Android. Операционна система. Мултимедия. Социални мрежи. Инструменти. Кодеци. Графика
Тук ли си: » »

Как да декриптирате файлове след WANNA ENCRYPTER вирус. Decifier XTBL вирус - как да се възстановят криптирани.xtbl файлове

- Съжалявам, че смутено, но ... вашите файлове са криптирани. За да получите ключа за декриптиране, спешно прехвърляне на емното количество пари на портфейла ... В противен случай данните ви ще бъдат унищожени безвъзвратно. Имате 3 часа, времето върви. " И това не е шега. Virus-Encrypter - заплахата е повече от реална.

Днес ще говорим, че зловредните работници за криптиране се разпространяват през последните години, какво да правят в случай на инфекция, как да се излекува компютър и изобщо е възможно, както и как да ги защити.

Аз шифровам всичко!

Virus Encrypter (Cipher, Cryptor) - специален вид злонамерени изнудителни програми, чиято дейност е да шифроват потребителските файлове и последващо изискване за осребряване на инструмента за декриптиране. Количеството на ранса започва някъде от 200 долара и достигат до три хиляди зеленина.

Преди няколко години само компютри, базирани на Windows, бяха прикрепени атаки от този клас. Днес тяхната площ се разширява до привидно добре защитена Linux, Mac и Android. В допълнение, видът на енкодерите непрекъснато нараства - един след друг изглежда нови елементи, които имат нещо, което да изненадват света. Така че, благодарение на "пресичането" на класически троянски и мрежов червей (зловреден софтуер, който се прилага за мрежи без активно участие на потребителите).

След Wannacry се появиха не по-малко изискан петя и лош заек. И тъй като "бизнесът за шифроване" носи добър доход на собствениците, можете да сте сигурни, че те не са последни.


Все повече и повече криптове, особено тези, които са видели светлината през последните 3-5 години, използват постоянни криптографски алгоритми, които не могат да бъдат хакнати или от ключовете или други съществуващи средства. Единственият начин да възстановите данните е да използвате оригиналния ключ, който предлага да закупите натрапници. Въпреки това, дори списъкът на необходимата сума не гарантира получаването на ключа. Престъпниците не бързат да разкрият своите тайни и да загубят потенциални печалби. И какво е значението на обещанията, ако те вече са пари?

Начини за разпространение на крипи вируси

По-основният начин да се вривът на компютрите на частните потребители и организации е имейл, по-точно, файловете и връзките, прикрепени към букви.

Пример за такова писмо, предназначено за "корпоративни клиенти":


  • "Спешно изплащайте дълга на кредита."
  • "Декларацията за иска се подава пред съда."
  • "Плати глоба / такса / данък".
  • "Дамство на комунално плащане."
  • - О, ти ли си на снимката?
  • - Лена поиска спешно да ви пренесе: и т.н.

Съгласен съм, само осведоменният потребител ще реагира на такова писмо с бдителност. Повечето, без да мислят, ще отворят инвестицията и ще стартира злонамерена програма със собствените си ръце. Между другото, въпреки писъците на антивирус.

Също така да се разпространяват крипторите активно:

  • Социални мрежи (изпращане с разкази за познанства и непознати).
  • Злонамерени и заразени уеб ресурси.
  • Банер реклама.
  • Пощенски пратеници с хакрани сметки.
  • Уебсайтове - Варзиники и дистрибутори на Кеген и Краков.
  • Сайтове за възрастни.
  • Магазини за приложения и съдържание.

Проводниците на вирусите на енкодерите често идват други злонамерени програми, по-специално рекламни демонстранти и троянските прекъсвания. Последното, използвайки уязвимости в системата и софтуера, помогнете на престъпника да получи отдалечен достъп до заразено устройство. Стартирането на Encrypter в такива случаи не винаги съвпада с потенциално опасните действия на потребителя. Докато задната врата остава в системата, нападателят може да проникне в устройството по всяко време и да започне криптиране.

За да заразяват компютрите на организациите (в края на краищата, те могат да стигнат повече от местните потребители), които се разработват особено изискани методи. Например, Trojan Petya проникне в устройството чрез софтуерно обновяване на модул за счетоводство на MEDOC.


Ширипторите с мрежови червеи функции, както вече споменахме, се прилагат за мрежи, включително интернет, чрез уязвимостите на протоколите. И те могат да бъдат заразени с нищо, без плавна сметка. Най-съществените опасност са обект на потребителите на рядко свободната Windows OS, тъй като актуализациите са затворени от известни вратички.

Някои злонамерен софтуер, като Wannacry, използвайте уязвимостта на 0-дневния (нула ден), т.е. тези, които все още не знаят разработчици на системата. За да се противопоставят напълно на инфекцията по този начин, уви, това е невъзможно, но вероятността да сте в броя на жертвите, той не достига дори 1%. Защо? Да, защото злонамерен софтуер не може едновременно да заразява всички уязвими машини. И докато планира нови жертви, разработчиците на системата имат време да освободят актуализацията на спестяване.

Как едингтът се държи на заразен компютър

Процесът на шифроване, като правило, започва незабелязано и когато знаците му станат очевидни, вече е твърде очевидно да спасите данните: По това време злонамезността е криптирана всичко, което е достигнато. Понякога потребителят може да забележи как файловете са се променили в някаква отворена папка.

Безпрецедентният вид на досиетата на новото, а понякога и втората експанзия, след което престават да се отварят, тя абсолютно показва последствията от кримора атака. Между другото, според разширяването, че повредените обекти обикновено се управляват да идентифицират зловреден софтуер.

Пример за това, което може да бъде разширения криптирани файлове:. Xtbl, .Kraken, .dsar, .da_vinci_code, [Защитен имейл]_com, .crypted000007, .no_more_ransom, .decoder globeimposter v2, .ucrain, .rn и т.н.

Опции за теглото и утре се появи ново ще се появи, така че няма специален смисъл за списъка. За да се определи вида на инфекцията, е достатъчно да вали няколко разширения на търсачката.


Други симптоми, които косвено показват началото на криптирането:

  • Външният вид на екрана в разделите секунди от прозорците на командния ред. Най-често това е нормален феномен при инсталирането на системни актуализации и програми, но е по-добре да не го оставите.
  • UAC заявки за стартиране на някаква програма, която няма да отворите.
  • Внезапно рестартиране на компютъра с последваща имитация на функционирането на сканирането на системата на проверката на диска (Възможни са други варианти). По време на "проверка" се случва процеса на шифроване.

След успешния край на злонамерената операция на екрана се появява съобщение с изискването за обратно изкупуване и различни заплахи.

Exjuaters шифроват значителна част от потребителските файлове: снимки, музика, видео, текстови документи, архиви, поща, бази данни, файлове с разширения на програмата и т.н., но не докосват обектите на операционната система, защото нападателите не трябва да имат Заразеният компютър спря да работи. Някои вируси се заменят с записи за стартиране на дискове и дялове.

След криптиране от системата всички копия и точки за възстановяване се изтриват.

Как да лекувате компютър от Encrypter

За да премахнете злонамерената програма от заразената система просто - с повечето от тях почти всички антивируси лесно се справят. Но! Това е наивно да се смята, че облекчението от виновника ще доведе до решаване на проблема: изтривате вируса или не, и файловете все още ще бъдат криптирани. В допълнение, в някои случаи ще усложни последващото им декодиране, ако е възможно.

Правилна процедура за началото на криптирането

  • Веднага щом забележите признаци на криптиране, незабавно изключете захранването на компютъра, като натиснете и задържите бутонаМощност за 3-4 секунди. Това ще запази поне част от файловете.
  • Създайте диск за зареждане или флаш устройство на друг компютър с антивирусна програма. Например, Kaspersky спасителен диск 18, Дрюб livedisk, ESET NOD32 LiveCD. и т.н.
  • Заредете заразената машина от този диск и сканирайте системата. Премахнете вирусите, намерени със спестяване в карантина (в случай, че трябва да декриптират). Само след това можете да изтеглите компютъра от твърдия диск.
  • Опитайте се да възстановите криптирани файлове от копия на сянката на системата или с трета страна.

Какво ще стане, ако файловете вече са криптирани

  • Не губи надежда. На местата на разработчиците на антивирусни продукти са публикувани безплатни гиндрелки - декодери за различни видове злонамерен софтуер. По-специално, комуналните услуги се събират тук от Avast. и Kaspersky Laboratories.
  • Определяне на вида на енкодера, изтеглете съответната полезност, не забравяйте да го направите копия повредени файлове И се опитайте да ги дешифрирате. В случай на успех, дешифрирайте останалото.

Ако файловете не са декриптирани

Ако няма помощна програма, вероятно сте пострадали от вируса, медикаментите, на които не съществува.

Какво може да се вземе в този случай:

  • Ако използвате платен антивирусен продукт, свържете се с вашата поддръжка. Преминете към лабораторията няколко копия на повредени файлове и изчакайте отговора. Ако има техническа способност да ви помогне.

Между другото, Dr.web. - една от малкото им лаборатории, която помага не само за неговите потребители и всички жертви. Можете да изпратите заявка за декриптиране на файла на тази страница.

  • Ако се оказа, че файловете са повредени безнадеждно, но те представляват голяма стойност за вас, трябва да се надявате и да чакате, че спасителният агент ще бъде намерен. Най-доброто, което можете да направите, е да оставите системата и файловете в състояние, както е, т.е. напълно да деактивирате и да не използвате твърдия диск. Изтриване на злонамерени файлове, преинсталиране на операционната система и дори нейната актуализация може да ви лиши и този шансТъй като при генерирането на криптиране-дешифриращи ключове често използват уникални системни идентификатори и копие на вируса.

Изплащането на плащането не е опция, тъй като вероятността да получите ключа с нула. Да и нищо за финансиране на престъпна дейност.

Как да се предпазите от злонамереност от този тип

Не бих искал да повторя съветите, които всеки читатели чуха стотици пъти. Да, инсталирайте добър антивирус, не натискайте подозрителни връзки и цветове - важно е. Въпреки това, тъй като животът показа, магическо хапче, което ще ви даде 100% гаранции за сигурност, днес не съществува.

Единственият ефективен метод за защита от изнудване от този вид - данни архивиране На други физически медии, включително облачни услуги. Архивиране, архивиране, архивиране ...

Обикновено работата на зловреден софтуер е насочена към получаване на контрол върху компютъра, включително в зомбината или кражбата на лични данни. Нестния потребител може да не забележи дълго време, че системата е заразена. Но криптиране вируси, по-специално XTBL, работят доста по различен начин. Те правят неподходящи потребителски файлове, които ги криптират с най-сложния алгоритъм и изискват голяма сума от собственика за възможността за възстановяване на информация.

Причина за проблема: XTBL вирус

XTBL Virus Encrypter получи името си поради факта, че обичайните документи, които са криптирани от тях, получават разширение. YTBL. Обикновено, енкодерите оставят ключа в тялото в тялото, така че програмата за универсална декодер да може да възстанови информацията в първоначалната си форма. Въпреки това, вирусът е предназначен за други цели, така че вместо ключ, на екрана се появява предложение, за да плати някои анонимни детайли.

Как работи XTBL вирусът

Вирусът влиза в компютъра с помощта на писма с имейли със заразени приспособления, представляващи файловете на офис приложения. След като потребителят отвори съдържанието на съобщението, злонамерената програма започва да търси снимки, ключове, видео, документи и т.н., а след това с помощта на оригинален сложен алгоритъм (хибридно криптиране) ги превръща в XTBL съхранение.

За да съхраните файловете си, вирусът използва системни папки.

Вирусът допринася за списъка AutoLoad. За да направите това, той добавя записи в системния регистър на Windows в разделите:

  • HKCU софтуер Microsoft Windows CurrentVersion Runonce;
  • HKCU софтуер Microsoft Windows CurrentVersion Run;
  • HKCU софтуер Microsoft Windows CurrentVersion Runonce.

Заразеният компютър работи стабилно, системата не "падат", но в RAM постоянно има малко приложение (или две) с неразбираемо име. И папки с потребителски работни файлове придобиват странен изглед.

На работния плот вместо скрийнсейвър се появява съобщение:

Вашите файлове бяха криптирани. За да ги дешифрите, трябва да изпратите кода към имейл адреса: [Защитен имейл] (По-нататък следва кода). След това ще получите допълнителни инструкции. Независимите опити за дешифриране на файлове ще доведат до пълно унищожение.

Същият текст се съдържа в създадения как да декриптирате файла си. Имейл адрес, кодовата заявена сума може да варира.

Доста често някои измамници печелят на други - електронния номер на портфейла на изнудвачите, които нямат начин да декриптират файловете, се вмъкват в вирусното тяло. Така че желаят потребител, изпращащ пари, не получава нищо в замяна.

Защо не плащате изнудване

Съгласен съм да сътрудничи с изнудване, това е невъзможно не само поради моралните принципи. Това е неразумно и от практическа гледна точка.

  • Измама. Не е фактът, че нападателите ще могат да декриптират вашите файлове. Не служи като доказателство и се върна във вас една от предполагаемите декодирани снимки - тя може да бъде откраднала преди криптиране. Текущите пари ще отидат без употреба.
  • Възможността за повтаряне. Потвърждавате желанието ви да платите, ще станете по-желана плячка за повторно нападение. Може би следващия път, когато вашите файлове ще имат друго разширение, и на скрийнсейвъра ще се появи друго съобщение, но парите ще отидат при същите хора.
  • Поверителност. Докато файловете са дори криптирани, но са на вашия компютър. След като се съгласим с "честни злодеи", ще бъдете принудени да им изпратите цялата си лична информация. Алгоритъмът не осигурява ключов и независим декодиращ, само изпраща файлове на декодера.
  • Компютърна инфекция. Вашият компютър все още е заразен, така че декриптирането на файловете не е пълно решение на проблема.

    • Как да защитим системата от вируса

    Универсалните правила за защита срещу злонамерени програми и минимизиране на щетите ще помогнат в този случай.

  • Да се \u200b\u200bпази от случайни връзки. Няма нужда да отваряте писма, получени от непознати податели, включително рекламни и бонус оферти. В крайния случай можете да ги прочетете, след като запазите прикачения файл на диска и да го проверите с антивирус.
  • Използвайте защита. Антивирусните програми постоянно попълват библиотеките на злонамерени кодове, така че действителната версия на защитника няма да пропусне повечето от вирусите на компютъра.
  • Разпределете достъпа. Вирусът ще предизвика много вреда, ако администраторската сметка влезе. По-добре е да се работи от името на потребителя, като по този начин драстично стесняване на възможността за инфекция.
  • Създайте резервни копия. Важна информация трябва редовно да се копира на външни носители, съхранявани отделно от компютъра. Също така, не трябва да забравяме да създаваме резервни точки за възстановяване на Windows.

    • Възможно ли е да се възстанови криптирана информация

    Добри новини: Възможно е да възстановите данните. Лошо: Не е възможно да го направите сами. Причината за това е характеристиката на алгоритъма за криптиране, изборът на ключа, към който изисква много повече ресурси и натрупани знания, отколкото обичайния потребител. За щастие, антивирусните разработчици смятат за чест да се справят с всяка злонамерена програма, така че дори и да не могат да се справят с вашия Encrypter, след месец или два определено ще намерят решение. Ще трябва да бъдем търпеливи.

    Поради необходимостта от обжалване на специалистите, алгоритъмът за работа с заразен компютър се променя. Общото правило: колкото по-малко промени, толкова по-добре. Антивирусите определят метода на лечение на "генерични знаци" на злонамерена програма, така че заразените файлове за тях са източник на важна информация. Трябва да ги изтриете само след решаването на основния проблем.

    Второто правило: на всяка цена да се прекъсне вируса. Може би все още не е развалил цялата информация, а също така остава в RAM следите на Едифрата, с която можете да го дефинирате. Затова трябва незабавно да изключите компютъра от мрежата и да изключите лаптопа, като натиснете бутона за захранване. Този път стандартът "внимателна" процедура за изключване няма да отговаря на възможността да попълните всички процеси правилно, тъй като един от тях е кодирането на вашата информация.

    Ние възстановяваме криптирани файлове

    Ако успеете да изключите компютъра

    Ако имате време да изключите компютъра, преди процесът на криптиране да приключи, не е необходимо да го включите сами. Незабавно носете "пациента" незабавно на специалистите, прекъснатото кодиране значително увеличава шансовете за спестяване на лични файлове. Тук можете спокойно да проверите медиите си и да създавате резервни копия. С голяма вероятност, самият вирус ще бъде известен, така че лечението от него ще бъде успешно.

    Ако шифроването приключи

    За съжаление, вероятността за успешно прекъсване на процеса на шифроване е много малка. Обикновено вирусът има време да кодира файлове и да премахне ненужните следи от компютъра. И сега имате два проблема: Windows все още е заразен и личните файлове са превърнали в набор от знаци. За да разрешите втората задача, трябва да използвате помощта на производителите на антивирусни софтуер.

    Dr.web.

    Лабораторията DR.Web предоставя услугите си за декриптиране само от собствениците на търговски лицензи. С други думи, ако не сте техен клиент, но искате да възстановите файловете си, ще трябва да закупите програма. Като се има предвид ситуацията, това е необходимата инвестиция.

    Следващата стъпка е да превключите към уебсайта на производителя и да попълните формуляра за въвеждане.

    Ако сред криптирани файлове има такива копия, които са запазени върху външни носители, тяхното прехвърляне значително ще улесни работата на декодерите.

    Kaspersky.

    Kaspersky Lab е разработила собствената си помощна програма за декриптиране, наречена Rotordecryptor, която може да бъде изтеглена на компютър от официалния сайт на компанията.

    Всяка версия на операционната система, включително Windows 7, осигурява неговата полезност. След като го изтеглите, щракнете върху бутона "Старт проверка" на екрана.

    Услугите на услугите могат да забавят за известно време, ако вирусът е сравнително нов. В този случай компанията обикновено изпраща подходящо уведомление. Понякога декодирането е способно да заема няколко месеца.

    Други услуги

    Услугите с подобни функции стават все повече и повече, които говорят за търсенето на служба за декриптиране. Алгоритъмът на действията е един и същ: отиваме на сайта (например https://decryptcryptolocker.com/), регистрирайте се и изпратете криптиран файл.

    Програми за дефиниране

    Предложения за "универсални декодери" (разбира се, платени) в мрежата обаче, обаче, ползите от тях са съмнителни. Разбира се, ако самите производители на вируси пишат декодер, той ще работи успешно, но същата програма ще бъде безполезна за друго злонамерено приложение. В допълнение, специалисти, които редовно се сблъскват с вируси, обикновено имат пълен пакет от необходимите комунални услуги, така че всички работни програми имат висока вероятност. Закупуването на такъв декодер, най-вероятно ще бъде загуба на пари.

    Как да декриптирате файлове с помощта на Kaspersky Lab - видео

    Независимо възстановяване на информация

    Ако по някаква причина е невъзможно да се обърнете към специалисти на трети страни, можете да се опитате да възстановите информацията сама. Ще отхвърлим това в случай на повреда, файловете могат да бъдат загубени накрая.

    Възстановяване на отдалечени файлове

    След криптиране, вирусът изтрива изходните файлове. Въпреки това, Windows 7 съхранява цялата отдалечена информация под формата на така нареченото Shadow Copy.

    ShadowExplorer.

    ShadowExplorer е помощна програма, предназначена да възстанови файлове от техните копия със сянка.

  • За да инсталирате, отидете на уебсайта на разработчика и изтеглете архива, след разопаковането, което изпълнимия модул ще се съхранява в папката ShadowxplorerPortable със същото име. Ще се появи пряк път на работния плот за бърз старт.
  • Освен това всички действия са интуитивни. Стартирайте програмата и в левия прозорец в горната част изберете диска, върху която се съхраняват данните и датата на създаване на Shadow Copy. Имате нужда от най-новата дата.
  • Сега намерете дяла, в който работните файлове съдържат и кликнете върху него с десния бутон. В посоченото контекстно меню изберете Export, след това посочете начина, по който да запишете възстановените файлове. Програмата ще намери всички налични сенчести копия в тази папка и ще ги изнесе, за да намерят.

    • Photorec.

    Безплатната програма Photorec работи на същия принцип, но в пакетния режим.

  • Изтеглете архива от сайта на разработчика и го разопакойте на диска. Изпълнителният файл се нарича Qphotorec_win.
  • След стартиране на приложението в диалоговия прозорец, списъкът на всички налични дискови устройства ще се покаже. Изберете, че криптираните файлове се съхраняват и посочват пътя за запазване на възстановените копия.

    За съхранение е по-добре да използвате външни носители, например, USB флаш устройство, защото всеки запис на диска е опасно изтриване на копия на сянка.

  • Чрез избиране на директории, от които се нуждаете, кликнете върху бутона Формати на файловете.
  • Преустановеното меню е списък с типове файлове, които приложението може да възстанови. По подразбиране, срещу всеки, има знак, обаче, е възможно да се вземат допълнителни "птици", за да се ускори работата, оставяйки само съответните файлове на реставрираните файлове. След завършване, кликнете върху бутона OK.
  • След приключване на избора, бутонът за търсене на екрана се предлага. Кликнете върху него. Процедурата за възстановяване е процес, който отнема много време, така че бъдете търпеливи.
  • След като изчакате завършването на процеса, натиснете бутона Quit екран и излезте от програмата.
  • Възстановените файлове се поставят в определената по-горе директория и се разлагат с папки със същите имена recup_dir.1, recup_dir.2, recup_dir.3 и така нататък. Последователно разглеждат всеки и се връщат към тях за същите имена.

    • Отстраняване на вируса

    Тъй като вирусът удари компютъра, инсталираните защитни програми не се справят с задачата си. Можете да се опитате да използвате помощ от трета страна.

    Важно! Премахването на вируса третира компютър, но не възстановява криптирани файлове. В допълнение, инсталирането на нов софтуер може да повреди или да изтрие някои копия в сянка на файловете, необходими за тяхното възстановяване. Ето защо е по-добре да инсталирате приложения към други дискове.

    Kaspersky инструмент за премахване на вируса

    Безплатна програма на известния разработчик на антивирусен софтуер, който може да бъде изтеглен на уебсайта на Kaspersky Lab. След стартирането на инструмента за премахване на вируса на Kaspersky незабавно предложи да започнете да проверявате.

    След натискане на голям екран бутон "Старт проверка", програмата започва да сканира компютър.

    Остава да изчакате края на сканирането и да премахнете откритите неприемливи гости.

    Malwarebytes анти-злонамерен софтуер

    Друг разработчик на антивирусен софтуер, който осигурява безплатна версия на скенера. Алгоритъмът на действието е същото:

  • Изтеглете от официалната страница на производителя, инсталационния файл за Malwarebytes Anti-Malware, след което стартирате инсталационната програма, отговаряте на въпросите и кликнете върху бутона "Следващ".
  • Основният прозорец ще предложи незабавно да актуализира програмата (полезна процедура, освежаваща базата данни на вирусите). След това стартирайте сканирането, като кликнете върху съответния бутон.
  • Malwarebytes Anti-Malware постепенно сканира системата за показване на междинни резултати от работата.
  • Намерени са вируси, включително крипти, са демонстрирани в последния прозорец. Отървете се от тях, като натиснете бутона "Изтриване на избрания".

    За да премахнете някои зловредни приложения, Malwarebytes Anti-Malware ще предложи да рестартира системата, трябва да се съгласите с това. След възобновяване на прозорците, антивирусът ще продължи да почиства.

    • Какво не трябва да се прави

    XTBL вирусът, както и другите вируси за криптиране, е вредно за системата и потребителската информация. Следователно, за да се намалят възможните щети, трябва да се спазват някои предпазни мерки:

    1. Не чакайте края на криптирането. Ако шифроването на файловете е започнало на очите ви, не трябва да чакате всичко, което да свършите или да се опитате да прекъснете процеса от софтуера. Веднага изключете силата на компютъра и се обадете на специалистите.
    2. Не се опитвайте сами да премахнете вируса, ако можете да се доверите на професионалисти.
    3. Не преинсталирайте системата преди края на лечението. Вирусът безопасно заразява новата система.
    4. Не преименувайте криптирани файлове. Това ще усложни само работата на декодера.
    5. Не се опитвайте да четете заразени файлове на друг компютър, докато вирусът бъде отстранен. Това може да доведе до разпространение на инфекцията.
    6. Не плащайте изнудки. Той е безполезен и насърчава създателите на вируси и измамници.
    7. Не забравяйте за превенцията. Инсталиране на антивирусен, редовен архив, създаването на точки за възстановяване значително ще намали възможните щети от злонамерени програми.

    Лечението на компютър, заразен с вирус-епиптър, е дълъг и не винаги успешна процедура. Ето защо е толкова важно да се спазват предпазните мерки при получаване на информация от мрежата и работа с непроверени външни превозвачи.

    И всяка година всички нови и нови неща изглеждат ... по-интересни и по-интересни. Най-популярният наскоро вирус (Trojan-ransom.win32.Rect), който криптира всичките ви файлове (* .mp3, * .doc, * .docx, * .iso, * .pdf, * .jpg, * .rar и t .д.). Проблемът е, че е изключително трудно да се дешифрират такива файлове и дълго, в зависимост от вида на криптирането, декодирането може да забави в седмици, месеци и дори години. Според мен този вирус е в момента, апогей за опасност сред другите вируси. Особено е опасно за домашни компютри / лаптопи, тъй като повечето потребители не архивират данните и при криптирани файлове губят всички данни. За организации този вирус е по-малко опасен, защото правят резервни копия на важни данни и в случай на инфекция, те просто ги възстановяват, естествено след отстраняване на вируса. Няколко пъти срещнах този вирус, ще опиша как се е случило и това, което той води.

    Първият път с криптирането на вируса, които срещнах в началото на 2014 година. Администратор от друг град се е свързал с мен и каза на най-разпространените новини - всички файлове на файловия сървър са криптирани! Инфекцията е възникнала елементарен метод - счетоводният отдел получи писмо с прикачения файл "нещо там .pdf.exe" Как разбирате, че те отвориха този exe файл и процесът отиде ... той криптира всички лични файлове на компютъра и Преминавайки се към файловия сървър (той е свързан с мрежов диск). Те започнаха да копаят информация в интернет с администратора ... по това време, нямаше решение ... всички пишеха, че такъв вирус не е известен как да го лекува, не е възможно да се дешифрират файлове, тя може да бъде Възможно е да изпратите изпращането на Kaspersky файлове, DR Web или NOD32. Можете да ги изпратите само ако ги използвате с антивирусни програми (има лицензи). Изпратихме файлове в DR Web и NOD32, резултатите - 0, аз не си спомням какво говорят в д-р Уеб и в кимване 32, не чаках отговор от тях. Като цяло, всичко беше тъжно и не намери решения, част от файловете бяха възстановени от архив.

    Историята е втори и буквално онзи ден (средата на октомври 2014 г.) Получих обаждане от организацията с искане за решаване на проблема с вируса, както разбирате, всички файлове на компютъра са криптирани. Ето един пример за това как изглеждаше.

    Както можете да забележите за всеки файл, се добавя разширение * .aes256. Във всяка папка имаше файл "beaine_atic-me .txt", в който имаше контакти за комуникация.

    Когато се опитате да отворите тези файлове, е отворена програма с контакти, която да комуникира с авторите на вируса, за да плати декриптирането. За да се свържете с тях, аз не препоръчвам да не препоръчвам плащането на кода, както просто ги подкрепяте финансово, а не факта, че получавате ключа за декриптиране.

    Възникна инфекция при инсталирането на програмата, изтеглена от интернет. Най-удивителното нещо беше, че когато са забелязали, че файловете се променят (иконите и файловото разширение се променят), тогава нищо не е било взето и след това продължават да работят, а междувременно шифроването продължава да криптира всички файлове.

    Внимание !!! Ако забележите криптирането на файлове на вашия компютър (промяна на иконите, променете разширението) веднага изключете компютъра / лаптопа и вече от друго устройство, потърсете решение (от друг компютър / лаптоп, телефон, таблет) или контакт На специалисти. Колкото по-дълъг е вашият компютър / лаптоп, толкова повече файлове, които криптира.

    Като цяло, аз вече исках да откажа да им помогна, но реших да поставят в интернет, може да се появи решение за този проблем. В резултат на търсенето, прочетох много информация, че декодирането не е попечено да изпраща файлове до антивирусни компании (Kaspersky, DR Web или NOD32) - Благодаря.
    Се натъкна на полезност от Kaspersky-Rodordecryptor. И за чудото успя да дешифрира. Е, за всичко по ред ...

    На първо място е необходимо да се спре работата на Едиптъра. Няма да получи за антивируси, тъй като потиснатите д-р уеб не намери нищо. Преди всичко отидох при стартирането и изключих всички автоареди (с изключение на антивируса). Рестартира компютъра. След това започна да гледате какви са файловете в AutoLoad.

    Както можете да забележите в полето "екип", е мястото, където файлът лежи, е необходимо да изтриете приложения без подпис (производителят -NO данни). Като цяло, намерих и изтрих злонамерения софтуер и все още не ми е ясно за файлове. След това почистих временни папки и браузърни кеш, най-добре е да използвам програмата за тези цели. Cleaner. .

    След това продължи да декриптира файлове, изтеглени за това програма за декриптиране на праводекриптор . Стартира и видя доста аскетичен комунални интерфейс.

    Кликнете върху "Започнете проверка", посочих разширението, което имаше всички модифицирани файлове.

    И посочи криптирания файл. В по-нова версия, Rectordecryptor може просто да посочи криптиран файл. Кликнете върху бутона Open.

    Tada-a-a-am !!! Чува се чудо и файлът беше дешифриран.

    След това полезността автоматично проверява всички компютърни файлове + файлове на свързания мрежов диск и ги декриптира. Процесът на декриптиране може да забави за няколко часа (зависи от броя на криптирани файлове и скоростта на компютъра).

    В резултат на това всички криптирани файлове бяха успешно дешифрирани в тесната директория, където първоначално бяха намерени.

    Остава да изтрие всички файлове от разширението .aes256, може да се направи, като поставите отметка "Изтриване на криптирани файлове след успешното декриптиране" Ако кликнете върху "Промяна на опциите за проверка" в прозореца Rectordecryptor.

    Но не забравяйте, че е по-добре да не поставяте този кърлеж, защото в случай на не успешен декриптиране на файлове, те се изтриват и за да опитат отново да дешифрират възстанови .

    Когато се опитате да изтриете всички криптирани файлове, използвайки стандартно търсене и премахване, аз се натъкнах на замръзване и изключително бавен компютър.

    Ето защо най-добре е да използвате командния ред, който трябва да бъде премахнат, да го стартирате и регистрирате. дел<диск>:\*.<расширение зашифрованного файла>"/ F / s. В моя случай del 'd: *. AES256 "/ F / S.

    Не забравяйте да изтриете файловете "caining_tector-me .txt", за това в командния ред, използвайте командата дел<диск>:\*.<имя файла>"/ f / s,напр
    del 'd: \\ tВнимание_вкрой-me.txt "/ f / s

    Така вирусът беше победен и файловете се възстановяват. Искам да предупредя, че този метод няма да помогне на всички, това е, че каперсът в тази помощна програма е събрал всички известни ключове за декриптиране (от тези файлове, които са били изпратени до вируса, заразени), и методът на генериране избира ключовете и дешифри. Тези. Ако вашите файлове са криптирани с вирус с все още известен ключ, тогава този метод не помага ... трябва да изпратите заразени файлове антивирусни компании -Catch, DR Web или NOD32, за да ги дешифрирате.

    - Това е злонамерена програма, която с активирането си криптира всички лични файлове, като документи, снимки и др. Броят на подобни програми е много голям и се увеличава с всеки ден. Едва наскоро, ние сме изправени пред десетки опции cipher: cryptolocker, crypt0l0cker, алфа крипта, teslacrypt, coinvault, crypt, ctb-шкаф, torrentlocker, hydracrypt, better_call_saul, crittt, .da_vinci_code, Toste, FFF и др. Целта на такива еквивируари вируси, които да принудят потребителите да купуват, често за голяма сума пари, програмата и ключът, който трябва да декриптирате вашите собствени файлове.

    Разбира се, можете да възстановите криптирани файлове, като просто следвате инструкциите, които създателите на вируса тръгват на замърсения компютър. Но най-често цената на декрипцията е много значима, вие също трябва да знаете, че част от вирусите на криптиране, така че шифровате файловете, че е просто невъзможно да ги декриптирате. И разбира се, това е просто неприятно да плащате за възстановяването на собствените си файлове.

    По-долу ще опишем по-подробно за вирусите на криптиране, начина, по който да проникнем в жертвата на компютъра, както и да премахнете вирус-епиптъра и да възстановите файловете, които ги криптират.

    Тъй като епиптът на вируса прониква в компютъра

    Вирусът на криптиране обикновено се разпространява по имейл. Писмото съдържа заразени документи. Такива писма се изпращат в огромна база данни за имейл адреси. Авторите на този вирус използват погрешно схващанията на заглавията и съдържанието на буквите, които се опитват да направят измама, за да отворят документа, инвестиран в писмото. Част от писмата докладва необходимостта от плащане на сметката, други предлагат да видят свежа ценова листа, други отварят забавна снимка и т.н. Във всеки случай, резултатът от отварянето на прикачения файл ще бъде компютърна инфекция с вирус-епиптър.

    Какво е вирусна шинар

    Шифроването на вируса е злонамерена програма, която засяга модерните версии на системите за семейни системи на Windows, като Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Тези вируси се опитват да използват като резистентни режими на криптиране, например RSA-2048 С дължината на ключа е 2048 бита, които практически елиминират възможността за избор на ключа за независимо декриптиране на файлове.

    Докато е заразено с компютър, вирусният Encrypter използва системната директория% AppData%, за да съхранява собствените си файлове. За да започнете автоматично с помощта на компютър, Encrypter създава запис в системния регистър на Windows: Sections HKCU Software Microsoft Windows CurrentVersion Run, HKCU софтуер Microsoft Windows CurrentVersion Runonce, HKCU софтуер, HKCU софтуер, Microsoft \\ t Windows CurrentVersion Run, HKCU софтуер Microsoft Windows CurrentVersion Runonce.

    Веднага след стартиране, вирусът сканира всички налични дискове, включително мрежово и облачно съхранение, за да дефинират файлове, които ще бъдат криптирани. Вирусът на шифроване използва разширението на името на файла като метод за определяне на група файлове, които ще бъдат криптирани. Почти всички видове файлове са криптирани, включително тези общи като:

    0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .vi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .bank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mdata , .itl, .Itdb, .ixs, .hlp, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos ,. mov, .dv, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .rarch00, .lvl, .snx, .cfr, .ff, .vp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .liteMod, .bset, .forge, .ltx, .bsa ,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, портфейл, .wotreplay, .xxx, .desc, .py, .m3u, .flv ,. JS, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .cret, .cer, .pef, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .Raw, .Raf, .orf, .nrw, .mrff, .mef, .dr, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .ACCDB , .MDB, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .dc, .dm ,. Odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .wbp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpp, .wpd, .wpe, .wppg , .wpl, .wps, .wpt, .wpw, .ws, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xplate, .xdb ,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, \\ t .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

    Веднага след като файлът е криптиран, той получава ново разширение, което често е в състояние да идентифицира името или вида на епиптъра. Някои видове тези злонамерени програми също могат да променят имената на криптирани файлове. След това вирусът създава текстов документ с имената като help_your_files, readme, който съдържа инструкциите за дешифриране на криптирани файлове.

    По време на работата си, офицерът за криптиране на вируса се опитва да затвори възможността за възстановяване на файлове, използвайки SVC системата (Shadow Copies of Files). За това вирусът в командния режим извиква помощната програма за свързване към ключовите файлове с ключа, за да започне процедурата за пълното им отстраняване. По този начин, почти винаги, е невъзможно да се възстановят файловете, като използвате техните копия със сянка.

    Вирусното криптиране активно използва тактиката на заплахите, като дава жертва на описанието на описанието на алгоритъма за криптиране и показва заплашващото съобщение на работния плот. Тя се опитва да принуди потребителя на заразен компютър без да мисли, изпратете идентификационен номер на компютъра към имейл адреса на вируса, за да се опитате да върнете файловете си. Отговорът на такова съобщение най-често е размерът на обратно изкупуване и адреса на електронния портфейл.

    Компютърът ми е заразен с вирус-епиптър?

    Определете компютъра, който е заразен или без вирус-епиптър е доста лесно. Обърнете внимание на разширяването на вашите лични файлове, като документи, снимки, музика и др. Ако разширението е променено или вашите лични файлове изчезнат, оставяйки много файлове с неизвестни имена, тогава компютърът е заразен. В допълнение, признак за инфекция е наличието на файл с името help_your_files или readme в каталозите ви. Този файл ще съдържа инструкции за декодиране на файлове.

    Ако подозирате, че сте открили писмо, заразено с вирусен епиптър, но все още няма симптоми на инфекция, след това не се изключвайте и не рестартирайте компютъра. Следвайте стъпките, описани в тази инструкция, секция. Повтарям още веднъж, много е важно да не изключите компютъра, в някои видове крипти, процесът на криптиране на файлове се активира, когато първата, след инфекция, включете компютъра!

    Как да декриптирате файлове, криптирани от вирус-епиптър?

    Ако този проблем се случи, тогава не е нужно да се паникьосва! Но трябва да знаете, че в повечето случаи няма свободен декодер. Подобно на това, персистиращите алгоритми за криптиране, използвани от такива злонамерени програми. Това означава без личен ключ за дешифриране на файловете са почти невъзможни. Използване на метода за избор на клавиши също не се извежда, поради дължината на дългата ключ. Ето защо, за съжаление, плащането само от авторите на вируса на цялата поискана сума е единственият начин да се опитате да получите ключа за декриптиране.

    Разбира се, няма абсолютно никаква гаранция, че след плащане авторите на вируса ще дойдат да комуникират и да предоставят ключа, за да декриптирате файловете си. Освен това трябва да разберете, че плащате пари на вирусите на разработчиците, вие сами ги бутате, за да създадете нови вируси.

    Как да премахнете вирус криптъра?

    Преди да продължите с това, трябва да знаете, че започвате да премахвате вируса и да опитате самостоятелно възстановяване на файлове, блокирате способността да декриптирате файлове, като плащате поисканите от тях вирусни автори.

    Kaspersky вирус инструмент за премахване на вируса и Malwarebytes Anti-Malware могат да откриват различни видове активни вируси за криптиране и лесно да ги изтрият от компютър, но не могат да възстановят криптирани файлове.

    5.1. Отстранете вирусния епиптър с помощта на инструмент за премахване на вируса на Kaspersky

    По подразбиране програмата е конфигурирана да възстанови всички видове файлове, но за да се ускори работата, препоръчва се да оставите само видовете файлове, които трябва да възстановите. След като завършите избора, щракнете върху OK.

    В долната част на прозореца Qphotorec, намерете бутона за преглед и кликнете върху него. Трябва да изберете директория, в която ще бъдат запазени възстановените файлове. Препоръчително е да използвате диск, на който не сте криптирани файлове, изискващи възстановяване (можете да използвате USB флаш устройство или външен диск).

    За да започнете процедурата за търсене и да възстановите копия на източника на криптирани файлове, щракнете върху бутона Търсене. Този процес продължава доста дълго време, така че вземете търпение.

    Когато търсенето приключи, кликнете върху бутона за отказ. Сега отворете избраната от вас папка, за да запазите възстановяваните файлове.

    Папката ще съдържа директории с имена recup_dir.1, recup_dir.2, recup_dir.3 и така нататък. Колкото повече файлове намират програмата, ще бъде повече директория. За да търсите файловете, от които се нуждаете, проверете всички директории. За да улесните търсенето на файла, от който се нуждаете, сред големия брой възстановени, използвайте вградената система за търсене на Windows (по файл), както и забравете за функцията за сортиране на файлове в директории. Като параметър за сортиране можете да изберете дата за промяна на файла, тъй като Qphotorec при възстановяването на файла се опитва да възстанови този имот.

    Как да предотвратите компютърна инфекция с вирус-епиптър?

    Повечето съвременни антивирусни програми вече имат вградена система за защита срещу проникване и активиране на криптиращи вируси. Ето защо, ако на компютъра няма антивирусна програма, тогава го инсталирайте. Как да изберем да изберем това.

    Освен това съществуват специализирани защитни програми. Например, това е криптопревент, повече.

    Няколко последна дума

    Чрез попълване на тази инструкция, компютърът ще бъде почистен от ексирния вирус. Ако имате въпроси или имате нужда от помощ, свържете се с нас.

    Една от причините, които могат да затруднят възстановяването на криптирани данни, когато е заразеният вирус на изнудване, е идентифицирането на епиптър. Ако потребителят може да определи изнудител, той може и проверява дали има свободен начин за декриптиране на данни.

    Повече на темата: работата на едиаптъра върху примера на изнудката

    Разберете какви криптирани файлове

    Можете да дефинирате крипти по няколко начина. Чрез:

    • самият вирус на ехипеист
    • разширяване на криптиран файл
    • онлайн услуга ID Ransomware
    • utilities Bitdefender Ransomware.

    С първия начин всичко е ясно. Много вируси за изнудване, като тъмният криптор, не се крият. И това няма да е възможно да се определи злонамереността.


    Тъмната криптор

    Можете също да се опитате да определите Encrypter, като разширите криптирания файл. Просто вземете търсенето и вижте резултатите.

    Но има ситуации, когато знаете какво е криптират файловете, които криптират не са толкова прости. В тези случаи ще помогнем на следните два начина.

    Определете Encrypter с помощта на Ransomware

    Методът за определяне на едиаптъра, използвайки онлайн редактив на услугата ID Ransomware.

    Дефинирайте Encrypter с помощта на BitDefender Ransomware

    Инструментът за разпознаване на BitDefender Ransomware е нова програма за Windows от компанията Bitdefender, която в случай на инфекция с вирусна екстенкърник помага да се определи епиптъра.

    Това е малка безплатна програма, която не трябва да инсталирате. Всичко, което е необходимо, е да започнете програмата, да вземете лиценза и да го използвате, за да идентифицирате изнудката. Можете да изтеглите помощната програма за разпознаване на Bitdefender Ransomwarware от официалния сайт за тази директна връзка.

    BitDefender не пише за съвместимост. В моя случай, програмата е работила на устройството Windows 10 Pro. Имайте предвид, че инструментът за разпознаване на Ransomware разпознаване на BitDefender изисква интернет връзка.

    Принципът на работа е същият като в предишния метод. В първото поле укажете файл с текстовото съобщение и във втория път към криптирани файлове.


    Доколкото разбрах, инструментът за разпознаване на Bitdefender Ransomware не изпраща самото файл на сървъра, но анализира само имената и разширяването.

    Друга интересна особеност на инструмента за разпознаване на ранцомуер на Bitdefender е, че той може да бъде пуснат от командния ред.

    Не съм тествал инструмента за разпознаване на ранцомуер на Bitdefender, така че ще се радвам на всички коментари от хора, които го опитаха в действие.

    Това е всичко. Надявам се, че това обучение не е удобно, но ако все още сте се сблъскали с изнудване, ще знаете как да го определите.

    Заглавие: Windows 10.
    Дял