Oricum ar fi, este destul de ușor să evitați introducerea unei amenințări în sistem. În cel mai simplu caz, toate mesajele primite cu atașamente în Outlook, Thunderbird și alți clienți de e-mail ar trebui scanate de un antivirus imediat după primire și în niciun caz nu trebuie să deschideți atașamente până când scanarea este finalizată. De asemenea, ar trebui să citiți cu atenție sugestiile pentru instalarea de software suplimentar atunci când instalați unele programe (de obicei sunt scrise cu litere foarte mici sau deghizate ca suplimente standard, cum ar fi o actualizare Flash Player sau altceva). Componentele media sunt actualizate cel mai bine prin intermediul site-urilor oficiale. Acesta este singurul mod de a preveni cel puțin cumva pătrunderea unor astfel de amenințări în propriul sistem. Consecințele pot fi complet imprevizibile, având în vedere că virușii de acest tip se răspândesc instantaneu în rețeaua locală. Iar pentru companie, o astfel de întorsătură a evenimentelor se poate transforma într-un adevărat colaps al tuturor întreprinderilor.

În cele din urmă, administratorul de sistem nu ar trebui să stea inactiv. Protecția software-ului într-o astfel de situație este mai bine să excludem. Același firewall (firewall) nu ar trebui să fie software, ci „hardware” (în mod firesc, cu software aferent la bord). Și, este de la sine înțeles că nici economisirea la achiziționarea pachetelor antivirus nu merită. Este mai bine să cumpărați un pachet licențiat, decât să instalați programe primitive care se presupune că oferă protecție în timp real numai de cuvintele dezvoltatorului.

Și dacă amenințarea a pătruns deja în sistem, succesiunea de acțiuni ar trebui să includă eliminarea însuși a corpului virusului și abia apoi încearcă să decripteze datele deteriorate. În mod ideal, un format complet (notă, nu unul rapid cu ștergerea cuprinsului, ci unul complet, de preferință cu restaurarea sau înlocuirea sistemului de fișiere existent, a sectoarelor de boot și a înregistrărilor).

Utilitarul Kaspresky RakhniDecryptor va decripta fișierele ale căror extensii s-au modificat conform următoarelor modele:

Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.blocat;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.întuneric;
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.nici o sansa;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>.cripto;
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>.p*** [email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id373;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id371;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id372;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id374;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id375;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id376;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id392;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id357;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id356;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id358;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id359;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id360;
- <имя_файла>.<оригинальное_расширение>[email protected] _com_id20.

Trojan-Ransom.Win32.Rakhni creează fișierul exit.hhr.oshit, care conține parola criptată pentru fișierele utilizatorului. Dacă acest fișier este stocat pe computerul infectat, decriptarea va fi mult mai rapidă. Dacă fișierul exit.hhr.oshit a fost șters, restaurați-l folosind programele de recuperare a fișierelor șterse, apoi plasați-l în folderul %APPDATA% și rulați din nou utilitarul. Fișierul exit.hhr.oshit poate fi găsit în următoarea cale: C:\Users<имя_пользователя>\AppData\Roaming

Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_criptă.
Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email protected] _.litere>.
Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.strigăt;
- <имя_файла>.<оригинальное_расширение>.AES256.
Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.criptate.
Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
Trojan-Ransom.Win32.Bitman versiunea 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.micro;
- <имя_файла>.mp3.
Trojan-Ransom.Win32.Bitman versiunea 4:<имя_файла>.<оригинальное_расширение>(numele și extensia fișierului nu se modifică).
Trojan-Ransom.Win32.Libra:
- <имя_файла>.criptat;
- <имя_файла>.blocat;
- <имя_файла>.SecureCrypted.
Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.distracţie;
- <имя_файла>.gws;
- <имя_файла>.btc
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epic;
- <имя_файла>.criptat;
- <имя_файла>.J;
- <имя_файла>.rambursare;
- <имя_файла>.paybtcs;
- <имя_файла>.paymds;
- <имя_файла>.paymrss;
- <имя_файла>.plăți;
- <имя_файла>.plata;
- <имя_файла>.plăți;
- <имя_файла>.gefickt;
- <имя_файла>[email protected]
Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.@..xtbl;
- <имя_файла>.ID<…>.@..CrySiS;
- <имя_файла>.id-<…>.@..xtbl;
- <имя_файла>.id-<…>.@..portofel;
- <имя_файла>.id-<…>.@..drama;
- <имя_файла>.id-<…>.@..ceapă;
- <имя_файла>.@..portofel;
- <имя_файла>.@..drama;
- <имя_файла>.@..ceapă.

Exemple de adrese de răspândire rău intenționate:

Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email protected]
Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.blocat;
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smit;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.cryptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.criptat;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.cryptix;
- <имя_файла>.<оригинальное_расширение>.crypttt;
- <имя_файла>.<оригинальное_расширение>.bună;
- <имя_файла>.<оригинальное_расширение>.aga.
Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.PLAGUE17;
- <имя_файла>.<оригинальное_расширение>.ktldl.
Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected] _.criptă;
- <имя_файла>.<оригинальное_расширение>[email protected] ____.criptă;
- <имя_файла>.<оригинальное_расширение>[email protected] _______.criptă;
- <имя_файла>.<оригинальное_расширение>[email protected] ___.criptă;
- <имя_файла>.<оригинальное_расширение>[email protected]==.cripta;
- <имя_файла>.<оригинальное_расширение>[email protected]=--.cripta.

Dacă fișierul este criptat cu extensia CRYPT, decriptarea poate dura mult timp. De exemplu, pe un procesor Intel Core i5-2400, poate dura aproximativ 120 de zile.

Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.criptă
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.Lacăt;
- <имя_файла>[email protected] _hu;
- <имя_файла>[email protected];
- <имя_файла>.~xdata.
Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
Trojan-Ransom.Win32.Cryakl: e-mail-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

Versiunea de malware	Adresa de e-mail a atacatorilor
	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
	[email protected] _graf1 [email protected] _mod [email protected] _mod2
	[email protected] [email protected]
	[email protected]
	[email protected] [email protected][email protected] [email protected]

Cum să decriptați fișierele cu utilitarul Kaspersky RakhniDecryptor

Descărcați arhiva RakhniDecryptor.zip și extrageți-o. Instrucțiuni din articol.
Accesați folderul cu fișierele din arhivă.
Rulați fișierul RakhniDecryptor.exe.
Clic Modificați setările de scanare.

Selectați obiectele de scanat: hard disk, unități amovibile sau unități de rețea.
Caseta de bifat Ștergeți fișierele criptate după decriptarea cu succes. În acest caz, utilitarul va șterge copii ale fișierelor criptate cu extensii LOCKED, KRAKEN, DARKNESS etc.
Clic Bine.

Clic Începeți verificarea.

Selectați fișierul criptat și faceți clic Deschis.

Citiți avertismentul și faceți clic Bine.

Fișierele vor fi decriptate.

Un fișier poate fi criptat cu extensia CRYPT de mai multe ori. De exemplu, dacă fișierul test.doc este criptat de două ori, utilitarul RakhniDecryptor va decripta primul strat în fișierul test.1.doc.layerDecryptedKLR. Următoarea intrare va apărea în raportul de funcționare a utilitarului: „Decriptare succes: drive:\path\test.doc_crypt -> drive:\path\test.1.doc.layerDecryptedKLR”. Acest fișier trebuie decriptat din nou de către utilitar. După decriptarea cu succes, fișierul va fi resalvat cu numele original test.doc.

Opțiuni pentru rularea utilitarului din linia de comandă

Pentru comoditate și pentru a accelera procesul de decriptare a fișierelor, Kaspersky RakhniDecryptor acceptă următorii parametri de linie de comandă:

Numele echipei	Sens	Exemplu
--fire	Lansarea utilitarului cu ghicirea parolei în mai multe fire. Dacă parametrul nu este setat, numărul de fire este egal cu numărul de nuclee de procesor.	RakhniDecryptor.exe – fire 6
--start<число>-Sfârșit<число>	Reluarea ghicirii parolei dintr-o anumită stare. Numărul minim este 0. Opriți ghicitul parolei într-o anumită stare. Numărul maxim este de 1.000.000. Ghicirea parolei în intervalul dintre două stări.	RakhniDecryptor.exe – începe 123 RakhniDecryptor.exe – sfârșitul 123 RakhniDecryptor.exe -start 100 -end 50000
-l<название файла с указанием полного пути к нему>	Specificarea căii către fișierul în care trebuie salvat raportul de funcționare a utilitarului.	RakhniDecryptor.exe -l C:Utilizatori\Administrator\RakhniReport.txt
-h	Afișează ajutor despre opțiunile disponibile pentru linia de comandă	RakhniDecryptor.exe -h

Virușii înșiși ca amenințări informatice nu surprind pe nimeni astăzi. Dar dacă mai devreme au afectat sistemul în ansamblu, provocând eșecuri în performanța acestuia, astăzi, odată cu apariția unei astfel de varietati precum virusul ransomware, acțiunile unei amenințări penetrante privesc mai multe date ale utilizatorilor. Este poate chiar mai mult o amenințare decât aplicațiile executabile Windows distructive sau aplicațiile spion.

Ce este un virus ransomware?

În sine, codul scris într-un virus care se copiază automat implică criptarea aproape tuturor datelor utilizatorului cu algoritmi criptografici speciali, care nu afectează fișierele de sistem ale sistemului de operare.

La început, logica impactului virusului nu a fost pe deplin clară pentru mulți. Totul a devenit clar abia atunci când hackerii care au creat astfel de applet-uri au început să ceară bani pentru restaurarea structurii originale a fișierelor. În același timp, virusul ransomware infiltrat în sine nu permite decriptarea fișierelor datorită caracteristicilor sale. Pentru a face acest lucru, aveți nevoie de un decriptor special, dacă doriți, un cod, o parolă sau un algoritm necesar pentru a restabili conținutul pe care îl căutați.

Principiul pătrunderii în sistem și funcționarea codului virusului

De regulă, este destul de dificil să „recolți” astfel de noroi pe internet. Principala sursă de răspândire a „infecției” este e-mail-ul la nivelul programelor instalate pe un anumit terminal de computer, cum ar fi Outlook, Thunderbird, The Bat etc., la datele utilizatorului este posibilă doar la nivel

Un alt lucru este o aplicație pe un terminal de computer. Aici, pentru acțiunea virușilor, câmpul este atât de larg încât este imposibil de imaginat. Adevărat, merită să faceți și o rezervare aici: în cele mai multe cazuri, virușii se adresează companiilor mari de la care puteți „scăpa” bani pentru furnizarea unui cod de decriptare. Acest lucru este de înțeles, deoarece nu numai pe terminalele de computer locale, ci și pe serverele unor astfel de firme, nu numai în totalitate, ci și fișiere, ca să spunem așa, într-o singură copie, nesupusă în niciun caz distrugerii, pot fi stocate. Și apoi decriptarea fișierelor după virusul de criptare devine destul de problematică.

Desigur, un astfel de atac poate fi supus și un utilizator obișnuit, dar în majoritatea cazurilor acest lucru este puțin probabil dacă urmați cele mai simple recomandări pentru deschiderea atașamentelor cu extensii de tip necunoscut. Chiar dacă clientul de mail detectează un atașament cu extensia .jpg ca fișier grafic standard, acesta trebuie mai întâi verificat de cel standard instalat în sistem.

Dacă nu se face acest lucru, atunci când îl deschideți cu un dublu clic (metoda standard), va începe activarea codului și va începe procesul de criptare, după care același Breaking_Bad (virus de criptare) nu numai că va fi imposibil de șters, dar fișierele nu vor putea fi restaurate după eliminarea amenințării.

Consecințele generale ale pătrunderii tuturor virusurilor de acest tip

După cum am menționat deja, majoritatea virușilor de acest tip intră în sistem prin e-mail. Ei bine, să presupunem, într-o organizație mare, o scrisoare ajunge la un anumit e-mail înregistrat cu conținut precum „Am schimbat contractul, scanarea este în atașament” sau „Ți s-a trimis o factură pentru expedierea mărfurilor (o copie acolo)”. Desigur, un angajat nebănuit deschide dosarul și...

Toate fișierele utilizator la nivel de documente de birou, multimedia, proiecte specializate AutoCAD sau orice alte date de arhivă sunt criptate instantaneu, iar dacă terminalul computerului se află în rețeaua locală, virusul poate fi transmis mai departe, criptând datele pe alte mașini (aceasta devine vizibil imediat după „încetinirea” sistemului și înghețarea programelor sau a aplicațiilor care rulează în prezent).

La sfârșitul procesului de criptare, virusul însuși, aparent, trimite un fel de raport, după care compania poate primi un mesaj că așa și o amenințare a intrat în sistem și că doar o astfel de amenințare o poate decripta . De obicei este vorba despre un virus. [email protected] Urmează cererea de plată a serviciilor de decriptare cu o ofertă de trimitere a mai multor fișiere pe e-mailul clientului, care este cel mai adesea fictivă.

Daune cauzate de impactul codului

Dacă cineva nu a înțeles încă: decriptarea fișierelor după un virus ransomware este un proces destul de laborios. Chiar dacă nu „fii condus” de cerințele intrușilor și încerci să folosești structurile oficiale ale statului pentru a combate infracțiunile informatice și a le preveni, de obicei nu iese nimic bun.

Dacă ștergeți toate fișierele, creați și chiar copiați date originale de pe medii amovibile (desigur, dacă există o astfel de copie), totul va fi încă criptat din nou când virusul este activat. Deci nu ar trebui să vă amăgiți prea mult, mai ales că atunci când introduceți aceeași unitate flash într-un port USB, utilizatorul nici măcar nu va observa cum virusul criptează datele de pe ea. Atunci nu vei avea probleme.

Primul născut din familie

Acum să ne îndreptăm atenția către primul virus ransomware. Cum să vindeci și să decriptezi fișierele după expunerea la codul executabil conținut într-un atașament de e-mail cu o ofertă de cunoștință, la momentul apariției sale, nimeni nu se gândise încă. Conștientizarea amplorii dezastrului a venit doar cu timpul.

Acel virus avea numele romantic „Te iubesc”. Un utilizator nebănuitor a deschis un atașament într-un mesaj de e-mail și a primit fișiere multimedia complet neredabile (grafică, video și audio). Apoi, totuși, astfel de acțiuni păreau mai distructive (deteriorează bibliotecile media utilizatorilor) și nimeni nu a cerut bani pentru asta.

Cele mai noi modificari

După cum puteți vedea, evoluția tehnologiei a devenit o afacere destul de profitabilă, mai ales dacă țineți cont că mulți lideri ai organizațiilor mari aleargă imediat să plătească activitățile de decriptare, complet neștiind că pot pierde atât bani, cât și informații.

Apropo, nu vă uitați la toate aceste postări „stângate” de pe Internet, ei spun „Am plătit / am plătit suma necesară, mi-au trimis un cod, totul a fost restaurat”. Prostii! Toate acestea sunt scrise de către dezvoltatorii virusului înșiși pentru a atrage potențiale, scuzați-mă, „fraieți”. Dar, după standardele unui utilizator obișnuit, sumele pentru plată sunt destul de serioase: de la sute la câteva mii sau zeci de mii de euro sau dolari.

Acum să ne uităm la cele mai recente tipuri de viruși de acest tip care au fost înregistrate relativ recent. Toate sunt aproape asemănătoare și aparțin nu numai categoriei de ransomware, ci și grupului așa-numiților extortioniști. În unele cazuri, aceștia acționează mai corect (cum ar fi paycrypt), trimițând aparent propuneri de afaceri formale sau mesaje despre care cineva îi pasă de securitatea unui utilizator sau a unei organizații. Un astfel de virus de criptare pur și simplu induce în eroare utilizatorul cu mesajul său. Dacă întreprinde chiar și cea mai mică măsură pentru a plăti, asta este - „divorțul” va fi complet.

Virusul XTBL

Apariția relativ recentă poate fi atribuită versiunii clasice a ransomware-ului. De regulă, acesta intră în sistem prin mesaje de e-mail care conțin atașamente sub formă de fișiere cu care este standard pentru screensaver-ul Windows. Sistemul și utilizatorul cred că totul este în ordine și activează vizualizarea sau salvarea atașamentului.

Din păcate, acest lucru duce la consecințe triste: numele fișierelor sunt convertite într-un set de caractere, iar la extensia principală se adaugă un alt .xtbl, după care un mesaj despre posibilitatea decriptării este trimis la adresa de e-mail dorită după ce ați plătit valoarea specificată. suma (de obicei 5 mii de ruble).

virusul CBF

Acest tip de virus aparține și clasicilor genului. Apare în sistem după deschiderea atașamentelor de e-mail și apoi redenumește fișierele utilizator, adăugând la sfârșit o extensie precum .nochance sau .perfect.

Din păcate, decriptarea acestui tip de virus de criptare pentru a analiza conținutul codului, chiar și în stadiul apariției acestuia în sistem, nu este posibilă, deoarece după finalizarea acțiunilor sale se autodistruge. Chiar și așa, așa cum cred mulți oameni, un instrument universal precum RectorDecryptor nu ajută. Din nou, utilizatorul primește o scrisoare prin care se solicită plata, care are două zile.

Virusul Breaking_Bad

Acest tip de amenințare funcționează în același mod, dar redenumește fișierele în modul standard, adăugând .breaking_bad la extensie.

Situația nu se limitează la asta. Spre deosebire de virușii anteriori, acesta poate crea și o altă extensie - .Heisenberg, deci nu este întotdeauna posibil să găsiți toate fișierele infectate. Deci, Breaking_Bad (virus de criptare) este o amenințare destul de serioasă. Apropo, există cazuri când chiar și pachetul licențiat al Kaspersky Endpoint Security 10 ratează acest tip de amenințare.

Virus [email protected]

Iată o altă amenințare, poate cea mai gravă, care este îndreptată mai ales către marile organizații comerciale. De regulă, la un departament sosește o scrisoare care conține presupuse modificări ale contractului de furnizare sau chiar doar o factură. Un atașament poate conține un fișier .jpg obișnuit (cum ar fi o imagine), dar mai des un script.js executabil (applet Java).

Cum să decriptezi acest tip de virus ransomware? Judecând după faptul că un algoritm necunoscut RSA-1024 este folosit acolo, în niciun caz. Pe baza numelui, putem presupune că acesta este un sistem de criptare pe 1024 de biți. Dar, dacă își amintește cineva, astăzi AES pe 256 de biți este considerat cel mai avansat.

Virus de criptare: cum să vindeci și să decriptezi fișierele folosind un software antivirus

Până în prezent, nu au fost găsite soluții pentru a decripta amenințările de acest tip. Chiar și astfel de maeștri în domeniul protecției antivirus precum Kaspersky, Dr. Web și Eset nu pot găsi cheia pentru a rezolva problema atunci când virusul ransomware a moștenit sistemul. Cum să vindeci fișierele? În cele mai multe cazuri, se propune trimiterea unei cereri către site-ul oficial al dezvoltatorului antivirus (apropo, doar dacă sistemul are licență software de la acest dezvoltator).

În acest caz, trebuie să atașați mai multe fișiere criptate, precum și originalele lor „sănătoase”, dacă există. În general, în general, puțini oameni păstrează copii ale datelor, așa că problema absenței lor nu face decât să agraveze o situație deja neplăcută.

Modalități posibile de a identifica și elimina manual amenințarea

Da, scanarea antivirus obișnuită detectează amenințările și chiar le elimină din sistem. Dar ce să faci cu informația?

Unii încearcă să folosească programe de decriptare, cum ar fi utilitarul RectorDecryptor (RakhniDecryptor), deja menționat. Rețineți imediat: acest lucru nu va ajuta. Și în cazul virusului Breaking_Bad, acesta poate face doar rău. Si de aceea.

Cert este că oamenii care creează astfel de viruși încearcă să se protejeze și să îndrume pe alții. Când utilizați utilitare de decriptare, virusul poate reacționa în așa fel încât întregul sistem se va prăbuși și cu distrugerea completă a tuturor datelor stocate pe hard disk sau partiții logice. Aceasta este, ca să spunem așa, o lecție demonstrativă pentru toți cei care nu vor să plătească. Nu putem decât să sperăm la laboratoare oficiale antivirus.

Metode cardinale

Totuși, dacă lucrurile stau cu adevărat rău, va trebui să sacrifici informații. Pentru a scăpa complet de amenințare, trebuie să formatați întregul hard disk, inclusiv partițiile virtuale, apoi să instalați din nou „OS”.

Din păcate, nu există altă cale de ieșire. Nici până la un anumit punct de restaurare salvat nu va ajuta. Virusul poate dispărea, dar fișierele vor rămâne criptate.

În loc de postfață

În concluzie, este de remarcat faptul că situația este următoarea: virusul ransomware pătrunde în sistem, își face treaba murdară și nu este vindecat prin nicio metodă cunoscută. Instrumentele de protecție antivirus nu erau pregătite pentru acest tip de amenințare. Este de la sine înțeles că virusul poate fi detectat după expunere sau îndepărtat. Dar informațiile criptate vor rămâne într-o formă inestetică. Așa că aș dori să sper că cele mai bune minți ale companiilor de software antivirus vor găsi în continuare o soluție, deși, judecând după algoritmii de criptare, va fi foarte greu să o facă. Amintiți-vă cel puțin mașina de cifrat Enigma, pe care flota germană a avut-o în timpul celui de-al Doilea Război Mondial. Cei mai buni criptografi nu au putut rezolva problema algoritmului de decriptare a mesajelor până nu au pus mâna pe dispozitiv. Așa stau lucrurile aici.

Virus ransomware blocat este un program rău intenționat care, atunci când este activat, criptează toate fișierele personale (cum ar fi fotografiile și documentele) folosind un sistem de criptare hibrid AES + RSA foarte puternic. După ce fișierul este criptat, extensia sa se schimbă în .locked. Ca și înainte, scopul virusului Locked este de a forța utilizatorii să cumpere programul și cheia necesare pentru a-și decripta propriile fișiere.

La sfârșitul procesului de criptare a fișierului, virusul Locked afișează un mesaj similar cu cel de mai sus. Vă spune cum puteți decripta fișierele. Utilizatorul este invitat să transfere suma de 250 USD către autorilor virusului, adică aproximativ 17.000 de ruble.

Cum pătrunde virusul ransomware Locked în computer

Virusul ransomware Locked este de obicei distribuit prin e-mail. Scrisoarea conține documente infectate. Aceste e-mailuri sunt trimise la o bază de date uriașă de adrese de e-mail. Autorii acestui virus folosesc anteturi și conținut înșelător al e-mailurilor, încercând să păcălească utilizatorul să deschidă documentul atașat e-mailului. Unele scrisori informează despre necesitatea plății facturii, altele oferă să vadă cea mai recentă listă de prețuri, altele deschid o fotografie amuzantă etc. În orice caz, rezultatul deschiderii fișierului atașat va fi infectarea computerului cu un virus ransomware.

Ce este un virus ransomware blocat

Virusul ransomware Locked este un program rău intenționat care infectează versiunile moderne ale familiei de sisteme de operare Windows, cum ar fi Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Acest virus folosește un mod de criptare hibrid AES + RSA, care practic elimină posibilitatea cheii de mită pentru autodecriptarea fișierelor.

În timp ce infectează un computer, virusul ransomware Locked folosește directoare de sistem pentru a-și stoca propriile fișiere. Pentru a rula automat de fiecare dată când computerul este pornit, ransomware-ul creează o intrare în registrul Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Imediat după lansare, virusul scanează toate unitățile disponibile, inclusiv stocarea în rețea și în cloud, pentru a determina ce fișiere vor fi criptate. Virusul ransomware Locked folosește extensia numelui de fișier ca o modalitate de a determina grupul de fișiere care vor fi criptate. Aproape toate tipurile de fișiere sunt criptate, inclusiv cele comune precum:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .meniu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg , .wpl, .wps, .wp, .wp, .wp, .wp .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

După ce fișierul este criptat, extensia sa se schimbă în blocat. Virusul creează apoi un document text numit UNLOCK_FILES_INSTRUCTIONS.txt, care conține instrucțiuni pentru decriptarea fișierelor criptate.

Ransomware-ul Locked folosește în mod activ tactici de sperie, oferind victimei o scurtă descriere a algoritmului de criptare și afișând un mesaj de amenințare pe desktop. Încearcă în acest fel să forțeze utilizatorul computerului infectat, fără ezitare, să plătească o răscumpărare pentru a încerca să-i returneze fișierele.

Este computerul meu infectat cu virusul ransomware Locked?

Este destul de ușor să determinați dacă un computer este infectat sau nu cu virusul Locked. Vă rugăm să rețineți că toate fișierele dvs. personale, cum ar fi documente, fotografii, muzică etc. deschis în mod normal în programele corespunzătoare. Dacă, de exemplu, la deschiderea unui document, Word raportează că fișierul este de tip necunoscut, atunci cel mai probabil documentul este criptat și computerul este infectat. Desigur, prezența pe Desktop a unui mesaj de la virusul Locked sau apariția fișierului UNLOCK_FILES_INSTRUCTIONS.txt pe disc este, de asemenea, un semn de infecție.

Dacă bănuiți că ați deschis un e-mail infectat cu virusul Locked, dar nu există încă simptome de infecție, atunci nu opriți și nu reporniți computerul. Închideți mai întâi internetul! Apoi urmați pașii descriși în acest manual, secțiune. O altă opțiune este să opriți computerul, să scoateți hard disk-ul și să îl testați pe alt computer.

Cum să decriptați fișierele criptate de virusul Locked?

Dacă s-a întâmplat această nenorocire, atunci nu trebuie să intrați în panică! Dar trebuie să știți că nu există un decriptor gratuit. Acest lucru se datorează algoritmilor puternici de criptare utilizați de acest virus. Aceasta înseamnă că este aproape imposibil să decriptezi fișierele fără o cheie privată. Utilizarea metodei de selectare a cheii nu este, de asemenea, o opțiune, din cauza lungimii mari a cheii. Prin urmare, din păcate, achitarea doar autorilor virusului a întregii sume solicitate este singura modalitate de a încerca să obțineți cheia de decriptare.

Desigur, nu există absolut nicio garanție că, după plată, autorii virusului vor lua legătura și vor furniza cheia necesară pentru a vă decripta fișierele. În plus, trebuie să înțelegi că, plătind bani dezvoltatorilor de viruși, tu însuți îi împingi să creeze noi viruși.

Cum să eliminați virusul ransomware Locked?

Înainte de a continua cu aceasta, trebuie să știți că atunci când începeți să eliminați virusul și să încercați să restaurați singur fișierele, blocați capacitatea de a decripta fișierele plătind autorilor virusului suma solicitată de ei.

Instrumentul Kaspersky Virus Removal și Malwarebytes Anti-malware pot detecta diferite tipuri de ransomware activ și le vor elimina cu ușurință de pe computer, DAR nu pot recupera fișierele criptate.

5.1. Eliminați ransomware-ul blocat cu Kaspersky Virus Removal Tool

Mai mult, există programe de protecție specializate. De exemplu, acesta este CryptoPrevent, mai multe detalii (eng).

Câteva cuvinte finale

Urmând această instrucțiune, computerul dvs. va fi șters de virusul ransomware Locked. Dacă aveți întrebări sau aveți nevoie de ajutor, vă rugăm să ne contactați.

Cum să decriptați fișierele cu extensia blocată. Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Cum să vindeci sistemul

Ce este un virus ransomware?

Cum intră amenințarea în sistem?

Varietăți de viruși și puțină istorie

Metodologie de influențare a fișierelor utilizator

Probleme de decodificare a algoritmilor utilizați

Virus de criptare: cum să vindeci și să decriptezi fișierele și se poate face?

Primul remediu pentru amenințare

Soluții oferite de dezvoltatorii de software antivirus

O soluție radicală a problemei

În loc de postfață

Cum să decriptați fișierele cu utilitarul Kaspersky RakhniDecryptor

Opțiuni pentru rularea utilitarului din linia de comandă

Ce este un virus ransomware?

Principiul pătrunderii în sistem și funcționarea codului virusului

Consecințele generale ale pătrunderii tuturor virusurilor de acest tip

Daune cauzate de impactul codului

Primul născut din familie

Cele mai noi modificari

Virusul XTBL

virusul CBF

Virusul Breaking_Bad

Virus [email protected]

Virus de criptare: cum să vindeci și să decriptezi fișierele folosind un software antivirus

Modalități posibile de a identifica și elimina manual amenințarea

Metode cardinale

În loc de postfață

Cum pătrunde virusul ransomware Locked în computer

Ce este un virus ransomware blocat

Este computerul meu infectat cu virusul ransomware Locked?

Cum să decriptați fișierele criptate de virusul Locked?

Cum să eliminați virusul ransomware Locked?

5.1. Eliminați ransomware-ul blocat cu Kaspersky Virus Removal Tool

Câteva cuvinte finale

Top articole similare