Există un număr mare de tipuri diferite de malware. Printre aceștia se numără viruși de criptare extrem de neplăcuți, care, o dată pe computer, încep să cripteze fișierele utilizatorului. În unele cazuri, există șanse mari să vă decriptați fișierele, dar se întâmplă că acest lucru nu este posibil. Vom lua în considerare toate acțiunile necesare atât pentru primul cât și pentru al doilea caz în cazurile în care.

Acești viruși pot diferi ușor, dar, în general, acțiunile lor sunt întotdeauna aceleași:

• instalați pe computer;
• criptați toate fișierele care pot avea orice valoare (documente, fotografii);
• atunci când încercați să deschideți aceste fișiere, solicitați utilizatorului să depună o anumită sumă în portofelul sau contul atacatorului, altfel accesul la conținut nu va fi deschis niciodată.

Virusul a criptat fișierele în xtbl

În prezent, un virus a devenit destul de răspândit, capabil să cripteze fișierele și să le schimbe extensia în .xtbl, precum și să le înlocuiască numele cu caractere complet aleatorii.

În plus, un fișier special cu instrucțiuni este creat într-un loc vizibil citiți-mă.txt. În ea, atacatorul confruntă utilizatorul cu faptul că toate datele sale importante au fost criptate și acum nu pot fi deschise atât de ușor, adăugând că pentru a readuce totul la starea anterioară, este necesar să se efectueze anumite acțiuni legate de transferul de bani. fraudatorului (de obicei, înainte de a face acest lucru, trebuie să trimiteți un anumit cod la una dintre adresele de e-mail sugerate). Adesea, astfel de mesaje sunt completate și cu o notă că, dacă încercați să vă decriptați singur toate fișierele, riscați să le pierdeți pentru totdeauna.

Din păcate, în în acest moment, oficial nimeni nu a putut decripta .xtbl, dacă apare o metodă de lucru, cu siguranță vom raporta despre aceasta în articol. Printre utilizatori se numără cei care au avut o experiență similară cu acest virus și au plătit escrocii suma necesară, primind în schimb o decriptare a documentelor lor. Dar acesta este un pas extrem de riscant, pentru că printre atacatori sunt și cei care nu se vor chinui prea mult cu decriptarea promisă, vor fi bani la scurgere;

Ce să faci atunci, te întrebi? Vă oferim câteva sfaturi care vă vor ajuta să vă recuperați toate datele și, în același timp, nu veți urma exemplul escrocilor și le veți oferi banii. Și deci ce trebuie făcut:

1. Dacă știți cum să lucrați în Task Manager, întrerupeți imediat criptarea fișierelor prin oprirea procesului suspect. În același timp, deconectați computerul de la Internet - multe ransomware necesită o conexiune la rețea.
2. Luați o bucată de hârtie și scrieți pe ea codul propus pentru a fi trimis pe e-mail atacatorilor (copa de hârtie se datorează faptului că și fișierul în care veți scrie poate deveni ilizibil).
3. Folosind Malwarebytes Antimalware, Antivirus de încercare Kaspersky IS sau CureIt, elimina programele malware. Pentru o mai mare fiabilitate, este mai bine să folosiți în mod constant toate mijloacele propuse. Deși este posibil ca Kaspersky Anti-Virus să nu fie instalat dacă sistemul are deja un antivirus principal, în caz contrar pot apărea conflicte de software. Toate celelalte utilități pot fi utilizate în orice situație.
4. Așteptați până când una dintre companiile antivirus dezvoltă un decriptor funcțional pentru astfel de fișiere. Kaspersky Lab face treaba cel mai repede.
5. În plus, puteți trimite către [email protected] o copie a fișierului care a fost criptat, cu codul necesar și, dacă este disponibil, același fișier în forma sa originală. Este foarte posibil ca acest lucru să accelereze dezvoltarea unei metode de decriptare a fișierelor.

Nu faceți în nicio circumstanță:

• redenumirea acestor documente;
• modificarea expansiunii lor;
• ștergerea fișierelor.

Acești troieni sunt, de asemenea, implicați în criptarea fișierelor utilizatorului, cu extorcare ulterioară. În acest caz, fișierele criptate pot avea următoarele extensii:

• .încuiat
• .cripto
• .kraken
• .AES256 (nu neapărat acest troian, sunt și alții care instalează aceeași extensie).
• .codercsu@gmail_com
• .oshit
• Si altele.

Din fericire, a fost deja creat utilitate specială pentru decriptare - RakhniDecryptor. Îl puteți descărca de pe site-ul oficial.

Pe același site puteți citi instrucțiuni care arată clar și clar cum să utilizați utilitarul pentru a decripta toate fișierele la care a lucrat troianul. În principiu, pentru o mai mare fiabilitate, merită să excludeți opțiunea de ștergere a fișierelor criptate. Dar, cel mai probabil, dezvoltatorii au făcut o treabă bună creând utilitatea și integritatea datelor nu este în pericol.

Cei care folosesc antivirus Dr.Web licențiat au acces gratuit la decriptare de la dezvoltatori http://support.drweb.com/new/free_unlocker/.

Alte tipuri de viruși ransomware

Uneori este posibil să întâlniți alți viruși care criptează fișierele importante și extorcă plata pentru a readuce totul la forma inițială. Vă oferim o mică listă de utilități pentru combaterea consecințelor celor mai des întâlniți viruși. Acolo vă puteți familiariza și cu principalele semne prin care puteți distinge unul sau altul program troian.

In plus, într-un mod bun vă va scana computerul cu Kaspersky antivirus, care va detecta oaspetele neinvitat și îi va atribui un nume. După acest nume puteți căuta deja un decodor pentru el.

• Trojan-Ransom.Win32.Rector- un criptator tipic ransomware care vă cere să trimiteți un SMS sau să efectuați alte acțiuni de acest fel, luăm decriptorul de pe acest link.
• Trojan-Ransom.Win32.Xorist- o variantă a troianului precedent, puteți obține un decriptor cu instrucțiuni de utilizare.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury– există și o utilitate specială pentru acești tipi, vezi link-ul.
• Trojan.Encoder858, Trojan.Encoder.741– aceste programe malware pot fi detectate de utilitarul CureIt. Au nume similare, dar numerele de la sfârșitul numelui pot diferi. Căutăm un decriptor după numele virusului sau, dacă utilizați Dr.Web licențiat, puteți recurge la utilizarea unei resurse speciale.
• CryptoLacker– pentru a vă recupera fișierele, vizitați acest site și generați program special pentru a vă restaura documentele.

Recent, Kaspersky Lab, colaborând cu colegii săi din Olanda, a creat un decriptor care vă permite să restaurați fișierele după ce un virus a lucrat asupra lor CoinVault.

În comentarii, puteți împărtăși metodele dvs. de decriptare a fișierelor, deoarece aceste informații vor fi utile altor utilizatori care ar putea întâlni software rău intenționat similar.

S-a întâmplat vreodată să fi primit un mesaj prin e-mail, Skype sau ICQ de la un expeditor necunoscut cu un link către o fotografie a prietenului tău sau felicitări pentru vacanța viitoare? Se pare că nu vă așteptați la niciun fel de configurare și, brusc, când faceți clic pe link, software rău intenționat este descărcat pe computer. Înainte să știi, virusul a criptat deja toate fișierele tale. Ce să faci într-o astfel de situație? Este posibilă restaurarea documentelor?

Pentru a înțelege cum să tratați malware-ul, trebuie să știți ce este acesta și cum pătrunde în sistemul de operare. În plus, nu contează deloc care Versiunea Windows utilizați - virusul Critroni are ca scop infectarea oricăruia sistem de operare.

Virusul informatic de criptare: definiție și algoritm de acțiune

Unul nou a apărut pe internet virus informatic software nou, cunoscut de mulți ca CTB (Curve Tor Bitcoin) sau Critroni. Acesta este un ransomware troian îmbunătățit, similar în principiu cu software-ul rău intenționat cunoscut anterior CriptoLocker. Dacă un virus a criptat toate fișierele, ce ar trebui să faceți în acest caz? În primul rând, trebuie să înțelegeți algoritmul funcționării acestuia. Esența virusului este să criptezi toate fișierele tale cu extensiile .ctbl, .ctb2, .vault, .xtbl sau altele. Cu toate acestea, nu le veți putea deschide până când nu plătiți suma de bani solicitată.

Virușii Trojan-Ransom.Win32.Shade și Trojan-Ransom.Win32.Onion sunt obișnuiți. Ele sunt foarte asemănătoare cu STV în acțiunea lor locală. Ele pot fi distinse prin extensia fișierelor criptate. Trojan-Ransom codifică informații în format .xtbl. Când deschideți orice fișier, pe ecran apare un mesaj care spune că documentele dvs. personale, bazele de date, fotografiile și alte fișiere au fost criptate de malware. Pentru a le decripta, trebuie să plătiți pentru o cheie unică, care este stocată pe un server secret și numai în acest caz veți putea efectua operațiuni de decriptare și criptografice cu documentele dvs. Dar nu vă faceți griji, cu atât mai puțin trimiteți bani la numărul specificat, există o altă modalitate de a combate acest tip de criminalitate cibernetică. Dacă doar un astfel de virus a intrat pe computer și a criptat toate fișierele .xtbl, ce ar trebui să faci într-o astfel de situație?

Ce să nu faci dacă un virus de criptare pătrunde în computer

Se întâmplă ca în panică să instalăm un program antivirus și, cu ajutorul lui, automat sau modul manualÎndepărtăm software-ul viruși, pierzând împreună documente importante. Acest lucru este neplăcut, în plus, computerul poate conține date la care lucrați de luni de zile. Este păcat să pierzi astfel de documente fără posibilitatea recuperării lor.

Dacă virusul a criptat toate fișierele .xtbl, unii încearcă să-și schimbe extensia, dar nici acest lucru nu duce la rezultate pozitive. Reinstalare și formatare hard disk va elimina definitiv programul rău intenționat, dar în același timp veți pierde orice posibilitate de recuperare a documentelor. În această situație, programele de decriptare special create nu vor ajuta, deoarece software-ul ransomware este programat folosind un algoritm non-standard și necesită o abordare specială.

Cât de periculos este un virus ransomware pentru un computer personal?

Este absolut clar că niciun program rău intenționat nu va aduce beneficii computerului dvs. personal. De ce este creat un astfel de software? Destul de ciudat, astfel de programe au fost create nu numai cu scopul de a frauda utilizatorii cu cât mai mulți bani posibil. De fapt, marketingul viral este destul de profitabil pentru mulți inventatori de antivirus. La urma urmei, dacă un virus ar cripta toate fișierele de pe computerul tău, unde te-ai întoarce mai întâi? Desigur, căutați ajutorul profesioniștilor. Care sunt instrumentele de criptare pentru laptop sau computer personal?

Algoritmul lor de funcționare nu este standard, așa că va fi imposibil să vindeci fișierele infectate cu software antivirus convențional. Eliminarea obiectelor rău intenționate va duce la pierderea datelor. Doar trecerea în carantină va face posibilă securizarea altor fișiere pe care virusul rău intenționat nu a reușit încă să le cripteze.

Data de expirare a programelor malware de criptare

Dacă computerul dvs. este infectat cu Critroni (malware) și virusul v-a criptat toate fișierele, ce ar trebui să faceți? Nu puteți decripta singur formatele .vault-, .xtbl-, .rar schimbând manual extensia în .doc, .mp3, .txt și altele. Dacă nu plătiți suma necesară infractorilor cibernetici în termen de 96 de ore, aceștia vă vor trimite prin e-mail o corespondență intimidantă în care să vă anunțați că toate fișierele dvs. vor fi șterse definitiv. În cele mai multe cazuri, oamenii sunt influențați de astfel de amenințări și, fără tragere de inimă, dar ascultător, efectuează acțiunile menționate, temându-se să nu piardă informații prețioase. Păcat că utilizatorii nu înțeleg faptul că infractorii cibernetici nu sunt întotdeauna fideli cuvântului lor. Odată ce primesc banii, adesea nu își mai fac griji cu privire la decriptarea fișierelor blocate.

Când cronometrul expiră, acesta se închide automat. Dar mai aveți șansa de a recupera documente importante. Pe ecran va apărea un mesaj care indică faptul că timpul a expirat și puteți vizualiza informații mai detaliate despre fișierele din folderul documente într-un fișier notepad special creat DecryptAllFiles.txt.

Moduri în care malware-ul de criptare pătrunde în sistemul de operare

De obicei, virușii ransomware intră într-un computer prin mesaje de e-mail infectate sau prin descărcări false. Acestea ar putea fi actualizări flash false sau playere video frauduloase. De îndată ce programul este descărcat pe computer folosind oricare dintre aceste metode, acesta criptează imediat datele fără posibilitatea de recuperare. Dacă virusul a criptat toate fișierele .cbf, .ctbl, .ctb2 în alte formate și nu aveți copie de rezervă documente stocate pe suporturi amovibile, presupuneți că nu le veți mai putea recupera. Momentan, laboratoarele de antivirus nu știu cum să spargă astfel de viruși de criptare. Fără cheia necesară, puteți doar să blocați fișierele infectate, să le mutați în carantină sau să le ștergeți.

Cum să evitați obținerea unui virus pe computer

Toate fișierele .xtbl de rău augur. Ce să fac? Ați citit deja o mulțime de informații inutile care sunt scrise pe majoritatea site-urilor web și nu puteți găsi răspunsul. Se întâmplă că în cel mai inoportun moment, când trebuie să depuneți urgent un raport la serviciu, o dizertație la o universitate sau să vă susțineți diploma de profesor, computerul începe să-și trăiască propria viață: se defectează, se infectează cu viruși. , și îngheață. Trebuie să fii pregătit pentru astfel de situații și să păstrezi informații pe server și pe medii amovibile. Acest lucru vă va permite să reinstalați sistemul de operare în orice moment și după 20 de minute de lucru la computer ca și cum nimic nu s-ar fi întâmplat. Dar, din păcate, nu suntem întotdeauna atât de întreprinzători.

Pentru a evita infectarea computerului cu un virus, mai întâi trebuie să instalați un program antivirus bun. Trebuie să îl aveți configurat corect Firewall Windows, care protejează împotriva pătrunderii diferitelor obiecte rău intenționate prin intermediul rețelei. Și cel mai important lucru: nu descărcați software de pe site-uri neverificate sau de pe dispozitive de urmărire a torrentului. Pentru a evita infectarea computerului cu viruși, aveți grijă pe ce linkuri faceți clic. Dacă primiți un e-mail de la un destinatar necunoscut cu o cerere sau o ofertă pentru a vedea ce se ascunde în spatele linkului, cel mai bine este să mutați mesajul în spam sau să-l ștergeți complet.

Pentru a împiedica virusul să cripteze toate fișierele .xtbl într-o zi, laboratoarele de software antivirus recomandă Autostradă protecție împotriva infecției cu viruși de criptare: o dată pe săptămână, inspectați starea acestora.

Virusul a criptat toate fișierele de pe computer: metode de tratament

Dacă ați devenit victimă a criminalității cibernetice și datele de pe computerul dvs. au fost infectate de unul dintre tipurile de malware de criptare, atunci este timpul să încercați să vă recuperați fișierele.

Există mai multe modalități de a trata documentele infectate gratuit:

1. Cea mai comună metodă și probabil cea mai eficientă în acest moment este backup documentele și recuperarea ulterioară în caz de infecție neașteptată.
2. Algoritmul software al virusului CTB funcționează într-un mod interesant. Odată ajuns pe computer, copiază fișierele, le criptează și șterge documentele originale, eliminând astfel posibilitatea recuperării acestora. Dar cu ajutorul software-ului Photorec sau R-Studio, poți reuși să salvezi câteva fișiere originale neatinse. Trebuie să știți că, cu cât folosiți mai mult computerul după ce a fost infectat, cu atât este mai puțin probabil să puteți recupera toate documentele necesare.
3. Dacă virusul a criptat toate fișierele .vault, există o altă modalitate bună de a le decripta - folosind volume de copiere umbră. Desigur, virusul va încerca să le șteargă definitiv și irevocabil pe toate, dar se întâmplă și ca unele fișiere să rămână neatinse. În acest caz, veți avea o mică, dar șansă de a le restaura.
4. Este posibil să stocați date pe servicii de găzduire a fișierelor, cum ar fi DropBox. Poate fi instalat pe computer ca o mapare locală a discului. Desigur, virusul de criptare îl va infecta și pe el. Dar, în acest caz, este mult mai realist să restaurați documentele și fișierele importante.

Prevenirea software-ului a infecției cu virusul computerului personal

Dacă ți-e teamă că un software rău intenționat va ajunge pe computer și nu vrei ca un virus insidios să cripteze toate fișierele tale, ar trebui să folosești editorul de politici locale sau editorul de grup Windows. Datorită acestui software integrat, puteți configura o politică de restricționare a programelor - și atunci nu veți fi îngrijorat că computerul dvs. va fi infectat.

Cum să recuperați fișierele infectate

Dacă virusul CTB a criptat toate fișierele, ce ar trebui să faceți? în acest caz, pentru a restaura documentele necesare? Din păcate, în prezent, nici un singur laborator antivirus nu poate oferi decriptarea fișierelor dvs., dar neutralizând infecția, aceasta îndepărtarea completă de la un computer personal este posibil. Toate metodele eficiente de recuperare a informațiilor sunt enumerate mai sus. Dacă fișierele tale sunt prea valoroase pentru tine și nu te-ai obosit să le faci copii de rezervă pe o unitate amovibilă sau pe o unitate de internet, atunci va trebui să plătești suma de bani solicitată de infractorii cibernetici. Dar nu există nicio șansă ca cheia de decriptare să îți fie trimisă chiar și după plată.

Cum să găsiți fișiere infectate

Pentru a vedea o listă de fișiere infectate, puteți accesa această cale: „Documentele mele”\.html sau „C:”\”Utilizatori”\”Toți utilizatorii”\.html. Această foaie html conține date nu numai despre instrucțiuni aleatorii, ci și despre obiectele infectate.

Cum să blocați un virus de criptare

Odată ce un computer a fost infectat cu malware, prima acțiune necesară din partea utilizatorului este pornirea rețelei. Acest lucru se face prin apăsarea tastei F10 de la tastatură.

Dacă virusul Critroni a intrat accidental pe computer și a criptat toate fișierele în .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf sau orice alt format, atunci este deja dificil să le recuperați. Dar dacă virusul nu a făcut încă multe modificări, este probabil să fie blocat folosind o politică de restricție software.

Virus ransomware: ar trebui să plătiți escrocii sau nu?

A venit această zi întunecată. Un virus de criptare lucra activ pe una dintre mașinile de lucru importante, după care toate fișierele de birou, grafice și multe alte au acceptat permisiunea crypted000007, care la momentul scrierii acestui articol era imposibil de decriptat.

De asemenea, pe desktop a apărut un tapet cu o inscripție precum „Fișierele tale sunt criptate”, iar documentele text readme cu informațiile de contact ale escrocului au apărut în rădăcina unităților locale. Desigur, el vrea o răscumpărare pentru decriptare.

Personal, nu am contactat acest nemernic(i) pentru a descuraja o astfel de activitate, dar știu că prețul mediu începe de la 300 USD și mai mult. Așa că gândește-te singur ce să faci. Dar dacă aveți fișiere foarte importante criptate, de exemplu, baze de date 1C, și nu există o copie de rezervă, atunci acesta este colapsul carierei tale.

Permiteți-mi să mă anticipez și să spun că, dacă aveți speranțe de decriptare, atunci în niciun caz nu ștergeți fișierul care cere bani și nu faceți nimic cu fișierele criptate (nu schimbați numele, extensia etc.). Dar să vorbim despre totul în ordine.

Virusul ransomware - ce este?

Acesta este un ransomware software, care criptează datele de pe un computer folosind un algoritm foarte puternic. În continuare voi face o analogie aproximativă. Imaginează-ți că ai setat o parolă lungă de câteva mii de caractere pentru a te conecta la Windows și ai uitat-o. De acord, este imposibil de reținut. Câte vieți îți vor trebui să cauți manual?

Acesta este cazul unui ransomware care utilizează metode criptografice legale în scopuri ilegale. Astfel de viruși, de regulă, folosesc criptare asincronă. Aceasta înseamnă că este utilizată o pereche de chei.

Fișierele sunt criptate folosind cheie publică, și le puteți decripta cu o cheie privată, pe care o are doar fraudatorul. Toate cheile sunt unice deoarece sunt generate pentru fiecare computer separat.

De aceea am spus la începutul articolului că nu puteți șterge fișierul readme.txt din rădăcina discului cu o cerere de răscumpărare. În ea este indicată cheia publică.

Adresa de e-mail ransomware în cazul meu Dacă îl introduceți într-o căutare, adevărata amploare a tragediei devine clară. Mulți oameni au fost răniți.

Prin urmare, spun din nou: sub nicio formă nu schimbați fișierele deteriorate. În caz contrar, veți pierde chiar și cea mai mică șansă de a le restaura în viitor.

De asemenea, nu este recomandat să reinstalați sistemul de operare și să curățați directoarele temporare și de sistem. Pe scurt, până la clarificarea tuturor circumstanțelor, nu atingem nimic, pentru a nu ne complica viața. Deși ar părea mult mai rău.

Această infecție ajunge cel mai adesea pe computerul dvs. prin e-mail cu un subiect fierbinte, cum ar fi „Urgent, către manager, scrisoare de la bancă” și altele asemenea. Inamicul este ascuns în atașament, care poate arăta ca un fișier pdf sau jpg inofensiv.

Odată ce îl lansați, nu se întâmplă nimic groaznic la prima vedere. Pe un PC de birou slab, utilizatorul poate observa o oarecare „încetinere”. Este un virus mascalat ca proces de sistem, își face deja treaba murdară.

Pe Windows 7 și versiuni ulterioare, la lansarea dăunătorului, va apărea constant fereastra User Account Control care vă va cere să permiteți modificări. Desigur, un utilizator neexperimentat va fi de acord cu totul, semnând astfel propria sa condamnare la moarte.

Da, de fapt, virusul blochează deja accesul la fișiere și, când este terminat, pe desktop va apărea un mesaj de avertizare „Fișierele tale sunt criptate”. În general, este un fund. Apoi începe brutalitatea.

Cum să vindeci un virus ransomware

Pe baza celor de mai sus, putem concluziona că, dacă inscripția teribilă de pe desktop nu a apărut încă și ați văzut deja primele fișiere cu nume lungi de neînțeles dintr-un set haotic de diferite caractere, scoateți imediat computerul din priză.

Așa este, nepoliticos și fără compromisuri. Făcând acest lucru, veți opri algoritmul malware-ului și veți putea salva cel puțin ceva. Din păcate, în cazul meu, angajatul nu a știut acest lucru și a pierdut totul. Mama ta...

Cireasa de pe tort pentru mine a fost faptul că, se pare, acest virus criptează cu ușurință toate mediile amovibile și unitățile de rețea conectate la computer cu drepturi de acces la scriere. Acolo erau copiile de rezervă.

Acum despre tratament. Primul lucru pe care trebuie să-l înțelegeți este că virusul este vindecat, dar fișierele vor rămâne criptate. Poate pentru totdeauna. Procesul de tratament în sine nu este complicat.

Pentru a face acest lucru, trebuie să conectați hard disk-ul la alt computer și să scanați cu utilități precum sau Kaspersky Virus Instrument de îndepărtare. Pentru a fi în siguranță, puteți folosi două pe rând. Dacă nu doriți să duceți un șurub infectat pe alt computer, porniți de pe un Live CD.

De regulă, astfel de soluții antivirus găsesc și elimină criptatorul fără probleme. Dar uneori nu detectează nimic, deoarece virusul, după ce și-a făcut treaba, se poate îndepărta singur din sistem. Aceasta este o bucată de rahat care acoperă toate urmele și îngreunează studiul.

Prevăd întrebarea, de ce antivirusul nu a împiedicat imediat intrarea software-ului nedorit în computer? Atunci nu ar fi probleme. După părerea mea, în acest moment antivirusurile pierd lupta cu criptatorii și acest lucru este foarte trist.

Mai mult, așa cum am spus deja, un astfel de malware funcționează pe baza unor metode criptografice legale. Adică, rezultă că munca lor nu este ilegală din punct de vedere tehnic. Aceasta este dificultatea de a le identifica.

Sunt lansate în mod constant noi modificări care se încadrează în baze de date antivirus numai după infectare. Deci, vai, în acest caz nu poate exista protecție 100%. Doar comportament vigilent atunci când lucrați pe un computer, dar mai multe despre asta mai târziu.

Cum să decriptați fișierele după un virus

Totul depinde de cazul specific. S-a scris mai sus că modificările virusului de criptare pot fi orice. În funcție de aceasta, fișierele criptate au extensii diferite.

Vestea bună este că pentru multe versiuni ale infecției, companiile de antivirus au venit deja cu decriptoare (decriptoare). Liderul pe piața în limba rusă este Kaspersky Lab. În aceste scopuri, a fost creată următoarea resursă:

Pe ea, în bara de căutare, introducem informații despre extensie sau e-mailul din nota de răscumpărare, facem clic pe „Căutare” și vedem dacă există un utilitar de salvare pentru noi.

Dacă aveți noroc, descărcați programul din listă și rulați-l. Descrierea unor decriptoare precizează că atunci când lucrați pe un computer, trebuie să aveți acces la Internet pentru a putea efectua o căutare avansată a cheilor în baza de date online.

În rest, totul este simplu. Selectați un anumit fișier sau disc în întregime și începeți scanarea. Dacă activați elementul „Ștergeți fișierele criptate”, atunci după decriptare toate fișierele originale vor fi șterse. Oh, nu m-aș grăbi atât de mult, trebuie să mă uit imediat la rezultat.

Pentru unele tipuri de viruși, programul poate solicita două versiuni ale fișierului: cea originală și cea criptată. Dacă primul nu este acolo, atunci este o cauză pierdută.

De asemenea, pentru utilizatori produse licențiate Kaspersky Lab are posibilitatea de a contacta forumul oficial pentru ajutor cu decriptarea. Dar după ce l-am căutat cu extensia mea (crypted000007) mi-am dat seama că nu există niciun ajutor acolo. Același lucru se poate spune despre Dr.Web.

Mai există un proiect asemănător, dar de data aceasta internațional. Conform informațiilor de pe Internet, acesta este susținut de producătorii de antivirus de top. Iată adresa lui:

Desigur, acest lucru poate fi adevărat, dar site-ul nu funcționează corect. Pe pagina de start se propune descărcarea a două fișiere criptate, precum și a unui fișier de răscumpărare, după care sistemul va răspunde dacă un decriptor este disponibil sau nu.

Dar, în schimb, există un transfer la secțiunea cu alegerea limbii și atât. Prin urmare, puteți merge independent la secțiunea „Utilități de decriptare” și puteți încerca să găsiți programul de care aveți nevoie.

A face acest lucru nu este foarte convenabil, pentru că scurtă descriere Software-ul disponibil nu indică în mod clar extensiile acceptate ale fișierelor criptate. Pentru a face acest lucru, trebuie să citiți instrucțiunile extinse pentru fiecare tip de decriptor.

În timpul scrierii acestei publicații, am găsit un serviciu similar care funcționează corect pe același principiu. El vă va ajuta să identificați numele amenințării și vă va oferi o „pilulă magică”, dacă există. Există un buton de traducere în colțul din dreapta sus al site-ului pentru confortul utilizatorului.

Ce să fac? A plăti sau a nu plăti

Dacă ați citit până aici, înseamnă că fișierele dvs. sunt încă criptate în siguranță. Și aici întrebarea este: ce să faci în continuare? Într-adevăr, dacă fișierele extrem de importante sunt criptate, munca chiar și a întreprinderilor mari, ca să nu mai vorbim de întreprinderile mici, poate fi paralizată.

În primul rând, puteți urma instrucțiunile escrocului și puteți plăti răscumpărarea. Dar statisticile Kaspersky Lab arată că fiecare a cincea întreprindere nu a primit niciodată cheia de decriptare după plată.

Acest lucru se poate întâmpla prin diverse motive. De exemplu, virusul ar fi putut fi folosit nu de creatorii înșiși, care dețin cheia privată, ci de intermediari frauduloși.

Pur și simplu au modificat codul malware, indicând datele lor în fișierul de răscumpărare, dar nu au o a doua cheie. Au primit banii și au plecat. Și continui să gătești.

În general, ei nu vor minți, eu însumi nu cunosc toate nuanțele tehnice. Dar, în orice caz, plătindu-i pe extorsionari, ii motivezi sa continue astfel de activitati. La urma urmei, din moment ce funcționează și câștigă bani, de ce nu.

Dar pe Internet am găsit cel puțin două companii care promit să ajute cu această problemă și chiar să decripteze fișierele cu extensia crypted000007. Am luat legătura cu unul dintre ei cu mare teamă.

Sincer să fiu, băieții nu m-au ajutat, pentru că au spus imediat că nu au un decriptor, dar ar putea încerca să restaureze aproximativ 30% din fișierele originale pe care virusul le-a șters folosind scanarea de nivel scăzut.

M-am gândit la asta și am refuzat. Dar le mulțumesc pentru că nu au făcut prosti, că și-au luat timp și au explicat totul cu sobru. Ei bine, din moment ce nu au o cheie, asta înseamnă că nu ar trebui să interacționeze cu escrocii.

Există însă o altă firmă, mai „interesantă”, care oferă o garanție 100% a reușitei operațiunii. Site-ul ei se află la această adresă:

Am încercat să navighez pe forumurile de specialitate, dar nu am găsit recenzii de la clienți reali. Adică toată lumea știe despre el, dar puțini l-au folosit. Un cerc vicios.

Acești băieți lucrează pe baza rezultatelor primite, nu există plăți în avans. Din nou, repet, ele oferă o garanție pentru decriptare chiar și crypted000007. Aceasta înseamnă că au o cheie și un decriptor. De aici se pune întrebarea: de unde obțin ei această bunătate? Sau imi scapa ceva?

Nu vreau să spun nimic rău, poate că sunt amabili și pufoși, lucrează cinstit și ajută oamenii. Deși din punct de vedere tehnic acest lucru este pur și simplu imposibil fără o cheie principală. În orice caz, împotriva lor a fost găsit ceva incriminator.

Cum să te protejezi de un virus ransomware

Voi da câteva postulate de bază care vă vor ajuta să rămâneți în siguranță și, în cazul pătrunderii unui astfel de malware, să reduceți pierderile la minimum. La urma urmei, am experimentat toate astea pe propria mea piele.

Faceți copii de rezervă regulate pe medii amovibile (izolate de rețea). Fără exagerare, pot spune că acesta este cel mai important lucru.

Nu lucra sub cont cu drepturi de administrator pentru a minimiza pierderile în caz de infecție.

Monitorizați îndeaproape destinatarii scrisorilor primite și a linkurilor trimise pe rețelele sociale. retelelor. Nu există comentarii aici.

Țineți programul antivirus la zi. Te poate salva, dar nu este sigur.

Asigurați-vă că activați fișierele în Windows 7/10. Vom vorbi despre asta în detaliu în numerele viitoare.

Nu dezactivați Controlul contului de utilizator în Windows 7 și versiuni ulterioare.

Eu, la rândul meu, rămân cu fișiere office complet criptate de virus. Mă voi uita periodic la toate resursele indicate în articol, sperând să văd cândva acolo un decriptor. Poate că norocul va zâmbi în această viață, cine știe.

Este un lucru când fișierele utilizatorului de pe un computer de acasă, cum ar fi filme, muzică și așa mai departe, sunt criptate. Este complet diferit atunci când pierzi accesul la întreaga gestionare a înregistrărilor unei întreprinderi timp de cel puțin 5-7 ani. Doare, știu deja.

Virușii înșiși ca amenințări informatice nu surprind pe nimeni astăzi. Dar dacă anterior afectau sistemul în ansamblu, provocând întreruperi în performanța acestuia, astăzi, odată cu apariția unei astfel de varietati precum virusul de criptare, acțiunile unei amenințări penetrante afectează mai multe date ale utilizatorilor. Reprezintă poate o amenințare și mai mare decât aplicațiile executabile care sunt distructive pentru Windows sau applet-urile spyware.

Ce este un virus ransomware?

Codul în sine, scris într-un virus care se copiază automat, presupune criptarea aproape a tuturor datelor utilizatorului cu algoritmi criptografici speciali, fără a afecta fișierele de sistem ale sistemului de operare.

La început, logica impactului virusului nu a fost complet clară pentru mulți. Totul a devenit clar abia atunci când hackerii care au creat astfel de applet-uri au început să ceară bani pentru a restabili structura originală a fișierelor. În același timp, virusul criptat în sine nu vă permite să decriptați fișiere datorită caracteristicilor sale. Pentru a face acest lucru, aveți nevoie de un decriptor special, dacă doriți, un cod, o parolă sau un algoritm necesar pentru a restabili conținutul dorit.

Principiul pătrunderii în sistem și funcționarea codului virusului

De regulă, este destul de dificil să „primi” astfel de prostii pe internet. Principala sursă de răspândire a „infectiei” este e-mail la nivelul programelor instalate pe un anumit terminal de calculator precum Outlook, Thunderbird, The Bat etc. Să remarcăm imediat: Servere de e-mail pe internet nu contează pentru că au destule grad înalt protecție, iar accesul la datele utilizatorului este posibil doar la nivel

Un alt lucru este o aplicație pe un terminal de calculator. Aici câmpul de acțiune al virușilor este atât de larg încât este imposibil de imaginat. Adevărat, și aici merită să faceți o rezervare: în cele mai multe cazuri, virușii vizează companiile mari de la care pot „scăpa” bani pentru furnizarea unui cod de decriptare. Acest lucru este de înțeles, deoarece nu numai pe terminalele locale de computer, ci și pe serverele unor astfel de companii, fișierele pot fi stocate, ca să spunem așa, într-o singură copie, care nu poate fi distrusă sub nicio formă. Și apoi decriptarea fișierelor după un virus ransomware devine destul de problematică.

Desigur, un utilizator obișnuit poate fi supus unui astfel de atac, dar în majoritatea cazurilor acest lucru este puțin probabil dacă urmați cele mai simple recomandări pentru deschiderea atașamentelor cu extensii de tip necunoscut. Chiar dacă un client de e-mail detectează un atașament cu extensia .jpg ca fișier grafic standard, acesta trebuie mai întâi verificat ca standard instalat pe sistem.

Dacă nu se face acest lucru, atunci când îl deschideți făcând dublu clic (metoda standard), va începe activarea codului și va începe procesul de criptare, după care același Breaking_Bad (virus de criptare) nu numai că va fi imposibil de eliminat, dar nici fișierele nu vor putea fi restaurate după eliminarea amenințării.

Consecințele generale ale pătrunderii tuturor virușilor de acest tip

După cum am menționat deja, majoritatea virușilor de acest tip intră în sistem prin e-mail. Ei bine, să presupunem că o organizație mare primește o scrisoare către un anumit e-mail înregistrat cu conținut precum „Am schimbat contractul, copia scanată este atașată” sau „V-a fost trimisă o factură pentru expedierea mărfurilor (o copie acolo).” Desigur, angajatul nebănuit deschide dosarul și...

Toate fișierele utilizator pe nivel documente de birou, multimedia, proiecte specializate AutoCAD sau orice alte date de arhivă sunt criptate instantaneu, iar dacă terminalul computerului este în retea locala, virusul poate fi transmis mai departe, criptând datele de pe alte mașini (acest lucru devine imediat vizibil prin „frânarea” sistemului și înghețarea programelor sau a aplicațiilor care rulează în prezent).

La sfârșitul procesului de criptare, virusul însuși trimite aparent un fel de raport, după care compania poate primi un mesaj că așa și o amenințare a pătruns în sistem și că doar o astfel de organizație o poate decripta. Aceasta implică de obicei un virus. [email protected]. Urmează cerința de a plăti pentru serviciile de decriptare cu o ofertă de a trimite mai multe fișiere pe e-mailul clientului, care este cel mai adesea fictiv.

Daune din expunerea la cod

Dacă cineva nu a înțeles încă: decriptarea fișierelor după un virus ransomware este un proces destul de laborios. Chiar dacă nu cedați la cerințele atacatorilor și încercați să implicați agențiile oficiale guvernamentale în combaterea și prevenirea infracțiunilor informatice, de obicei nu iese nimic bun.

Dacă ștergeți toate fișierele, produceți și chiar copiați datele originale de pe medii amovibile (desigur, dacă există o astfel de copie), totul va fi încă criptat din nou dacă virusul este activat. Deci nu ar trebui să vă amăgiți prea mult, mai ales că atunci când introduceți aceeași unitate flash într-un port USB, utilizatorul nici măcar nu va observa cum virusul va cripta și datele de pe ea. Atunci nu vei avea probleme.

Primul născut din familie

Acum să ne îndreptăm atenția către primul virus de criptare. La momentul apariției sale, nimeni nu se gândise încă cum să vindece și să decripteze fișierele după ce a fost expus la un cod executabil conținut într-un atașament de e-mail cu o ofertă de întâlniri. Conștientizarea amplorii dezastrului a venit doar cu timpul.

Acel virus avea numele romantic „Te iubesc”. Un utilizator nebănuitor a deschis un atașament într-un mesaj de e-mail și a primit fișiere multimedia complet neredabile (grafică, video și audio). Pe atunci, totuși, astfel de acțiuni păreau mai distructive (vătămarea bibliotecilor media utilizatorilor) și nimeni nu cerea bani pentru asta.

Cele mai noi modificari

După cum vedem, evoluția tehnologiei a devenit o afacere destul de profitabilă, mai ales având în vedere că mulți manageri ai organizațiilor mari aleargă imediat să plătească pentru eforturile de decriptare, fără să se gândească deloc că ar putea pierde atât bani, cât și informații.

Apropo, nu vă uitați la toate aceste postări „greșite” de pe Internet, spunând: „Am plătit/am plătit suma necesară, mi-au trimis un cod, totul a fost restaurat”. Prostii! Toate acestea sunt scrise de către dezvoltatorii virusului înșiși pentru a atrage potențialul, scuzați-mă, „fraieți”. Dar, după standardele unui utilizator obișnuit, sumele de plătit sunt destul de serioase: de la sute la câteva mii sau zeci de mii de euro sau dolari.

Acum să ne uităm la cele mai noi tipuri de viruși de acest tip, care au fost înregistrate relativ recent. Toate sunt practic similare și aparțin nu numai categoriei de criptoare, ci și grupului așa-numitelor ransomware. În unele cazuri, aceștia acționează mai corect (cum ar fi paycrypt), trimițând aparent oferte de afaceri oficiale sau mesaje despre care cineva îi pasă de securitatea utilizatorului sau a organizației. Un astfel de virus de criptare pur și simplu induce în eroare utilizatorul cu mesajul său. Dacă ia chiar și cea mai mică măsură pentru a plăti, asta este - „divorțul” va fi complet.

Virusul XTBL

Aceasta relativ recentă poate fi clasificată ca o versiune clasică de ransomware. De obicei, acesta intră în sistem prin mesaje de e-mail care conțin fișiere atașate, ceea ce este standard pentru screensaverele Windows. Sistemul și utilizatorul cred că totul este în regulă și activează vizualizarea sau salvarea atașamentului.

Din păcate, acest lucru duce la consecințe triste: numele fișierelor sunt convertite într-un set de caractere, iar .xtbl este adăugat la extensia principală, după care este trimis un mesaj la adresa de e-mail dorită despre posibilitatea decriptării după plata sumei specificate. (de obicei 5 mii de ruble).

virusul CBF

Acest tip de virus aparține și clasicilor genului. Apare pe sistem după deschiderea atașamentelor de e-mail și apoi redenumește fișierele utilizator, adăugând la sfârșit o extensie precum .nochance sau .perfect.

Din păcate, decriptarea unui virus ransomware de acest tip pentru a analiza conținutul codului chiar și în stadiul apariției acestuia în sistem nu este posibilă, deoarece după finalizarea acțiunilor sale se autodistruge. Chiar și ceea ce mulți cred că este un instrument universal precum RectorDecryptor nu ajută. Din nou, utilizatorul primește o scrisoare prin care se solicită plata, pentru care se acordă două zile.

Virusul Breaking_Bad

Acest tip de amenințare funcționează în același mod, dar redenumește fișierele în versiunea standard, adăugând .breaking_bad la extensie.

Situația nu se limitează la asta. Spre deosebire de virușii anteriori, acesta poate crea o altă extensie - .Heisenberg, deci nu este întotdeauna posibil să găsiți toate fișierele infectate. Deci, Breaking_Bad (un virus ransomware) este o amenințare destul de serioasă. Apropo, sunt cunoscute cazuri când chiar și un pachet de licență Kaspersky Endpoint Security 10 ratează acest tip de amenințare.

Virus [email protected]

Iată o altă amenințare, poate cea mai gravă, care se adresează în principal marilor organizații comerciale. De regulă, unele departamente primesc o scrisoare care conține aparent modificări ale contractului de furnizare sau chiar doar o factură. Atașarea poate conține un fișier .jpg obișnuit (cum ar fi o imagine), dar mai des - un script.js executabil (applet Java).

Cum să decriptezi acest tip de virus de criptare? Judecând după faptul că un algoritm RSA-1024 necunoscut este folosit acolo, în niciun caz. Pe baza numelui, puteți presupune că acesta este un sistem de criptare pe 1024 de biți. Dar, dacă își amintește cineva, astăzi AES pe 256 de biți este considerat cel mai avansat.

Virus Encryptor: cum să dezinfectați și să decriptați fișierele folosind software antivirus

Până în prezent, nu au fost găsite soluții pentru a descifra amenințările de acest tip. Chiar și astfel de maeștri în domeniul protecției antivirus precum Kaspersky, Dr. Web și Eset nu pot găsi cheia pentru a rezolva problema atunci când sistemul este infectat cu un virus de criptare. Cum se dezinfectează fișierele? În cele mai multe cazuri, se recomandă trimiterea unei cereri către site-ul oficial al dezvoltatorului antivirus (apropo, numai dacă sistemul are licență software de la acest dezvoltator).

În acest caz, trebuie să atașați mai multe fișiere criptate, precum și originalele lor „sănătoase”, dacă există. În general, în general, puțini oameni salvează copii ale datelor, așa că problema absenței lor nu face decât să agraveze o situație deja neplăcută.

Modalități posibile de a identifica și elimina manual amenințarea

Da, scanarea cu programe antivirus convenționale identifică amenințările și chiar le elimină din sistem. Dar ce să faci cu informația?

Unii încearcă să folosească programe de decriptare, cum ar fi utilitarul RectorDecryptor (RakhniDecryptor) deja menționat. Să notăm imediat: acest lucru nu va ajuta. Și în cazul virusului Breaking_Bad, acesta poate face doar rău. Și iată de ce.

Cert este că oamenii care creează astfel de viruși încearcă să se protejeze și să ofere îndrumări altora. Când se utilizează utilitare de decriptare, virusul poate reacționa în așa fel încât întregul sistem „zboară” și cu distrugerea completă a tuturor datelor stocate pe hard disk-uri sau în partiții logice. Aceasta, ca să spunem așa, este o lecție orientativă pentru edificarea tuturor celor care nu vor să plătească. Ne putem baza doar pe laboratoarele oficiale antivirus.

Metode cardinale

Totuși, dacă lucrurile stau cu adevărat rău, va trebui să sacrifici informații. Pentru a scăpa complet de amenințare, trebuie să formatați întregul hard disk, inclusiv partițiile virtuale, apoi să instalați din nou sistemul de operare.

Din păcate, nu există altă cale de ieșire. Nici până la un anumit punct de restaurare salvat nu va ajuta. Virusul poate dispărea, dar fișierele vor rămâne criptate.

În loc de postfață

În concluzie, este de remarcat că situația este următoarea: un virus ransomware pătrunde în sistem, își face treaba murdară și nu este vindecat prin niciun mijloc cunoscut. Instrumentele de protecție antivirus nu erau pregătite pentru acest tip de amenințare. Este de la sine înțeles că este posibil să detectați un virus după expunere sau să îl eliminați. Dar informațiile criptate vor rămâne inestetice. Așa că aș dori să sper că cele mai bune minți ale companiilor de dezvoltare de software antivirus vor găsi în continuare o soluție, deși, judecând după algoritmii de criptare, va fi foarte greu de realizat. Nu uitați decât mașina de criptare Enigma pe care marina germană a avut-o în timpul celui de-al Doilea Război Mondial. Cei mai buni criptografi nu au putut rezolva problema unui algoritm de decriptare a mesajelor până nu au pus mâna pe dispozitiv. Așa stau lucrurile și aici.

„Îmi pare rău că vă deranjez, dar... fișierele dumneavoastră sunt criptate. Pentru a obține cheia de decriptare, transferați urgent o anumită sumă de bani în portofel... În caz contrar, datele dumneavoastră vor fi distruse pentru totdeauna. Ai 3 ore, timpul a trecut.” Și asta nu este o glumă. Un virus de criptare este o amenințare mai mult decât reală.

Astăzi vom vorbi despre ce este malware-ul ransomware care s-a răspândit în ultimii ani, ce să faceți dacă este infectat, cum să vă vindecați computerul și dacă este chiar posibil și cum să vă protejați de ele.

Criptăm totul!

Un virus ransomware (encryptor, cryptor) este un tip special de ransomware rău intenționat a cărui activitate constă în criptarea fișierelor utilizatorului și apoi solicitarea unei răscumpări pentru instrumentul de decriptare. Sumele de răscumpărare încep de la 200 de dolari și ajung la zeci și sute de mii de bucăți de hârtie verzi.

În urmă cu câțiva ani, doar computerele rulau Bazat pe Windows. Astăzi, gama lor s-a extins la Linux, Mac și Android aparent bine protejate. În plus, varietatea de criptoare este în continuă creștere - produse noi apar unul după altul, care au ceva să surprindă lumea. Astfel, a apărut din cauza „încrucișării” unui troian clasic de criptare și a unui vierme de rețea (un program rău intenționat care se răspândește în rețele fără participarea activă a utilizatorilor).

După WannaCry, nu mai puțin sofisticată Petya și Iepure rău. Și din moment ce „afacerea de criptare” aduce venituri bune proprietarilor săi, puteți fi sigur că nu sunt ultimii.

Din ce în ce mai mulți criptografi, în special cei care au fost lansati în ultimii 3-5 ani, folosesc algoritmi criptografici puternici, care nu pot fi sparți nici prin forță brută, nici prin alte mijloace existente. Singura modalitate de a recupera datele este să folosești cheia originală, pe care atacatorii o oferă să o cumpere. Cu toate acestea, chiar și transferul sumei necesare către ei nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă potențiale profituri. Și ce rost are să-și țină promisiunile dacă au deja banii?

Căile de distribuție a virușilor de criptare

Principala modalitate prin care malware-ul ajunge pe computerele utilizatorilor privați și ale organizațiilor este e-mailul sau, mai precis, fișierele și linkurile atașate la e-mailuri.

Un exemplu de astfel de scrisoare destinată „clienților corporativi”:

• „Rambursează-ți imediat datoria de împrumut.”
• „Cererea a fost depusă în instanță”.
• „Plătește amenda/taxa/taxa.”
• „Taxă suplimentară pentru facturile de utilități.”
• „Oh, tu ești în fotografie?”
• „Lena mi-a cerut să-ți dau asta urgent” etc.

De acord, doar un utilizator informat ar trata o astfel de scrisoare cu prudență. Majoritatea oamenilor, fără ezitare, vor deschide atașamentul și vor lansa ei înșiși programul rău intenționat. Apropo, în ciuda strigătelor antivirusului.

Următoarele sunt, de asemenea, utilizate în mod activ pentru a distribui ransomware:

• Rețelele sociale (e-mailuri din conturile prietenilor și străinilor).
• Resurse web rău intenționate și infectate.
• Banner publicitar.
• Trimitere prin mesagerie din conturi piratate.
• Site-uri Vareznik și distribuitori de keygen și crack-uri.
• Site-uri pentru adulți.
• Magazine de aplicații și conținut.

Virușii de criptare sunt adesea transportați de alte programe rău intenționate, în special, demonstranții de publicitate și troienii backdoor. Acesta din urmă, folosind vulnerabilități din sistem și software, ajută criminalul să obțină acces la distanță la dispozitivul infectat. Lansarea criptatorului în astfel de cazuri nu coincide întotdeauna în timp cu acțiunile utilizatorului potențial periculoase. Atâta timp cât ușa din spate rămâne în sistem, un atacator poate pătrunde în dispozitiv în orice moment și poate iniția criptarea.

Pentru a infecta computerele organizațiilor (la urma urmei, acestea pot extrage mai mult din ele decât de la utilizatorii casnici), se dezvoltă metode deosebit de sofisticate. De exemplu, troianul Petya a pătruns în dispozitive prin modulul de actualizare al programului de contabilitate fiscală MEDoc.

Criptatorii cu funcții de viermi de rețea, așa cum am menționat deja, se răspândesc în rețele, inclusiv pe Internet, prin vulnerabilități de protocol. Și te poți infecta cu ele fără să faci absolut nimic. Utilizatorii sistemelor de operare Windows care sunt rar actualizate sunt expuși celui mai mare risc, deoarece actualizările închid lacune cunoscute.

Unele programe malware, cum ar fi WannaCry, exploatează vulnerabilități de tip 0-day, adică cele de care dezvoltatorii de sisteme nu sunt încă conștienți. Din păcate, este imposibil să reziste pe deplin infecției în acest fel, dar probabilitatea ca tu să fii printre victime nici măcar nu ajunge la 1%. De ce? Da, deoarece programele malware nu pot infecta toate mașinile vulnerabile simultan. Și în timp ce planifică noi victime, dezvoltatorii de sistem reușesc să lanseze o actualizare care salvează vieți.

Cum se comportă ransomware-ul pe un computer infectat

Procesul de criptare, de regulă, începe neobservat, iar când semnele sale devin evidente, este deja prea târziu pentru a salva datele: până atunci, malware-ul a criptat tot ce poate ajunge. Uneori, un utilizator poate observa că extensia fișierelor dintr-un folder deschis s-a schimbat.

Apariția nerezonabilă a unei noi și uneori a unei a doua extensii pe fișiere, după care nu se mai deschide, indică în mod absolut consecințele unui atac de criptare. Apropo, prin extensia pe care o primesc obiectele deteriorate, de obicei este posibil să se identifice malware-ul.

Un exemplu despre ce pot fi extensiile fișierelor criptate:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn etc.

Există o mulțime de opțiuni, iar altele noi vor apărea mâine, așa că nu are rost să enumerați totul. Pentru a determina tipul de infecție, este suficient să alimentați mai multe extensii motorului de căutare.

Alte simptome care indică indirect începutul criptării:

• Windows apar pe ecran pentru o fracțiune de secundă linie de comandă. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor de sistem și program, dar este mai bine să nu îl lăsați nesupravegheat.
• UAC solicită lansarea unui program pe care nu intenționați să îl deschideți.
• O repornire bruscă a computerului urmată de simularea funcționării utilitarului de verificare a discului de sistem (sunt posibile alte variante). În timpul „verificării”, are loc procesul de criptare.

După ce operațiunea rău intenționată este finalizată cu succes, pe ecran apare un mesaj cu o cerere de răscumpărare și diverse amenințări.

Ransomware-ul criptează o parte semnificativă a fișierelor utilizatorului: fotografii, muzică, videoclipuri, documente text, arhive, mail, baze de date, fișiere cu extensii de program etc. Dar nu ating obiectele sistemului de operare, deoarece atacatorii nu au nevoie de computerul infectat pentru a înceta să funcționeze. Unii viruși înlocuiesc înregistrările de pornire ale discurilor și partițiilor.

După criptare, toate copiile umbra și punctele de recuperare sunt de obicei șterse din sistem.

Cum să vindeci un computer de ransomware

Eliminarea programelor rău intenționate dintr-un sistem infectat este simplă - aproape toate antivirusurile le pot gestiona pe majoritatea fără dificultate. Dar! Este naiv să credem că a scăpa de vinovat va rezolva problema: fie că eliminați virusul sau nu, fișierele vor rămâne totuși criptate. În plus, în unele cazuri acest lucru va complica decriptarea lor ulterioară, dacă este posibil.

Procedura corectă la pornirea criptării

• Odată ce observați semne de criptare, Opriți imediat alimentarea computerului apăsând și apăsat butonulPutere timp de 3-4 secunde. Acest lucru va salva cel puțin unele dintre fișiere.
• Creați pe alt computer disc de pornire sau o unitate flash cu program antivirus. De exemplu, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD etc.
• Porniți mașina infectată de pe acest disc și scanați sistemul. Eliminați orice viruși găsiți și păstrați-i în carantină (în cazul în care sunt necesari pentru decriptare). Abia după aceea puteți porni computerul de pe hard disk.
• Încercați să recuperați fișierele criptate din copii umbra utilizând instrumente de sistem sau utilizând o terță parte.

Ce trebuie să faceți dacă fișierele sunt deja criptate

• Nu-ți pierde speranța. Site-urile web ale dezvoltatorilor de produse antivirus conțin utilitare gratuite de decriptare pentru diferite tipuri malware. În special, utilități din AvastŞi Kaspersky Lab.
• După ce ați determinat tipul de codificator, descărcați utilitarul corespunzător, cu siguranță fă-o copii fișiere deteriorateși încearcă să le descifrezi. Dacă reușiți, descifrați restul.

Dacă fișierele nu sunt decriptate

Dacă niciunul dintre utilitare nu ajută, este probabil să fi suferit de un virus pentru care nu există încă un tratament.

Ce poți face în acest caz:

• Dacă utilizați un produs antivirus plătit, contactați echipa de asistență a acestuia. Trimiteți mai multe copii ale fișierelor deteriorate la laborator și așteptați un răspuns. În funcție de disponibilitate fezabilitate tehnică te vor ajuta.

Apropo, Dr.Web este unul dintre puținele laboratoare care îi ajută nu doar pe utilizatorii săi, ci pe toți cei afectați. Puteți trimite o solicitare de decriptare a fișierului pe această pagină.

• Dacă se dovedește că fișierele sunt deteriorate fără speranță, dar sunt de mare valoare pentru dvs., nu puteți decât să sperați și să așteptați că într-o zi va fi găsit un remediu de salvare. Cel mai bun lucru pe care îl puteți face este să lăsați sistemul și fișierele așa cum sunt, adică complet dezactivate și neutilizate hard disk. Ștergerea fișierelor malware, reinstalarea sistemului de operare și chiar actualizarea acestuia vă poate priva și această șansă, deoarece la generarea cheilor de criptare/decriptare se folosesc adesea identificatori unici de sistem și copii ale virusului.

Plata răscumpărării nu este o opțiune, deoarece probabilitatea de a primi cheia este aproape de zero. Și nu are rost să finanțezi o afacere criminală.

Cum să te protejezi de acest tip de malware

Nu aș vrea să repet sfaturi pe care fiecare dintre cititori le-a auzit de sute de ori. Da, instalează antivirus bun, nu faceți clic pe linkuri suspecte și blablabla - acest lucru este important. Totuși, așa cum a arătat viața, o pastilă magică care să-ți ofere o garanție de securitate 100% nu există astăzi.

Singura metodă eficientă de protecție împotriva ransomware-ului de acest fel este backup de date către alte medii fizice, inclusiv servicii cloud. Backup, backup, backup...