Windows

Tiedostosi salattiin - mitä tehdä?

Tiedostosi salattiin - mitä tehdä?

Yksi nykyään ongelmallisimmista haitallisista ohjelmista on troijalainen tai virus salaa tiedostoja käyttäjälevyllä. Jotkut näistä tiedostoista voidaan purkaa, ja jotkut eivät vielä ole. Käsikirja antaa mahdolliset toimien algoritmit molemmissa tilanteissa, tapoja määrittää erityinen salaustyyppi enää Ransom- ja ID -ransomware -palveluihin sekä lyhyen yleiskatsauksen ohjelmista, jotka koskevat hienostuneita viruksia vastaan ​​(ransomware).

Tällaisista viruksista tai kolmio-kantajista (ja uusista ilmestyvät jatkuvasti) on olemassa useita muutoksia, mutta työn yleinen olemus johtuu tosiasiasta Salattu laajennuksen ja alkuperäisten tiedostojen poistamisen muutoksella, saat viestin Readme -tiedostoon.txt, että kaikki tiedostosi salattiin, ja heidän salauksen purkamisen vuoksi sinun on lähetettävä tietty määrä hyökkääjälle. Huomaa: Windows 10 Fall Creators -päivityksessä oli sisäänrakennettu suoja sifesisviruksilta.

Mitä tehdä, jos kaikki tärkeät tiedot on salattu

Ensinnäkin joitain yleisiä tietoja tärkeiden tiedostojen salaamiseksi heidän tietokoneelleen. Jos tietokoneesi tärkeitä tietoja salataan, ensinnäkin sinun ei pitäisi paniikkia.

Jos sinulla on sellainen mahdollisuus, tietokonekierrosta, jolla noidanvirus ilmestyi (lunnausohjelma), kopioi jonnekin ulkoisella asemalla (flash -asema) esimerkki tiedostosta, jolla on tekstisuuntainen pyyntö hyökkääjälle dekoodausta varten, plus kopiosta Salattu tiedosto ja sitten mahdollisuuksien aikana sammuta tietokone, jotta virus ei voi jatkaa tietojen salausta ja suorittaa loput toiminnot toisella tietokoneella.

Seuraava vaihe on selvittää, mitä virustyyppi on salannut tietosi käytettävissä olevilla salattuilla tiedostoilla: Joillekin niistä on dekoodereita (jotkut ilmoitan tässä, jotkut on merkitty lähempänä artikkelin loppua), for Jotkut - ei vielä ole. Mutta jopa tässä tapauksessa voit lähettää esimerkkejä salattuista tiedostoista virustorjuntalaboratorioihin (Kaspersky, DR. Web) opiskella.

Kuinka selvittää? Voit tehdä tämän Googlen avulla etsimällä keskusteluja tai salaustyyppiä tiedoston laajentamiseksi. Palvelut alkoivat myös ilmestyä määrittämään ransomware -tyypin.

Ei enää lunnaista

No More Ransom ei ole aktiivisesti kehitettävä resurssi, jota turvallisuuskehittäjät tukevat ja jotka ovat saatavilla Venäjän versiossa, jonka tarkoituksena on torjua viruksia salauksiin (troijalaiset -Robbers).

Onnealla, enää lunnaat eivät voi auttaa salaamaan asiakirjat, tietokannat, valokuvat ja muut tiedot, lataamaan tarvittavat dekoodausohjelmat ja hankkimaan tietoja, jotka auttavat välttämään tällaisia ​​uhkia tulevaisuudessa.

Ei enää lunnaa, voit yrittää salata tiedostosi ja määrittää sipperiviruksen tyypin seuraavasti:

  1. Napsauta "Kyllä" palvelun pääsivulla https: // www.Nomooriaat.Org/ru/hakemisto.HTML
  2. ”Crypto-Sheep” -sivu avataan, josta voit ladata esimerkkejä salatuista tiedostoista, joiden koko on enintään 1 Mt (suosittelen, että lataaminen ei ole luottamuksellisia tietoja), samoin kuin ilmoittamaan sähköpostiosoitteet tai sivustot, joita huijarit vaativat osto (tai lataa Readme -tiedosto.TXT kysynnän kanssa). 
  3. Napsauta "Tarkista" -painiketta ja odota tarkistuksen ja sen tulosten loppuun saattaminen.

Lisäksi sivustolla on saatavana hyödyllisiä osioita:

  • Laskut ovat melkein kaikki apuohjelmat, jotka ovat olemassa nykyisessä ajankohtana tiedostojen salaamiseksi salatut virukset. 
  • Infektioiden ehkäisy - ensisijaisesti aloittelijoille suunnatut tiedot, jotka voivat auttaa välttämään infektiota tulevaisuudessa.
  • Kysymykset ja vastaukset - Tietoja niille, jotka haluavat paremmin ymmärtää salausvirusten ja toimien työn tapauksissa, joissa kohtaat tosiasian, että tietokoneen tiedostot salattiin.

Nykyään ei enää lunnaat ole todennäköisesti asiaankuuluvin ja hyödyllisin resurssi, joka liittyy venäläisen käyttäjän tiedostojen salauksen purkamiseen, suosittelen.

Id Ransomware

Toinen tällainen palvelu on https: // id -Ransomware.Haittaohjelma.Com/(tosi, en tiedä kuinka hyvin se toimii viruksen venäläisten kieltonvaihtoehtojen parissa, mutta se on kokeilun arvoinen, ruokki palvelua esimerkki salatusta tiedostosta ja tekstitiedostosta, joka vaatii ostoa).

Kun olet määritetty salaustyypin, jos onnistut, yritä löytää apuohjelma tämän vaihtoehdon purkamiseen vaatimuksissa, kuten: tyyppi. Tällaiset apuohjelmat ovat ilmaisia ​​ja virustentorjuntakehittäjien tuottamat, esimerkiksi useita sellaisia ​​apuohjelmia löytyy Kaspersky HTTPS: //.Kaspersky.RU/virukset/hyödyllisyys (muut apuohjelmat ovat lähempänä artikkelin loppua). Ja kuten jo mainittiin, älä epäröi ottaa yhteyttä foorumeillaan olevien virustenkehittäjiin tai tukipalveluun postitse.

Valitettavasti kaikki tämä ei aina auta eikä aina ole toimivia tiedostodekoodereita. Tässä tapauksessa skriptit ovat erilaisia: monet maksavapattimet, rohkaisevat heitä jatkamaan tätä toimintaa. Joitakin käyttäjiä auttavat tietokoneen tietojen palauttamista koskevat ohjelmat (viruksen jälkeen salattu tiedoston tekeminen deleds tavallisen tärkeän tiedoston, joka teoreettisesti voidaan palauttaa).

Tietokonetiedostot on salattu XTBL: ssä

Yksi Monitor Virus Scrypts -tiedostojen viimeisimmistä vaihtoehdoista korvaamalla ne tiedostoilla laajennuksella .XTBL ja nimi, joka koostuu satunnaisesta merkkisarjasta.

Samanaikaisesti tekstitiedosto julkaistaan ​​tietokoneelle.txt suunnilleen seuraavalla sisältöllä: "Tiedostosi salattiin. Niiden purkamiseksi sinun on lähetettävä koodi sähköpostiosoitteeseen [email protected], [email protected] tai [email protected]. Seuraavaksi saat kaikki tarvittavat ohjeet. Tiedostojen purkamisyritykset johtavat itsenäisesti peruuttamattomaan tietojen menetykseen ”(postin ja tekstin osoite voi poiketa).

Valitettavasti tapa purkaa .XTBL ei tällä hetkellä ole (heti kun näyttää siltä, ​​käsky päivitetään). Jotkut käyttäjät, joilla on todella tärkeitä tietoja virustentorjuntafoorumeiden tietokoneraportista, että he lähettivät 5000 ruplaa tai muuta vaadittua määrää viruksen kirjoittajille ja saivat dekooderin, mutta tämä on erittäin riskialtista: et voi saada mitään.

Mitä tehdä, jos tiedostot salataan .XTBL? Suositukseni näyttävät seuraavalta (mutta ne eroavat niistä, jotka ovat monissa muissa temaattisissa sivustoissa, joissa he esimerkiksi suosittelevat tietokoneen kytkemistä heti pois päältä tai eivät poista virusta. Mielestäni tämä on tarpeetonta, ja olosuhteissa se voi olla jopa haitallista, mutta päätät.):

  1. Jos osaat keskeyttää salausprosessin poistamalla asiaankuuluvat tehtävät tehtävien annostelijan sammuttamisesta Internetistä (tämä voi olla välttämätön ehto salaukselle)
  2. Muista tai kirjoita koodi, jonka hyökkääjät vaativat lähetettävän sähköpostiosoitteeseen (vain tietokoneen tekstitiedostoon, joka tapauksessa, joten se ei myöskään osoittautu salattuksi).
  3. Malwarebytes antimaaliset, kokeiluversio Kaspersky Internet Securitysta tai DR: stä.Web Cure It Poista virus, salaa tiedostoja (kaikki nämä työkalut selviytyvät tästä kaivosta). Suosittelen sinua vuorotellen käyttämällä luettelon ensimmäistä ja toista tuotetta (jos sinulla on asennettu virustorjunta, toisen ”ylhäältä” asentaminen ei ole toivottavaa, koska se voi johtaa ongelmiin tietokoneessa.-A
  4. Odota dekooderia mistä tahansa virustorjuntayhtiöstä. Etupuolella täällä Kaspersky Lab.
  5. Voit myös lähettää esimerkin salattuista tiedostosta ja vaaditusta koodista [email protected], Jos sinulla on kopio samasta tiedostosta salaamattomassa muodossa, lähetä se myös. Teoriassa tämä voi nopeuttaa dekooderin ulkonäköä.

Mitä ei pitäisi tehdä:

  • Nimeä salattu tiedosto, muuta laajennusta ja poista ne, jos ne ovat tärkeitä.

Tämä on ehkä kaikki mitä voin sanoa salattuista tiedostoista laajennuksella .XTBL tiettynä ajankohtana.

Tiedostot on salattu parempi_call_saul

Viimeisistä salausviruksista - parempi soita Saulille (troijalainen -Ransom.Win32.Sävy), laajennuksen asettaminen .Parempana_call_saul salatuille tiedostoille. Tällaisten tiedostojen purkaminen ei ole vielä selvää. Ne käyttäjät, jotka ovat yhteydessä Kaspersky -laboratorioon ja tohtoriin.Verkko -vastaanotetut tiedot, joita et voi tehdä tätä nyt (mutta yritä silti lähettää se - lisää näytteitä salatuista tiedostoista kehittäjiltä = todennäköisemmin menetelmän löytäminen).

Jos käy ilmi, että olet löytänyt salauksen menetelmän (t.e. Hänet asetettiin jonnekin, mutta en seurannut), jaa tietoja kommentteihin.

Troijalainen.Win32.Aura ja troijalainen.Win32.Rakni

Seuraava troijalainen, salaamalla tiedostoja ja asettamalla ne laajennukset tästä luettelosta:

  • .Lukittu
  • .Krypto
  • .Kraken
  • .AES256 (ei välttämättä tämä troijalainen, on muitakin, jotka luovat saman laajennuksen).
  • .Codercsu@gmail_com
  • .ENC
  • .Oshit
  • Ja muut.

Tiedostojen purkamiseksi näiden virusten käytön jälkeen Kasperskyn verkkosivustolla on ilmainen RakhnideCryptor -apuohjelma, joka on saatavana virallisella sivulla http: // tuki.Kaspersky.RU/virukset/desinfiointi/10556.

Tämän apuohjelman käyttöön on myös yksityiskohtaiset ohjeet, jotka osoittavat, kuinka palautetaan salatut tiedostot, joista poistaisin vain siinä tapauksessa, että esine "poista salatut tiedostot onnistuneen dekoodauksen jälkeen" (vaikka mielestäni kaikki on järjestyksessä asetusvaihtoehto).

Jos sinulla on DR Antivirus -lisenssi.Verkko Voit käyttää tämän yrityksen ilmaista salauksen purkamista http: // tukisivulla.Drweb.Com/uusi/vapaa_unlocker/

Toinen vaihtoehto sipperivirukselle

Löydetään myös harvemmin seuraavat troijalaiset, tiedostojen salaaminen ja rahan vaativat rahaa dekoodaamiseen. Näiden linkkien mukaan tiedostojen palauttamiseen ei ole vain apuohjelmia, vaan myös kuvaus merkkeistä, jotka auttavat määrittämään, että sinulla on tämä virus. Vaikka yleensä optimaalinen polku: Kaspersky Antivirus -sovelluksen avulla skannaa järjestelmä, selvitä troijalaisen nimi tämän yrityksen luokittelemalla ja etsi sitten apuohjelma tällä nimellä.

  • Troijalainen.Win32.REKORTI - Ilmainen Recordecryptor -apuohjelma dekoodaamiseen ja käyttöä varten on saatavana täältä: http: // tuki.Kaspersky.RU/virukset/desinfiointi/4264
  • Troijalainen.Win32.Xorist on samanlainen troijalainen, että ikkunan näyttäminen pyynnöstä lähettää maksetut tekstiviestit tai yhteyttä E -mail: lla saadaksesi ohjeet salauksen purkamiseen. Ohjeet salattujen tiedostojen ja XORISTDECRYPTOR -apuohjelman palauttamiseksi ovat http: // tukisivulla.Kaspersky.RU/virukset/desinfiointi/2911
  • Troijalainen.Win32.Rannoh, troijalainen lentti.Win32.Fury - RannochDecryptor -apuohjelma http: // tuki.Kaspersky.RU/virukset/desinfiointi/8547
  • troijalainen.Kooderi.858 (XTBL), troijalainen.Kooderi.741 ja muut, joilla on sama nimi (etsittäessä virustorjunta DR.Verkko tai parantaa sen) ja erilaisia ​​numeroita - kokeile etsiä Internetistä nimeltä Troyan. Joillekin heistä on dshpenth -apuohjelmia DR: ltä.Verkko, myös jos et löytänyt apuohjelmaa, mutta on olemassa DR -lisenssi.Verkko, voit käyttää virallista sivua http: // tukea.Drweb.Com/uusi/vapaa_unlocker/
  • CryptoLocker - Tystetiedostot CryptoLockerin jälkeen voit käyttää sivustoa http: // dekryptcryptolocker.Com - Kun olet lähettänyt esimerkin tiedostosta, saat avaimen ja apuohjelman tiedostojen palauttamiseen.
  • Sivustolla https: // bitbucket.Org/jadacysyrus/lunsomwarereramovalkit/Lataukset Access Ransomware -poistopaketti - suuri arkisto, jossa on tietoja erityyppisistä salauksista ja salauksen apuohjelmista (englanniksi)

No, viimeisimmistä uutisista - Kaspersky -laboratorio yhdessä Alankomaiden lainvalvontaviranomaisten kanssa kehittivät Ransomware Decryptor (http: // Noransom.Kaspersky.Com) tiedostojen purkamiseksi Coinvaultin jälkeen, mutta leveyssoillamme tätä kiristystä ei vielä löydy.

Suoja salausviruksilta tai lunnausohjelmilta

Ransomware -levittäessä monet virustentorjuntavalmistajat ja haitallisten ohjelmien torjumisen keinot alkoivat tehdä ratkaisujaan tietokoneen salaustyön estämiseksi, muun muassa ne voidaan erottaa:
  • Haittaohjelmat byytes anti-ransomware 
  • Bitdefender anti-Ransomware 
  • Winantiransom
Kaksi ensimmäistä ovat edelleen beetaversioissa, mutta ilmaiset (ne tukevat vain rajoitetun joukon viruksia tämän tyyppisiä - Teslacrypt, CtBlocker, Locky, CryptoLocker. Winantiransom - maksettu tuote, joka lupaa estää salauksen melkein kaikilla lunasarjojen näytteillä, tarjoamalla sekä paikallisten että verkkolevyjen suojaamisen.

Mutta: näitä ohjelmia ei ole suunniteltu dekoodaamiseen, vaan vain tärkeiden tiedostojen salauksen estämiseksi tietokoneessa. Joka tapauksessa minusta näyttää siltä, ​​että nämä toiminnot tulisi toteuttaa virustorjuntatuotteissa, muuten saadaan outo tilanne: käyttäjän on pidettävä virustorjunta tietokoneella, keinona torjua mainosohjelmia ja haittaohjelmia ja nyt myös Ransomware-ohjelmien vastaisia ​​apuohjelmia, plus anti-hyväksikäyttö.

Muuten, jos yhtäkkiä osoittautut, että sinulla on jotain lisättävää (koska minulla ei voi olla aikaa seurata, mitä salauksen menetelmillä tapahtuu), raportoi kommenteissa, nämä tiedot ovat hyödyllisiä muille käyttäjille, jotka ovat kohdistaneet ongelma.