Fișierele criptate cum se decriptează blocate. Cum pot evita să fac acest virus? O soluție radicală a problemei

Astăzi, utilizatorii de computere și laptopuri se confruntă din ce în ce mai mult cu programe malware care înlocuiesc fișierele cu copiile lor criptate. De fapt, aceștia sunt viruși. Unul dintre cele mai periculoase din această serie este ransomware-ul XTBL. Ce este acest dăunător, cum intră în computerul utilizatorului și este posibil să se recupereze informațiile deteriorate?

Ce este un ransomware XTBL și cum intră acesta într-un computer

Dacă găsiți fișiere cu un nume lung și extensia .xtbl pe computer sau laptop, atunci putem spune cu încredere că un virus periculos - XTBL ransomware - a intrat în sistem. Afectează toate versiunile de sistem de operare Windows. Este aproape imposibil să decriptați astfel de fișiere pe cont propriu, deoarece programul folosește un mod hibrid, în care selectarea cheii este pur și simplu imposibilă.

Fișierele infectate umple directoarele de sistem. În registrul Windows sunt adăugate intrări care lansează automat virusul de fiecare dată când sistemul de operare pornește.

Aproape toate tipurile de fișiere sunt criptate - grafice, text, arhivă, e-mail, video, muzică etc. Devine imposibil să lucrezi în Windows.

Cum functioneazã? Ransomware-ul XTBL lansat în Windows scanează mai întâi toate unitățile logice. Aceasta include stocarea în cloud și în rețea situată pe computerul dvs. Ca rezultat, fișierele sunt grupate după extensie și apoi criptate. Astfel, toate informațiile valoroase aflate în folderele utilizatorului devin inaccesibile.

Aceasta este imaginea pe care o va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare.

Extensia fișierului se modifică sub influența ransomware-ului XTBL. Utilizatorul vede acum o pictogramă foaie goală și un titlu lung care se termină cu .xtbl în loc de o imagine sau text în Word. În plus, pe desktop apare un mesaj, un fel de instrucțiune pentru recuperarea informațiilor criptate, prin care îți cere să plătești pentru deblocare. Acesta nu este altceva decât șantaj cu răscumpărare.

Un astfel de mesaj este afișat în fereastra „desktop” a computerului.

Distribuția ransomware-ului XTBL are loc de obicei prin e-mail. Scrisoarea conține fișiere atașate sau documente infectate cu un virus. Escrocul atrage utilizatorul cu un titlu colorat. Totul este făcut pentru ca mesajul, care spune că tu, de exemplu, ai câștigat un milion, să fie deschis. Nu răspunde la astfel de mesaje, altfel există un risc mare ca un virus să ajungă în sistemul de operare.

Este posibil să recuperați informații

Puteți încerca să decriptați informațiile folosind utilități speciale. Cu toate acestea, nu există nicio garanție că veți putea scăpa de virus și veți putea recupera fișierele deteriorate.

În prezent, XTBL ransomware reprezintă o amenințare fără îndoială pentru toate computerele care rulează Windows. Nici măcar liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - nu au o soluție 100% la această problemă.

Eliminarea unui virus și restaurarea fișierelor criptate

Există diverse metode și programe care vă permit să lucrați cu ransomware-ul XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișierele blocate sau să restaureze copiile lor anterioare.

Întreruperea infecției computerului

Dacă aveți norocul să observați începutul apariției fișierelor cu extensia .xtbl pe computer, atunci procesul de infecție ulterioară este destul de posibil să fie întrerupt.

Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Toate aceste programe ar trebui deschise într-un sistem de operare care a fost lansat anterior în modul sigur, cu opțiunea de a încărca drivere de rețea. În acest caz, este mult mai ușor să eliminați virusul, deoarece numărul minim de procese de sistem necesare pentru a porni Windows sunt conectate.

Pentru a încărca modul sigur în Window XP, 7 în timpul pornirii sistemului, apăsați constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10, reporniți sistemul de operare în timp ce țineți apăsată tasta Shift. În timpul procesului de pornire, se va deschide o fereastră în care puteți selecta opțiunea de pornire securizată necesară.

Selectarea modului sigur cu încărcarea driverelor de rețea

Kaspersky Virus Removal Tool recunoaște perfect ransomware-ul XTBL și elimină acest tip de virus. Rulați o scanare a computerului făcând clic pe butonul corespunzător după ce utilitarul s-a încărcat. După finalizarea scanării, ștergeți fișierele rău intenționate detectate.

Lansarea unei scanări a computerului pentru prezența unui ransomware XTBL în sistemul de operare Windows și apoi eliminarea virusului

Dr.Web CureIt!

Algoritmul pentru scanarea și eliminarea unui virus este practic același ca în versiunea anterioară. Scanați toate unitățile logice cu utilitarul. Pentru a face acest lucru, trebuie doar să urmați comenzile programului după lansarea acestuia. La sfârșitul procesului, scăpați de fișierele infectate făcând clic pe butonul „Neutralizare”.

Neutralizarea fișierelor rău intenționate după o scanare Windows

Malwarebytes Anti-malware

Programul va efectua o scanare pas cu pas a computerului pentru coduri rău intenționate și le va distruge.

1. Instalați și rulați utilitarul Anti-malware.
2. Selectați elementul „Începe scanarea” din partea de jos a ferestrei care se deschide.
3. Așteptați până la sfârșitul procesului și bifați casetele cu fișiere infectate.
4. Ștergeți selecția.

Eliminarea fișierelor ransomware XTBL rău intenționate detectate în timpul scanării

Decodor de script online de la Dr.Web

Pe site-ul oficial Dr.Web, în ​​secțiunea de asistență, există o filă cu un script pentru decriptarea online a fișierelor. Trebuie avut în vedere că doar acei utilizatori pe computerele cărora este instalat antivirusul acestui dezvoltator vor putea folosi decriptorul online.

Citiți instrucțiunile, completați tot ce aveți nevoie și faceți clic pe butonul „Trimite”.

Utilitarul de decriptare RectorDecryptor de la Kaspersky Lab

Kaspersky Lab decriptează și fișierele. Pe site-ul oficial, puteți descărca utilitarul RectorDecryptor.exe pentru Windows Vista, 7, 8 urmând linkurile din meniul „Suport – Tratarea și decriptarea fișierelor – RectorDecryptor – Cum se decriptează fișierele”. Rulați programul, verificați-l și apoi ștergeți fișierele criptate selectând elementul corespunzător.

Scanarea și decriptarea fișierelor infectate cu ransomware XTBL

Restaurarea fișierelor criptate dintr-o copie de rezervă

Începând cu Windows 7, puteți încerca să restaurați fișierele din copii de rezervă.

ShadowExplorer pentru a recupera fișiere criptate

Programul este o versiune portabilă, poate fi descărcat de pe orice media.

QPhotoRec

Programul este special conceput pentru a recupera fișierele deteriorate și șterse. Folosind algoritmi încorporați, utilitarul găsește și restabilește toate informațiile pierdute la starea inițială.

QPhotoRec este un program gratuit.

Din păcate, există doar o versiune în limba engleză a QPhotoRec, dar nu este greu de înțeles setările, interfața este intuitivă.

1. Rulați programul.
2. Verificați unitățile logice cu informații criptate.
3. Faceți clic pe butonul Formate de fișiere și OK.
4. Folosind butonul Răsfoire situat în partea de jos a ferestrei deschise, selectați locația pentru a salva fișierele și începeți procedura de restaurare făcând clic pe Căutare.

QPhotoRec recuperează fișierele șterse de XTBL ransomware și înlocuite cu propriile copii

Cum să decriptați fișierele - video

Ce sa nu faci

1. Nu lua niciodată măsuri de care nu ești sigur. Este mai bine să invitați un specialist de la centrul de service sau puteți duce singur computerul acolo.
2. Nu deschideți e-mailuri de la expeditori necunoscuți.
3. În niciun caz nu trebuie să fii condus de șantaji, acceptând să le transferi bani. Acest lucru, cel mai probabil, nu va da un rezultat.
4. Nu redenumiți manual extensiile fișierelor criptate și nu vă grăbiți să reinstalați Windows. Poate că va fi posibil să găsim o soluție care să corecteze situația.

Profilaxie

Încercați să instalați protecție fiabilă împotriva pătrunderii ransomware-ului XTBL și a virușilor ransomware similari pe computer. Aceste programe includ:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

În ciuda faptului că toate sunt în engleză, lucrul cu astfel de utilități este destul de simplu. Rulați programul și selectați nivelul de protecție din setări.

Lansarea programului și alegerea nivelului de protecție

Dacă ați întâlnit un virus ransomware care criptează fișierele de pe computer, atunci, desigur, nu ar trebui să disperați imediat. Încercați să utilizați metodele propuse de recuperare a informațiilor deteriorate. Acest lucru este adesea benefic. Nu utilizați programe neverificate ale dezvoltatorilor necunoscuți pentru a elimina XTBL ransomware. La urma urmei, acest lucru nu poate decât să agraveze situația. Dacă este posibil, instalați unul dintre programele care împiedică virusul să funcționeze pe computer și efectuați scanări regulate programate Windows pentru procese rău intenționate.

Instrucțiuni

Apelați meniul principal al sistemului Microsoft Windows făcând clic pe butonul „Start” și accesați elementul „Toate programele” pentru a efectua operația de decriptare a fișierelor criptate anterior.

Apelați meniul contextual al fișierului, folderului sau discului de decriptat făcând clic dreapta și selectând Proprietăți.

Accesați fila General a casetei de dialog care se deschide și selectați comanda Alt.

Debifați caseta de lângă Criptare conținut pentru a proteja datele și faceți clic pe OK pentru a aplica modificările selectate. Vă rugăm să rețineți că atunci când decriptați folderele care sunt criptate fișiereși subfolderele rămân criptate, dacă nu se specifică altfel, iar fișierele și subfolderele nou create ale folderului decriptat nu vor fi criptate.

Descărcați instrumentul gratuit te19decrypt.exe de pe site-ul oficial al dezvoltatorului aplicației antivirus Dr.Web și rulați fișierul executabil al utilitarului pentru a decripta fișierele criptate de virusul Trojan.Encoder. (Acest virus este un ransomware care criptează fișierele utilizatorului și se îndepărtează după aceea. Acest lucru lasă un fișier text crypted.txt pe discul de sistem, care necesită sume diferite de transferuri de bani pentru a decripta fișierele corupte.)

Faceți clic pe butonul Continuare din fereastra principală a programului și acceptați oferta pentru a specifica manual locația fișierului cheie c: crypted.txt.

Introduceți calea completă către fișierul dorit în caseta de dialog Deschidere și faceți clic pe OK pentru a confirma comanda.

Notă

Nu încercați să ștergeți singur fișierul text din: \crypted.txt, deoarece operațiunea de decriptare a fișierelor criptate de virus devine imposibilă după aceea!

Surse:

• Decriptarea unui fișier sau folder
• Cum se decriptează fișierele criptate de virusul Trojan.Encoder?
• fișier criptat
• Decriptarea fișierelor EFS

Unii viruși criptează fișierele utilizatorului, după care accesul la acestea prin mijloace convenționale poate fi limitat. Restabilirea modului normal are loc prin intervenție software.

Instrucțiuni

Efectuați o scanare suplimentară a computerului pentru viruși. Apoi descărcați unul dintre programele anti-troiene de pe Internet. Acest lucru este necesar dacă malware-ul a fost ascuns de antivirus. Verificați, apoi găsiți cel criptat fișiere.

Faceți copii de rezervă pentru orice eventualitate și asigurați-vă că nu există amenințări pe computer. Rescrieți numele complete ale troienilor găsiți pe computer. Acest lucru este necesar pentru a obține acces la informații despre metodele de criptare a fișierelor în viitor, deoarece utilitarele de uz general este puțin probabil să fie potrivite aici. Din același motiv, fă-ți timp pentru a elimina programele malware de pe computer în timpul scanării inițiale.

Descărcați orice utilitar pentru a decripta fișierele după ce ați fost infectat cu viruși. Astfel de utilități sunt de obicei disponibile pe site-urile web oficiale ale dezvoltatorilor de sisteme antivirus. De asemenea, atunci când alegeți un program, ghidați-vă după numele troianului care l-a criptat, deoarece multe dintre ele folosesc metode diferite.

Cel mai bine este să descărcați de pe site-urile furnizorilor de securitate pe care îi cunoașteți, deoarece din nou există riscul de a întâlni malware. De obicei, aceste utilități au o perioadă de probă în care pot fi folosite pentru tratament.

Urmând instrucțiunile sistemului, selectați în utilitarul descărcat care rulează pe computer pe cei criptați cu un virus fișiereși, urmând instrucțiunile sistemului, luați măsurile necesare. După aceea, executați din nou o scanare antivirus, în special în ceea ce privește fișierele pe care le-ați decriptat.

Apoi instalați pe computer un software antivirus fiabil și actualizabil pentru a preveni situațiile similare să apară în viitor.

Videoclipuri similare

Sfat util

Utilizați software antivirus.

VIN Mașina conține aproape toate informațiile importante și valoroase despre vehicul: din țara în care a fost asamblată mașina și se termină cu culoarea, anul de fabricație și dotarea acestuia. Pentru a vă deschide toate aceste informații, VIN trebuie doar să înveți să citești.

Vei avea nevoie

• - Codul VIN al mașinii

Instrucțiuni

Identificați părțile constitutive ale dvs VIN A.
VIN-Codul este format din 17 caractere, care sunt împărțite în trei părți:
- World Manufacturer Index sau WMI;
- partea descriptivă sau VDS;
- parte distinctă sau VIS.Indexul mondial al producătorului este primele trei caractere VIN a, partea descriptivă este formată din următoarele șase caractere, iar ultimele opt caractere sunt partea distinctivă. Să aruncăm o privire mai atentă la ce informații pot fi obținute prin decriptarea fiecărei părți constitutive. VIN A.

Descifrați indexul mondial al producătorului.Primul caracter al indexului vă va spune în ce parte a lumii a fost făcută al dvs., al doilea - în ce țară, iar al treilea va indica un anumit producător. Literele alfabetului latin de la A la H stau în această parte Codul a, dacă mașina a fost asamblată în Africa; de la J la R - într-una dintre țările Asiei și de la S la Z - în Europa. Tot printre primele trei personaje VINși poți întâlni și numere. În cazul în care patria ta este America de Nord, vei găsi numere de la 1 la 5; dacă a fost făcut în Oceania, atunci indexul producătorului va conține numerele 6 sau 7, iar pentru producătorii din America de Sud, numerele vor fi 8 sau 9.

Descifrează partea descriptivă a indexului. Aceste șase caractere sunt folosite pentru a descrie tipul de vehicul: pe baza căruia este construit, modelul de mașină, tipul de caroserie și altele. Pentru fiecare producător, aceste simboluri sunt unice, așa că pentru o decodare mai detaliată, ar trebui să căutați informații referitoare la specificul dvs. VIN iar majoritatea producătorilor după 1980 folosesc pentru a indica tipul de motor. Rețineți, totuși, că acest lucru este valabil numai pentru acele modele în producția cărora producătorul a prevăzut instalarea de diferite tipuri și/sau volume.

Descifrați partea distinctivă. Acesta conține informații care se aplică exclusiv vehiculului dumneavoastră. Producătorul ar putea cripta ultimele opt caractere VINși setul complet al mașinii tale, culoarea acestuia, tipul transmisiei. Uneori se întâmplă ca partea distinctivă să fie doar o secvență de caractere care corespunde fiecărei mașini specifice din baza de date a producătorului general și să nu fie deloc descifrată.Totuși, iată ce putem spune cu încredere: al zecelea caracter al oricărei VIN-Codul iar mașina este codul anului său de fabricație. Literele alfabetului latin de la A la Y corespund din 1980 până în 2000, respectiv. Dacă mașina a fost produsă între 2001 și 2009, atunci în VIN număr, al zecelea caracter va fi un număr de la 1 la 9. Toți anii următori, începând cu 2010, sunt din nou desemnați în conformitate cu literele alfabetului latin, începând cu A.

Sfat util

Pentru a ajuta șoferii pe internet, există un număr mare de organizații care oferă decriptarea gratuită a informațiilor generale în codul VIN.
De asemenea, contra cost, marile organizații internaționale precum Carfax și Autocheck pot oferi informații fiabile despre dacă un vehicul a participat la accidente rutiere, unde a fost întreținut, care sunt kilometrajul său și alte date. Este complet legal și este conceput astfel încât șoferii din întreaga lume să poată afla istoria unei mașini second hand înainte de a cumpăra.

Surse:

• vin de mașină

Criptarea folderelor este cea mai fiabilă modalitate de a proteja informațiile furnizate de sistemul de operare Windows. Utilizatorul care a criptat fișierul poate lucra cu acesta în același mod ca și cu alte foldere, dar pentru a garanta accesul la datele criptate, este necesară o copie de rezervă a certificatului și a cheii de criptare.

Instrucțiuni

Apelați meniul contextual al folderului sau fișierului care urmează să fie criptat și accesați elementul „Proprietăți”.

Selectați fila „General” din caseta de dialog care se deschide și selectați „Avansat”.

Bifați caseta de lângă „Criptați conținutul pentru a proteja datele” și faceți clic pe OK pentru a confirma operația de criptare.

Debifați caseta de selectare „Criptați conținutul pentru a proteja datele” și faceți clic pe OK pentru a confirma operația de decriptare a fișierului sau folderului selectat.

Apăsați tasta Enter pentru a confirma executarea comenzii și a extinde pliant Personal făcând clic pe săgeata de lângă acesta.

Navigați la secțiunea Certificate și selectați un certificat care listează EFS în Atribuții.

Asigurați-vă că certificatul selectat este corect derulând la dreapta și aplicați această procedură tuturor certificatelor EFS existente.

Selectați elementul Toate sarcinile din meniul Acțiune din bara de instrumente de sus a ferestrei aplicației și selectați comanda Export.

Confirmați parola administratorului computerului, tastând-o din nou în câmpul de confirmare și faceți clic pe Următorul pentru a crea fișierul de stocare a certificatului.

Specificați numele fișierului selectat și calea completă către acesta și faceți clic pe butonul „Terminare”.

Videoclipuri similare

Notă

Dosarele și fișierele comprimate nu pot fi criptate.

Sfat util

Numai fișierele și folderele aflate pe volume NTFS pot fi criptate.

Surse:

• Criptați și decriptați folderul și fișierul în 2019

Sistemul de operare Windows vă permite să setați opțiunea de criptare în atribute. După aceea, fișierul va fi disponibil pentru citire numai acestui utilizator, celui pe care îl specifică drept „agent de recuperare” sau utilizatorului care are „cheie publică”. Dacă în viitor devine necesară anularea criptare, puteți face acest lucru și în setările fișierului sau folderului.

Porniți „Explorer” - apăsați combinația de taste Win + E sau selectați „Computer” în meniul principal al sistemului de operare. Navigați în arborele de directoare din panoul din stânga la folderul dorit.

Puteți ajunge la fișierul criptat într-un alt mod, folosind motorul de căutare al sistemului de operare. În Windows 7 și Vista, acest lucru este foarte ușor: apăsați tasta Win și începeți să tastați numele fișierului. Când în lista de rezultate apare un link către obiectul dorit, faceți clic dreapta pe el și selectați Locația fișierului.

Selectați acest fișier și faceți clic pe fișier cu butonul drept al mouse-ului sau apăsați tasta meniului de comenzi rapide - este plasat pe tastatură între butoanele drepte Win și Ctrl. În ambele cazuri, pe ecran va apărea un meniu contextual, în care aveți nevoie de ultima linie - „Proprietăți”. Selectați-l din meniu și se va deschide o fereastră separată cu setările proprietăților fișierului.

Fila General (se deschide implicit) este împărțită în secțiuni. În partea de jos există mai multe casete de selectare legate de atributele fișierului, iar butonul „Altele” - faceți clic pe el.

În fereastra Atribute avansate de fișier, debifați caseta Criptare conținut pentru a proteja datele. Apoi faceți clic pe butoanele OK în ambele ferestre deschise și operațiunea va fi finalizată.

Anulați dacă este necesar criptare nu pentru un singur dosar, ci pentru toate fișiereîn folder, trebuie să acționați aproape în același mod. După primii trei pași, selectați nu fișierul, ci folderul dorit în panoul din stânga „Explorer”. Meniul contextual cu elementul „Proprietăți” pentru un folder, precum și pentru un fișier, este invocat făcând clic dreapta, iar în fereastra de proprietăți a obiectului trebuie să repetați cei doi pași anteriori.

Decriptarea datelor codificate folosind software-ul profesional necesită fie prezența aceluiași pachet software, fie o putere uriașă de calcul și chiar programe mai avansate. Cu toate acestea, mai des, pentru codificare sunt folosite mijloace mai accesibile, care sunt mult mai ușor de decodat.

Instrucțiuni

În construcția web, cea mai accesibilă metodă de criptare a datelor este folosită cel mai des - folosind funcțiile încorporate ale limbajelor de programare. Dintre limbile server-side, PHP este cea mai comună astăzi, în care funcția base64_encode este folosită pentru criptare. Datele codificate cu ajutorul lor pot fi decodificate folosind funcția inversă - base64_decode. Dacă aveți capacitatea de a executa scripturi PHP pe computer sau pe un server web, creați un cod simplu ca acesta:

Între ghilimele funcției base64_decode, plasați șirul de date pe care doriți să îl decodați. Apoi salvați codul într-un fișier cu extensia php și deschideți această pagină printr-un browser - într-o pagină goală veți vedea datele decriptate.

Dacă nu este posibil să executați scripturi php, utilizați formularul web de pe unul dintre site-urile de Internet - linkul către pagina necesară este prezentat mai jos. Copiați și inserați datele criptate în câmpul de deasupra butonului Base 64 Decode. După ce faceți clic pe acest buton, va apărea un câmp suplimentar cu date decriptate - acestea pot fi, de asemenea, copiate și utilizate la discreția dvs.

Dacă nu cunoașteți metoda de criptare, încercați să decodați datele folosind unul dintre programele care pot repeta mai mulți algoritmi. Una dintre aceste aplicații se numește „Stirlitz”, nu necesită instalare și este destul de populară pe Internet, așa că nu va fi dificil să o găsești. Programul încearcă să decripteze datele folosind cinci algoritmi de criptare.

Cele mai recente versiuni ale sistemelor de operare Windows vă permit să codificați toate fișierele de pe o anumită unitate sau toate mediile de pe computer. Dacă trebuie să decodați datele dintr-un astfel de fișier, cel mai bine este să le încredințați sistemului de operare însuși - dezactivați criptarea în setările sale, iar Windows va suprascrie toate fișierele cu date în versiunile lor necriptate. Pentru a face acest lucru, faceți clic pe butonul Win, tastați și selectați BitLocker Drive Encryption din rezultatele căutării. Apoi faceți clic pe linkul „Dezactivați BitLocker” de lângă unitatea dorită. Când sistemul termină de executat această comandă, puteți deschide fișierul cu date criptate anterior.

Surse:

• Formularul web al funcției Base64_decode

Când lucrați cu documente, poate deveni necesar să le trimiteți cuiva prin Internet (de exemplu, folosind e-mail). Cu toate acestea, în unele cazuri, importanța informațiilor pe care le conțin face dificilă acest lucru în text simplu. Desigur, soluția este criptarea, pe care mulți o asociază cu ceva îndepărtat și complex. Cu toate acestea, această sarcină poate fi rezolvată cu ușurință folosind un program gratuit de arhivare a fișierelor, de exemplu, 7-Zip, creând o arhivă criptată cu ajutorul acestuia.

Vei avea nevoie

• - internetul;
• - sistem de operare Microsoft Windows;
• - Program de arhivare 7-Zip.

Instrucțiuni

descarca si instaleaza... Pentru a cripta un document folosind 7-Zip, trebuie mai întâi să îl instalați. Pentru a face acest lucru, accesați site-ul web http://7-zip.org/ (secțiunea „Descărcare”), selectați versiunea programului potrivită pentru computerul dvs. (32 sau 64 de biți) și descărcați-o. După descărcare, rulați programul de instalare al programului și urmați instrucțiunile acestuia - acest lucru nu ar trebui să vă ridice întrebări.

Verificați asocierile fișierelor... După instalare, de regulă, 7-Zip nu modifică setările sistemului de operare și nu adaugă propria sa secțiune în meniul contextual al exploratorului. Pentru a face aceste modificări, trebuie să deschideți meniul Start, Programe, 7-Zip și să selectați 7-Zip File Manager. În meniul principal, deschideți secțiunea „Service” și selectați „Setări...”. Apoi, accesați fila „Sistem” și faceți clic pe „Selectați tot”. Confirmați modificările făcând clic pe butonul „OK” din partea de jos a ferestrei programului.

Selectați fișierul document... Orice fișier poate fi criptat, formatul său nu contează. Pentru a face acest lucru, deschideți Explorer și găsiți fișierul dorit. Apoi faceți clic dreapta pe el și selectați „7-Zip”, „Adăugați la arhivă...” în meniul care apare.

Configurați setările și rulați... În fereastra care se deschide, puteți specifica numele arhivei, parola pentru deschidere, puteți seta criptarea numelor de fișiere și alte setări. Vă rugăm să rețineți că criptarea numelor este dezactivată în mod implicit, nu este setată nicio parolă pentru arhivă. După ce ați specificat toate setările dorite, puteți începe crearea unei arhive criptate făcând clic pe butonul „OK” din fereastra curentă.

Așteptați sfârșitul... Operația poate dura ceva timp, în funcție de dimensiunea fișierelor criptate, rata de compresie și alte setări. La finalizare, lângă fișierele criptate va apărea o arhivă cu numele specificat anterior.

Recent, a avut loc o creștere a activității unei noi generații de programe de calculator rău intenționate. Au apărut cu destul de mult timp în urmă (acum 6 - 8 ani), dar ritmul introducerii lor a atins maximul chiar acum. Din ce în ce mai mult, vă puteți confrunta cu faptul că un virus a criptat fișierele.

Se știe deja că acesta nu este doar malware primitiv, de exemplu, (care provoacă apariția unui ecran albastru), ci programe serioase care vizează deteriorarea, de regulă, a datelor contabile. Ele criptează toate fișierele disponibile la îndemână, inclusiv datele contabile 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Pericolul deosebit al virușilor în cauză

Constă în faptul că în acest caz se folosește o cheie RSA, care este legată de computerul unui anumit utilizator, motiv pentru care decriptorul universal ( decriptor) dispărut. Virușii activați într-unul dintre computere pot să nu funcționeze în celălalt.

Pericolul este, de asemenea, că de mai bine de un an există programe de constructoare gata făcute pe Internet care permit chiar și kulkhackerilor să dezvolte acest tip de virus (persoane care se consideră hackeri, dar nu studiază programarea).

În prezent, au apărut modificări mai puternice.

Cum este injectat acest malware

Virusul este trimis în mod intenționat, de regulă, către departamentul de contabilitate al companiei. În primul rând, e-mailurile departamentelor de personal, ale departamentelor de contabilitate sunt colectate din baze de date, cum ar fi, de exemplu, hh.ru. Apoi scrisorile sunt trimise. Acestea conțin cel mai adesea o cerere de acceptare pentru o anumită poziție. La o astfel de scrisoare cu CV, în interiorul căreia se află un document real cu un obiect OLE implantat (fișier pdf cu un virus).

În situațiile în care departamentul de contabilitate a lansat imediat acest document, după o repornire s-au întâmplat următoarele: virusul a redenumit și a criptat fișierele, iar apoi s-a autodistrus.

Acest tip de scrisoare, de regulă, este scrisă și trimisă în mod adecvat dintr-o căsuță poștală non-spam (numele corespunde semnăturii). Un post vacant este întotdeauna solicitat pe baza activității de bază a companiei, astfel încât să nu apară suspiciuni.

Nici „Kaspersky” (program antivirus) licențiat, nici „Virus Total” (un serviciu online de verificare a atașamentelor pentru viruși) nu pot proteja computerul în acest caz. Ocazional, unele programe antivirus, la scanare, spun că atașamentul conține Gen: Variant.Zusy.71505.

Cum pot evita să fac acest virus?

Fiecare fișier primit trebuie verificat. O atenție deosebită este acordată documentelor Word care au pdf-uri încorporate.

Variante de e-mailuri „infectate”.

Sunt o mulțime. Cele mai comune opțiuni pentru modul în care fișierele criptate viruși sunt prezentate mai jos. În toate cazurile, se primesc prin e-mail următoarele documente:

1. Notificare privind începerea procesului de luare în considerare a unui proces intentat împotriva unei anumite companii (scrisoarea sugerează verificarea datelor făcând clic pe linkul specificat).
2. Scrisoare din partea Curții Supreme de Arbitraj a Federației Ruse privind colectarea datoriilor.
3. Un mesaj de la Sberbank referitor la o creștere a datoriei existente.
4. Notificarea remedierii încălcărilor rutiere.
5. O scrisoare de la Agenția de Colectare care indică întârzierea maximă posibilă a plății.

Notificare de criptare a fișierelor

După infectare, acesta va apărea în folderul rădăcină al unității C. Uneori fișierele de tip CHTO_DOE.txt, CONTACT.txt sunt plasate în toate directoarele cu text deteriorat. Acolo utilizatorul este informat despre criptarea fișierelor sale, care se realizează prin intermediul algoritmilor criptografici fiabili. Și este, de asemenea, avertizat despre inutilitatea utilizării utilităților terțe, deoarece acest lucru poate duce la deteriorarea permanentă a fișierelor, ceea ce, la rândul său, va duce la imposibilitatea decriptării ulterioare a acestora.

Este recomandat să lăsați computerul neschimbat în notificare. Indică timpul de stocare al cheii furnizate (de regulă, este de 2 zile). Data exactă este prescrisă, după care orice fel de cerere va fi ignorată.

La final, este furnizat un e-mail. Se mai spune că utilizatorul trebuie să-și furnizeze ID-ul și că oricare dintre următoarele acțiuni poate duce la eliminarea cheii, și anume:

Cum să decriptezi fișierele criptate de un virus?

Acest tip de criptare este foarte puternic: fișierului i se atribuie o astfel de extensie ca perfect, nochance etc. Este pur și simplu imposibil de piratat, dar puteți încerca să conectați criptoanalisti și să găsiți o lacună (în unele situații, Dr. WEB vă va ajuta ).

Există încă o modalitate de a recupera fișierele criptate de un virus, dar nu funcționează pentru toți virușii, mai mult, va trebui să scoateți exe-ul original împreună cu acest program rău intenționat, ceea ce nu este ușor de făcut după autodistrugere.

Solicitarea virusului cu privire la introducerea unui cod special este o verificare nesemnificativă, deoarece fișierul are deja un decriptor până în acest moment (codul de la, ca să spunem așa, nu va fi necesar intrușilor). Esența acestei metode este înscrierea comenzilor goale în virusul pătruns (în locul comparării codului introdus). Rezultatul este că programul rău intenționat în sine începe decriptarea fișierelor și, prin urmare, le restaurează complet.

Fiecare virus individual are propria sa funcție de criptare specială, ceea ce înseamnă că un executabil terță parte (fișier în format exe) nu poate fi decriptat sau puteți încerca să selectați funcția de mai sus, pentru care trebuie să efectuați toate acțiunile pe WinAPI.

fisiere: ce sa fac?

Pentru a efectua procedura de decriptare, veți avea nevoie de:

Cum pot evita pierderea datelor din cauza malware-ului în cauză?

Merită să știți că într-o situație în care un virus are fișiere criptate, va dura timp pentru a le decripta. Un punct important este că există o eroare în malware-ul menționat mai sus care vă permite să salvați unele dintre fișiere dacă opriți rapid computerul (deconectați ștecherul de alimentare, opriți protectorul de supratensiune, scoateți bateria în cazul unui laptop). ) de îndată ce apare un număr mare de fișiere cu extensia specificată anterior...

Încă o dată, trebuie subliniat că principalul lucru este să creați în mod constant o copie de rezervă, dar nu într-un alt folder, nu pe un suport amovibil introdus în computer, deoarece această modificare a virusului va ajunge și în aceste locuri. Merită să salvați copii de siguranță pe alt computer, pe un hard disk care nu este conectat permanent la computer și în cloud.

Ar trebui să tratați cu suspiciune toate documentele care vin prin poștă de la persoane necunoscute (sub formă de CV, factură, rezoluții ale Curții Supreme de Arbitraj a Federației Ruse sau autorități fiscale etc.). Nu trebuie să le rulați pe computer (în acest scop, puteți selecta un netbook care nu conține date importante).

Program rău intenționat * [email protected]: cum se elimină

Într-o situație în care virusul de mai sus a criptat fișierele cbf, doc, jpg etc., există doar trei opțiuni pentru dezvoltarea evenimentului:

1. Cel mai simplu mod de a scăpa de el este să ștergeți toate fișierele infectate (acest lucru este acceptabil, cu excepția cazului în care datele sunt foarte importante).
2. Mergeți la laboratorul unui program antivirus, de exemplu, Dr. WEB. Este obligatoriu să trimiteți mai multe fișiere infectate către dezvoltatori împreună cu cheia de decriptare, care se află pe computer ca KEY.PRIVATE.
3. Cel mai scump mod. Aceasta presupune plata sumei solicitate de hackeri pentru a decripta fișierele infectate. De regulă, costul acestui serviciu este în intervalul 200 - 500 de dolari SUA. Acest lucru este acceptabil într-o situație în care un virus a criptat fișierele unei companii mari în care circulă un flux zilnic semnificativ de informații, iar acest program rău intenționat poate provoca daune colosale în câteva secunde. Prin urmare, plata este cea mai rapidă opțiune pentru recuperarea fișierelor infectate.

Uneori, opțiunea suplimentară este de asemenea eficientă. În cazul în care virusul a criptat fișierele ( [email protected] _com sau alt program malware) poate ajuta acum câteva zile.

Program de decriptare RectorDecryptor

Dacă virusul a criptat fișiere jpg, doc, cbf etc., atunci un program special poate ajuta. Pentru a face acest lucru, mai întâi trebuie să mergeți la pornire și să dezactivați totul, cu excepția antivirusului. Apoi, trebuie să reporniți computerul. Vizualizați toate fișierele, evidențiați-le pe cele suspecte. Câmpul intitulat „Comandă” indică locația unui anumit fișier (atenție trebuie acordată aplicațiilor care nu au semnătură: producător - fără date).

Toate fișierele suspecte trebuie șterse, după care va trebui să curățați cache-urile browserului, folderele temporare (pentru aceasta, programul CCleaner este potrivit).

Pentru a începe decriptarea, trebuie să descărcați programul de mai sus. Apoi rulați-l și faceți clic pe butonul „Start scan”, indicând fișierele modificate și extensia acestora. În versiunile moderne ale acestui program, puteți specifica doar fișierul infectat și faceți clic pe butonul „Deschidere”. Fișierele vor fi apoi decriptate.

Ulterior, utilitarul verifică automat toate datele computerului, inclusiv fișierele aflate pe unitatea de rețea mapată și le decriptează. Acest proces de recuperare poate dura câteva ore (în funcție de volumul de muncă și de viteza computerului).

Ca rezultat, toate fișierele deteriorate vor fi decriptate în același director în care au fost localizate inițial. Până la urmă, tot ce rămâne este să ștergeți toate fișierele existente cu o extensie suspectă, pentru care puteți bifa caseta „Șterge fișierele criptate după decriptarea reușită” făcând clic pe butonul „Modificați setările de scanare”. Cu toate acestea, este mai bine să nu-l instalați, deoarece în cazul decriptării nereușite a fișierelor, acestea pot fi șterse, iar mai târziu va trebui să le restaurați mai întâi.

Deci, dacă virusul are fișiere criptate doc, cbf, jpg etc., nu ar trebui să vă grăbiți să plătiți pentru cod. Poate nu va fi nevoie de el.

Nuanțe de ștergere a fișierelor criptate

Când încercați să eliminați toate fișierele deteriorate printr-o căutare standard și ștergerea ulterioară, computerul se poate îngheța și încetini. În acest sens, pentru această procedură, merită să utilizați una specială După ce o porniți, trebuie să introduceți următoarele: del «<диск>:\*.<расширение зараженного файла>„/ F/s.

Este imperativ să ștergeți fișiere precum „Read-me.txt”, pentru care în aceeași linie de comandă trebuie să specificați: del "<диск>:\*.<имя файла>„/ F/s.

Astfel, se poate observa că, dacă virusul a redenumit și a criptat fișierele, atunci nu ar trebui să cheltuiți imediat bani pentru cumpărarea unei chei de la infractorii cibernetici, mai întâi ar trebui să încercați să vă dați seama singur problema. Mai bine să investești în achiziționarea unui program special pentru a decripta fișierele corupte.

În cele din urmă, merită să ne amintim că acest articol a discutat despre cum să decriptați fișierele criptate de un virus.

Dacă sistemul este infectat cu programe malware ale familiilor Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.CryptXXX, apoi toate fișierele de pe computer vor fi criptate după cum urmează:

• Când este infectat Trojan-Ransom.Win32.Rannoh numele și extensiile se vor schimba în model incuiat-<оригинальное_имя>.<4 произвольных буквы> .
• Când este infectat Trojan-Ransom.Win32.Cryakl o etichetă este adăugată la sfârșitul conținutului fișierului (CRYPTENDBLACKDC) .
• Când este infectat Trojan-Ransom.Win32.AutoIt extensia se redimensionează după model <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  De exemplu, [email protected] _.RZWDTDIC.
• Când este infectat Trojan-Ransom.Win32.CryptXXX extensia se modifică după șabloane <оригинальное_имя>.criptă,<оригинальное_имя>. cripzși <оригинальное_имя>. cript1.

Utilitarul RannohDecryptor este conceput pentru a decripta fișierele după infectare Troian-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.CryptXXX versiuni 1 , 2 și 3 .

Cum să vindeci sistemul

Pentru a dezinfecta un sistem infectat:

1. Descărcați fișierul RannohDecryptor.zip.
2. Rulați fișierul RannohDecryptor.exe pe mașina infectată.
3. În fereastra principală, faceți clic Începeți verificarea.

1. Specificați calea către fișierul criptat și necriptat.
   Dacă fișierul este criptat Trojan-Ransom.Win32.CryptXXX, specificați fișierele cu cea mai mare dimensiune. Decriptarea va fi disponibilă numai pentru fișierele de dimensiune egală sau mai mică.
2. Așteptați până la sfârșitul căutării și decriptării fișierelor criptate.
3. Reporniți computerul dacă este necesar.
4. Pentru a șterge o copie a fișierelor criptate din formular incuiat-<оригинальное_имя>.<4 произвольных буквы> după decriptarea cu succes, selectați.

Dacă fișierul a fost criptat Trojan-Ransom.Win32.Cryakl, apoi utilitarul va salva fișierul în locația veche cu extensia .decryptedKLR.original_extension... Daca ai ales Ștergeți fișierele criptate după decriptarea cu succes, apoi fișierul decriptat va fi salvat de utilitar cu numele său original.

1. În mod implicit, utilitarul trimite un raport al activității sale către rădăcina discului de sistem (discul pe care este instalat sistemul de operare).

   Denumirea raportului este după cum urmează: UtilityName.Version_Date_Time_log.txt

   De exemplu, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Pe un sistem infectat Trojan-Ransom.Win32.CryptXXX, utilitarul scanează un număr limitat de formate de fișiere. Când un utilizator selectează un fișier afectat de CryptXXX v2, recuperarea cheii poate dura mult timp. În acest caz, utilitarul afișează un avertisment.