Si të deshifroni skedarët. Hiq ransomware me Kaspersky Virus Removal Tool

20.07.2019 Internet, Wi-Fi, rrjete lokale

Hakerat e Ransomware janë shumë të ngjashëm me shantazhuesit e rregullt. Si në botën reale ashtu edhe në mjedisin kibernetik, ekziston një objekt i vetëm ose grupor i sulmit. Ai ose është vjedhur ose është bërë i paarritshëm. Më tej, autorët përdorin mjete të caktuara komunikimi me viktimat për të përcjellë kërkesat e tyre. Mashtruesit e kompjuterave zakonisht zgjedhin vetëm disa formate për një shënim shpërblesëje, por kopjet e tij mund të gjenden pothuajse në çdo vend memorie në një sistem të infektuar. Në rastin e familjes spyware të njohur si Troldesh ose Shade, mashtruesit marrin një qasje të ndryshme kur kontaktojnë një viktimë.

Le të hedhim një vështrim më të afërt në këtë lloj virusi të kriptimit, i cili synon një audiencë që flet rusisht. Shumica e infeksioneve të ngjashme zbulojnë paraqitjen e tastierës në kompjuterin e sulmuar dhe nëse njëra nga gjuhët është rusisht, ndërhyrja ndalon. Megjithatë, ransomware XTBL i shthurur: për fat të keq për përdoruesit, sulmi vendoset pavarësisht vendndodhjes së tyre gjeografike dhe preferencave gjuhësore. Një mishërim i qartë i kësaj shkathtësie është paralajmërimi që shfaqet si sfond i desktopit, si dhe një skedar TXT me udhëzime për pagesën e shpërblimit.

Virusi XTBL zakonisht përhapet përmes spamit. Mesazhet të kujtojnë letra të markave të njohura, ose thjesht bien në sy, pasi subjekti i mesazhit përdor shprehje të tilla si "Urgjente!" ose "Dokumentet e rëndësishme financiare". Mashtrimi i phishing do të funksionojë kur marrësi i një emaili të tillë. mesazhi do të shkarkojë një skedar ZIP që përmban kodin JavaScript ose një objekt Docm me një makro potencialisht të cenueshëm.

Pas ekzekutimit të algoritmit bazë në kompjuterin e komprometuar, Trojan ransomware vazhdon të kërkojë të dhëna që mund të jenë me vlerë për përdoruesin. Për këtë qëllim, virusi skanon memorien lokale dhe të jashtme, duke krahasuar njëkohësisht çdo skedar me një grup formatesh të zgjedhura bazuar në shtrirjen e objektit. Të gjithë skedarët .jpg, .wav, .doc, .xls, si dhe shumë objekte të tjera, janë të koduara duke përdorur algoritmin e kriptove të bllokut simetrik AES-256.

Ekzistojnë dy aspekte të këtij efekti të dëmshëm. Para së gjithash, përdoruesi humbet aksesin në të dhëna të rëndësishme. Përveç kësaj, emrat e skedarëve janë të koduar thellë, duke rezultuar në një grup të pakuptimtë karakteresh heksadecimal si dalje. Gjithçka që bashkon emrat e skedarëve të prekur është shtesa xtbl e shtuar në to, d.m.th. emri i kërcënimit kibernetik. Emrat e skedarëve të koduar ndonjëherë kanë një format të veçantë. Në disa versione të Troldesh, emrat e objekteve të enkriptuara mund të mbeten të pandryshuara dhe një kod unik shtohet në fund: [email i mbrojtur], [email i mbrojtur], ose [email i mbrojtur]

Natyrisht, sulmuesit, pasi kanë prezantuar adresat e emailit. mail direkt në emrat e skedarëve, tregoni viktimave se si të komunikojnë. Email-i është renditur gjithashtu diku tjetër, përkatësisht në shënimin e shpërblimit që gjendet në skedarin "Readme.txt". Dokumentet e tilla të Notepad do të shfaqen në Desktop, si dhe në të gjitha dosjet me të dhëna të koduara. Mesazhi kryesor është:

“Të gjithë skedarët janë të koduar. Për t'i deshifruar ato, duhet të dërgoni kodin: [Shiferi juaj unik] në adresën e emailit [email i mbrojtur] ose [email i mbrojtur] Më pas, do të merrni të gjitha udhëzimet e nevojshme. Përpjekjet për të deshifruar vetë nuk do të çojnë në asgjë, përveç humbjes së pakthyeshme të informacionit.”

Adresa e emailit mund të ndryshojë në varësi të grupit të ransomware që përhap virusin.

Sa i përket rrugës përpara, në terma të përgjithshëm, mashtruesit përgjigjen duke rekomanduar një shpërblim, që mund të jetë 3 bitcoin, ose ndonjë shumë tjetër në atë diapazon. Ju lutemi vini re se askush nuk mund të garantojë që hakerët do ta mbajnë premtimin e tyre edhe pasi të marrin paratë. Për të rivendosur aksesin në skedarët .xtbl, përdoruesit e prekur këshillohen që fillimisht të provojnë të gjitha metodat alternative të disponueshme. Në disa raste, të dhënat mund të rregullohen duke përdorur shërbimin e kopjimit në hije të vëllimit (Volume Shadow Copy), i ofruar direkt në sistemin operativ Windows, si dhe deshifruesit dhe programet e rikuperimit të të dhënave nga shitësit e softuerëve të palëve të treta.

Hiq ransomware XTBL me pastrues automatik

Një metodë jashtëzakonisht efektive për t'u marrë me malware në përgjithësi dhe ransomware në veçanti. Përdorimi i një kompleksi mbrojtës të provuar garanton tërësinë e zbulimit të çdo komponenti të virusit, heqjen e tyre të plotë me një klik. Ju lutemi vini re se ne po flasim për dy procese të ndryshme: çinstalimin e infeksionit dhe rivendosjen e skedarëve në kompjuterin tuaj. Sidoqoftë, kërcënimi me siguri duhet të hiqet, pasi ka raporte për futjen e Trojanëve të tjerë kompjuterikë me ndihmën e tij.

. Pas nisjes së softuerit, klikoni butonin Filloni skanimin e kompjuterit(Filloni skanimin).
Softueri i instaluar do të sigurojë një raport mbi kërcënimet e zbuluara gjatë skanimit. Për të hequr të gjitha kërcënimet e gjetura, zgjidhni opsionin Rregulloni Kërcënimet(Hiqni kërcenimet). Malware në fjalë do të hiqet plotësisht.

Rikthe aksesin te skedarët e koduar me shtesën .xtbl

Siç u përmend, ransomware XTBL bllokon skedarët me një algoritëm të fortë kriptimi, në mënyrë që të dhënat e koduara të mos mund të restaurohen me një valë të një shkopi magjik - nëse nuk merrni parasysh pagesën e një shpërblimi të padëgjuar. Por disa metoda mund të bëhen vërtet shpëtimtare që do t'ju ndihmojnë të rikuperoni të dhëna të rëndësishme. Më poshtë mund të njiheni me to.

Dekriptor - program automatik për rikuperimin e skedarëve

Dihet një rrethanë shumë e pazakontë. Ky infeksion fshin skedarët origjinalë në formë të pakriptuar. Procesi i zhvatjes së enkriptimit synon kështu kopjet e tyre. Kjo bën të mundur për mjetet softuerike të tilla si rikuperimi i objekteve të fshira, edhe nëse besueshmëria e heqjes së tyre është e garantuar. Rekomandohet shumë që të drejtoheni në procedurën e rikuperimit të skedarëve, efektiviteti i së cilës është konfirmuar më shumë se një herë.

Kopje në hije të vëllimit

Qasja bazohet në një procedurë rezervë skedari të bazuar në Windows që përsëritet në çdo pikë rikuperimi. Një kusht i rëndësishëm për funksionimin e kësaj metode: funksioni "Rivendosja e sistemit" duhet të aktivizohet përpara infeksionit. Megjithatë, çdo ndryshim i bërë në skedar pas pikës së rivendosjes nuk do të pasqyrohet në versionin e rivendosur të skedarit.

Rezervimi

Kjo është më e mira nga të gjitha metodat pa blerje. Nëse procedura për rezervimin e të dhënave në një server të jashtëm është përdorur përpara se ransomware të sulmonte kompjuterin tuaj, për të rivendosur skedarët e koduar, thjesht duhet të futni ndërfaqen e duhur, të zgjidhni skedarët e nevojshëm dhe të filloni mekanizmin e rikuperimit të të dhënave nga rezervimi. Përpara se të kryeni operacionin, duhet të siguroheni që ransomware është hequr plotësisht.

Kontrolloni për praninë e mundshme të komponentëve të mbetur të virusit ransomware XTBL

Pastrimi manual është i mbushur me rrezikun e mungesës së pjesëve të ransomware që mund të shmangin heqjen në formën e objekteve të fshehura të sistemit operativ ose regjistrimeve të regjistrit. Për të eliminuar rrezikun e ruajtjes së pjesshme të elementeve individuale me qëllim të keq, skanoni kompjuterin tuaj duke përdorur një paketë të besueshme universale anti-virus.

Nëse sistemi është i infektuar me malware të familjeve Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ose Trojan-Ransom.Win32.CryptXXX, atëherë të gjithë skedarët në kompjuter do të kodohen si më poshtë:

Kur infektohen Trojan-Ransom.Win32.Rannoh emrat dhe shtesat do të ndryshojnë sipas modelit i mbyllur-<оригинальное_имя>.<4 произвольных буквы> .
Kur infektohen Trojan-Ransom.Win32.Cryakl një shenjë shtohet në fund të përmbajtjes së skedarëve (CRYPTENDBLACKDC) .
Kur infektohen Trojan-Ransom.Win32.AutoIt zgjerimi ndryshon sipas modelit <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
Për shembull, [email i mbrojtur] _.RZWDTDIC.
Kur infektohen Trojan-Ransom.Win32.CryptXXX zgjerimi ndryshon sipas modeleve <оригинальное_имя>.kripta,<оригинальное_имя>. crypz Dhe <оригинальное_имя>. cryp1.

Shërbimi RannohDecryptor është krijuar për të deshifruar skedarët pas infektimit Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ose Trojan-Ransom.Win32.CryptXXX versionet 1 , 2 Dhe 3 .

Si të kuroni sistemin

Për të kuruar një sistem të infektuar:

Shkarkoni skedarin RannohDecryptor.zip.
Ekzekutoni skedarin RannohDecryptor.exe në makinën e infektuar.
Në dritaren kryesore, klikoni Filloni verifikimin.

Specifikoni rrugën drejt skedarit të koduar dhe të pakriptuar.
Nëse skedari është i koduar Trojan-Ransom.Win32.CryptXXX, specifikoni skedarët më të mëdhenj. Deshifrimi do të jetë i disponueshëm vetëm për skedarë me madhësi të barabartë ose më të vogël.
Prisni deri në fund të kërkimit dhe deshifrimit të skedarëve të koduar.
Rinisni kompjuterin tuaj nëse kërkohet.
Për të fshirë një kopje të skedarëve të koduar si p.sh i mbyllur-<оригинальное_имя>.<4 произвольных буквы> pas deshifrimit të suksesshëm zgjidhni .

Nëse skedari ishte i koduar Trojan-Ransom.Win32.Cryakl, atëherë programi do ta ruajë skedarin në vendndodhjen e vjetër me shtesën .decryptedKLR.original_extension. Nëse keni zgjedhur Fshini skedarët e koduar pas deshifrimit të suksesshëm, atëherë skedari i deshifruar do të ruhet nga programi me emrin origjinal.

Si parazgjedhje, programi nxjerr raportin e funksionimit në rrënjën e diskut të sistemit (disku në të cilin është instaluar OS).
Emri i raportit duket si ky: UtilityName.Version_Date_Time_log.txt
Për shembull, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Në një sistem të infektuar Trojan-Ransom.Win32.CryptXXX, programi skanon një numër të kufizuar formatesh skedarësh. Kur një përdorues zgjedh një skedar të prekur nga CryptXXX v2, rikuperimi i çelësit mund të zgjasë shumë. Në këtë rast, programi shfaq një paralajmërim.

Shërbimi Kaspresky RakhniDecryptor do të deshifrojë skedarët, shtesat e të cilëve kanë ndryshuar sipas modeleve të mëposhtme:

Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.i mbyllur;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.errësira;
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.nocans;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>.kripto;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
- <имя_файла>.<оригинальное_расширение>.p*** [email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id373;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id371;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id372;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id374;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id375;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id376;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id392;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id357;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id356;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id358;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id359;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id360;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id20.

Trojan-Ransom.Win32.Rakhni krijon skedarin exit.hhr.oshit, i cili përmban fjalëkalimin e koduar për skedarët e përdoruesit. Nëse ky skedar ruhet në kompjuterin e infektuar, deshifrimi do të jetë shumë më i shpejtë. Nëse skedari exit.hhr.oshit është fshirë, rivendoseni duke përdorur programet e rikuperimit të skedarëve të fshirë dhe më pas vendoseni në dosjen %APPDATA% dhe ekzekutoni sërish programin. Skedari exit.hhr.oshit mund të gjendet në shtegun e mëposhtëm: C:\Users<имя_пользователя>\AppData\Roaming

Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_kriptë.
Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email i mbrojtur] _.letrat>.
Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.qaj;
- <имя_файла>.<оригинальное_расширение>.AES256.
Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.i koduar.
Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
Trojan-Ransom.Win32.Bitman versioni 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.mikro;
- <имя_файла>.mp3.
Trojan-Ransom.Win32.Bitman versioni 4:<имя_файла>.<оригинальное_расширение>(emri dhe shtrirja e skedarit nuk ndryshojnë).
Trojan-Ransom.Win32.Libra:
- <имя_файла>.i koduar;
- <имя_файла>.i mbyllur;
- <имя_файла>.SecureCrypted.
Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.argëtim;
- <имя_файла>.gws;
- <имя_файла>.btc
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epik;
- <имя_файла>.i koduar;
- <имя_файла>.J;
- <имя_файла>.shpërblim;
- <имя_файла>.paybtcs;
- <имя_файла>.paguhet;
- <имя_файла>.paymrss;
- <имя_файла>.payrts;
- <имя_файла>.payst;
- <имя_файла>.paguan;
- <имя_файла>.gefickt;
- <имя_файла>[email i mbrojtur]
Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.@..xtbl;
- <имя_файла>.ID<…>.@..CrySiS;
- <имя_файла>.id-<…>.@..xtbl;
- <имя_файла>.id-<…>.@..portofolin;
- <имя_файла>.id-<…>.@..dhrama;
- <имя_файла>.id-<…>.@..qepë;
- <имя_файла>.@..portofolin;
- <имя_файла>.@..dhrama;
- <имя_файла>.@..qepë.

Shembuj të disa adresave të përhapësve me qëllim të keq:

Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email i mbrojtur]
Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.bllokuar;
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smit;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.cryptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.kriptohet;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.cryptix;
- <имя_файла>.<оригинальное_расширение>.crypttt;
- <имя_файла>.<оригинальное_расширение>.këtu;
- <имя_файла>.<оригинальное_расширение>.aga.
Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.MURTAJA17;
- <имя_файла>.<оригинальное_расширение>.ktldl.
Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _.kriptë;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] ____.kriptë;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _______.kriptë;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur] ___.kriptë;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur]==.kriptë;
- <имя_файла>.<оригинальное_расширение>[email i mbrojtur]=--.kriptë.

Nëse skedari është i koduar me shtesën CRYPT, deshifrimi mund të zgjasë shumë. Për shembull, në një procesor Intel Core i5-2400, mund të duhen rreth 120 ditë.

Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.kriptë
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0ditë;
- <имя_файла>.bllokoj;
- <имя_файла>[email i mbrojtur] _hu;
- <имя_файла>[email i mbrojtur];
- <имя_файла>.~xdata.
Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.emri i rastit-<...>.<случайное_расширение>.

Versioni i malware	Adresa e emailit të sulmuesve
	[email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur]
	[email i mbrojtur] _graf1 [email i mbrojtur] _mod [email i mbrojtur] _mod2
	[email i mbrojtur] [email i mbrojtur]
	[email i mbrojtur]
	[email i mbrojtur] [email i mbrojtur][email i mbrojtur] [email i mbrojtur]

Si të deshifroni skedarët me programin Kaspersky RakhniDecryptor

Shkarkoni arkivin RakhniDecryptor.zip dhe ekstraktoni atë. Udhëzimet në artikull.
Shkoni te dosja me skedarët nga arkivi.
Ekzekutoni skedarin RakhniDecryptor.exe.
Klikoni Ndryshoni cilësimet e skanimit.

Zgjidhni objektet për të skanuar: disqet e ngurtë, disqet e lëvizshëm ose disqet e rrjetit.
Kutia e kontrollit Fshini skedarët e koduar pas deshifrimit të suksesshëm. Në këtë rast, programi do të fshijë kopjet e skedarëve të enkriptuar me shtesa LOCKED, KRAKEN, DARKNESS, etj.
Klikoni Ne rregull.

Klikoni Filloni verifikimin.

Zgjidhni skedarin e koduar dhe klikoni Hapur.

Lexoni paralajmërimin dhe klikoni Ne rregull.

Skedarët do të deshifrohen.

Një skedar mund të kodohet me shtesën CRYPT më shumë se një herë. Për shembull, nëse skedari test.doc kodohet dy herë, programi RakhniDecryptor do të deshifrojë shtresën e parë në skedarin test.1.doc.layerDecryptedKLR. Hyrja e mëposhtme do të shfaqet në raportin e funksionimit të shërbimeve: "Suksesi i deshifrimit: drive:\path\test.doc_crypt -> drive:\path\test.1.doc.layerDecryptedKLR". Ky skedar duhet të deshifrohet përsëri nga programi. Pas deshifrimit të suksesshëm, skedari do të ruhet me emrin origjinal test.doc.

Opsionet për ekzekutimin e programit nga vija e komandës

Për lehtësi dhe përshpejtim të procesit të deshifrimit të skedarëve, Kaspersky RakhniDecryptor mbështet parametrat e mëposhtëm të linjës së komandës:

Emri i ekipit	Kuptimi	Shembull
--fije	Nisja e programit me hamendje të fjalëkalimit në disa tema. Nëse parametri nuk është vendosur, numri i thread-eve është i barabartë me numrin e bërthamave të procesorit.	RakhniDecryptor.exe – fijet 6
--filloj<число>-fund<число>	Rifillimi i supozimit të fjalëkalimit nga një gjendje specifike. Numri minimal është 0. Ndaloni hamendjen e fjalëkalimit në një gjendje specifike. Numri maksimal është 1 000 000. Gjetja e fjalëkalimit në intervalin midis dy gjendjeve.	RakhniDecryptor.exe –fillimi 123 RakhniDecryptor.exe – fundi 123 RakhniDecryptor.exe -fillimi 100 -mbarimi 50000
-l<название файла с указанием полного пути к нему>	Përcaktimi i rrugës për në skedarin ku duhet të ruhet raporti i funksionimit të shërbimeve.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Shfaq ndihmë rreth opsioneve të disponueshme të linjës së komandës	RakhniDecryptor.exe -h

“Më falni që ju shqetësoj, por... skedarët tuaj janë të koduar. Për të marrë një çelës deshifrimi, transferoni urgjentisht një shumë të caktuar parash në portofolin tuaj... Përndryshe, të dhënat tuaja do të shkatërrohen përgjithmonë. Keni 3 orë kohë, koha ka mbaruar. Dhe nuk është shaka. Virusi ransomware është një kërcënim më shumë se real.

Sot do të flasim se çfarë është malware i shpërblesës që është përhapur vitet e fundit, çfarë të bëni në rast infeksioni, si të kuroni një kompjuter dhe nëse është e mundur fare, dhe si të mbroheni prej tyre.

Ne kodojmë gjithçka!

Një virus enkriptues (enkoder, kriptor) është një lloj i veçantë ransomware me qëllim të keq, aktiviteti i të cilit është të kodojë skedarët e përdoruesit dhe më pas të kërkojë blerjen e mjetit të deshifrimit. Shumat e shpërblesës fillojnë diku nga 200 dollarë dhe arrijnë në dhjetëra e qindra mijëra dollarë të gjelbër.

Disa vite më parë, vetëm kompjuterët me bazë Windows u sulmuan nga kjo klasë malware. Sot, gama e tyre është zgjeruar në Linux, Mac dhe Android në dukje të mbrojtura mirë. Për më tepër, diversiteti i specieve të koduesve po rritet vazhdimisht - artikuj të rinj shfaqen njëri pas tjetrit, të cilët kanë diçka për të habitur botën. Kështu, ajo u ngrit për shkak të "kalimit" të një trojan klasik të kriptimit dhe një krimb rrjeti (një program me qëllim të keq që përhapet në rrjete pa pjesëmarrjen aktive të përdoruesve).

Pas WannaCry, u shfaqën jo më pak të sofistikuara Petya dhe Bad Rabbit. Dhe duke qenë se "biznesi i enkriptimit" u sjell të ardhura të mira pronarëve, të jeni të sigurt që ata nuk janë të fundit.

Gjithnjë e më shumë kriptografë, veçanërisht ata që kanë parë dritën në 3-5 vitet e fundit, përdorin algoritme të forta kriptografike që nuk mund të thyhen as me forcë brutale dhe as me mjete të tjera ekzistuese. Mënyra e vetme për të rikuperuar të dhënat është përdorimi i çelësit origjinal që sulmuesit ofrojnë për të blerë. Megjithatë, edhe transferimi i shumës së kërkuar tek ata nuk garanton marrjen e çelësit. Kriminelët nuk po nxitojnë të zbulojnë sekretet e tyre dhe të humbasin fitimet e mundshme. Dhe cili është kuptimi i mbajtjes së premtimeve nëse ata tashmë kanë para?

Mënyrat e shpërndarjes së viruseve kodues

Rruga kryesore për hyrjen e malware në kompjuterët e përdoruesve dhe organizatave private është përmes postës elektronike, ose më saktë, skedarëve dhe lidhjeve të bashkangjitura në email.

Një shembull i një letre të tillë, e destinuar për "klientët e korporatave":

"Shlyeni kredinë tuaj menjëherë."
“Padia është depozituar në gjykatë”.
"Paguani gjobën/taksën/taksën."
“Tarifa shtesë e faturave të shërbimeve komunale”.
"Oh, ju jeni në foto?"
"Lena më kërkoi që ta transferoja urgjentisht te ju", etj.

Pajtohem, vetëm një përdorues i ditur do ta trajtojë një letër të tillë me kujdes. Shumica nuk do të hezitojnë të hapin bashkëngjitjen dhe të ekzekutojnë vetë malware. Nga rruga, pavarësisht thirrjeve të antivirusit.

Gjithashtu, për shpërndarjen e ransomware, përdoren në mënyrë aktive sa vijon:

Rrjetet sociale (postë nga llogaritë e të njohurve dhe të panjohurve).
Burimet e internetit me qëllim të keq dhe të infektuar.
Reklamim me baner.
Dërgimi përmes mesazheve nga llogaritë e hakuara.
Faqet e Warez dhe shpërndarësit e çelësave dhe çarjeve.
Faqet për të rriturit.
Dyqane aplikacionesh dhe përmbajtjesh.

Viruset e enkriptimit shpesh barten nga programe të tjera me qëllim të keq, të tilla si adware dhe trojans backdoor. Këto të fundit, duke përdorur dobësitë në sistem dhe softuer, ndihmojnë kriminelin të ketë akses në distancë në pajisjen e infektuar. Përdorimi i ransomware në raste të tilla nuk përkon gjithmonë me veprimet potencialisht të rrezikshme të përdoruesit. Për sa kohë që porta e pasme mbetet në sistem, një sulmues mund të depërtojë në pajisje në çdo kohë dhe të fillojë enkriptimin.

Për të infektuar kompjuterët e organizatave (sepse ata mund të shtrydhen më shumë se përdoruesit e shtëpisë), po zhvillohen metoda veçanërisht të sofistikuara. Për shembull, Petya Trojan depërtoi në pajisje përmes modulit të përditësimit të softuerit të kontabilitetit tatimor MEDoc.

Enkriptuesit me funksionet e krimbave të rrjetit, siç u përmend tashmë, përhapen në rrjete, duke përfshirë internetin, përmes dobësive të protokollit. Dhe ju mund të infektoheni me to pa bërë absolutisht asgjë. Përdoruesit e sistemeve operative Windows të përditësuar rrallë janë më të rrezikuarit, pasi përditësimet mbyllin zbrazëtitë e njohura.

Disa malware, si WannaCry, shfrytëzojnë dobësitë 0-ditore (zero-ditore), domethënë ato që zhvilluesit e sistemit nuk i dinë ende. Fatkeqësisht, është e pamundur t'i rezistosh plotësisht infeksionit në këtë mënyrë, por probabiliteti që të jesh në mesin e viktimave nuk arrin as 1%. Pse? Po, sepse malware nuk mund të infektojë njëkohësisht të gjitha makinat e cenueshme. Dhe ndërsa planifikon viktima të reja, zhvilluesit e sistemit kanë kohë për të lëshuar një përditësim të kursimit.

Si sillet ransomware në një kompjuter të infektuar

Procesi i kriptimit, si rregull, fillon në mënyrë të padukshme, dhe kur shenjat e tij bëhen të dukshme, është tepër vonë për të ruajtur të dhënat: deri në atë kohë, malware ka koduar gjithçka që ka arritur. Ndonjëherë përdoruesi mund të vërejë se si ka ndryshuar shtrirja e skedarëve në një dosje të hapur.

Shfaqja e paarsyeshme e një zgjerimi të ri, dhe nganjëherë të dytë në skedarë, pas së cilës ata ndalojnë hapjen, njëqind për qind tregon pasojat e një sulmi ransomware. Nga rruga, me shtrirjen që marrin objektet e dëmtuara, zakonisht është e mundur të identifikohen malware.

Një shembull se çfarë mund të jenë shtesat e skedarëve të koduar: . xtbl, .kraken, .cesar, .da_vinci_code, [email i mbrojtur] _com, .crypted000007, .no_more_ransom, .dekoder GlobeImposter v2, .ukrain, .rn, etj.

Ka shumë opsione, dhe të reja do të shfaqen nesër, kështu që nuk ka kuptim të rendisni gjithçka. Për të përcaktuar llojin e infeksionit, mjafton të futni disa shtesa në motorin e kërkimit.

Simptoma të tjera që indirekt tregojnë fillimin e kriptimit:

Shfaqja në ekran për një pjesë të dytë të dritareve të linjës së komandës. Më shpesh, ky është një fenomen normal kur instaloni përditësime të sistemit dhe programit, por është më mirë të mos e lini pa mbikëqyrje.
UAC kërkon të nisë një program që nuk keni ndërmend ta hapni.
Rinisja e papritur e kompjuterit, e ndjekur nga imitimi i funksionimit të mjetit të kontrollit të diskut të sistemit (ndryshime të tjera janë të mundshme). Gjatë "verifikimit" zhvillohet procesi i kriptimit.

Pas përfundimit me sukses të operacionit me qëllim të keq, në ekran shfaqet një mesazh me një kërkesë për shpërblim dhe kërcënime të ndryshme.

Ransomware kodon një pjesë të konsiderueshme të skedarëve të përdoruesve: fotot, muzikën, videot, dokumentet tekstuale, arkivat, postën, bazat e të dhënave, skedarët me shtesa programi, etj. Por ata nuk prekin objektet e sistemit operativ, sepse sulmuesit nuk kanë nevojë që kompjuteri i infektuar të ndalojë. puna. Disa viruse zëvendësojnë të dhënat e nisjes së disqeve dhe ndarjeve.

Pas kriptimit, të gjitha kopjet hije dhe pikat e rikuperimit hiqen zakonisht nga sistemi.

Si të kuroni një kompjuter nga ransomware

Heqja e një programi me qëllim të keq nga një sistem i infektuar është i lehtë - pothuajse të gjithë antivirusët mund të përballojnë lehtësisht shumicën e tyre. Por! Është naive të besosh se të heqësh qafe fajtorin do ta zgjidhë problemin: ju hiqni virusin apo jo, dhe skedarët do të mbeten ende të koduar. Përveç kësaj, në disa raste kjo do të komplikojë deshifrimin e tyre të mëvonshëm, nëse është e mundur.

Rendi i saktë i veprimeve gjatë fillimit të kriptimit

Sapo të vëreni shenja të kriptimit, fikeni kompjuterin menjëherë duke shtypur dhe mbajtur butoninFuqia për 3-4 sekonda. Kjo do të ruajë të paktën disa nga skedarët.
Krijo një disk boot ose flash drive me një program antivirus në një kompjuter tjetër. Për shembull, , , etj.
Nisni makinën e infektuar nga ky disk dhe skanoni sistemin. Hiqni viruset e gjetura dhe ruajini në karantinë (në rast se nevojiten për deshifrim). Vetëm pas kësaj ju mund të nisni kompjuterin tuaj nga hard disku juaj.
Përpiquni të rikuperoni skedarët e koduar nga kopjet hije duke përdorur mjete të sistemit ose mjete të palëve të treta.

Çfarë duhet të bëni nëse skedarët tashmë janë të koduar

Mos e humbni shpresën. Faqet e internetit të zhvilluesve të produkteve antivirus përmbajnë shërbime falas të deshifrimit për lloje të ndryshme malware. Në veçanti, shërbimet komunale nga dhe .
Pas përcaktimit të llojit të koduesit, shkarkoni programin e duhur, sigurohuni që të bëni kopje skedarë të dëmtuar dhe përpiquni t'i deshifroni ato. Nëse është e suksesshme, deshifroni pjesën tjetër.

Nëse skedarët nuk deshifrohen

Nëse asnjë mjet nuk ju ka ndihmuar, ka të ngjarë që të keni vuajtur nga një virus për të cilin nuk ka ende kurë.

Çfarë mund të bëhet në këtë rast:

Nëse përdorni një produkt antivirus me pagesë, kontaktoni shërbimin e tij të mbështetjes. Dërgoni disa kopje të skedarëve të dëmtuar në laborator dhe prisni një përgjigje. Nëse ka një mundësi teknike, ata do t'ju ndihmojnë.

Nëse rezulton se skedarët janë të korruptuar pa shpresë, por ato kanë një vlerë të madhe për ju, mund të shpresoni dhe të prisni që një ditë të gjendet një ilaç shpëtimi. Gjëja më e mirë që mund të bëni është të lini sistemin dhe skedarët ashtu siç janë, d.m.th. të mbyllni plotësisht dhe të mos përdorni hard diskun. Heqja e skedarëve malware, riinstalimi i sistemit operativ dhe madje përditësimi i tij mund t'ju privojë nga dhe këtë shans, që kur gjenerohen çelësat e enkriptimit-deshifrimit, shpesh përdoren identifikues unikë të sistemit dhe kopje të virusit.

Pagimi i shpërblimit nuk është një opsion, pasi gjasat që ju të merrni çelësin është afër zeros. Dhe nuk ka nevojë për të financuar një biznes kriminal.

Si të mbroheni nga ky lloj malware

Nuk do të doja të përsërisja këshilla që secili prej lexuesve i ka dëgjuar qindra herë. Po, instalimi i një antivirusi të mirë, mos klikimi në lidhje të dyshimta dhe blablabla është i rëndësishëm. Megjithatë, siç ka treguar jeta, nuk ka asnjë pilulë magjike që do t'ju japë një garanci 100% të sigurisë sot.

Metoda e vetme efektive e mbrojtjes kundër ransomware të këtij lloji është kopje rezervë e të dhënave në media të tjera fizike, duke përfshirë shërbimet cloud. Rezervimi, rezervimi, rezervimi...

Më shumë në faqe:

Nuk ka asnjë shans shpëtimi: çfarë është një virus ransomware dhe si të merreni me të përditësuar: 1 shtator 2018 nga: Johnny Mnemonic

Kohët e fundit, ka pasur një rritje të aktivitetit të një gjenerate të re të programeve kompjuterike me qëllim të keq. Ato u shfaqën shumë kohë më parë (6 - 8 vjet më parë), por ritmi i zbatimit të tyre ka arritur maksimumin tani. Gjithnjë e më shumë, mund të hasni në faktin që virusi ka skedarë të koduar.

Dihet tashmë se këto nuk janë vetëm malware primitiv, për shembull, (duke shkaktuar një ekran blu), por programe serioze që synojnë të dëmtojnë, si rregull, të dhënat e kontabilitetit. Ata enkriptojnë të gjithë skedarët e disponueshëm që janë brenda mundësive, duke përfshirë të dhënat e kontabilitetit 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Rreziku i veçantë i viruseve në fjalë

Ai qëndron në faktin se në këtë rast përdoret një çelës RSA, i cili është i lidhur me një kompjuter specifik përdoruesi, kjo është arsyeja pse dekriptuesi universal ( deshifrues) mungon. Viruset e aktivizuara në një nga kompjuterët mund të mos funksionojnë në një tjetër.

Rreziku është gjithashtu se prej më shumë se një viti, në internet janë postuar ndërtues (ndërtues) të gatshëm, duke lejuar edhe coolhackers (persona që e konsiderojnë veten hakerë, por nuk studiojnë programim) të zhvillojnë një virus të tillë.

Tani janë shfaqur modifikime më të fuqishme.

Metoda e prezantimit të këtyre programeve me qëllim të keq

Virusi dërgohet me qëllim, si rregull, në departamentin e kontabilitetit të kompanisë. Së pari, emailet e departamenteve të personelit, departamentet e kontabilitetit mblidhen nga bazat e të dhënave të tilla si, për shembull, hh.ru. Më pas, letrat dërgohen. Më shpesh ato përmbajnë një kërkesë në lidhje me pranimin në një pozicion specifik. Për një letër të tillë me një rezyme, brenda së cilës është një dokument i vërtetë me një objekt të implantuar OLE (skedar pdf me një virus).

Në situatat kur stafi i kontabilitetit lançoi menjëherë këtë dokument, pas rindezjes ndodhi sa vijon: virusi riemërtoi dhe kodoi skedarët, dhe më pas u vetëshkatërrua.

Kjo lloj letre, si rregull, shkruhet dhe dërgohet në mënyrë adekuate nga një kuti postare jo e padëshiruar (emri përputhet me nënshkrimin). Vendi vakant kërkohet gjithmonë në bazë të aktivitetit kryesor të kompanisë, për këtë arsye nuk lindin dyshime.

As "Kaspersky" (programi antivirus) i licencuar dhe as "Virus Total" (një shërbim në internet për kontrollin e bashkëngjitjeve për viruse) nuk mund ta sigurojnë kompjuterin në këtë rast. Herë pas here, disa programe antivirus, gjatë skanimit, tregojnë se bashkëngjitja përmban Gen:Variant.Zusy.71505.

Si të shmangim infeksionin me këtë virus?

Çdo skedar i marrë duhet të kontrollohet. Vëmendje e veçantë i kushtohet dokumenteve Word që kanë të integruar pdf.

Variantet e shkronjave "të infektuara".

Ka mjaft prej tyre. Opsionet më të zakonshme se si skedarët e koduar me virus janë paraqitur më poshtë. Në të gjitha rastet, dokumentet e mëposhtme dërgohen me email:

Njoftim në lidhje me fillimin e procesit të shqyrtimit të një padie të ngritur ndaj një kompanie të caktuar (letra sugjeron kontrollimin e të dhënave duke klikuar në linkun e dhënë).
Letër nga Gjykata e Lartë e Arbitrazhit të Federatës Ruse për mbledhjen e borxhit.
Një mesazh nga Sberbank në lidhje me një rritje të borxhit ekzistues.
Njoftimi për korrigjimin e kundërvajtjeve rrugore.
Një letër nga agjencia e grumbullimit që tregon pagesën maksimale të mundshme të shtyrë.

Njoftim për enkriptimin e skedarit

Pas infektimit, do të shfaqet në dosjen kryesore të diskut C. Ndonjëherë skedarë si WHAT_DO.txt, CONTACT.txt vendosen në të gjitha drejtoritë me tekst të dëmtuar. Aty përdoruesi informohet për enkriptimin e skedarëve të tij, i cili kryhet përmes algoritmeve të besueshme kriptorezistente. Dhe ai gjithashtu paralajmërohet për papërshtatshmërinë e përdorimit të shërbimeve të palëve të treta, pasi kjo mund të çojë në dëmtim të përhershëm të skedarëve, gjë që, nga ana tjetër, do ta bëjë të pamundur dekriptimin e tyre më vonë.

Njoftimi rekomandon që ta lini kompjuterin tuaj në të njëjtën gjendje. Ai tregon kohën e ruajtjes së çelësit të dhënë (zakonisht 2 ditë). Përcaktohet data e saktë, pas së cilës çdo lloj apelimi do të shpërfillet.

Në fund jepet një email. Ai gjithashtu thotë se përdoruesi duhet të sigurojë ID-në e tij dhe se ndonjë nga veprimet e mëposhtme mund të çojë në shkatërrimin e çelësit, përkatësisht:

Si të deshifroni skedarët e koduar nga një virus?

Ky lloj kriptimi është shumë i fuqishëm: skedarit i jepet një shtrirje si perfekt, nochance, etj. Është thjesht e pamundur të hakohet, por mund të provoni të lidhni kriptanalitikën dhe të gjeni një zbrazëti (në disa situata, Dr. WEB do të ndihmojë ).

Ekziston një mënyrë tjetër për të rikuperuar skedarët e koduar nga një virus, por nuk është i përshtatshëm për të gjitha viruset, përveç kësaj, do t'ju duhet të nxirrni exe origjinale së bashku me këtë malware, gjë që nuk është e lehtë për t'u bërë pas vetë-shkatërrimit.

Kërkesa e virusit në lidhje me futjen e një kodi të veçantë është një kontroll i parëndësishëm, pasi skedari tashmë ka një deshifrues deri në këtë moment (kodi nga, si të thuash, sulmuesit nuk do të kërkohet). Thelbi i kësaj metode është futja e komandave boshe në virusin e infiltruar (vetëm në vendin ku krahasohet kodi i futur). Si rezultat, vetë programi me qëllim të keq fillon të deshifrojë skedarët dhe në këtë mënyrë i rikthen plotësisht ato.

Çdo virus individual ka funksionin e tij të veçantë të enkriptimit, që do të thotë se një ekzekutues i palës së tretë (skedar exe) nuk mund të deshifrohet, ose mund të provoni të zgjidhni funksionin e mësipërm, për të cilin duhet të kryeni të gjitha veprimet në WinAPI.

skedarët: çfarë të bëni?

Për të kryer procedurën e deshifrimit, do t'ju duhet:

Si të shmangni humbjen e të dhënave për shkak të malware në fjalë?

Vlen të dihet se në një situatë kur një virus ka skedarë të koduar, do të duhet kohë për t'i deshifruar ato. Një pikë e rëndësishme është se ka një defekt në malware-in e lartpërmendur që ju lejon të ruani disa skedarë nëse fikni shpejt energjinë e kompjuterit (tërheqeni spinën nga priza, fikni mbrojtësin e mbitensionit, hiqni baterinë në rasti i një laptopi), sapo të shfaqet një numër i madh skedarësh me shtrirjen e specifikuar më parë.

Edhe një herë, duhet theksuar se gjëja kryesore është krijimi i vazhdueshëm i kopjeve rezervë, por jo në një dosje tjetër, jo në media të lëvizshme të futura në kompjuter, pasi ky modifikim i virusit do të arrijë në këto vende. Vlen të ruani kopje rezervë në një kompjuter tjetër, në një hard disk që nuk është i lidhur përgjithmonë me kompjuterin dhe në cloud.

Ju duhet të jeni të dyshimtë për të gjitha dokumentet që vijnë në postë nga persona të panjohur (në formën e një rezyme, faturë, vendim nga Gjykata e Lartë e Arbitrazhit të Federatës Ruse ose taksa, etj.). Ju nuk keni nevojë t'i ekzekutoni ato në kompjuterin tuaj (për këto qëllime, mund të zgjidhni një netbook që nuk përmban të dhëna të rëndësishme).

Program keqdashës * [email i mbrojtur]: mënyra për të eliminuar

Në një situatë ku virusi i mësipërm kodonte skedarët cbf, doc, jpg, etj., ekzistojnë vetëm tre skenarë për zhvillimin e ngjarjes:

Mënyra më e lehtë për ta hequr qafe atë është të fshini të gjithë skedarët e infektuar (kjo është e pranueshme, përveç nëse të dhënat janë veçanërisht të rëndësishme).
Shkoni në laboratorin e një programi antivirus, për shembull, Dr. WEB. Sigurohuni që të dërgoni disa skedarë të infektuar te zhvilluesit së bashku me çelësin e deshifrimit të vendosur në kompjuter si KEY.PRIVATE.
Mënyra më e kushtueshme. Ai përfshin pagesën e shumës së kërkuar nga hakerat për deshifrimin e skedarëve të infektuar. Si rregull, kostoja e këtij shërbimi është në rangun prej 200 - 500 dollarë amerikanë. Kjo është e pranueshme në një situatë kur një virus ka koduar skedarët e një kompanie të madhe në të cilën ndodh çdo ditë një rrjedhë e konsiderueshme informacioni dhe ky program keqdashës mund të shkaktojë dëme të mëdha në pak sekonda. Në këtë drejtim, pagesa është alternativa më e shpejtë për rikuperimin e skedarëve të infektuar.

Ndonjëherë një opsion shtesë rezulton të jetë efektiv. Në rastin kur virusi ka koduar skedarët ( [email i mbrojtur] _com ose malware tjetër) mund të ndihmojë disa ditë më parë.

Programi i deshifrimit RectorDecryptor

Nëse një virus ka skedarë të koduar jpg, doc, cbf, etj., atëherë një program i veçantë mund të ndihmojë. Për ta bërë këtë, së pari duhet të shkoni te fillimi dhe të çaktivizoni gjithçka përveç antivirusit. Tjetra, duhet të rinisni kompjuterin tuaj. Shikoni të gjithë skedarët, theksoni ato të dyshimta. Fusha e quajtur "Komanda" tregon vendndodhjen e një skedari të caktuar (vëmendje duhet t'i kushtohet aplikacioneve që nuk kanë një nënshkrim: prodhuesi - nuk ka të dhëna).

Të gjithë skedarët e dyshimtë duhet të fshihen, pas së cilës do t'ju duhet të pastroni memoriet e shfletuesit, dosjet e përkohshme (CCleaner është i përshtatshëm për këtë).

Për të filluar deshifrimin, duhet të shkarkoni programin e mësipërm. Pastaj ekzekutoni atë dhe klikoni butonin "Fillimi i skanimit", duke specifikuar skedarët e modifikuar dhe shtrirjen e tyre. Në versionet moderne të këtij programi, mund të specifikoni vetëm vetë skedarin e infektuar dhe të klikoni në butonin "Hap". Pas kësaj, skedarët do të deshifrohen.

Më pas, programi kontrollon automatikisht të gjitha të dhënat e kompjuterit, përfshirë skedarët e vendosur në diskun e bashkangjitur të rrjetit, dhe i deshifron ato. Ky proces rikuperimi mund të zgjasë disa orë (në varësi të sasisë së punës dhe shpejtësisë së kompjuterit tuaj).

Si rezultat, të gjithë skedarët e korruptuar do të deshifrohen në të njëjtën drejtori ku ishin vendosur fillimisht. Si përfundim, gjithçka që mbetet është të fshini të gjithë skedarët ekzistues me një shtesë të dyshimtë, për të cilën mund të kontrolloni kutinë "Fshi skedarët e enkriptuar pas deshifrimit të suksesshëm" duke klikuar së pari butonin "Ndrysho cilësimet e skanimit". Sidoqoftë, është më mirë të mos e instaloni, sepse në rast të deshifrimit të pasuksesshëm të skedarëve, ato mund të fshihen, dhe më pas ato do të duhet të restaurohen së pari.

Pra, nëse një virus ka skedarë doc, cbf, jpg, etj. të koduara, nuk duhet të nxitoni të paguani për kodin. Ndoshta ai nuk do të ketë nevojë për të.

Nuancat e fshirjes së skedarëve të koduar

Kur përpiqeni të eliminoni të gjithë skedarët e dëmtuar përmes një kërkimi standard dhe më pas t'i fshini, kompjuteri juaj mund të ngrijë dhe ngadalësohet. Në lidhje me këtë, për këtë procedurë, ia vlen të përdorni një të veçantë. Pas fillimit të saj, duhet të vendosni sa vijon: del "<диск>:\*.<расширение зараженного файла>»/f/s.

Sigurohuni që të fshini skedarë të tillë si "Read-me.txt", për të cilin duhet të specifikoni në të njëjtën linjë komandimi: del "<диск>:\*.<имя файла>»/f/s.

Kështu, mund të vërehet se nëse virusi ka riemëruar dhe koduar skedarë, atëherë nuk duhet të shpenzoni menjëherë para për të blerë një çelës nga ndërhyrës, së pari duhet të përpiqeni ta kuptoni vetë problemin. Është më mirë të investoni në blerjen e një programi të veçantë për deshifrimin e skedarëve të dëmtuar.

Më në fund, ia vlen të kujtojmë se ky artikull trajtoi pyetjen se si të deshifroni skedarët e koduar nga një virus.