„Atsiprašau, kad trukdžiau, bet... jūsų failai yra užšifruoti. Norėdami gauti iššifravimo raktą, skubiai perveskite tam tikrą pinigų sumą į savo piniginę... Priešingu atveju jūsų duomenys bus sunaikinti amžiams. Turite 3 valandas, laikas praėjo." Ir tai ne pokštas. Šifravimo virusas yra daugiau nei tikra grėsmė.
Šiandien kalbėsime apie tai, kas yra pastaraisiais metais išplitusi išpirkos reikalaujanti kenkėjiška programa, ką daryti užsikrėtus, kaip išgydyti kompiuterį ir ar tai apskritai įmanoma, ir kaip nuo jų apsisaugoti.
Viską užšifruojame!
Išpirkos reikalaujantis virusas (šifratorius, šifruotojas) yra ypatingas kenkėjiškų išpirkos reikalaujančių programų tipas, kurio veikla susideda iš vartotojo failų šifravimo ir išpirkos už iššifravimo įrankį reikalavimo. Išpirkos sumos prasideda kažkur nuo 200 USD ir siekia dešimtis ir šimtus tūkstančių žalių popieriaus lapelių.
Prieš keletą metų šios klasės kenkėjiškų programų atakavo tik „Windows“ pagrindu veikiantys kompiuteriai. Šiandien jų asortimentas išsiplėtė iki, atrodo, gerai apsaugotų „Linux“, „Mac“ ir „Android“. Be to, šifruotojų įvairovė nuolat auga – vienas po kito atsiranda vis naujų produktų, kurie turi kuo nustebinti pasaulį. Taigi jis atsirado dėl klasikinio šifravimo Trojos arklys ir tinklo kirmino (kenkėjiškos programos, plintančios tinkluose be aktyvaus vartotojų dalyvavimo) „susikirtimo“.
Po WannaCry pasirodė ne mažiau rafinuoti Petya ir Bad Rabbit. Ir kadangi „šifravimo verslas“ neša geras pajamas savo savininkams, galite būti tikri, kad jie nėra paskutiniai.
Vis daugiau šifruotojų, ypač tų, kurie buvo išleisti per pastaruosius 3-5 metus, naudoja stiprius kriptografinius algoritmus, kurių negalima nulaužti nei žiauria jėga, nei kitomis esamomis priemonėmis. Vienintelis būdas atkurti duomenis yra naudoti originalų raktą, kurį užpuolikai siūlo įsigyti. Tačiau net ir reikiamos sumos pervedimas jiems negarantuoja rakto gavimo. Nusikaltėliai neskuba atskleisti savo paslapčių ir praranda galimą pelną. Ir kokia prasmė jiems tesėti pažadus, jei jau turi pinigų?
Šifruojančių virusų platinimo keliai
Pagrindinis būdas, kuriuo kenkėjiškos programos patenka į privačių vartotojų ir organizacijų kompiuterius, yra el. paštas arba, tiksliau, prie el. laiškų pridedami failai ir nuorodos.
Tokio laiško, skirto „įmoniniams klientams“, pavyzdys:
- „Nedelsdami grąžinkite paskolos skolą“.
- „Ieškinys buvo pateiktas teisme“.
- „Sumokėti baudą/mokestį/mokesčius“.
- „Papildomi mokesčiai už komunalines paslaugas“.
- „O, ar tu nuotraukoje?
- „Lena paprašė manęs skubiai tai tau atiduoti“ ir pan.
Sutikite, tik išmanantis vartotojas su tokiu laišku elgsis atsargiai. Dauguma žmonių nedvejodami atidarys priedą ir patys paleis kenkėjišką programą. Beje, nepaisant antivirusinės šauksmų.
Išpirkos reikalaujančios programos taip pat aktyviai naudojamos:
- Socialiniai tinklai (laiškai iš draugų ir nepažįstamų žmonių paskyrų).
- Kenkėjiški ir užkrėsti žiniatinklio ištekliai.
- Reklaminė juosta.
- Pašto siuntimas per pasiuntinius iš nulaužtų paskyrų.
- Vareznik svetainės ir platintojai keygens ir įtrūkimai.
- Svetainės suaugusiems.
- Programų ir turinio parduotuvės.
Šifravimo virusus dažnai nešioja kitos kenkėjiškos programos, ypač reklamos demonstratoriai ir užpakalinių durų Trojos arklys. Pastarieji, naudodami sistemos ir programinės įrangos pažeidžiamumą, padeda nusikaltėliui gauti Nuotolinis prisijungimasį užkrėstą įrenginį. Šifruotojo paleidimas tokiais atvejais ne visada sutampa su potencialiai pavojingais vartotojo veiksmais. Kol sistemoje išlieka užpakalinės durys, užpuolikas gali bet kada įsiskverbti į įrenginį ir inicijuoti šifravimą.
Organizacijų kompiuteriams užkrėsti (juk iš jų galima išgauti daugiau nei iš namų vartotojų) kuriami ypač įmantrūs metodai. Pavyzdžiui, Trojos arklys Petya įsiskverbė į įrenginius per MEDoc mokesčių apskaitos programos atnaujinimo modulį.
Šifruotojai, turintys tinklo kirminų funkcijas, kaip jau minėta, per protokolo pažeidžiamumą išplinta tinkluose, įskaitant internetą. Ir jūs galite jais užsikrėsti visiškai nieko nedarydami. Retai atnaujinamų „Windows“ operacinių sistemų naudotojams kyla didžiausia rizika, nes naujinimai pašalina žinomas spragas.
Kai kurios kenkėjiškos programos, pvz., WannaCry, išnaudoja 0 dienų pažeidžiamumą, ty tuos, kurių sistemos kūrėjai dar nežino. Deja, tokiu būdu visiškai atsispirti infekcijai neįmanoma, tačiau tikimybė, kad būsite tarp aukų, nesiekia net 1%. Kodėl? Taip, nes kenkėjiška programa negali vienu metu užkrėsti visų pažeidžiamų mašinų. Ir kol ji planuoja naujas aukas, sistemos kūrėjai sugeba išleisti gyvybę gelbstintį atnaujinimą.
Kaip išpirkos reikalaujančios programos veikia užkrėstame kompiuteryje
Šifravimo procesas, kaip taisyklė, prasideda nepastebimai, o išryškėjus jo požymiams, duomenis išsaugoti jau per vėlu: iki to laiko kenkėjiška programa užšifravo viską, ką tik gali pasiekti. Kartais vartotojas gali pastebėti, kaip kai kuriuose failuose Atidaryti katalogą pratęsimas pasikeitė.
Nepagrįstas naujo, o kartais ir antrojo plėtinio atsiradimas failuose, po kurio jie nustoja atidaryti, absoliučiai rodo šifruotojo atakos pasekmes. Beje, pagal plėtinį, kurį gauna pažeisti objektai, dažniausiai galima nustatyti kenkėjišką programą.
Pavyzdys, kokie gali būti šifruotų failų plėtiniai:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn ir kt.
Yra daug variantų, o rytoj atsiras naujų, todėl nėra prasmės visko išvardinti. Norint nustatyti infekcijos tipą, pakanka į paieškos programą įtraukti kelis plėtinius.
Kiti simptomai, kurie netiesiogiai rodo šifravimo pradžią:
- Komandinės eilutės langai ekrane pasirodo sekundės daliai. Dažniausiai tai yra normalus reiškinys diegiant sistemos ir programų naujinimus, tačiau geriau to nepalikti be priežiūros.
- UAC prašo paleisti kokią nors programą, kurios neketinote atidaryti.
- Staigus kompiuterio paleidimas iš naujo, po kurio imituojamas sistemos disko tikrinimo programos veikimas (galimi ir kiti variantai). „Patikrinimo“ metu vyksta šifravimo procesas.
Sėkmingai užbaigus kenkėjišką operaciją, ekrane pasirodo pranešimas su išpirkos reikalavimu ir įvairiomis grėsmėmis.
Ransomware užšifruoja didelę dalį vartotojų failų: nuotraukas, muziką, vaizdo įrašus, tekstinius dokumentus, archyvus, paštą, duomenų bazes, failus su programų plėtiniais ir kt. Tačiau jie neliečia operacinės sistemos objektų, nes užkrėstam kompiuteriui užkrėstam kompiuteriui nereikia. nustoti dirbti, dirbti. Kai kurie virusai pakeičia save įkrovos įrašai diskai ir pertvaros.
Po šifravimo visos šešėlinės kopijos ir atkūrimo taškai paprastai ištrinami iš sistemos.
Kaip išgydyti kompiuterį nuo išpirkos reikalaujančių programų
Kenkėjiškas programas iš užkrėstos sistemos pašalinti paprasta – beveik visos antivirusinės programos gali be vargo susidoroti su dauguma jų. Bet! Naivu manyti, kad kaltininko atsikratymas išspręs problemą: pašalinsite virusą ar ne, failai vis tiek liks užšifruoti. Be to, kai kuriais atvejais tai apsunkins vėlesnį jų iššifravimą, jei įmanoma.
Teisinga procedūra pradedant šifravimą
- Pastebėję šifravimo požymius, Nedelsdami išjunkite kompiuterio maitinimą paspausdami ir laikydami mygtukąMaitinimas 3-4 sekundes. Taip bus išsaugota bent dalis failų.
- Sukurti kitame kompiuteryje įkrovos diskas arba „flash drive“ su antivirusine programa. Pavyzdžiui, „Kaspersky Rescue Disk 18“, DrWeb LiveDisk ESET NOD32 LiveCD ir tt
- Paleiskite užkrėstą įrenginį iš šio disko ir nuskaitykite sistemą. Pašalinkite visus rastus virusus ir laikykite juos karantine (jei jų prireiktų iššifruoti). Tik po to galite paleisti kompiuterį iš standžiojo disko.
- Pabandykite atkurti užšifruotus failus iš šešėlinių kopijų naudodami sistemos įrankius arba trečiosios šalies .
Ką daryti, jei failai jau užšifruoti
- Neprarask vilties. Antivirusinių produktų kūrėjų svetainėse yra nemokamų įvairių kenkėjiškų programų iššifravimo paslaugų. Visų pirma, komunalinės paslaugos iš Avast Ir Kaspersky Lab.
- Nustatę kodavimo tipą, atsisiųskite atitinkamą įrankį, būtinai tai padaryk kopijų pažeistus failus ir pabandykite juos iššifruoti. Jei pavyks, iššifruokite likusią dalį.
Jei failai nėra iššifruoti
Jei nė viena iš komunalinių paslaugų nepadeda, tikėtina, kad susirgote virusu, nuo kurio dar nėra gydymo.
Ką galite padaryti šiuo atveju:
- Jei naudojate mokamą antivirusinį produktą, susisiekite su jo palaikymo komanda. Nusiųskite kelias sugadintų failų kopijas į laboratoriją ir laukite atsakymo. Dalyvaujant technines galimybes jie tau padės.
Beje, Dr.Web yra viena iš nedaugelio laboratorijų, padedančių ne tik jos vartotojams, bet ir visiems nukentėjusiems. Šiame puslapyje galite išsiųsti prašymą iššifruoti failą.
- Jei paaiškėja, kad failai yra beviltiškai sugadinti, bet jie jums labai vertingi, belieka tikėtis ir laukti, kad kada nors bus rasta gelbėjimo priemonė. Geriausia, ką galite padaryti, tai palikti sistemą ir failus tokius, kokie yra, ty visiškai išjungti ir nenaudojami HDD. Kenkėjiškų programų failų ištrynimas, operacinės sistemos iš naujo įdiegimas ir net jos atnaujinimas gali jus atimti ir ši galimybė, nes generuojant šifravimo/dešifravimo raktus dažnai naudojami unikalūs sistemos identifikatoriai ir viruso kopijos.
Mokėti išpirką nėra išeitis, nes tikimybė, kad gausite raktą, yra artima nuliui. Ir nėra prasmės finansuoti nusikalstamą verslą.
Kaip apsisaugoti nuo tokio tipo kenkėjiškų programų
Nenorėčiau kartoti patarimo, kurį kiekvienas iš skaitytojų yra girdėjęs šimtus kartų. Taip, įdiegti gera antivirusinė, nespauskite įtartinų nuorodų ir blablabla – tai svarbu. Tačiau, kaip parodė gyvenimas, stebuklingos piliulės, kuri suteiktų jums 100% saugumo garantiją, šiandien neegzistuoja.
Vienintelis veiksmingas būdas apsisaugoti nuo tokio išpirkos reikalaujančių programų yra atsarginė kopija duomenisį kitas fizines laikmenas, įskaitant debesų paslaugos. Atsarginė kopija, atsarginė kopija, atsarginė kopija...
Paprastai kenkėjiškomis programomis siekiama valdyti kompiuterį, prijungti jį prie zombių tinklo arba pavogti asmeninius duomenis. Nedėmesingas vartotojas gali ilgai nepastebėti, kad sistema užkrėsta. Tačiau šifravimo virusai, ypač xtbl, veikia visiškai kitaip. Jie padaro vartotojo failus netinkamus naudoti, užšifruodami juos sudėtingu algoritmu ir reikalaudami iš savininko didelės sumos už galimybę atkurti informaciją.
Problemos priežastis: xtbl virusas
Xtbl išpirkos reikalaujantis virusas gavo savo pavadinimą, nes juo užšifruoti vartotojo dokumentai gauna .xtbl plėtinį. Paprastai kodavimo įrenginiai palieka raktą failo korpuse, kad universali dekodavimo programa galėtų atkurti informaciją pradine forma. Tačiau virusas skirtas kitiems tikslams, todėl vietoj rakto ekrane pasirodo pasiūlymas sumokėti tam tikrą sumą naudojant anoniminius duomenis.
Kaip veikia xtbl virusas
Virusas į kompiuterį patenka per el. laiškus, siunčiamus su užkrėstais priedais, kurie yra biuro programų failai. Kai vartotojas atidaro pranešimo turinį, kenkėjiška programa pradeda ieškoti nuotraukų, raktų, vaizdo įrašų, dokumentų ir pan., o tada, naudodama originalų sudėtingą algoritmą (hibridinį šifravimą), paverčia juos xtbl saugykla.
Virusas savo failams saugoti naudoja sistemos aplankus.
Virusas įtraukiamas į paleisties sąrašą. Norėdami tai padaryti, jis prideda įrašų į Windows registras skyriuose:
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Užkrėstas kompiuteris veikia stabiliai, sistema nestringa, bet laisvosios kreipties atmintis Visada yra nedidelė programa (arba dvi) su neaiškiu pavadinimu. O aplankai su vartotojo darbo failais įgauna keistą išvaizdą.
Vietoj ekrano užsklandos darbalaukyje pasirodo pranešimas:
Jūsų failai buvo užšifruoti. Norėdami juos iššifruoti, turite nusiųsti kodą į elektroninio pašto adresas: [apsaugotas el. paštas](kodas toliau). Tada gausite tolesnius nurodymus. Nepriklausomi bandymai iššifruoti failus lems jų visišką sunaikinimą.
Tas pats tekstas yra sugeneruotame faile Kaip iššifruoti failus.txt. Adresas El. paštas, kodas, prašoma suma gali keistis.
Gana dažnai vieni sukčiai užsidirba iš kitų – išpirkos reikalaujantis elektroninės piniginės numeris įterpiamas į viruso kūną, o failų iššifruoti jie neturi kaip. Taigi patiklus vartotojas, išsiuntęs pinigus, mainais nieko negauna.
Kodėl neturėtumėte mokėti turto prievartautojams
Su turto prievartautojais sutikti bendradarbiauti neįmanoma ne tik dėl moralės principų. Tai taip pat neprotinga praktiniu požiūriu.
Kaip apsaugoti savo sistemą nuo virusų
Universalios apsaugos nuo kenkėjiškų programų ir žalos mažinimo taisyklės padės ir šiuo atveju.
Ar įmanoma atkurti užšifruotą informaciją?
Geros naujienos yra tai, kad galima atkurti duomenis. Blogai: jūs negalėsite to padaryti patys. To priežastis – šifravimo algoritmo ypatumas, kurio rakto parinkimas reikalauja daug daugiau resursų ir sukauptų žinių nei turi paprastas vartotojas. Laimei, antivirusinių programų kūrėjams yra garbės reikalas susidoroti su kiekviena kenkėjiška programa, todėl net jei šiuo metu jie negali susidoroti su jūsų išpirkos reikalaujančia programine įranga, jie tikrai ras sprendimą per mėnesį ar du. Turėsite būti kantrūs.
Dėl būtinybės kreiptis į specialistus keičiasi darbo su užkrėstu kompiuteriu algoritmas. Bendra taisyklė yra tokia: kuo mažiau pakeitimų, tuo geriau. Antivirusinės programos nustato gydymo metodą pagal „bendrąsias kenkėjiškos programos charakteristikas“, todėl užkrėsti failai yra jiems svarbios informacijos šaltinis. Jie turėtų būti pašalinti tik išsprendus pagrindinę problemą.
Antroji taisyklė: nutraukite virusą bet kokia kaina. Galbūt jis dar nesugadino visos informacijos, o operatyviojoje atmintyje taip pat yra likę šifruotojo pėdsakų, kurių pagalba galite jį identifikuoti. Todėl turite nedelsdami išjungti kompiuterį iš tinklo ir išjungti nešiojamąjį kompiuterį ilgai paspausdami tinklo mygtuką. Šį kartą standartinė „švelnaus“ išjungimo procedūra, leidžianti tinkamai užbaigti visus procesus, neveiks, nes vienas iš jų yra jūsų informacijos kodavimas.
Užšifruotų failų atkūrimas
Jei pavyko išjungti kompiuterį
Jei jums pavyko išjungti kompiuterį nepasibaigus šifravimo procesui, jums nereikia jo įjungti patiems. Nuveskite „pacientą“ tiesiai pas specialistus; pertraukiamas kodavimas žymiai padidina asmeninių failų išsaugojimo galimybes. Čia taip pat galite saugus režimas patikrinkite savo laikmeną ir sukurkite atsargines kopijas. Labai tikėtina, kad pats virusas bus žinomas, todėl gydymas nuo jo bus sėkmingas.
Jei šifravimas baigtas
Deja, tikimybė sėkmingai nutraukti šifravimo procesą yra labai maža. Dažniausiai virusas sugeba užkoduoti failus ir pašalinti nereikalingus pėdsakus iš kompiuterio. Ir dabar turite dvi problemas: Windows vis dar užkrėstas, o jūsų asmeniniai failai virto daugybe simbolių. Norint išspręsti antrąją problemą, reikia pasitelkti antivirusinės programinės įrangos gamintojų pagalbą programinė įranga.
Dr.Web
Dr.Web laboratorija savo iššifravimo paslaugas nemokamai teikia tik komercinių licencijų turėtojams. Kitaip tariant, jei dar nesate jų klientas, bet norite atkurti failus, turėsite nusipirkti programą. Atsižvelgiant į dabartinę situaciją, tai būtina investicija.
Kitas žingsnis yra eiti į gamintojo svetainę ir užpildyti įvesties formą.
Jei tarp užšifruotų failų yra tokių, kurių kopijos saugomos išorinėse laikmenose, jų perkėlimas labai palengvins dekoderių darbą.
Kaspersky
„Kaspersky Lab“ sukūrė savo iššifravimo programą „RectorDecryptor“, kurią galima atsisiųsti į kompiuterį iš oficialios įmonės svetainės.
Kiekviena operacinės sistemos versija, įskaitant „Windows 7“, turi savo įrankį. Atsisiuntę ekrane spustelėkite mygtuką „Pradėti nuskaitymą“.
Paslaugų darbas gali užtrukti, jei virusas yra palyginti naujas. Tokiu atveju įmonė dažniausiai išsiunčia atitinkamą pranešimą. Kartais iššifravimas gali užtrukti kelis mėnesius.
Kitos paslaugos
Panašių funkcijų paslaugų atsiranda vis daugiau, o tai rodo iššifravimo paslaugų poreikį. Veiksmų algoritmas yra tas pats: eikite į svetainę (pavyzdžiui, https://decryptolocker.com/), užsiregistruokite ir išsiųskite užšifruotą failą.
Iššifravimo programos
Internete yra daugybė „universalių dešifratorių“ (žinoma, mokamų) pasiūlymų, tačiau jų naudingumas abejotinas. Žinoma, jei patys virusų gamintojai parašys dešifratorių, jis veiks sėkmingai, tačiau kitai kenkėjiškai programai ta pati programa bus nenaudinga. Be to, nuolat su virusais susiduriantys specialistai dažniausiai turi pilną reikalingų komunalinių paslaugų paketą, todėl greičiausiai jie turi visas veikiančias programas. Tokio iššifravimo įrenginio pirkimas greičiausiai bus pinigų švaistymas.
Kaip iššifruoti failus naudojant Kaspersky Lab - vaizdo įrašas
Savarankiškas informacijos atkūrimas
Jei dėl kokių nors priežasčių negalite susisiekti su trečiųjų šalių specialistais, galite pabandyti atkurti informaciją patys. Darykime išlygą, kad gedimo atveju failai gali būti visam laikui prarasti.
Ištrintų failų atkūrimas
Po šifravimo virusas ištrinamas šaltinio failus. Tačiau „Windows 7“ išsaugo viską ištrinta informacija vadinamosios šešėlinės kopijos pavidalu.
ShadowExplorer
„ShadowExplorer“ yra programa, skirta atkurti failus iš šešėlinių kopijų.
PhotoRec
Nemokama „PhotoRec“ programa veikia tuo pačiu principu, bet paketiniu režimu.
Saugymui geriau naudoti išorinę laikmeną, pavyzdžiui, USB atmintinę, nes kiekvienas įrašymas į diską yra pavojingas ištrinant šešėlines kopijas.
Viruso pašalinimas
Kadangi virusas pateko į kompiuterį, įdiegtos saugos programos nesusidorojo su savo užduotimi. Galite pabandyti pasinaudoti išorės pagalba.
Svarbu! Pašalinus virusą kompiuteris dezinfekuojamas, tačiau užšifruoti failai neatkuriami. Be to, naujos programinės įrangos įdiegimas gali sugadinti arba ištrinti kai kurias šešėlines failų kopijas, reikalingas joms atkurti. Todėl geriau įdiegti programas kituose diskuose.
Kaspersky virusų šalinimo įrankis
Nemokama programa iš žinomo antivirusinės programinės įrangos kūrėjo, kurią galima atsisiųsti iš Kaspersky Lab svetainės. Paleidus Kaspersky Virus Removal Tool, jis iš karto paragins pradėti nuskaitymą.
Paspaudus didelį ekrane esantį mygtuką „Pradėti nuskaitymą“, programa pradeda nuskaityti kompiuterį.
Belieka palaukti, kol bus baigtas nuskaitymas ir pašalinti rastus nekviestus svečius.
Malwarebytes Anti-malware
Kitas antivirusinės programinės įrangos kūrėjas nemokama versija skaitytuvas. Veiksmų algoritmas yra tas pats:
Norėdami tinkamai pašalinti kai kurias kenkėjiškas programas, Malwarebytes Anti-malware pasiūlys iš naujo paleisti sistemą; jūs turite su tuo sutikti. Atnaujinus darbą Windows antivirusinė tęs valymą.
Ko nedaryti
XTBL virusas, kaip ir kiti šifravimo virusai, daro žalą tiek sistemai, tiek vartotojo informacijai. Todėl, siekiant sumažinti galimą žalą, reikia imtis tam tikrų atsargumo priemonių:
- Nelaukite, kol baigsis šifravimas. Jei failo šifravimas prasidėjo jūsų akyse, neturėtumėte laukti, kol jis baigsis, arba bandyti nutraukti procesą programinė įranga. Nedelsdami išjunkite kompiuterio maitinimą ir kvieskite specialistą.
- Nebandykite patys pašalinti viruso, jei galite pasitikėti profesionalais.
- Neįdiekite sistemos iš naujo, kol gydymas nebus baigtas. Virusas saugiai užkrės naująją sistemą.
- Nepervardykite užšifruotų failų. Tai tik apsunkins dekoderio darbą.
- Nebandykite skaityti užkrėstų failų kitame kompiuteryje, kol virusas nebus pašalintas. Tai gali sukelti infekcijos plitimą.
- Nemokėkite turto prievartautojams. Tai nenaudinga ir skatina virusų kūrėjus bei sukčius.
- Nepamirškite apie prevenciją. Antivirusinės programos įdiegimas, reguliarios atsarginės kopijos ir atkūrimo taškų kūrimas žymiai sumažins galimą kenkėjiškų programų žalą.
Šifravimo virusu užkrėsto kompiuterio gydymas yra ilga ir ne visada sėkminga procedūra. Todėl labai svarbu imtis atsargumo priemonių gaunant informaciją iš tinklo ir dirbant su nepatvirtintomis išorinėmis laikmenomis.
Ir kasmet atsiranda vis naujų... vis įdomesnių. Pastaruoju metu populiariausias virusas (Trojan-Ransom.Win32.Rector), kuris užšifruoja visus jūsų failus (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar ir kt.) ..d.). Problema ta, kad tokių failų iššifravimas yra labai sunkus ir užima daug laiko; priklausomai nuo šifravimo tipo, iššifravimas gali užtrukti savaites, mėnesius ar net metus. Mano nuomone, šis virusas yra Šis momentas, pavojaus apogėjus tarp kitų virusų. Tai ypač pavojinga namų kompiuteriams/nešiojamiesiems kompiuteriams, kadangi dauguma vartotojų nekuria atsarginių duomenų kopijų ir šifruodami failus praranda visus duomenis. Organizacijoms šis virusas yra mažiau pavojingas, nes jos daro atsargines svarbių duomenų kopijas, o užsikrėtimo atveju tiesiog atkuria, natūralu, kad pašalinus virusą. Keletą kartų susidūriau su šiuo virusu, aprašysiu kaip tai atsitiko ir prie ko privedė.
Pirmą kartą su virusu, užšifruojančiu failus, susidūriau 2014 m. pradžioje. Su manimi susisiekė administratorė iš kito miesto ir papasakojo pačią nemaloniausią naujieną – visi failai failų serveryje yra užšifruoti! Užsikrėtimas įvyko elementariai - buhalterija gavo laišką su priedu „Kažko aktas ten.pdf.exe“, kaip suprantate, tai atidarė. EXE failą ir prasidėjo procesas... jis užšifravo visus asmeninius kompiuteryje esančius failus ir perkėlė į failų serverį (jis buvo prijungtas tinklo disku). Pradėjome su administratore kasti informaciją internete... tuo metu sprendimo nebuvo... visi rašė, kad yra toks virusas, nežinoma kaip su juo gydyti, failų nepavyko iššifruoti, galbūt Failų siuntimas į Kaspersky, Dr Web arba Nod32 padėtų. Galite juos siųsti tik tuo atveju, jei naudojate jų antivirusines programas (licencijuotas). Mes išsiuntėme failus Dr Web ir Nod32, rezultatai buvo 0, nepamenu, ką jie sakė Dr Web, o Nod 32 buvo visiškai tylus ir aš negavau jokio atsakymo iš jų. Apskritai viskas buvo liūdna ir mes niekada neradome sprendimo, kai kuriuos failus atkūrėme iš atsarginės kopijos.
Antra istorija – kaip tik kitą dieną (2014 m. spalio viduryje) sulaukiau skambučio iš organizacijos, prašydama išspręsti problemą dėl viruso, kaip suprantate, visi kompiuteryje esantys failai buvo užšifruoti. Štai pavyzdys, kaip tai atrodė.
Kaip matote, prie kiekvieno failo buvo pridėtas plėtinys *.AES256. Kiekviename aplanke buvo failas „Attention_open-me.txt“, kuriame buvo bendravimo kontaktai.
Bandant atidaryti šiuos failus, atsidarė programa su kontaktais, kad būtų galima susisiekti su viruso autoriais ir sumokėti už iššifravimą. Žinoma, nerekomenduoju nei susisiekti su jais, nei mokėti už kodą, nes jūs juos paremsite tik finansiškai ir tai nėra faktas, kad gausite iššifravimo raktą.
Infekcija įvyko diegiant iš interneto atsisiųstą programą. Labiausiai nustebino tai, kad pastebėję, kad failai pasikeitė (keitėsi piktogramos ir failų plėtiniai), jie nieko nedarė ir toliau dirbo, o išpirkos programa toliau šifravo visus failus.
Dėmesio!!! Kompiuteryje pastebėję failų šifravimą (pakeitus piktogramas, pasikeitusį plėtinį), nedelsdami išjunkite kompiuterį/nešiojamąjį kompiuterį ir ieškokite sprendimo iš kito įrenginio (iš kito kompiuterio/nešiojamojo kompiuterio, telefono, planšetinio kompiuterio) arba kreipkitės į IT specialistus. Kuo ilgiau jūsų kompiuteris / nešiojamas kompiuteris bus įjungtas, tuo daugiau failų bus užšifruota.
Apskritai jau norėjau atsisakyti jiems padėti, bet nusprendžiau naršyti internete, gal jau atsirado šios problemos sprendimas. Dėl paieškos perskaičiau daug informacijos, kad jos negalima iššifruoti, kad reikia siųsti failus antivirusinėms įmonėms (Kaspersky, Dr Web ar Nod32) – ačiū už patirtį.
Radau „Kaspersky“ programą – „RectorDecryptor“. Ir štai, failai buvo iššifruoti. Na, pirmieji dalykai...
Pirmas žingsnis – sustabdyti išpirkos reikalaujančią programinę įrangą. Antivirusinių nerasite, nes įdiegtas Dr Web nieko nerado. Visų pirma, aš nuėjau į paleisties ir išjungiau visus paleidimus (išskyrus antivirusinę). Perkrovė kompiuterį. Tada pradėjau žiūrėti, kokie failai buvo paleisties metu.
Kaip matote lauke „Komanda“ yra nurodyta, kur yra failas, ypatingas dėmesys turi būti pašalintas programoms be parašo (Gamintojas – Nėra duomenų). Apskritai radau ir ištryniau kenkėjiškas programas ir failus, kurie man dar nebuvo aiškūs. Po to išvaliau laikinuosius aplankus ir naršyklės talpyklas; geriausia šiems tikslams naudoti programą CCleaner .
Tada pradėjau iššifruoti failus, tam atsisiunčiau iššifravimo programa RectorDecryptor . Paleidau jį ir pamačiau gana asketišką naudingumo sąsają.
Spustelėjau „Pradėti nuskaitymą“ ir nurodžiau plėtinį, kurį turėjo visi pakeisti failai.
Ir nurodė užšifruotą failą. Naujesnėse RectorDecryptor versijose galite tiesiog nurodyti šifruotą failą. Spustelėkite mygtuką „Atidaryti“.
Tada-a-a-am!!! Įvyko stebuklas ir failas buvo iššifruotas.
Po to programa automatiškai patikrina visus kompiuterio failus + failus prijungtame tinklo diske ir juos iššifruoja. Iššifravimo procesas gali užtrukti kelias valandas (priklausomai nuo užšifruotų failų skaičiaus ir kompiuterio greičio).
Dėl to visi užšifruoti failai buvo sėkmingai iššifruoti į tą patį katalogą, kuriame jie buvo iš pradžių.
Belieka ištrinti visus failus su plėtiniu .AES256; tai galima padaryti pažymėjus langelį „Ištrinti užšifruotus failus po sėkmingo iššifravimo“, jei „RectorDecryptor“ lange paspausite „Keisti nuskaitymo parametrus“.
Tačiau atminkite, kad šio langelio geriau nežymėti, nes jei failai nebus sėkmingai iššifruoti, jie bus ištrinti ir norint dar kartą pabandyti juos iššifruoti, pirmiausia turėsite atkurti .
Bandydamas ištrinti visus užšifruotus failus naudodamas standartinę paiešką ir ištrynimą, susidūriau su užšalimu ir labai dideliu lėtas darbas kompiuteris.
Todėl norint jį pašalinti, geriausia naudoti komandinę eilutę, paleisti ją ir rašyti del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Mano atveju del "d:\*.AES256" /f /s.
Nepamirškite ištrinti failų „Attention_open-me.txt“, kad tai padarytumėte komandinė eilutė naudokite komandą del"<диск>:\*.<имя файла>"/f/s, Pavyzdžiui
del "d:\Attention_open-me.txt" /f /s
Taip virusas buvo nugalėtas ir failai atkurti. Noriu jus tai perspėti šis metodas Tai nepadės visiems, esmė ta, kad „Kapersky“ šioje programoje surinko visus žinomus iššifravimo raktus (iš tų failų, kuriuos atsiuntė virusu užkrėsti asmenys) ir naudoja brutalios jėgos metodą raktams parinkti ir iššifruoti. . Tie. jei jūsų failai yra užšifruoti viruso su nežinomu raktu, tai šis būdas nepadės... užkrėstus failus turėsite siųsti antivirusinėms įmonėms - Kaspersky, Dr Web ar Nod32, kad jie iššifruotų.
yra kenkėjiška programa, kuri aktyvuota užšifruoja visus asmeninius failus, tokius kaip dokumentai, nuotraukos ir kt. Kiekis panašias programas labai didelis ir kasdien didėja. Tik neseniai susidūrėme su daugybe išpirkos reikalaujančių programų variantų: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinciff_code, toste, ir tt. Tokių šifravimo virusų tikslas – priversti vartotojus dažnai už didelę pinigų sumą nusipirkti programą ir raktą, reikalingą jų pačių failams iššifruoti.
Žinoma, užšifruotus failus galite atkurti tiesiog vadovaudamiesi instrukcijomis, kurias viruso kūrėjai palieka užkrėstame kompiuteryje. Tačiau dažniausiai iššifravimo kaina yra labai didelė, taip pat reikia žinoti, kad kai kurie išpirkos reikalaujantys virusai užšifruoja failus taip, kad vėliau jų iššifruoti tiesiog neįmanoma. Ir, žinoma, tiesiog nemalonu mokėti už savo failų atkūrimą.
Žemiau plačiau pakalbėsime apie šifravimo virusus, kaip jie prasiskverbia į aukos kompiuterį, taip pat kaip pašalinti šifravimo virusą ir atkurti juo užšifruotus failus.
Kaip išpirkos reikalaujantis virusas prasiskverbia į kompiuterį?
Išpirkos reikalaujantis virusas dažniausiai plinta el. Laiške yra užkrėstų dokumentų. Tokie laiškai siunčiami į didžiulę elektroninio pašto adresų duomenų bazę. Šio viruso autoriai naudoja klaidinančias laiškų antraštes ir turinį, bandydami išvilioti vartotoją atidaryti prie laiško pridėtą dokumentą. Vieni laiškai informuoja apie būtinybę apmokėti sąskaitą, kituose siūloma pasižiūrėti naujausią kainoraštį, treti – atsiversti smagią nuotrauką ir t.t. Bet kokiu atveju, atidarius pridėtą failą, jūsų kompiuteris bus užkrėstas išpirkos reikalaujančiu virusu.
Kas yra išpirkos reikalaujantis virusas?
Išpirkos reikalaujantis virusas yra kenkėjiška programa, kuri veikia šiuolaikines versijas Operacinės sistemos Windows šeima, pvz., „Windows XP“, „Windows Vista“, „Windows 7“, „Windows 8“, „Windows 10“. Šie virusai bando naudoti kuo stipresnius šifravimo režimus, pavyzdžiui, RSA-2048, kurio rakto ilgis yra 2048 bitai, o tai praktiškai pašalina galimybę pasirinkti raktas, kad galėtumėte patys iššifruoti failus.
Užkrėsdamas kompiuterį, išpirkos reikalaujantis virusas naudoja sistemos katalogą %APPDATA%, kad saugotų savo failus. Dėl automatinis paleidimas Kai įjungiate kompiuterį, išpirkos reikalaujanti programa sukuria įrašą „Windows“ registre: skyriai HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\ CurrentVersion\Run, HKCU \Software\Microsoft\Windows\CurrentVersion\RunOnce.
Iš karto po paleidimo virusas nuskaito visus turimus diskus, įskaitant tinklą ir debesies saugykla, norėdami nustatyti, kurie failai bus užšifruoti. Išpirkos reikalaujantis virusas naudoja failo pavadinimo plėtinį kaip būdą identifikuoti failų grupę, kuri bus užšifruota. Beveik visų tipų failai yra užšifruoti, įskaitant tokius įprastus kaip:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, piniginė, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .w .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xpmap, . , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw
Iškart po to, kai failas yra užšifruotas, jis gauna naują plėtinį, kuris dažnai gali būti naudojamas identifikuoti išpirkos reikalaujančios programos pavadinimą arba tipą. Kai kurios šių kenkėjiškų programų rūšys taip pat gali pakeisti užšifruotų failų pavadinimus. Tada virusas sukuria tekstinis dokumentas su pavadinimais, tokiais kaip HELP_YOUR_FILES, README, kuriame pateikiamos instrukcijos, kaip iššifruoti užšifruotus failus.
Savo veikimo metu šifravimo virusas bando blokuoti galimybę atkurti failus naudodamas SVC (shadow copy of files) sistemą. Norėdami tai padaryti, virusas komandų režimu iškviečia įrankį šešėlinėms failų kopijoms administruoti su raktu, kuris pradeda procedūrą visiškas pašalinimas. Taigi beveik visada neįmanoma atkurti failų naudojant šešėlines jų kopijas.
Išpirkos reikalaujantis virusas aktyviai naudoja bauginimo taktiką, pateikdamas aukai nuorodą į šifravimo algoritmo aprašymą ir darbalaukyje rodydamas grasinantį pranešimą. Tokiu būdu jis bando priversti užkrėsto kompiuterio vartotoją nedvejodamas išsiųsti kompiuterio ID viruso autoriaus el. pašto adresu, kad būtų bandoma susigrąžinti savo failus. Į tokį pranešimą dažniausiai atsakoma išpirkos suma ir elektroninės piniginės adresas.
Ar mano kompiuteris užkrėstas išpirkos reikalaujančiu virusu?
Gana lengva nustatyti, ar kompiuteris užkrėstas šifravimo virusu, ar ne. Atkreipkite dėmesį į savo asmeninių failų, tokių kaip dokumentai, nuotraukos, muzika ir kt., plėtinius. Jei plėtinys pasikeitė arba jūsų asmeniniai failai dingo ir liko daug failų nežinomais pavadinimais, jūsų kompiuteris yra užkrėstas. Be to, infekcijos požymis yra failo, pavadinto HELP_YOUR_FILES arba README, buvimas jūsų kataloguose. Šiame faile bus instrukcijos, kaip iššifruoti failus.
Jei įtariate, kad atidarėte el. laišką, užkrėstą išpirkos reikalaujančiu virusu, bet dar nėra jokių užsikrėtimo simptomų, neišjunkite ir neperkraukite kompiuterio. Atlikite veiksmus, aprašytus šio vadovo skyriuje. Dar kartą kartoju, labai svarbu neišjungti kompiuterio, kai kurių tipų išpirkos reikalaujančiose programose failų šifravimo procesas suaktyvinamas pirmą kartą įjungus kompiuterį po užsikrėtimo!
Kaip iššifruoti failus, užšifruotus išpirkos reikalaujančiu virusu?
Jei įvyktų ši nelaimė, panikuoti nereikia! Bet jūs turite žinoti, kad daugeliu atvejų nėra nemokamo iššifruotojo. Taip yra dėl stiprių tokių naudojamų šifravimo algoritmų kenkėjiška programa. Tai reiškia, kad be privataus rakto failų iššifruoti beveik neįmanoma. Naudoti rakto pasirinkimo metodą taip pat negalima dėl didelio rakto ilgio. Todėl, deja, tik sumokėjus viruso autoriams visą prašomą sumą – vienintelis būdas pabandyti gauti iššifravimo raktą.
Žinoma, nėra jokios garantijos, kad po apmokėjimo viruso autoriai susisieks su jumis ir suteiks raktą, reikalingą failams iššifruoti. Be to, jūs turite suprasti, kad mokėdami pinigus virusų kūrėjams jūs patys skatinate juos kurti naujus virusus.
Kaip pašalinti išpirkos reikalaujantį virusą?
Prieš pradėdami, turite tai žinoti, kai pradedate šalinti virusą ir bandote tai padaryti savęs atsigavimas failus, užblokuojate galimybę iššifruoti failus, sumokėdami viruso autoriams jų prašomą sumą.
„Kaspersky Virus Removal Tool“ ir „Malwarebytes Anti-malware“ gali aptikti skirtingi tipai aktyvių išpirkos reikalaujančių virusų ir lengvai pašalins juos iš jūsų kompiuterio, BET jie negali atkurti užšifruotų failų.
5.1. Pašalinkite išpirkos reikalaujančias programas naudodami „Kaspersky Virus Removal Tool“.
Pagal numatytuosius nustatymus programa sukonfigūruota atkurti visus failų tipus, tačiau norint pagreitinti darbą, rekomenduojama palikti tik tuos failų tipus, kuriuos reikia atkurti. Baigę pasirinkimą, spustelėkite Gerai.
QPhotoRec programos lango apačioje raskite mygtuką Naršyti ir spustelėkite jį. Turite pasirinkti katalogą, kuriame bus išsaugoti atkurti failai. Patartina naudoti diską, kuriame nėra užšifruotų failų, kuriuos reikia atkurti (galite naudoti "flash drive" arba išorinį diską).
Norėdami pradėti šifruotų failų originalių kopijų paieškos ir atkūrimo procedūrą, spustelėkite mygtuką Ieškoti. Šis procesas užtrunka gana ilgai, todėl būkite kantrūs.
Kai paieška bus baigta, spustelėkite mygtuką Baigti. Dabar atidarykite aplanką, kurį pasirinkote norėdami išsaugoti atkurtus failus.
Aplanke bus katalogai, pavadinti recup_dir.1, recup_dir.2, recup_dir.3 ir kt. Kuo daugiau failų programa suras, tuo daugiau bus katalogų. Norėdami rasti reikalingus failus, patikrinkite visus katalogus po vieną. Kad būtų lengviau rasti reikiamą failą tarp daugybės atkurtų failų, naudokite integruotą sistemą „Windows“ paieška(pagal failo turinį), taip pat nepamirškite apie failų rūšiavimo kataloguose funkciją. Galite pasirinkti failo modifikavimo datą kaip rūšiavimo parinktį, nes atkurdama failą QPhotoRec bando atkurti šią ypatybę.
Kaip užkirsti kelią išpirkos reikalaujančiam virusui užkrėsti jūsų kompiuterį?
Daugumoje šiuolaikinių antivirusinių programų jau yra įmontuota apsaugos sistema nuo šifruojančių virusų įsiskverbimo ir aktyvavimo. Todėl, jei jūsų kompiuteryje nėra antivirusinė programa, tada būtinai ją įdiekite. Kaip jį pasirinkti, sužinosite perskaitę šį straipsnį.
Be to, yra specialių apsaugos programų. Pavyzdžiui, tai yra CryptoPrevent, daugiau informacijos.
Keletas paskutinių žodžių
Vykdydami šias instrukcijas, jūsų kompiuteris bus išvalytas nuo išpirkos reikalaujančio viruso. Jei turite klausimų ar reikia pagalbos, susisiekite su mumis.
Viena iš priežasčių, dėl kurių gali būti sunku atkurti užšifruotus duomenis, kai užkrėstas išpirkos reikalaujančiu virusu, yra šifruotojo identifikavimas. Jei vartotojas gali atpažinti išpirkos reikalaujančią programinę įrangą, jis gali patikrinti, ar jos yra nemokamas būdas iššifruoti duomenis.
Plačiau apie temą: Šifruotojo darbas naudojant išpirkos reikalaujančios programos pavyzdį
Sužinokite, kuri išpirkos reikalaujanti programa užšifravo failus
Yra keletas būdų, kaip atpažinti išpirkos reikalaujančią programinę įrangą. Naudojant:
- pats išpirkos reikalaujantis virusas
- užšifruotas failo plėtinys
- internetinės paslaugos ID Ransomware
- „Bitdefender Ransomware“ paslaugų programos
Su pirmuoju metodu viskas aišku. Daugelis išpirkos reikalaujančių virusų, tokių kaip The Dark Encryptor, neslepia savęs. Ir nustatyti kenkėjišką programą nebus sunku.
Tamsusis šifruotojas Taip pat galite pabandyti identifikuoti išpirkos reikalaujančią programinę įrangą naudodami užšifruoto failo plėtinį. Tiesiog įveskite jį į paiešką ir pamatysite rezultatus.
Tačiau yra situacijų, kai nėra taip paprasta sužinoti, kurios išpirkos programos užšifravo failus. Tokiais atvejais mums padės šie du metodai.
Nustatykite išpirkos reikalaujančią programinę įrangą naudodami ID Ransomware
Išpirkos reikalaujančios programinės įrangos atpažinimo metodas naudojant ID Ransomware internetinę paslaugą.
Nustatykite išpirkos reikalaujančią programinę įrangą naudodami „Bitdefender Ransomware“.
„Bitdefender Ransomware“ atpažinimo įrankis yra nauja programa skirta „Windows“ iš „Bitdefender“, kuri padeda atpažinti išpirkos reikalaujančią programinę įrangą užsikrėtus išpirkos reikalaujančia programa.
Mažas nemokama programa, kurio diegti nereikia. Viskas, ko reikia, yra paleisti programą, sutikti su licencija ir naudoti ją išpirkos programinei įrangai identifikuoti. Galite atsisiųsti „Bitdefender Ransomware Recognition Tool“ iš oficialios svetainės naudodami šią tiesioginę nuorodą.
„Bitdefender“ nerašo apie suderinamumą. Mano atveju programa veikė „Windows“ įrenginys 10 Pro. Atminkite, kad „Bitdefender Ransomware Recognition Tool“ reikalauja interneto ryšio.
Veikimo principas yra toks pat, kaip ir ankstesniame metode. Pirmame lauke nurodome failą su pranešimo tekstu, o antrame – kelią į užšifruotus failus.
Kiek suprantu, Bitdefender Ransomware Recognition Tool nesiunčia paties failo į serverį, o tik analizuoja pavadinimus ir plėtinius.
Kitas įdomi savybė„Bitdefender Ransomware“ atpažinimo įrankis yra tas, kad jį galima paleisti iš komandinės eilutės.
Aš neišbandžiau Bitdefender Ransomware Recognition Tool, todėl lauksiu bet kokių komentarų iš žmonių, kurie jį išbandė.
Tai viskas. Tikiuosi tau to nereikia šią instrukciją, bet jei susidursite su išpirkos reikalaujančia programine įranga, žinosite, kaip ją atpažinti.
