Windows

A fájljaid titkosítva voltak - mit kell tenni?

A fájljaid titkosítva voltak - mit kell tenni?

Az egyik leginkább problémás káros program manapság a trójai vagy a vírusok titkosítása a felhasználói lemezen. Ezeknek a fájloknak egy része visszafejthető, mások még nem. A kézikönyv mindkét helyzetben lehetséges műveletek algoritmusait, a titkosítás konkrét típusának meghatározásának módját, a Ransom és az ID Ransomware szolgáltatásoknál, valamint a kifinomult vírusok elleni védelemről szóló programok rövid áttekintését (Ransomware).

Az ilyen vírusok vagy háromszög-hordozók (és az újak folyamatosan jelennek meg) számos módosítása van, de a munka általános lényege annak a ténynek a következménye, hogy a számítógépre történő telepítés után a dokumentumok, a képek és a potenciálisan fontosak. Titkosítva a bővítés megváltoztatásával és az eredeti fájlok eltávolításával, majd üzenetet kap a Readme fájlban.txt, hogy az összes fájl titkosítva volt, és a dekódolásukhoz egy bizonyos összeget el kell küldenie a támadónak. Megjegyzés: A Windows 10 őszi alkotói frissítésben beépített védelem volt a sziphézis vírusok ellen.

Mi a teendő, ha minden fontos adat titkosítva van

A kezdőknek néhány általános információ a számítógépen lévő fontos fájlok titkosításához. Ha a számítógépen lévő fontos adatokat titkosítják, akkor mindenekelőtt ne pánikba kerüljön.

Ha van ilyen lehetősége, egy számítógépes lemezről, amelyen egy varázslóvírus jelent meg (ransomware), másoljon valahol egy külső meghajtón (flash meghajtón) egy példa egy fájlra, amelynek szöveges kérése van egy támadóhoz a dekódoláshoz, plusz egy másolat másolatával Titkosított fájl, majd a lehetőségeknél kapcsolja ki a számítógépet, hogy a vírus ne folytassa az adat titkosítást, és hajtsa végre a többi műveletet egy másik számítógépen.

A következő lépés az, hogy megtudja, hogy a vírus típusát pontosan mi titkosítja az Ön adatait a rendelkezésre álló titkosított fájlok segítségével: Néhányuknak vannak dekóderek (néhányan itt jelzik, néhányat a cikk végéhez közelebbről jeleznek), mert Néhány - még nincs. De még ebben az esetben is példákat küldhet a titkosított fájlokról az antivírus laboratóriumokba (Kaspersky, DR. Web) Tanulni.

Hogyan lehet megtudni? Ezt a Google használatával megteheti, ha megbeszélést vagy titkosítás típusát találja meg a fájl kibővítéséhez. A szolgáltatások is úgy tűnt, hogy meghatározzák a ransomware típusát.

Nincs több váltságdíj

A No More Ransom egy aktívan fejlesztő erőforrás, amelyet a biztonsági fejlesztők támogatnak és az orosz verzióban elérhetőek, amelynek célja a vírusok titkosításokkal történő leküzdése (trójai -robulok).

Szerencsével, a Ransom nem segíthet megfejteni a dokumentumokat, az adatbázisokat, a fényképeket és az egyéb információkat, letöltheti a dekódoláshoz szükséges programokat, valamint olyan információkat szerezhet, amelyek segítenek elkerülni az ilyen fenyegetéseket a jövőben.

A No More Ransom -on megpróbálhatja megfejteni a fájljait, és meghatározhatja a Sipper vírus típusát az alábbiak szerint:

  1. Kattintson az "Igen" gombra a Szolgáltatás főoldalán https: // www.Nomoreansom.Org/ru/index.Html
  2. Megnyílik a „Crypto-Sheep” oldal, ahol letölthet példákat a titkosított fájlokról, amelyek legfeljebb 1 MB méretűek (azt javaslom, hogy töltse le a nem tartozó bizalmas adatokat), valamint jelezze az e-mail címeket vagy webhelyeket, amelyekre a csalók megkövetelik vásárlás (vagy töltse fel a readme fájlt.txt igényrel). 
  3. Kattintson a "Check" gombra, és várja meg a csekk befejezését és annak eredményét.

Ezenkívül hasznos szakaszok érhetők el a webhelyen:

  • A csökkentések szinte minden olyan segédprogram, amely a jelenlegi időpontban létezik a titkosítási vírusok megfejtéséhez. 
  • Fertőzés megelőzése - Elsősorban a kezdő felhasználókra irányuló információk, amelyek segíthetnek a jövőben elkerülni a fertőzést.
  • Kérdések és válaszok - Információk azok számára, akik jobban szeretnének megérteni a titkosítási vírusok és cselekedetek munkáját azokban az esetekben, amikor szembesül azzal, hogy a számítógépen lévő fájlok titkosítva voltak.

Manapság a Ransom valószínűleg a legmegfelelőbb és leghasznosabb erőforrás, amely az orosz nyelvű felhasználó fájljainak dekódolásához kapcsolódik, azt javaslom.

Id Ransomware

Egy másik ilyen szolgáltatás a https: // id -ransomware.Rosszindulatú malwareHunterTeam.Com/(igaz, nem tudom, mennyire működik jól a vírus orosz nyelvű változataiban, de érdemes kipróbálni, a szolgáltatásnak egy titkosított fájl és egy vásárlást igénylő szöveges fájl példáját adta).

Miután meghatározta a titkosítás típusát, ha sikerrel járt, próbáljon megtalálni egy segédprogramot ennek az opciónak a megfejtéséhez, mint például: type_ -A dekpresszor elfordítása. Az ilyen segédprogramok ingyenesek és az antivírus fejlesztők által gyártottak, például számos ilyen segédprogram megtalálható a Kaspersky https: // támogatási weboldalon.Kaspersky.Ru/vírusok/segédprogram (más segédprogramok közelebb állnak a cikk végéhez). És amint már említettük, ne habozzon kapcsolatba lépni a vírusok fejlesztőjével a fórumukon vagy a támogatási szolgáltatással postán.

Sajnos mindez nem mindig segít, és nem mindig van működő fájldekódolók. Ebben az esetben a szkriptek különböznek: sok fizető támadó, ösztönözve őket, hogy folytassák ezt a tevékenységet. Egyes felhasználókat a programok segítenek a számítógép adatainak visszaállításához (mivel a vírus, titkosított fájl készítése, egy rendszeres fontos fájl, amelyet elméletileg vissza lehet állítani).

A számítógépes fájlok az XTBL -ben vannak titkosítva

A monitor vírus titkosításának egyik utolsó lehetősége a fájlokat, és a fájlokkal történő cseréje kiterjesztéssel .XTBL és egy név, amely véletlenszerű karakterkészletből áll.

Ugyanakkor egy szöveges fájlt tesznek közzé a számítógépen.TXT megközelítőleg a következő tartalommal: "A fájljait titkosítják. A megfejtéshez el kell küldenie a kódot az e -mail címre a [email protected], dekó[email protected] vagy [email protected]. Ezután megkapja az összes szükséges utasítást. A fájlok megfejtésére tett kísérletek önállóan visszavonhatatlan információvesztést eredményeznek ”(a levél és a szöveg címe eltérhet).

Sajnos a megfejtés módja .Az XTBL jelenleg nem (amint megjelenik, az utasítás frissül). Néhány felhasználó, akiknek igazán fontos információk vannak a víruskereső fórumokról szóló számítógépes jelentésről, 5000 rubelt vagy más szükséges összeget küldtek a vírus szerzőinek, és dekódert kaptak, de ez nagyon kockázatos: nem szerezhet semmit.

Mi a teendő, ha a fájlokat titkosítják .XTBL? Az ajánlásaim a következőképpen néznek ki (de különböznek egymástól, amelyek sok más tematikus webhelyen vannak, ahol például azt javasolják, hogy azonnal kikapcsolják a számítógépet a hálózatról, vagy nem törölik a vírust. Véleményem szerint ez felesleges, és a körülmények kombinációjában akár ártalmas is lehet, de Ön úgy dönt, hogy.)::

  1. Ha tudod, hogyan kell megszakítani a titkosítási folyamatot azáltal, hogy eltávolítja a megfelelő feladatokat a feladatok adagolójában, kikapcsolja a számítógépet az internetről (ez a titkosításhoz szükséges feltétel lehet)
  2. Ne felejtse el vagy írja le azt a kódot, amelyet a támadók megkövetelnek az e -mail címre (csak ne a számítógépen lévő szöveges fájlba, csak akkor, hogy az is ne legyen titkosítva).
  3. A MalwareBytes antimalware, a Kaspersky Internet Security vagy a DR próbaverziója használata.Webszerelés Törli a vírust, titkosítja a fájlokat (ezek az eszközök mindegyike megbirkózik ezzel a jól). Azt javaslom, hogy vegye fel a felváltást az első és a második termék használatával a listából (ha telepítve van víruskeresője, a második „felülről” telepítése nemkívánatos, mivel ez problémákat okozhat a számítógépen.)
  4. Várjon egy dekódert bármely antivirális társaságtól. Az élen jár itt a kaspersky laboratórium.
  5. Küldhet egy példát egy titkosított fájlra és a szükséges kódra Newví[email protected], Ha ugyanazon fájl másolata van titkosítatlan formában, küldje el is. Elméletileg ez felgyorsíthatja a dekóder megjelenését.

Mit nem szabad tenni:

  • Átnevezze a titkosított fájlokat, változtassa meg a kiterjesztést és törölje azokat, ha fontosak.

Talán ez minden, amit elmondhatok a titkosított fájlok terjeszkedésével .XTBL egy adott időben.

A fájlok titkosítva better_call_saul

Az utolsó rejtjel -vírusok közül - jobb hívás Saul -t (trójai -ranom.Win32.Árnyék), a bővítés beállítása .Better_call_saul titkosított fájlokhoz. Az ilyen fájlok megfejtése még nem egyértelmű. Azok a felhasználók, akik a Kaspersky laboratóriumhoz és a DR -hez kapcsolódnak.Az internetes olyan információkat kapott, amelyeket egyelőre nem tudsz megtenni (de még mindig megpróbálja elküldeni - További minták titkosított fájlokból a fejlesztőktől = valószínűbb, hogy megtalálják a módszert).

Ha kiderül, hogy talált egy dekódolási módszert (t.E. Valahol elhelyezték, de nem követtem nyomon), kérjük, ossza meg az információkat a megjegyzésekben.

Trójai-ranszom.Win32.Aura és trójai-ranszom.Win32.Rakhni

A következő trójai, a fájlok titkosítása és a kiterjesztések beállítása ebből a listából:

  • .Zárt
  • .Rejtjel
  • .Kraken
  • .AES256 (nem feltétlenül ez a trójai, vannak mások, akik ugyanazt a kiterjesztést hozják létre).
  • .Codercsu@gmail_com
  • .Ív
  • .Oshit
  • És mások.

A vírusok működése után a fájlok visszafejtéséhez a Kaspersky webhelyének ingyenes Rakhnidecryptor segédprogramja elérhető a http: // támogatás hivatalos oldalán.Kaspersky.RU/Vírusok/Fertőtlenítés/10556.

Van még egy részletes utasítás a segédprogram használatához, amely megmutatja, hogyan lehet visszaállítani a titkosított fájlokat, amelyekből csak akkor távolítanám el a „Titkosított fájlok törlése a sikeres dekódolás után” című elemet (bár azt hiszem, hogy minden rendben lesz. a beállított opció).

Ha van DR antivírus licencje.Web Használhatja ebből a cégből származó ingyenes dekódolást a http: // támogatási oldalon.Drweb.Com/új/free_unlocker/

Egy másik lehetőség a korty vírusra

Ritkábban megtalálhatók a következő trójaiak, a fájlok titkosítása és a dekódoláshoz szükséges pénz igénylése is. Ezen linkek szerint nemcsak a fájlok visszatérésére szolgálnak, hanem a jelek leírása is, amelyek segítenek meghatározni, hogy megvan ez a vírus. Bár általában az optimális út: A Kaspersky Antivirus használata, beolvassa a rendszert, derítse ki a trójai nevét a vállalat osztályozásával, majd keressen egy segédprogramot e név szerint.

  • Trójai-ranszom.Win32.Rektor - Ingyenes retordecrryptor segédprogram a dekódoláshoz és a használathoz itt érhető el: http: // támogatás.Kaspersky.RU/Vírusok/Fertőtlenítés/4264
  • Trójai-ranszom.Win32.A Xorist egy hasonló trójai, hogy az ablakot megjelenítve egy fizetett SMS elküldésére vagy az E -Mail -rel való kapcsolatfelvételre, hogy a dekódoláshoz szükséges utasításokat kapjon. A titkosított fájlok és a XoristDecryptor segédprogramok helyreállítására vonatkozó utasítások ehhez a http: // támogatási oldalon találhatók.Kaspersky.Ru/vírusok/fertőtlenítés/2911
  • Trójai-ranszom.Win32.Rannoh, trójai-ransom.Win32.Fury - RannochDecryptor segédprogram http: // támogatás.Kaspersky.RU/Vírusok/Fertőtlenítés/8547
  • trójai.Kódoló.858 (XTBL), trójai.Kódoló.741 és mások azonos névvel (amikor az antivírus DR -en keresztül keresnek.Web vagy gyógyítja meg a) és a különböző számokat - próbáljon keresni az interneten, Troyan nevű. Néhányuknak vannak DSHPenth segédprogramjai a DR -től.Web, ha nem tudta megtalálni a segédprogramot, de van egy DR licenc.Web, használhatja a http: // támogatás hivatalos oldalát.Drweb.Com/új/free_unlocker/
  • Cryptolocker - A fájlok megfejtéséhez a Cryptolocker munka után használhatja a http: // dekódcryptolocker webhelyet.com - Miután egy fájl példáját elküldte, kap egy kulcsot és segédprogramot a fájlok visszaállításához.
  • Az oldalon https: // bitbucket.Org/jadacyrus/ransomwarereramovalkit/Letöltés a hozzáférési ransomware eltávolító készlet - egy nagy archívum, amely információkkal rendelkezik a különféle titkosításokról és a dekódolási segédprogramokról (angol nyelven)

Nos, a legfrissebb hírekből - a Kaspersky Laboratory, a hollandiai rendészeti tisztviselőkkel együtt, Ransomware dekódot fejlesztett ki (http: // noransom.Kaspersky.Com) a fájlok dekódolásához a Coinvault után, de a szélességeinkben ez a zsarolás még nem található meg.

Védelem a titkosítási vírusok vagy ransomware ellen

A ransomware elterjedésével sok víruskereső gyártója és a rosszindulatú programok elleni küzdelem módja megkezdte megoldásaikat a számítógépen lévő titkosítások munkájának megakadályozására, köztük megkülönböztethetők:
  • MalwareBytes anti-ransomware 
  • Bitdefender anti-ransomware 
  • Winantiransom
Az első kettő még mindig béta verziókban van, de ingyenes (ezek csak korlátozott víruskészlet meghatározását támogatják - TesLacrypt, CTBlocker, Locky, Cryptolocker. Winantiransom - egy fizetett termék, amely megígéri, hogy megakadályozza a titkosítást szinte bármilyen ransomware mintában, mind a helyi, mind a hálózati lemezek védelmét biztosítva.

De: ezeket a programokat nem dekódolásra tervezték, hanem csak a fontos fájlok titkosításának megakadályozására a számítógépen. Mindenesetre számomra úgy tűnik, hogy ezeket a funkciókat víruskereső termékekben kell végrehajtani, különben furcsa helyzetet szereznek: a felhasználónak a vírus vírusát kell tartania, az ADware és a rosszindulatú programok kombinálásának eszköze, valamint mostantól a ranszomWare segédprogramja, Plus Plus egy anti-kizsákmányolás.

Mellesleg, ha hirtelen kiderül, hogy van valami hozzáadása (mert nincs időm figyelemmel kísérni, mi történik a dekódolás módszereivel), jelentést tesz a megjegyzésekben, ez az információ hasznos lesz más felhasználók számára, akik találkoztak a probléma.