Një nga malware më problematike sot është një trojan ose virus që kodon skedarët në diskun e një përdoruesi. Disa nga këto skedarë mund të decrypted, dhe disa - jo ende. Ky manual përmban algoritme të mundshme për veprimet në të dyja situatat, mënyrat për të përcaktuar llojin e veçantë të encryption në shërbimet No More Ransom dhe ID Ransomware, si dhe një pasqyrë të shkurtër të softuerit të enkriptimit të antivirusit (ransomware).
Ekzistojnë disa modifikime të këtyre viruseve ose ransomware Trojans (dhe të reja vazhdimisht shfaqen), por thelbi i përgjithshëm i punës është që pas instalimit të skedarëve të dokumenteve, imazheve dhe skedarëve të tjerë që janë potencialisht të rëndësishëm, ato janë të koduara me zgjerimin dhe fshirjen e skedarëve origjinale. pas së cilës ju merrni një mesazh në dosjen readme.txt duke deklaruar se të gjitha dosjet tuaja janë të koduara dhe për t'i dekriptuar ato ju duhet të dërgoni një sasi të caktuar tek sulmuesi. Shënim: Windows 10 Fall Creators Update tani ka mbrojtje të integruar kundër viruseve të enkriptimit.
Po sikur të gjitha të dhënat e rëndësishme të jenë të koduara
Për starters, disa informacione të përgjithshme për encrypting fotografi të rëndësishme në kompjuterin tuaj. Nëse të dhënat e rëndësishme në kompjuterin tuaj janë të koduara, atëherë së pari ju nuk duhet të bëni panik.
Nëse keni një mundësi të tillë, kopjoni një skedar mostër me një kërkesë teksti nga sulmuesi për dekriptim, plus një shembull të skedarit të koduar, në diskun e jashtëm (flash drive) nga disku i kompjuterit në të cilin u shfaq virusi-encryptor (ransomware). Fikni kompjuterin në mënyrë që virusi të mos vazhdojë të krijon të dhënat dhe të kryejë veprimet e mbetura në një kompjuter tjetër.
Faza e ardhshme është të zbuloni se cili lloj i virusit të dhënat tuaja janë të koduara duke përdorur skedarët e koduar në dispozicion: për disa prej tyre ka descramblers (disa do të nxjerr në pah këtu, disa tregohen më afër fundit të artikullit), për disa - ende jo. Por edhe në këtë rast, ju mund të dërgoni shembuj të skedarëve të koduar në laboratorët anti-virus (Kaspersky, Dr. Web) për studim.
Sa saktësisht për të gjetur? Ju mund ta bëni këtë duke përdorur Google, duke gjetur diskutime ose një lloj kriptografi me zgjatje të skedarëve. Gjithashtu filloi të shfaqeshin shërbimet për të përcaktuar llojin e ransomware.
Nuk ka më shumë shpërblim
No More Ransom është një burim aktiv në zhvillim i mbështetur nga zhvilluesit e mjeteve të sigurisë dhe të disponueshëm në versionin rus, që synon luftimin e viruseve nga kriptografët (Trojans-zhvatës).
Me fat, No More Ransom mund të ndihmojë në dekriptimin e dokumenteve, bazave të të dhënave, fotografive dhe informatave të tjera, shkarkoni programet e nevojshme për dekriptim dhe gjithashtu merrni informacion që do të ndihmojë në shmangien e kërcënimeve të tilla në të ardhmen.
Në No More Ransom, mund të përpiqeni të dekriptoni skedarët tuaj dhe të përcaktoni llojin e virusit të enkriptimit si më poshtë:
- Klikoni "Po" në faqen kryesore të shërbimit //www.nomoreransom.org/ru/index.html
- Do të hapet faqja e Sherif Crypto, ku mund të shkarkoni shembuj të skedarëve të koduar jo më të madh se 1 MB në madhësi (unë rekomandoj që të mos ngarkoni asnjë të dhënë konfidenciale) dhe gjithashtu të specifikoni adresat e emailit ose faqet ku mashtruesit kërkojnë një shpërblim (ose shkarkoni skedarin readme.txt nga kërkesë).
- Kliko "Check" button dhe prisni për kontroll dhe rezultatin e tij për të përfunduar.
Përveç kësaj, faqja ka seksione të dobishme:
- Decryptors - pothuajse të gjitha shërbimet aktualisht ekzistuese për decrypting files virus-encrypted.
- Parandalimi i infeksionit - informacion që synon kryesisht tek përdoruesit e rishtar, gjë që mund të ndihmojë në shmangien e infeksionit në të ardhmen.
- Pyetje dhe Përgjigje - informacion për ata që duan të kuptojnë më mirë punën e viruseve dhe veprimeve të enkriptimit në rastet kur jeni të ballafaquar me faktin se skedarët në kompjuterin tuaj janë koduar.
Sot, No More Ransom është ndoshta burimi më i rëndësishëm dhe i dobishëm që lidhet me grumbullimin e skedarëve për një përdorues rus, unë rekomandoj.
Id ransomware
Një tjetër shërbim i tillë është //id-ransomware.malwarehunterteam.com/ (megjithëse nuk e di se sa mirë funksionon për variantet në gjuhën ruse të virusit, por ia vlen të provohet duke ushqyer shërbimin një shembull të një skedari të koduar dhe një skedar teksti me kërkesë shpërblyese).
Pas përcaktimit të llojit të kriptografit, nëse keni sukses, përpiquni të gjeni një softuer për të dekriptuar këtë opsion për pyetjet si: Decryptor Type_Chiler. Shërbimet e tilla janë të lira dhe janë prodhuar nga zhvilluesit antivirus, për shembull, disa shërbime të tilla mund të gjenden në faqen e internetit Kaspersky //support.kaspersky.ru/viruses/utility (shërbimet e tjera janë më afër fundit të artikullit). Dhe, siç është përmendur më sipër, mos hezitoni të kontaktoni zhvilluesit e programeve antivirus në forumet e tyre ose në shërbimin e mbështetjes së postës.
Për fat të keq, e gjithë kjo nuk ndihmon gjithmonë dhe nuk ka gjithmonë duke punuar decrypters file. Në këtë rast, skenarët janë të ndryshëm: shumë paguajnë ndërhyrës, duke i inkurajuar ata që të vazhdojnë këtë aktivitet. Disa përdorues janë ndihmuar nga një program për të rikuperuar të dhëna në një kompjuter (për shkak se një virus, duke bërë një skedar të koduar, fshin një skedar të rregullt dhe të rëndësishëm që mund të mbulohen teorikisht).
Dosjet në kompjuter janë të koduara në xtbl
Një nga variantet më të fundit të virusit ransomware krijon skedarë, duke i zëvendësuar ato me skedarë me shtrirje .xtbl dhe një emër që përbëhet nga një grup i rastësishëm karakteresh.
Në të njëjtën kohë, një skedar teksti readme.txt vendoset në kompjuter me përafërsisht përmbajtjen e mëposhtme: "Dosjet tuaja janë të koduara. Për t'i dekriptuar ato duhet të dërgoni kodin në adresën e emailit [email protected], [email protected] ose [email protected]. do të merrni të gjitha udhëzimet e nevojshme. Përpjekjet për të fshirë vetë dosjet do të çojnë në humbje të pakthyeshme të informacionit "(adresa e postës dhe teksti mund të ndryshojnë).
Për fat të keq, aktualisht nuk ka asnjë mënyrë për të dekriptuar .xtbl (sapo të shfaqet, udhëzimi do të përditësohet). Disa përdorues të cilët kishin informacion të vërtetë të rëndësishëm në raportin e tyre të kompjuterave në forumet anti-virusë që dërguan 5000 rubla ose një sasi tjetër të kërkuar tek autorët e virusit dhe morën një regjistrues, por kjo është shumë e rrezikshme: ju nuk mund të merrni asgjë.
Çka nëse skedarët janë të koduar në .xtbl? Rekomandimet e mia janë si më poshtë (por ato ndryshojnë nga ato në shumë faqe të tjera tematike, ku, për shembull, ata rekomandojnë që menjëherë ta fikni kompjuterin nga furnizimi me energji elektrike ose të mos hiqni virusin. Sipas mendimit tim, kjo është e panevojshme dhe në rrethana të caktuara mund të jetë të dëmshme, por ju vendosni.):
- Nëse mundeni, ndërprisni procesin e enkriptimit duke hequr detyrat përkatëse në menaxherin e detyrave, duke shkëputur kompjuterin tuaj nga Interneti (kjo mund të jetë një kusht i domosdoshëm për kriptimin)
- Mos harroni ose shkruani kodin që sulmuesit kërkojnë të dërgojnë në një adresë e-mail (thjesht jo në një skedar teksti në kompjuter, vetëm në rast, kështu që gjithashtu nuk rezulton të jetë i koduar).
- Duke përdorur Malwarebytes Antimalware, versionin e provës së Kaspersky Internet Security ose Dr.Web Cure It për të hequr virusin që kodon skedarët (të gjitha mjetet e mësipërme bëjnë një punë të mirë me këtë). Unë ju këshilloj që të shkoni duke përdorur produktin e parë dhe të dytë nga lista (edhe pse nëse keni një antivirus të instaluar, instalimi i dytë "në krye" është i padëshirueshëm, pasi mund të çojë në probleme në punën e kompjuterit.)
- Prisni që kompania anti-virus të shfaqet. Në ballë këtu është Kaspersky Lab.
- Gjithashtu mund të dërgoni një shembull të një skedari të koduar dhe kodit të kërkuar për të [email protected], nëse keni një kopje të skedarit të njëjtë në formë të pakoduar, dërgojeni gjithashtu. Në teori, kjo mund të përshpejtojë pamjen e dekoderit.
Çfarë të mos bëjmë:
- Riemëroni skedarët e koduar, ndryshoni zgjerimin dhe fshini ato nëse ato janë të rëndësishme për ju.
Kjo është ndoshta e gjitha që mund të them në lidhje me skedarët e koduar me shtrirjen .xtbl në këtë pikë në kohë.
Dosjet janë të koduara better_call_saul
Virusi më i fundit i enkriptimit është Better Call Saul (Trojan-Ransom.Win32.Shade), i cili përcakton zgjerimin .better_call_saul për skedarët e koduar. Si të dekriptosh skedarë të tillë nuk është ende e qartë. Ata përdorues që kanë kontaktuar me Kaspersky Lab dhe Dr.Web kanë marrë informacione se kjo nuk mund të bëhet në këtë moment (por përpiquni të dërgoni gjithsesi - më shumë mostra të skedarëve të koduar nga zhvilluesit = ka më shumë gjasa të gjejnë një mënyrë).
Nëse del se keni gjetur një mënyrë për të dekriptuar (dmth, është postuar diku, por nuk e kam ndjekur), ju lutem ndani informacionin në komentet.
Trojan-Ransom.Win32.Aura dhe Trojan-Ransom.Win32.Rakhni
Troja e mëposhtme që kodon skedarët dhe instalon zgjatjet nga kjo listë:
- .locked
- .crypto
- .kraken
- .AES256 (jo domosdoshmërisht ky trojan, ka të tjerë që instalojnë të njëjtën zgjatje).
- .codercsu @ gmail_com
- .enc
- .oshit
- Dhe të tjerët.
Për të fshirë fotografi pas funksionimit të këtyre viruseve, faqja e internetit Kaspersky ka një shërbim falas, RakhniDecryptor, në dispozicion në faqen zyrtare //support.kaspersky.com/viruses/disinfection/10556.
Ekziston edhe një udhëzim i detajuar se si të përdoret kjo vegël, duke treguar se si të shërohen skedarët e koduar, nga të cilat unë thjesht do të heqja artikullin "Fshi skedarët e koduar pas rishikimit të suksesshëm" (edhe pse mendoj se gjithçka do të jetë mirë me opsionin e instaluar).
Nëse keni licencë anti-virus Dr.Web, mund të përdorni decryption falas nga kjo kompani në //support.drweb.com/new/free_unlocker/
Më shumë variante të virusit të enkriptimit
Më rrallë, por ka edhe Trojanë në vijim, duke koduar skedarë dhe duke kërkuar para për dekriptim. Lidhjet e ofruara nuk janë vetëm shërbimet për kthimin e skedarëve tuaj, por edhe një përshkrim të shenjave që do të ndihmojnë në përcaktimin se keni këtë virus të veçantë. Edhe pse në përgjithësi, mënyra më e mirë: me ndihmën e Kaspersky Anti-Virus, skanoni sistemin, gjeni emrin e trojeve sipas klasifikimit të kësaj kompanie, dhe pastaj kërkoni për dobinë me atë emër.
- Trojan-Ransom.Win32.Rector është një program i lirë RectorDecryptor për decryption dhe udhëzues të përdorimit në dispozicion këtu: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist është një trojan i ngjashëm që tregon një dritare që ju kërkon të dërgoni një SMS të paguar ose kontaktoni me e-mail për udhëzime mbi dekodimin. Udhëzimet për rikthimin e skedarëve të koduar dhe shërbimeve të XoristDecryptor për këtë janë në faqen //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 utility
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 dhe të tjerë me të njëjtin emër (kur kërkoni përmes programit anti-virus të Dr.Web ose Cure It) dhe numra të ndryshëm - provoni të kërkoni internetin me emrin e Trojës. Për disa prej tyre ekzistojnë edhe shërbimet e dejtimit të Dr.Web, po qe se nuk mund të gjesh shërbimin, por ka licencë Dr.Web, mund të përdorni faqen zyrtare //support.drweb.com/new/free_unlocker/
- CryptoLocker - për të decrypt fotografi pas running CryptoLocker, ju mund të përdorni faqen //decryptcryptolocker.com - pas dërgimit të mostrës skedar, ju do të merrni një çelës dhe shërbimeve për të rimarrë skedarët tuaj.
- Në vend//bitbucket.org/jadacyrus/ransomwareremovalkit/shkarkime të disponueshme Ransomware Removal Kit - një arkiv i madh me informacione mbi lloje të ndryshme të kriptografëve dhe shërbimeve të decryption (në anglisht)
E pra, nga lajmet e fundit - Kaspersky Lab, së bashku me oficerët e zbatimit të ligjit nga Hollanda, zhvilluan Ransomware Decryptor (//noransom.kaspersky.com) për të dekriptuar dosjet pas CoinVault, megjithatë, ky zhvatës ende nuk është gjetur në latitudes tonë.
Encryptors anti-virus ose ransomware
Me përhapjen e Ransomware, shumë prodhues të mjeteve anti-virus dhe anti-malware filluan të lëshojnë zgjidhjet e tyre për të parandaluar enkriptimin në kompjuter, ndër to janë:- Malwarebytes Anti-ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Por: këto programe nuk janë të dizajnuara për të decrypt, por vetëm për të parandaluar encryption e dosjeve të rëndësishme në kompjuterin tuaj. Dhe në përgjithësi, mua më duket se këto funksione duhet të zbatohen në produktet anti-virus, përndryshe një situatë e çuditshme është marrë: përdoruesi duhet të mbajë antivirus në kompjuter, një mjet për të luftuar AdWare dhe Malware, dhe tani edhe Anti-ransomware utility, shfrytëzuar.
Nga rruga, nëse papritmas rezulton se keni diçka për të shtuar (sepse siç nuk mund të kem kohë për të monitoruar se çfarë po ndodh me metodat e decryption), raportoni në komente, ky informacion do të jetë i dobishëm për përdoruesit e tjerë që kanë hasur në një problem.