Es gibt eine Vielzahl unterschiedlicher Arten von Schadsoftware. Darunter befinden sich äußerst unangenehme Verschlüsselungsviren, die, sobald sie auf einem Computer sind, beginnen, Benutzerdateien zu verschlüsseln. In einigen Fällen besteht eine gute Chance, Ihre Dateien zu entschlüsseln, es kommt jedoch vor, dass dies nicht möglich ist. Wir werden alle notwendigen Maßnahmen sowohl für den ersten als auch für den zweiten Fall in Betracht ziehen, sofern dies der Fall ist.

Diese Viren können sich geringfügig unterscheiden, aber im Allgemeinen sind ihre Wirkungen immer gleich:

• auf Ihrem Computer installieren;
• alle Dateien verschlüsseln, die von irgendeinem Wert sein können (Dokumente, Fotos);
• Beim Versuch, diese Dateien zu öffnen, muss der Benutzer einen bestimmten Betrag in die Brieftasche oder das Konto des Angreifers einzahlen, andernfalls wird der Zugriff auf den Inhalt nie geöffnet.

Der Virus verschlüsselte Dateien in xtbl

Derzeit ist ein Virus weit verbreitet, der Dateien verschlüsseln und ihre Erweiterung in .xtbl ändern sowie ihren Namen durch völlig zufällige Zeichen ersetzen kann.

Zusätzlich wird an sichtbarer Stelle eine spezielle Datei mit Anweisungen erstellt readme.txt. Darin konfrontiert der Angreifer den Benutzer mit der Tatsache, dass alle seine wichtigen Daten verschlüsselt wurden und nun nicht mehr so ​​einfach geöffnet werden können, und fügt hinzu, dass es notwendig sei, bestimmte Aktionen im Zusammenhang mit der Geldüberweisung durchzuführen, um alles wieder in seinen vorherigen Zustand zu versetzen an den Betrüger (normalerweise müssen Sie zuvor einen bestimmten Code an eine der vorgeschlagenen E-Mail-Adressen senden). Oft werden solche Nachrichten auch mit dem Hinweis ergänzt, dass Sie riskieren, alle Ihre Dateien für immer zu verlieren, wenn Sie versuchen, alle Ihre Dateien selbst zu entschlüsseln.

Leider in im Moment, offiziell konnte niemand .xtbl entschlüsseln, wenn eine funktionierende Methode auftaucht, werden wir im Artikel auf jeden Fall darüber berichten. Unter den Benutzern gibt es solche, die eine ähnliche Erfahrung mit diesem Virus gemacht haben und den erforderlichen Betrag an die Betrüger gezahlt haben, um im Gegenzug eine Entschlüsselung ihrer Dokumente zu erhalten. Doch das ist ein äußerst riskanter Schritt, denn unter den Angreifern gibt es auch solche, die sich nicht allzu sehr um die versprochene Entschlüsselung kümmern, am Ende ist das Geld verloren;

Was ist dann zu tun, fragen Sie? Wir bieten einige Tipps, die Ihnen dabei helfen, alle Ihre Daten zurückzubekommen und gleichzeitig nicht dem Beispiel von Betrügern zu folgen und ihnen Ihr Geld zu geben. Und was muss also getan werden:

1. Wenn Sie wissen, wie man im Task-Manager arbeitet, unterbrechen Sie die Dateiverschlüsselung sofort, indem Sie den verdächtigen Prozess stoppen. Trennen Sie gleichzeitig Ihren Computer vom Internet – viele Ransomware erfordern eine Netzwerkverbindung.
2. Nehmen Sie ein Blatt Papier und schreiben Sie darauf den Code auf, der per E-Mail an Angreifer gesendet werden soll (das Blatt Papier liegt daran, dass die Datei, in die Sie schreiben, möglicherweise auch unleserlich wird).
3. Verwendung von Malwarebytes Antimalware, Testversion von Antivirus Kaspersky IS oder CureIt, Malware entfernen. Für eine höhere Zuverlässigkeit ist es besser, alle vorgeschlagenen Mittel konsequent zu nutzen. Obwohl Kaspersky Anti-Virus möglicherweise nicht installiert wird, wenn das System bereits über ein Haupt-Antivirenprogramm verfügt, kann es andernfalls zu Softwarekonflikten kommen. Alle anderen Dienstprogramme können in jeder Situation verwendet werden.
4. Warten Sie, bis eines der Antivirenunternehmen einen funktionierenden Entschlüsseler für solche Dateien entwickelt. Kaspersky Lab erledigt die Arbeit am schnellsten.
5. Darüber hinaus können Sie an senden [email protected] eine Kopie der verschlüsselten Datei mit dem erforderlichen Code und, falls verfügbar, derselben Datei in ihrer Originalform. Es ist durchaus möglich, dass dies die Entwicklung einer Methode zur Dateientschlüsselung beschleunigen könnte.

Unter keinen Umständen:

• Umbenennen dieser Dokumente;
• ihre Ausdehnung ändern;
• Dateien löschen.

Diese Trojaner sind auch damit beschäftigt, Benutzerdateien zu verschlüsseln und anschließend zu erpressen. In diesem Fall können verschlüsselte Dateien die folgenden Erweiterungen haben:

• .gesperrt
• .crypto
• .Krake
• .AES256 (nicht unbedingt dieser Trojaner, es gibt andere, die dieselbe Erweiterung installieren).
• .codercsu@gmail_com
• Scheiße
• Und andere.

Glücklicherweise wurde es bereits erstellt besonderer Nutzen zur Entschlüsselung - RakhniDecryptor. Sie können es von der offiziellen Website herunterladen.

Auf derselben Website können Sie Anweisungen lesen, die klar und deutlich zeigen, wie Sie mit dem Dienstprogramm alle Dateien entschlüsseln, an denen der Trojaner gearbeitet hat. Grundsätzlich lohnt es sich aus Gründen der Zuverlässigkeit, die Möglichkeit zum Löschen verschlüsselter Dateien auszuschließen. Aber höchstwahrscheinlich haben die Entwickler bei der Erstellung des Dienstprogramms gute Arbeit geleistet und die Integrität der Daten ist nicht gefährdet.

Wer ein lizenziertes Dr.Web-Antivirenprogramm verwendet, hat kostenlosen Zugriff auf die Entschlüsselung durch die Entwickler http://support.drweb.com/new/free_unlocker/.

Andere Arten von Ransomware-Viren

Manchmal stoßen Sie möglicherweise auf andere Viren, die wichtige Dateien verschlüsseln und Zahlungen erpressen, um alles wieder in seinen ursprünglichen Zustand zu versetzen. Wir bieten eine kleine Liste von Dienstprogrammen zur Bekämpfung der Folgen der häufigsten Viren. Dort können Sie sich auch mit den Hauptmerkmalen vertraut machen, anhand derer Sie das eine oder andere Trojaner-Programm unterscheiden können.

Außerdem, auf eine gute Art und Weise scannt Ihren PC mit Kaspersky Antivirus, das den ungebetenen Gast erkennt und ihm einen Namen zuweist. Unter diesem Namen können Sie bereits nach einem Decoder dafür suchen.

• Trojan-Ransom.Win32.Rector- ein typischer Ransomware-Verschlüsseler, der Sie dazu auffordert, eine SMS zu senden oder andere Aktionen dieser Art durchzuführen. Den Entschlüsseler entnehmen wir diesem Link.
• Trojan-Ransom.Win32.Xorist- eine Variante des vorherigen Trojaners, Sie können einen Entschlüsseler mit Anweisungen für seine Verwendung erhalten.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury– Für diese Typen gibt es auch ein spezielles Dienstprogramm, siehe Link.
• Trojan.Encoder858, Trojan.Encoder.741– Diese Malware kann vom Dienstprogramm CureIt erkannt werden. Sie haben ähnliche Namen, aber die Zahlen am Ende des Namens können unterschiedlich sein. Wir suchen nach einem Entschlüsseler mit dem Namen des Virus. Wenn Sie lizenziertes Dr.Web verwenden, können Sie auf eine spezielle Ressource zurückgreifen.
• CryptoLacker– Um Ihre Dateien zurückzubekommen, besuchen Sie diese Website und generieren Sie sie Sonderprogramm um Ihre Dokumente wiederherzustellen.

Kürzlich hat Kaspersky Lab in Zusammenarbeit mit seinen Kollegen aus den Niederlanden einen Entschlüsseler entwickelt, mit dem Sie Dateien wiederherstellen können, nachdem ein Virus sie infiziert hat CoinVault.

In den Kommentaren können Sie Ihre Methoden zum Entschlüsseln von Dateien mitteilen, da diese Informationen für andere Benutzer nützlich sein werden, die möglicherweise auf ähnliche Schadsoftware stoßen.

Ist es schon einmal vorgekommen, dass Sie per E-Mail, Skype oder ICQ eine Nachricht von einem unbekannten Absender mit einem Link zu einem Foto Ihres Freundes oder Glückwünschen zum bevorstehenden Feiertag erhalten haben? Sie scheinen keine Einrichtung zu erwarten, und plötzlich, wenn Sie auf den Link klicken, wird ernsthafte Schadsoftware auf Ihren Computer heruntergeladen. Bevor Sie es merken, hat der Virus bereits alle Ihre Dateien verschlüsselt. Was tun in einer solchen Situation? Ist eine Wiederherstellung von Dokumenten möglich?

Um den Umgang mit Malware zu verstehen, müssen Sie wissen, was es ist und wie es in das Betriebssystem eindringt. Dabei spielt es überhaupt keine Rolle, welches Windows-Version Sie verwenden - der Critroni-Virus zielt darauf ab, jeden zu infizieren Betriebssystem.

Verschlüsselung eines Computervirus: Definition und Aktionsalgorithmus

Ein neues ist im Internet aufgetaucht Computervirus neue Software, vielen bekannt als CTB (Curve Tor Bitcoin) oder Critroni. Hierbei handelt es sich um eine verbesserte Trojaner-Ransomware, die im Prinzip der bisher bekannten Schadsoftware CriptoLocker ähnelt. Was sollten Sie in diesem Fall tun, wenn ein Virus alle Dateien verschlüsselt hat? Zunächst müssen Sie den Algorithmus seiner Funktionsweise verstehen. Die Essenz des Virus besteht darin, alle Ihre Dateien mit den Erweiterungen .ctbl, .ctb2, .vault, .xtbl oder anderen zu verschlüsseln. Sie können sie jedoch erst öffnen, wenn Sie den geforderten Geldbetrag bezahlt haben.

Die Viren Trojan-Ransom.Win32.Shade und Trojan-Ransom.Win32.Onion sind weit verbreitet. Sie sind STV in ihrer lokalen Aktion sehr ähnlich. Sie können anhand der Erweiterung der verschlüsselten Dateien unterschieden werden. Trojan-Ransom kodiert Informationen im .xtbl-Format. Wenn Sie eine Datei öffnen, erscheint auf dem Bildschirm eine Meldung, dass Ihre persönlichen Dokumente, Datenbanken, Fotos und anderen Dateien durch Malware verschlüsselt wurden. Um sie zu entschlüsseln, müssen Sie für einen eindeutigen Schlüssel bezahlen, der auf einem geheimen Server gespeichert wird. Nur in diesem Fall können Sie Entschlüsselungs- und kryptografische Vorgänge mit Ihren Dokumenten durchführen. Aber keine Sorge, es gibt noch eine andere Möglichkeit, diese Art von Cyberkriminalität zu bekämpfen, ganz zu schweigen davon, dass Sie Geld an die angegebene Nummer senden möchten. Was sollten Sie in einer solchen Situation tun, wenn ein solcher Virus auf Ihren Computer gelangt ist und alle .xtbl-Dateien verschlüsselt hat?

Was Sie nicht tun sollten, wenn ein Verschlüsselungsvirus in Ihren Computer eindringt

Es kommt vor, dass wir in Panik ein Antivirenprogramm installieren und mit dessen Hilfe automatisch bzw manueller Modus Wir entfernen Virensoftware und verlieren damit wichtige Dokumente. Das ist unangenehm, außerdem kann der Computer Daten enthalten, an denen Sie seit Monaten arbeiten. Es ist eine Schande, solche Dokumente zu verlieren, ohne dass die Möglichkeit besteht, sie wiederherzustellen.

Wenn der Virus alle .xtbl-Dateien verschlüsselt hat, versuchen einige, ihre Erweiterung zu ändern, aber auch dies führt nicht zu positiven Ergebnissen. Neuinstallation und Formatierung Festplatte Das Schadprogramm wird zwar dauerhaft entfernt, aber gleichzeitig verlieren Sie jegliche Möglichkeit zur Wiederherstellung des Dokuments. In dieser Situation helfen speziell erstellte Entschlüsselungsprogramme nicht, da die Ransomware-Software mit einem nicht standardmäßigen Algorithmus programmiert ist und eine besondere Vorgehensweise erfordert.

Wie gefährlich ist ein Ransomware-Virus für einen PC?

Es ist absolut klar, dass kein einziges Schadprogramm Ihrem PC zugute kommt. Warum wird solche Software erstellt? Seltsamerweise wurden solche Programme nicht nur mit dem Ziel entwickelt, Benutzer um möglichst viel Geld zu betrügen. Tatsächlich ist virales Marketing für viele Antiviren-Erfinder durchaus profitabel. Denn wenn ein Virus alle Dateien auf Ihrem Computer verschlüsseln würde, wohin würden Sie sich zuerst wenden? Suchen Sie natürlich die Hilfe von Fachleuten auf. Was sind Verschlüsselungstools für Ihren Laptop bzw Personalcomputer?

Ihr Betriebsalgorithmus ist nicht standardisiert, sodass es unmöglich ist, infizierte Dateien mit herkömmlicher Antivirensoftware zu heilen. Das Entfernen schädlicher Objekte führt zu Datenverlust. Nur der Umzug in die Quarantäne ermöglicht die Sicherung anderer Dateien, die der bösartige Virus noch nicht verschlüsseln konnte.

Ablaufdatum der Verschlüsselungs-Malware

Was sollten Sie tun, wenn Ihr Computer mit Critroni (Malware) infiziert ist und der Virus alle Ihre Dateien verschlüsselt hat? Sie können die Formate .vault, .xtbl und .rar nicht selbst entschlüsseln, indem Sie die Erweiterung manuell in .doc, .mp3, .txt und andere ändern. Wenn Sie den geforderten Betrag nicht innerhalb von 96 Stunden an Cyberkriminelle zahlen, erhalten Sie eine einschüchternde E-Mail mit der Mitteilung, dass alle Ihre Dateien dauerhaft gelöscht werden. In den meisten Fällen werden Menschen von solchen Bedrohungen beeinflusst und führen die genannten Aktionen widerwillig, aber gehorsam aus, weil sie befürchten, wertvolle Informationen zu verlieren. Schade, dass Nutzer nicht verstehen, dass Cyberkriminelle nicht immer zu ihrem Wort stehen. Sobald sie das Geld erhalten, kümmern sie sich oft nicht mehr um die Entschlüsselung Ihrer gesperrten Dateien.

Wenn der Timer abgelaufen ist, wird er automatisch geschlossen. Sie haben jedoch immer noch die Möglichkeit, wichtige Dokumente wiederherzustellen. Auf dem Bildschirm wird eine Meldung angezeigt, die darauf hinweist, dass die Zeit abgelaufen ist, und Sie können detailliertere Informationen zu den Dateien im Dokumentenordner in einer speziell erstellten Notizblockdatei DecryptAllFiles.txt anzeigen.

Wege, wie Verschlüsselungs-Malware in das Betriebssystem eindringt

Typischerweise dringen Ransomware-Viren über infizierte E-Mail-Nachrichten oder gefälschte Downloads in einen Computer ein. Dabei kann es sich um gefälschte Flash-Updates oder betrügerische Videoplayer handeln. Sobald das Programm mit einer dieser Methoden auf Ihren Computer heruntergeladen wird, werden die Daten sofort verschlüsselt, ohne dass eine Wiederherstellung möglich ist. Wenn der Virus alle .cbf-, .ctbl- und .ctb2-Dateien in andere Formate verschlüsselt hat und Sie dies nicht getan haben Sicherungskopie Wenn Sie Dokumente auf Wechselmedien gespeichert haben, gehen Sie davon aus, dass Sie diese nicht mehr wiederherstellen können. Derzeit wissen Antivirenlabore nicht, wie man solche Verschlüsselungsviren knackt. Ohne den erforderlichen Schlüssel können Sie infizierte Dateien nur blockieren, in die Quarantäne verschieben oder löschen.

So vermeiden Sie, dass Ihr Computer mit einem Virus infiziert wird

Unheilvoll alle .xtbl-Dateien. Was zu tun? Sie haben bereits viele unnötige Informationen gelesen, die auf den meisten Websites geschrieben sind, und können die Antwort nicht finden. Es kommt vor, dass der Computer im ungünstigsten Moment, wenn Sie dringend einen Bericht bei der Arbeit, eine Dissertation an einer Universität abgeben oder Ihren Professorenabschluss verteidigen müssen, ein Eigenleben zu führen beginnt: Er geht kaputt, infiziert sich mit Viren , und friert ein. Sie müssen auf solche Situationen vorbereitet sein und Informationen auf dem Server und den Wechselmedien aufbewahren. Dadurch können Sie das Betriebssystem jederzeit neu installieren und nach 20 Minuten am Rechner arbeiten, als wäre nichts gewesen. Aber leider sind wir nicht immer so unternehmungslustig.

Um eine Infektion Ihres Computers mit einem Virus zu vermeiden, müssen Sie zunächst ein gutes Antivirenprogramm installieren. Sie müssen es richtig konfiguriert haben Windows-Firewall, das vor dem Eindringen verschiedener schädlicher Objekte über das Netzwerk schützt. Und das Wichtigste: Laden Sie keine Software von ungeprüften Websites oder Torrent-Trackern herunter. Um eine Infektion Ihres Computers mit Viren zu vermeiden, achten Sie darauf, auf welche Links Sie klicken. Wenn Sie eine E-Mail von einem unbekannten Empfänger mit der Bitte oder dem Angebot erhalten, zu sehen, was sich hinter dem Link verbirgt, verschieben Sie die Nachricht am besten in den Spam oder löschen Sie sie ganz.

Um zu verhindern, dass der Virus eines Tages alle .xtbl-Dateien verschlüsselt, raten Labore für Antivirensoftware Autobahn Schutz vor einer Infektion durch Verschlüsselungsviren: Überprüfen Sie einmal pro Woche deren Zustand.

Der Virus hat alle Dateien auf dem Computer verschlüsselt: Behandlungsmethoden

Wenn Sie Opfer von Cyberkriminalität geworden sind und die Daten auf Ihrem Computer mit einer der verschlüsselnden Arten von Malware infiziert wurden, ist es an der Zeit, zu versuchen, Ihre Dateien wiederherzustellen.

Es gibt mehrere Möglichkeiten, infizierte Dokumente kostenlos zu behandeln:

1. Die gebräuchlichste und derzeit wahrscheinlich effektivste Methode ist Sicherung Dokumente und anschließende Wiederherstellung im Falle einer unerwarteten Infektion.
2. Der Softwarealgorithmus des CTB-Virus funktioniert auf interessante Weise. Sobald es auf dem Computer ist, kopiert es Dateien, verschlüsselt sie und löscht die Originaldokumente, wodurch die Möglichkeit einer Wiederherstellung ausgeschlossen wird. Mithilfe der Software Photorec oder R-Studio können Sie jedoch einige unberührte Originaldateien retten. Sie sollten wissen, dass die Wahrscheinlichkeit, dass Sie alle erforderlichen Dokumente wiederherstellen können, umso geringer ist, je länger Sie Ihren Computer nach der Infektion verwenden.
3. Wenn der Virus alle .vault-Dateien verschlüsselt hat, gibt es eine andere gute Möglichkeit, sie zu entschlüsseln – die Verwendung von Schattenkopie-Volumes. Natürlich wird der Virus versuchen, sie alle dauerhaft und unwiderruflich zu löschen, aber es kommt auch vor, dass einige Dateien unberührt bleiben. In diesem Fall haben Sie eine kleine Chance, sie wiederherzustellen.
4. Es ist möglich, Daten auf Filehosting-Diensten wie DropBox zu speichern. Es kann als lokale Festplattenzuordnung auf Ihrem Computer installiert werden. Natürlich wird auch ihn der Verschlüsselungsvirus infizieren. In diesem Fall ist es jedoch viel realistischer, Dokumente und wichtige Dateien wiederherzustellen.

Software zur Verhinderung einer Infektion mit PC-Viren

Wenn Sie befürchten, dass bösartige Schadsoftware auf Ihren Computer gelangt, und nicht möchten, dass ein heimtückischer Virus alle Ihre Dateien verschlüsselt, sollten Sie den lokalen Richtlinieneditor oder den Windows-Gruppeneditor verwenden. Dank dieser integrierten Software können Sie eine Programmbeschränkungsrichtlinie einrichten – und müssen sich dann keine Sorgen mehr machen, dass Ihr Computer infiziert wird.

So stellen Sie infizierte Dateien wieder her

Was sollten Sie tun, wenn der CTB-Virus alle Dateien verschlüsselt hat? in diesem Fall die notwendigen Dokumente wiederherstellen? Leider kann derzeit kein einziges Antivirenlabor die Entschlüsselung Ihrer Dateien anbieten, sondern die Infektion neutralisieren vollständige Entfernung von einem Personal Computer ist möglich. Alle wirksamen Methoden zur Informationswiederherstellung sind oben aufgeführt. Wenn Ihre Dateien für Sie zu wertvoll sind und Sie sich nicht die Mühe gemacht haben, sie auf einem Wechseldatenträger oder Internetlaufwerk zu sichern, müssen Sie den von den Cyberkriminellen geforderten Geldbetrag zahlen. Es besteht jedoch keine Chance, dass Ihnen der Entschlüsselungsschlüssel auch nach der Zahlung zugesandt wird.

So finden Sie infizierte Dateien

Um eine Liste der infizierten Dateien anzuzeigen, können Sie zu diesem Pfad gehen: „Eigene Dateien“\.html oder „C:“\“Benutzer“\“Alle Benutzer“\.html. Dieses HTML-Blatt enthält nicht nur Daten zu zufälligen Anweisungen, sondern auch zu infizierten Objekten.

So blockieren Sie einen Verschlüsselungsvirus

Sobald ein Computer mit Malware infiziert wurde, besteht die erste notwendige Aktion seitens des Benutzers darin, das Netzwerk einzuschalten. Dies geschieht durch Drücken der Tastaturtaste F10.

Wenn der Critroni-Virus versehentlich auf Ihren Computer gelangt ist und alle Dateien in den Formaten .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf oder einem anderen Format verschlüsselt hat, ist es bereits schwierig, sie wiederherzustellen. Wenn der Virus jedoch noch nicht viele Änderungen vorgenommen hat, wird er wahrscheinlich mithilfe einer Softwareeinschränkungsrichtlinie blockiert.

Ransomware-Virus: Sollten Sie Betrüger bezahlen oder nicht?

Dieser dunkle Tag ist gekommen. Auf einer der wichtigen Arbeitsmaschinen arbeitete ein Verschlüsselungsvirus aktiv, woraufhin alle Office-, Grafik- und viele andere Dateien die Erlaubnis crypted000007 akzeptierten, die zum Zeitpunkt des Schreibens dieses Artikels nicht entschlüsselt werden konnten.

Außerdem erschien auf dem Desktop ein Hintergrundbild mit der Aufschrift „Ihre Dateien sind verschlüsselt“ und im Stammverzeichnis lokaler Laufwerke erschienen Readme-Textdokumente mit den Kontaktinformationen des Betrügers. Natürlich will er ein Lösegeld für die Entschlüsselung.

Persönlich habe ich diese Arschlöcher nicht kontaktiert, um solche Aktivitäten zu unterbinden, aber ich weiß, dass der Durchschnittspreis bei 300 $ und mehr beginnt. Überlegen Sie also selbst, was Sie tun sollen. Aber wenn Sie sehr wichtige Dateien verschlüsselt haben, zum Beispiel 1C-Datenbanken, und es keine Sicherungskopie gibt, dann ist dies der Zusammenbruch Ihrer Karriere.

Lassen Sie mich vorweg sagen: Wenn Sie auf eine Entschlüsselung hoffen, löschen Sie unter keinen Umständen die Datei, die Geld verlangt, und unternehmen Sie nichts mit den verschlüsselten Dateien (ändern Sie nicht den Namen, die Erweiterung usw.). Aber lasst uns der Reihe nach über alles reden.

Ransomware-Virus – was ist das?

Das ist Ransomware Software, das Daten auf einem Computer mithilfe eines sehr starken Algorithmus verschlüsselt. Als nächstes werde ich eine grobe Analogie geben. Stellen Sie sich vor, Sie hätten für die Anmeldung bei Windows ein mehrere tausend Zeichen langes Passwort festgelegt und es dann vergessen. Stimmen Sie zu, es ist unmöglich, sich zu erinnern. Wie viele Leben benötigen Sie für die manuelle Suche?

Dies ist bei einer Ransomware der Fall, die legale kryptografische Methoden für illegale Zwecke nutzt. Solche Viren verwenden in der Regel eine asynchrone Verschlüsselung. Das bedeutet, dass ein Schlüsselpaar verwendet wird.

Dateien werden mit verschlüsselt öffentlicher Schlüssel, und Sie können sie mit einem privaten Schlüssel entschlüsseln, über den nur der Betrüger verfügt. Alle Schlüssel sind einzigartig, da sie für jeden Computer separat generiert werden.

Deshalb habe ich am Anfang des Artikels gesagt, dass man die Datei readme.txt im Stammverzeichnis der Festplatte nicht mit einer Lösegeldforderung löschen kann. Darin ist der öffentliche Schlüssel angegeben.

E-Mail-Adresse Ransomware in meinem Fall Wenn man es in eine Suche eingibt, wird das wahre Ausmaß der Tragödie deutlich. Viele Menschen wurden verletzt.

Deshalb sage ich noch einmal: Ändern Sie beschädigte Dateien auf keinen Fall. Andernfalls verlieren Sie auch nur die geringste Chance, sie in Zukunft wiederherzustellen.

Es wird auch nicht empfohlen, das Betriebssystem neu zu installieren und temporäre Verzeichnisse und Systemverzeichnisse zu bereinigen. Kurz gesagt, bis alle Umstände geklärt sind, rühren wir nichts an, um unser Leben nicht zu verkomplizieren. Obwohl es viel schlimmer zu sein scheint.

Diese Infektion gelangt am häufigsten per E-Mail mit einem heißen Betreff wie „Dringend, Brief der Bank an den Manager“ und dergleichen. Der Feind ist im Anhang versteckt, der wie eine harmlose PDF- oder JPG-Datei aussehen kann.

Sobald Sie es starten, passiert auf den ersten Blick nichts Schlimmes. Auf einem schwachen Büro-PC kann es zu einer gewissen „Langsamkeit“ kommen. Es ist ein Virus, der sich als ausgibt Systemprozess Er erledigt bereits seine Drecksarbeit.

Unter Windows 7 und höher wird beim Start des Schädlings ständig das Fenster „Benutzerkontensteuerung“ angezeigt, in dem Sie aufgefordert werden, Änderungen zuzulassen. Natürlich wird ein unerfahrener Benutzer mit allem einverstanden sein und damit sein eigenes Todesurteil unterzeichnen.

Ja, tatsächlich blockiert der Virus bereits den Zugriff auf Dateien und wenn der Vorgang abgeschlossen ist, wird auf dem Desktop die Warnmeldung „Ihre Dateien sind verschlüsselt“ angezeigt. Im Allgemeinen ist es ein Hintern. Dann beginnt die Brutalität.

So heilen Sie einen Ransomware-Virus

Auf der Grundlage des oben Gesagten können wir den Schluss ziehen, dass, wenn die schreckliche Inschrift auf dem Desktop noch nicht aufgetaucht ist und Sie bereits die ersten Dateien mit unverständlichen langen Namen aus einem chaotischen Satz verschiedener Zeichen gesehen haben, den Computer sofort aus der Steckdose ziehen.

Das ist richtig, unhöflich und kompromisslos. Dadurch stoppen Sie den Algorithmus der Schadsoftware und können zumindest etwas retten. In meinem Fall wusste der Mitarbeiter das leider nicht und hat alles verloren. Ihre Mutter...

Das Tüpfelchen auf dem i war für mich die Tatsache, dass dieser Virus, wie sich herausstellte, problemlos alle mit dem PC verbundenen Wechselmedien und Netzlaufwerke mit Schreibzugriffsrechten verschlüsselt. Dort waren die Backups.

Nun zur Behandlung. Das erste, was Sie verstehen müssen, ist, dass der Virus geheilt ist, die Dateien jedoch weiterhin verschlüsselt bleiben. Vielleicht für immer. Der Behandlungsprozess selbst ist nicht kompliziert.

Dazu müssen Sie die Festplatte an einen anderen Computer anschließen und mit Dienstprogrammen wie oder scannen Kaspersky-Virus Entfernungswerkzeug. Um sicher zu gehen, können Sie zwei nacheinander verwenden. Wenn Sie eine infizierte Schraube nicht auf einen anderen Computer übertragen möchten, booten Sie von einer Live-CD.

In der Regel finden und entfernen solche Antivirenlösungen den Verschlüsseler problemlos. Aber manchmal entdecken sie nichts, weil der Virus, nachdem er seine Arbeit getan hat, sich selbst aus dem System entfernen kann. Das ist so ein Stück Scheiße, das alle Spuren verwischt und das Studium erschwert.

Ich stelle mir schon die Frage: Warum hat das Antivirenprogramm nicht sofort verhindert, dass unerwünschte Software auf den Computer gelangt? Dann gäbe es keine Probleme. Meiner Meinung nach verlieren Antivirenprogramme derzeit den Kampf gegen Verschlüsselungsprogramme, und das ist sehr traurig.

Darüber hinaus basiert diese Schadsoftware, wie ich bereits sagte, auf legalen kryptografischen Methoden. Das heißt, es stellt sich heraus, dass ihre Arbeit aus technischer Sicht nicht illegal ist. Darin besteht die Schwierigkeit, sie zu identifizieren.

Es werden ständig neue Modifikationen veröffentlicht, die fallen Antiviren-Datenbanken erst nach einer Infektion. Leider kann es in diesem Fall keinen 100-prozentigen Schutz geben. Nur wachsames Verhalten bei der Arbeit am PC, aber dazu später mehr.

So entschlüsseln Sie Dateien nach einem Virus

Es hängt alles vom konkreten Fall ab. Oben wurde geschrieben, dass Modifikationen des Verschlüsselungsvirus alles sein können. Abhängig davon haben verschlüsselte Dateien unterschiedliche Erweiterungen.

Die gute Nachricht ist, dass Antiviren-Unternehmen für viele Versionen der Infektion bereits Entschlüsselungsprogramme (Entschlüsseler) entwickelt haben. Der Marktführer auf dem russischsprachigen Markt ist Kaspersky Lab. Zu diesem Zweck wurde die folgende Ressource erstellt:

Darauf geben wir in der Suchleiste Informationen über die Erweiterung oder die E-Mail aus der Lösegeldforderung ein, klicken auf „Suchen“ und prüfen, ob es ein Speicherprogramm für uns gibt.

Wenn Sie Glück haben, laden Sie das Programm aus der Liste herunter und führen Sie es aus. In der Beschreibung einiger Entschlüsselungsprogramme heißt es, dass Sie bei der Arbeit am Computer über einen Internetzugang verfügen müssen, um eine erweiterte Suche nach Schlüsseln in der Online-Datenbank durchführen zu können.

Ansonsten ist alles einfach. Wählen Sie eine bestimmte Datei oder Festplatte vollständig aus und beginnen Sie mit dem Scannen. Wenn Sie den Punkt „Verschlüsselte Dateien löschen“ aktivieren, werden nach der Entschlüsselung alle Originaldateien gelöscht. Oh, ich hätte es nicht so eilig, ich muss mir das Ergebnis gleich ansehen.

Bei einigen Virentypen fordert das Programm möglicherweise zwei Versionen der Datei an: die Originalversion und die verschlüsselte. Wenn der erste nicht vorhanden ist, ist die Sache verloren.

Auch für Benutzer lizenzierte Produkte Kaspersky Lab hat die Möglichkeit, das offizielle Forum zu kontaktieren, um Hilfe bei der Entschlüsselung zu erhalten. Aber nachdem ich es mit meiner Erweiterung (crypted000007) durchgesehen hatte, wurde mir klar, dass es dort keine Hilfe gab. Das Gleiche gilt für Dr.Web.

Es gibt ein weiteres ähnliches Projekt, dieses Mal jedoch international. Informationen aus dem Internet zufolge wird es von führenden Antiviren-Herstellern unterstützt. Hier ist seine Adresse:

Das mag natürlich stimmen, aber die Seite funktioniert nicht richtig. An Homepage Es wird vorgeschlagen, zwei verschlüsselte Dateien sowie eine Lösegelddatei herunterzuladen. Anschließend antwortet das System, ob ein Entschlüsseler verfügbar ist oder nicht.

Stattdessen erfolgt eine Überleitung in den Abschnitt mit der Sprachwahl und das ist alles. Daher können Sie unabhängig zum Abschnitt „Decryptor-Utilities“ gehen und versuchen, das benötigte Programm zu finden.

Dies ist nicht sehr praktisch, weil kurze Beschreibung Die verfügbare Software gibt die unterstützten Erweiterungen verschlüsselter Dateien nicht eindeutig an. Dazu müssen Sie die erweiterten Anweisungen für jeden Entschlüsselungstyp lesen.

Während ich diese Veröffentlichung schrieb, habe ich einen ähnlichen Dienst gefunden, der nach dem gleichen Prinzip funktioniert. Er wird Ihnen helfen, den Namen der Bedrohung herauszufinden und Ihnen gegebenenfalls eine „Zauberpille“ anbieten. Zur Benutzerfreundlichkeit befindet sich in der oberen rechten Ecke der Website eine Übersetzerschaltfläche.

Was zu tun? Bezahlen oder nicht zahlen

Wenn Sie bis hierher gelesen haben, bedeutet das, dass Ihre Dateien immer noch sicher verschlüsselt sind. Und hier stellt sich die Frage: Was ist als nächstes zu tun? Wenn äußerst wichtige Dateien verschlüsselt werden, kann die Arbeit sogar großer Unternehmen, ganz zu schweigen von kleinen Unternehmen, lahmgelegt werden.

Zunächst können Sie den Anweisungen des Betrügers folgen und das Lösegeld zahlen. Statistiken von Kaspersky Lab zeigen jedoch, dass jedes fünfte Unternehmen den Entschlüsselungsschlüssel nach der Zahlung nie erhalten hat.

Dies kann passieren verschiedene Gründe. Beispielsweise könnte der Virus nicht von den Urhebern selbst verwendet worden sein, die über den privaten Schlüssel verfügen, sondern von betrügerischen Mittelsmännern.

Sie haben lediglich den Malware-Code geändert und ihre Daten in der Lösegelddatei angegeben, einen zweiten Schlüssel haben sie jedoch nicht. Sie erhielten das Geld und gingen. Und du kochst weiter.

Im Allgemeinen werden sie nicht lügen, ich selbst kenne nicht alle technischen Nuancen. Aber auf jeden Fall motivieren Sie die Erpresser durch die Bezahlung, solche Aktivitäten fortzusetzen. Denn wenn es funktioniert und Geld bringt, warum nicht?

Aber im Internet habe ich mindestens zwei Firmen gefunden, die versprechen, bei diesem Problem zu helfen und sogar Dateien mit der Endung crypted000007 zu entschlüsseln. Ich nahm mit großer Angst Kontakt zu einem von ihnen auf.

Um ehrlich zu sein, haben mir die Jungs nicht geholfen, weil sie sofort sagten, dass sie keinen Entschlüsseler hätten, aber sie könnten versuchen, etwa 30 % der Originaldateien, die der Virus gelöscht hatte, mithilfe eines Low-Level-Scans wiederherzustellen.

Ich dachte darüber nach und lehnte ab. Aber danke an sie, dass sie sich nicht blamiert haben, dass sie sich die Zeit genommen haben und alles nüchtern erklärt haben. Nun, da sie keinen Schlüssel haben, sollten sie nicht mit Betrügern interagieren.

Aber es gibt ein anderes, „interessanteres“ Unternehmen, das eine 100-prozentige Garantie für den Erfolg der Operation gibt. Ihre Website befindet sich unter dieser Adresse:

Ich habe versucht, in den Fachforen zu surfen, konnte aber keine Bewertungen von echten Kunden finden. Das heißt, jeder kennt es, aber nur wenige haben es genutzt. Ein Teufelskreis.

Diese Leute arbeiten auf der Grundlage der erhaltenen Ergebnisse, es gibt keine Vorauszahlungen. Ich wiederhole noch einmal, sie bieten eine Garantie für die Entschlüsselung, sogar für crypted000007. Das heißt, sie verfügen über einen Schlüssel und einen Entschlüsseler. Daher die Frage: Woher bekommen sie diese Güte? Oder übersehe ich etwas?

Ich möchte nichts Schlechtes sagen, vielleicht sind sie nett und locker, sie arbeiten ehrlich und helfen den Menschen. Obwohl dies technisch gesehen ohne Generalschlüssel einfach unmöglich ist. Jedenfalls sei etwas Belastendes gegen sie festgestellt worden.

So schützen Sie sich vor einem Ransomware-Virus

Ich werde einige grundlegende Postulate nennen, die Ihnen helfen, sicher zu bleiben und im Falle des Eindringens solcher Malware Verluste auf ein Minimum zu reduzieren. Schließlich habe ich das alles an meiner eigenen Haut erlebt.

Erstellen Sie regelmäßig Backups auf Wechselmedien (isoliert vom Netzwerk). Ohne Übertreibung kann ich sagen, dass dies das Wichtigste ist.

Arbeiten Sie nicht darunter Konto mit Administratorrechten, um Verluste im Falle einer Infektion zu minimieren.

Überwachen Sie die Empfänger eingehender Briefe und gelöschter Links in sozialen Medien genau. Netzwerke. Keine Kommentare hier.

Halten Sie Ihr Antivirenprogramm auf dem neuesten Stand. Es kann Sie retten, aber es ist nicht sicher.

Stellen Sie sicher, dass Dateien in Windows 7/10 aktiviert sind. Wir werden in den kommenden Ausgaben ausführlich darüber sprechen.

Deaktivieren Sie die Benutzerkontensteuerung in Windows 7 und höher nicht.

Bei mir wiederum verbleiben die Office-Dateien vollständig durch den Virus verschlüsselt. Ich werde mir regelmäßig alle im Artikel genannten Ressourcen ansehen, in der Hoffnung, dort eines Tages einen Entschlüsseler zu finden. Vielleicht lächelt das Glück in diesem Leben, wer weiß.

Es ist eine Sache, wenn die Dateien des Benutzers auf einem Heimcomputer, wie Filme, Musik usw., verschlüsselt sind. Ganz anders verhält es sich, wenn man für mindestens 5-7 Jahre den Zugriff auf das gesamte Records Management eines Unternehmens verliert. Es tut weh, ich weiß es schon.

Viren selbst als Computerbedrohung überraschen heute niemanden mehr. Aber während sie früher das System als Ganzes beeinträchtigten und zu Leistungsstörungen führten, wirken sich die Aktionen einer eindringenden Bedrohung heute, mit dem Aufkommen einer Sorte wie eines Verschlüsselungsvirus, auf mehr Benutzerdaten aus. Es stellt möglicherweise eine noch größere Bedrohung dar als ausführbare Anwendungen, die Windows zerstören, oder Spyware-Applets.

Was ist ein Ransomware-Virus?

Der in einem selbstkopierenden Virus geschriebene Code selbst beinhaltet die Verschlüsselung nahezu aller Benutzerdaten mit speziellen kryptografischen Algorithmen, ohne die Systemdateien des Betriebssystems zu beeinträchtigen.

Die Logik der Auswirkungen des Virus war vielen zunächst nicht ganz klar. Alles wurde erst klar, als die Hacker, die solche Applets erstellt hatten, begannen, Geld für die Wiederherstellung der ursprünglichen Dateistruktur zu verlangen. Gleichzeitig erlaubt der verschlüsselte Virus selbst aufgrund seiner Eigenschaften nicht, Dateien zu entschlüsseln. Dazu benötigen Sie einen speziellen Entschlüsseler, ggf. einen Code, ein Passwort oder einen Algorithmus, der zur Wiederherstellung des gewünschten Inhalts erforderlich ist.

Das Prinzip des Eindringens in das System und der Funktionsweise des Virencodes

In der Regel ist es ziemlich schwierig, solchen Mist im Internet „aufzuschnappen“. Die Hauptverbreitungsquelle der „Infektion“ ist E-Mail auf der Ebene von Programmen, die auf einem bestimmten Computerterminal installiert sind, wie Outlook, Thunderbird, The Bat usw. Beachten wir gleich Folgendes: Internet-Mailserver Es spielt keine Rolle, weil sie genug haben hoher Grad Schutz und der Zugriff auf Benutzerdaten ist nur auf der Ebene möglich

Eine andere Sache ist eine Anwendung auf einem Computerterminal. Hier ist das Wirkungsfeld von Viren so groß, dass man es sich kaum vorstellen kann. Allerdings lohnt es sich auch hier, einen Vorbehalt zu machen: In den meisten Fällen zielen Viren auf große Unternehmen ab, von denen sie Geld für die Bereitstellung eines Entschlüsselungscodes „abzocken“ können. Dies ist verständlich, denn nicht nur auf lokalen Computerterminals, sondern auch auf den Servern solcher Unternehmen können Dateien sozusagen in einer einzigen Kopie gespeichert werden, die auf keinen Fall zerstört werden kann. Und dann wird das Entschlüsseln von Dateien nach einem Ransomware-Virus ziemlich problematisch.

Natürlich kann ein normaler Benutzer einem solchen Angriff ausgesetzt sein, aber in den meisten Fällen ist dies unwahrscheinlich, wenn Sie die einfachsten Empfehlungen zum Öffnen von Anhängen mit Erweiterungen unbekannten Typs befolgen. Auch wenn ein E-Mail-Client einen Anhang mit der Erweiterung .jpg als Standard-Grafikdatei erkennt, muss diese zunächst als standardmäßig auf dem System installiert überprüft werden.

Geschieht dies nicht, wird beim Öffnen per Doppelklick (Standardmethode) die Aktivierung des Codes und der Verschlüsselungsprozess gestartet, woraufhin derselbe Breaking_Bad (Verschlüsselungsvirus) nicht nur nicht mehr entfernt werden kann, Aber auch die Dateien können nach der Beseitigung der Bedrohung nicht wiederhergestellt werden.

Allgemeine Folgen des Eindringens aller Viren dieser Art

Wie bereits erwähnt, dringen die meisten Viren dieser Art über E-Mail in das System ein. Nehmen wir an, eine große Organisation erhält einen Brief an eine bestimmte registrierte E-Mail mit Inhalten wie „Wir haben den Vertrag geändert, eine gescannte Kopie ist beigefügt“ oder „Sie haben eine Rechnung für den Versand der Waren erhalten (eine Kopie dort)“. Natürlich öffnet der ahnungslose Mitarbeiter die Akte und...

Alle Benutzerdateien pro Ebene Bürodokumente, Multimedia, spezielle AutoCAD-Projekte oder andere Archivdaten werden sofort verschlüsselt, und wenn das Computerterminal eingeschaltet ist lokales Netzwerk, kann der Virus weiter übertragen werden und dabei Daten auf anderen Rechnern verschlüsseln (dies macht sich sofort durch das „Abbremsen“ des Systems und das Einfrieren von Programmen oder aktuell laufenden Anwendungen bemerkbar).

Am Ende des Verschlüsselungsprozesses sendet der Virus offenbar selbst eine Art Bericht, woraufhin das Unternehmen möglicherweise eine Nachricht erhält, dass diese oder jene Bedrohung in das System eingedrungen ist und dass nur diese und jene Organisation sie entschlüsseln kann. Dabei handelt es sich in der Regel um einen Virus. [email protected]. Als nächstes kommt die Verpflichtung, für Entschlüsselungsdienste zu zahlen, mit dem Angebot, mehrere Dateien an die E-Mail-Adresse des Kunden zu senden, was meist fiktiv ist.

Schaden durch Code-Exposition

Falls jemand es noch nicht verstanden hat: Das Entschlüsseln von Dateien nach einem Ransomware-Virus ist ein ziemlich arbeitsintensiver Prozess. Selbst wenn man den Forderungen der Angreifer nicht nachgibt und versucht, offizielle staatliche Stellen in die Bekämpfung und Verhinderung von Computerkriminalität einzubinden, kommt meist nichts Gutes dabei heraus.

Wenn Sie alle Dateien löschen, die Originaldaten von Wechselmedien erstellen und sogar kopieren (natürlich, wenn eine solche Kopie vorhanden ist), wird bei einer Aktivierung des Virus immer noch alles wieder verschlüsselt. Machen Sie sich also keine allzu großen Illusionen, zumal der Benutzer beim Einstecken desselben Flash-Laufwerks in einen USB-Anschluss gar nicht merkt, wie der Virus auch die darauf befindlichen Daten verschlüsselt. Dann werden Sie keine Probleme haben.

Erstgeborener der Familie

Wenden wir uns nun dem ersten Verschlüsselungsvirus zu. Zum Zeitpunkt seines Erscheinens hatte noch niemand darüber nachgedacht, wie man Dateien wiederherstellen und entschlüsseln kann, nachdem sie einem ausführbaren Code ausgesetzt waren, der in einem E-Mail-Anhang mit einem Dating-Angebot enthalten war. Das Ausmaß der Katastrophe wurde erst mit der Zeit bewusst.

Dieser Virus hatte den romantischen Namen „I Love You“. Ein ahnungsloser Benutzer öffnete einen Anhang in einer E-Mail-Nachricht und erhielt völlig nicht abspielbare Multimediadateien (Grafiken, Video und Audio). Damals sahen solche Aktionen jedoch destruktiver aus (Schädigung der Medienbibliotheken der Benutzer) und niemand verlangte Geld dafür.

Die neuesten Modifikationen

Wie wir sehen, ist die Weiterentwicklung der Technologie zu einem recht profitablen Geschäft geworden, insbesondere wenn man bedenkt, dass viele Manager großer Organisationen sofort losrennen, um die Entschlüsselungsbemühungen zu bezahlen, ohne überhaupt daran zu denken, dass sie sowohl Geld als auch Informationen verlieren könnten.

Schauen Sie sich übrigens nicht all diese „falschen“ Beiträge im Internet an, in denen es heißt: „Ich habe den erforderlichen Betrag bezahlt/bezahlt, sie haben mir einen Code geschickt, alles wurde wiederhergestellt.“ Unsinn! All dies wurde von den Entwicklern des Virus selbst geschrieben, um potenzielle, entschuldigen Sie, „Idioten“ anzulocken. Aber nach den Maßstäben eines normalen Benutzers sind die zu zahlenden Beträge recht hoch: von Hunderten bis zu mehreren Tausend oder Zehntausenden von Euro oder Dollar.

Schauen wir uns nun die neuesten Virentypen dieser Art an, die erst vor relativ kurzer Zeit registriert wurden. Alle von ihnen sind praktisch ähnlich und gehören nicht nur zur Kategorie der Verschlüsselungsprogramme, sondern auch zur Gruppe der sogenannten Ransomware. In manchen Fällen verhalten sie sich korrekter (wie Paycrypt), indem sie scheinbar offizielle Geschäftsangebote oder Nachrichten versenden, dass sich jemand um die Sicherheit des Benutzers oder der Organisation kümmert. Ein solcher verschlüsselnder Virus führt den Benutzer einfach mit seiner Nachricht in die Irre. Wenn er auch nur die geringsten Maßnahmen ergreift, um zu zahlen, ist das alles – die „Scheidung“ ist vollständig.

XTBL-Virus

Diese relativ neue Variante kann als klassische Version der Ransomware eingestuft werden. Typischerweise gelangt es über E-Mail-Nachrichten mit Dateianhängen in das System, was bei Windows-Bildschirmschonern Standard ist. Das System und der Benutzer denken, dass alles in Ordnung ist und aktivieren das Anzeigen oder Speichern des Anhangs.

Dies führt leider zu traurigen Konsequenzen: Die Dateinamen werden in einen Zeichensatz umgewandelt und .xtbl an die Haupterweiterung angehängt, woraufhin eine Nachricht an die gewünschte E-Mail-Adresse über die Möglichkeit der Entschlüsselung nach Zahlung des angegebenen Betrags gesendet wird (normalerweise 5.000 Rubel).

CBF-Virus

Auch dieser Virentyp gehört zu den Klassikern des Genres. Es erscheint auf dem System nach dem Öffnen von E-Mail-Anhängen, benennt dann Benutzerdateien um und fügt am Ende eine Erweiterung wie .nochance oder .perfect hinzu.

Leider ist es nicht möglich, einen solchen Ransomware-Virus zu entschlüsseln, um den Inhalt des Codes zu analysieren, selbst wenn er im System erscheint, da er sich nach Abschluss seiner Aktionen selbst zerstört. Selbst das, was viele für ein universelles Tool wie RectorDecryptor halten, hilft nicht weiter. Auch hier erhält der Nutzer einen Zahlungsaufforderungsbrief, für den ihm eine Frist von zwei Tagen eingeräumt wird.

Breaking_Bad-Virus

Diese Art von Bedrohung funktioniert auf die gleiche Weise, benennt jedoch Dateien in der Standardversion um und fügt der Erweiterung .breaking_bad hinzu.

Die Situation ist nicht darauf beschränkt. Im Gegensatz zu früheren Viren kann dieser Virus eine weitere Erweiterung erstellen – .Heisenberg, sodass es nicht immer möglich ist, alle infizierten Dateien zu finden. Breaking_Bad (ein Ransomware-Virus) ist also eine ziemlich ernste Bedrohung. Es sind übrigens Fälle bekannt, in denen sogar ein Lizenzpaket vorhanden ist Kaspersky Endpoint Security 10 übersieht diese Art von Bedrohung.

Virus [email protected]

Hier liegt eine weitere, vielleicht schwerwiegendste Bedrohung, die sich vor allem gegen große kommerzielle Organisationen richtet. In der Regel erhalten einige Abteilungen einen Brief mit scheinbaren Änderungen des Liefervertrags oder auch nur eine Rechnung. Der Anhang kann eine normale JPG-Datei (z. B. ein Bild) enthalten, häufiger jedoch eine ausführbare Datei script.js (Java-Applet).

Wie entschlüsselt man diese Art von Verschlüsselungsvirus? Gemessen an der Tatsache, dass dort ein unbekannter RSA-1024-Algorithmus verwendet wird, auf keinen Fall. Aufgrund des Namens kann man davon ausgehen, dass es sich um ein 1024-Bit-Verschlüsselungssystem handelt. Aber falls sich jemand erinnert, gilt 256-Bit-AES heute als das fortschrittlichste.

Encryptor-Virus: So desinfizieren und entschlüsseln Sie Dateien mit Antivirensoftware

Bisher wurden noch keine Lösungen gefunden, um Bedrohungen dieser Art zu entschlüsseln. Sogar Meister auf dem Gebiet des Virenschutzes wie Kaspersky, Dr. Web und Eset können den Schlüssel zur Lösung des Problems nicht finden, wenn das System mit einem verschlüsselnden Virus infiziert ist. Wie desinfiziert man Dateien? In den meisten Fällen wird empfohlen, eine Anfrage an die offizielle Website des Antiviren-Entwicklers zu senden (übrigens nur, wenn das System über lizenzierte Software dieses Entwicklers verfügt).

In diesem Fall müssen Sie mehrere verschlüsselte Dateien sowie ggf. deren „fehlerfreie“ Originale anhängen. Im Allgemeinen speichern im Großen und Ganzen nur wenige Menschen Kopien von Daten, sodass das Problem ihrer Abwesenheit die ohnehin schon unangenehme Situation nur noch verschlimmert.

Mögliche Möglichkeiten, die Bedrohung manuell zu identifizieren und zu beseitigen

Ja, das Scannen mit herkömmlichen Antivirenprogrammen erkennt Bedrohungen und entfernt sie sogar vom System. Doch wohin mit den Informationen?

Einige versuchen, Entschlüsselungsprogramme wie das bereits erwähnte Dienstprogramm RectorDecryptor (RakhniDecryptor) zu verwenden. Merken wir gleich: Das wird nicht helfen. Und im Fall des Breaking_Bad-Virus kann es nur Schaden anrichten. Und hier ist der Grund.

Tatsache ist, dass Menschen, die solche Viren erzeugen, versuchen, sich selbst zu schützen und anderen Orientierung zu geben. Bei der Verwendung von Entschlüsselungsdienstprogrammen kann der Virus so reagieren, dass das gesamte System „fliegt“ und alle darauf gespeicherten Daten vollständig zerstört werden Festplatten oder in logischen Partitionen. Dies ist sozusagen eine beispielhafte Lektion zur Erbauung all derer, die nicht zahlen wollen. Wir können uns nur auf offizielle Antivirenlabore verlassen.

Kardinalmethoden

Wenn es jedoch wirklich schlecht läuft, müssen Sie auf Informationen verzichten. Um die Bedrohung vollständig zu beseitigen, müssen Sie die gesamte Festplatte einschließlich der virtuellen Partitionen formatieren und anschließend das Betriebssystem erneut installieren.

Leider gibt es keinen anderen Ausweg. Selbst bis zu einem bestimmten gespeicherten Wiederherstellungspunkt hilft das nicht. Der Virus verschwindet möglicherweise, die Dateien bleiben jedoch verschlüsselt.

Anstelle eines Nachworts

Zusammenfassend lässt sich festhalten, dass die Situation wie folgt aussieht: Ein Ransomware-Virus dringt in das System ein, verrichtet seine Drecksarbeit und wird durch keine bekannten Mittel geheilt. Antiviren-Schutztools waren für diese Art von Bedrohung nicht gerüstet. Es versteht sich von selbst, dass es möglich ist, einen Virus nach der Exposition zu erkennen oder zu entfernen. Doch die verschlüsselten Informationen bleiben unansehnlich. Daher hoffe ich, dass die besten Köpfe der Unternehmen, die Antivirensoftware entwickeln, dennoch eine Lösung finden, auch wenn dies, gemessen an den Verschlüsselungsalgorithmen, sehr schwierig sein wird. Denken Sie nur an die Enigma-Verschlüsselungsmaschine, die die deutsche Marine im Zweiten Weltkrieg besaß. Die besten Kryptographen konnten das Problem eines Algorithmus zum Entschlüsseln von Nachrichten erst lösen, als sie das Gerät in die Hände bekamen. So ist es auch hier.

„Tut mir leid, dass ich Sie störe, aber... Ihre Dateien sind verschlüsselt. Um den Entschlüsselungsschlüssel zu erhalten, überweisen Sie dringend einen bestimmten Geldbetrag auf Ihr Portemonnaie... Andernfalls werden Ihre Daten für immer zerstört. Du hast 3 Stunden, die Zeit ist vergangen.“ Und das ist kein Witz. Ein Verschlüsselungsvirus ist eine mehr als echte Bedrohung.

Heute sprechen wir darüber, was die in den letzten Jahren verbreitete Ransomware-Malware ist, was man bei einer Infektion tun kann, wie man seinen Computer heilt und ob das überhaupt möglich ist und wie man sich davor schützt.

Wir verschlüsseln alles!

Ein Ransomware-Virus (Encryptor, Cryptor) ist eine spezielle Art bösartiger Ransomware, deren Aktivität darin besteht, die Dateien des Benutzers zu verschlüsseln und dann ein Lösegeld für das Entschlüsselungstool zu verlangen. Die Lösegeldbeträge beginnen bei etwa 200 US-Dollar und reichen bis zu Zehntausenden und Hunderttausenden grünen Papierstücken.

Vor einigen Jahren liefen nur Computer weiter Windows-basiert. Heute hat sich ihr Angebot auf scheinbar gut geschützte Linux-, Mac- und Android-Geräte ausgeweitet. Darüber hinaus wächst die Vielfalt der Verschlüsselungsgeräte ständig – nach und nach erscheinen neue Produkte, die die Welt in Erstaunen versetzen. Es entstand durch die „Kreuzung“ eines klassischen Verschlüsselungstrojaners und eines Netzwerkwurms (ein Schadprogramm, das sich ohne aktive Beteiligung der Benutzer über Netzwerke verbreitet).

Nach WannaCry nicht weniger anspruchsvoll Petya und Böses Kaninchen. Und da das „Verschlüsselungsgeschäft“ seinen Eigentümern gute Einnahmen bringt, können Sie sicher sein, dass sie nicht die letzten sind.

Immer mehr Kryptografen, insbesondere solche, die in den letzten 3 bis 5 Jahren veröffentlicht wurden, verwenden starke kryptografische Algorithmen, die weder mit roher Gewalt noch mit anderen vorhandenen Mitteln geknackt werden können. Die einzige Möglichkeit, Daten wiederherzustellen, besteht darin, den Originalschlüssel zu verwenden, den die Angreifer zum Kauf anbieten. Allerdings ist selbst die Überweisung des erforderlichen Betrags keine Garantie für den Erhalt des Schlüssels. Kriminelle haben es nicht eilig, ihre Geheimnisse preiszugeben und potenzielle Gewinne zu verlieren. Und welchen Sinn haben sie, ihre Versprechen zu halten, wenn sie das Geld bereits haben?

Verbreitungswege verschlüsselnder Viren

Der Hauptweg, über den Schadsoftware auf die Computer von Privatanwendern und Organisationen gelangt, sind E-Mails, genauer gesagt Dateien und Links, die an E-Mails angehängt sind.

Ein Beispiel für einen solchen Brief für „Firmenkunden“:

• „Zahlen Sie Ihre Kreditschulden sofort zurück.“
• „Die Klage wurde vor Gericht eingereicht.“
• „Zahlen Sie die Geldstrafe/Gebühr/Steuer.“
• „Zusätzliche Gebühr für Stromrechnungen.“
• „Oh, bist du das auf dem Foto?“
• „Lena hat mich gebeten, dir das dringend zu geben“ usw.

Stimmen Sie zu, nur ein sachkundiger Benutzer würde einen solchen Brief mit Vorsicht behandeln. Die meisten Menschen werden ohne zu zögern den Anhang öffnen und das Schadprogramm selbst starten. Übrigens, trotz der Schreie des Antivirenprogramms.

Auch Folgendes wird aktiv zur Verbreitung von Ransomware genutzt:

• Soziale Netzwerke (Mailing von den Accounts von Freunden und Fremden).
• Schädliche und infizierte Webressourcen.
• Bannerwerbung.
• Mailing über Messenger von gehackten Konten.
• Vareznik-Sites und Distributoren von Keygens und Cracks.
• Websites für Erwachsene.
• Anwendungs- und Inhaltsspeicher.

Verschlüsselungsviren werden häufig von anderen Schadprogrammen übertragen, insbesondere von Werbedemonstratoren und Backdoor-Trojanern. Letztere nutzen Schwachstellen im System und in der Software aus, um dem Kriminellen zu helfen Fernzugriff auf das infizierte Gerät. Der Start des Verschlüsselungsprogramms fällt in solchen Fällen nicht immer zeitlich mit potenziell gefährlichen Benutzeraktionen zusammen. Solange die Hintertür im System verbleibt, kann ein Angreifer jederzeit in das Gerät eindringen und eine Verschlüsselung veranlassen.

Um die Computer von Organisationen zu infizieren (schließlich können sie mehr aus ihnen herausholen als von Heimanwendern), werden besonders ausgefeilte Methoden entwickelt. Beispielsweise drang der Petya-Trojaner über das Update-Modul des Steuerbuchhaltungsprogramms MEDoc in Geräte ein.

Verschlüsselungsgeräte mit den Funktionen von Netzwerkwürmern verbreiten sich, wie bereits erwähnt, durch Protokollschwachstellen über Netzwerke, einschließlich des Internets. Und man kann sich mit ihnen infizieren, ohne überhaupt etwas zu tun. Nutzer von Windows-Betriebssystemen, die selten aktualisiert werden, sind am stärksten gefährdet, da Updates bekannte Lücken schließen.

Einige Schadprogramme wie WannaCry nutzen 0-Day-Schwachstellen aus, also solche, die den Systementwicklern noch nicht bekannt sind. Leider ist es auf diese Weise nicht möglich, einer Infektion vollständig zu widerstehen, aber die Wahrscheinlichkeit, dass Sie zu den Opfern gehören, liegt nicht einmal bei 1 %. Warum? Ja, denn Malware kann nicht alle anfälligen Maschinen gleichzeitig infizieren. Und während neue Opfer geplant werden, gelingt es den Systementwicklern, ein lebensrettendes Update zu veröffentlichen.

Wie sich Ransomware auf einem infizierten Computer verhält

Der Verschlüsselungsprozess beginnt in der Regel unbemerkt, und wenn die Anzeichen sichtbar werden, ist es bereits zu spät, die Daten zu retten: Zu diesem Zeitpunkt hat die Malware alles verschlüsselt, was sie erreichen kann. Manchmal bemerkt ein Benutzer möglicherweise, dass sich die Erweiterung von Dateien in einem geöffneten Ordner geändert hat.

Das unvernünftige Erscheinen einer neuen und manchmal einer zweiten Erweiterung auf Dateien, nach deren Öffnung sie nicht mehr geöffnet werden, ist ein klarer Hinweis auf die Folgen eines Verschlüsselungsangriffs. Anhand der Erweiterung, die beschädigte Objekte erhalten, lässt sich übrigens meist die Schadsoftware identifizieren.

Ein Beispiel für die Erweiterungen verschlüsselter Dateien:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn usw.

Es gibt viele Optionen und morgen werden neue hinzukommen, daher macht es keinen Sinn, alles aufzulisten. Um die Art der Infektion zu bestimmen, genügt es, der Suchmaschine mehrere Erweiterungen zuzuführen.

Weitere Symptome, die indirekt auf den Beginn der Verschlüsselung hinweisen:

• Für den Bruchteil einer Sekunde erscheinen Fenster auf dem Bildschirm Befehlszeile. Meistens ist dies ein normales Phänomen bei der Installation von System- und Programmupdates, aber es ist besser, es nicht unbeaufsichtigt zu lassen.
• UAC fordert zum Starten eines Programms auf, das Sie nicht öffnen wollten.
• Ein plötzlicher Neustart des Computers, gefolgt von der Simulation des Betriebs des Dienstprogramms zur Überprüfung der Systemfestplatte (andere Variationen sind möglich). Bei der „Verifizierung“ erfolgt der Verschlüsselungsvorgang.

Nachdem der Schadvorgang erfolgreich abgeschlossen wurde, erscheint auf dem Bildschirm eine Meldung mit einer Lösegeldforderung und verschiedenen Bedrohungen.

Ransomware verschlüsselt einen erheblichen Teil der Benutzerdateien: Fotos, Musik, Videos, Textdokumente, Archive, E-Mails, Datenbanken, Dateien mit Programmerweiterungen usw. Sie berühren jedoch keine Betriebssystemobjekte, da Angreifer nicht benötigen, dass der infizierte Computer nicht mehr funktioniert. Einige Viren ersetzen Boot-Records von Festplatten und Partitionen.

Nach der Verschlüsselung werden in der Regel alle Schattenkopien und Wiederherstellungspunkte vom System gelöscht.

So heilen Sie einen Computer von Ransomware

Das Entfernen bösartiger Programme von einem infizierten System ist einfach – fast alle Antivirenprogramme können die meisten davon problemlos bewältigen. Aber! Es ist naiv zu glauben, dass die Beseitigung des Täters das Problem lösen wird: Unabhängig davon, ob Sie den Virus entfernen oder nicht, bleiben die Dateien weiterhin verschlüsselt. Darüber hinaus erschwert dies in manchen Fällen die spätere Entschlüsselung, sofern möglich.

Korrekte Vorgehensweise beim Starten der Verschlüsselung

• Sobald Sie Anzeichen einer Verschlüsselung bemerken, Schalten Sie den Computer sofort aus, indem Sie die Taste gedrückt halten3-4 Sekunden lang mit Strom versorgen. Dadurch werden zumindest einige der Dateien gespeichert.
• Auf einem anderen Computer erstellen Bootdiskette oder Flash-Laufwerk mit Antivirenprogramm. Zum Beispiel, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD usw.
• Starten Sie den infizierten Computer von dieser Festplatte und scannen Sie das System. Entfernen Sie alle gefundenen Viren und bewahren Sie sie in Quarantäne auf (falls sie zur Entschlüsselung benötigt werden). Erst danach Sie können Ihren Computer von Ihrer Festplatte starten.
• Versuchen Sie, verschlüsselte Dateien mithilfe von Systemtools oder Drittanbietern aus Schattenkopien wiederherzustellen.

Was tun, wenn die Dateien bereits verschlüsselt sind?

• Verliere nicht die Hoffnung. Die Websites der Entwickler von Antivirenprodukten enthalten kostenlose Entschlüsselungsprogramme für verschiedene Typen Schadsoftware. Insbesondere Versorgungsunternehmen von Avast Und Kaspersky Lab.
• Nachdem Sie den Encodertyp ermittelt haben, laden Sie das entsprechende Dienstprogramm herunter. Mach es auf jeden Fall Kopien beschädigte Dateien und versuche sie zu entschlüsseln. Bei Erfolg den Rest entschlüsseln.

Wenn die Dateien nicht entschlüsselt sind

Wenn keines der Dienstprogramme hilft, haben Sie wahrscheinlich an einem Virus gelitten, für den es noch keine Heilung gibt.

Was können Sie in diesem Fall tun:

• Wenn Sie ein kostenpflichtiges Antivirenprodukt verwenden, wenden Sie sich an dessen Support-Team. Senden Sie mehrere Kopien der beschädigten Dateien an das Labor und warten Sie auf eine Antwort. Je nach Verfügbarkeit technische Machbarkeit sie werden dir helfen.

Übrigens, Dr.Web ist eines der wenigen Labore, das nicht nur seinen Anwendern, sondern allen Betroffenen hilft. Auf dieser Seite können Sie eine Anfrage zum Entschlüsseln der Datei senden.

• Wenn sich herausstellt, dass die Dateien hoffnungslos beschädigt sind, sie aber für Sie von großem Wert sind, können Sie nur hoffen und darauf warten, dass eines Tages Abhilfe geschaffen wird. Das Beste, was Sie tun können, ist, das System und die Dateien unverändert zu lassen, d. h. vollständig deaktiviert und nicht verwendet zu werden Festplatte. Das Löschen von Malware-Dateien, die Neuinstallation des Betriebssystems und sogar die Aktualisierung können Sie berauben und diese Chance, da bei der Generierung von Verschlüsselungs-/Entschlüsselungsschlüsseln häufig eindeutige Systemkennungen und Kopien des Virus verwendet werden.

Die Zahlung des Lösegelds ist keine Option, da die Wahrscheinlichkeit, dass Sie den Schlüssel erhalten, gegen Null geht. Und es hat keinen Sinn, ein kriminelles Geschäft zu finanzieren.

So schützen Sie sich vor dieser Art von Malware

Ich möchte nicht Ratschläge wiederholen, die jeder Leser hunderte Male gehört hat. Ja, installieren gutes Antivirenprogramm Klicken Sie nicht auf verdächtige Links und blablabla – das ist wichtig. Doch wie das Leben gezeigt hat, gibt es heute keine magische Pille, die Ihnen eine 100-prozentige Sicherheitsgarantie gibt.

Die einzig wirksame Methode zum Schutz vor Ransomware dieser Art ist Datensicherung auf andere physische Medien, einschließlich Cloud-Dienste. Backup, Backup, Backup...