Jedným z najproblematickejších malware je dnes trójsky kôň alebo vírus, ktorý šifruje súbory na disku používateľa. Niektoré z týchto súborov môžu byť dešifrované a niektoré - ešte nie. Manuál ukazuje možnú postupnosť akcií v oboch situáciách, spôsoby, ako identifikovať konkrétny typ šifrovania služieb No More Ransom a ID Ransomware, rovnako ako prehľad programov na ochranu pred vírusmi, cryptographers (ransomware).
Existuje niekoľko modifikácií takýchto vírusov a trójskych koní vydierači (a tam sú vždy nové), ale celkový Podstatou práce je zabezpečiť, aby po inštalácii vášho dokumentu súbory, obrázky a ďalšie, ktoré sú potenciálne dôležité, sú šifrované pomocou zmeny rozšírenia a odstránením pôvodného súboru, potom dostanete správu v súbore readme.txt, že všetky súbory boli zašifrované a ich dešifrovanie chcete odoslať určité množstvo útočníka. Poznámka: Aktualizácia Windows 10 Fall Creators Update teraz obsahuje zabudovanú ochranu proti šifrovacím vírusom.
Čo ak sú všetky dôležité údaje šifrované
Na začiatok, niektoré všeobecné informácie pre konfrontáciu s šifrovaním dôležitých súborov vo vašom počítači. Ak boli dôležité údaje v počítači zašifrované, najskôr by ste nemali paniku.
Ak máte takúto príležitosť, skopírujte vzorový súbor s požiadavkou na text od útočníka na dešifrovanie plus inštanciu šifrovaného súboru na externú jednotku (flash disk) z disku počítača, na ktorom sa objavil šifrovací program vírusov. vypnite počítač tak, aby vírus nemohol pokračovať v šifrovaní údajov a vykonávať zostávajúce akcie na inom počítači.
Ďalšou etapou je zistiť, ktorý typ vírusu sú vaše dáta šifrované pomocou dostupných šifrovaných súborov: pre niektoré z nich existujú descramblers (niektoré budem poukázať tu, niektoré sú uvedené bližšie ku koncu článku), pre niektoré - ešte nie. Ale aj v tomto prípade môžete posielať príklady zašifrovaných súborov na antivírusové laboratóriá (Kaspersky, Dr. Web) na štúdium.
Ako zistíte? Môžete to urobiť pomocou služby Google, vyhľadať diskusie alebo typ kryptografa podľa prípony súboru. Začali sa objavovať aj služby na určenie typu ransomware.
No More Ransom
No More Ransom je aktívne vyvíjajúci sa zdroj, podporovaný vývojármi bezpečnostných nástrojov a dostupný v ruskej verzii, zameraný na boj proti vírusom od kryptografov (trójske vydierania).
So šťastím, program No More Ransom vám pomôže dešifrovať vaše dokumenty, databázy, fotky a ďalšie informácie, stiahnuť potrebné programy na dešifrovanie a tiež získať informácie, ktoré pomôžu vyhnúť sa týmto hrozbám v budúcnosti.
V programe No More Ransom sa môžete pokúsiť dešifrovať súbory a určiť typ šifrovacieho vírusu takto:
- Kliknite na "Áno" na hlavnej stránke služby. https://www.nomoreransom.org/ru/index.html
- Zobrazí sa stránka šifrovania Crypto Sheriff, kde si môžete stiahnuť prílohy šifrovaných súborov, ktoré nie sú väčšie ako 1 MB (neodporúčam odovzdať žiadne dôverné údaje) a tiež špecifikovať e-mailové adresy alebo stránky, na ktoré podvodníci žiadajú o výkupné (alebo si stiahnite súbor readme.txt požiadavka).
- Kliknite na tlačidlo "Kontrola" a čakajte na kontrolu a dokončite jej.
Okrem toho má stránka užitočné časti:
- Dešifrotory - takmer všetky existujúce nástroje na dešifrovanie súborov šifrovaných vírusmi.
- Prevencia infekcie - informácie zamerané predovšetkým na začínajúcich užívateľov, ktoré môžu pomôcť zabrániť infekcii v budúcnosti.
- Otázky a odpovede - informácie pre tých, ktorí chcú lepšie porozumieť práci šifrovacích vírusov a akcií v prípadoch, keď čelíteže súbory v počítači boli šifrované.
Dnes je No More Ransom pravdepodobne najrelevantnejším a užitočným zdrojom spojeným s dešifrovaním súborov pre ruského používateľa, odporúčam.
Id ransomware
Ďalšou takouto službou jehttps://id-ransomware.malwarehunterteam.com/ (aj keď neviem, ako to funguje pre ruské varianty vírusu, ale stojí za to pokúsiť sa poskytnúť službu ako príklad šifrovaného súboru a textového súboru s požiadavkou na výkupné).
Po určení typu kryptografa, ak uspejete, skúste nájsť nástroj na dešifrovanie tejto možnosti pre otázky ako: Decryptor Type_Chiler. Takéto nástroje sú zadarmo a sú produkované antivírusovými vývojármi, napríklad niekoľko takýchto nástrojov možno nájsť na lokalite Kaspersky naraz.https://support.kaspersky.ru/viruses/utility (ďalšie nástroje sú bližšie ku koncu článku). A ako už bolo uvedené, neváhajte kontaktovať vývojárov antivírusových programov na svojich fórach alebo poštách.
Bohužiaľ to všetko nie vždy pomôže a nie vždy fungujú dešifrotory súborov. V tomto prípade sú scenáre odlišné: mnohí zaplatia votrelcov a povzbudzujú ich, aby pokračovali v tejto činnosti.Niektorým používateľom pomáha program na obnovenie údajov v počítači (pretože vírus pomocou vytvorenia zašifrovaného súboru odstráni pravidelný a dôležitý súbor, ktorý možno teoreticky obnoviť).
Súbory v počítači sú šifrované v xtbl
Jedna z najnovších variantov vírusu ransomware šifruje súbory tým, že ich nahradí súbormi s príponou .xtbl a názvom pozostávajúcim z náhodnej sady znakov.
Súčasne sa do počítača umiestni textový súbor readme.txt s približne nasledujúcim obsahom: "Vaše súbory boli zašifrované. Ak ich chcete dešifrovať, musíte kód odoslať na e-mailovú adresu [email protected], [email protected] alebo [email protected]. dostanete všetky potrebné pokyny Pokusy o dešifrovanie súborov sami povedie k nenapraviteľnej strate informácií "(adresa a text sa môžu líšiť).
Bohužiaľ, v súčasnosti neexistuje žiadny spôsob, ako dešifrovať .xtbl (akonáhle sa objaví, bude inštrukcia aktualizovaná). Niektorí používatelia, ktorí mali na svojom počítači skutočne dôležité informácie, hlásia na antivírusových fórach, že poslali 5 000 rubľov alebo inú požadovanú sumu autorom vírusu a dostali descrambler, ale toto je veľmi riskantné: nemusí sa vám nič dostať.
Čo ak sú súbory šifrované v .xtbl? Moje odporúčania sú nasledovné (líšia sa však od tých, ktoré sa nachádzajú na mnohých iných tematických lokalitách, kde sa napríklad doporučuje vypnúť počítač z elektrickej siete alebo odstrániť vírus.) Podľa môjho názoru je to zbytočné a za určitých okolností môže byť dokonca aj škodlivé, ale rozhodujete sa.):
- Ak je to možné, prerušte proces šifrovania odstránením zodpovedajúcich úloh v správcovi úloh odpojením počítača od internetu (môže to byť nevyhnutná podmienka šifrovania)
- Zapamätajte si alebo napíšte kód, ktorý útočníci vyžadujú na odoslanie na e-mailovú adresu (jednoducho nie v textovom súbore v počítači, len v prípade, že sa tiež nezdá, že je šifrované).
- Použitie softvéru Malwarebytes Antimalware, skúšobnej verzie aplikácie Kaspersky Internet Security alebo Dr.Web Cure It na odstránenie vírusu, ktorý zašifruje súbory (všetky vyššie uvedené nástroje to robia s touto prácou dobre). Odporúčam vám, aby ste sa otočili pomocou prvého a druhého produktu zo zoznamu (aj keď máte nainštalovaný antivírus, inštalácia druhého "na vrch stránky" je nežiaduca, pretože môže viesť k problémom v prevádzke počítača.)
- Počkajte, kým sa zobrazí antivírusová spoločnosť.V popredí je Kaspersky Lab.
- Môžete tiež odoslať príklad šifrovaného súboru a požadovaného kódu [email protected]ak máte kópiu toho istého súboru v nezašifrovanej forme, pošlite ho tiež. Teoreticky to môže urýchliť vzhľad dekodéra.
Čo robiť:
- Premenujte šifrované súbory, zmeňte ich rozšírenie a odstráňte ich, ak sú pre vás dôležité.
To je asi všetko čo môžem povedať o zašifrovaných súboroch s príponou .xtbl v tomto okamihu.
Súbory sú šifrované better_call_saul
Najnovšie vírusy šifrovacích vírusov, Better Call Saul (Trojan-Ransom.Win32.Shade), ktoré nastavujú rozšírenie .better_call_saul pre šifrované súbory. Ako dešifrovať takéto súbory ešte nie je jasné. Tí používatelia, ktorí kontaktovali spoločnosti Kaspersky Lab a Dr.Web, dostali informácie o tom, že v súčasnosti to nie je možné (ale snažte sa ich poslať - viac vzoriek šifrovaných súborov od vývojárov = je pravdepodobnejšie, že nájdu cestu).
Ak sa ukáže, že ste našli spôsob dešifrovania (t. J. Bol uverejnený niekde, ale nesledoval som ho), zdieľajte informácie v komentároch.
Trojan-Ransom.Win32.Aura a Trojan-Ransom.Win32.Rakhni
Nasledujúci Trojan, ktorý šifruje súbory a nainštaluje rozšírenia z tohto zoznamu:
- .locked
- .crypto
- .kraken
- .AES256 (nie nevyhnutne tento trojan, existujú aj iné, ktoré inštalujú rovnaké rozšírenie).
- .codercsu @ gmail_com
- .enc
- .oshit
- A ďalšie.
Za účelom dešifrovania súborov po prevádzke týchto vírusov je na webovej lokalite Kaspersky bezplatná utilita RakhniDecryptor, ktorá je k dispozícii na oficiálnej stránke http://support.kaspersky.ru/viruses/disinfection/10556.
Je tu prítomné a podrobný návod na použitie tohto nástroja, ktoré ukazujú, ako obnoviť zašifrované súbory, z ktorých by som v každom prípade odstránené položky "Zmazať šifrované súbory po úspešnom dekódovaní" (aj keď si myslím, a s inštalovaným voľbou bude v poriadku).
Ak máte licenciu na antivírus Dr.Web, môžete použiť bezplatnú dešifrovanie tejto firmy na stránke http://support.drweb.com/new/free_unlocker/
Ďalšie varianty šifrovacieho vírusu
Málokedy, ale sú tu aj trójske kone, šifrované súbory a vyžadujú peniaze na dešifrovanie. Poskytnuté odkazy nie sú len pomocné nástroje na vrátenie súborov, ale aj popis znakov, ktoré vám pomôžu určiť, že máte tento konkrétny vírus. Aj keď vo všeobecnosti najlepší spôsob: s pomocou systému Kaspersky Anti-Virus skenovanie systému, zistiť názov Trojan podľa klasifikácie tejto spoločnosti, a potom hľadať utility podľa tohto mena.
- Trojan-Ransom.Win32.Rector je bezplatný nástroj RectorDecryptor pre dešifrovanie a používanie sprievodcu k dispozícii tu: http://support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist je podobný Trojan, ktorý zobrazuje okno s požiadavkou na odoslanie platených SMS správ alebo kontaktov prostredníctvom e-mailu pre pokyny na dešifrovanie. Pokyny na obnovenie šifrovaných súborov a nástroj XoristDecryptor na to nájdete na stránke http://support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, nástroj Trojan-Ransom.Win32.Fury - RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 a iné s rovnakým názvom (pri vyhľadávaní pomocou antivírusového programu Dr.Web alebo Cure It) a rôznych čísel - skúste vyhľadávať na internete názvom Trojan. Niektoré z nich obsahujú aj nástroje na dešifrovanie Dr.Web, ak nemôžete nájsť nástroj, ale máte licenciu Dr.Web, môžete použiť oficiálnu stránku http://support.drweb.com/new/free_unlocker/
- CryptoLocker - pre dešifrovanie súborov po spustení CryptoLocker, môžete použiť web http://decryptcryptolocker.com - Po odoslaní vzorového súboru dostanete kľúč a nástroj na obnovenie súborov.
- Na miestehttps://bitbucket.org/jadacyrus/ransomwareremovalkit/súbory na stiahnutie sú k dispozícii Ransomware Removal Kit - veľký archív s informáciami o rôznych typoch kryptografov a dešifrovacích nástrojov (v angličtine)
Z najnovších správ - spoločnosť Kaspersky Lab, spolu s úradníkmi činnými v trestnom konaní z Holandska, vyvinula Ransomware Decryptor (http://noransom.kaspersky.com) na dešifrovanie súborov po systéme CoinVault, ale v našich zemepisných šírkach sa tento výtržník zatiaľ nenachádza.
Antivírusové šifrovanie alebo ransomware
Vďaka šíreniu softvéru Ransomware začali mnohí výrobcovia antivírusových a antivírusových nástrojov uvoľňovať svoje riešenia, aby zabránili šifrovaniu počítača vrátane:- Malwarebytes Anti-Ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Ale tieto programy nie sú určené na dešifrovanie, ale len na zabránenie šifrovanie dôležitých súborov v počítači. A skutočne, to sa mi zdá, tieto funkcie musia byť vykonaná v antivírusových produktov, v opačnom prípade sa ukazuje zvláštne situácie: užívateľ potrebuje, aby v počítači antivírusový nástroj na boj s adware a malware, a teraz nástroje Anti-Ransomware plus len v prípade Anti zneužiť.
Mimochodom, ak sa náhle zistíte, že máte niečo dodať (pretože nemám čas sledovať, čo sa deje s metódami dešifrovanie), podľa pripomienok, tieto informácie budú užitočné pre ostatných užívateľov, s ktorými sa stretávajú s problémom.