Ο ιός κρυπτογραφεί τα αρχεία και μετονομάστηκε. Πώς να αποκρυπτογραφήσετε αρχεία που έχουν κρυπτογραφηθεί ιό

Πρόσφατα υπήρξε μια απότομη αύξηση της δραστηριότητας της νέας γενιάς των κακόβουλων προγραμμάτων ηλεκτρονικών υπολογιστών. Εμφανίστηκαν για μεγάλο χρονικό διάστημα (6 - 8 χρόνια πριν), αλλά ο ρυθμός της εφαρμογής τους κορυφώθηκε τώρα. Είναι όλο και περισσότερο αντιμέτωποι με το γεγονός ότι το αρχείο του ιού είναι κρυπτογραφημένη.

Γνωρίζουμε ήδη ότι αυτό δεν είναι απλά μια πρωτόγονη κακόβουλο λογισμικό, για παράδειγμα, το κλείδωμα του υπολογιστή (που προκαλεί μπλε οθόνη), και σοβαρά προγράμματα που στοχεύουν στην ζημιές, κατά κανόνα, τα λογιστικά στοιχεία. Θα κρυπτογραφήσετε όλα τα αρχεία που βρίσκονται σε απόσταση, συμπεριλαμβανομένων 1C δεδομένων, docx, xlsx, jpg, doc, xls, pdf, zip.

Ειδικοί κίνδυνοι θεωρούνται ιούς

Αυτό έγκειται στο γεγονός ότι αυτό ισχύει RSA-κλειδί, η οποία είναι συνδεδεμένη με τον υπολογιστή ενός συγκεκριμένου χρήστη, κατά συνέπεια, η καθολική αποκωδικοποιητή (decryptor) λείπει. Οι ιοί που δραστηριοποιούνται σε έναν από τους υπολογιστές, ενδέχεται να μην λειτουργούν σε ένα άλλο.

Ο κίνδυνος είναι επίσης το γεγονός ότι πάνω από ένα χρόνο στο Διαδίκτυο διατίθενται έτοιμα προγράμματα-οικοδόμοι (οικοδόμος), επιτρέποντας την ανάπτυξη ενός τέτοιου ιού, ακόμη και kulhatskeram (τα άτομα που θεωρούν τους εαυτούς τους hackers, αλλά όχι για να μάθουν προγραμματισμό).

Επί του παρόντος, υπάρχουν πιο ισχυρό τροποποίηση.

Μέθοδος εφαρμογής κακόβουλο λογισμικό βάσης δεδομένων

ιό ενημερωτικό δελτίο που παράγεται σκόπιμα, κατά κανόνα, το λογιστήριο της εταιρείας. Πρώτον, συλλέγει τις υπηρεσίες e-mails προσωπικό, τους λογαριασμούς των υπηρεσιών των εν λόγω βάσεων δεδομένων, για παράδειγμα, hh.ru. Στη συνέχεια στέλνει επιστολές. Συχνά περιέχουν ένα αίτημα σε σχέση με την υιοθέτηση μιας συγκεκριμένης θέσης. Ένα τέτοιο έγγραφο συνημμένο αρχείο με μια περίληψη, εντός της οποίας η πραγματική έγγραφο με ένα εμφυτευμένο OLE-αντικειμένου (pdf-αρχείο με έναν ιό).

Σε περιπτώσεις κατά τις οποίες το προσωπικό της λογιστικής ξεκίνησε αμέσως το έγγραφο, μετά την επανεκκίνηση συμβαίνει το εξής: έναν ιό και μετονομάστηκε το κρυπτογραφημένο αρχείο, και στη συνέχεια αυτοκαταστροφή.

Αυτό το είδος της επιστολής είναι συνήθως επαρκή σύνταξη και την αποστολή να nespamerskogo κουτί (το όνομα ταιριάζει με την υπογραφή). Vacancy είναι πάντα ζητείται βάσει των χαρακτηριστικών δραστηριοτήτων της εταιρείας, η οποία είναι ο λόγος που δεν προκύπτουν οι υποψίες.

Καμία άδεια «Kaspersky» (λογισμικό προστασίας από ιούς) ή (συνημμένα έλεγχο σε απευθείας σύνδεση υπηρεσία για ιούς) «Virus Total» δεν μπορεί να προστατεύσει τον υπολογιστή σας σε αυτήν την περίπτωση. Μερικές φορές, ορισμένα προγράμματα προστασίας από ιούς για να σαρώσετε το ζήτημα ότι το συνημμένο είναι Gen: Variant.Zusy.71505.

Πώς να αποφύγετε τη μόλυνση με τον ιό;

Είναι απαραίτητο να ελέγχει κάθε αρχείο που έχει ληφθεί. Ιδιαίτερη προσοχή δίνεται έγγραφα vordovsky που έχουν ενσωματωμένο pdf.

Παραλλαγές του «μολυσμένων» μηνυμάτων

Πολλοί από αυτούς. Οι πιο κοινές παραλλαγές του ιού κρυπτογραφεί τα αρχεία που εμφανίζονται παρακάτω. Σε όλες τις περιπτώσεις, τα ακόλουθα έγγραφα έρχονται μέσω e-mail:

1. Η ειδοποίηση για την έναρξη της διαδικασίας αναθεώρησης που εφαρμόζεται σε μια συγκεκριμένη εταιρεία νομική δράση (η επιστολή χρησιμεύει για να ελέγξετε τα στοιχεία κάνοντας κλικ στον σύνδεσμο).
2. Επιστολή της SAC για την είσπραξη του χρέους.
3. Μήνυμα από Sberbank για την αύξηση του υφιστάμενου χρέους.
4. Ανακοίνωση για τον καθορισμό τροχαίες παραβάσεις.
5. Μια επιστολή από μια αντιπροσωπεία συλλογής με τη μέγιστη δυνατή καθυστέρηση της πληρωμής.

Ανακοίνωση για την κρυπτογράφηση αρχείων

Θα εμφανιστούν μετά τη μόλυνση στον ριζικό φάκελο της μονάδας δίσκου C. Μερικές φορές όλοι οι κατάλογοι με ένα κατεστραμμένο τύπο κειμένου που τοποθετούνται αρχεία ChTO_DELAT.txt, CONTACT.txt. Εκεί, ο χρήστης ενημερώνεται για το πώς να κρυπτογραφήσετε τα αρχεία του που γίνεται από αξιόπιστη κρυπτογραφικών αλγορίθμων. Και προειδοποίησε για την ακατάλληλη χρήση των εργαλείων τρίτων, καθώς αυτό μπορεί να προκαλέσει βλάβη στους τελικούς αρχεία, τα οποία με τη σειρά της θα οδηγήσει στην αδυναμία των επόμενων αποκρυπτογράφησης.

Η προκήρυξη συνιστάται να αφήνετε τον υπολογιστή στην αρχική τους κατάσταση. Υποδεικνύει την αποθήκευση παρέχεται από ένα πλήκτρο (γενικά είναι 2 ημέρες). Διατυπώνονται την ακριβή ημερομηνία, μετά την οποία θα πρέπει να αγνοηθεί κάθε είδους θεραπεία.

Στο τέλος του συγκεκριμένου e-mail. Αναφέρει, επίσης, ότι ο χρήστης πρέπει να εισάγει το αναγνωριστικό σας και ότι οποιαδήποτε από τις ακόλουθες ενέργειες μπορεί να οδηγήσει στην εξάλειψη του κλειδιού, και συγκεκριμένα:

• ύβρεις?
• λεπτομέρειες της αίτησης χωρίς περαιτέρω πληρωμή?
• απειλή.

Πώς να αποκρυπτογραφήσετε αρχεία που έχουν κρυπτογραφηθεί ιό;

Αυτό το είδος της κρυπτογράφησης είναι πολύ ισχυρό: το αρχείο έχει εκχωρηθεί σε παράταση ως τέλεια, nochance κλπ κρακ είναι απλά αδύνατο, αλλά μπορείτε να δοκιμάσετε να συνδέσετε ένα cryptanalyst και να αναζητήσει ένα παραθυράκι (σε ορισμένες περιπτώσεις να βοηθήσει Δρ WEB) ..

Υπάρχει 1 τρόπος για να επαναφέρετε τα κρυπτογραφημένα αρχεία του ιού, αλλά δεν είναι κατάλληλο για όλους τους ιούς, επίσης, πρέπει να αφαιρέσετε το αρχικό exe με αυτό το κακόβουλο πρόγραμμα, το οποίο είναι αρκετά δύσκολο να εφαρμοστεί αυτοκαταστροφή μετά.

Παρακαλούμε ό, τι αφορά την εισαγωγή του ιού ενός ειδικού κώδικα - ένα μικρό έλεγχο, επειδή το αρχείο σε αυτό το σημείο έχει ήδη έναν αποκωδικοποιητή (κώδικα, να το πω έτσι, ο επιτιθέμενος δεν χρειάζεται να). Η ουσία αυτής της μεθόδου - καταχώρηση στον ιό διείσδυσαν (στη θέση του ίδιου του κώδικα εισόδου σύγκρισης) άδειο ομάδες. Το αποτέλεσμα - το ίδιο ένα κακόβουλο πρόγραμμα τρέχει την αποκρυπτογράφηση των αρχείων και έτσι να επαναφέρει εντελώς.

Σε κάθε ιός έχει το δικό του ιδιαίτερο χαρακτηριστικό κρυπτογράφησης, το οποίο είναι ο λόγος για ένα τρίτο εκτελέσιμα (μορφή exe αρχείου) δεν θα αποκρυπτογραφήσει, ή μπορείτε να δοκιμάσετε να επιλέξετε την παραπάνω λειτουργία, η οποία απαιτεί από όλες τις ενέργειες που εκτελούνται στο WinAPI.

Ο ιός κρυπτογραφεί τα αρχεία: τι πρέπει να κάνουμε;

Για την εκτέλεση απαιτείται η διαδικασία αποκρυπτογράφησης:

1. Κάντε αντίγραφα ασφαλείας (backups των υφιστάμενων αρχείων). Στο τέλος του αποκρυπτογράφηση όλα η ίδια απομακρύνει.
2. Στον υπολογιστή (το θύμα), θα πρέπει να εκτελέσετε αυτό το κακόβουλο πρόγραμμα, στη συνέχεια, περιμένετε, περιέχει μια υποχρέωση σε σχέση με την εισαγωγή του κωδικού όταν εμφανίζεται το παράθυρο.
3. Στη συνέχεια, θα πρέπει να ξεκινήσετε από το συνημμένο αρχείο αρχείο Patcher.exe.
4. Το επόμενο βήμα είναι να εισαγάγει έναν αριθμό της διαδικασίας του ιού, τότε είναι απαραίτητο να πατήσετε «Enter-».
5. Θα «επιδιορθωθεί» μήνυμα, το οποίο σημαίνει ότι το τρίψιμο οδηγίες σύγκρισης.
6. Αυτό ακολουθείται από την εισαγωγή του κωδικού στη θέση των κάθε είδους από τους χαρακτήρες, και στη συνέχεια κάντε κλικ στο κουμπί «OK».
7. Ο ιός αρχίζει η διαδικασία της αποκρυπτογράφηση του αρχείου, μετά την οποία ο ίδιος εξαλείφει.

Πώς να αποφύγετε την απώλεια δεδομένων δεόντως υπόψη του κακόβουλου προγράμματος;

Αξίζει να γνωρίζουμε ότι σε μια κατάσταση όπου ο ιός κρυπτογραφεί τα αρχεία για τη διαδικασία του χρόνου αποκρυπτογράφησης λάβει. Το σημαντικό σημείο υπέρ είναι ότι το προαναφερθέν malware υπάρχει ένα bug που σας επιτρέπει να αποθηκεύσετε κάποια αρχεία, αν αποσυνδέσετε γρήγορα τον υπολογιστή (τραβήξτε το φις από την πρίζα, απενεργοποιήστε το πολύπριζο, αφαιρέστε την μπαταρία σε περίπτωση ενός φορητού υπολογιστή), μόλις ένας μεγάλος αριθμός εκ των προτέρων καθορισμένα αρχεία επέκτασης .

Για άλλη μια φορά θα πρέπει να τονιστεί ότι το κύριο πράγμα - είναι η δημιουργία συνεχώς ένα αντίγραφο ασφαλείας, αλλά όχι σε άλλο φάκελο, όχι σε αφαιρούμενο μέσο που εισάγεται στον υπολογιστή, μετά την τροποποίηση του ιού και θα φτάσουν αυτά τα μέρη. Αξίζει να κρατήσει αντίγραφα ασφαλείας σε διαφορετικό υπολογιστή, σκληρό δίσκο, η οποία δεν είναι μόνιμα συνδεδεμένο στον υπολογιστή και στο σύννεφο.

Θα πρέπει να αντιμετωπίζονται με καχυποψία σε όλα τα έγγραφα που έρχονται στο ταχυδρομείο από άγνωστα άτομα (σε συνοπτική μορφή, τιμολόγιο, το ψήφισμα της SAC ή του φόρου και άλλοι.). Δεν θα πρέπει να τρέξει στον υπολογιστή σας (για το σκοπό αυτό το netbook, δεν περιέχει σημαντικά στοιχεία μπορούν να προσδιοριστούν).

*.paycrypt@gmail.com κακόβουλο πρόγραμμα: Ένδικα μέσα

.. Σε μια κατάσταση όπου η προαναφερθείσα κρυπτογραφημένα ιό CBF αρχεία, doc, jpg, κλπ, υπάρχουν μόνο τρία σενάρια:

1. Ο ευκολότερος τρόπος για να απαλλαγούμε από αυτό - αφαιρέστε όλα τα μολυσμένα αρχεία (είναι αποδεκτό, αν τα δεδομένα δεν είναι πολύ σημαντικό).
2. Δείτε εργαστήριο πρόγραμμα προστασίας από ιούς, για παράδειγμα, ο Δρ WEB. προγραμματιστές Email πολλά μολυσμένα αρχεία με το απαραίτητο κλειδί για την αποκρυπτογράφηση, που βρίσκεται στον υπολογιστή ως KEY.PRIVATE.
3. Το πιο ακριβό τρόπο. Ο ίδιος αναλαμβάνει την πληρωμή του αιτούμενου ποσού για τους χάκερ να αποκρυπτογραφήσει μολυσμένα αρχεία. Συνήθως, το κόστος αυτής της υπηρεσίας είναι μεταξύ 200-500 δολάρια ΗΠΑ .. Αυτό είναι αποδεκτό σε μια κατάσταση όπου ο ιός κρυπτογραφεί τα αρχεία μιας μεγάλης εταιρείας, στην οποία λαμβάνει χώρα μια σημαντική ροή πληροφοριών σε καθημερινή βάση, και αυτό το κακόβουλο πρόγραμμα μπορεί σε δευτερόλεπτα να προκαλέσει τεράστια ζημιά. Σε σχέση με την πληρωμή αυτή - την ταχύτερη έκδοση της αποκατάστασης των μολυσμένων αρχείων.

Μερικές φορές είναι αποτελεσματική και μια πρόσθετη επιλογή. Στην περίπτωση που ο ιός κρυπτογραφεί τα αρχεία (paycrypt @ gmail_com ή άλλο κακόβουλο λογισμικό) μπορεί να βοηθήσει το σύστημα επαναφέρει πριν από λίγες ημέρες.

Πρόγραμμα για την αποκρυπτογράφηση RectorDecryptor

Αν ο ιός κρυπτογραφεί τα αρχεία jpg, doc, CBF και ούτω καθεξής. Ν, μπορεί να βοηθήσει ένα ειδικό πρόγραμμα. Γι 'αυτό πρέπει πρώτα να πάει στην εκκίνηση και να απενεργοποιήσετε όλα, αλλά το antivirus. Στη συνέχεια, θα πρέπει να επανεκκινήσετε τον υπολογιστή σας. Δείτε όλα τα αρχεία, επισημάνετε ύποπτο. Στο πεδίο με την ονομασία «Ομάδα», δήλωσε η θέση ενός συγκεκριμένου αρχείου (πρέπει να δώσουν προσοχή σε εφαρμογές που δεν έχουν υπογραφή: ο κατασκευαστής - δεν υπάρχουν στοιχεία).

Όλα τα ύποπτα αρχεία που θέλετε να διαγράψετε, στη συνέχεια, την ανάγκη να καθαρίσετε τις κρύπτες browsers προσωρινό φάκελο (πρόγραμμα CCleaner είναι κατάλληλο για το σκοπό αυτό).

Για να ξεκινήσετε την αποκρυπτογράφηση, πρέπει να κατεβάσετε το παραπάνω πρόγραμμα. Στη συνέχεια, εκτελέστε το και κάντε κλικ στο κουμπί «Έναρξη σάρωσης», διευκρινίζοντας τροποποιημένα αρχεία και την επέκτασή τους. Σε σύγχρονες εκδόσεις του προγράμματος μπορεί να καθορίσει ο ίδιος μόνο το μολυσμένο αρχείο και κάντε κλικ στο κουμπί «Άνοιγμα». Μετά από αυτό, τα αρχεία θα αποκρυπτογραφηθούν.

Στη συνέχεια, το βοηθητικό πρόγραμμα ανιχνεύει αυτόματα όλα τα στοιχεία του υπολογιστή, συμπεριλαμβανομένων των αρχείων που είναι αποθηκευμένα στη συνδεδεμένη μονάδα δίσκου δικτύου, και να αποκρυπτογραφεί. Αυτή η διαδικασία ανάκτησης μπορεί να διαρκέσει αρκετές ώρες (ανάλογα με το φόρτο εργασίας και την ταχύτητα του υπολογιστή).

Ως εκ τούτου, όλα τα κατεστραμμένα αρχεία θα πρέπει να αποκωδικοποιηθούν στον ίδιο φάκελο όπου είχαν εγκατασταθεί αρχικά. Στο τέλος, θα πρέπει μόνο να καταργήσετε όλα τα υπάρχοντα αρχεία με ύποπτες επέκταση, το οποίο μπορείτε να βάλετε κάτω από ένα σημάδι στο ερώτημα «Διαγραφή κρυπτογραφημένα αρχεία μετά την επιτυχή αποκωδικοποίηση» με το πάτημα ενός προ-κουμπί «Αλλαγή ρυθμίσεων σάρωσης». Ωστόσο, είναι καλύτερα να μην θέσει, όπως στην περίπτωση της αποτυχημένης αποκρυπτογράφησης των αρχείων που μπορούν να συνταξιοδοτηθούν, και στη συνέχεια να τα επαναφέρετε πρώτα.

Έτσι, αν ο ιός κρυπτογραφεί τα αρχεία doc, CBF, jpg τ. Ε, δεν πρέπει να βιαστούμε να τον κωδικό πληρωμής. Ίσως δεν το χρειάζεστε.

αφαίρεση αποχρώσεις του κρυπτογραφημένα αρχεία

Όταν προσπαθείτε να εξαλειφθούν όλα τα κατεστραμμένα αρχεία χρησιμοποιώντας μια τυποποιημένη αναζήτηση και την επακόλουθη αφαίρεση μπορεί να ξεκινήσει κρέμασμα και την επιβράδυνση του υπολογιστή σας. Ως εκ τούτου, για τη διαδικασία αυτή θα πρέπει να χρησιμοποιήσετε μια ειδική γραμμή εντολών. Μετά από την έναρξή του, είναι απαραίτητο να εισάγετε τα εξής: del «: \ *. <Επέκταση του μολυσμένου αρχείου>» / f / s.

Να είστε βέβαιοι ότι θέλετε να διαγράψετε αυτά τα αρχεία ως "Read-menya.txt", η οποία στην ίδια γραμμή εντολών πρέπει να προσδιορίζει: del «: \ * <όνομα αρχείου>» / f / s..

Έτσι, πρέπει να σημειωθεί ότι αν ο ιός αλλάξει το όνομα και την κρυπτογράφηση αρχείων, δεν θα πρέπει να δαπανήσει μόνο τα χρήματα για την αγορά των εγκληματιών του κυβερνοχώρου κλειδί πρώτα να προσπαθήσουμε να κατανοήσουμε το πρόβλημα μόνοι τους. Είναι καλύτερο να επενδύσει στην αγορά ενός ειδικού προγράμματος για την αποκρυπτογράφηση των κατεστραμμένα αρχεία.

Τέλος, αξίζει να υπενθυμίσουμε ότι σε αυτό το άρθρο το ερώτημα σχετικά με το πώς να αποκρυπτογραφήσετε αρχεία που έχουν κρυπτογραφηθεί ιό.