Unu el la plej problemaj malware hodiaŭ estas trojan aŭ viruso kiu ĉifras dosierojn en uzanta disko. Iuj el ĉi tiuj dosieroj povas esti deĉifritaj, kaj iuj - ankoraŭ ne. La manlibro enhavas eblajn algoritmojn por agoj en ambaŭ situacioj, manieroj por determini la specifan tipon de ĉifrado de la servoj No More Ransom kaj ID Ransomware, kaj ankaŭ mallongan superrigardon de la kontraŭvira ĉifrada softvaro (ransomware).
Estas pluraj modifoj de tiaj virusoj aŭ ransomware Trojans (kaj novaj aperas konstante), sed la ĝenerala esenco de la laboro estas, ke post instalado de la dosieroj de dokumentoj, bildoj kaj aliaj dosieroj potenciale gravaj, ili estas ĉifritaj per la etendo kaj forigo de la originalaj dosieroj. tiam vi ricevas mesaĝon en la dosiero readme.txt deklarante, ke ĉiuj viaj dosieroj estas ĉifritaj, kaj por malĉifri ilin vi devas sendi certan kvanton al la atakanto. Noto: nowisdatigo de Kreintoj de Windows 10 nun havas protekton integrita kontraŭ virusoj de kodita.
Kio se ĉiuj gravaj datumoj estas ĉifritaj
Por komenci, iuj ĝeneralaj informoj por kodi gravajn dosierojn en via komputilo. Se la gravaj datumoj de via komputilo estas ĉifritaj, tiam unue vi ne paniku.
Se vi havas tian ŝancon, kopiu specimenan dosieron kun teksto-peto de la atakanto por malĉifro, krom petskribon de la ĉifrita dosiero, al la ekstera disko (ekbrilo) de la komputila disko sur kiu aperis la virus-ĉifrado (ransomware). Malŝaltu la komputilon tiel, ke la viruso ne povas plu kodi la datumojn, kaj fari la ceterajn agojn sur alia komputilo.
La sekva etapo estas trovi kian viruson vi kodigas viajn datumojn per la haveblaj ĉifritaj dosieroj: por iuj el ili estas descramblers (iuj mi indikos ĉi tie, iuj estas indikitaj pli proksime al la fino de la artikolo), por iuj - ankoraŭ ne. Sed eĉ en ĉi tiu kazo, vi povas sendi ekzemplojn de ĉifritaj dosieroj al kontraŭvirusaj laboratorioj (Kaspersky, Dr. Web) por studi.
Kiel ĝuste ekscii? Vi povas fari ĉi tion per Google, trovante diskutojn aŭ specon de ĉifranĉisto laŭ dosiera etendo. I ankaŭ komencis aperi servojn por determini la tipon de ransomware.
Ne Pli Rankuo
Ne More Ransom estas aktive evoluanta rimedo subtenata de programistoj de sekurecaj iloj kaj haveblaj en la rusa versio, celante kontraŭbatali virusojn de kriptografoj (trojanoj-eldirantoj).
Kun bonŝanco, No More Ransom povas helpi deĉifri viajn dokumentojn, datumbazojn, fotojn kaj aliajn informojn, elŝuti la necesajn programojn por malĉifro, kaj ankaŭ ricevi informojn, kiuj helpos eviti tiajn minacojn estonte.
En Ne Plua Rekompenco, vi povas provi malĉifri viajn dosierojn kaj determini la specon de ĉifrada viruso jene:
- Alklaku "Jes" en la ĉefa paĝo de la servo //www.nomoreransom.org/ru/index.html
- La paĝo de Crypto Sheriff malfermiĝos, kie vi povas elŝuti ekzemplojn de ĉifritaj dosieroj ne pli grandaj ol 1 Mb grandeco (mi rekomendas alŝuti neniujn konfidencajn datumojn), kaj ankaŭ specifi retpoŝtadresojn aŭ retejojn al kiuj trompantoj petas elaĉeton (aŭ elŝuti la readme.txt-dosieron de postulo).
- Alklaku la butonon "Kontroli" kaj atendu, ke la ĉeko kaj ĝia rezulto finiĝu.
Plie, la retejo havas utilajn sekciojn:
- Deĉifritaj - preskaŭ ĉiuj nuntempe ekzistantaj iloj por deĉifri virus-ĉifritajn dosierojn.
- Antaŭzorgo de infektoj - informoj ĉefe celantaj novulajn uzantojn, kiuj povas helpi eviti infekton estonte.
- Demandoj kaj Respondoj - informoj por tiuj, kiuj volas pli bone kompreni la laboron de ĉifritaj virusoj kaj agoj en kazoj, kiam vi renkontas la fakton, ke la dosieroj en via komputilo estas ĉifritaj.
Hodiaŭ, Ne Plua Rekompenco estas probable la plej grava kaj utila rimedo asociita kun deĉifrita dosieroj por rusa uzanto, mi rekomendas.
Iru ransomware
Alia tia servo estas //id-ransomware.malwarehunterteam.com/ (kvankam mi ne scias kiom bone funkcias por ruslingvaj variantoj de la viruso, sed indas provi per nutrado de la servo ekzemplo de ĉifrita dosiero kaj teksta dosiero kun elaĉetebla peto).
Post determinado de la speco de ĉifranĉisto, se vi sukcesos, provu trovi ilon por deĉifri ĉi tiun opcion por demandoj kiel: Decryptor Type_Chiler. Tiaj iloj estas senpagaj kaj estas produktitaj de antivirus-programistoj, ekzemple, kelkaj tiaj iloj povas esti trovitaj sur la retejo Kaspersky //support.kaspersky.ru/viruses/utility (aliaj iloj pli proksimas al la fino de la artikolo). Kaj, kiel jam menciite, ne hezitu kontakti la programistojn de antivirus-programoj en siaj forumoj aŭ poŝta subteno.
Bedaŭrinde ĉio ĉi ne ĉiam helpas kaj ne ĉiam laboras kun dosieroj deĉifritaj. En ĉi tiu kazo, la scenaroj diferencas: multaj pagas entrudulojn, kuraĝigante ilin daŭrigi ĉi tiun agadon. Iuj uzantoj estas helpataj de programo por resaniĝi datumojn en komputilo (ĉar viruso, per ĉifrita dosiero, forigas regulan gravan dosieron, kiu teorie povas esti rekuperita).
Dosieroj en la komputilo estas ĉifritaj en xtbl
Unu el la plej novaj variantoj de la ransomware viruso ĉifras dosierojn, anstataŭigante ilin per dosieroj kun la .xtbl-etendaĵo kaj nomo konsistanta el hazarda signaro.
Samtempe, teksta dosiero readme.txt estas metita sur la komputilon kun proksimume la sekva enhavo: "Viaj dosieroj estis ĉifritaj. Por malĉifri ilin, vi devas sendi la kodon al la retpoŝta adreso [email protected], [email protected] aŭ [email protected]. vi ricevos ĉiujn necesajn instrukciojn. Provoj deĉifri la dosierojn mem kondukos al nerevokebla perdo de informo "(retpoŝta adreso kaj teksto eble malsamos).
Bedaŭrinde nuntempe neniu maniero deĉifri .xtbl (tuj kiam ĝi aperas, la instrukcio estos ĝisdatigita). Iuj uzantoj, kiuj havis vere gravajn informojn pri sia komputilo, raportas pri antivirusaj forumoj, ke ili sendis 5000 rublojn aŭ alian bezonatan sumon al la aŭtoroj de la viruso kaj ricevis descrambler, sed tio estas tre riska: vi eble ne ricevos ion ajn.
Kaj se la dosieroj estis koditaj en .xtbl? Miaj rekomendoj estas jene (sed ili diferencas de tiuj en multaj aliaj temaj ejoj, kie, ekzemple, ili rekomendas ke vi malŝaltas la komputilon de la kurenta nutrado aŭ ne forigu la viruso. En mia opinio, ĉi tio estas nenecesa, kaj en iuj cirkonstancoj eĉ povas esti damaĝa, kiel ajn vi decidas.):
- Se vi povas, interrompu la ĉifritan procezon forigante la respondajn taskojn en la taskokontrolilo, malkonekti vian komputilon de interreto (ĉi tio eble estas necesa kondiĉo por ĉifrado)
- Memoru aŭ skribu la kodon, kiun la atakantoj bezonas por sendi al retpoŝta adreso (simple ne en teksta dosiero en la komputilo, ĉiaokaze, por ke ĝi ankaŭ ne montriĝu ĉifrita).
- Uzante Malwarebytes Antimalware, prov-versio de Kaspersky Internet Security aŭ Dr.Web Cure It por forigi la viruso kiu ĉifras dosierojn (ĉiuj supraj iloj bone faras ĉi tion). Mi konsilas al vi turniĝi uzante la unuan kaj duan produkton de la listo (kvankam, se vi havas antivirus instalitan, instalado de la dua "supre" estas nedezirinda, ĉar ĝi povas kaŭzi problemojn en la komputilo.)
- Atendu la antivirus-kompanion aperi. Ĉe la avangardo ĉi tie estas Kaspersky Lab.
- Vi ankaŭ povas sendi ekzemplon de ĉifrita dosiero kaj la bezonata kodo [email protected], se vi havas kopion de la sama dosiero en neĉifrita formo, sendu ĝin ankaŭ. En teorio, ĉi tio povas akceli la aspekton de la decodificador.
Kio ne fari:
- Renomi la ĉifritajn dosierojn, ŝanĝu la etendon kaj forigu ilin se ili gravas por vi.
Ĉi tio verŝajne estas ĉio, kion mi povas diri pri la ĉifritaj dosieroj kun la .xtbl-etendaĵo ĉi-momente.
Dosieroj estas koditaj better_call_saul
La plej nova ĉifrada viruso estas Better Call Saul (Trojan-Ransom.Win32.Shade), kiu fiksas la etendon .better_call_saul por ĉifritaj dosieroj. Kiel deĉifri tiajn dosierojn ankoraŭ ne klaras. Tiuj uzantoj, kiuj kontaktis Kaspersky Lab kaj Dr.Web, ricevis informon, ke ĉi tio ne povas esti farita en la momento (sed provu sendi ĉi tien - pli da ekzemploj de ĉifritaj dosieroj de programistoj = pli probable trovos manieron).
Se montriĝas, ke vi trovis manieron deĉifri (te, ĝi estis afiŝita ie, sed mi ne sekvis), bonvolu dividi la informojn en la komentoj.
Trojan-Ransom.Win32.Aura kaj Trojan-Ransom.Win32.Rakhni
La sekva troyano kiu ĉifras dosierojn kaj instalas etendaĵojn el ĉi tiu listo:
- blokita
- .crypto
- .kraken
- .AES256 (ne nepre ĉi tiu trojan, estas aliaj instalantaj la saman etendaĵon).
- .codercsu @ gmail_com
- .enc
- .oshit
- Kaj aliaj.
Por deĉifri dosierojn post la funkciado de ĉi tiuj virusoj, la retejo Kaspersky havas senpagan utilecon, RakhniDecryptor, havebla sur la oficiala paĝo //support.kaspersky.com/viruses/disinfection/10556.
Ekzistas ankaŭ detala instrukcio pri kiel uzi ĉi tiun ilon, montrante kiel reakiri ĉifritajn dosierojn, el kiuj mi devus nur forigi la artikolon "Forigi ĉifritajn dosierojn post sukcesa deĉifrado" (kvankam mi kredas ke ĉio estos bona kun la instalita opcio).
Se vi havas licencon kontraŭ la viruso Dr.Web, vi povas uzi la senpagan malkriptadon de ĉi tiu kompanio ĉe //support.drweb.com/new/free_unlocker/
Pli da variantoj de ĉifra viruso
Pli malofte, sed ankaŭ ekzistas la jenaj trojanoj, ĉifrante dosierojn kaj postulante monon por malĉifro. La ligiloj provizitaj estas ne nur iloj por la redono de viaj dosieroj, sed ankaŭ priskribo de la signoj, kiuj helpos determini, ke vi havas ĉi tiun specifan viruson. Kvankam ĝenerale, la plej bona maniero: kun la helpo de Kaspersky Anti-Virus-skanado de la sistemo, malkovru la nomon de la troyano laŭ la klasifiko de ĉi tiu kompanio kaj tiam serĉu la utilecon per tiu nomo.
- Trojan-Ransom.Win32.Rector estas senpaga RectorDecryptor-ilo por malĉifro kaj uzokutada gvidilo havebla ĉi tie: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist estas simila Trojan kiu montras fenestron petanta vin sendi pagitan SMS aŭ kontakto tra retpoŝto por instruoj sur malkodigo. Instrukcioj por resaniĝi ĉifritaj dosieroj kaj la ilo XoristDecryptor por ĉi tio estas sur paĝo //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 ilo
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 kaj aliaj kun la sama nomo (dum traserĉado tra Dr.Web-antivirus aŭ la Kuraco It-ilo) kaj malsamaj nombroj - provu serĉi interrete per la nomo Troia. Por kelkaj el ili ekzistas malkaŝaj iloj de Dr.Web, ankaŭ, se vi ne povus trovi la ilon, sed ekzistas licenco de Dr.Web, vi povas uzi la oficialan paĝon //support.drweb.com/new/free_unlocker/
- CryptoLocker - por deĉifri dosierojn post ekzekuto de CryptoLocker, vi povas uzi la retejon //decryptcryptolocker.com - post sendi la ekzemplan dosieron, vi ricevos ŝlosilon kaj ilon por reakiri viajn dosierojn.
- Surloke//bitbucket.org/jadacyrus/ransomwareremovalkit/elŝutas haveblan Ransomware Removal Kit - granda arkivo kun informoj pri malsamaj specoj de kriptografoj kaj deĉifraj iloj (en la angla)
Nu, de la lastaj novaĵoj - Kaspersky Lab, kune kun policaj agentoj de Nederlando, disvolvis Ransomware Decryptor (//noransom.kaspersky.com) por deĉifri dosierojn post CoinVault, tamen ĉi tiu ĉantaĝulo ankoraŭ ne troviĝis en niaj latitudoj.
Antivirus-ĉifroj aŭ ransomware
Kun la proliferado de Ransomware, multaj fabrikantoj de kontraŭvirusaj kaj kontraŭ-malware iloj komencis publikigi siajn solvojn por malhelpi ĉifradon en la komputilo, inter ili estas:- Malwarebytes Anti-ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Sed: ĉi tiuj programoj ne estas desegnitaj por deĉifri, sed nur por malebligi ĉifradon de gravaj dosieroj en via komputilo. Kaj ĝenerale ŝajnas al mi, ke ĉi tiuj funkcioj devus esti efektivigitaj en kontraŭvirusaj produktoj, alie stranga situacio estas akirita: la uzanto devas konservi antivirus en la komputilo, rimedo por kontraŭbatali AdWare kaj Malware, kaj nun ankaŭ Anti-ransomware-ilo, krom ĉu Anti- ekspluati.
Parenteze, se subite ĝi rezultas, ke vi havas ion por aldoni (ĉar ĉar mi ne povas havi tempon por kontroli tion, kio okazas kun la malĉifraj metodoj), raportu en komentoj, ĉi tiu informo estos utila al aliaj uzantoj, kiuj renkontis problemon.
