Windows

Twoje pliki zostały zaszyfrowane - co robić?

Twoje pliki zostały zaszyfrowane - co robić?

Jednym z najbardziej problematycznych szkodliwych programów jest pliki szyfrowania trojana lub wirusa na dysku użytkownika. Niektóre z tych plików można odszyfrować, a niektóre jeszcze nie są. Podręcznik zawiera możliwe algorytmy działań w obu sytuacjach, sposoby określenia określonego rodzaju szyfrowania w usługach ransomware i identyfikatorów ID, a także krótki przegląd programów ochrony przed wyrafinowanymi wirusami (Ransomware).

Istnieje kilka modyfikacji takich wirusów lub triangs-karierów (i stale pojawiają się nowe), ale ogólna esencja pracy sprowadza się do faktu, że po zainstalowaniu na komputerze pliki dokumentów, obrazów i innych jest potencjalnie ważne szyfrowane ze zmianą rozszerzenia i usuwania oryginalnych plików, a następnie otrzymasz wiadomość w pliku ReadMe.txt, że wszystkie twoje pliki zostały zaszyfrowane, a do ich odszyfrowania musisz wysłać określoną kwotę do atakującego. UWAGA: W aktualizacji Windows 10 Fall Creators Aktualizacja istniała wbudowana ochrona przed wirusami syfonu.

Co zrobić, jeśli wszystkie ważne dane są szyfrowane

Na początek niektóre ogólne informacje o szyfrowaniu ważnych plików na swoim komputerze. Jeśli ważne dane na komputerze zostały zaszyfrowane, to przede wszystkim nie powinieneś panikować.

Jeśli masz taką okazję, z dysku komputerowego, na którym pojawił się wirus czarnoksiężnika (Ransomware), skopiuj gdzieś na napędu zewnętrznym (dysk flash) Przykład pliku z żądaniem tekstu dla atakującego do dekodowania plus kopia zaszyfrowany plik, a następnie, na możliwościach, wyłącz komputer, aby wirus nie mógł kontynuować szyfrowania danych i wykonać resztę działań na innym komputerze.

Następnym krokiem jest dowiedzieć się, jaki rodzaj wirusa zaszyfrował twoje dane za pomocą dostępnych zaszyfrowanych plików: dla niektórych z nich są dekodery (niektóre tutaj wskazują, niektóre są wskazane bliżej końca artykułu), dla Niektóre - jeszcze nie ma. Ale nawet w tym przypadku możesz wysłać przykłady zaszyfrowanych plików do laboratoriów antywirusowych (Kaspersky, Dr. Internet) do nauki.

Jak się dowiedzieć? Możesz to zrobić za pomocą Google, znajdując dyskusje lub rodzaj szyfrowania w celu rozszerzenia pliku. Usługi również zaczęły wydawać się określić rodzaj oprogramowania ransomware.

Nigdy więcej okupu

No More Ransom jest aktywnie rozwijającym się zasobem obsługiwanym przez programistów bezpieczeństwa i dostępny w wersji w języku rosyjskim, mającym na celu zwalczanie wirusów z szyfrowaniem (Trojans -Robbers).

Przy szczęściu, żaden ransom nie może pomóc w rozszyfrowaniu dokumentów, baz danych, zdjęć i innych informacji, pobrać niezbędne programy do dekodowania, a także uzyskać informacje, które pomogą uniknąć takich zagrożeń w przyszłości.

W przypadku No More Ransom możesz spróbować rozszyfrować swoje pliki i określić rodzaj wirusa SIPPE w następujący sposób:

  1. Kliknij „Tak” na stronie głównej usługi https: // www.NOMOREANSOM.Org/ru/indeks.Html
  2. Strona „Crypto-Sheep” zostanie otwarta, w której można pobrać przykłady zaszyfrowanych plików o rozmiarze nie więcej niż 1 MB (zalecam pobieranie niezależnych danych), a także wskazać adresy e-mail lub strony, dla których wymagają oszustów Zakup (lub prześlij plik ReadMe.TXT z popytem). 
  3. Kliknij przycisk „Sprawdź” i poczekaj na zakończenie czeku i jego wyniku.

Ponadto na stronie dostępne są przydatne sekcje:

  • Obniżki to prawie wszystkie narzędzia istniejące w bieżącym czasie do rozszyfrowania plików zaszyfrowanych wirusów. 
  • Zapobieganie zakażeniu - informacje skierowane przede wszystkim do początkujących użytkowników, które mogą pomóc uniknąć infekcji w przyszłości.
  • Pytania i odpowiedzi - Informacje dla tych, którzy chcą lepiej zrozumieć pracę wirusów i działań szyfrowania w przypadkach, w których napotkasz fakt, że pliki na komputerze zostały zaszyfrowane.

Dzisiaj nie więcej okupu nie jest prawdopodobnie najbardziej odpowiednim i użytecznym zasobem związanym z odszyfrowaniem plików dla użytkownika Rosji, polecam.

ID Ransomware

Inną taką usługą jest https: // id -ransomware.MalwareHunterTeam.Com/(prawda, nie wiem, jak dobrze to działa w przypadku rosyjskich wariantów wirusa, ale warto wypróbować, podać usługę zaszyfrowanego pliku i pliku tekstowego wymagającego zakupu).

Po ustaleniu rodzaju szyfrowania, jeśli ci się udało, spróbuj znaleźć narzędzie do rozszyfrowania tej opcji na potrzeby: type_ -Sthifor of decryptor. Takie narzędzia są bezpłatne i produkowane przez programistów antywirusowych, na przykład kilka takich narzędzi można znaleźć na stronie internetowej Kaspersky Https: //.Kaspersky.Ru/wirusy/użyteczność (inne narzędzia są bliżej końca artykułu). I, jak już wspomniano, nie wahaj się skontaktować z programistami antywirusów na ich forach lub z usługą wsparcia pocztą.

Niestety, wszystko to nie zawsze pomaga i nie zawsze mają działające dekodery plików. W takim przypadku skrypty są różne: wielu atakujących płac, zachęcając ich do kontynuowania tej działalności. Niektórym użytkownikom pomagają przywracanie danych na komputerze (ponieważ wirus, tworząc zaszyfrowany plik, deleys regularny ważny plik, który teoretycznie można przywrócić).

Pliki komputerowe są szyfrowane w XTBL

Jedna z ostatnich opcji wirusa monitoruje pliki, zastępując je plikami rozszerzeniem .XTBL i nazwa składająca się z losowego zestawu znaków.

Jednocześnie plik tekstowy jest publikowany na komputerze.TXT z w przybliżeniu następującej treści: „Twoje pliki zostały zaszyfrowane. Aby je rozszyfrować, musisz wysłać kod na adres e -mail [email protected], [email protected] lub [email protected]. Następnie otrzymasz wszystkie niezbędne instrukcje. Próby rozszyfrowania plików niezależnie doprowadzą do nieodwołalnej utraty informacji ”(adres poczty i tekstu może się różnić).

Niestety sposób na rozszyfrowanie .XTBL nie jest obecnie (jak tylko się pojawi, instrukcja zostanie zaktualizowana). Niektórzy użytkownicy, którzy mają naprawdę ważne informacje na temat raportu komputerowego na forach antywirusowych, że wysłali 5000 rubli lub inną wymaganą kwotę dla autorów wirusa i otrzymali dekoder, ale jest to bardzo ryzykowne: nic nie można uzyskać.

Co zrobić, gdyby pliki zostały zaszyfrowane .Xtbl? Moje zalecenia wyglądają następująco (ale różnią się od tych, które znajdują się na wielu innych miejscach tematycznych, w których na przykład zalecają natychmiastowe wyłączenie komputera z sieci lub nie usuwają wirusa. Moim zdaniem jest to zbędne i w połączeniu okoliczności może być nawet szkodliwe, ale decydujesz.):

  1. Jeśli wiesz, jak przerwać proces szyfrowania, usuwając odpowiednie zadania w dozowniku zadań, wyłączając komputer z Internetu (może to być niezbędny warunek szyfrowania)
  2. Zapamiętaj lub zapisz kod, którego napastnicy wymagają wysyłania na adres e -mail (tylko nie do pliku tekstowego na komputerze, na wszelki wypadek, aby nie okazało się, że nie jest szyfrowany).
  3. Korzystanie z oprogramowania antymalowego MalwareBytes, próbnej wersji Kaspersky Internet Security lub Dr.Web Cure Usuwa wirusa, szyfrowanie plików (wszystkie te narzędzia radzą sobie z tym dobrze). Radzę na zmianę przy użyciu pierwszego i drugiego produktu z listy (jednak jeśli masz zainstalowany antywirus, instalacja drugiego „z góry” jest niepożądana, ponieważ może prowadzić do problemów na komputerze.)
  4. Poczekaj na dekodera z dowolnej firmy antywirusowej. Na czele tutaj Kaspersky Lab.
  5. Możesz także wysłać przykład zaszyfrowanego pliku i wymaganego kodu dla [email protected], Jeśli masz kopię tego samego pliku w niezaszyfrowanym formularzu, wyślij ją również. Teoretycznie może to przyspieszyć wygląd dekodera.

Czego nie należy zrobić:

  • Zmień nazwę zaszyfrowanych plików, zmień rozszerzenie i usuń je, jeśli są one ważne.

To może wszystko, co mogę powiedzieć o zaszyfrowanych plikach z rozszerzeniem .Xtbl w danym momencie.

Pliki są szyfrowane lepiej_call_saul

Ostatnich wirusów szyfrów - lepiej zadzwoń Saul (Trojan -Ransom.Win32.Cień), ustawiając rozszerzenie .Lepszy_call_saul dla zaszyfrowanych plików. Jak rozszyfrować takie pliki nie jest jeszcze jasne. Użytkownicy związani z Kaspersky Laboratory i Dr.Web otrzymał informacje, których na razie nie możesz zrobić (ale nadal próbuj je wysłać - więcej próbek zaszyfrowanych plików od programistów = bardziej prawdopodobne, że znajdź metodę).

Jeśli okaże się, że znalazłeś metodę odszyfrowania (t.mi. Został gdzieś ułożony, ale nie śledziłem), proszę udostępnić informacje w komentarzach.

Trojan-Ransom.Win32.Aura i Trojan-Ransom.Win32.Rakhni

Następny trojan, szyfrowanie plików i ustawianie ich rozszerzeń z tej listy:

  • .Zablokowany
  • .Krypto
  • .Kraken
  • .AES256 (niekoniecznie ten trojan, są inne, które ustanawiają to samo rozszerzenie).
  • .Codercsu@gmail_com
  • .Enc
  • .Oshit
  • I inni.

Aby odszyfrować pliki po przeprowadzeniu tych wirusów, strona internetowa Kaspersky ma bezpłatne narzędzie RakhnideCryptor dostępne na oficjalnej stronie http: // wsparcie.Kaspersky.Ru/wirusy/dezynfekcja/10556.

Istnieje również szczegółowe instrukcje dotyczące korzystania z tego narzędzia pokazujące, jak przywrócić zaszyfrowane pliki, z których na wszelki wypadek usunąłbym element „Usuń zaszyfrowane pliki po udanym dekodowaniu” (chociaż myślę, że wszystko będzie w porządku opcja ustawiona).

Jeśli masz licencję DR Antivirus.Internet.Drweb.Com/new/free_unlocker/

Kolejne opcje wirusa Sippera

Rzadziej znajdują się również następujące trojany, szyfrujące pliki i wymaganie pieniędzy na dekodowanie. Zgodnie z tymi linkami istnieją nie tylko narzędzia do zwrócenia plików, ale także opis znaków, które pomogą ustalić, że masz ten wirus. Chociaż ogólnie, optymalna ścieżka: za pomocą Kaspersky Antivirus, zeskanuj system, znajdź nazwę trojana według klasyfikacji tej firmy, a następnie poszukaj użyteczności według tej nazwy.

  • Trojan-Ransom.Win32.Rektor - bezpłatne narzędzie do retterdecryptor do dekodowania i użycia jest dostępne tutaj: http: // obsługa.Kaspersky.Ru/wirusy/dezynfekcja/4264
  • Trojan-Ransom.Win32.Xorist to podobny trojan, który wyświetla okno z prośbą o wysłanie płatnego SMS -ów lub kontaktu E -MAIL, aby otrzymać instrukcje dotyczące deszyfrowania. Instrukcje dotyczące przywracania zaszyfrowanych plików i narzędzia XoristDecryptor dla tego znajdują się na stronie wsparcia http: //.Kaspersky.Ru/wirusy/dezynfekcja/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - narzędzie Rannochdecryptor http: // wsparcie.Kaspersky.Ru/wirusy/dezynfekcja/8547
  • trojański.Enkoder.858 (XTBL), trojan.Enkoder.741 i inni o tej samej nazwie (podczas wyszukiwania przez antywirus.Internet lub leczy go) i różne liczby - spróbuj wyszukiwać w Internecie o nazwie Troyan. Dla niektórych z nich istnieją narzędzia Dshpenth od Dr.Internet, również jeśli nie byłeś w stanie znaleźć narzędzia, ale istnieje licencja DR.Web, możesz użyć oficjalnej strony http: // wsparcie.Drweb.Com/new/free_unlocker/
  • Cryptolocker - Aby rozszyfrować pliki po pracy Cryptolocker, możesz użyć witryny http: // decryptcrypolocker.com - Po wysłaniu przykładu pliku otrzymasz klucz i narzędzie do przywracania plików.
  • Na stronie https: // bitbucket.Org/jadacyrus/ransomwarereramovalkit/Pobieranie Dostęp do Ransomware Zestaw usuwania oprogramowania - duże archiwum z informacjami o różnych rodzajach szyfrowania i narzędzi do deszyfrowania (w języku angielskim)

Cóż, z najnowszych wiadomości - Kaspersky Laboratory, wraz z funkcjonariuszami organów ścigania z Holandii, opracował deszyftor ransomware (http: // noransom.Kaspersky.Com) odszyfrować pliki po Coinvault, ale na naszych szerokościach geograficznych to wymuszenie nie zostało jeszcze znalezione.

Ochrona przed wirusami szyfrowania lub oprogramowaniem ransomware

W miarę rozprzestrzeniania się oprogramowania ransomware wielu producentów antywirusowych i środki zwalczania złośliwych programów zaczęło tworzyć swoje rozwiązania, aby zapobiec pracy szyfrowania na komputerze, wśród nich można je wyróżnić:
  • MalwareBytes Anti-Ransomware 
  • Bitdefender Anti-Ransomware 
  • Winantiransom
Pierwsze dwa są nadal w wersjach beta, ale bezpłatne (obsługują definicję tylko ograniczonego zestawu wirusów tego typu - Teslacrypt, Ctblocker, Locky, CryptoLocker. Winantiransom - płatny produkt, który obiecuje zapobiegać szyfrowaniu przez prawie wszelkie próbki oprogramowania ransomware, zapewniając ochronę zarówno dysków lokalnych, jak i sieciowych.

Ale: programy te nie są przeznaczone do dekodowania, ale tylko w celu zapobiegania szyfrowaniu ważnych plików na komputerze. W każdym razie wydaje mi się, że funkcje te powinny być zaimplementowane w produktach antywirusowych, w przeciwnym razie uzyskano dziwną sytuację: użytkownik musi zatrzymać antywirus na komputerze, sposób zwalczania oprogramowania adwokackiego i złośliwego oprogramowania, a teraz także narzędzia anty-zaprzestania, plus plus anty-exploit.

Nawiasem mówiąc, jeśli nagle okażesz się, że masz coś do dodania (ponieważ nie mogę mieć czasu na monitorowanie tego, co dzieje się z metodami odszyfrowania), zgłoś komentarze, informacje te będą przydatne dla innych użytkowników, którzy się spotkali problem.