Deshifrimi i skedarëve bllokohet pas një virusi. Si të deshifroni skedarët duke përdorur mjetin Kaspersky RakhniDecryptor

Shërbimi Kaspresky RakhniDecryptor do të deshifrojë skedarët, shtesat e të cilëve kanë ndryshuar sipas modeleve të mëposhtme:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.i mbyllur;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.errësira;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nocans;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>.kripto;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>.p *** [email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id373;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id371;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id372;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id374;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id375;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id376;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id392;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id357;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id356;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id358;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id359;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id360;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _com_id20.

Trojan-Ransom.Win32.Rakhni krijon një skedar exit.hhr.oshit, i cili përmban fjalëkalim të koduar nga skedarët e përdoruesit. Nëse ky skedar ruhet në kompjuterin e infektuar, deshifrimi do të jetë shumë më i shpejtë. Nëse skedari exit.hhr.oshit është fshirë, rivendoseni atë duke përdorur programet e rikuperimit të skedarëve të fshirë dhe më pas vendoseni në dosjen% APPDATA% dhe ekzekutoni përsëri kontrollin e shërbimeve. Mund ta gjeni skedarin exit.hhr.oshit në shtegun e mëposhtëm: C: \ Përdoruesit<имя_пользователя>\ AppData \ Roaming

• Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_kriptë.
• Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[email i mbrojtur] _. letra>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.qaj;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>.i koduar.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman versioni 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.mikro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman versioni 4:<имя_файла>.<оригинальное_расширение>(emri dhe shtrirja e skedarit nuk ndryshojnë).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.i koduar;
  • <имя_файла>.i mbyllur;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.argëtim;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epik;
  • <имя_файла>.i koduar;
  • <имя_файла>.J;
  • <имя_файла>.shpërblim;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paguhet;
  • <имя_файла>.paymrss;
  • <имя_файла>.payrts;
  • <имя_файла>.payst;
  • <имя_файла>.paguan;
  • <имя_файла>.gefickt;
  • <имя_файла>[email i mbrojtur]
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.@..xtbl;
  • <имя_файла>.ID<…>.@..CrySiS;
  • <имя_файла>.id-<…>.@..xtbl;
  • <имя_файла>.id-<…>.@..portofolin;
  • <имя_файла>.id-<…>.@..dhrama;
  • <имя_файла>.id-<…>.@..qepë;
  • <имя_файла>.@..portofolin;
  • <имя_файла>.@..dhrama;
  • <имя_файла>.@..qepë.

Shembuj të disa adresave të distributorëve me qëllim të keq:

• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur];
• [email i mbrojtur]
• Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[email i mbrojtur]
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.i bllokuar;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.kriptohet;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.këtu;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.MURTAJA17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur];
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _.kriptë;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] ____ kriptë;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] _______.kripta;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur] ___.kripta;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur]==.kripta;
  • <имя_файла>.<оригинальное_расширение>[email i mbrojtur]= -.kripta.

Nëse skedari është i koduar me shtesën CRYPT, deshifrimi mund të zgjasë shumë. Për shembull, në një procesor Intel Core i5-2400, mund të duhen rreth 120 ditë.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.kriptë;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0ditë;
  • <имя_файла>.bllokoj;
  • <имя_файла>[email i mbrojtur] _hu;
  • <имя_файла>[email i mbrojtur];
  • <имя_файла>~ xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.emri i rastit-<...>.<случайное_расширение>.

• Versioni i malware	Adresa e emailit të sulmuesve
  	[email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur] [email i mbrojtur]
  	[email i mbrojtur] _graf1 [email i mbrojtur] _mod [email i mbrojtur] _mod2
  	[email i mbrojtur] [email i mbrojtur]
  	[email i mbrojtur]
  	[email i mbrojtur] [email i mbrojtur][email i mbrojtur] [email i mbrojtur]

Si të deshifroni skedarët duke përdorur mjetin Kaspersky RakhniDecryptor

1. Shkarkoni arkivin RakhniDecryptor.zip dhe shpaketoni atë. Udhëzimet në artikull.
2. Shkoni te dosja me skedarët nga arkivi.
3. Ekzekutoni skedarin RakhniDecryptor.exe.
4. Klikoni mbi Ndryshoni parametrat e skanimit.

1. Zgjidhni objektet për të skanuar: disqet e ngurtë, disqet e lëvizshëm ose disqet e rrjetit.
2. Kontrolloni kutinë Fshini skedarët e koduar pas deshifrimit të suksesshëm... Në këtë rast, programi do të fshijë kopjet e skedarëve të koduar me shtesat e caktuara LOCKED, KRAKEN, DARKNESS, etj.
3. Klikoni mbi Ne rregull.

1. Klikoni mbi Filloni kontrollin.

1. Zgjidhni skedarin e koduar dhe klikoni Hapur.

1. Lexoni paralajmërimin dhe klikoni Ne rregull.

Skedarët do të deshifrohen.

Një skedar mund të kodohet me shtesën CRYPT më shumë se një herë. Për shembull, nëse skedari test.doc kodohet dy herë, shtresa e parë do të deshifrohet nga programi RakhniDecryptor në skedarin test.1.doc.layerDecryptedKLR. Hyrja e mëposhtme do të shfaqet në raportin e funksionimit të shërbimeve: "Suksesi i deshifrimit: drive: \ path \ test.doc_crypt -> drive: \ path \ test.1.doc.layerDecryptedKLR". Ky skedar duhet të deshifrohet përsëri nga programi. Nëse deshifrimi është i suksesshëm, skedari do të ruhet sërish me emrin origjinal test.doc.

Parametrat për ekzekutimin e programit nga vija e komandës

Për lehtësi dhe përshpejtim të procesit të deshifrimit të skedarëve, Kaspersky RakhniDecryptor mbështet parametrat e mëposhtëm të linjës së komandës:

Fakti që interneti është plot me viruse nuk e habit askënd sot. Shumë përdorues i perceptojnë situatat që lidhen me ndikimin e tyre në sisteme ose të dhëna personale, për ta thënë butë, duke mbyllur një sy, por vetëm derisa virusi i enkriptimit të vendoset në mënyrë specifike në sistem. Shumica e përdoruesve të zakonshëm nuk dinë të kurojnë dhe deshifrojnë të dhënat e ruajtura në një hard disk. Ndaj ky kontigjent “çohet” në kërkesat e parashtruara nga sulmuesit. Por le të shohim se çfarë mund të bëni nëse zbulohet një kërcënim i tillë ose për ta parandaluar atë të hyjë në sistem.

Çfarë është një virus ransomware?

Ky lloj kërcënimi përdor algoritme standarde dhe jo standarde të enkriptimit të skedarëve që ndryshojnë plotësisht përmbajtjen e tyre dhe bllokojnë aksesin. Për shembull, do të jetë absolutisht e pamundur të hapësh një skedar teksti të koduar për lexim ose redaktim, si dhe të luash përmbajtje multimediale (grafike, video ose audio) pas ekspozimit ndaj një virusi. Edhe operacionet standarde për kopjimin ose lëvizjen e objekteve nuk janë të disponueshme.

Vetë mbushja e softuerit të virusit është mjeti që kodon të dhënat në atë mënyrë që nuk është gjithmonë e mundur të rivendoset gjendja e tyre origjinale edhe pas heqjes së kërcënimit nga sistemi. Zakonisht, programe të tilla me qëllim të keq krijojnë kopjet e tyre dhe vendosen shumë thellë në sistem, kështu që virusi i enkriptimit të skedarëve ndonjëherë mund të jetë plotësisht i pamundur të hiqet. Duke çinstaluar programin kryesor ose duke fshirë trupin kryesor të virusit, përdoruesi nuk shpëton nga ndikimi i kërcënimit, e lëre më të rivendosë informacionin e koduar.

Si futet kërcënimi në sistem?

Si rregull, kërcënimet e këtij lloji synohen kryesisht ndaj strukturave të mëdha tregtare dhe mund të depërtojnë në kompjuter përmes programeve të postës kur një punonjës hap një dokument të supozuar të bashkangjitur në një e-mail, që është, të themi, një shtesë në një lloj marrëveshjeje bashkëpunimi ose plani për furnizimin e mallrave (ofertat tregtare me investime nga burime të dyshimta janë rruga e parë për virusin).

Problemi është se një virus ransomware në një makinë që ka akses në një rrjet lokal është në gjendje të përshtatet edhe në të, duke krijuar kopjet e veta jo vetëm në një mjedis të rrjetit, por edhe në terminalin e administratorit, nëse i mungon mbrojtja e nevojshme në forma e softuerit antivirus.firewall ose firewall.

Ndonjëherë kërcënime të tilla mund të depërtojnë edhe në sistemet kompjuterike të përdoruesve të zakonshëm, të cilët, në përgjithësi, nuk janë me interes për kriminelët kibernetikë. Kjo ndodh në kohën e instalimit të disa programeve të shkarkuara nga burime të dyshimta të Internetit. Shumë përdorues, kur fillojnë shkarkimin, injorojnë paralajmërimet e sistemit të mbrojtjes antivirus dhe gjatë procesit të instalimit nuk u kushtojnë vëmendje sugjerimeve për të instaluar softuer shtesë, panele ose shtojca për shfletuesit, dhe më pas, pasi ato thuaj, kafshoni bërrylat e tyre.

Varietetet e viruseve dhe pak histori

Në thelb, kërcënimet e këtij lloji, veçanërisht virusi më i rrezikshëm ransomware No_more_ransom, klasifikohen jo vetëm si mjete për enkriptimin e të dhënave ose bllokimin e aksesit në to. Në fakt, të gjitha aplikacionet e tilla me qëllim të keq klasifikohen si ransomware. Me fjalë të tjera, kriminelët kibernetikë kërkojnë një shumë të caktuar parash për deshifrimin e informacionit, duke besuar se ky proces do të jetë i pamundur të kryhet pa një program fillestar. Ky është pjesërisht rasti.

Por, nëse gërmoni në histori, do të vini re se një nga viruset e parë të këtij lloji, megjithëse nuk impononte kërkesa për para, ishte apleti famëkeq I Love You, i cili kodonte plotësisht skedarët multimedialë (kryesisht këngë muzikore) në përdorues. sistemeve. Deshifrimi i skedarëve pas virusit ransomware doli të ishte i pamundur në atë kohë. Tani është ky kërcënim që mund të trajtohet në mënyrë elementare.

Por zhvillimi i vetë viruseve ose algoritmet e enkriptimit të përdorura nuk qëndrojnë ende. Çfarë mungon midis viruseve - këtu keni XTBL, dhe CBF, dhe Breaking_Bad, dhe [email i mbrojtur], dhe një mori gjërash të tjera të këqija.

Teknika për të ndikuar skedarët e përdoruesve

Dhe nëse deri vonë shumica e sulmeve kryheshin duke përdorur algoritme RSA-1024 të bazuara në enkriptimin AES me të njëjtin bitness, i njëjti virus ransomware No_more_ransom paraqitet sot në disa interpretime, duke përdorur çelësat e enkriptimit bazuar në teknologjitë RSA-2048 dhe madje RSA-3072.

Probleme të deshifrimit për algoritmet e përdorura

Problemi është se sistemet moderne të deshifrimit janë të pafuqishëm përballë një rreziku të tillë. Deshifrimi i skedarëve pas virusit ransomware me bazë AES256 është ende disi i mbështetur dhe me një shpejtësi më të lartë të biteve të çelësit, pothuajse të gjithë zhvilluesit thjesht ngrenë supet. Kjo, nga rruga, është konfirmuar zyrtarisht nga specialistë nga Kaspersky Lab dhe Eset.

Në versionin më primitiv, përdoruesit që kontaktoi shërbimin mbështetës i kërkohet të dërgojë një skedar të koduar dhe origjinalin e tij për krahasim dhe operacione të mëtejshme për të përcaktuar algoritmin e kriptimit dhe metodat e rikuperimit. Por, si rregull, në shumicën e rasteve kjo nuk funksionon. Por virusi ransomware mund të deshifrojë skedarët më vete, siç besohet, me kusht që viktima të pajtohet me kushtet e sulmuesve dhe të paguajë një shumë të caktuar në terma monetarë. Megjithatë, një formulim i tillë i pyetjes ngre dyshime legjitime. Dhe kjo është arsyeja pse.

Virusi i enkriptimit: si të kuroni dhe deshifroni skedarët dhe a mund të bëhet?

Pasi të bëhet pagesa, hakerët thuhet se aktivizojnë dekriptimin nëpërmjet aksesit në distancë në virusin e tyre që ndodhet në sistem, ose nëpërmjet një aplikacioni shtesë nëse trupi i virusit është hequr. Duket më shumë se e dyshimtë.

Do të doja të theksoja gjithashtu faktin se interneti është plot me postime false ku thuhet se, thonë ata, është paguar shuma e kërkuar dhe të dhënat janë rikthyer me sukses. E gjithë kjo është një gënjeshtër! Dhe me të vërtetë - ku është garancia që pas pagesës virusi i enkriptimit në sistem nuk do të aktivizohet përsëri? Nuk është e vështirë të kuptosh psikologjinë e hajdutëve: nëse paguan një herë, paguan përsëri. Dhe nëse po flasim për informacione veçanërisht të rëndësishme si zhvillime specifike tregtare, shkencore ose ushtarake, pronarët e një informacioni të tillë janë të gatshëm të paguajnë aq sa është e nevojshme, në mënyrë që skedarët të mbeten të paprekur dhe të sigurt.

Ilaçi i parë për të eliminuar kërcënimin

Kjo është natyra e një virusi ransomware. Si të dezinfektoni dhe deshifroni skedarët pasi jeni ekspozuar ndaj një kërcënimi? Po, në asnjë mënyrë, nëse nuk ka mjete në dorë, të cilat gjithashtu jo gjithmonë ndihmojnë. Por ju mund të provoni.

Le të supozojmë se një virus ransomware është shfaqur në sistem. Si të dezinfektoj skedarët e infektuar? Së pari, duhet të kryeni një skanim të thellë të sistemit pa përdorimin e teknologjisë S.M.A.R.T., e cila zbulon kërcënimet vetëm kur dëmtohen sektorët e nisjes dhe skedarët e sistemit.

Këshillohet që të mos përdorni skanerin standard ekzistues, i cili tashmë ka humbur kërcënimin, por të përdorni shërbime portative. Opsioni më i mirë do të ishte nisja nga Kaspersky Rescue Disk, i cili mund të fillojë edhe përpara se sistemi operativ të fillojë të funksionojë.

Por kjo është vetëm gjysma e betejës, pasi në këtë mënyrë mund të shpëtoni vetëm nga vetë virusi. Por me dekoder do të jetë më e vështirë. Por më shumë për këtë më vonë.

Ekziston një kategori tjetër në të cilën bëjnë pjesë viruset e ransomware. Si të deshifroni informacionin do të thuhet veçmas, por tani për tani le të ndalemi në faktin se ato mund të ekzistojnë plotësisht hapur në sistem në formën e programeve dhe aplikacioneve të instaluara zyrtarisht (paturpësia e sulmuesve nuk njeh kufij, pasi kërcënimi ka as të përpiqet të maskohet).

Në këtë rast, duhet të përdorni seksionin e programeve dhe komponentëve ku kryhet çinstalimi standard. Sidoqoftë, duhet t'i kushtoni vëmendje edhe faktit që çinstaluesi standard i Windows nuk i fshin plotësisht të gjithë skedarët e programit. Në veçanti, virusi ransom ransomware është në gjendje të krijojë dosjet e veta në drejtoritë rrënjësore të sistemit (zakonisht, këto janë drejtoritë Csrss, ku është i pranishëm skedari i ekzekutueshëm csrss.exe me të njëjtin emër). Windows, System32 ose drejtoritë e përdoruesve (Përdoruesit në diskun e sistemit) zgjidhen si vendndodhje kryesore.

Për më tepër, virusi ransomware No_more_ransom shkruan çelësat e tij në regjistër në formën e një lidhjeje me sa duket me shërbimin zyrtar të sistemit Client Server Runtime Subsystem, i cili është mashtrues për shumë, pasi ky shërbim duhet të jetë përgjegjës për ndërveprimin midis softuerit të klientit dhe serverit. . Vetë çelësi ndodhet në dosjen Run, e cila mund të arrihet përmes degës HKLM. Është e qartë se do t'ju duhet të fshini manualisht çelësa të tillë.

Për ta bërë më të lehtë, mund të përdorni shërbime si iObit Uninstaller, të cilët kërkojnë automatikisht skedarët e mbetur dhe çelësat e regjistrit (por vetëm nëse virusi është i dukshëm në sistem si një aplikacion i instaluar). Por kjo është gjëja më e thjeshtë për të bërë.

Zgjidhjet e ofruara nga zhvilluesit e programeve antivirus

Besohet se deshifrimi i virusit ransomware mund të bëhet duke përdorur mjete speciale, megjithëse nëse keni teknologji me një çelës 2048 ose 3072 bit, nuk duhet të mbështeteni në to (përveç kësaj, shumë prej tyre fshijnë skedarët pas deshifrimit, dhe më pas skedarët e rivendosur zhduken për shkak të fajit të pranisë së një trupi virusi që nuk është hequr më parë).

Sidoqoftë, mund të provoni. Nga të gjitha programet, RectorDecryptor dhe ShadowExplorer ia vlen të theksohen. Besohet se asgjë më e mirë nuk është krijuar deri më tani. Por problemi mund të jetë gjithashtu se kur përpiqeni të përdorni dekriptuesin, nuk ka asnjë garanci që skedarët që dezinfektohen nuk do të fshihen. Kjo do të thotë, nëse fillimisht nuk shpëtoni nga virusi, çdo përpjekje për deshifrim do të jetë e dënuar me dështim.

Përveç fshirjes së informacionit të koduar, ai gjithashtu mund të jetë fatal - i gjithë sistemi do të jetë jofunksional. Për më tepër, një virus modern ransomware është i aftë të ndikojë jo vetëm të dhënat e ruajtura në hard diskun e një kompjuteri, por edhe skedarët në ruajtjen e cloud. Dhe këtu nuk ka zgjidhje për të rivendosur informacionin. Për më tepër, siç doli, shumë shërbime po marrin masa mbrojtëse të pamjaftueshme efektive (i njëjti OneDrive i integruar në Windows 10, i cili ekspozohet drejtpërdrejt nga sistemi operativ).

Një zgjidhje radikale e problemit

Siç është tashmë e qartë, shumica e metodave moderne nuk japin një rezultat pozitiv kur infektohen me viruse të tilla. Sigurisht, nëse ka një origjinal të skedarit të dëmtuar, ai mund të dërgohet për ekzaminim në një laborator antivirus. Vërtetë, ka gjithashtu dyshime shumë serioze që një përdorues i zakonshëm do të krijojë kopje rezervë të të dhënave që, kur ruhen në një hard disk, gjithashtu mund të ekspozohen ndaj kodit me qëllim të keq. Dhe fakti që për të shmangur telashet, përdoruesit kopjojnë informacionin në media të lëvizshme, nuk po flasim fare.

Kështu, për një zgjidhje radikale të problemit, përfundimi sugjeron vetë: formatimin e plotë të hard drive dhe të gjitha ndarjet logjike me fshirjen e informacionit. Pra, çfarë të bëni? Ju do të duhet të dhuroni nëse nuk dëshironi që virusi ose kopja e tij e ruajtur vetë të aktivizohet përsëri në sistem.

Për ta bërë këtë, nuk duhet të përdorni mjetet e vetë sistemeve Windows (dua të them formatimin e ndarjeve virtuale, pasi do të lëshohet një ndalim kur përpiqeni të hyni në diskun e sistemit). Më mirë të përdorni nisjen nga media optike si LiveCD ose shpërndarjet e instalimit, të tilla si ato të krijuara duke përdorur mjetin e krijimit të mediave për Windows 10.

Përpara se të filloni formatimin, me kusht që virusi të hiqet nga sistemi, mund të provoni të rivendosni integritetin e përbërësve të sistemit përmes linjës së komandës (sfc / scannow), por kjo nuk do të ketë asnjë efekt për sa i përket deshifrimit dhe zhbllokimit të të dhënave. Prandaj, formati c: është e vetmja zgjidhje e saktë e mundshme, ju pëlqen apo jo. Kjo është mënyra e vetme për të hequr qafe plotësisht këtë lloj kërcënimi. Mjerisht, nuk ka rrugë tjetër! Edhe trajtimi me mjetet standarde të ofruara nga shumica e paketave antivirus është i pafuqishëm.

Në vend të një pasthënieje

Për sa i përket sugjerimit të përfundimeve, mund të themi vetëm se nuk ka asnjë zgjidhje të vetme dhe universale për të eliminuar pasojat e ndikimit të kërcënimeve të tilla sot (mjerisht, por një fakt - kjo konfirmohet nga shumica e zhvilluesve dhe specialistëve të programeve antivirus në fushën e kriptografisë).

Mbetet e paqartë pse shfaqja e algoritmeve të bazuara në enkriptimin 1024-, 2048- dhe 3072-bit kaloi nga ata që janë të përfshirë drejtpërdrejt në zhvillimin dhe zbatimin e teknologjive të tilla? Në të vërtetë, sot algoritmi AES256 konsiderohet më premtuesi dhe më i sigurti. Njoftim! 256! Ky sistem, siç rezulton, nuk është i përshtatshëm për viruset moderne. Çfarë mund të themi atëherë për përpjekjet për të deshifruar çelësat e tyre?

Sido që të jetë, është mjaft e lehtë të shmangësh futjen e një kërcënimi në sistem. Në rastin më të thjeshtë, duhet të skanoni të gjitha mesazhet hyrëse me bashkëngjitje në Outlook, Thunderbird dhe klientët e tjerë të postës me antivirus menjëherë pas marrjes dhe në asnjë rast të mos hapni bashkëngjitjet derisa skanimi të përfundojë. Ju gjithashtu duhet të lexoni me kujdes sugjerimet për instalimin e softuerit shtesë kur instaloni disa programe (zakonisht ato janë të shkruara me shkronja shumë të vogla ose të maskuara si shtesa standarde si përditësimi i Flash Player ose diçka tjetër). Është më mirë të përditësoni komponentët e medias përmes faqeve zyrtare. Kjo është mënyra e vetme për të parandaluar të paktën disi depërtimin e kërcënimeve të tilla në sistemin tuaj. Pasojat mund të jenë krejtësisht të paparashikueshme, duke pasur parasysh që viruset e këtij lloji përhapen menjëherë në rrjetin lokal. Dhe për kompaninë, një kthesë e tillë e ngjarjeve mund të kthehet në një kolaps të vërtetë të të gjitha ndërmarrjeve.

Së fundi, administratori i sistemit nuk duhet të qëndrojë i papunë. Është më mirë të përjashtohen mjetet e mbrojtjes së softuerit në një situatë të tillë. I njëjti firewall (firewall) nuk duhet të jetë softuer, por "hardware" (sigurisht, me softuer shoqërues në bord). Dhe, kuptohet që nuk ia vlen të kurseni as për blerjen e paketave antivirus. Është më mirë të blini një paketë të licencuar dhe të mos instaloni programe primitive që gjoja ofrojnë mbrojtje në kohë reale vetëm nga fjalët e zhvilluesit.

Dhe nëse një kërcënim ka hyrë tashmë në sistem, sekuenca e veprimeve duhet të përfshijë heqjen e vetë trupit të virusit dhe vetëm atëherë të përpiqet të deshifrojë të dhënat e dëmtuara. Idealisht - formatimi i plotë (e keni parasysh, jo shpejt me pastrimin e tabelës së përmbajtjes, por formatimin e plotë, mundësisht me rivendosjen ose zëvendësimin e sistemit ekzistues të skedarëve, sektorëve të nisjes dhe regjistrimeve).

Sot, përdoruesit e kompjuterëve dhe laptopëve po përballen gjithnjë e më shumë me malware që zëvendësojnë skedarët me kopjet e tyre të koduara. Në fakt, këto janë viruse. Një nga më të rrezikshmit në këtë seri është ransomware XTBL. Çfarë është ky dëmtues, si futet në kompjuterin e përdoruesit dhe a është e mundur të rikuperoni informacionin e dëmtuar?

Çfarë është një ransomware XTBL dhe si futet në një kompjuter

Nëse gjeni skedarë me një emër të gjatë dhe zgjerimin .xtbl në kompjuterin ose laptopin tuaj, atëherë mund të themi me besim se një virus i rrezikshëm - XTBL ransomware - ka hyrë në sistem. Ndikon në të gjitha versionet e Windows OS. Është pothuajse e pamundur të deshifroni skedarë të tillë vetë, sepse programi përdor një mënyrë hibride, në të cilën zgjedhja e çelësit është thjesht e pamundur.

Skedarët e infektuar mbushin drejtoritë e sistemit. Regjistrimet shtohen në regjistrin e Windows që lëshojnë automatikisht virusin sa herë që fillon OS.

Pothuajse të gjitha llojet e skedarëve janë të koduar - grafik, tekst, arkiv, postë, video, muzikë, etj. Puna në Windows bëhet e pamundur.

Si punon? ransomware XTBL i lëshuar në Windows fillimisht skanon të gjitha disqet logjike. Kjo përfshin ruajtjen e cloud dhe rrjetit të vendosur në kompjuterin tuaj. Si rezultat, skedarët grupohen sipas zgjerimit dhe më pas kodohen. Kështu, të gjitha informacionet e vlefshme të vendosura në dosjet e përdoruesit bëhen të paarritshme.

Kjo është fotografia që përdoruesi do të shohë në vend të ikonave me emrat e skedarëve të njohur.

Shtesa e skedarit ndryshon nën ndikimin e ransomware XTBL. Përdoruesi tani sheh një ikonë të fletës bosh dhe një titull të gjatë që përfundon me .xtbl në vend të një imazhi ose teksti në Word. Për më tepër, një mesazh shfaqet në desktop, një lloj udhëzimi për rikuperimin e informacionit të koduar, që kërkon të paguani për zhbllokimin. Ky nuk është gjë tjetër veçse shantazh me shpërblim.

Një mesazh i tillë shfaqet në dritaren "desktop" të kompjuterit.

Shpërndarja e ransomware XTBL zakonisht ndodh me email. Letra përmban skedarë të bashkangjitur ose dokumente të infektuara me një virus. Mashtruesi tërheq përdoruesin me një titull shumëngjyrësh. Gjithçka bëhet në mënyrë që mesazhi që thotë se ju, për shembull, keni fituar një milion, të jetë i hapur. Mos iu përgjigjni mesazheve të tilla, përndryshe ekziston një rrezik i madh që një virus të përfundojë në sistemin tuaj operativ.

A është e mundur të rikuperoni informacionin

Mund të përpiqeni të deshifroni informacionin duke përdorur shërbime speciale. Megjithatë, nuk ka asnjë garanci se do të jeni në gjendje të shpëtoni nga virusi dhe të rikuperoni skedarët e dëmtuar.

Aktualisht, ransomware XTBL paraqet një kërcënim të padyshimtë për të gjithë kompjuterët që përdorin Windows. Edhe liderët e njohur në luftën kundër viruseve - Dr.Web dhe Kaspersky Lab - nuk kanë një zgjidhje 100% për këtë çështje.

Heqja e një virusi dhe rivendosja e skedarëve të koduar

Ka metoda dhe programe të ndryshme që ju lejojnë të punoni me ransomware XTBL. Disa heqin vetë virusin, të tjerë përpiqen të deshifrojnë skedarët e kyçur ose të rivendosin kopjet e tyre të mëparshme.

Ndërprerja e infeksionit të kompjuterit

Nëse keni fatin të vini re fillimin e shfaqjes së skedarëve me shtesën .xtbl në kompjuterin tuaj, atëherë procesi i infeksionit të mëtejshëm është mjaft i mundshëm të ndërpritet.

Kaspersky Virus Removal Tool për të hequr ransomware XTBL

Të gjitha programet e tilla duhet të hapen në një OS që është nisur më parë në modalitetin e sigurt me opsionin për të ngarkuar drejtuesit e rrjetit. Në këtë rast, është shumë më e lehtë për të hequr virusin, pasi numri minimal i proceseve të sistemit të kërkuar për të nisur Windows është i lidhur.

Për të ngarkuar modalitetin e sigurt në Windows XP, 7 gjatë nisjes së sistemit, shtypni vazhdimisht tastin F8 dhe pasi të shfaqet dritarja e menysë, zgjidhni artikullin e duhur. Kur përdorni Windows 8, 10, rinisni sistemin operativ duke mbajtur të shtypur tastin Shift. Gjatë procesit të nisjes, do të hapet një dritare ku mund të zgjidhni opsionin e kërkuar të sigurt të nisjes.

Zgjedhja e modalitetit të sigurt me ngarkimin e drejtuesve të rrjetit

Mjeti i heqjes së virusit Kaspersky njeh në mënyrë të përsosur ransomware-in XTBL dhe heq këtë lloj virusi. Kryeni një skanim kompjuteri duke klikuar butonin përkatës pasi të jetë ngarkuar programi. Pasi të përfundojë skanimi, fshini skedarët me qëllim të keq të zbuluar.

Nisja e një skanimi kompjuterik për praninë e një ransomware XTBL në Windows OS dhe më pas heqja e virusit

Dr.Web CureIt!

Algoritmi për skanimin dhe heqjen e një virusi është praktikisht i njëjtë si në versionin e mëparshëm. Skanoni të gjitha disqet logjike me programin. Për ta bërë këtë, thjesht duhet të ndiqni komandat e programit pas fillimit të tij. Në fund të procesit, hiqni qafe skedarët e infektuar duke klikuar butonin "Neutralize".

Neutralizimi i skedarëve me qëllim të keq pas një skanimi të Windows

Malwarebytes Anti-malware

Programi do të kryejë një skanim hap pas hapi të kompjuterit tuaj për kode me qëllim të keq dhe do t'i shkatërrojë ato.

1. Instaloni dhe ekzekutoni programin Anti-malware.
2. Zgjidhni artikullin "Fillimi i skanimit" në fund të dritares që hapet.
3. Prisni deri në fund të procesit dhe shënoni kutitë me skedarë të infektuar.
4. Fshi përzgjedhjen.

Heqja e skedarëve me qëllim të keq XTBL ransomware të zbuluar gjatë skanimit

Skript-dekoder online nga Dr.Web

Në faqen zyrtare të Dr.Web, në seksionin e mbështetjes, ekziston një skedë me një skript për deshifrimin në internet të skedarëve. Duhet të kihet parasysh se vetëm ata përdorues në kompjuterët e të cilëve është instaluar antivirusi i këtij zhvilluesi do të mund të përdorin dekriptuesin në internet.

Lexoni udhëzimet, plotësoni gjithçka që ju nevojitet dhe klikoni butonin "Dërgo".

Shërbimi i deshifrimit RectorDecryptor nga Kaspersky Lab

Kaspersky Lab gjithashtu deshifron skedarët. Në faqen zyrtare, mund të shkarkoni programin RectorDecryptor.exe për Windows Vista, 7, 8 duke ndjekur lidhjet në menunë "Mbështetje - Trajtimi dhe deshifrimi i skedarëve - RectorDecryptor - Si të deshifroni skedarët". Drejtoni programin, kontrolloni atë dhe më pas fshini skedarët e koduar duke zgjedhur artikullin e duhur.

Skanimi dhe deshifrimi i skedarëve të infektuar me ransomware XTBL

Rivendosja e skedarëve të koduar nga një kopje rezervë

Duke filluar në Windows 7, mund të provoni të rivendosni skedarët nga kopjet rezervë.

ShadowExplorer për të rikuperuar skedarët e koduar

Programi është një version portativ, ai mund të shkarkohet nga çdo media.

QPhotoRec

Programi është krijuar posaçërisht për të rikuperuar skedarët e dëmtuar dhe të fshirë. Duke përdorur algoritme të integruara, programi gjen dhe rikthen të gjithë informacionin e humbur në gjendjen e tij origjinale.

QPhotoRec është një program falas.

Fatkeqësisht, ekziston vetëm një version anglisht i QPhotoRec, por nuk është e vështirë të kuptosh cilësimet, ndërfaqja është intuitive.

1. Ekzekutoni programin.
2. Kontrolloni disqet logjike me informacion të koduar.
3. Klikoni butonin Formatet e skedarit dhe OK.
4. Duke përdorur butonin Browse që ndodhet në fund të dritares së hapur, zgjidhni vendndodhjen për të ruajtur skedarët dhe filloni procedurën e rivendosjes duke klikuar Search.

QPhotoRec rikuperon skedarët e fshirë nga ransomware XTBL dhe të zëvendësuar me kopjet e tyre

Si të deshifroni skedarët - video

Çfarë nuk duhet bërë

1. Asnjëherë mos ndërmerr veprime për të cilat nuk je plotësisht i sigurt.Është më mirë të ftoni një specialist nga qendra e shërbimit, ose mund ta çoni vetë kompjuterin atje.
2. Mos hapni email nga dërgues të panjohur.
3. Në asnjë rrethanë nuk duhet të udhëhiqeni nga shantazhuesit duke rënë dakord të transferoni para tek ata. Kjo, ka shumë të ngjarë, nuk do të japë një rezultat.
4. Mos riemërtoni manualisht shtesat e skedarëve të koduar dhe mos nxitoni të riinstaloni Windows. Ndoshta do të jetë e mundur të gjendet një zgjidhje që do të korrigjojë situatën.

Profilaksia

Përpiquni të instaloni mbrojtje të besueshme kundër depërtimit të ransomware XTBL dhe viruseve të ngjashëm ransomware në kompjuterin tuaj. Këto programe përfshijnë:

• Malwarebytes Anti-Ransomware;
• BitDefender Anti-Ransomware;
• WinAntiRansom;
• CryptoPrevent.

Përkundër faktit se ata janë të gjithë në anglisht, puna me shërbime të tilla është mjaft e thjeshtë. Ekzekutoni programin dhe zgjidhni nivelin e mbrojtjes në cilësimet.

Nisja e programit dhe zgjedhja e nivelit të mbrojtjes

Nëse keni hasur në një virus ransomware që kodon skedarët në kompjuterin tuaj, atëherë, sigurisht, nuk duhet të dëshpëroheni menjëherë. Mundohuni të përdorni metodat e propozuara për të rikuperuar informacionin e dëmtuar. Kjo është shpesh e dobishme. Mos përdorni programe të paverifikuara të zhvilluesve të panjohur për të hequr ransomware XTBL. Në fund të fundit, kjo vetëm mund ta përkeqësojë situatën. Nëse është e mundur, instaloni një nga programet që parandalojnë funksionimin e virusit në kompjuterin tuaj dhe kryeni skanime të rregullta të planifikuara të Windows për procese me qëllim të keq.

Unë vazhdoj seksionin famëkeq në faqen time të internetit me një histori tjetër në të cilën unë vetë isha viktimë. Unë do t'ju tregoj për ransomware Crusis (Dharma), i cili kodoi të gjithë skedarët në një disku rrjeti dhe u dha atyre shtesën .combo. Ai ka punuar jo vetëm në skedarët lokalë, siç ndodh më shpesh, por edhe në skedarët e rrjetit.

Deshifrimi i garantuar i skedarëve pas virusit të ransomware - dr-shifro.ru. Detajet e punës dhe skema e ndërveprimit me klientin janë më poshtë në artikullin tim ose në faqen e internetit në seksionin "Procedura e punës".

Prezantimi

Historia do të jetë në vetën e parë, pasi të dhënat dhe infrastruktura që menaxhova u prekën nga ransomware. Është për të ardhur keq ta pranoj, por pjesërisht unë vetë jam fajtor për atë që ndodhi, megjithëse kam njohur ransomware për një kohë shumë të gjatë. Në mbrojtjen time, do të them që të dhënat nuk humbën, gjithçka u rivendos shpejt dhe u hetua në ndjekje të nxehtë. Por gjërat e para së pari.

Mëngjesi i mërzitshëm filloi me faktin se në orën 9:15 të mëngjesit thirri administratori i sistemit nga një sit i largët dhe tha që ransomware ishte në rrjet, të dhënat në disqet e rrjetit tashmë ishin të koduara. Një e dridhur përshkoi lëkurën :) Ai filloi të kontrollonte vetë burimin e infeksionit, dhe unë me timin. Sigurisht, menjëherë shkova te serveri, shkëputa disqet e rrjetit dhe fillova të shikoja regjistrin e aksesit të të dhënave. Disqet e rrjetit janë konfiguruar, duhet të aktivizohen. Nga regjistri, pashë menjëherë burimin e infeksionit, llogarinë nga e cila po funksiononte ransomware dhe kohën e fillimit të kriptimit.

Përshkrimi i virusit Crusis ransomware (Dharma)

Më pas filloi hetimi. Skedarët e koduar morën shtesën .kombinim... Kishte shumë prej tyre. Ransomware filloi të funksiononte vonë në mbrëmje, rreth orës 23. Me fat - rezervimi i disqeve të prekur sapo kishte përfunduar në këtë kohë. Të dhënat nuk humbën fare, pasi arritën të bënin kopje rezervë në fund të ditës së punës. Fillova menjëherë të rivendosja nga një kopje rezervë, e cila është në një server të veçantë pa qasje smb.

Gjatë natës, virusi arriti të kodonte rreth 400 GB të dhëna në disqet e rrjetit. Fshirja banale e të gjithë skedarëve të koduar me zgjerimin e kombinuar zgjati shumë. Në fillim doja t'i fshija të gjitha përnjëherë, por kur vetëm numërimi i këtyre dosjeve zgjati për 15 minuta, kuptova se çështja ishte e kotë për momentin. Në vend të kësaj, ai filloi të grumbullonte të dhënat aktuale dhe pas kësaj ai pastroi disqet nga skedarët e koduar.

Unë do t'ju them një të vërtetë të përbashkët menjëherë. Të kesh kopje rezervë të përditësuar dhe të besueshme e bën çdo problem të zgjidhshëm. Çfarë të bëj nëse nuk janë aty, ose nuk janë relevante, as që mund ta imagjinoj. Unë gjithmonë i kushtoj vëmendje shtesë kopjeve rezervë. Unë i dua ata, i dua dhe nuk i jap askujt qasje në to.

Pasi fillova rikuperimin e skedarëve të koduar, kishte kohë për të kuptuar me qetësi situatën dhe për të parë më nga afër virusin ransomware Crusis (Dharma). Këtu më prisnin surpriza dhe surpriza. Burimi i infeksionit ishte një makinë virtuale me Windows 7 me përcjellë rdp port përmes kanalit rezervë. Porti nuk ishte standard - 33333. Mendoj se ishte një gabim i madh përdorimi i një porti të tillë. Edhe pse nuk është standard, është shumë popullor. Sigurisht, është më mirë të mos përcillni fare rdp, por në këtë rast ishte vërtet e nevojshme. Nga rruga, tani, në vend të kësaj makine virtuale, përdoret gjithashtu një makinë virtuale me CentOS 7, ajo ka një kontejner që funksionon në dokerin e saj me xfce dhe një shfletues. Epo, kjo makinë virtuale nuk ka akses askund, vetëm aty ku është e nevojshme.

Çfarë është e frikshme në gjithë këtë histori. Makina virtuale u përditësua. ransomware filloi të funksiononte në fund të gushtit. Kur është bërë infektimi i makinës, është e pamundur të përcaktohet me siguri. Virusi fshiu shumë gjëra në vetë makinën virtuale. Përditësimet janë bërë në këtë sistem në maj. Kjo do të thotë, nuk duhet të ketë ndonjë vrimë të vjetër të hapur mbi të. Tani nuk e di fare se si ta mbaj portin rdp të aksesueshëm nga interneti. Ka shumë raste kur kjo është vërtet e nevojshme. Për shembull, një server terminal në pajisje me qira. Ju gjithashtu nuk do të merrni me qira një portë për vpn për çdo server.

Tani, më afër pikës dhe vetë enkriptuesit. Makina virtuale e kishte çaktivizuar ndërfaqen e rrjetit dhe më pas e nisi atë. Unë u përshëndeta nga një shenjë standarde, të cilën e kisha parë shumë herë në ransomware të tjerë.

Të gjithë skedarët tuaj janë të koduar! Të gjithë skedarët tuaj janë të koduar për shkak të një problemi sigurie me kompjuterin tuaj. Nëse dëshironi t'i rivendosni ato, na shkruani në e-mail [email i mbrojtur] Shkruani këtë ID në titullin e mesazhit tuaj 501BED27 Në rast se nuk përgjigjeni brenda 24 orëve na shkruani në këto e-mail: [email i mbrojtur] Ju duhet të paguani për deshifrimin në Bitcoin. Çmimi varet nga sa shpejt na shkruani. Pas pagesës ne do t'ju dërgojmë mjetin e deshifrimit që do të deshifrojë të gjithë skedarët tuaj. Deshifrimi falas si garanci Përpara se të paguani mund të na dërgoni deri në 1 skedar për deshifrim falas. Madhësia totale e skedarëve duhet të jetë më e vogël se 1 Mb (jo e arkivuar) dhe skedarët nuk duhet të përmbajnë informacion të vlefshëm. (baza të të dhënave, kopje rezervë, fletë të mëdha excel, etj.) Si të merrni Bitcoin Mënyra më e lehtë për të blerë bitcoin është faqja LocalBitcoins. Duhet të regjistroheni, të klikoni "Bli bitcoin" dhe të zgjidhni shitësin sipas mënyrës së pagesës dhe çmimit. https://localbitcoins.com/buy_bitcoins Gjithashtu mund të gjeni vende të tjera për të blerë Bitcoin dhe udhëzues për fillestarët këtu: Kujdes! Mos riemërtoni skedarët e enkriptuar. Mos u përpiqni të deshifroni të dhënat tuaja duke përdorur softuer të palëve të treta, kjo mund të shkaktojë humbje të përhershme të të dhënave. Deshifrimi i skedarëve tuaj me ndihmën e palëve të treta mund të shkaktojë rritje të çmimit (ata shtojnë tarifën e tyre tek ne) ose ju mund të bëheni viktimë e një mashtrimi.

Kishte 2 skedarë teksti në desktop me emra SKIDA TË KRIPTOHEN.TXT me përmbajtjen e mëposhtme:

Të gjitha të dhënat tuaja na janë bllokuar. Dëshironi të ktheheni? shkruani email [email i mbrojtur]

Kuriozë që lejet në drejtori kanë ndryshuar Desktop... Përdoruesi nuk kishte të drejta shkrimi. Me sa duket, virusi e bëri këtë në mënyrë që përdoruesi të mos fshinte aksidentalisht informacionin në skedarët e tekstit nga desktopi. Kishte gjithashtu një drejtori në desktop troja që përmban vetë virusin - një skedar l20VHC_playload.exe.

Si i kodon skedarët virusi ransomware Crusis (Dharma).

Pasi kuptova me qetësi gjithçka dhe pasi lexova mesazhe të ngjashme me temën e ransomware në internet, mësova se kisha kapur një shumëllojshmëri të virusit të mirënjohur ransomware Crusis (Dharma). Kaspersky e zbulon atë si Trojan-Ransom.Win32.Crusis.to... Ai vendos shtesa të ndryshme në skedarë, duke përfshirë .combo. Lista ime e skedarëve dukej diçka si kjo:

• Vanino.docx.id-24EE2FBC..kombo
• Petropavlovsk-Kamchatskiy.docx.id-24EE2FBC..combo
• Horol.docx.id-24EE2FBC..kombo
• Yakutsk.docx.id-24EE2FBC..kombo

Unë do t'ju tregoj disa detaje më shumë se si funksionoi ransomware. Nuk përmenda një gjë të rëndësishme. Ky kompjuter ishte në domen. Skedarët u koduan nga një përdorues domeni !!! Kjo ngre pyetjen se nga e mori virusi. Në regjistrat e kontrolluesve të domenit, nuk pashë informacion dhe hamendje të fjalëkalimit të përdoruesit. Nuk kishte asnjë masë autorizimesh të pasuksesshme. Ose është përdorur një cenueshmëri, ose nuk di çfarë të mendoj. Është përdorur një llogari që nuk është regjistruar kurrë në këtë sistem. Pati autorizim nëpërmjet rdp nga një llogari përdoruesi domeni dhe më pas kriptim. Në vetë sistemin, nuk kishte asnjë gjurmë të përdoruesve dhe fjalëkalimeve të forcës brutale. Pothuajse menjëherë pati një hyrje në llogarinë e domenit rdp. Ishte e nevojshme të gjendej, të paktën, jo vetëm fjalëkalimi, por edhe emri.

Fatkeqësisht, llogaria kishte një fjalëkalim prej 123456. Kjo ishte e vetmja llogari me një fjalëkalim të tillë që administratorët e fushës humbën. Faktori njerëzor. Ishte menaxheri, dhe për disa arsye një seri e tërë administratorësh të sistemit dinin për këtë fjalëkalim, por nuk e ndryshuan atë. Natyrisht, kjo është arsyeja e përdorimit të kësaj llogarie të veçantë. Por megjithatë, mekanizmi i marrjes edhe të një fjalëkalimi dhe emri përdoruesi kaq të thjeshtë mbetet i panjohur.

Fikja dhe fshiva makinën virtuale të infektuar nga ransomware, pasi mora imazhin e diskut. E mora vetë virusin nga imazhi për të parë punën e tij. Historia e mëtejshme do të bazohet në lëshimin e virusit në një makinë virtuale.

Një tjetër detaj i vogël. Virusi skanoi të gjithë rrjetin lokal dhe njëkohësisht kodoi informacionin në ata kompjuterë ku kishte disa dosje të përbashkëta me akses për të gjithë. Kjo është hera e parë që kam parë një modifikim të tillë të ransomware. Kjo është një gjë vërtet e frikshme. Një virus i tillë thjesht mund të paralizojë punën e një organizate të tërë. Le të themi, për disa arsye, ju kishit akses në rrjet në vetë kopjet rezervë. Ose ata përdorën një lloj fjalëkalimi të dobët për llogarinë. Mund të rezultojë se gjithçka do të jetë e koduar - si të dhënat ashtu edhe kopjet e arkivave. Në përgjithësi, tani po mendoj për ruajtjen e kopjeve rezervë jo vetëm në një mjedis të izoluar të rrjetit, por në përgjithësi në pajisjet e fikura, të cilat fillojnë vetëm për të bërë një kopje rezervë.

Si të trajtoni kompjuterin tuaj dhe të hiqni ransomware Crusis (Dharma).

Në rastin tim, virusi ransomware Crusis (Dharma) nuk fshihej veçanërisht dhe nuk duhet të paraqesë ndonjë problem për ta hequr atë. Siç thashë, ishte në një dosje në desktop. Përveç kësaj, ai regjistroi veten dhe një mesazh informues në autostart.

Trupi i virusit në vetvete u dyfishua në fillimin në seksion Fillimi të gjithë përdoruesit dhe Windows / system32... Nuk e shikova më nga afër, sepse nuk e shoh kuptimin. Pas infektimit me ransomware, ju rekomandoj fuqimisht që të riinstaloni sistemin. Kjo është mënyra e vetme për të siguruar që virusi të hiqet. Nuk do të jeni kurrë plotësisht të sigurt se virusi është hequr, pasi ai mund të ketë shfrytëzuar disa dobësi të papublikuara dhe të panjohura për të lënë një faqeshënues në sistem. Pas një kohe, përmes kësaj hipoteke, mund të merrni një lloj virusi të ri dhe gjithçka do të përsëritet në një rreth.

Kështu që unë rekomandoj që të mos dezinfektoni kompjuterin tuaj menjëherë pas zbulimit të ransomware, por të riinstaloni sistemin, duke ruajtur të dhënat e mbetura. Ndoshta virusi nuk arriti të kodonte gjithçka. Këto rekomandime janë për ata që nuk do të përpiqen të rikuperojnë skedarët. Nëse keni kopje rezervë të përditësuar, atëherë thjesht riinstaloni sistemin dhe rivendosni të dhënat.

Nëse nuk keni kopje rezervë dhe jeni gati të rivendosni skedarët me çdo kusht, atëherë përpiqemi të mos e prekim fare kompjuterin. Para së gjithash, thjesht shkëputni kabllon e rrjetit, shkarkoni disa skedarë të koduar dhe një skedar teksti me informacion mbi pastër USB flash drive, pastaj mbyllni kompjuterin. Kompjuteri nuk mund të ndizet më. Nëse nuk i kuptoni fare çështjet e kompjuterit, atëherë nuk do të jeni në gjendje të përballoni vetë virusin, aq më pak të deshifroni ose rivendosni skedarët. Kontaktoni dikë që kupton. Nëse mendoni se mund të bëni diçka vetë, atëherë lexoni.

Ku të shkarkoni dekoderin Crusis (Dharma)

Ajo që vijon është këshilla ime universale për të gjithë viruset e ransomware. Ekziston një sajt - https://www.nomoreransom.org Teorikisht mund të përmbajë një deshifrues për Crusis ose Dharma, ose disa informacione të tjera mbi deshifrimin e skedarëve. Në praktikën time, kjo nuk ka ndodhur kurrë më parë, por papritmas ju jeni me fat. Ia vlen të provohet. Për ta bërë këtë, në faqen kryesore, ne pajtohemi duke klikuar PO.

Bashkangjitni 2 skedarë dhe ngjitni përmbajtjen e mesazhit të ransomware dhe klikoni Kontrollo.

Nëse jeni me fat, merrni disa informacione. Në rastin tim, asgjë nuk u gjet.

Të gjithë dekriptuesit ekzistues për ransomware janë mbledhur në një faqe të veçantë - https://www.nomoreransom.org/ru/decryption-tools.html Ekzistenca e kësaj liste na lejon të presim që ka ende një kuptim në këtë faqe dhe shërbim. Kaspersky ka një shërbim të ngjashëm - https://noransom.kaspersky.com/ru/ Mund ta provoni fatin atje.

Unë mendoj se nuk ia vlen të kërkosh dekodera diku tjetër përmes një kërkimi në internet. Nuk ka gjasa që ato të gjenden. Me shumë mundësi do të jetë ose një mashtrim i rregullt me ​​softuer të padëshiruar në rastin më të mirë, ose një virus i ri.

Një shtesë e rëndësishme. Nëse keni të instaluar një version të licencuar të një antivirusi, sigurohuni që të krijoni një kërkesë për antivirus TP në temën e deshifrimit të skedarit. Ndonjëherë me të vërtetë ndihmon. Unë kam parë rishikime të deshifrimit të suksesshëm nga forcat mbështetëse antivirus.

Si të deshifroni dhe rikuperoni skedarët pas virusit Crusis (Dharma).

Çfarë duhet të bëni kur virusi Crusis (Dharma) kodoi skedarët tuaj, asnjë nga metodat e përshkruara më parë nuk ju ndihmoi dhe ju duhet vërtet të rikuperoni skedarët? Zbatimi teknik i enkriptimit nuk lejon deshifrimin e skedarëve pa çelës ose dekriptues, të cilin e ka vetëm autori i enkriptuesit. Ndoshta ka ndonjë mënyrë tjetër për ta marrë atë, por unë nuk kam një informacion të tillë. Thjesht duhet të përpiqemi të rikuperojmë skedarët me metoda të dobishme. Kjo perfshin:

• Mjet kopje hije dritaret.
• Softueri për rikuperimin e të dhënave të fshira

Përpara manipulimeve të mëtejshme, unë rekomandoj të bëni një imazh të diskut sektor pas sektori. Kjo do t'ju lejojë të rregulloni gjendjen aktuale dhe nëse asgjë nuk funksionon, atëherë të paktën mund të ktheheni në pikën fillestare dhe të provoni diçka tjetër. Më pas, duhet të hiqni vetë ransomware me çdo antivirus me grupin më të fundit të bazave të të dhënave antivirus. Përshtatet Shëroje ose Mjeti për heqjen e virusit Kaspersky... Mund të instaloni çdo antivirus tjetër në modalitetin e provës. Kjo është e mjaftueshme për të hequr virusin.

Pas kësaj, ne futemi në sistemin e infektuar dhe kontrollojmë nëse kemi të aktivizuara kopjet hije. Ky mjet funksionon si parazgjedhje në Windows 7 dhe më lart, përveç nëse e çaktivizoni manualisht. Për të kontrolluar, hapni vetitë e kompjuterit dhe shkoni te seksioni i mbrojtjes së sistemit.

Nëse gjatë infektimit nuk e keni konfirmuar kërkesën UAC për të fshirë skedarët në kopjet hije, atëherë disa të dhëna duhet të mbeten atje. Për rikuperim të përshtatshëm të skedarëve nga kopjet në hije, unë sugjeroj të përdorni një program falas për këtë - ShadowExplorer. Shkarkoni arkivin, shpaketoni programin dhe ekzekutoni atë.

Do të hapet kopja e fundit e skedarëve dhe rrënja e diskut C. Në këndin e sipërm majtas, mund të zgjidhni një kopje rezervë nëse keni më shumë se një. Kontrolloni kopjet e ndryshme për skedarët që dëshironi. Krahasoni sipas datave, ku është versioni më i fundit. Në shembullin tim më poshtë, gjeta 2 skedarë në desktopin tim tre muaj më parë kur u redaktuan për herë të fundit.

Unë munda t'i rikuperoja këto skedarë. Për ta bërë këtë, i zgjodha ato, klikoja me të djathtën, zgjodha Eksporto dhe tregova dosjen ku t'i rivendosja.

Ju mund të rivendosni dosjet menjëherë në të njëjtën mënyrë. Nëse kopjet hije funksionuan për ju dhe nuk i keni fshirë ato, keni mjaft shanse për të rikuperuar të gjithë, ose pothuajse të gjithë, skedarët e koduar nga virusi. Ndoshta disa prej tyre do të jenë një version më i vjetër se sa do të donim, por megjithatë, është më mirë se asgjë.

Nëse për ndonjë arsye nuk keni kopje hije të skedarëve, e vetmja mundësi për të marrë të paktën diçka nga skedarët e koduar është t'i rivendosni ato duke përdorur mjetet e rikuperimit të skedarëve të fshirë. Për ta bërë këtë, unë sugjeroj të përdorni programin falas Photorec.

Drejtoni programin dhe zgjidhni diskun ku do të rikuperoni skedarët. Nisja e versionit grafik të programit ekzekuton skedarin qphotorec_win.exe... Është e nevojshme të zgjidhni dosjen ku do të vendosen skedarët e gjetur. Është më mirë nëse kjo dosje nuk ndodhet në të njëjtin disk ku po kërkojmë. Lidhni një USB flash drive ose një hard disk të jashtëm për këtë.

Procesi i kërkimit do të zgjasë shumë. Në fund, do të shihni statistikat. Tani mund të shkoni në dosjen e specifikuar më parë dhe të shihni se çfarë u gjet atje. Me shumë mundësi do të ketë shumë skedarë dhe shumica e tyre ose do të jenë të dëmtuara, ose do të jenë një lloj skedari sistematik dhe i padobishëm. Por megjithatë, në këtë listë mund të gjeni disa skedarë të dobishëm. Tashmë nuk ka asnjë garanci se do të gjeni atë që do të gjeni. Imazhet zakonisht restaurohen më së miri.

Nëse nuk jeni të kënaqur me rezultatin, ka ende programe për rikuperimin e skedarëve të fshirë. Më poshtë është një listë e programeve që përdor zakonisht kur më duhet të rikuperoj numrin maksimal të skedarëve:

• R.kursimtar
• Rikuperimi i skedarit Starus
• JPEG Recovery Pro
• Profesionist për rikuperimin e skedarëve aktiv

Këto programe nuk janë falas, kështu që unë nuk do të jap lidhje. Me një dëshirë të madhe, mund t'i gjeni vetë në internet.

I gjithë procesi i rikuperimit të skedarëve duke përdorur programet e listuara tregohet në detaje në videon në fund të artikullit.

Kaspersky, eset nod32 dhe të tjerë në luftën kundër ransomware Crusis (Dharma)

Si zakonisht, kalova nëpër forumet e antivirusëve të njohur në kërkim të informacionit rreth ransomware që instalon shtesën .combo. Tendenca drejt përhapjes së virusit është qartë e dukshme. Shumë kërkesa fillojnë në mes të gushtit. Tani duket se ato nuk janë të dukshme, por, ndoshta përkohësisht, ose zgjatja e skedarëve të koduar thjesht ka ndryshuar.

Këtu është një shembull i një kërkese tipike nga forumi Kaspersky.

Më poshtë është edhe komenti i një moderatori.

Forumi EsetNod32 është njohur prej kohësh me virusin që është instaluar nga ekstensioni .combo. Siç e kuptoj unë, virusi nuk është unik apo i ri, por një variant i serisë së njohur të viruseve Crusis (Dharma). Këtu është një kërkesë tipike për të deshifruar të dhënat:

Vura re që ka shumë komente në forumin Eset që virusi depërtoi në server përmes rdp. Duket sikur ky është një kërcënim vërtet i fortë dhe nuk mund ta lini RDP-në pa mbulesë. Pyetja e vetme që lind është se si hyn virusi përmes rdp. Ai merr një fjalëkalim, lidhet me një përdorues dhe fjalëkalim të njohur, ose diçka tjetër.

Ku të shkoni për deshifrim të garantuar

Më ka ndodhur të takoj një kompani që në të vërtetë deshifron të dhënat pas punës së viruseve të ndryshëm ransomware, duke përfshirë Crusis (Dharma). Adresa e tyre është http://www.dr-shifro.ru. Pagesa vetëm pas deshifrimit dhe verifikimit tuaj. Ja një shembull se si funksionon:

1. Një specialist i kompanisë shkon deri në zyrën ose shtëpinë tuaj dhe nënshkruan një marrëveshje me ju, në të cilën ai rregullon koston e punës.
2. Nis dekriptuesin në kompjuterin e tij dhe deshifron disa skedarë.
3. Sigurohuni që të gjithë skedarët të jenë të hapur dhe nënshkruani certifikatën e dorëzimit/pranimit për punën e kryer dhe merrni një dekoder.
4. Ju deshifroni skedarët tuaj dhe rregulloni pjesën tjetër të dokumenteve.

Nuk rrezikoni asgjë. Pagesa vetëm pas demonstrimit të funksionimit të dekoderit. Ju lutemi shkruani një koment për përvojën tuaj me këtë kompani.

Metodat për mbrojtjen kundër një virusi ransomware

Unë nuk do të rendis gjërat e dukshme në lidhje me nisjen e programeve të panjohura nga Interneti dhe hapjen e bashkëngjitjeve në postë. Të gjithë e dinë këtë tani. Për më tepër, kam shkruar për këtë shumë herë në artikujt e mi në seksionin rreth. Do të doja të tërhiqja vëmendjen te kopjet rezervë. Ato nuk duhet thjesht të jenë, por të jenë të paarritshme nga jashtë. Nëse është një lloj disku rrjeti, atëherë një llogari e veçantë me një fjalëkalim të fortë duhet të ketë qasje në të.

Nëse krijoni kopje rezervë të skedarëve tuaj personal në një USB flash drive ose një disk të jashtëm, mos i mbani të lidhur përgjithmonë me sistemin. Pas krijimit të kopjeve rezervë, shkëputni pajisjet nga kompjuteri. Idealisht, unë shoh një kopje rezervë në një pajisje të veçantë, e cila ndizet vetëm për të bërë një kopje rezervë, dhe më pas shkëputet fizikisht nga rrjeti përsëri duke shkëputur telin e rrjetit ose thjesht duke u mbyllur.

Rezervimet duhet të jenë në rritje. Kjo është e nevojshme për të shmangur një situatë kur ransomware ka koduar të gjitha të dhënat dhe ju nuk e keni vënë re atë. U krye një kopje rezervë, e cila zëvendësoi skedarët e vjetër me të rinj, por tashmë të koduar. Si rezultat, ju keni arkivin, por nuk ka kuptim në të. Duhet të keni një thellësi arkivi prej të paktën disa ditësh. Unë mendoj se në të ardhmen do të shfaqen, nëse nuk janë shfaqur ende, ransomware që do të kodojnë fshehurazi një pjesë të të dhënave dhe do të presin për ca kohë pa u shfaqur. Kjo do të bëhet me shpresën që skedarët e enkriptuar të përfundojnë në arkiva dhe atje, me kalimin e kohës, të zëvendësojnë skedarët e vërtetë.

Kjo do të jetë një kohë e vështirë për sektorin e korporatave. Tashmë kam dhënë një shembull më lart nga forumi eset, ku disqet e rrjetit me 20 TB të dhëna ishin të koduara. Tani imagjinoni që keni një makinë të tillë rrjeti, por vetëm 500 G të dhëna janë të koduara në drejtoritë që nuk aksesohen vazhdimisht. Kalojnë nja dy javë, askush nuk i vëren skedarët e koduar, sepse ato janë në drejtoritë e arkivave dhe nuk përdoren vazhdimisht. Por në fund të periudhës raportuese nevojiten të dhënat. Ata shkojnë atje dhe shohin se gjithçka është e koduar. Ata shkojnë në arkiv, dhe atje thellësia e ruajtjes është, të themi, 7 ditë. Dhe kjo është e gjitha, të dhënat janë zhdukur.

Kjo kërkon një qasje të veçantë të kujdesshme ndaj arkivave. Keni nevojë për softuer dhe burime për ruajtjen afatgjatë të të dhënave.

Video me deshifrim dhe rikuperim të skedarëve

Këtu është një shembull i një modifikimi të ngjashëm të virusit, por videoja është plotësisht e rëndësishme për kombinimin.

Locked virus është një virus ransomware që hyn në kompjuter dhe kodon të dhënat personale. Atëherë përballeni me një dilemë - paguani shpërblimin ose thoni lamtumirë informacionit të koduar. Nëse e hasni këtë, gjëja e parë që duhet të bëni është të hiqni virusin .Locked. Ju mund të lexoni udhëzimet e heqjes më poshtë.

Ky virus ransomware është shumë i ngjashëm me kërcënime të tilla si virusi Locky, virusi .locky extension, TeslaCrypt, Cerber dhe KeRanger. Sidoqoftë, ka dallime të vogla midis versionit të vjetër dhe atij të ri të ransomware. .Locked përdor algoritmin e enkriptimit AES-256 në kundërshtim me algoritmet - RSA-2048 dhe AES-128 që përdor Locky, për shembull. Ransomware kërkon 500 USD, që është e barabartë me 1.22 bitcoin, në krahasim me shumën e kërkuar zakonisht prej 400 dollarësh. Gjithashtu, nëse nuk jeni në nxitim për të paguar shpërblimin, shpërblimi do të dyfishohet gjatë një periudhe të caktuar kohore. Nëse zgjidhni të paguani kriminelët kibernetikë duke klikuar në butonin "Paguaj", .Kërcënimi i kyçur ju tregon udhëzime të detajuara të pagesës. Pas kësaj, ju duhet të shkarkoni softuerin special dhe çelësin privat të deshifrimit. Megjithatë, ne nuk e rekomandojmë ta bëni këtë pasi nuk ka asnjë garanci që do të funksionojë pasi të keni përfunduar transaksionin përfundimtar. Ju mund të humbni të dhënat personale dhe paratë tuaja pas pagesës. Prandaj, duhet të mendoni për heqjen e virusit .Locked dhe të mos veproni sipas drejtimit të kriminelëve. Për këtë, ne rekomandojmë përdorimin.

Pyetje rreth virusit .Locked

• 27/08/16 1

Ndërsa flasin për krijuesit e ransomware, disa besojnë se mund të ketë një organizatë të njohur të quajtur Anonymus të lidhur. Dyshime të tilla u ngritën pas shfaqjes së një tjetër ransomware - Anonymus. Virusi i fundit gjithashtu besohet të ketë origjinën përmes kësaj organizate. Duke ditur zgjuarsinë e këtyre hakerëve që arritën të depërtojnë në institucionet ndërkombëtare qeveritare dhe private, virusi .Locked mund të jetë një kërcënim real. Përveç kësaj, hakerët përdorin foto të markës Anonymus, gjë që lejon shumë spekulime.

Si. ransomware i kyçur infekton kompjuterët?

Ashtu si malware të ngjashëm, virusi depërton përmes bashkëngjitjeve të infektuara. Përdoruesi merr fatura të rreme ose trafik që përmban skedarë ZIP ose Word me kod të integruar. Nëse viktima ngarkon një skedar të tillë në sistemin operativ, ransomware instalohet dhe kodon dokumente të rëndësishme, certifikata, llogari, llogari dhe informacione të ngjashme. Pasi të përfundojë së punuari, ai lë një skedar të bllokuar në dosje të koduara. Pastaj një mesazh shfaqet në ekranin e përdoruesit.

Përveç kësaj, është vërejtur se .Locked mund të përhapet përmes një Trojan. Ky kërcënim siguron maskimin e nevojshëm për ransomware. Në mënyrë tipike, programet antivirus nuk zbulojnë Trojans, pasi duket të jetë një program legjitim. Pasi kalon përmes sistemit të sigurisë, Trojani instalon përmbajtje me qëllim të keq dhe .Locked fillon punën e tij. Në këtë situatë, duhet të keni një program antivirus për të zbuluar Trojans dhe programe të tjera me qëllim të keq të këtij lloji. Gjithashtu, ransomware përhapet përmes lojërave të hakuara. Pra, nëse jeni një lojtar i pasionuar, kini kujdes, pasi sulmet PUP mund të hakojnë kompjuterin tuaj, pas çdo loje viruse serioze mund t'ju sfidojnë.

Udhëzim për heqjen. E kyçur:

Nëse jeni infektuar me ransomware .Locked, duhet të arrini në përfundimin se skedarët tuaj të koduar mund të humbasin. Ju mund t'i rivendosni ato nga kopjet rezervë, por nëse nuk mund të gjeni kopje të të dhënave të rëndësishme, do të thotë që nuk do t'i ktheni këto skedarë. Heqja manuale mund të mos funksionojë, duke pasur parasysh strukturën komplekse të ransomware dhe algoritmin e tij të enkriptimit. Kështu, ju mbetet vetëm një zgjidhje - çinstaloni. Të kyçur me një program të fuqishëm antivirus si ose. Së fundi, është e rëndësishme të përditësoni dhe skanoni pajisjet tuaja të sigurisë dhe të shijoni sërish lundrimin në internet. Nëse nuk jeni në gjendje të nisni ndonjë nga programet e përmendura më lart, ndiqni udhëzuesin më poshtë.