Si të deshifroni skedarët me shtesën e kyçur. Kaspersky Virus Removal Tool për të hequr ransomware XTBL

Nëse sistemi është i infektuar me malware të familjeve Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ose Trojan-Ransom.Win32.CryptXXX, atëherë të gjithë skedarët në kompjuter do të kodohen si më poshtë:

• Kur infektohen Trojan-Ransom.Win32.Rannoh emrat dhe shtesat do të ndryshojnë sipas modelit i mbyllur-<оригинальное_имя>.<4 произвольных буквы> .
• Kur infektohen Trojan-Ransom.Win32.Cryakl një shenjë shtohet në fund të përmbajtjes së skedarëve (CRYPTENDBLACKDC) .
• Kur infektohen Trojan-Ransom.Win32.AutoIt zgjerimi ndryshon sipas modelit <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Për shembull, [email i mbrojtur] _.RZWDTDIC.
• Kur infektohen Trojan-Ransom.Win32.CryptXXX zgjerimi ndryshon sipas modeleve <оригинальное_имя>.kripta,<оригинальное_имя>. crypz Dhe <оригинальное_имя>. cryp1.

Shërbimi RannohDecryptor është krijuar për të deshifruar skedarët pas infektimit Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ose Trojan-Ransom.Win32.CryptXXX versionet 1 , 2 Dhe 3 .

Si të kuroni sistemin

Për të kuruar një sistem të infektuar:

1. Shkarkoni skedarin RannohDecryptor.zip.
2. Ekzekutoni skedarin RannohDecryptor.exe në makinën e infektuar.
3. Në dritaren kryesore, klikoni Filloni verifikimin.

1. Specifikoni rrugën drejt skedarit të koduar dhe të pakriptuar.
   Nëse skedari është i koduar Trojan-Ransom.Win32.CryptXXX, specifikoni skedarët më të mëdhenj. Deshifrimi do të jetë i disponueshëm vetëm për skedarë me madhësi të barabartë ose më të vogël.
2. Prisni deri në fund të kërkimit dhe deshifrimit të skedarëve të koduar.
3. Rinisni kompjuterin tuaj nëse kërkohet.
4. Për të fshirë një kopje të skedarëve të koduar si p.sh i mbyllur-<оригинальное_имя>.<4 произвольных буквы> pas deshifrimit të suksesshëm zgjidhni .

Nëse skedari ishte i koduar Trojan-Ransom.Win32.Cryakl, atëherë programi do ta ruajë skedarin në vendndodhjen e vjetër me shtesën .decryptedKLR.original_extension. Nëse keni zgjedhur Fshini skedarët e koduar pas deshifrimit të suksesshëm, atëherë skedari i deshifruar do të ruhet nga programi me emrin origjinal.

1. Si parazgjedhje, programi nxjerr raportin e funksionimit në rrënjën e diskut të sistemit (disku në të cilin është instaluar OS).

   Emri i raportit duket si ky: UtilityName.Version_Date_Time_log.txt

   Për shembull, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Në një sistem të infektuar Trojan-Ransom.Win32.CryptXXX, programi skanon një numër të kufizuar formatesh skedarësh. Kur një përdorues zgjedh një skedar të prekur nga CryptXXX v2, rikuperimi i çelësit mund të zgjasë shumë. Në këtë rast, programi shfaq një paralajmërim.

Fakti që interneti është plot me viruse nuk e habit askënd sot. Shumë përdorues i perceptojnë situatat që lidhen me ndikimin e tyre në sisteme ose të dhëna personale, për ta thënë butë, duke i parë nëpër gishta, por vetëm derisa një virus enkriptimi të vendoset në mënyrë specifike në sistem. Shumica e përdoruesve të zakonshëm nuk dinë të kurojnë dhe deshifrojnë të dhënat e ruajtura në një hard disk. Prandaj ky kontigjent “çohet” në kërkesat e parashtruara nga ndërhyrësit. Por le të shohim se çfarë mund të bëhet nëse zbulohet një kërcënim i tillë ose për të parandaluar depërtimin e tij në sistem.

Çfarë është një virus ransomware?

Ky lloj kërcënimi përdor algoritme standarde dhe jo standarde të enkriptimit të skedarëve që ndryshojnë plotësisht përmbajtjen e tyre dhe bllokojnë aksesin. Për shembull, hapja e një skedari teksti të koduar për lexim ose redaktim, si dhe luajtja e përmbajtjes multimediale (grafike, video ose audio), pas ekspozimit ndaj një virusi, do të jetë absolutisht e pamundur. Edhe veprimet standarde për kopjimin ose lëvizjen e objekteve nuk janë të disponueshme.

Vetë mbushja e softuerit të virusit është mjeti që kodon të dhënat në atë mënyrë që të mos jetë gjithmonë e mundur të rivendoset gjendja e tyre origjinale edhe pasi kërcënimi të jetë hequr nga sistemi. Në mënyrë tipike, programe të tilla me qëllim të keq krijojnë kopje të tyre dhe vendosen shumë thellë në sistem, kështu që virusi i enkriptuesit të skedarëve mund të mos hiqet plotësisht. Duke çinstaluar programin kryesor ose duke fshirë trupin kryesor të virusit, përdoruesi nuk shpëton nga ndikimi i kërcënimit, për të mos përmendur rikuperimin e informacionit të koduar.

Si hyn kërcënimi në sistem?

Si rregull, kërcënimet e këtij lloji synohen më së shumti ndaj strukturave të mëdha tregtare dhe mund të depërtojnë në kompjuterë përmes programeve të postës elektronike kur një punonjës hap një dokument të supozuar të bashkangjitur në një email, që është, të themi, një shtesë në një lloj marrëveshje bashkëpunimi ose në mallra. plani i furnizimit (oferta komerciale me investime nga burime të dyshimta - rruga e parë për virusin).

Problemi është se një virus enkriptues në një makinë që ka akses në një rrjet lokal është në gjendje të përshtatet gjithashtu me të, duke krijuar kopjet e veta jo vetëm në mjedisin e rrjetit, por edhe në terminalin e administratorit, nëse i mungojnë mjetet e nevojshme mbrojtëse. në formën e softuerit anti-virus, firewall ose firewall.

Ndonjëherë kërcënime të tilla mund të depërtojnë edhe në sistemet kompjuterike të përdoruesve të zakonshëm, të cilët, në përgjithësi, nuk janë me interes për ndërhyrës. Kjo ndodh në kohën e instalimit të disa programeve të shkarkuara nga burime të dyshimta të Internetit. Shumë përdorues në fillimin e shkarkimit injorojnë paralajmërimet e sistemit të mbrojtjes antivirus, dhe gjatë procesit të instalimit ata nuk i kushtojnë vëmendje ofertave për të instaluar softuer shtesë, panele ose shtojca për shfletuesit, dhe më pas, siç thonë ata. , kafshoni bërrylat e tyre.

Shumëllojshmëri virusesh dhe pak histori

Në thelb, kërcënimet e këtij lloji, veçanërisht virusi më i rrezikshëm i enkriptimit No_more_ransom, klasifikohen jo vetëm si mjete për enkriptimin e të dhënave ose bllokimin e aksesit në to. Në fakt, të gjitha aplikacionet e tilla me qëllim të keq janë kategorizuar si ransomware. Me fjalë të tjera, sulmuesit kërkojnë një shumë të caktuar parash për deshifrimin e informacionit, duke besuar se do të jetë e pamundur të kryhet ky proces pa programin fillestar. Pjesërisht kështu është gjithashtu.

Por, nëse gërmoni në histori, mund të shihni se një nga viruset e parë të këtij lloji, megjithëse nuk kërkon para, ishte apleti famëkeq I Love You, i cili kodonte plotësisht skedarët multimedialë (kryesisht gjurmët muzikore) në sistemet e përdoruesve. Deshifrimi i skedarëve pas virusit të ransomware në atë kohë doli të ishte i pamundur. Tani është pikërisht me këtë kërcënim që është e mundur të luftohet në mënyrë elementare.

Por zhvillimi i vetë viruseve ose algoritmet e enkriptimit të përdorura nuk qëndrojnë ende. Çfarë ka midis viruseve - këtu keni XTBL, dhe CBF, dhe Breaking_Bad, dhe [email i mbrojtur], dhe një tufë gjepurash të tjera.

Metodologjia për të ndikuar skedarët e përdoruesve

Dhe nëse deri vonë shumica e sulmeve kryheshin duke përdorur algoritme RSA-1024 të bazuara në enkriptimin AES me të njëjtën thellësi bit, i njëjti virus enkriptues No_more_ransom tani paraqitet në disa interpretime duke përdorur çelësat e enkriptimit të bazuara në teknologjitë RSA-2048 dhe madje RSA-3072.

Probleme të dekodimit të algoritmeve të përdorura

Problemi është se sistemet moderne të deshifrimit përballë një rreziku të tillë rezultuan të pafuqishëm. Deshifrimi i skedarëve pas një virusi enkriptimi të bazuar në AES256 ende mbështetet disi dhe me një shpejtësi më të lartë të biteve të çelësit, pothuajse të gjithë zhvilluesit thjesht ngrenë supet. Kjo, nga rruga, u konfirmua zyrtarisht nga specialistë nga Kaspersky Lab dhe Eset.

Në versionin më primitiv, përdoruesi që kontaktoi shërbimin mbështetës ftohet të dërgojë një skedar të koduar dhe origjinalin e tij për krahasim dhe operacione të mëtejshme për të përcaktuar algoritmin e kriptimit dhe metodat e rikuperimit. Por, si rregull, në shumicën e rasteve kjo nuk funksionon. Por virusi i kriptimit mund të deshifrojë vetë skedarët, siç besohet, me kusht që viktima të pajtohet me kushtet e sulmuesve dhe të paguajë një shumë të caktuar në terma monetarë. Megjithatë, një formulim i tillë i pyetjes ngre dyshime legjitime. Dhe kjo është arsyeja pse.

Virusi i enkriptimit: si të kuroni dhe deshifroni skedarët dhe a mund të bëhet?

Me sa duket, pas pagesës, hakerët aktivizojnë dekriptimin përmes aksesit në distancë në virusin e tyre që ndodhet në sistem, ose përmes një aplikacioni shtesë nëse trupi i virusit hiqet. Duket më shumë se e dyshimtë.

Do të doja të theksoja gjithashtu faktin se interneti është plot me postime false ku thuhet se, thonë ata, është paguar shuma e kërkuar dhe të dhënat janë rikthyer me sukses. Të gjitha janë gënjeshtra! Dhe e vërteta është - ku është garancia që pas pagesës virusi i enkriptimit në sistem nuk do të aktivizohet më? Nuk është e vështirë të kuptosh psikologjinë e hajdutëve: nëse paguani një herë, do të paguani përsëri. Dhe kur bëhet fjalë për informacione veçanërisht të rëndësishme, si zhvillime specifike komerciale, shkencore ose ushtarake, pronarët e një informacioni të tillë janë gati të paguajnë sa të duan, për sa kohë që skedarët mbeten të sigurt dhe të shëndoshë.

Ilaçi i parë për kërcënimin

E tillë është natyra e një virusi ransomware. Si të kuroni dhe deshifroni skedarët pasi jeni ekspozuar ndaj një kërcënimi? Po, në asnjë mënyrë, nëse nuk ka mjete të improvizuara, të cilat gjithashtu jo gjithmonë ndihmojnë. Por ju mund të provoni.

Le të supozojmë se një virus ransomware është shfaqur në sistem. Si të kuroni skedarët e infektuar? Si fillim, duhet të kryeni një skanim të thellë të sistemit pa përdorur teknologjinë S.M.A.R.T., e cila siguron zbulimin e kërcënimeve vetëm kur dëmtohen sektorët e nisjes dhe skedarët e sistemit.

Këshillohet që të mos përdorni skanerin standard ekzistues, i cili tashmë ka humbur kërcënimin, por të përdorni shërbime portative. Opsioni më i mirë do të ishte nisja nga Kaspersky Rescue Disk, i cili mund të fillojë edhe përpara se sistemi operativ të fillojë të funksionojë.

Por kjo është vetëm gjysma e betejës, sepse në këtë mënyrë ju mund të shpëtoni vetëm nga vetë virusi. Por me dekoderin do të jetë më e vështirë. Por më shumë për këtë më vonë.

Ekziston një kategori tjetër në të cilën bien viruset e ransomware. Si të deshifroni informacionin do të diskutohet veçmas, por tani për tani le të përqendrohemi në faktin se ato mund të ekzistojnë në sistem mjaft hapur në formën e programeve dhe aplikacioneve të instaluara zyrtarisht (arroganca e sulmuesve nuk njeh kufij, pasi kërcënimi nuk ka edhe të përpiqet të maskohet).

Në këtë rast, duhet të përdorni seksionin Programet dhe Veçoritë, ku kryhet çinstalimi standard. Sidoqoftë, duhet t'i kushtoni vëmendje faktit që çinstaluesi standard i sistemeve Windows nuk i heq plotësisht të gjithë skedarët e programit. Në veçanti, virusi i enkriptimit të shpërblesës është në gjendje të krijojë dosjet e veta në drejtoritë rrënjësore të sistemit (zakonisht këto janë drejtoritë Csrss, ku është i pranishëm skedari i ekzekutueshëm csrss.exe me të njëjtin emër). Drejtoritë e Windows, System32 ose të përdoruesve (Përdoruesit në diskun e sistemit) zgjidhen si vendndodhje kryesore.

Për më tepër, virusi i enkriptuesit No_more_ransom shkruan çelësat e tij në regjistër si një lidhje me shërbimin zyrtar të nënsistemit të serverit të klientit, gjë që ngatërron shumë, pasi ky shërbim duhet të jetë përgjegjës për ndërveprimin midis softuerit të klientit dhe serverit. Vetë çelësi ndodhet në dosjen Run, e cila mund të arrihet përmes degës HKLM. Është e qartë se do t'ju duhet t'i fshini manualisht çelësat e tillë.

Për ta bërë më të lehtë, mund të përdorni shërbime si iObit Uninstaller, të cilat kërkojnë automatikisht skedarët e mbetur dhe çelësat e regjistrit (por vetëm nëse virusi është i dukshëm në sistem si një aplikacion i instaluar). Por kjo është gjëja më e lehtë për të bërë.

Zgjidhjet e ofruara nga zhvilluesit e programeve antivirus

Besohet se deshifrimi i virusit të kriptimit mund të bëhet duke përdorur mjete speciale, megjithëse nëse ka teknologji me një çelës prej 2048 ose 3072 bit, nuk duhet të mbështeteni veçanërisht në to (përveç kësaj, shumë prej tyre fshijnë skedarët pas deshifrimit, dhe më pas ato të rikuperuara skedarët zhduken për shkak të fajit të pranisë së një trupi virusi që ende nuk është hequr).

Megjithatë, mund të provoni. Nga të gjitha programet, vlen të theksohen RectorDecryptor dhe ShadowExplorer. Besohet se asgjë më e mirë nuk është krijuar ende. Por problemi mund të qëndrojë edhe në faktin se kur përpiqeni të përdorni një dekriptues, nuk ka asnjë garanci që skedarët e kuruar nuk do të fshihen. Kjo do të thotë, nëse fillimisht nuk shpëtoni nga virusi, çdo përpjekje për deshifrim do të jetë e dënuar me dështim.

Përveç fshirjes së informacionit të koduar, mund të ketë një rezultat fatal - i gjithë sistemi do të mos funksionojë. Përveç kësaj, një virus modern ransomware mund të ndikojë jo vetëm në të dhënat e ruajtura në hard diskun e një kompjuteri, por edhe në skedarët në ruajtjen e cloud. Dhe nuk ka zgjidhje për rikuperimin e të dhënave. Për më tepër, siç doli, në shumë shërbime janë marrë masa mbrojtëse të pamjaftueshme efektive (i njëjti OneDrive i integruar në Windows 10, i cili preket drejtpërdrejt nga sistemi operativ).

Një zgjidhje radikale e problemit

Siç është tashmë e qartë, shumica e metodave moderne nuk japin një rezultat pozitiv kur infektohen me viruse të tilla. Sigurisht, nëse ka një origjinal të skedarit të dëmtuar, ai mund të dërgohet në laboratorin antivirus për ekzaminim. Vërtetë, ka dyshime serioze që një përdorues i zakonshëm do të krijojë kopje rezervë të të dhënave që, kur ruhen në një hard disk, gjithashtu mund të ekspozohen ndaj kodit me qëllim të keq. Dhe fakti që për të shmangur telashet, përdoruesit kopjojnë informacionin në media të lëvizshme, nuk po flasim fare.

Kështu, për një zgjidhje kardinal të problemit, përfundimi sugjeron vetë: formatimin e plotë të hard drive dhe të gjitha ndarjet logjike me fshirjen e informacionit. Pra, çfarë të bëni? Ju do të duhet të sakrifikoni nëse nuk dëshironi që virusi ose kopja e tij e ruajtur vetë të aktivizohet përsëri në sistem.

Për ta bërë këtë, nuk duhet të përdorni mjetet e vetë sistemeve Windows (që nënkupton formatimin e ndarjeve virtuale, pasi nëse përpiqeni të hyni në diskun e sistemit, do të lëshohet një ndalim). Është më mirë të përdorni nisjen nga media optike si LiveCD ose shpërndarjet e instalimit, si ato të krijuara duke përdorur mjetin e krijimit të mediave për Windows 10.

Para fillimit të formatimit, me kusht që virusi të hiqet nga sistemi, mund të provoni të rivendosni integritetin e përbërësve të sistemit përmes linjës së komandës (sfc / scannow), por kjo nuk do të funksionojë për sa i përket deshifrimit dhe zhbllokimit të të dhënave. Pra, formati c: është e vetmja zgjidhje e saktë e mundshme, ju pëlqen apo jo. Kjo është mënyra e vetme për të hequr qafe plotësisht këto lloj kërcënimesh. Mjerisht, nuk ka rrugë tjetër! Edhe trajtimi me mjete standarde të ofruara nga shumica e paketave antivirus është i pafuqishëm.

Në vend të një pasthënieje

Për sa i përket përfundimeve të dukshme, mund të themi vetëm se nuk ka asnjë zgjidhje të vetme dhe universale për të eliminuar pasojat e ndikimit të kërcënimeve të tilla sot (e trishtueshme, por e vërtetë - kjo konfirmohet nga shumica e zhvilluesve të programeve antivirus dhe ekspertëve të kriptografisë) .

Mbetet e paqartë pse shfaqja e algoritmeve të bazuara në kriptim 1024-, 2048- dhe 3072-bit kaloi nga ata që janë të përfshirë drejtpërdrejt në zhvillimin dhe zbatimin e teknologjive të tilla? Në të vërtetë, sot algoritmi AES256 konsiderohet më premtuesi dhe më i sigurti. Njoftim! 256! Ky sistem, siç rezulton, nuk është i përshtatshëm për viruset moderne. Çfarë të themi atëherë për përpjekjet për të deshifruar çelësat e tyre?

Sido që të jetë, është mjaft e lehtë të shmangësh futjen e një kërcënimi në sistem. Në rastin më të thjeshtë, të gjitha mesazhet hyrëse me bashkëngjitje në Outlook, Thunderbird dhe klientë të tjerë të postës elektronike duhet të skanohen nga një antivirus menjëherë pas marrjes dhe në asnjë rast nuk duhet të hapni bashkëngjitjet derisa të përfundojë skanimi. Ju gjithashtu duhet të lexoni me kujdes sugjerimet për instalimin e softuerit shtesë kur instaloni disa programe (zakonisht ato shkruhen me shkronja shumë të vogla ose të maskuara si shtesa standarde si një përditësim i Flash Player ose diçka tjetër). Komponentët e medias përditësohen më së miri përmes faqeve zyrtare. Kjo është mënyra e vetme për të parandaluar të paktën disi depërtimin e kërcënimeve të tilla në sistemin tuaj. Pasojat mund të jenë krejtësisht të paparashikueshme, duke qenë se viruset e këtij lloji përhapen menjëherë në rrjetin lokal. Dhe për kompaninë, një kthesë e tillë e ngjarjeve mund të kthehet në një kolaps të vërtetë të të gjitha ndërmarrjeve.

Së fundi, administratori i sistemit nuk duhet të qëndrojë i papunë. Mbrojtja e softuerit në një situatë të tillë është më mirë të përjashtohet. I njëjti mur zjarri (firewall) nuk duhet të jetë softuer, por "hardware" (natyrisht, me softuer përkatës në bord). Dhe, është e qartë se nuk ia vlen të kurseni në blerjen e paketave antivirus. Është më mirë të blini një paketë të licencuar, në vend që të instaloni programe primitive që gjoja ofrojnë mbrojtje në kohë reale vetëm nga fjalët e zhvilluesit.

Dhe nëse kërcënimi ka depërtuar tashmë në sistem, sekuenca e veprimeve duhet të përfshijë heqjen e vetë trupit të virusit, dhe vetëm atëherë përpjekjet për të deshifruar të dhënat e dëmtuara. Idealisht, një format i plotë (vini re, jo një të shpejtë me pastrimin e tabelës së përmbajtjes, por një të plotë, mundësisht me rivendosjen ose zëvendësimin e sistemit ekzistues të skedarëve, sektorëve të nisjes dhe regjistrimeve).

Shërbimi Kaspresky RakhniDecryptor do të deshifrojë skedarët, shtesat e të cilëve kanë ndryshuar sipas modeleve të mëposhtme:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.i mbyllur;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.errësira;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nocans;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>.kripto;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>.p*** [email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id373;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id371;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id372;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id374;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id375;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id376;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id392;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id357;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id356;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id358;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id359;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id360;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id20.

Trojan-Ransom.Win32.Rakhni krijon skedarin exit.hhr.oshit, i cili përmban fjalëkalimin e koduar për skedarët e përdoruesit. Nëse ky skedar ruhet në kompjuterin e infektuar, deshifrimi do të jetë shumë më i shpejtë. Nëse skedari exit.hhr.oshit është fshirë, rivendoseni duke përdorur programet e rikuperimit të skedarëve të fshirë dhe më pas vendoseni në dosjen %APPDATA% dhe ekzekutoni sërish programin. Skedari exit.hhr.oshit mund të gjendet në shtegun e mëposhtëm: C:\Users<имя_пользователя>\AppData\Roaming

• Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_kriptë.
• Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email i mbrojtur] _.letrat>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.qaj;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.i koduar.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman versioni 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.mikro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman versioni 4:<имя_файла>.<оригинальное_расширение>(emri dhe shtrirja e skedarit nuk ndryshojnë).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.i koduar;
  • <имя_файла>.i mbyllur;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.argëtim;
  • <имя_файла>.gws;
  • <имя_файла>.btc
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epik;
  • <имя_файла>.i koduar;
  • <имя_файла>.J;
  • <имя_файла>.shpërblim;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paguhet;
  • <имя_файла>.paymrss;
  • <имя_файла>.payrts;
  • <имя_файла>.payst;
  • <имя_файла>.paguan;
  • <имя_файла>.gefickt;
  • <имя_файла>[email i mbrojtur]
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.@..xtbl;
  • <имя_файла>.ID<…>.@..CrySiS;
  • <имя_файла>.id-<…>.@..xtbl;
  • <имя_файла>.id-<…>.@..portofolin;
  • <имя_файла>.id-<…>.@..dhrama;
  • <имя_файла>.id-<…>.@..qepë;
  • <имя_файла>.@..portofolin;
  • <имя_файла>.@..dhrama;
  • <имя_файла>.@..qepë.

Shembuj të disa adresave të përhapësve me qëllim të keq:

• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur]
• Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email i mbrojtur]
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.bllokuar;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.cryptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.kriptohet;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.cryptix;
  • <имя_файла>.<оригинальное_расширение>.crypttt;
  • <имя_файла>.<оригинальное_расширение>.këtu;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.MURTAJA17;
  • <имя_файла>.<оригинальное_расширение>.ktldl.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _.kriptë;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] ____.kriptë;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _______.kriptë;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] ___.kriptë;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur]==.kriptë;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur]=--.kriptë.

Nëse skedari është i koduar me shtesën CRYPT, deshifrimi mund të zgjasë shumë. Për shembull, në një procesor Intel Core i5-2400, mund të duhen rreth 120 ditë.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.kriptë
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0ditë;
  • <имя_файла>.bllokoj;
  • <имя_файла>[email i mbrojtur] _hu;
  • <имя_файла>[email i mbrojtur];
  • <имя_файла>.~xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.emri i rastit-<...>.<случайное_расширение>.

• Versioni i malware	Adresa e emailit të sulmuesve
  	[email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur]
  	[email i mbrojtur] _graf1 [email i mbrojtur] _mod [email i mbrojtur] _mod2
  	[email i mbrojtur] [email i mbrojtur]
  	[email i mbrojtur]
  	[email i mbrojtur] [email i mbrojtur][email i mbrojtur] [email i mbrojtur]

Si të deshifroni skedarët me programin Kaspersky RakhniDecryptor

1. Shkarkoni arkivin RakhniDecryptor.zip dhe ekstraktoni atë. Udhëzimet në artikull.
2. Shkoni te dosja me skedarët nga arkivi.
3. Ekzekutoni skedarin RakhniDecryptor.exe.
4. Klikoni Ndryshoni cilësimet e skanimit.

1. Zgjidhni objektet për të skanuar: disqet e ngurtë, disqet e lëvizshëm ose disqet e rrjetit.
2. Kutia e kontrollit Fshini skedarët e koduar pas deshifrimit të suksesshëm. Në këtë rast, programi do të fshijë kopjet e skedarëve të enkriptuar me shtesa LOCKED, KRAKEN, DARKNESS, etj.
3. Klikoni Ne rregull.

1. Klikoni Filloni verifikimin.

1. Zgjidhni skedarin e koduar dhe klikoni Hapur.

1. Lexoni paralajmërimin dhe klikoni Ne rregull.

Skedarët do të deshifrohen.

Një skedar mund të kodohet me shtesën CRYPT më shumë se një herë. Për shembull, nëse skedari test.doc kodohet dy herë, programi RakhniDecryptor do të deshifrojë shtresën e parë në skedarin test.1.doc.layerDecryptedKLR. Hyrja e mëposhtme do të shfaqet në raportin e funksionimit të shërbimeve: "Suksesi i deshifrimit: drive:\path\test.doc_crypt -> drive:\path\test.1.doc.layerDecryptedKLR". Ky skedar duhet të deshifrohet përsëri nga programi. Pas deshifrimit të suksesshëm, skedari do të ruhet me emrin origjinal test.doc.

Opsionet për ekzekutimin e programit nga vija e komandës

Për lehtësi dhe përshpejtim të procesit të deshifrimit të skedarëve, Kaspersky RakhniDecryptor mbështet parametrat e mëposhtëm të linjës së komandës:

Vetë viruset si një kërcënim kompjuterik nuk befasojnë askënd sot. Por nëse më parë ata ndikuan në sistemin në tërësi, duke shkaktuar dështime në performancën e tij, sot, me ardhjen e një shumëllojshmërie të tillë si një virus ransomware, veprimet e një kërcënimi depërtues kanë të bëjnë me më shumë të dhëna të përdoruesit. Është ndoshta edhe më shumë një kërcënim sesa aplikacionet e ekzekutueshme të Windows ose aplikacionet spiune shkatërruese.

Çfarë është një virus ransomware?

Në vetvete, kodi i shkruar në një virus vetë-kopjues përfshin kriptimin e pothuajse të gjitha të dhënave të përdoruesit me algoritme speciale kriptografike, gjë që nuk ndikon në skedarët e sistemit të sistemit operativ.

Në fillim, logjika e ndikimit të virusit nuk ishte plotësisht e qartë për shumë njerëz. Gjithçka u bë e qartë vetëm kur hakerat që krijuan aplikacione të tilla filluan të kërkojnë para për të rivendosur strukturën origjinale të skedarit. Në të njëjtën kohë, vetë virusi i ransomware i infiltruar nuk lejon deshifrimin e skedarëve për shkak të veçorive të tij. Për ta bërë këtë, ju nevojitet një deshifrues i veçantë, nëse dëshironi, një kod, një fjalëkalim ose një algoritëm që kërkohet për të rivendosur përmbajtjen që kërkoni.

Parimi i depërtimit në sistem dhe funksionimi i kodit të virusit

Si rregull, është mjaft e vështirë të "marrësh" një pleh të tillë në internet. Burimi kryesor i përhapjes së "infeksionit" është e-mail në nivelin e programeve të instaluara në një terminal të caktuar kompjuterik, si Outlook, Thunderbird, The Bat, etj. për të dhënat e përdoruesit është e mundur vetëm në nivel

Një tjetër gjë është një aplikim në një terminal kompjuteri. Këtu, për veprimin e viruseve, fusha është aq e gjerë sa është e pamundur të imagjinohet. Vërtetë, ia vlen gjithashtu të bëni një rezervim këtu: në shumicën e rasteve, viruset kanë për qëllim kompanitë e mëdha nga të cilat mund të "rrëmbeni" para për të siguruar një kod deshifrimi. Kjo është e kuptueshme, sepse jo vetëm në terminalet kompjuterike lokale, por edhe në serverët e firmave të tilla, mund të ruhen jo vetëm plotësisht, por edhe skedarë, si të thuash, në një kopje të vetme, në asnjë rast që nuk i nënshtrohen shkatërrimit. Dhe pastaj deshifrimi i skedarëve pas virusit të kriptimit bëhet mjaft problematik.

Sigurisht, një përdorues i zakonshëm gjithashtu mund t'i nënshtrohet një sulmi të tillë, por në shumicën e rasteve kjo nuk ka gjasa nëse ndiqni rekomandimet më të thjeshta për hapjen e bashkëngjitjeve me shtesa të një lloji të panjohur. Edhe nëse klienti i postës zbulon një bashkëngjitje me shtesën .jpg si një skedar grafik standard, ai fillimisht duhet të kontrollohet nga ai standard i instaluar në sistem.

Nëse kjo nuk është bërë, kur e hapni me një klik të dyfishtë (metoda standarde), do të fillojë aktivizimi i kodit dhe do të fillojë procesi i enkriptimit, pas së cilës i njëjti Breaking_Bad (virusi i enkriptimit) jo vetëm që do të jetë i pamundur të fshihet, por skedarët nuk do të mund të restaurohen pasi të eliminohet kërcënimi.

Pasojat e përgjithshme të depërtimit të të gjithë viruseve të këtij lloji

Siç është përmendur tashmë, shumica e viruseve të këtij lloji hyjnë në sistem përmes postës elektronike. Epo, le të themi, në një organizatë të madhe, një letër arrin në një email specifik të regjistruar me përmbajtje si "Ne kemi ndryshuar kontratën, skanimi është në bashkëngjitje" ose "Ju është dërguar një faturë për dërgesën e mallrave (një kopjoni atje)”. Natyrisht, një punonjës i paditur hap dosjen dhe...

Të gjithë skedarët e përdoruesve në nivelin e dokumenteve të zyrës, multimedias, projekteve të specializuara AutoCAD ose çdo të dhënë tjetër arkivore kodohen menjëherë, dhe nëse terminali i kompjuterit është në rrjetin lokal, virusi mund të transmetohet më tej, duke enkriptuar të dhënat në makina të tjera (kjo bëhet vihet re menjëherë pas "ngadalësimit" të sistemit dhe ngrirjes së programeve ose aplikacioneve që ekzekutohen aktualisht).

Në fund të procesit të kriptimit, vetë virusi, me sa duket, dërgon një lloj raporti, pas të cilit kompania mund të marrë një mesazh se një kërcënim i tillë ka hyrë në sistem dhe se vetëm ai dhe ai kërcënim mund ta deshifrojë atë. . Zakonisht bëhet fjalë për një virus. [email i mbrojtur] Më pas vjen kërkesa për të paguar shërbimet e deshifrimit me një ofertë për të dërguar disa skedarë në e-mailin e klientit, e cila më së shpeshti është fiktive.

Dëmi nga ndikimi i kodit

Nëse dikush nuk e ka kuptuar ende: deshifrimi i skedarëve pas një virusi ransomware është një proces mjaft i mundimshëm. Edhe nëse nuk "udhëhiqeni" nga kërkesat e ndërhyrësve dhe përpiqeni të përdorni strukturat zyrtare shtetërore për të luftuar krimet kompjuterike dhe për t'i parandaluar ato, zakonisht asgjë e mirë nuk vjen nga kjo.

Nëse fshini të gjithë skedarët, krijoni dhe madje kopjoni të dhënat origjinale nga media e lëvizshme (natyrisht, nëse ka një kopje të tillë), gjithçka do të vazhdojë të kodohet përsëri kur virusi të aktivizohet. Pra, nuk duhet ta mashtroni veten shumë, veçanërisht pasi kur futni të njëjtin flash drive në një port USB, përdoruesi as nuk do të vërejë se si virusi i kodon të dhënat në të. Kjo është kur nuk do të hasni në probleme.

I parëlinduri në familje

Tani le ta kthejmë vëmendjen te virusi i parë ransomware. Si të kurohen dhe deshifrohen skedarët pas ekspozimit ndaj kodit të ekzekutueshëm që gjendet në një bashkëngjitje emaili me një ofertë njohjeje, në kohën e shfaqjes së tij, askush nuk e kishte menduar ende. Vetëdija për shkallën e fatkeqësisë erdhi vetëm me kalimin e kohës.

Ai virus kishte emrin romantik "Të dua". Një përdorues që nuk dyshon hapi një bashkëngjitje në një mesazh email dhe mori skedarë multimedialë plotësisht të paluajtshëm (grafikë, video dhe audio). Atëherë, megjithatë, veprime të tilla dukeshin më shkatërruese (duke dëmtuar bibliotekat e mediave të përdoruesve), dhe askush nuk kërkoi para për këtë.

Modifikimet me te reja

Siç mund ta shihni, evolucioni i teknologjisë është bërë një biznes mjaft fitimprurës, veçanërisht kur mendoni se shumë drejtues të organizatave të mëdha vrapojnë menjëherë të paguajnë për aktivitetet e deshifrimit, plotësisht të pavetëdijshëm se mund të humbasin para dhe informacion.

Meqë ra fjala, mos i shikoni të gjitha këto postime "të majta" në internet, ata thonë, "Unë pagova / pagova shumën e kërkuar, më dërguan një kod, gjithçka u rivendos". marrëzi! E gjithë kjo është shkruar nga vetë zhvilluesit e virusit për të tërhequr potencialin, më falni, "pinjollë". Por, sipas standardeve të një përdoruesi të zakonshëm, shumat për pagesë janë mjaft serioze: nga qindra në disa mijëra ose dhjetëra mijëra euro ose dollarë.

Tani le të shohim llojet më të fundit të viruseve të këtij lloji që janë regjistruar relativisht kohët e fundit. Të gjithë janë pothuajse të ngjashëm dhe i përkasin jo vetëm kategorisë së ransomware-ve, por edhe grupit të të ashtuquajturve zhvatës. Në disa raste, ata veprojnë në mënyrë më korrekte (si paga-crypt), në dukje duke dërguar propozime ose mesazhe formale biznesi që dikush kujdeset për sigurinë e një përdoruesi ose organizate. Një virus i tillë enkriptimi thjesht mashtron përdoruesin me mesazhin e tij. Nëse ai bën edhe veprimin më të vogël për të paguar, kaq – “divorci” do të jetë i plotë.

Virusi XTBL

I shfaqur relativisht kohët e fundit mund t'i atribuohet versionit klasik të ransomware. Si rregull, ai hyn në sistem përmes mesazheve të postës elektronike që përmbajnë bashkëngjitje në formën e skedarëve me të cilët është standard për mbrojtësin e ekranit të Windows. Sistemi dhe përdoruesi mendojnë se gjithçka është në rregull dhe aktivizojnë shikimin ose ruajtjen e bashkëngjitjes.

Mjerisht, kjo çon në pasoja të trishtueshme: emrat e skedarëve shndërrohen në një grup karakteresh, dhe një tjetër .xtbl shtohet në shtesën kryesore, pas së cilës një mesazh për mundësinë e deshifrimit dërgohet në adresën e dëshiruar të postës pasi të keni paguar të specifikuar shuma (zakonisht 5 mijë rubla).

virusi CBF

Ky lloj virusi gjithashtu i përket klasikëve të zhanrit. Shfaqet në sistem pas hapjes së bashkëngjitjeve të postës elektronike dhe më pas riemërton skedarët e përdoruesve, duke shtuar një shtesë si .nochance ose .perfect në fund.

Fatkeqësisht, deshifrimi i këtij lloji të virusit të enkriptimit për të analizuar përmbajtjen e kodit, edhe në fazën e shfaqjes së tij në sistem, nuk është i mundur, pasi pas përfundimit të veprimeve të tij ai vetëshkatërrohet. Edhe i tillë, siç mendojnë shumë njerëz, një mjet universal si RectorDecryptor nuk ndihmon. Përsëri, përdoruesi merr një letër që kërkon pagesë, e cila jepet dy ditë.

Virusi Breaking_Bad

Ky lloj kërcënimi funksionon në të njëjtën mënyrë, por riemëron skedarët në mënyrën standarde, duke shtuar .breaking_bad në shtesë.

Situata nuk kufizohet me kaq. Ndryshe nga viruset e mëparshëm, ky mund të krijojë edhe një shtesë tjetër - .Heisenberg, kështu që nuk është gjithmonë e mundur të gjenden të gjithë skedarët e infektuar. Pra, Breaking_Bad (virusi i enkriptimit) është një kërcënim mjaft serioz. Nga rruga, ka raste kur edhe paketa e licencuar e Kaspersky Endpoint Security 10 e humb këtë lloj kërcënimi.

Virus [email i mbrojtur]

Këtu është një tjetër, ndoshta kërcënimi më serioz, i cili i drejtohet kryesisht organizatave të mëdha tregtare. Si rregull, një letër mbërrin në ndonjë departament që përmban ndryshime të supozuara në marrëveshjen e furnizimit, apo edhe vetëm një faturë. Një bashkëngjitje mund të përmbajë një skedar të rregullt .jpg (siç është një imazh), por më shpesh një script.js të ekzekutueshëm (aplet Java).

Si të deshifroni këtë lloj virusi ransomware? Duke gjykuar nga fakti se një algoritëm i panjohur RSA-1024 përdoret atje, në asnjë mënyrë. Bazuar në emrin, mund të supozojmë se ky është një sistem kriptimi 1024-bit. Por, nëse dikush e mban mend, sot AES 256-bit konsiderohet më i avancuari.

Virusi i enkriptimit: si të kuroni dhe deshifroni skedarët duke përdorur softuer antivirus

Deri më sot, nuk janë gjetur zgjidhje për të deshifruar kërcënimet e këtij lloji. Edhe mjeshtra të tillë në fushën e mbrojtjes antivirus si Kaspersky, Dr. Web dhe Eset nuk mund të gjejnë çelësin për zgjidhjen e problemit kur virusi ransomware ka trashëguar sistemin. Si të kuroni skedarët? Në shumicën e rasteve, propozohet të dërgoni një kërkesë në faqen zyrtare të zhvilluesit të antivirusit (nga rruga, vetëm nëse sistemi ka softuer të licencuar nga ky zhvillues).

Në këtë rast, duhet të bashkëngjitni disa skedarë të koduar, si dhe origjinalet e tyre "të shëndetshëm", nëse ka. Në përgjithësi, në përgjithësi, pak njerëz mbajnë kopje të të dhënave, kështu që problemi i mungesës së tyre vetëm përkeqëson një situatë tashmë të pakëndshme.

Mënyrat e mundshme për të identifikuar dhe eliminuar kërcënimin me dorë

Po, skanimi i rregullt antivirus zbulon kërcënimet dhe madje i heq ato nga sistemi. Por çfarë duhet bërë me informacionin?

Disa përpiqen të përdorin programe dekriptuese si mjeti RectorDecryptor (RakhniDecryptor) i përmendur tashmë. Vini re menjëherë: kjo nuk do të ndihmojë. Dhe në rastin e virusit Breaking_Bad, ai mund të bëjë vetëm dëm. Dhe kjo është arsyeja pse.

Fakti është se njerëzit që krijojnë viruse të tilla po përpiqen të mbrojnë veten dhe të japin udhëzime për të tjerët. Kur përdorni shërbimet e deshifrimit, virusi mund të reagojë në atë mënyrë që i gjithë sistemi të rrëzohet dhe me shkatërrimin e plotë të të gjitha të dhënave të ruajtura në disqet e ngurtë ose në ndarjet logjike. Ky është si të thuash një mësim demonstrues për të gjithë ata që nuk duan të paguajnë. Mund të shpresojmë vetëm për laboratorë zyrtarë antivirus.

Metodat kardinale

Megjithatë, nëse gjërat janë vërtet të këqija, do t'ju duhet të sakrifikoni informacionin. Për të hequr qafe plotësisht kërcënimin, duhet të formatoni të gjithë hard diskun, duke përfshirë ndarjet virtuale, dhe më pas të instaloni përsëri "OS".

Fatkeqësisht, nuk ka rrugëdalje tjetër. Edhe deri në një pikë të caktuar restaurimi të ruajtur nuk do të ndihmojë. Virusi mund të zhduket, por skedarët do të mbeten të koduar.

Në vend të një pasthënieje

Si përfundim, vlen të theksohet se situata është si vijon: virusi ransomware depërton në sistem, bën punën e tij të pistë dhe nuk shërohet me asnjë metodë të njohur. Mjetet e mbrojtjes antivirus nuk ishin gati për këtë lloj kërcënimi. Është e vetëkuptueshme që virusi mund të zbulohet pas ekspozimit ose të hiqet. Por informacioni i koduar do të mbetet në një formë të shëmtuar. Kështu që dëshiroj të shpresoj që mendjet më të mira të kompanive të programeve antivirus do të gjejnë akoma një zgjidhje, megjithëse, duke gjykuar nga algoritmet e kriptimit, do të jetë shumë e vështirë për ta bërë këtë. Kujtoni të paktën makinën e shifrimit Enigma, të cilën flota gjermane e kishte gjatë Luftës së Dytë Botërore. Kriptografët më të mirë nuk mund ta zgjidhnin problemin e algoritmit për deshifrimin e mesazheve derisa të vinin në dorë pajisjen. Kështu janë gjërat këtu.

Virusi ransomware është i kyçurështë një program me qëllim të keq që, kur aktivizohet, kodon të gjithë skedarët personalë (si fotot dhe dokumentet) duke përdorur një sistem shumë të fortë enkriptimi hibrid AES + RSA. Pasi skedari të jetë i koduar, zgjatja e tij ndryshon në .locked. Si më parë, qëllimi i virusit Locked është të detyrojë përdoruesit të blejnë programin dhe çelësin e nevojshëm për të deshifruar skedarët e tyre.

Në fund të procesit të enkriptimit të skedarit, virusi Locked shfaq një mesazh të ngjashëm me atë të mësipërm. Ai ju tregon se si mund të deshifroni skedarët. Përdoruesi është i ftuar të transferojë shumën prej 250 dollarësh te autorët e virusit, që është rreth 17,000 rubla.

Si depërton në kompjuter virusi Locked ransomware

Virusi Locked ransomware zakonisht shpërndahet me email. Letra përmban dokumente të infektuara. Këto email dërgohen në një bazë të dhënash të madhe adresash emaili. Autorët e këtij virusi përdorin tituj dhe përmbajtje mashtruese të emaileve, duke u përpjekur të mashtrojnë përdoruesin që të hapë dokumentin e bashkangjitur emailit. Disa letra informojnë për nevojën për të paguar faturën, të tjera ofrojnë për të parë listën e fundit të çmimeve, të tjera hapin një foto qesharake, etj. Në çdo rast, rezultati i hapjes së skedarit të bashkangjitur do të jetë infektimi i kompjuterit me një virus ransomware.

Çfarë është një virus ransomware i mbyllur

Virusi Locked ransomware është një program keqdashës që infekton versionet moderne të familjes së sistemeve operative Windows, si Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ky virus përdor një modalitet hibrid të enkriptimit AES + RSA, i cili praktikisht eliminon mundësinë e çelësit të ryshfetit për vetëdeshifrimin e skedarëve.

Ndërsa infekton një kompjuter, virusi ransomware Locked përdor drejtoritë e sistemit për të ruajtur skedarët e tij. Për të ekzekutuar automatikisht sa herë që kompjuteri ndizet, ransomware krijon një hyrje në regjistrin e Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft \Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Menjëherë pas nisjes, virusi skanon të gjitha disqet e disponueshme, përfshirë rrjetin dhe ruajtjen e resë kompjuterike, për të përcaktuar se cilët skedarë do të kodohen. Virusi Locked ransomware përdor zgjerimin e emrit të skedarit si një mënyrë për të përcaktuar grupin e skedarëve që do të kodohen. Pothuajse të gjitha llojet e skedarëve janë të koduar, duke përfshirë ato të zakonshme si:

0, .1, .1, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mdta , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portofol, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, . odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm .wma .wmd .wmf .wmv .wn .wot .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpb .wpd .wpe .wpg, .wpl, .wps, .wp, .wri .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, . xdl, .xld, .xlgc, .xll, .xls, .xlsm , .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, . z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Pasi skedari të jetë i koduar, shtrirja e tij ndryshon në të kyçur. Virusi më pas krijon një dokument teksti të quajtur UNLOCK_FILES_INSTRUCTIONS.txt, i cili përmban udhëzime për deshifrimin e skedarëve të koduar.

Ransomware i kyçur përdor në mënyrë aktive taktika të frikësimit duke i dhënë viktimës një përshkrim të shkurtër të algoritmit të kriptimit dhe duke shfaqur një mesazh kërcënues në desktop. Ai përpiqet në këtë mënyrë të detyrojë përdoruesin e kompjuterit të infektuar, pa hezitim, të paguajë një shpërblim në mënyrë që të përpiqet t'i kthejë skedarët e tij.

A është kompjuteri im i infektuar me virusin Locked ransomware?

Është mjaft e lehtë të përcaktohet nëse një kompjuter është i infektuar apo jo me virusin Locked. Ju lutemi vini re se të gjithë skedarët tuaj personal si dokumente, foto, muzikë, etj. normalisht të hapura në programet përkatëse. Nëse, për shembull, kur hapni një dokument, Word raporton se skedari është i një lloji të panjohur, atëherë ka shumë të ngjarë që dokumenti është i koduar dhe kompjuteri është i infektuar. Sigurisht, prania në Desktop e një mesazhi nga virusi Locked ose shfaqja e skedarit UNLOCK_FILES_INSTRUCTIONS.txt në disk është gjithashtu një shenjë infektimi.

Nëse dyshoni se keni hapur një email të infektuar me virusin Locked, por nuk ka ende simptoma të infeksionit, atëherë mos e fikni ose rinisni kompjuterin tuaj. Fikni internetin fillimisht! Më pas ndiqni hapat e përshkruar në këtë manual, seksion. Një tjetër mundësi është të fikni kompjuterin, të nxirrni hard diskun dhe ta provoni në një kompjuter tjetër.

Si të deshifroni skedarët e koduar nga virusi Locked?

Nëse kjo fatkeqësi ka ndodhur, atëherë nuk ka nevojë për panik! Por duhet të dini se nuk ka deshifrues falas. Kjo është për shkak të algoritmeve të forta të enkriptimit të përdorura nga ky virus. Kjo do të thotë se është pothuajse e pamundur të deshifrosh skedarët pa një çelës privat. Përdorimi i metodës së përzgjedhjes së çelësit nuk është gjithashtu një opsion, për shkak të gjatësisë së madhe të çelësit. Prandaj, për fat të keq, vetëm duke u paguar autorëve të virusit të gjithë shumën e kërkuar është mënyra e vetme për të provuar të merrni çelësin e deshifrimit.

Sigurisht, nuk ka absolutisht asnjë garanci që pas pagesës, autorët e virusit do të kontaktojnë dhe do të japin çelësin e nevojshëm për të deshifruar skedarët tuaj. Për më tepër, duhet të kuptoni se duke paguar para zhvilluesve të viruseve, ju vetë po i shtyni ata të krijojnë viruse të reja.

Si të hiqni virusin Locked ransomware?

Përpara se të vazhdoni me këtë, duhet të dini se kur filloni të hiqni virusin dhe përpiqeni të rivendosni vetë skedarët, ju bllokoni aftësinë për të deshifruar skedarët duke u paguar autorëve të virusit shumën që ata kërkuan.

Kaspersky Virus Removal Tool dhe Malwarebytes Anti-malware mund të zbulojnë lloje të ndryshme të ransomware-ve aktivë dhe do t'i heqin lehtësisht nga kompjuteri juaj, POR ata nuk mund t'i rikuperojnë skedarët e koduar.

5.1. Hiq ransomware të kyçur me Kaspersky Virus Removal Tool

Për më tepër, ekzistojnë programe të specializuara mbrojtëse. Për shembull, ky është CryptoPrevent, më shumë detaje (eng).

Disa fjalë të fundit

Duke ndjekur këtë udhëzim, kompjuteri juaj do të pastrohet nga virusi Locked ransomware. Nëse keni pyetje ose keni nevojë për ndihmë, ju lutemi na kontaktoni.