Jou lêers is geïnkripteer - wat om te doen?

Een van die mees problematiese malware vandag is 'n trojan of virus wat lêers op 'n gebruiker se skyf enkripteer. Sommige van hierdie lêers kan gedekripteer word, en sommige - nog nie. Die handleiding bevat moontlike algoritmes vir aksies in beide situasies, maniere om die spesifieke tipe enkripsie op die No More Ransom en ID Ransomware-dienste te bepaal, asook 'n kort oorsig van die anti-virus-enkripsie sagteware (ransomware).

Daar is verskeie wysigings van sulke virusse of ransomware Trojans (en nuwes verskyn voortdurend), maar die algemene essensie van die werk is dat die lêers van dokumente, beelde en ander lêers wat potensieel belangrik is, geïnstalleer word met die uitbreiding en verwydering van die oorspronklike lêers. waarna u 'n boodskap in die readme.txt lêer ontvang waarin u meld dat al u lêers geïnkripteer is, en om dit te dekripteer, moet u 'n sekere bedrag aan die aanvaller stuur. Nota: Windows 10 Fall Creators Update het nou ingeboude beskerming teen enkripsievirusse.

Wat as al die belangrike data geïnkripteer word

Om te begin, 'n paar algemene inligting vir die enkripsie van belangrike lêers op jou rekenaar. As die belangrike data op jou rekenaar geïnkripteer is, moet jy eers nie paniekerig raak nie.

As u so 'n geleentheid het, kopieer u 'n voorbeeldlêer met 'n teksversoek van die aanvaller vir dekripsie, plus 'n voorbeeld van die geïnkripteerde lêer, na die eksterne skyf (flash drive) vanaf die rekenaarskyf waarop die virus-enkripsor (ransomware) verskyn. Skakel die rekenaar uit sodat die virus nie kan voortgaan om die data te enkripteer nie, en voer die oorblywende aksies op 'n ander rekenaar uit.

Die volgende fase is om uit te vind watter tipe virus jou data geïnkripteer is deur gebruik te maak van die beskikbare versleutelde lêers: vir sommige van hulle is daar descramblers (sommige sal ek hier wys, sommige is nader aan die einde van die artikel aangedui), vir sommige - nog nie. Maar selfs in hierdie geval kan u voorbeelde van geïnkripteer lêers stuur na anti-virus labs (Kaspersky, Dr. Web) vir studie.

Hoe presies om uit te vind? U kan dit doen met behulp van Google, vind besprekings of 'n soort kriptograaf deur lêeruitbreiding. Ook het dienste begin om die soort ransomware te bepaal.

Geen meer losprys

No More Ransom is 'n aktiewe ontwikkelende hulpbron wat ondersteun word deur ontwikkelaars van sekuriteitsgereedskap en beskikbaar in die Russiese weergawe, wat daarop gemik is om virusse deur kriptograwe (Trojans-afpersers) te bestry.

Met geluk kan No More Ransom u dokumente, databasisse, foto's en ander inligting help dekodeer, die nodige programmatuur vir dekripsie aflaai, en ook inligting kry wat sulke dreigemente in die toekoms sal help voorkom.

Op No More Ransom kan jy probeer om jou lêers te ontsyfer en die tipe enkripsievirus soos volg te bepaal:

  1. Kliek 'Ja' op die hoofblad van die diens //www.nomoreransom.org/ru/index.html
  2. Die Crypto Sheriff-bladsy sal oopmaak, waar u voorbeelde van geïnkripteer lêers wat nie meer as 1 Mb in grootte is nie, kan aflaai (ek beveel aan dat geen vertroulike data oplaai nie), en spesifiseer ook e-posadresse of webwerwe waarheen bedrieërs 'n losprys aanvra (of laai die readme.txt lêer af van vereiste).
  3. Klik die "Check" -knoppie en wag vir die tjek en die resultaat daarvan om te voltooi.

Daarbenewens het die webwerf nuttige gedeeltes:

  • Decryptors - byna al die bestaande nutsprogramme vir die decoderen van virus geïnkripteer lêers.
  • Voorkoming van infeksie - Inligting wat primêr gerig is op beginners, wat kan help om infeksie in die toekoms te voorkom.
  • Vrae en antwoorde - inligting vir diegene wat die werk van enkripsievirusse en -aktiwiteite beter kan verstaan ​​in gevalle waar u gekonfronteer word met die feit dat die lêers op u rekenaar geïnkripteer is.

Vandag is No More Ransom waarskynlik die mees relevante en nuttige hulpbron wat geassosieer word met die dekripsie van lêers vir 'n Russiese gebruiker, ek beveel aan.

Id ransomware

Nog 'n sodanige diens is //id-ransomware.malwarehunterteam.com/ (hoewel ek nie weet hoe goed dit vir Russiese taalvariante van die virus werk nie, maar dit is die moeite werd om te probeer om die diens 'n voorbeeld van 'n geïnkripteer lêer en 'n tekslêer met 'n losprysversoek te gee).

Nadat jy die tipe kriptograaf bepaal het, probeer jy om 'n program te vind om hierdie opsie te ontsyfer vir navrae soos: Decryptor Type_Chiler. Sulke nutsdienste is gratis en word deur antivirusprogramme ontwikkel. Byvoorbeeld, verskeie sulke nutsdienste kan gevind word op die Kaspersky-webtuiste //support.kaspersky.ru/viruses/utility (ander nutsdienste is nader aan die einde van die artikel). En, soos reeds genoem, moet asseblief nie huiwer om die ontwikkelaars van antivirusprogramme op hul forums of posondersteuningsdiens te kontak nie.

Ongelukkig help dit nie altyd nie, en daar werk nie altyd lêerdekodeerders nie. In hierdie geval is die scenario's anders: baie betaal indringers en moedig hulle aan om hierdie aktiwiteit voort te sit. Sommige gebruikers word gehelp deur 'n program om data op 'n rekenaar te herstel (omdat 'n virus, deur 'n geïnkripteer lêer te maak, 'n gereelde, belangrike lêer wat teoreties herstel kan word, verwyder).

Lêers op die rekenaar is geïnkripteer in xtbl

Een van die nuutste weergawes van die ransomware-virus versleutel lêers, vervang hulle met lêers met die .xtbl uitbreiding en 'n naam wat bestaan ​​uit 'n ewekansige stel karakters.

Terselfdertyd word 'n tekslêer readme.txt op die rekenaar geplaas met ongeveer die volgende inhoud: "U lêers is geënkripteer. Om dit te ontsyfer, moet u die kode na die e-pos adres [email protected], [email protected] of [email protected] stuur. U sal al die nodige instruksies ontvang. Pogings om die lêers self te ontsyfer, sal lei tot onherstelbare inligtingverlies "(posadres en teks mag verskil).

Ongelukkig is daar tans geen manier om te dekodeer .xtbl (sodra dit blyk, sal die instruksie opgedateer word). Sommige gebruikers wat werklik belangrike inligting op hul rekenaar gehad het, het berig oor anti-virusforums dat hulle 5000 roebels of 'n ander vereiste bedrag aan die outeurs van die virus gestuur het en 'n descrambler ontvang het, maar dit is baie riskant: jy mag niks ontvang nie.

Wat as die lêers geïnkripteer is in .xtbl? My aanbevelings is soos volg (maar hulle verskil van dié op baie ander tematiese terreine waar hulle byvoorbeeld aanbeveel dat jy die rekenaar onmiddellik van die kragbron afskakel of die virus nie verwyder nie. Dit is na my mening onnodig en onder sekere omstandighede mag dit selfs wees skadelik, maar jy besluit.):

  1. As jy dit kan, onderbreek die enkripsieproses deur die ooreenstemmende take in die taakbestuurder te verwyder, en skakel jou rekenaar van die internet af (dit is 'n noodsaaklike voorwaarde vir enkripsie)
  2. Onthou of skryf die kode wat die aanvallers nodig het om na 'n e-pos adres te stuur (net nie in 'n tekslêer op die rekenaar nie, net in geval, sodat dit ook nie geënkripteer word nie).
  3. Gebruik Malwarebytes Antimalware, proef weergawe van Kaspersky Internet Security of Dr.Web Cure It om die virus te verwyder wat lêers enkripteer (al die bogenoemde gereedskap doen 'n goeie werk daarmee). Ek raai u aan om beurte te gebruik met die eerste en tweede produk uit die lys (alhoewel u 'n antivirus geïnstalleer het, is die tweede een 'bo-op' geïnstalleer. Dit is ongewens, aangesien dit kan lei tot probleme in die werking van die rekenaar.)
  4. Wag vir die anti-virus maatskappy om te verskyn. Op die voorpunt is Kaspersky Lab hier.
  5. U kan ook 'n voorbeeld van 'n geïnkripteer lêer en die vereiste kode na [email protected], as u 'n kopie van dieselfde lêer in ongecodeerde vorm het, stuur dit ook. In teorie kan dit die voorkoms van die dekodeerder versnel.

Wat om nie te doen nie:

  • Hernoem die geïnkripteer lêers, verander die uitbreiding en verwyder dit as dit vir jou belangrik is.

Dit is waarskynlik al wat ek kan sê oor die geïnkripteer lêers met die .xtbl uitbreiding op hierdie tydstip.

Lêers is geïnkripteer better_call_saul

Die nuutste enkripsievirus is Beter Call Saul (Trojan-Ransom.Win32.Shade), wat die .better_call_saul-uitbreiding vir versleutelde lêers stel. Hoe om hierdie lêers te dekripteer is nog nie duidelik nie. Die gebruikers wat Kaspersky Lab en Dr.Web gekontak het, het inligting ontvang dat dit nie op die oomblik gedoen kan word nie (maar probeer om te stuur - meer monsters van geïnkripteer lêers van ontwikkelaars = meer geneig om 'n manier te vind).

As dit blyk dat jy 'n manier gevind het om te ontsyfer (dit is iewers opgelaai, maar ek het nie gevolg nie), deel asseblief die inligting in die kommentaar.

Trojan-Ransom.Win32.Aura en Trojan-Ransom.Win32.Rakhni

Die volgende Trojan wat lêers enkripteer en installeer uitbreidings uit hierdie lys:

  • .locked
  • .crypto
  • .kraken
  • . AES256 (nie noodwendig hierdie trojan nie, daar is ander wat dieselfde uitbreiding installeer).
  • .codercsu @ gmail_com
  • .enc
  • .oshit
  • En ander.

Om die lêers te dekripteer na die werking van hierdie virusse, het die Kaspersky-webwerf 'n gratis program, RakhniDecryptor, beskikbaar op die amptelike bladsy //support.kaspersky.com/viruses/disinfection/10556.

Daar is ook 'n gedetailleerde instruksies oor hoe om hierdie program te gebruik, om te wys hoe om geïnkripteer lêers te herstel, waaruit ek net die item "Verwyder geïnkripteer lêers na suksesvolle dekripsie" verwyder (alhoewel ek dink alles sal goed met die geïnstalleerde opsie wees).

As u 'n Dr.Web anti-virus lisensie het, kan u die gratis dekripsie van hierdie maatskappy gebruik by //support.drweb.com/new/free_unlocker/

Meer variasies van enkripsievirus

Meer selde, maar daar is ook die volgende Trojans, enkripsie van lêers en wat geld vir dekripsie benodig. Die skakels wat verskaf word, is nie net nutsprogramme vir die teruggawe van u lêers nie, maar ook 'n beskrywing van die tekens wat sal help om te bepaal dat u hierdie spesifieke virus het. Alhoewel in die algemeen die beste manier: met behulp van Kaspersky Anti-Virus, scan die stelsel, vind die naam van die Trojan volgens die klassifikasie van hierdie maatskappy en soek dan die nut deur daardie naam.

  • Trojan-Ransom.Win32.Rector is 'n gratis RectorDecryptor nut vir dekripsie en gebruik gids beskikbaar hier: //support.kaspersky.com/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist is 'n soortgelyke Trojan wat 'n venster vertoon waarin jy gevra word om 'n betaalde SMS of kontak per e-pos te stuur vir instruksies oor dekodering. Instruksies vir die herwinning van geënkripteerde lêers en die XoristDecryptor-nut hiervoor is op bladsy //support.kaspersky.com/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 nut
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 en ander met dieselfde naam (wanneer u deur die antivirus van Dr.Web of die Cure It-program) en verskillende nommers soek - probeer die internet deur die naam van die Trojan. Vir sommige van hulle is daar ook Dr.Web-dekripsie-nuts, as jy nie die nut kon vind nie, maar daar is 'n Dr.Web-lisensie, jy kan die amptelike bladsy //support.drweb.com/new/free_unlocker/ gebruik
  • CryptoLocker - om lêers te ontsyfer nadat CryptoLocker uitgevoer is, kan u die webwerf //decryptcryptolocker.com gebruik. Nadat u die steekproef lêer gestuur het, sal u 'n sleutel en nut kry om u lêers te herstel.
  • Op die terrein//bitbucket.org/jadacyrus/ransomwareremovalkit/downloads beskikbaar Ransomware Removal Kit - 'n groot argief met inligting oor verskillende tipes kriptograwe en dekripsie nutsprogramme (in Engels)

Wel, uit die nuutste nuus - Kaspersky Lab, saam met wetstoepassers van Nederland, het Ransomware Decryptor (//noransom.kaspersky.com) ontwikkel om lêers na CoinVault te ontsyfer. Hierdie afpersingster is egter nog nie in ons breedtegrade gevind nie.

Anti-virus enkripsors of ransomware

Met die verspreiding van Ransomware het baie vervaardigers van antivirus- en anti-malware-gereedskap hul oplossings vrygestel om enkripsie op die rekenaar te voorkom, onder andere:
  • Malwarebytes Anti-ransomware
  • BitDefender Anti-Ransomware
  • WinAntiRansom
Die eerste twee is nog steeds in beta, maar gratis (hulle ondersteun slegs die definisie van 'n beperkte stel virusse van hierdie tipe - TeslaCrypt, CTBLocker, Locky, CryptoLocker. WinAntiRansom - 'n betaalde produk wat beloof om enkripsie te voorkom met byna enige ransomware-monster, wat beskerming bied vir plaaslike en netwerk dryf.

Maar: hierdie programme is nie ontwerp om te ontsyfer nie, maar net om die versleuteling van belangrike lêers op u rekenaar te voorkom. En in die algemeen lyk dit vir my dat hierdie funksies geïmplementeer moet word in anti-virusprodukte, anders word 'n vreemde situasie verkry: die gebruiker moet antivirus op die rekenaar hou, 'n manier om AdWare en Malware te bestry, en nou ook Anti-ransomware-nut, plus net Anti- ontgin.

Terloops, as dit skielik blyk dat jy iets het om by te voeg (omdat ek nie tyd kan hê om te monitor wat met die dekripsiemetodes gebeur nie), in kommentaar lewer, sal hierdie inligting nuttig wees vir ander gebruikers wat 'n probleem ondervind het.

Gewilde Poste

https://termotools.com af.termotools.com © Windows 2024