Decriptarea fișierelor este blocată după un virus. Cum să decriptați fișierele folosind utilitarul Kaspersky RakhniDecryptor

Utilitarul Kaspresky RakhniDecryptor va decripta fișierele ale căror extensii s-au modificat conform următoarelor modele:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.blocat;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.întuneric;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nici o sansa;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>.cripto;
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>.p *** [email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>.gruzin [email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id373;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id371;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id372;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id374;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id375;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id376;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id392;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id357;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id356;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id358;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id359;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id360;
  • <имя_файла>.<оригинальное_расширение>[email protected] _com_id20.

Trojan-Ransom.Win32.Rakhni creează un fișier exit.hhr.oshit, care conține parola criptată din fișierele utilizatorului. Dacă acest fișier este salvat pe computerul infectat, decriptarea va fi mult mai rapidă. Dacă fișierul exit.hhr.oshit a fost șters, restaurați-l folosind programele de recuperare a fișierelor șterse, apoi plasați-l în folderul% APPDATA% și reluați verificarea utilitarului. Puteți găsi fișierul exit.hhr.oshit în următoarea cale: C: \ Utilizatori<имя_пользователя>\ AppData \ Roaming

• Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_criptă.
• Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email protected] _. litere>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.strigăt;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.criptate.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman versiunea 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.micro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman versiunea 4:<имя_файла>.<оригинальное_расширение>(numele și extensia fișierului nu se modifică).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.criptat;
  • <имя_файла>.blocat;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.distracţie;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epic;
  • <имя_файла>.criptat;
  • <имя_файла>.J;
  • <имя_файла>.rambursare;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paymds;
  • <имя_файла>.paymrss;
  • <имя_файла>.plăți;
  • <имя_файла>.plata;
  • <имя_файла>.plăți;
  • <имя_файла>.gefickt;
  • <имя_файла>[email protected]
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.@..xtbl;
  • <имя_файла>.ID<…>.@..CrySiS;
  • <имя_файла>.id-<…>.@..xtbl;
  • <имя_файла>.id-<…>.@..portofel;
  • <имя_файла>.id-<…>.@..drama;
  • <имя_файла>.id-<…>.@..ceapă;
  • <имя_файла>.@..portofel;
  • <имя_файла>.@..drama;
  • <имя_файла>.@..ceapă.

Exemple de adrese de distribuitori rău intenționate:

• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected]
• Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email protected]
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.blocat;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.criptat;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.bună;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.PLAGUE17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected] _.criptă;
  • <имя_файла>.<оригинальное_расширение>[email protected] ____.cripta;
  • <имя_файла>.<оригинальное_расширение>[email protected] _______.cripta;
  • <имя_файла>.<оригинальное_расширение>[email protected] ___.cripta;
  • <имя_файла>.<оригинальное_расширение>[email protected]==.cripta;
  • <имя_файла>.<оригинальное_расширение>[email protected]= -.cripta.

Dacă fișierul este criptat cu extensia CRYPT, decriptarea poate dura mult timp. De exemplu, pe un procesor Intel Core i5-2400, poate dura aproximativ 120 de zile.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.criptă;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0day;
  • <имя_файла>.Lacăt;
  • <имя_файла>[email protected] _hu;
  • <имя_файла>[email protected];
  • <имя_файла>~ xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: e-mail-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

• Versiunea de malware	Adresa de e-mail a atacatorilor
  	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
  	[email protected] _graf1 [email protected] _mod [email protected] _mod2
  	[email protected] [email protected]
  	[email protected]
  	[email protected] [email protected][email protected] [email protected]

Cum să decriptați fișierele folosind utilitarul Kaspersky RakhniDecryptor

1. Descărcați arhiva RakhniDecryptor.zip și despachetați-o. Instrucțiuni din articol.
2. Accesați folderul cu fișierele din arhivă.
3. Rulați fișierul RakhniDecryptor.exe.
4. Click pe Modificați parametrii de scanare.

1. Selectați obiectele de scanat: hard disk, unități amovibile sau unități de rețea.
2. Bifeaza casuta Ștergeți fișierele criptate după decriptarea cu succes... În acest caz, utilitarul va șterge copii ale fișierelor criptate cu extensiile atribuite LOCKED, KRAKEN, DARKNESS etc.
3. Click pe O.K.

1. Click pe Începeți verificarea.

1. Selectați fișierul criptat și faceți clic Deschis.

1. Citiți avertismentul și faceți clic O.K.

Fișierele vor fi decriptate.

Un fișier poate fi criptat cu extensia CRYPT de mai multe ori. De exemplu, dacă fișierul test.doc este criptat de două ori, primul strat al utilitarului RakhniDecryptor va decripta în fișierul test.1.doc.layerDecryptedKLR. Următoarea intrare va apărea în raportul de funcționare a utilitarului: „Decriptare reușită: unitate: \ cale \ test.doc_crypt -> unitate: \ cale \ test.1.doc.layerDecryptedKLR”. Acest fișier trebuie decriptat din nou de către utilitar. Dacă decriptarea are succes, fișierul va fi re-salvat cu numele original test.doc.

Parametri pentru rularea utilitarului din linia de comandă

Pentru comoditate și pentru a accelera procesul de decriptare a fișierelor, Kaspersky RakhniDecryptor acceptă următorii parametri de linie de comandă:

Faptul că internetul este plin de viruși nu surprinde pe nimeni astăzi. Mulți utilizatori percep situații legate de impactul lor asupra sistemelor sau datelor personale, ca să spunem ușor, închizând ochii, dar numai până când virusul de criptare se instalează în mod specific în sistem. Majoritatea utilizatorilor obișnuiți nu știu cum să vindece și să decripteze datele stocate pe un hard disk. Prin urmare, acest contingent este „condus” la revendicările înaintate de atacatori. Dar haideți să vedem ce puteți face dacă o astfel de amenințare este detectată sau pentru a o împiedica să intre în sistem.

Ce este un virus ransomware?

Acest tip de amenințare utilizează algoritmi de criptare a fișierelor standard și non-standard care le modifică complet conținutul și blochează accesul. De exemplu, va fi absolut imposibil să deschideți un fișier text criptat pentru citire sau editare, precum și redarea conținutului multimedia (grafică, video sau audio) după expunerea la un virus. Nici măcar operațiunile standard pentru copierea sau mutarea obiectelor nu sunt disponibile.

Însuși umplutura software a virusului este mijlocul care criptează datele în așa fel încât să nu fie întotdeauna posibil să le restabilească starea inițială chiar și după eliminarea amenințării din sistem. De obicei, astfel de programe rău intenționate își creează propriile copii și se instalează foarte adânc în sistem, astfel încât virusul de criptare a fișierelor poate fi uneori complet imposibil de eliminat. Prin dezinstalarea programului principal sau ștergerea corpului principal al virusului, utilizatorul nu scapă de impactul amenințării, darămite restabilirea informațiilor criptate.

Cum intră amenințarea în sistem?

De regulă, amenințările de acest tip vizează în mare parte structurile comerciale mari și pot pătrunde în computere prin programe de poștă atunci când un angajat deschide un document presupus atașat într-un e-mail, care este, să zicem, o completare la un fel de acord de cooperare sau planul de aprovizionare cu bunuri (ofertele comerciale cu investiții din surse dubioase sunt prima cale pentru virus).

Problema este că un virus ransomware de pe o mașină care are acces la o rețea locală este capabil să se adapteze și în acesta, creându-și propriile copii nu numai într-un mediu în rețea, ci și pe terminalul administratorului, dacă îi lipsește protecția necesară în sub formă de software antivirus.firewall sau firewall.

Uneori, astfel de amenințări pot pătrunde și în sistemele informatice ale utilizatorilor obișnuiți, care, în general, nu prezintă interes pentru infractorii cibernetici. Acest lucru se întâmplă în momentul instalării unor programe descărcate din resurse de internet dubioase. Mulți utilizatori, atunci când pornesc descărcarea, ignoră avertismentele sistemului de protecție antivirus, iar în timpul procesului de instalare nu acordă atenție sugestiilor de a instala software, panouri sau plug-in-uri suplimentare pentru browsere și apoi, pe măsură ce aceștia spune, mușcă-le din coate.

Soiuri de viruși și puțină istorie

Practic, amenințările de acest tip, în special cel mai periculos virus ransomware No_more_ransom, sunt clasificate nu doar ca instrumente pentru criptarea datelor sau blocarea accesului la acestea. De fapt, toate aceste aplicații rău intenționate sunt clasificate drept ransomware. Cu alte cuvinte, infractorii cibernetici cer o anumită sumă de bani pentru decriptarea informațiilor, crezând că acest proces va fi imposibil de realizat fără un program inițial. Acesta este parțial cazul.

Însă dacă ai săpa în istorie, vei observa că unul dintre primii viruși de acest tip, deși nu a impus cerințe de bani, a fost infamul applet I Love You, care a criptat complet fișierele multimedia (în principal melodii) în sistemele utilizatorilor. . Decriptarea fișierelor după virusul ransomware sa dovedit a fi imposibilă la acel moment. Acum, această amenințare poate fi abordată într-un mod elementar.

Dar dezvoltarea virușilor înșiși sau a algoritmilor de criptare utilizați nu stă pe loc. Ce lipsește printre viruși - aici aveți XTBL și CBF și Breaking_Bad și [email protected], și o grămadă de alte lucruri urâte.

Tehnica de influențare a fișierelor utilizator

Și dacă până de curând majoritatea atacurilor erau efectuate folosind algoritmi RSA-1024 bazați pe criptare AES cu același bitness, același virus ransomware No_more_ransom este astăzi prezentat în mai multe interpretări, folosind chei de criptare bazate pe tehnologiile RSA-2048 și chiar RSA-3072.

Probleme de decriptare pentru algoritmii utilizați

Problema este că sistemele moderne de decriptare sunt neputincioase în fața unui astfel de pericol. Decriptarea fișierelor după virusul ransomware bazat pe AES256 este încă oarecum acceptată și, cu o rată de biți mai mare a cheii, aproape toți dezvoltatorii ridică din umeri. Acest lucru, apropo, a fost confirmat oficial de specialiștii de la Kaspersky Lab și Eset.

În cea mai primitivă versiune, utilizatorului care a contactat serviciul de asistență i se cere să trimită un fișier criptat și originalul acestuia pentru comparare și operațiuni ulterioare pentru a determina algoritmul de criptare și metodele de recuperare. Dar, de regulă, în majoritatea cazurilor acest lucru nu funcționează. Dar virusul ransomware poate decripta fișierele singur, așa cum se crede, cu condiția ca victima să fie de acord cu termenii atacatorilor și să plătească o anumită sumă în termeni monetari. Cu toate acestea, o astfel de formulare a întrebării ridică îndoieli legitime. Si de aceea.

Virus de criptare: cum să vindeci și să decriptezi fișierele și se poate face?

După efectuarea plății, se spune că hackerii activează decriptarea prin acces de la distanță la virusul lor care se află pe sistem sau printr-un applet suplimentar dacă corpul virusului a fost eliminat. Pare mai mult decât îndoielnic.

De asemenea, aș dori să remarc faptul că Internetul este plin de postări false care spun că, se spune, a fost plătită suma necesară, iar datele au fost restaurate cu succes. Totul este o minciună! Și într-adevăr - unde este garanția că, după plată, virusul de criptare din sistem nu va fi activat din nou? Nu este greu de înțeles psihologia spărgătorilor: dacă plătești o dată, plătești din nou. Și dacă vorbim de informații deosebit de importante precum evoluții comerciale, științifice sau militare specifice, deținătorii unor astfel de informații sunt gata să plătească atât cât este necesar, pentru ca fișierele să rămână intacte și în siguranță.

Primul remediu pentru eliminarea amenințării

Aceasta este natura unui virus ransomware. Cum să dezinfectați și să decriptați fișierele după ce ați fost expus la o amenințare? Da, în niciun caz, dacă nu există instrumente la îndemână, care, de asemenea, nu ajută întotdeauna. Dar poți încerca.

Să presupunem că un virus ransomware a apărut pe sistem. Cum dezinfectez fișierele infectate? În primul rând, ar trebui să efectuați o scanare aprofundată a sistemului fără utilizarea tehnologiei S.M.A.R.T., care detectează amenințările numai atunci când sectoarele de boot și fișierele de sistem sunt deteriorate.

Este recomandabil să nu folosiți scanerul standard existent, care a ratat deja amenințarea, ci să folosiți utilități portabile. Cea mai bună opțiune ar fi pornirea de pe Kaspersky Rescue Disk, care poate porni chiar înainte ca sistemul de operare să înceapă să funcționeze.

Dar aceasta este doar jumătate din luptă, deoarece astfel poți scăpa doar de virusul în sine. Dar cu decodor va fi mai dificil. Dar mai multe despre asta mai târziu.

Există o altă categorie în care se încadrează virușii ransomware. Cum să decriptați informațiile se va spune separat, dar deocamdată să ne oprim asupra faptului că acestea pot exista complet deschis în sistem sub forma unor programe și aplicații instalate oficial (obrăznicia atacatorilor nu cunoaște limite, deoarece amenințarea nu are limite). nici măcar nu încearcă să se deghizeze).

În acest caz, ar trebui să utilizați secțiunea de programe și componente în care se efectuează dezinstalarea standard. Cu toate acestea, ar trebui să acordați atenție faptului că programul standard de dezinstalare Windows nu șterge complet toate fișierele de program. În special, virusul ransomware pentru răscumpărare este capabil să-și creeze propriile foldere în directoarele rădăcină a sistemului (de obicei, acestea sunt directoare Csrss, unde este prezent fișierul executabil csrss.exe cu același nume). Windows, System32 sau directoarele de utilizatori (Utilizatori de pe unitatea de sistem) sunt selectate ca locație principală.

În plus, virusul No_more_ransom ransomware își scrie propriile chei în registru sub forma unei legături aparent către serviciul oficial de sistem Client Server Runtime Subsystem, ceea ce este înșelător pentru mulți, deoarece acest serviciu ar trebui să fie responsabil pentru interacțiunea dintre software-ul client și server. . Cheia în sine se află în folderul Run, la care se poate ajunge prin filiala HKLM. Este clar că va trebui să ștergeți manual astfel de chei.

Pentru a fi mai ușor, puteți utiliza utilitare precum iObit Uninstaller, care caută automat fișierele rămase și cheile de registry (dar numai dacă virusul este vizibil în sistem ca aplicație instalată). Dar acesta este cel mai simplu lucru de făcut.

Soluții oferite de dezvoltatorii de software antivirus

Se crede că decriptarea virusului ransomware se poate face folosind utilități speciale, deși dacă aveți tehnologii cu o cheie de 2048 sau 3072 de biți, nu ar trebui să vă bazați pe ele (în plus, multe dintre ele șterg fișierele după decriptare, iar apoi fișierele restaurate dispar din cauza prezenței unui corp de virus care nu a fost eliminat înainte).

Cu toate acestea, puteți încerca. Dintre toate programele, RectorDecryptor și ShadowExplorer merită evidențiate. Se crede că până acum nu s-a creat nimic mai bun. Dar problema poate fi și că atunci când încercați să utilizați decriptorul, nu există nicio garanție că fișierele care sunt dezinfectate nu vor fi șterse. Adică, dacă nu scapi inițial de virus, orice încercare de decriptare va fi sortită eșecului.

Pe lângă ștergerea informațiilor criptate, aceasta poate fi, de asemenea, fatală - întregul sistem va fi inoperant. În plus, un virus ransomware modern este capabil să afecteze nu numai datele stocate pe hard diskul unui computer, ci și fișierele din stocarea în cloud. Și aici nu există soluții pentru a restabili informațiile. În plus, după cum sa dovedit, multe servicii iau măsuri de protecție insuficient de eficiente (același OneDrive încorporat în Windows 10, care este expus direct din sistemul de operare).

O soluție radicală a problemei

După cum este deja clar, majoritatea metodelor moderne nu dau un rezultat pozitiv atunci când sunt infectate cu astfel de viruși. Desigur, dacă există un original al fișierului deteriorat, acesta poate fi trimis spre examinare la un laborator antivirus. Adevărat, există și îndoieli foarte serioase că un utilizator obișnuit va crea copii de rezervă ale datelor care, atunci când sunt stocate pe un hard disk, pot fi, de asemenea, expuse unui cod rău intenționat. Și faptul că, pentru a evita problemele, utilizatorii copiază informații pe medii amovibile, nu vorbim deloc.

Astfel, pentru o soluție radicală a problemei, concluzia se sugerează: formatarea completă a hard disk-ului și a tuturor partițiilor logice cu ștergerea informațiilor. Deci ce să fac? Va trebui să donați dacă nu doriți ca virusul sau copia sa salvată să fie activată din nou în sistem.

Pentru a face acest lucru, nu ar trebui să utilizați instrumentele sistemelor Windows în sine (mă refer la formatarea partițiilor virtuale, deoarece va fi emisă o interdicție când încercați să accesați discul de sistem). Este mai bine să utilizați pornirea de pe medii optice, cum ar fi LiveCD-uri sau distribuții de instalare, cum ar fi cele create folosind Instrumentul de creare media pentru Windows 10.

Înainte de a începe formatarea, cu condiția ca virusul să fie eliminat din sistem, puteți încerca să restabiliți integritatea componentelor sistemului prin linia de comandă (sfc/scannow), dar acest lucru nu va avea niciun efect în ceea ce privește decriptarea și deblocarea datelor. Prin urmare, formatul c: este singura soluție corectă posibilă, indiferent dacă vă place sau nu. Acesta este singurul mod de a scăpa complet de acest tip de amenințare. Din păcate, nu există altă cale! Chiar și tratamentul cu instrumentele standard oferite de majoritatea pachetelor antivirus este neputincios.

În loc de postfață

În ceea ce privește sugerarea concluziilor, putem spune doar că nu există o soluție unică și universală pentru eliminarea consecințelor impactului unor astfel de amenințări astăzi (din păcate, dar un fapt - acest lucru este confirmat de majoritatea dezvoltatorilor și specialiștilor de software antivirus). în domeniul criptografiei).

Rămâne neclar de ce apariția algoritmilor bazați pe criptarea pe 1024, 2048 și 3072 de biți a trecut de cei care sunt direct implicați în dezvoltarea și implementarea unor astfel de tehnologii? Într-adevăr, astăzi algoritmul AES256 este considerat cel mai promițător și mai sigur. Înștiințare! 256! Acest sistem, după cum se dovedește, nu este potrivit pentru virușii moderni. Ce putem spune atunci despre încercările de a le decripta cheile?

Oricum ar fi, este destul de ușor să evitați introducerea unei amenințări în sistem. În cel mai simplu caz, ar trebui să scanați toate mesajele primite cu atașamente în Outlook, Thunderbird și alți clienți de e-mail cu antivirus imediat după primire și în niciun caz să deschideți atașamente până la finalizarea scanării. De asemenea, ar trebui să citiți cu atenție sugestiile pentru instalarea de software suplimentar atunci când instalați unele programe (de obicei sunt scrise cu litere foarte mici sau deghizate ca suplimente standard, cum ar fi actualizarea Flash Player sau altceva). Este mai bine să actualizați componentele media prin site-urile oficiale. Acesta este singurul mod de a preveni cel puțin cumva pătrunderea unor astfel de amenințări în propriul sistem. Consecințele pot fi complet imprevizibile, având în vedere că virușii de acest tip se răspândesc instantaneu în rețeaua locală. Iar pentru companie, o astfel de întorsătură a evenimentelor se poate transforma într-un adevărat colaps al tuturor întreprinderilor.

În cele din urmă, administratorul de sistem nu ar trebui să stea inactiv. Este mai bine să excludeți mijloacele de protecție software într-o astfel de situație. Același firewall (firewall) nu ar trebui să fie software, ci „hardware” (desigur, cu software însoțitor la bord). Și, de la sine înțeles, nici nu merită să economisiți la achiziționarea pachetelor antivirus. Este mai bine să cumpărați un pachet licențiat și să nu instalați programe primitive care se presupune că oferă protecție în timp real numai de cuvintele dezvoltatorului.

Și dacă o amenințare a intrat deja în sistem, secvența de acțiuni ar trebui să includă eliminarea în sine a corpului virusului și abia apoi încearcă să decripteze datele deteriorate. În mod ideal - formatare completă (rețineți, nu rapid cu ștergerea cuprinsului, ci formatare completă, de preferință cu restaurarea sau înlocuirea sistemului de fișiere existent, a sectoarelor de pornire și a înregistrărilor).

Astăzi, utilizatorii de computere și laptopuri se confruntă din ce în ce mai mult cu programe malware care înlocuiesc fișierele cu copiile lor criptate. De fapt, aceștia sunt viruși. Unul dintre cele mai periculoase din această serie este ransomware-ul XTBL. Ce este acest dăunător, cum intră în computerul utilizatorului și este posibil să se recupereze informațiile deteriorate?

Ce este un ransomware XTBL și cum intră acesta într-un computer

Dacă găsiți fișiere cu un nume lung și extensia .xtbl pe computer sau laptop, atunci putem spune cu încredere că un virus periculos - XTBL ransomware - a intrat în sistem. Afectează toate versiunile de sistem de operare Windows. Este aproape imposibil să decriptați astfel de fișiere pe cont propriu, deoarece programul folosește un mod hibrid, în care selectarea cheii este pur și simplu imposibilă.

Fișierele infectate umple directoarele de sistem. În registrul Windows sunt adăugate intrări care lansează automat virusul de fiecare dată când sistemul de operare pornește.

Aproape toate tipurile de fișiere sunt criptate - grafice, text, arhivă, e-mail, video, muzică etc. Devine imposibil să lucrezi în Windows.

Cum functioneazã? Ransomware-ul XTBL lansat în Windows scanează mai întâi toate unitățile logice. Aceasta include stocarea în cloud și în rețea situată pe computerul dvs. Ca rezultat, fișierele sunt grupate după extensie și apoi criptate. Astfel, toate informațiile valoroase aflate în folderele utilizatorului devin inaccesibile.

Aceasta este imaginea pe care o va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare.

Extensia fișierului se modifică sub influența ransomware-ului XTBL. Utilizatorul vede acum o pictogramă foaie goală și un titlu lung care se termină cu .xtbl în loc de o imagine sau text în Word. În plus, pe desktop apare un mesaj, un fel de instrucțiune pentru recuperarea informațiilor criptate, prin care îți cere să plătești pentru deblocare. Acesta nu este altceva decât șantaj cu răscumpărare.

Un astfel de mesaj este afișat în fereastra „desktop” a computerului.

Distribuția ransomware-ului XTBL are loc de obicei prin e-mail. Scrisoarea conține fișiere atașate sau documente infectate cu un virus. Escrocul atrage utilizatorul cu un titlu colorat. Totul este făcut pentru ca mesajul, care spune că tu, de exemplu, ai câștigat un milion, să fie deschis. Nu răspunde la astfel de mesaje, altfel există un risc mare ca un virus să ajungă în sistemul de operare.

Este posibil să recuperați informații

Puteți încerca să decriptați informațiile folosind utilități speciale. Cu toate acestea, nu există nicio garanție că veți putea scăpa de virus și veți putea recupera fișierele deteriorate.

În prezent, XTBL ransomware reprezintă o amenințare fără îndoială pentru toate computerele care rulează Windows. Nici măcar liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - nu au o soluție 100% la această problemă.

Eliminarea unui virus și restaurarea fișierelor criptate

Există diverse metode și programe care vă permit să lucrați cu ransomware-ul XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișierele blocate sau să restaureze copiile lor anterioare.

Întreruperea infecției computerului

Dacă aveți norocul să observați începutul apariției fișierelor cu extensia .xtbl pe computer, atunci procesul de infecție ulterioară este destul de posibil să fie întrerupt.

Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Toate aceste programe ar trebui deschise într-un sistem de operare care a fost lansat anterior în modul sigur, cu opțiunea de a încărca drivere de rețea. În acest caz, este mult mai ușor să eliminați virusul, deoarece numărul minim de procese de sistem necesare pentru a porni Windows sunt conectate.

Pentru a încărca modul sigur în Window XP, 7 în timpul pornirii sistemului, apăsați constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10, reporniți sistemul de operare în timp ce țineți apăsată tasta Shift. În timpul procesului de pornire, se va deschide o fereastră în care puteți selecta opțiunea de pornire securizată necesară.

Selectarea modului sigur cu încărcarea driverelor de rețea

Kaspersky Virus Removal Tool recunoaște perfect ransomware-ul XTBL și elimină acest tip de virus. Rulați o scanare a computerului făcând clic pe butonul corespunzător după ce utilitarul s-a încărcat. După finalizarea scanării, ștergeți fișierele rău intenționate detectate.

Lansarea unei scanări a computerului pentru prezența unui ransomware XTBL în sistemul de operare Windows și apoi eliminarea virusului

Dr.Web CureIt!

Algoritmul pentru scanarea și eliminarea unui virus este practic același ca în versiunea anterioară. Scanați toate unitățile logice cu utilitarul. Pentru a face acest lucru, trebuie doar să urmați comenzile programului după lansarea acestuia. La sfârșitul procesului, scăpați de fișierele infectate făcând clic pe butonul „Neutralizare”.

Neutralizarea fișierelor rău intenționate după o scanare Windows

Malwarebytes Anti-malware

Programul va efectua o scanare pas cu pas a computerului pentru coduri rău intenționate și le va distruge.

1. Instalați și rulați utilitarul Anti-malware.
2. Selectați elementul „Începe scanarea” din partea de jos a ferestrei care se deschide.
3. Așteptați până la sfârșitul procesului și bifați casetele cu fișiere infectate.
4. Ștergeți selecția.

Eliminarea fișierelor ransomware XTBL rău intenționate detectate în timpul scanării

Decodor de script online de la Dr.Web

Pe site-ul oficial Dr.Web, în ​​secțiunea de asistență, există o filă cu un script pentru decriptarea online a fișierelor. Trebuie avut în vedere că doar acei utilizatori pe computerele cărora este instalat antivirusul acestui dezvoltator vor putea folosi decriptorul online.

Citiți instrucțiunile, completați tot ce aveți nevoie și faceți clic pe butonul „Trimite”.

Utilitarul de decriptare RectorDecryptor de la Kaspersky Lab

Kaspersky Lab decriptează și fișierele. Pe site-ul oficial, puteți descărca utilitarul RectorDecryptor.exe pentru Windows Vista, 7, 8 urmând linkurile din meniul „Suport – Tratarea și decriptarea fișierelor – RectorDecryptor – Cum se decriptează fișierele”. Rulați programul, verificați-l și apoi ștergeți fișierele criptate selectând elementul corespunzător.

Scanarea și decriptarea fișierelor infectate cu ransomware XTBL

Restaurarea fișierelor criptate dintr-o copie de rezervă

Începând cu Windows 7, puteți încerca să restaurați fișierele din copii de rezervă.

ShadowExplorer pentru a recupera fișiere criptate

Programul este o versiune portabilă, poate fi descărcat de pe orice media.

QPhotoRec

Programul este special conceput pentru a recupera fișierele deteriorate și șterse. Folosind algoritmi încorporați, utilitarul găsește și restabilește toate informațiile pierdute la starea inițială.

QPhotoRec este un program gratuit.

Din păcate, există doar o versiune în limba engleză a QPhotoRec, dar nu este greu de înțeles setările, interfața este intuitivă.

1. Rulați programul.
2. Verificați unitățile logice cu informații criptate.
3. Faceți clic pe butonul Formate de fișiere și OK.
4. Folosind butonul Răsfoire situat în partea de jos a ferestrei deschise, selectați locația pentru a salva fișierele și începeți procedura de restaurare făcând clic pe Căutare.

QPhotoRec recuperează fișierele șterse de XTBL ransomware și înlocuite cu propriile copii

Cum să decriptați fișierele - video

Ce sa nu faci

1. Nu lua niciodată măsuri de care nu ești sigur. Este mai bine să invitați un specialist de la centrul de service sau puteți duce singur computerul acolo.
2. Nu deschideți e-mailuri de la expeditori necunoscuți.
3. În niciun caz nu trebuie să fii condus de șantaji, acceptând să le transferi bani. Acest lucru, cel mai probabil, nu va da un rezultat.
4. Nu redenumiți manual extensiile fișierelor criptate și nu vă grăbiți să reinstalați Windows. Poate că va fi posibil să găsim o soluție care să corecteze situația.

Profilaxie

Încercați să instalați protecție fiabilă împotriva pătrunderii ransomware-ului XTBL și a virușilor ransomware similari pe computer. Aceste programe includ:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

În ciuda faptului că toate sunt în engleză, lucrul cu astfel de utilități este destul de simplu. Rulați programul și selectați nivelul de protecție din setări.

Lansarea programului și alegerea nivelului de protecție

Dacă ați întâlnit un virus ransomware care criptează fișierele de pe computer, atunci, desigur, nu ar trebui să disperați imediat. Încercați să utilizați metodele propuse de recuperare a informațiilor deteriorate. Acest lucru este adesea benefic. Nu utilizați programe neverificate ale dezvoltatorilor necunoscuți pentru a elimina XTBL ransomware. La urma urmei, acest lucru nu poate decât să agraveze situația. Dacă este posibil, instalați unul dintre programele care împiedică virusul să funcționeze pe computer și efectuați scanări regulate programate Windows pentru procese rău intenționate.

Continui secțiunea notorie de pe site-ul meu cu o altă poveste în care eu însumi am fost victima. Vă voi spune despre ransomware ransomware Crusis (Dharma), care a criptat toate fișierele de pe o unitate de rețea și le-a dat extensia .combo. A lucrat nu numai la fișierele locale, așa cum se întâmplă cel mai adesea, ci și la fișierele de rețea.

Decriptare garantată a fișierelor după virusul ransomware - dr-shifro.ru. Detaliile lucrării și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site la secțiunea „Procedura de lucru”.

Introducere

Povestea va fi la persoana întâi, deoarece datele și infrastructura pe care le-am gestionat au fost afectate de ransomware. Este regretabil să recunosc, dar parțial eu sunt de vină pentru ceea ce s-a întâmplat, deși cunosc ransomware de foarte mult timp. În apărarea mea, voi spune că datele nu s-au pierdut, totul a fost rapid restaurat și investigat în urmărire. Dar mai întâi lucrurile.

Dimineața plictisitoare a început cu faptul că la ora 9:15 administratorul de sistem de la un site la distanță a sunat și a spus că există un criptator în rețea, datele de pe unitățile de rețea au fost deja criptate. Un fior a trecut prin piele :) El a început să verifice singur sursa de infecție, iar eu cu a mea. Desigur, m-am dus imediat la server, am deconectat unitățile de rețea și am început să mă uit la jurnalul de acces la date. Unitățile de rețea sunt configurate pentru, trebuie să fie activate. Din jurnal, am văzut imediat sursa infecției, contul din care rula ransomware-ul și ora de începere a criptării.

Descrierea virusului ransomware Crusis (Dharma)

Apoi a început ancheta. Fișierele criptate au primit extensia .combo... Au fost o mulțime. Ransomware-ul a început să funcționeze seara târziu, pe la ora 23. Lucky - backup-ul discurilor afectate tocmai fusese finalizat până la acest moment. Datele nu s-au pierdut deloc, deoarece au reușit să facă backup la sfârșitul zilei de lucru. Am început imediat restaurarea dintr-o copie de rezervă, care se află pe un server separat fără acces smb.

În timpul nopții, virusul a reușit să cripteze aproximativ 400 GB de date de pe unitățile de rețea. Ștergerea banală a tuturor fișierelor criptate cu extensia combo a durat mult. La început am vrut să le șterg pe toate odată, dar când doar numărarea acestor fișiere a durat 15 minute, mi-am dat seama că problema este inutilă momentan. În schimb, a început să înregistreze date reale și, după aceea, a curățat discurile de fișierele criptate.

Îți voi spune imediat un adevăr comun. Având backup-uri actualizate și fiabile, orice problemă poate fi rezolvată. Ce să fac dacă nu sunt acolo sau nu sunt relevante, nici nu îmi pot imagina. Întotdeauna acord o atenție sporită copiilor de rezervă. Le iubesc, le prețuiesc și nu dau nimănui acces la ele.

După ce am început recuperarea fișierelor criptate, a fost timp să înțeleg cu calm situația și să arunc o privire mai atentă asupra virusului ransomware Crusis (Dharma). Aici mă așteptau surprize și surprize. Sursa de infecție a fost o mașină virtuală cu Windows 7 cu înaintat rdp port prin canalul de rezervă. Portul nu era standard - 33333. Cred că a fost o greșeală majoră să folosești un astfel de port. Deși nu este standard, este foarte popular. Desigur, este mai bine să nu redirecționați deloc rdp, dar în acest caz a fost cu adevărat necesar. Apropo, acum, în locul acestei mașini virtuale, se folosește și o mașină virtuală cu CentOS 7, are un container care rulează în docker-ul său cu xfce și un browser. Ei bine, această mașină virtuală nu are acces nicăieri, doar acolo unde este nevoie.

Ce este înfricoșător în toată povestea asta. Mașina virtuală a fost actualizată. Ransomware-ul a început să funcționeze la sfârșitul lunii august. Când s-a făcut infecția mașinii, este imposibil de stabilit cu siguranță. Virusul a șters o mulțime de lucruri din mașina virtuală în sine. Actualizările acestui sistem au fost făcute în luna mai. Adică, nu ar trebui să existe găuri vechi deschise pe el. Acum nu știu deloc cum să păstrez portul rdp accesibil de pe internet. Sunt prea multe cazuri în care acest lucru este cu adevărat necesar. De exemplu, un server terminal pe hardware închiriat. De asemenea, nu veți închiria un gateway pentru vpn pentru fiecare server.

Acum, mai aproape de subiect și de criptatorul însuși. Mașina virtuală avea interfața de rețea dezactivată și apoi a pornit-o. Am fost întâmpinat de un semn standard, pe care îl văzusem de multe ori la alte ransomware.

Toate fișierele dvs. au fost criptate! Toate fișierele dvs. au fost criptate din cauza unei probleme de securitate cu computerul dvs. Dacă doriți să le restaurați, scrieți-ne pe e-mail [email protected] Scrieți acest ID în titlul mesajului dvs. 501BED27 În cazul în care nu răspundeți în 24 de ore, scrieți-ne la aceste e-mailuri: [email protected] Trebuie să plătiți pentru decriptare în Bitcoins. Pretul depinde de cat de repede ne scrieti. După plată, vă vom trimite instrumentul de decriptare care vă va decripta toate fișierele. Decriptare gratuită ca garanție Înainte de a plăti ne puteți trimite până la 1 fișier pentru decriptare gratuită. Dimensiunea totală a fișierelor trebuie să fie mai mică de 1 Mb (nearhivate), iar fișierele nu trebuie să conțină informații valoroase. (baze de date, copii de rezervă, foi mari Excel etc.) Cum să obțineți Bitcoins Cel mai simplu mod de a cumpăra bitcoins este site-ul LocalBitcoins. Trebuie să vă înregistrați, să faceți clic pe „Cumpărați bitcoins” și să selectați vânzătorul după metoda de plată și preț. https://localbitcoins.com/buy_bitcoins De asemenea, puteți găsi și alte locuri de cumpărare Bitcoin și ghid pentru începători aici: Atenție! Nu redenumiți fișierele criptate. Nu încercați să vă decriptați datele utilizând software terță parte, aceasta poate provoca pierderea permanentă a datelor. Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate determina creșterea prețului (aceștia își adaugă taxa la noi) sau puteți deveni victima unei escrocherii.

Pe desktop erau 2 fișiere text cu nume FIȘIERE CRIPTATE.TXT cu urmatorul continut:

Toate datele tale ne-au fost blocate. Doriți să vă întoarceți? scrie email [email protected]

Curios că s-au schimbat permisiunile din director Desktop... Utilizatorul nu avea drepturi de scriere. Aparent, virusul a făcut acest lucru pentru ca utilizatorul să nu ștergă accidental informațiile din fișierele text de pe desktop. Era și un director pe desktop troia care conține virusul în sine - un fișier l20VHC_playload.exe.

Cum virusul ransomware Crusis (Dharma) criptează fișierele

După ce mi-am dat seama cu calm totul și după ce am citit mesaje similare pe tema ransomware-ului de criptare pe Internet, am aflat că am prins o variantă a binecunoscutului virus ransomware Crusis (Dharma). Kaspersky îl detectează ca Trojan-Ransom.Win32.Crusis.to... El pune diferite extensii la fișiere, inclusiv .combo. Lista mea de fișiere arăta cam așa:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatskiy.docx.id-24EE2FBC..combo
• Horol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Vă voi spune mai multe detalii despre cum a funcționat ransomware-ul. Nu am menționat un lucru important. Acest computer era în domeniu. Fișierele au fost criptate de la un utilizator de domeniu !!! Acest lucru ridică întrebarea de unde a luat virusul. Pe jurnalele controlerelor de domeniu, nu am văzut informații și nu am ghicit parola utilizatorului. Nu a existat o masă de autorizații nereușite. Fie a fost folosită o vulnerabilitate, fie nu știu ce să cred. A fost folosit un cont care nu s-a conectat niciodată la acest sistem. A existat autorizare prin rdp de la un cont de utilizator de domeniu și apoi criptare. Pe sistemul în sine, nu existau nici urme de utilizatori de forță brută și parole. Aproape imediat a existat o conectare pe un cont de domeniu rdp. A fost necesar să găsim, măcar, nu doar parola, ci și numele.

Din păcate, contul avea o parolă de 123456. Acesta a fost singurul cont cu o astfel de parolă pe care administratorii de câmp au ratat-o. Factorul uman. Era managerul și, din anumite motive, o serie întreagă de administratori de sistem știau despre această parolă, dar nu o schimbau. Evident, acesta este motivul utilizării acestui cont special. Dar, cu toate acestea, mecanismul de obținere chiar și a unei parole și nume de utilizator atât de simple rămâne necunoscut.

Am oprit și am șters mașina virtuală infectată de ransomware, după ce am făcut imaginea de pe disc. Am luat virusul însuși din imagine pentru a-i vedea activitatea. Povestea ulterioară se va baza pe lansarea virusului într-o mașină virtuală.

Un alt mic detaliu. Virusul a scanat întreaga rețea locală și a criptat simultan informațiile de pe acele computere unde existau niște foldere partajate cu acces pentru toată lumea. Este prima dată când văd o astfel de modificare a ransomware-ului. Acesta este un lucru cu adevărat înfricoșător. Un astfel de virus poate paraliza pur și simplu activitatea unei întregi organizații. Să presupunem că, dintr-un motiv oarecare, ați avut acces la rețea la copiile de rezervă în sine. Sau au folosit un fel de parolă slabă pentru cont. Se poate dovedi că totul va fi criptat - atât datele, cât și copiile de arhivă. În general, acum mă gândesc la stocarea copiilor de rezervă nu numai într-un mediu de rețea izolat, ci în general pe echipamente oprite, care sunt pornite doar pentru a face o copie de rezervă.

Cum să vă tratați computerul și să eliminați ransomware-ul Crusis (Dharma).

În cazul meu, virusul ransomware Crusis (Dharma) nu se ascundea în mod deosebit și nu ar trebui să pună probleme pentru a-l elimina. După cum am spus, era într-un folder de pe desktop. În plus, el și-a înregistrat un mesaj informativ în autostart.

Corpul virusului în sine a fost duplicat la pornire în secțiune Lansare toți utilizatorii și windows / system32... Nu m-am uitat mai atent, pentru că nu văd rostul. După ce ați fost infectat cu ransomware, vă recomand cu tărie să reinstalați sistemul. Acesta este singurul mod de a vă asigura că virusul este îndepărtat. Nu veți fi niciodată complet sigur că virusul a fost eliminat, deoarece ar fi putut exploata unele vulnerabilități nepublicate și necunoscute pentru a lăsa un marcaj în sistem. După un timp, prin această ipotecă, poți obține un fel de virus nou și totul se va repeta în cerc.

Așa că vă recomand să nu vă dezinfectați computerul imediat după detectarea ransomware-ului, ci să reinstalați sistemul, salvând datele rămase. Poate că virusul nu a reușit să cripteze totul. Aceste recomandări sunt pentru cei care nu vor încerca să recupereze fișiere. Dacă aveți copii de rezervă actualizate, atunci doar reinstalați sistemul și restaurați datele.

Dacă nu aveți copii de rezervă și sunteți gata să restaurați fișierele cu orice preț, atunci încercăm să nu atingem deloc computerul. Mai întâi de toate, deconectați cablul de rețea, descărcați câteva fișiere criptate și un fișier text cu informații activate curat unitate flash USB, apoi închideți computerul. Computerul nu mai poate fi pornit. Dacă nu înțelegeți deloc problemele computerului, atunci nu veți putea face față singur virusului, cu atât mai puțin să decriptați sau să restaurați fișierele. Contactați pe cineva care înțelege. Dacă crezi că poți face ceva singur, citește mai departe.

De unde să descărcați decodorul Crusis (Dharma)

Ceea ce urmează este sfatul meu universal cu privire la toți virușii ransomware. Există un site - https://www.nomoreransom.org Acesta teoretic poate conține un decriptor pentru Crusis sau Dharma sau alte informații despre decriptarea fișierelor. În practica mea, acest lucru nu s-a mai întâmplat până acum, dar dintr-o dată ești norocos. Merită încercat. Pentru a face acest lucru, pe pagina principală, suntem de acord făcând clic DA.

Atașați 2 fișiere și inserați conținutul mesajului ransomware și faceți clic Verifica.

Dacă aveți noroc, obțineți câteva informații. In cazul meu nu s-a gasit nimic.

Toate decriptoarele existente pentru ransomware sunt colectate pe o pagină separată - https://www.nomoreransom.org/ru/decryption-tools.html Existența acestei liste ne permite să ne așteptăm că mai există un sens în acest site și serviciu. Kaspersky are un serviciu similar - https://noransom.kaspersky.com/ru/ Vă puteți încerca norocul acolo.

Cred ca nu merita sa cauti decodoare altundeva printr-o cautare pe internet. Este puțin probabil să fie găsite. Cel mai probabil va fi fie o înșelătorie obișnuită cu software nedorit în cel mai bun caz, fie un virus nou.

Un plus important. Dacă aveți instalată o versiune cu licență a unui antivirus, asigurați-vă că ați creat o solicitare către TP antivirus pe tema decriptării fișierelor. Uneori chiar ajută. Am văzut recenzii despre decriptarea reușită de către forțele de asistență antivirus.

Cum să decriptați și să recuperați fișierele după virusul Crusis (Dharma).

Ce să faceți când virusul Crusis (Dharma) v-a criptat fișierele, niciuna dintre metodele descrise anterior nu a ajutat și chiar trebuie să recuperați fișierele? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am astfel de informații. Trebuie doar să încercăm să recuperăm fișierele prin metode utile. Acestea includ:

• Instrument copii umbră ferestre.
• Software de recuperare a datelor șterse

Înainte de alte manipulări, vă recomand să faceți o imagine de disc sector cu sector. Acest lucru vă va permite să remediați starea actuală și, dacă nimic nu funcționează, atunci măcar vă puteți întoarce la punctul de plecare și puteți încerca altceva. Apoi, trebuie să eliminați ransomware-ul în sine cu orice antivirus cu cel mai recent set de baze de date antivirus. Potrivi Vindecă-l sau Instrumentul de eliminare a virusurilor Kaspersky... Puteți instala orice alt antivirus în modul de probă. Acest lucru este suficient pentru a elimina virusul.

După aceea, pornim în sistemul infectat și verificăm dacă avem copii shadow activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă în timpul infecției nu ați confirmat solicitarea UAC de ștergere a fișierelor în copii umbră, atunci unele date ar trebui să rămână acolo. Pentru recuperarea comodă a fișierelor din copii umbre, vă sugerez să utilizați un program gratuit pentru aceasta - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Se va deschide ultima copie a fișierelor și rădăcina unității C. În colțul din stânga sus, puteți selecta o copie de rezervă dacă aveți mai multe. Verificați diferitele copii pentru fișierele dorite. Comparați după date, unde este versiunea mai recentă. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop acum trei luni când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am făcut clic dreapta, am selectat Export și am indicat folderul în care să le restabilesc.

Puteți restaura folderele imediat în același mod. Dacă shadow copii au funcționat pentru tine și nu le-ai șters, ai șanse destul de multe să recuperezi toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi o versiune mai veche decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă din anumite motive nu aveți copii umbră ale fișierelor, singura șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumentele de recuperare a fișierelor șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Rulați programul și selectați discul de unde veți recupera fișierele. Lansarea versiunii grafice a programului execută fișierul qphotorec_win.exe... Este necesar să selectați folderul în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash USB sau un hard disk extern pentru aceasta.

Procesul de căutare va dura mult. La sfârșit, veți vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce a fost găsit acolo. Cel mai probabil vor exista o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de fișiere sistemice și inutile. Dar, cu toate acestea, în această listă puteți găsi câteva fișiere utile. Nu există deja garanții că vei găsi ceea ce vei găsi. Imaginile sunt de obicei cel mai bine restaurate.

Dacă nu sunteți mulțumit de rezultat, există încă programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei când trebuie să recuperez numărul maxim de fișiere:

• R.saver
• Recuperare fișier Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Cu o dorință puternică, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor folosind programele enumerate este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva ransomware-ului Crusis (Dharma)

Ca de obicei, am trecut prin forumurile antivirusurilor populare în căutarea informațiilor despre ransomware-ul care instalează extensia .combo. Tendința de răspândire a virusului este clar vizibilă. O mulțime de cereri încep la jumătatea lunii august. Acum se pare că nu sunt vizibile, dar, poate temporar, sau pur și simplu s-a schimbat extensia fișierelor criptate.

Iată un exemplu de solicitare tipică de pe forumul Kaspersky.

Există, de asemenea, un comentariu al moderatorului mai jos.

Forumul EsetNod32 este familiarizat de mult cu virusul care este instalat de extensia .combo. După cum am înțeles, virusul nu este unic sau nou, ci o variație a binecunoscutei serie de viruși Crusis (Dharma). Iată o solicitare tipică de decriptare a datelor:

Am observat că sunt multe recenzii pe forumul Eset că virusul a pătruns în server prin rdp. Se pare că aceasta este o amenințare foarte puternică și nu puteți lăsa rdp fără acoperire. Singura întrebare care apare este cum intră virusul prin rdp. Preia o parolă, se conectează cu un utilizator și o parolă cunoscute sau cu altceva.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși ransomware, inclusiv Crusis (Dharma). Adresa lor este http://www.dr-shifro.ru. Plata numai dupa decriptare si verificarea dvs. Iată un exemplu despre cum funcționează:

1. Un specialist al companiei se deplasează cu mașina la birou sau acasă și semnează un acord cu tine, în care fixează costul lucrării.
2. Lansează decriptorul pe computerul său și decriptează unele fișiere.
3. Te asiguri ca toate fisierele sunt deschise, semnezi certificatul de livrare/acceptare pentru lucrarea efectuata si primesti un decodor.
4. Vă decriptați fișierele și aranjați restul documentelor.

Nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva unui virus ransomware

Nu voi enumera lucrurile evidente despre lansarea de programe necunoscute de pe Internet și deschiderea atașamentelor prin e-mail. Toată lumea știe asta acum. În plus, am scris despre asta de multe ori în articolele mele din secțiunea despre. Aș dori să vă atrag atenția asupra copiilor de rezervă. Ele nu ar trebui să fie doar, ci să fie inaccesibile din exterior. Dacă este un fel de unitate de rețea, atunci un cont separat cu o parolă puternică ar trebui să aibă acces la ea.

Dacă faceți copii de rezervă ale fișierelor personale pe o unitate flash USB sau pe o unitate externă, nu le păstrați conectate permanent la sistem. După crearea copiilor de rezervă, deconectați dispozitivele de la computer. În mod ideal, văd o copie de rezervă pe un dispozitiv separat, care este pornit numai pentru a face o copie de rezervă și apoi deconectat fizic din nou de la rețea prin deconectarea firului de rețea sau pur și simplu închiderea.

Backup-urile trebuie să fie incrementale. Acest lucru este necesar pentru a evita o situație în care ransomware-ul a criptat toate datele și nu ați observat-o. A fost efectuată o copie de rezervă, care a înlocuit fișierele vechi cu altele noi, dar deja criptate. Ca urmare, aveți arhiva, dar nu are sens în ea. Trebuie să aveți o adâncime de arhivă de cel puțin câteva zile. Cred că în viitor vor apărea, dacă nu au apărut încă, ransomware care vor cripta în secret o parte din date și vor aștepta ceva timp fără să se arate. Acest lucru se va face cu așteptarea ca fișierele criptate să ajungă în arhive și acolo, în timp, să înlocuiască fișierele reale.

Va fi o perioadă grea pentru sectorul corporativ. Am dat deja un exemplu mai sus de pe forumul eset, unde au fost criptate unități de rețea cu 20TB de date. Acum imaginați-vă că aveți o astfel de unitate de rețea, dar doar 500 G de date sunt criptate în directoare care nu sunt accesate constant. Trec câteva săptămâni, nimeni nu observă fișierele criptate, deoarece acestea se află în directoare de arhivă și nu sunt utilizate în mod constant. Dar la sfârșitul perioadei de raportare, datele sunt necesare. Ei merg acolo și văd că totul este criptat. Se duc la arhivă, iar acolo adâncimea de stocare este, să zicem, de 7 zile. Și asta e tot, datele au dispărut.

Acest lucru necesită o abordare separată atentă a arhivelor. Aveți nevoie de software și resurse pentru stocarea pe termen lung a datelor.

Video cu decriptare și recuperare fișiere

Iată un exemplu de modificare similară a virusului, dar videoclipul este complet relevant pentru combo.

Virusul blocat este un virus ransomware care intră în computer și criptează datele personale. Atunci vă confruntați cu o dilemă - plătiți răscumpărarea sau luați rămas bun de la informațiile criptate. Dacă întâmpinați acest lucru, primul lucru pe care ar trebui să-l faceți este să eliminați virusul .Locked. Puteți citi instrucțiunile de eliminare de mai jos.

Acest virus ransomware este foarte asemănător cu amenințări precum Locky virus, .locky extension virus, TeslaCrypt, Cerber și KeRanger. Cu toate acestea, există mici diferențe între vechea și noua versiune a ransomware-ului. .Locked folosește algoritmul de criptare AES-256, spre deosebire de algoritmii - RSA-2048 și AES-128 pe care Locky îi folosește, de exemplu. Ransomware-ul cere 500 USD, ceea ce este echivalent cu 1,22 bitcoins, spre deosebire de suma necesară de obicei de 400 USD. De asemenea, dacă nu vă grăbiți să plătiți răscumpărarea, răscumpărarea se va dubla într-o anumită perioadă de timp. Dacă alegeți să plătiți infractorii cibernetici făcând clic pe butonul „Plătiți”, .Locked Threat vă arată instrucțiuni detaliate de plată. După aceea, trebuie să descărcați software special și cheie privată de decriptare. Cu toate acestea, nu vă recomandăm să faceți acest lucru, deoarece nu există nicio garanție că va funcționa după finalizarea tranzacției finale. Puteți pierde informațiile personale și banii dvs. după plată. Prin urmare, ar trebui să vă gândiți să eliminați virusul .Locked și să nu acționați sub conducerea criminalilor. Pentru aceasta, vă recomandăm să utilizați.

Întrebări despre .Locked virus

• 27/08/16 1

În timp ce vorbesc despre creatorii ransomware-ului, unii cred că ar putea exista o organizație cunoscută numită Anonymus conectată. Astfel de suspiciuni au apărut după apariția unui alt ransomware - Anonymus. Se crede, de asemenea, că acesta din urmă virus a apărut prin această organizație. Cunoscând ingeniozitatea acestor hackeri care au reușit să pătrundă în instituțiile guvernamentale internaționale și private, virusul .Locked ar putea fi o amenințare reală. În plus, hackerii folosesc fotografii cu marca Anonymus, ceea ce permite multe speculații.

Cum.Locked ransomware infectează computerele?

La fel ca și malware similar, virusul pătrunde prin atașamentele infectate. Utilizatorul primește facturi false sau trafic care conține fișiere ZIP sau Word cu cod încorporat. Dacă victima încarcă un astfel de fișier în sistemul de operare, ransomware-ul este instalat și criptează documente importante, certificate, conturi, conturi și informații similare. Odată ce termină de funcționare, lasă un fișier blocat în foldere criptate. Apoi apare un mesaj pe ecranul utilizatorului.

În plus, s-a observat că .Locked poate fi răspândit printr-un troian. Această amenințare oferă deghizarea necesară pentru ransomware. De obicei, programele antivirus nu detectează troienii, deoarece pare a fi un program legitim. După ce trece prin sistemul de securitate, troianul instalează conținut rău intenționat și .Locked își începe lucrul. În această situație, trebuie să aveți un program antivirus pentru a detecta troienii și alte programe rău intenționate de acest fel. De asemenea, ransomware-ul se răspândește prin jocuri piratate. Așa că, dacă ești un jucător pasionat, ai grijă, deoarece atacurile PUP îți pot sparge computerul, după fiecare joc, viruși serioși te pot provoca.

Instrucțiuni de îndepărtare. Blocat:

Dacă ați fost infectat cu .Locked ransomware, ar trebui să ajungeți la concluzia că fișierele dvs. criptate se pot pierde. Le puteți restaura din copii de siguranță, dar dacă nu puteți găsi copii ale datelor importante, înseamnă că nu veți returna aceste fișiere. Este posibil ca eliminarea manuală să nu funcționeze, având în vedere structura complexă a ransomware-ului și algoritmul său de criptare. Astfel, rămâneți cu o singură soluție - dezinstalare. Blocat cu un program antivirus puternic precum sau. În cele din urmă, este important să actualizați și să vă scanați echipamentul de securitate și să vă bucurați din nou de navigarea pe internet. Dacă nu puteți lansa niciunul dintre programele menționate mai sus, urmați ghidul de mai jos.