Windows

Vaše súbory boli šifrované - čo robiť?

Vaše súbory boli šifrované - čo robiť?

Jedným z najproblematickejších škodlivých programov dnes je trójske kone alebo vírusové šifrovanie súborov na disk používateľa. Niektoré z týchto súborov je možné dešifrovať a niektoré ešte nie sú. Táto príručka poskytuje možné algoritmy akcií v obidvoch situáciách, spôsoby, ako určiť špecifický typ šifrovania v službách bez výkupného a ID ransomware, ako aj stručný prehľad programov na ochranu proti sofistikovaným vírusom (ransomware).

Existuje niekoľko modifikácií takýchto vírusov alebo nosičov trojíc (a nové sa neustále objavujú), ale všeobecná podstata práce sa scvrkáva na skutočnosť, že po inštalácii do počítača sú vaše súbory dokumentov, obrazov a ďalších, ktoré sú potenciálne dôležité šifrovaný so zmenou rozšírenia a odstránením pôvodných súborov, potom dostanete správu v súbore ReadMe.txt, že všetky vaše súbory boli šifrované a pre ich dešifrovanie musíte útočníkovi poslať určitú sumu. Poznámka: V aktualizácii tvorcov Windows 10 Fall Creators bola vstavaná ochrana pred vírusmi sifézy.

Čo robiť, ak sú všetky dôležité údaje šifrované

Pre začiatočníkov niektoré všeobecné informácie o šifrovaní dôležitých súborov v ich počítači. Ak boli dôležité údaje vo vašom počítači šifrované, potom by ste najskôr nemali panika.

Ak máte takúto príležitosť, z počítačového disku, na ktorom sa objavil vírus čarodejníka (ransomware), skopírujte niekde na externej jednotke (Flash Drive) príklad súboru s textovou požiadavkou pre útočníka na dekódovanie plus kópiu Šifrovaný súbor a potom pri príležitostiach vypnite počítač, aby vírus nemohol pokračovať v šifrovaní údajov a zvyšok akcií vykonávať na inom počítači.

Ďalším krokom je zistiť, čo presne ten typ vírusu šifroval vaše údaje pomocou dostupných šifrovaných súborov: pre niektoré z nich sú dekodéry (niektoré tu uvediem, niektoré sú označené bližšie k koncu článku) Niektoré - ešte nie je. Ale aj v tomto prípade môžete poslať príklady šifrovaných súborov do antivírusových laboratórií (Kaspersky, Dr. Web) študovať.

Ako to zistiť? Môžete to urobiť pomocou Google nájdením diskusií alebo typu šifrovania na rozšírenie súboru. Zdá sa, že aj služby určujú typ ransomware.

Už žiadne výkupné

Už žiadne RANSOM nie je aktívny vývoj zdrojov podporovaný vývojármi bezpečnosti a prístupný vo verzii v ruštine, ktorého cieľom je bojovať proti vírusom s šifrovaním (trójske kone).

Vďaka šťastiu, žiadne ďalšie výkupné vám môže pomôcť rozlúštiť vaše dokumenty, databázy, fotografie a ďalšie informácie, stiahnuť potrebné programy na dekódovanie, ako aj získať informácie, ktoré pomôžu vyhnúť sa týmto hrozbám v budúcnosti.

Pri žiadnom výkupnom sa môžete pokúsiť dešifrovať svoje súbory a určiť typ vírusu sipperov takto:

  1. Kliknite na „Áno“ na hlavnej stránke služby https: // www.Nomoruansom.Org/ru/index.Html
  2. Otvorí sa stránka „Crypto-Sheep“, kde si môžete stiahnuť príklady šifrovaných súborov s veľkosťou najviac 1 MB (odporúčam sťahovať bez konkurzných dôverných údajov) a uviesť e-mailové adresy alebo stránky, pre ktoré podvodníci potrebujú podvodníci nákup (alebo nahrajte súbor ReadMe.txt s dopytom). 
  3. Kliknite na tlačidlo „Check“ a počkajte na dokončenie šeku a jeho výsledok.

Okrem toho sú na webe k dispozícii užitočné časti:

  • Dekriéry sú takmer všetky verejné služby v aktuálnom čase na dešifrovanie súborov šifrovaných vírusov. 
  • Prevencia infekcií - informácie zamerané predovšetkým na začínajúcich používateľov, čo môže pomôcť vyhnúť sa infekcii v budúcnosti.
  • Otázky a odpovede - Informácie pre tých, ktorí chcú lepšie porozumieť práci šifrovacích vírusov a akcií v prípadoch, keď čelíte skutočnosti, že súbory v počítači boli šifrované.

Dnes je už žiadne výkupné pravdepodobne najrelevantnejším a najužitočnejším zdrojom súvisiacim s dešifrovaním súborov pre ruského používateľa, odporúčam vám.

ID ransomware

Ďalšou takouto službou je https: // id -ransomware.Škodlivý.Com/(pravda, neviem, ako dobre to funguje pre ruské varianty jazyka vírusu, ale stojí za to vyskúšať, napájajte službu príkladom šifrovaného súboru a textového súboru, ktorý požaduje nákup).

Po určení typu šifrovania, ak ste uspeli, skúste nájsť nástroj na dešifrovanie tejto možnosti na požiadavky, ako je: Typ_ -shifor of Decryptor. Takéto verejné služby sú bezplatné a vyrábané antivírusovými vývojármi, napríklad niekoľko takýchto služieb nájdete na webovej stránke Kaspersky https: //.Kaspersky.ru/vírusy/užitočnosť (iné verejné služby sú bližšie ku koncu článku). A, ako už bolo spomenuté, neváhajte kontaktovať vývojárov antivírusov na svojich fórach alebo na podpornú službu poštou poštou.

Bohužiaľ, to všetko nie vždy pomáha a nie vždy nemáte pracovné dekodéry súborov. V takom prípade sú skripty rôzne: veľa útočníkov platových útočníkov, povzbudzujúcich ich, aby pokračovali v tejto činnosti. Niektorým používateľom pomáhajú programy na obnovenie údajov v počítači (od vírusu, ktorý vytvára šifrovaný súbor, deleys pravidelný dôležitý súbor, ktorý je možné teoreticky obnoviť).

Počítačové súbory sú šifrované v XTBL

Jedna z posledných možností pre vírus monitorovania šifruje súbory a nahradí ich súbory predĺžením .XTBL a meno pozostávajúce z náhodnej sady znakov.

Zároveň sa do počítača zverejní textový súbor.TXT s približne nasledujúcim obsahom: „Vaše súbory boli šifrované. Ak ich chcete rozlúštiť, musíte poslať kód na e -mailovú adresu [email protected], [email protected] alebo [email protected]. Ďalej dostanete všetky potrebné pokyny. Pokusy o dešifrovanie súborov nezávisle povedie k neodvolateľnej strate informácií “(adresa pošty a textu sa môže líšiť).

Bohužiaľ, spôsob dešifrovania .XTBL v súčasnosti nie je (hneď ako sa objaví, pokyny sa aktualizujú). Niektorí používatelia, ktorí majú skutočne dôležité informácie o počítačovej správe o antivírusových fórach, ktoré posielali autorom vírusu 5 000 rubľov alebo inej požadovanej sumy.

Čo robiť, ak boli súbory šifrované v .Xtbl? Moje odporúčania vyzerajú nasledovne (ale líšia sa od tých, ktoré sú na mnohých ďalších tematických stránkach, kde napríklad odporúčajú okamžite vypnúť počítač zo siete alebo nie sú odstránené vírusom. Podľa môjho názoru je to zbytočné a v kombinácii okolností to môže byť dokonca škodlivé, ale vy sa rozhodnete.):

  1. Ak viete, ako prerušiť proces šifrovania odstránením príslušných úloh v dávkovači úloh, vypnite počítač z internetu (to môže byť nevyhnutnou podmienkou pre šifrovanie)
  2. Pamätajte alebo napíšte kód, ktorý útočníci požadujú odoslanie na e -mailovú adresu (jednoducho nie do textového súboru v počítači, len pre prípad, aby sa tiež neukázalo, že je šifrovaný).
  3. Pomocou antimalware MalwareBytes, skúšobná verzia Kaspersky Internet Security alebo DR.Web Cure It Odstrániť vírus, šifrovanie súborov (všetky tieto nástroje sa s touto studňou vyrovnávajú). Odporúčam vám, aby ste sa striedali pomocou prvého a druhého produktu zo zoznamu (ak však máte nainštalovaný antivírus, inštalácia druhého „zhora“ je nežiaduca, pretože to môže viesť k problémom v počítači.)
  4. Počkajte na dekodér z akejkoľvek antivírusovej spoločnosti. V popredí tu laboratórium Kaspersky Lab.
  5. Môžete tiež poslať príklad šifrovaného súboru a požadovaného kódu pre [email protected], Ak máte kópiu toho istého súboru v nešifrovanom formulári, pošlite ho tiež. Teoreticky to môže urýchliť vzhľad dekodéra.

Čo by sa nemalo robiť:

  • Premenujte šifrované súbory, zmeňte rozšírenie a odstráňte ich, ak sú dôležité.

Toto je možno všetko, čo môžem povedať o šifrovaných súboroch s expanziou .XTBL v danom čase.

Súbory sú šifrované lepšie_call_saul

Posledných vírusov šifry - lepšie volajte Saul (trójsky rýb.Win32.Tieň), nastavenie rozšírenia .Better_call_saul pre šifrované súbory. Ako dešifrovať takéto súbory ešte nie je jasné. Tí používatelia, ktorí sú spojení s laboratóriom Kaspersky a DR.Informácie o webe prijatých, ktoré to zatiaľ nemôžete urobiť (ale stále sa snažte odoslať - viac vzoriek šifrovaných súborov od vývojárov = s väčšou pravdepodobnosťou nájdete metódu).

Ak sa ukáže, že ste našli spôsob dešifrovania (t.e. Niekde bol rozmiestnený, ale ja som sa nesledoval), zdieľajte informácie v komentároch.

Trójsky výnos.Win32.Aura a trójsky výnos.Win32.Rakhni

Ďalší trójsky kôň, šifrovanie súborov a ich nastavenie rozšírenia z tohto zoznamu:

  • .Zamknutý
  • .Krypto
  • .Krak
  • .AES256 (nie nevyhnutne tento trójsky kôň, existujú aj ďalšie, ktoré stanovujú rovnaké rozšírenie).
  • .Codercsu@gmail_com
  • .Viazať
  • .Ostro
  • A ďalšie.

Na dešifrovanie súborov po operácii týchto vírusov má webová stránka spoločnosti Kaspersky bezplatný nástroj RakhnideCryptor, ktorý je k dispozícii na oficiálnej stránke http: //.Kaspersky.ru/vírusy/dezinfekcia/10556.

Existujú aj podrobné pokyny na použitie tohto nástroja, ktoré ukazujú, ako obnoviť šifrované súbory, z ktorých by som, len v prípade, že by som odstránil položku „odstrániť šifrované súbory po úspešnom dekódovaní“ (aj keď si myslím, že všetko bude v poriadku možnosť set).

Ak máte licenciu Dr.Web Môžete použiť bezplatné dešifrovanie tejto spoločnosti na stránke http: //.Drweb.Com/new/free_unlocker/

Ďalšie možnosti vírusu Sipper

Menej často sa nachádzajú aj nasledujúce trójske kone, šifrovanie súborov a vyžadujúce peniaze na dekódovanie. Podľa týchto odkazov existujú nielen pomôcky na vrátenie vašich súborov, ale aj popis znakov, ktorý pomôže určiť, že máte tento vírus. Aj keď vo všeobecnosti je optimálna cesta: Použitie Kasperského antivírusu, naskenujte systém, zistite názov trójskeho konca klasifikáciou tejto spoločnosti a potom vyhľadajte užitočnosť podľa tohto názvu.

  • Trójsky výnos.Win32.Rektor - bezplatný program RectordeCryptor Utility na dekódovanie a použitie je k dispozícii tu: http: // podpora.Kaspersky.ru/vírusy/dezinfekcia/4264
  • Trójsky výnos.Win32.Xorist je podobný trójsky kôň, ktorý zobrazuje okno so žiadosťou o odoslanie platených SMS alebo kontakt prostredníctvom e -mail na prijímanie pokynov na dešifrovanie. Pokyny na obnovenie šifrovaných súborov a XoristDecryptor Utility.Kaspersky.ru/vírusy/dezinfekcia/2911
  • Trójsky výnos.Win32.Ranoh, trójsky výnos.Win32.Fury - RannochDecryptor Utility http: //.Kaspersky.ru/vírusy/dezinfekcia/8547
  • Trójsky kôň.Kódovač.858 (XTBL), trójsky kôň.Kódovač.741 a ďalšie s rovnakým menom (pri hľadaní prostredníctvom Antivírusu DR.Web alebo vyliečte jej) a rôzne čísla - skúste vyhľadať na internete s názvom Troyan. Pre niektorých z nich existujú od Dr.Web, tiež ak ste nemohli nájsť nástroj, ale existuje licencia DR.Web, môžete použiť oficiálnu stránku http: // podporu.Drweb.Com/new/free_unlocker/
  • Cryptolocker - Ak chcete dešifrovať súbory po práci Cryptolocker, môžete použiť stránku http: // decryptcryptolocker.com - Po odoslaní príkladu súboru dostanete kľúč a nástroj na obnovenie súborov.
  • Na strane https: // bitbucket.Org/jadacyrus/ransomwareramovalkit/Stiahnutie prístupu k odstraňovaniu Ransomware - veľký archív s informáciami o rôznych typoch šifrovania a dešifrovacích nástrojov (v angličtine)

Z najnovších správ - Kaspersky Laboratory, spolu s úradníkmi činnými v trestnom konaní z Holandska, vyvinuli dešifrovanie ransomware (http: // noransom.Kaspersky.Com) na dešifrovanie súborov po CoinVault, ale v našich zemepisných šírkach sa toto vydieranie ešte nenašlo.

Ochrana proti šifrovacím vírusom alebo ransomware

Keď sa Ransomware šíri, mnohí antivírusoví výrobcovia a prostriedky boja proti škodlivým programom začali robiť svoje riešenia, aby zabránili práci šifrovania na počítači, medzi nimi možno rozlíšiť:
  • Malwarebytes anti-Ransomware 
  • Bitdefender Anti-Ransomware 
  • Vína
Prvé dva sú stále vo verziách beta, ale sú zadarmo (podporujú definíciu iba obmedzeného súboru vírusov tohto typu - Teslacrypt, CtBlocker, Locky, Cryptolocker. Winantiransom - Platený produkt, ktorý sľubuje zabránenie šifrovaniu takmer akýmikoľvek vzorkami Ransomware, ktorý poskytuje ochranu miestnych aj sieťových diskov.

Ale: tieto programy nie sú určené na dekódovanie, ale iba na zabránenie šifrovania dôležitých súborov v počítači. Každopádne sa mi zdá, že tieto funkcie by sa mali implementovať v antivírusových produktoch, inak sa získava zvláštna situácia: používateľ musí udržať antivírus v počítači, prostriedok na boj proti adwaru a škodlivému softvéru a teraz aj za účelom anti-Ransomware, plus anti-vykorisťovanie.

Mimochodom, ak sa náhle ukážete, že máte čo pridať (pretože nemôžem mať čas na monitorovanie toho, čo sa deje s metódami dešifrovania), v komentároch budeme tieto informácie užitočné pre ostatných používateľov, ktorí sa stretli problém.