Еден од најпроблематичните малициозен софтвер денес е тројанец или вирус кој шифрира датотеки на дискот на корисникот. Некои од овие датотеки може да се декриптираат, а некои - не сеуште. Прирачникот содржи можни алгоритми за дејства во двете ситуации, начини за одредување на специфичниот тип на шифрирање на услугите No More Ransom и ID Ransomware, како и краток преглед на софтверот за заштита од ширење на вируси (ransomware).
Постојат неколку модификации на такви вируси или ransomware тројанци (и нови се постојано се појавуваат), но општата суштина на работата е дека по инсталирањето на датотеките од документи, слики и други датотеки кои се потенцијално важни, тие се шифрираат со продолжување и бришење на оригиналните датотеки. тогаш ќе добиете порака во датотеката readme.txt во која се наведува дека сите ваши датотеки се шифрирани и да ги дешифрирате, треба да испратите одредена сума на напаѓачот. Забелешка: Windows 10 Fall Creators Ажурирање сега има вградена заштита од енкрипција вируси.
Што ако сите важни податоци се шифрираат
За почеток, некои општи информации за шифрирање на важни датотеки на вашиот компјутер. Ако важни податоци на вашиот компјутер се шифрирани, тогаш најпрво не треба да паничете.
Ако имате таква можност, копирајте примерок датотека со барање за текст од напаѓачот за декрипција, плус инстанца на шифрирана датотека, на надворешен диск (флеш диск) од компјутерскиот диск на кој се појавил шифрирањето на вирусот (ransomware). Исклучете го компјутерот така што вирусот не може да продолжи да ги шифрира податоците и да ги изведува останатите дејства на друг компјутер.
Следната фаза е да откриете кој тип на вирус ги шифрира вашите податоци користејќи ги достапните шифрирани датотеки: за некои од нив има дескрамбли (некои ќе истакнам тука, некои се посочени поблиску до крајот на статијата), а за некои - се уште не. Но, дури и во овој случај, можете да испраќате примери за шифрирани датотеки во антивирусни лаборатории (Kaspersky, Dr. Web) за студирање.
Како точно да дознаете? Ова можете да го направите користејќи го Google, наоѓајќи дискусии или тип на криптограф со продолжување на датотеката. Исто така започна да се појавуваат услуги за да се одреди типот на ransomware.
Нема повеќе отказ
No More Ransom е активно развиен ресурс поддржан од развивачите на безбедносни алатки и достапен во руската верзија, насочена кон борба против вируси од криптографи (тројанци-изнудувачи).
Со среќа, No More Ransom може да помогне во декриптирање на вашите документи, бази на податоци, фотографии и други информации, да ги преземете потребните програми за декрипција, а исто така да добиете информации кои ќе помогнат да се избегнат такви закани во иднина.
На "No More Ransom", можете да се обидете да ги декриптирате вашите датотеки и да го одредите видот на вирусот за шифрирање на следниов начин:
- Кликнете на "Да" на главната страница на услугата //www.nomoreransom.org/ru/index.html
- Страницата Crypto Sheriff ќе се отвори, каде што можете да даунлоадирате примери за шифрирани датотеки не поголеми од 1 МБ (препорачувам да не ставате никакви доверливи податоци), а исто така да наведете е-адреси или сајтови на кои измамниците бараат откуп (или да ја преземете датотеката readme.txt од барање).
- Кликнете на копчето "Провери" и почекајте проверката и резултатот да заврши.
Дополнително, сајтот има корисни делови:
- Дешифрири - скоро сите постоечки комунални услуги за декриптирање на вирус-шифрирани датотеки.
- Превенција на инфекција - информации насочени првенствено кон почетните корисници, што може да помогне да се избегне инфекција во иднина.
- Прашања и одговори - информации за оние кои сакаат подобро да ја разберат работата на енкрипција вируси и акции во случаи кога сте соочени со фактот дека датотеките на вашиот компјутер се шифрирани.
Денес, No More Ransom е веројатно најрелевантен и корисен ресурс поврзан со декриптирање на датотеки за руски корисник, препорачувам.
Id ransomware
Друга таква услуга е //id-ransomware.malwarehunterteam.com/ (иако не знам колку добро работи за варијантите на рускиот јазик на вирусот, но вреди да се обидуваш со хранење на услугата пример на шифрирана датотека и текстуална датотека со барање за откуп).
Откако ќе го одредите типот на криптограф, ако успеете, обидете се да пронајдете алатка за декриптирање на оваа опција за прашања како: Decryptor Type_Chiler. Таквите комунални услуги се бесплатни и се произведуваат од антивирусни програмери, на пример, неколку такви комунални услуги можат да се најдат на веб-страницата Kaspersky //support.kaspersky.ru/viruses/utility (други комунални услуги се поблиску до крајот на статијата). И, како што веќе рековме, не двоумете се да контактирате со програмерите на антивирусни програми на нивните форуми или услуги за поддршка за пошта.
За жал, сето ова не секогаш помага и не секогаш се работи декриптирање на датотеки. Во овој случај, сценаријата се различни: многу наплаќаат натрапници, поттикнувајќи ги да ја продолжат оваа активност. Некои корисници имаат помош од програмата за обновување на податоци на компјутер (бидејќи вирусот, со правење шифрирана датотека, брише редовна, важна датотека што теоретски може да се обнови).
Датотеките на компјутерот се шифрирани во xtbl
Една од најновите варијанти на вирусот ransomware шифрира датотеки, ги заменува со датотеки со .xtbl екстензија и име се состои од случаен сет на знаци.
Во исто време, текстуалната датотека readme.txt е поставена на компјутерот со приближно следната содржина: "Вашите датотеки се шифрирани. За да ги дешифрирате, треба да го испратите кодот на е-поштенската адреса [email protected], [email protected] или [email protected]. ќе ги добиете сите потребни упатства. Обидите за декриптирање на датотеките сами ќе доведат до неповратно губење на информациите "(адресата и текстот може да се разликуваат).
За жал, во моментов нема начин за декриптирање .xtbl (штом се појавува, инструкцијата ќе се ажурира). Некои корисници кои имале навистина важни информации за својот компјутерски извештај за антивирусни форуми што ги пратиле 5000 рубли или друг им се потребни на авторите на вирусот и добиле дескремблирач, но ова е многу ризично: можеби нема да добиете ништо.
Што ако датотеките се шифрирани во .xtbl? Моите препораки се како што следи (но тие се разликуваат од оние на многу други тематски сајтови, каде што, на пример, тие препорачуваат веднаш да го исклучите компјутерот од струја или да не го отстраните вирусот. Според мое мислење, ова е непотребно и под одредени околности може да биде штетни, но сепак одлучете.):
- Ако можете, прекинете го процесот на шифрирање со отстранување на соодветните задачи во менаџерот на задачи, исклучување на вашиот компјутер од Интернет (ова може да биде неопходен услов за шифрирање)
- Запомнете или напишете го кодот кој напаѓачите го бараат за испраќање до е-мејл адреса (едноставно не во текстуална датотека на компјутерот, само за случај, така што исто така не излезе дека е криптирана).
- Користење на Malwarebytes Antimalware, пробна верзија на Kaspersky Internet Security или Dr.Web Cure Тоа за отстранување на вирусот што шифрира датотеки (сите горенаведени алатки прават добра работа со ова). Ве советувам да се впуштате со користење на првиот и вториот производ од листата (иако, ако имате инсталирано антивирус, инсталацијата на втората "на врвот" е несакана, бидејќи може да доведе до проблеми во работењето на компјутерот.)
- Почекајте да се појават антивирусни компании. Во првите редови тука е Kaspersky Lab.
- Можете исто така да испратите пример за шифрирана датотека и потребниот код за [email protected], ако имате копија од истата датотека во енкриптирана форма, испратете ја исто така. Во теорија, ова може да го забрза изгледот на декодерот.
Што да не се прави:
- Преименувајте ги шифрираните датотеки, менувајте ја екстензијата и избришете ги, ако тие се важни за вас.
Ова е веројатно сè што можам да го кажам за шифрираните датотеки со .xtbl екстензија во овој момент во времето.
Датотеките се шифрирани better_call_saul
Најновиот енкрипциски вирус е Better Call Saul (Trojan-Ransom.Win32.Shade), кој ја поставува продолжувањето на .better_call_saul за шифрирани датотеки. Како да се декриптираат таквите датотеки сè уште не е јасно. Оние корисници кои контактирале со Kaspersky Lab и Dr.Web добиле информации дека ова не може да се направи во моментот (но се обидуваат да испратат, сепак, повеќе примероци на шифрирани датотеки од програмери = поверојатно е да се најде начин).
Ако се покаже дека сте пронашле начин за декриптирање (т.е., тоа беше објавено некаде, но јас не го следев), ве молиме да ги споделите информациите во коментарите.
Trojan-Ransom.Win32.Aura и Trojan-Ransom.Win32.Rakhni
Следниот тројанец што шифрира датотеки и инсталира наставки од оваа листа:
- отворен
- .крипто
- .kraken
- .AES256 (не е нужно овој тројански, постојат и други инсталирање на истиот продолжување).
- .codercsu @ gmail_com
- .enc
- .обита
- И други.
За декриптирање на датотеки по операцијата на овие вируси, веб-страницата на Kaspersky има бесплатна алатка, RakhniDecryptor, достапна на официјалната страница //support.kaspersky.com/viruses/disinfection/10556.
Исто така, постои детална инструкција за тоа како да се користи оваа алатка, покажувајќи како да се повратат шифрирани датотеки, од кои засекогаш ќе го отстранам елементот "Избриши шифрирани датотеки по успешна декрипција" (иако мислам дека сè ќе биде во ред со инсталираната опција).
Ако имате Dr.Web антивирусска лиценца, можете да ја користите бесплатната декрипција од оваа компанија на //support.drweb.com/new/free_unlocker/
Повеќе варијанти на енкрипциски вирус
Поретко, но исто така има и тројанци, шифрирање на датотеки и барање пари за декрипција. Обезбедените врски не се само комуналии за враќање на вашите датотеки, туку и опис на знаците кои ќе помогнат да се утврди дека го имате овој посебен вирус. Иако воопшто, најдобар начин: со помош на Kaspersky Anti-Virus, скенирање на системот, дознајте името на тројанецот според класификацијата на оваа компанија, а потоа побарајте ја алатката со тоа име.
- Trojan-Ransom.Win32.Rector е бесплатна алатка за RectorDecryptor за дешифрирање и користење водич достапен тука: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.X.Xorist е сличен тројански кој прикажува прозорец бара да испратите платена SMS или контакт преку e-mail за упатства за декодирање. Инструкции за враќање на шифрирани датотеки и корисноста на XoristDecryptor за ова е на страницата //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - РаннохДекриптор //support.kaspersky.com/viruses/disinfection/8547 алатка
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и други со исто име (при пребарување преку Dr.Web анти-вирус или Cure It алатка) и различни броеви - обидете се да пребарувате на Интернет со името на тројанецот. За некои од нив има и програми за декрипција на Dr.Web, ако не можете да ја пронајдете помошта, но има лиценца на Dr.Web, можете да ја користите официјалната страница //support.drweb.com/new/free_unlocker/
- CryptoLocker - за да ги декриптирате датотеките откако ќе го стартувате CryptoLocker, можете да го користите сајтот //decryptcryptolocker.com - откако ќе ја испратите примероката, ќе добиете клуч и алатка за враќање на вашите датотеки.
- На сајт//bitbucket.org/jadacyrus/ransomwareremovalkit/преземање на располагање Ransomware Removal Kit - голема архива со информации за различни типови на криптографи и декриптирање (на англиски јазик)
Па, од најновите вести - Kaspersky Lab, заедно со полициските службеници од Холандија, развија Ransomware Decryptor (//noransom.kaspersky.com) за декриптирање на датотеки по CoinVault, сепак, овој изнудувач сè уште не е пронајден во нашите географски широчини.
Анти-вирус енкриптори или ransomware
Со ширењето на Ransomware, многу производители на анти-вирус и алатки против малициозен софтвер почнаа да ги објавуваат своите решенија за да спречат енкрипција на компјутерот, меѓу кои се:- Malwarebytes Анти-ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Но: овие програми не се дизајнирани да се декриптираат, туку само да се спречи енкрипција на важни датотеки на вашиот компјутер. И воопшто, ми се чини дека овие функции треба да се спроведуваат во анти-вирус производи, во спротивно се добива чудна ситуација: корисникот треба да го задржи антивирусот на компјутерот, средство за борба против AdWare и Malware, а сега исто така и Анти-ransomware алатка, плус само во случај Anti- експлоатира.
Патем, ако ненадејно се испостави дека имате нешто да додадете (бидејќи како што не можам да имам време да го следам она што се случува со методите за декрипција), пријавете се во коментари, овие информации ќе бидат корисни за други корисници кои наидоа на проблем.