Είναι δυνατή η ανάκτηση αρχείων κρυπτογραφημένων από ιό; Λογισμικό πρόληψης μόλυνσης από ιούς προσωπικού υπολογιστή. Ανακτήστε κρυπτογραφημένα αρχεία χρησιμοποιώντας το PhotoRec

Συνήθως, το κακόβουλο λογισμικό στοχεύει στην απόκτηση ελέγχου ενός υπολογιστή, στη σύνδεσή του σε ένα δίκτυο ζόμπι ή στην κλοπή προσωπικών δεδομένων. Ένας απρόσεκτος χρήστης μπορεί να μην παρατηρήσει για μεγάλο χρονικό διάστημα ότι το σύστημα είναι μολυσμένο. Αλλά οι ιοί κρυπτογράφησης, ιδιαίτερα το xtbl, λειτουργούν εντελώς διαφορετικά. Καθιστούν τα αρχεία των χρηστών άχρηστα κρυπτογραφώντας τα με έναν πολύπλοκο αλγόριθμο και απαιτώντας ένα μεγάλο ποσό από τον ιδιοκτήτη για την ευκαιρία να επαναφέρει τις πληροφορίες.

Αιτία του προβλήματος: ιός xtbl

Ο ιός ransomware xtbl πήρε το όνομά του επειδή τα έγγραφα χρήστη που είναι κρυπτογραφημένα μαζί του λαμβάνουν την επέκταση .xtbl. Συνήθως, οι κωδικοποιητές αφήνουν ένα κλειδί στο σώμα του αρχείου, έτσι ώστε ένα πρόγραμμα καθολικού αποκωδικοποιητή να μπορεί να επαναφέρει τις πληροφορίες στην αρχική τους μορφή. Ωστόσο, ο ιός προορίζεται για άλλους σκοπούς, επομένως αντί για κλειδί, εμφανίζεται στην οθόνη μια προσφορά πληρωμής ενός συγκεκριμένου ποσού χρησιμοποιώντας ανώνυμα στοιχεία.

Πώς λειτουργεί ο ιός xtbl

Ο ιός εισέρχεται στον υπολογιστή μέσω email που αποστέλλονται με μολυσμένα συνημμένα, τα οποία είναι αρχεία εφαρμογών γραφείου. Αφού ο χρήστης ανοίξει τα περιεχόμενα του μηνύματος, το κακόβουλο λογισμικό ξεκινά την αναζήτηση για φωτογραφίες, κλειδιά, βίντεο, έγγραφα κ.λπ. και στη συνέχεια, χρησιμοποιώντας έναν αρχικό σύνθετο αλγόριθμο (υβριδική κρυπτογράφηση), τα μετατρέπει σε αποθήκευση xtbl.

Ο ιός χρησιμοποιεί φακέλους συστήματος για να αποθηκεύσει τα αρχεία του.

Ο ιός προστίθεται στη λίστα εκκίνησης. Για να το κάνει αυτό, προσθέτει καταχωρήσεις στο μητρώο των Windows στις ενότητες:

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Ο μολυσμένος υπολογιστής λειτουργεί σταθερά, το σύστημα δεν κολλάει, αλλά υπάρχει πάντα μια μικρή εφαρμογή (ή δύο) με ασαφές όνομα στη μνήμη RAM. Και οι φάκελοι με τα αρχεία εργασίας του χρήστη αποκτούν μια περίεργη εμφάνιση.

Ένα μήνυμα εμφανίζεται στην επιφάνεια εργασίας αντί για την προφύλαξη οθόνης:

Τα αρχεία σας έχουν κρυπτογραφηθεί. Για να τα αποκρυπτογραφήσετε, πρέπει να στείλετε τον κωδικό στη διεύθυνση email: [email προστατευμένο](ακολουθεί ο κωδικός). Στη συνέχεια θα λάβετε περαιτέρω οδηγίες. Ανεξάρτητες προσπάθειες αποκρυπτογράφησης αρχείων θα οδηγήσουν στην πλήρη καταστροφή τους.

Το ίδιο κείμενο περιέχεται στο αρχείο που δημιουργήθηκε Πώς να αποκρυπτογραφήσετε τα αρχεία σας.txt. Η διεύθυνση email, ο κωδικός, το ζητούμενο ποσό ενδέχεται να αλλάξουν.

Πολύ συχνά, ορισμένοι απατεώνες βγάζουν χρήματα από άλλους - ο αριθμός του ηλεκτρονικού πορτοφολιού ransomware εισάγεται στο σώμα του ιού και δεν έχουν τρόπο να αποκρυπτογραφήσουν τα αρχεία. Έτσι, ένας αφελής χρήστης, έχοντας στείλει χρήματα, δεν λαμβάνει τίποτα σε αντάλλαγμα.

Γιατί δεν πρέπει να πληρώνετε εκβιαστές

Είναι αδύνατο να συμφωνήσετε να συνεργαστείτε με εκβιαστές όχι μόνο λόγω ηθικών αρχών. Αυτό είναι επίσης παράλογο από πρακτικής απόψεως.

1. Απάτη. Δεν είναι γεγονός ότι οι εισβολείς θα μπορούν να αποκρυπτογραφήσουν τα αρχεία σας. Μία από τις υποτιθέμενες αποκρυπτογραφημένες φωτογραφίες που σας επιστράφηκαν δεν χρησιμεύει ως αποδεικτικό στοιχείο - μπορεί απλώς να είναι το πρωτότυπο που είχε κλαπεί πριν από την κρυπτογράφηση. Τα χρήματα που πληρώσατε θα πάνε χαμένα.
2. Δυνατότητα επανάληψης. Επιβεβαιώνοντας την προθυμία σας να πληρώσετε, θα γίνετε πιο επιθυμητό θήραμα για μια δεύτερη επίθεση. Ίσως την επόμενη φορά τα αρχεία σας να έχουν διαφορετική επέκταση και να εμφανιστεί διαφορετικό μήνυμα στην οθόνη εκκίνησης, αλλά τα χρήματα θα πάνε στα ίδια άτομα.
3. Εμπιστευτικότητα. Ενώ τα αρχεία είναι κρυπτογραφημένα, βρίσκονται στον υπολογιστή σας. Έχοντας συμφωνήσει με τους «τίμιους κακούς», θα αναγκαστείτε να τους στείλετε όλα τα προσωπικά σας στοιχεία. Ο αλγόριθμος δεν προβλέπει τη λήψη ενός κλειδιού και την αποκρυπτογράφηση του μόνοι σας, μόνο την αποστολή αρχείων στον αποκωδικοποιητή.
4. Μόλυνση υπολογιστή. Ο υπολογιστής σας εξακολουθεί να είναι μολυσμένος, επομένως η αποκρυπτογράφηση αρχείων δεν αποτελεί πλήρη λύση στο πρόβλημα.

Πώς να προστατέψετε το σύστημά σας από ιούς

Οι καθολικοί κανόνες για την προστασία από κακόβουλο λογισμικό και την ελαχιστοποίηση της ζημιάς θα βοηθήσουν και σε αυτήν την περίπτωση.

1. Προσοχή στις τυχαίες συνδέσεις. Αποφύγετε να ανοίγετε email από άγνωστους αποστολείς, συμπεριλαμβανομένων διαφημίσεων και προσφορών μπόνους. Ως έσχατη λύση, μπορείτε να τα διαβάσετε αποθηκεύοντας πρώτα το συνημμένο στο δίσκο και σαρώνοντάς το με ένα πρόγραμμα προστασίας από ιούς.
2. Χρησιμοποιήστε προστασία. Τα προγράμματα προστασίας από ιούς επεκτείνουν συνεχώς βιβλιοθήκες κακόβουλων κωδικών, επομένως η τρέχουσα έκδοση του αμυντικού δεν θα επιτρέπει στους περισσότερους ιούς να εισέλθουν στον υπολογιστή σας.
3. Διανομή πρόσβασης. Ο ιός θα κάνει πολύ μεγαλύτερη ζημιά εάν εισέλθει μέσω ενός λογαριασμού διαχειριστή. Είναι καλύτερο να εργάζεστε για λογαριασμό του χρήστη, περιορίζοντας έτσι απότομα τις πιθανότητες μόλυνσης.
4. Δημιουργία αντιγράφων ασφαλείας. Σημαντικές πληροφορίες θα πρέπει να αντιγράφονται τακτικά σε εξωτερικά μέσα που είναι αποθηκευμένα χωριστά από τον υπολογιστή. Επίσης, μην ξεχνάτε τη δημιουργία αντιγράφων ασφαλείας σημείων επαναφοράς των Windows.

Είναι δυνατή η ανάκτηση κρυπτογραφημένων πληροφοριών;

Τα καλά νέα είναι ότι είναι δυνατή η ανάκτηση δεδομένων. Το κακό: δεν θα μπορείτε να το κάνετε μόνοι σας. Ο λόγος για αυτό είναι η ιδιαιτερότητα του αλγόριθμου κρυπτογράφησης, η επιλογή ενός κλειδιού για το οποίο απαιτεί πολύ περισσότερους πόρους και συσσωρευμένη γνώση από ό,τι έχει ο μέσος χρήστης. Ευτυχώς, οι προγραμματιστές προστασίας από ιούς κάνουν τιμή να ασχολούνται με κάθε κακόβουλο λογισμικό, οπότε ακόμα κι αν δεν μπορούν να αντιμετωπίσουν το ransomware σας, σίγουρα θα βρουν μια λύση σε έναν ή δύο μήνες. Θα πρέπει να κάνετε υπομονή.

Λόγω της ανάγκης επικοινωνίας με ειδικούς, ο αλγόριθμος για την εργασία με μολυσμένο υπολογιστή αλλάζει. Ο γενικός κανόνας είναι: όσο λιγότερες αλλαγές, τόσο το καλύτερο.Τα antivirus καθορίζουν τη μέθοδο θεραπείας με βάση τα «γενικά χαρακτηριστικά» του κακόβουλου λογισμικού, επομένως τα μολυσμένα αρχεία αποτελούν πηγή σημαντικών πληροφοριών για αυτά. Θα πρέπει να αφαιρεθούν μόνο αφού επιλυθεί το κύριο πρόβλημα.

Δεύτερος κανόνας: διακόψτε τον ιό με οποιοδήποτε κόστος. Ίσως δεν έχει αλλοιώσει ακόμη όλες τις πληροφορίες και υπάρχουν επίσης ίχνη του κρυπτογραφητή στη μνήμη RAM, με τη βοήθεια του οποίου μπορείτε να τον αναγνωρίσετε. Επομένως, πρέπει να απενεργοποιήσετε αμέσως τον υπολογιστή από το δίκτυο και να απενεργοποιήσετε τον φορητό υπολογιστή πατώντας παρατεταμένα το κουμπί δικτύου. Αυτή τη φορά, η τυπική διαδικασία «απαλού» τερματισμού, η οποία επιτρέπει σε όλες τις διαδικασίες να τελειώνουν σωστά, δεν θα λειτουργήσει, καθώς μία από αυτές είναι η κωδικοποίηση των πληροφοριών σας.

Ανάκτηση κρυπτογραφημένων αρχείων

Εάν καταφέρατε να απενεργοποιήσετε τον υπολογιστή σας

Εάν καταφέρατε να απενεργοποιήσετε τον υπολογιστή σας πριν ολοκληρωθεί η διαδικασία κρυπτογράφησης, δεν χρειάζεται να τον ενεργοποιήσετε μόνοι σας. Μεταφέρετε τον «ασθενή» κατευθείαν στους ειδικούς· η διακοπτόμενη κωδικοποίηση αυξάνει σημαντικά τις πιθανότητες αποθήκευσης προσωπικών αρχείων. Εδώ μπορείτε να ελέγξετε με ασφάλεια τα μέσα αποθήκευσης και να δημιουργήσετε αντίγραφα ασφαλείας. Είναι πολύ πιθανό ο ίδιος ο ιός να είναι γνωστός, επομένως η θεραπεία του θα είναι επιτυχής.

Εάν η κρυπτογράφηση έχει ολοκληρωθεί

Δυστυχώς, η πιθανότητα επιτυχούς διακοπής της διαδικασίας κρυπτογράφησης είναι πολύ χαμηλή. Συνήθως ο ιός καταφέρνει να κωδικοποιήσει αρχεία και να αφαιρέσει τα περιττά ίχνη από τον υπολογιστή. Και τώρα έχετε δύο προβλήματα: τα Windows είναι ακόμα μολυσμένα και τα προσωπικά σας αρχεία έχουν μετατραπεί σε ένα σωρό χαρακτήρες. Για να λύσετε το δεύτερο πρόβλημα, πρέπει να ζητήσετε βοήθεια από κατασκευαστές λογισμικού προστασίας από ιούς.

Dr.Web

Το εργαστήριο Dr.Web παρέχει τις υπηρεσίες αποκρυπτογράφησης του δωρεάν μόνο σε κατόχους εμπορικών αδειών. Με άλλα λόγια, εάν δεν είστε ακόμα πελάτης τους, αλλά θέλετε να ανακτήσετε τα αρχεία σας, θα πρέπει να αγοράσετε το πρόγραμμα. Δεδομένης της τρέχουσας κατάστασης, αυτή είναι μια απαραίτητη επένδυση.

Το επόμενο βήμα είναι να μεταβείτε στον ιστότοπο του κατασκευαστή και να συμπληρώσετε τη φόρμα εισαγωγής.

Εάν μεταξύ των κρυπτογραφημένων αρχείων υπάρχουν μερικά, αντίγραφα των οποίων αποθηκεύονται σε εξωτερικά μέσα, η μεταφορά τους θα διευκολύνει πολύ το έργο των αποκωδικοποιητών.

Kaspersky

Η Kaspersky Lab έχει αναπτύξει το δικό της βοηθητικό πρόγραμμα αποκρυπτογράφησης που ονομάζεται RectorDecryptor, το οποίο μπορεί να ληφθεί στον υπολογιστή σας από τον επίσημο ιστότοπο της εταιρείας.

Κάθε έκδοση του λειτουργικού συστήματος, συμπεριλαμβανομένων των Windows 7, έχει το δικό της βοηθητικό πρόγραμμα. Αφού το κατεβάσετε, κάντε κλικ στο κουμπί "Έναρξη σάρωσης" στην οθόνη.

Η λειτουργία των υπηρεσιών μπορεί να διαρκέσει κάποιο χρονικό διάστημα εάν ο ιός είναι σχετικά νέος. Σε αυτή την περίπτωση, η εταιρεία συνήθως στέλνει μια αντίστοιχη ειδοποίηση. Μερικές φορές η αποκρυπτογράφηση μπορεί να διαρκέσει αρκετούς μήνες.

Αλλες υπηρεσίες

Υπάρχουν όλο και περισσότερες υπηρεσίες με παρόμοιες λειτουργίες, γεγονός που υποδηλώνει τη ζήτηση για υπηρεσίες αποκρυπτογράφησης. Ο αλγόριθμος των ενεργειών είναι ο ίδιος: μεταβείτε στον ιστότοπο (για παράδειγμα, https://decryptolocker.com/), εγγραφείτε και στείλτε το κρυπτογραφημένο αρχείο.

Προγράμματα αποκρυπτογράφησης

Υπάρχουν πολλές προσφορές «καθολικών αποκρυπτογραφητών» (με πληρωμή, φυσικά) στο Διαδίκτυο, αλλά η χρησιμότητά τους είναι αμφίβολη. Φυσικά, εάν οι ίδιοι οι κατασκευαστές ιών γράψουν έναν αποκρυπτογραφητή, θα λειτουργήσει με επιτυχία, αλλά το ίδιο πρόγραμμα θα είναι άχρηστο για μια άλλη κακόβουλη εφαρμογή. Επιπλέον, οι ειδικοί που ασχολούνται τακτικά με ιούς έχουν συνήθως ένα πλήρες πακέτο απαραίτητων βοηθητικών προγραμμάτων, επομένως είναι πιθανό να έχουν όλα τα προγράμματα εργασίας. Η αγορά ενός τέτοιου αποκρυπτογραφητή πιθανότατα θα είναι σπατάλη χρημάτων.

Πώς να αποκρυπτογραφήσετε αρχεία χρησιμοποιώντας το Kaspersky Lab - βίντεο

Αυτο-ανάκτηση πληροφοριών

Εάν για κάποιο λόγο δεν μπορείτε να επικοινωνήσετε με τρίτους ειδικούς, μπορείτε να προσπαθήσετε να ανακτήσετε τις πληροφορίες μόνοι σας. Ας κάνουμε κράτηση ότι σε περίπτωση αποτυχίας, τα αρχεία ενδέχεται να χαθούν οριστικά.

Ανάκτηση διαγραμμένων αρχείων

Μετά την κρυπτογράφηση, ο ιός διαγράφει τα αρχικά αρχεία. Ωστόσο, τα Windows 7 αποθηκεύουν όλες τις διαγραμμένες πληροφορίες για κάποιο χρονικό διάστημα με τη μορφή ενός λεγόμενου σκιώδους αντιγράφου.

Το ShadowExplorer είναι ένα βοηθητικό πρόγραμμα που έχει σχεδιαστεί για την ανάκτηση αρχείων από τα σκιερά αντίγραφά τους.

PhotoRec

Το δωρεάν βοηθητικό πρόγραμμα PhotoRec λειτουργεί με την ίδια αρχή, αλλά σε λειτουργία δέσμης.

1. Πραγματοποιήστε λήψη του αρχείου από τον ιστότοπο του προγραμματιστή και εξαγωγή του στο δίσκο. Το εκτελέσιμο αρχείο ονομάζεται QPhotoRec_Win.
2. Μετά την εκκίνηση της εφαρμογής, ένα παράθυρο διαλόγου θα εμφανίσει μια λίστα με όλες τις διαθέσιμες συσκευές δίσκου. Επιλέξτε τη θέση όπου αποθηκεύτηκαν τα κρυπτογραφημένα αρχεία και καθορίστε τη διαδρομή για την αποθήκευση των ανακτημένων αντιγράφων.
   

   Για αποθήκευση, είναι καλύτερο να χρησιμοποιείτε εξωτερικά μέσα, για παράδειγμα, μια μονάδα flash USB, καθώς κάθε εγγραφή στο δίσκο είναι επικίνδυνη διαγράφοντας σκιερά αντίγραφα.

3. Αφού επιλέξετε τους επιθυμητούς καταλόγους, κάντε κλικ στο κουμπί Μορφές αρχείων.
4. Το μενού που ανοίγει είναι μια λίστα τύπων αρχείων που μπορεί να ανακτήσει η εφαρμογή. Από προεπιλογή, υπάρχει ένα σημάδι επιλογής δίπλα σε κάθε ένα, αλλά για να επιταχύνετε την εργασία, μπορείτε να αφαιρέσετε τα επιπλέον πλαίσια ελέγχου, αφήνοντας μόνο εκείνα που αντιστοιχούν στους τύπους αρχείων που αποκαθίστανται. Όταν ολοκληρώσετε την επιλογή σας, πατήστε το κουμπί «OK» στην οθόνη.
5. Μόλις ολοκληρωθεί η επιλογή, το προγραμματιζόμενο πλήκτρο Αναζήτηση γίνεται διαθέσιμο. Κλίκαρέ το. Η διαδικασία ανάκτησης είναι μια διαδικασία έντασης εργασίας, επομένως να είστε υπομονετικοί.
6. Αφού περιμένετε να ολοκληρωθεί η διαδικασία, πατήστε το κουμπί Έξοδος στην οθόνη και βγείτε από το πρόγραμμα.
7. Τα ανακτημένα αρχεία βρίσκονται στον προκαθορισμένο κατάλογο και χωρίζονται σε φακέλους με τα ίδια ονόματα recup_dir.1, recup_dir.2, recup_dir.3 και ούτω καθεξής. Περάστε το ένα ένα ένα και επιστρέψτε το στα προηγούμενα ονόματά τους.

Αφαίρεση ιού

Από τη στιγμή που ο ιός εισήλθε στον υπολογιστή, τα εγκατεστημένα προγράμματα ασφαλείας δεν ανταπεξήλθαν στην αποστολή τους. Μπορείτε να δοκιμάσετε να χρησιμοποιήσετε εξωτερική βοήθεια.

Σπουδαίος! Η αφαίρεση του ιού απολυμαίνει τον υπολογιστή, αλλά δεν αποκαθιστά τα κρυπτογραφημένα αρχεία. Επιπλέον, η εγκατάσταση νέου λογισμικού μπορεί να καταστρέψει ή να διαγράψει ορισμένα από τα σκιώδη αντίγραφα των αρχείων που απαιτούνται για την επαναφορά τους. Επομένως, είναι καλύτερο να εγκαταστήσετε εφαρμογές σε άλλες μονάδες δίσκου.

Εργαλείο αφαίρεσης ιών Kaspersky

Ένα δωρεάν πρόγραμμα από γνωστό προγραμματιστή λογισμικού προστασίας από ιούς, το οποίο μπορείτε να κατεβάσετε από τον ιστότοπο της Kaspersky Lab. Μετά την εκκίνηση του Kaspersky Virus Removal Tool, σας ζητά αμέσως να ξεκινήσετε τη σάρωση.

Αφού κάνετε κλικ στο μεγάλο κουμπί "Έναρξη σάρωσης" στην οθόνη, το πρόγραμμα ξεκινά τη σάρωση του υπολογιστή.

Το μόνο που μένει είναι να περιμένετε μέχρι να ολοκληρωθεί η σάρωση και να αφαιρέσετε τους απρόσκλητους επισκέπτες που βρέθηκαν.

Malwarebytes Anti-malware

Ένας άλλος προγραμματιστής λογισμικού προστασίας από ιούς που παρέχει μια δωρεάν έκδοση του σαρωτή. Ο αλγόριθμος των ενεργειών είναι ο ίδιος:

1. Κατεβάστε το αρχείο εγκατάστασης για το Malwarebytes Anti-malware από την επίσημη σελίδα του κατασκευαστή και, στη συνέχεια, εκτελέστε το πρόγραμμα εγκατάστασης απαντώντας στις ερωτήσεις και κάνοντας κλικ στο κουμπί "Επόμενο".
2. Το κύριο παράθυρο θα σας ζητήσει να ενημερώσετε αμέσως το πρόγραμμα (μια χρήσιμη διαδικασία που ανανεώνει τη βάση δεδομένων ιών). Μετά από αυτό, ξεκινήστε τη σάρωση κάνοντας κλικ στο κατάλληλο κουμπί.
3. Το Malwarebytes Anti-malware σαρώνει το σύστημα βήμα προς βήμα, εμφανίζοντας ενδιάμεσα αποτελέσματα στην οθόνη.
4. Οι ιοί που βρέθηκαν, συμπεριλαμβανομένου του ransomware, εμφανίζονται στο τελικό παράθυρο. Απαλλαγείτε από αυτά κάνοντας κλικ στο κουμπί "Κατάργηση επιλεγμένων" στην οθόνη.
   

   Για να καταργήσετε σωστά ορισμένες κακόβουλες εφαρμογές, το Malwarebytes Anti-malware θα προτείνει την επανεκκίνηση του συστήματος· πρέπει να συμφωνήσετε με αυτό. Μετά την επανέναρξη των Windows, το πρόγραμμα προστασίας από ιούς θα συνεχίσει να καθαρίζεται.

Τι να μην κάνεις

Ο ιός XTBL, όπως και άλλοι ιοί κρυπτογράφησης, προκαλεί βλάβη τόσο στο σύστημα όσο και στις πληροφορίες χρήστη. Επομένως, για να μειωθούν οι πιθανές ζημιές, θα πρέπει να ληφθούν ορισμένες προφυλάξεις:

1. Μην περιμένετε να ολοκληρωθεί η κρυπτογράφηση. Εάν η κρυπτογράφηση αρχείων έχει ξεκινήσει μπροστά στα μάτια σας, δεν πρέπει να περιμένετε να τελειώσει ή να προσπαθήσετε να διακόψετε τη διαδικασία χρησιμοποιώντας λογισμικό. Κλείστε αμέσως τον υπολογιστή και καλέστε έναν ειδικό.
2. Μην προσπαθήσετε να αφαιρέσετε τον ιό μόνοι σας εάν μπορείτε να εμπιστευτείτε επαγγελματίες.
3. Μην επανεγκαταστήσετε το σύστημα μέχρι να ολοκληρωθεί η θεραπεία. Ο ιός θα μολύνει με ασφάλεια το νέο σύστημα.
4. Μην μετονομάζετε κρυπτογραφημένα αρχεία. Αυτό θα περιπλέξει μόνο το έργο του αποκωδικοποιητή.
5. Μην προσπαθήσετε να διαβάσετε μολυσμένα αρχεία σε άλλον υπολογιστή μέχρι να αφαιρεθεί ο ιός. Αυτό μπορεί να οδηγήσει σε εξάπλωση της λοίμωξης.
6. Μην πληρώνετε εκβιαστές. Αυτό είναι άχρηστο και ενθαρρύνει τους δημιουργούς ιών και τους απατεώνες.
7. Μην ξεχνάτε την πρόληψη. Η εγκατάσταση ενός antivirus, τα τακτικά αντίγραφα ασφαλείας και η δημιουργία σημείων επαναφοράς θα μειώσουν σημαντικά την πιθανή ζημιά από κακόβουλο λογισμικό.

Η θεραπεία ενός υπολογιστή που έχει μολυνθεί από έναν ιό κρυπτογράφησης είναι μια μακρά και όχι πάντα επιτυχημένη διαδικασία. Επομένως, είναι πολύ σημαντικό να λαμβάνετε προφυλάξεις κατά τη λήψη πληροφοριών από το δίκτυο και την εργασία με μη επαληθευμένα εξωτερικά μέσα.

Πρόσφατα, υπήρξε μια έξαρση της δραστηριότητας μιας νέας γενιάς κακόβουλων προγραμμάτων υπολογιστών. Εμφανίστηκαν πριν από πολύ καιρό (πριν από 6 - 8 χρόνια), αλλά ο ρυθμός εφαρμογής τους έχει φτάσει στο μέγιστο αυτή τη στιγμή. Όλο και περισσότερο, μπορεί να αντιμετωπίζετε το γεγονός ότι ένας ιός έχει κρυπτογραφημένα αρχεία.

Είναι ήδη γνωστό ότι δεν πρόκειται απλώς για πρωτόγονο κακόβουλο λογισμικό, για παράδειγμα (που προκαλεί μπλε οθόνη), αλλά σοβαρά προγράμματα που στοχεύουν στην καταστροφή, κατά κανόνα, των λογιστικών δεδομένων. Κρυπτογραφούν όλα τα υπάρχοντα αρχεία που είναι προσβάσιμα, συμπεριλαμβανομένων των λογιστικών δεδομένων 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Ο ιδιαίτερος κίνδυνος των εν λόγω ιών

Βρίσκεται στο γεγονός ότι χρησιμοποιείται ένα κλειδί RSA, το οποίο είναι συνδεδεμένο με τον υπολογιστή ενός συγκεκριμένου χρήστη, γι' αυτό χρησιμοποιείται ένας καθολικός αποκρυπτογραφητής ( αποκρυπτογραφητής) απουσιάζει. Οι ιοί που ενεργοποιούνται σε έναν υπολογιστή ενδέχεται να μην λειτουργούν σε άλλον.

Ο κίνδυνος έγκειται επίσης στο γεγονός ότι για περισσότερο από ένα χρόνο έχουν αναρτηθεί στο Διαδίκτυο έτοιμα προγράμματα δημιουργίας, τα οποία επιτρέπουν ακόμη και σε χάκερ (άτομα που θεωρούν τους εαυτούς τους χάκερ, αλλά δεν σπουδάζουν προγραμματισμό) να αναπτύξουν αυτού του είδους τον ιό.

Επί του παρόντος, έχουν εμφανιστεί πιο ισχυρές τροποποιήσεις.

Τρόπος εισαγωγής αυτού του κακόβουλου λογισμικού

Ο ιός αποστέλλεται σκόπιμα, συνήθως στο λογιστήριο της εταιρείας. Πρώτον, τα e-mail των τμημάτων HR και των τμημάτων λογιστικής συλλέγονται από βάσεις δεδομένων όπως, για παράδειγμα, το hh.ru. Στη συνέχεια, αποστέλλονται επιστολές. Τις περισσότερες φορές περιέχουν ένα αίτημα σχετικά με την αποδοχή σε μια συγκεκριμένη θέση. Σε μια τέτοια επιστολή με ένα βιογραφικό, μέσα στο οποίο υπάρχει ένα πραγματικό έγγραφο με ένα εμφυτευμένο αντικείμενο OLE (αρχείο pdf με ιό).

Σε περιπτώσεις όπου οι υπάλληλοι της λογιστικής κυκλοφόρησαν αμέσως αυτό το έγγραφο, μετά από επανεκκίνηση συνέβησαν τα εξής: ο ιός μετονόμασε και κρυπτογραφούσε τα αρχεία και στη συνέχεια αυτοκαταστράφηκε.

Αυτό το είδος επιστολής, κατά κανόνα, γράφεται επαρκώς και αποστέλλεται από γραμματοκιβώτιο μη ανεπιθύμητης αλληλογραφίας (το όνομα ταιριάζει με την υπογραφή). Ζητείται πάντα μια κενή θέση βάσει των βασικών δραστηριοτήτων της εταιρείας, γι' αυτό και δεν δημιουργούνται υποψίες.

Ούτε το αδειοδοτημένο Kaspersky (πρόγραμμα προστασίας από ιούς) ούτε το Virus Total (μια ηλεκτρονική υπηρεσία για τον έλεγχο συνημμένων για ιούς) δεν μπορούν να προστατεύσουν τον υπολογιστή σε αυτήν την περίπτωση. Περιστασιακά, ορισμένα προγράμματα προστασίας από ιούς, κατά τη σάρωση, αναφέρουν ότι το συνημμένο περιέχει Gen:Variant.Zusy.71505.

Πώς να αποφύγετε τη μόλυνση από αυτόν τον ιό;

Κάθε αρχείο που λαμβάνεται πρέπει να ελέγχεται. Ιδιαίτερη προσοχή δίνεται στα έγγραφα του Word που έχουν ενσωματωμένο pdf.

Επιλογές για «μολυσμένα» email

Υπάρχουν αρκετά από αυτά. Οι πιο συνηθισμένες επιλογές για τον τρόπο με τον οποίο τα κρυπτογραφημένα αρχεία από ιούς παρουσιάζονται παρακάτω. Σε όλες τις περιπτώσεις, τα ακόλουθα έγγραφα αποστέλλονται μέσω email:

1. Ειδοποίηση σχετικά με την έναρξη της διαδικασίας εξέτασης αγωγής κατά συγκεκριμένης εταιρείας (η επιστολή σας ζητά να ελέγξετε τα δεδομένα κάνοντας κλικ στον καθορισμένο σύνδεσμο).
2. Επιστολή από το Ανώτατο Διαιτητικό Δικαστήριο της Ρωσικής Ομοσπονδίας σχετικά με την είσπραξη χρεών.
3. Μήνυμα από τη Sberbank σχετικά με την αύξηση του υφιστάμενου χρέους.
4. Ειδοποίηση καταγραφής τροχαίας παράβασης.
5. Επιστολή από τον Οργανισμό Είσπραξης που αναφέρει τη μέγιστη δυνατή αναβολή πληρωμής.

Ειδοποίηση κρυπτογράφησης αρχείων

Μετά τη μόλυνση, θα εμφανιστεί στον ριζικό φάκελο της μονάδας δίσκου C. Μερικές φορές αρχεία όπως τα WHAT_DO_DELA.txt, CONTACT.txt τοποθετούνται σε όλους τους καταλόγους με κατεστραμμένο κείμενο. Εκεί ο χρήστης ενημερώνεται για την κρυπτογράφηση των αρχείων του, η οποία πραγματοποιείται με τη χρήση αξιόπιστων κρυπτογραφικών αλγορίθμων. Προειδοποιείται επίσης για την ακατάλληλη χρήση βοηθητικών προγραμμάτων τρίτων, καθώς αυτό μπορεί να οδηγήσει σε μόνιμη βλάβη στα αρχεία, γεγονός που, με τη σειρά του, θα καταστήσει αδύνατη την αποκρυπτογράφηση τους αργότερα.

Η ειδοποίηση συνιστά να αφήσετε τον υπολογιστή σας ως έχει. Υποδεικνύει το χρόνο αποθήκευσης για το παρεχόμενο κλειδί (συνήθως 2 ημέρες). Καθορίζεται μια ακριβής ημερομηνία μετά την οποία κάθε είδους αιτήματα θα αγνοούνται.

Στο τέλος παρέχεται ένα email. Αναφέρει επίσης ότι ο χρήστης πρέπει να παρέχει το αναγνωριστικό του και ότι οποιαδήποτε από τις ακόλουθες ενέργειες μπορεί να οδηγήσει στην καταστροφή του κλειδιού, και συγκεκριμένα:

Πώς να αποκρυπτογραφήσετε αρχεία κρυπτογραφημένα από ιό;

Αυτός ο τύπος κρυπτογράφησης είναι πολύ ισχυρός: εκχωρείται στο αρχείο μια επέκταση όπως τέλεια, nochance, κ.λπ. Είναι απλά αδύνατο να σπάσει, αλλά μπορείτε να δοκιμάσετε να χρησιμοποιήσετε κρυπτοαναλυτές και να βρείτε ένα κενό (ο Dr. WEB θα σας βοηθήσει σε ορισμένες περιπτώσεις) .

Υπάρχει ένας άλλος τρόπος για να ανακτήσετε αρχεία κρυπτογραφημένα από ιό, αλλά δεν λειτουργεί για όλους τους ιούς και θα χρειαστεί επίσης να αφαιρέσετε το αρχικό exe μαζί με αυτό το κακόβουλο πρόγραμμα, κάτι που είναι αρκετά δύσκολο να γίνει μετά την αυτοκαταστροφή.

Το αίτημα του ιού σχετικά με την εισαγωγή ειδικού κωδικού είναι ένας μικρός έλεγχος, καθώς το αρχείο έχει ήδη αποκρυπτογραφητή σε αυτό το σημείο (δεν θα απαιτείται ο κωδικός, ας πούμε, από τους εισβολείς). Η ουσία αυτής της μεθόδου είναι να εισαγάγετε κενές εντολές στον διεισδυμένο ιό (στο σημείο ακριβώς όπου συγκρίνεται ο εισαγόμενος κώδικας). Το αποτέλεσμα είναι ότι το ίδιο το κακόβουλο πρόγραμμα αρχίζει να αποκρυπτογραφεί αρχεία και έτσι να τα επαναφέρει πλήρως.

Κάθε μεμονωμένος ιός έχει τη δική του ειδική λειτουργία κρυπτογράφησης, γι' αυτό δεν θα είναι δυνατή η αποκρυπτογράφηση του με ένα εκτελέσιμο αρχείο τρίτου κατασκευαστή (αρχείο μορφής exe), ή μπορείτε να δοκιμάσετε να επιλέξετε την παραπάνω λειτουργία, για την οποία πρέπει να εκτελούνται όλες οι ενέργειες έξω χρησιμοποιώντας WinAPI.

αρχεία: τι να κάνω;

Για να πραγματοποιήσετε τη διαδικασία αποκρυπτογράφησης θα χρειαστείτε:

Πώς να αποφύγετε την απώλεια δεδομένων λόγω του εν λόγω κακόβουλου λογισμικού;

Αξίζει να γνωρίζετε ότι σε μια κατάσταση όπου ένας ιός έχει κρυπτογραφημένα αρχεία, η διαδικασία αποκρυπτογράφησης θα πάρει χρόνο. Ένα σημαντικό σημείο είναι ότι στο προαναφερθέν κακόβουλο λογισμικό υπάρχει ένα σφάλμα που σας επιτρέπει να αποθηκεύσετε ορισμένα αρχεία εάν απενεργοποιήσετε γρήγορα τον υπολογιστή (βγάλτε το φις από την πρίζα, κλείστε το φίλτρο τροφοδοσίας, αφαιρέστε την μπαταρία από τη θήκη ενός φορητού υπολογιστή), μόλις εμφανιστεί ένας μεγάλος αριθμός αρχείων με την προκαθορισμένη επέκταση .

Για άλλη μια φορά, πρέπει να τονιστεί ότι το κύριο πράγμα είναι να δημιουργείτε συνεχώς αντίγραφα ασφαλείας, αλλά όχι σε άλλο φάκελο, όχι σε αφαιρούμενα μέσα που έχουν εισαχθεί στον υπολογιστή, καθώς αυτή η τροποποίηση του ιού θα φτάσει σε αυτά τα μέρη. Αξίζει να αποθηκεύσετε αντίγραφα ασφαλείας σε άλλον υπολογιστή, σε σκληρό δίσκο που δεν είναι μόνιμα συνδεδεμένος στον υπολογιστή και στο cloud.

Θα πρέπει να είστε καχύποπτοι για όλα τα έγγραφα που φτάνουν μέσω ταχυδρομείου από άγνωστα άτομα (με τη μορφή βιογραφικού, τιμολογίου, Ψηφίσματος από το Ανώτατο Διαιτητικό Δικαστήριο της Ρωσικής Ομοσπονδίας ή την εφορία κ.λπ.). Δεν χρειάζεται να τα εκτελέσετε στον υπολογιστή σας (για αυτούς τους σκοπούς, μπορείτε να επιλέξετε ένα netbook που δεν περιέχει σημαντικά δεδομένα).

Κακόβουλο πρόγραμμα * [email προστατευμένο]: λύσεις

Σε μια κατάσταση όπου ο παραπάνω ιός έχει κρυπτογραφημένα αρχεία cbf, doc, jpg κ.λπ., υπάρχουν μόνο τρεις επιλογές για την ανάπτυξη του συμβάντος:

1. Ο ευκολότερος τρόπος για να απαλλαγείτε από αυτό είναι να διαγράψετε όλα τα μολυσμένα αρχεία (αυτό είναι αποδεκτό εκτός εάν τα δεδομένα είναι ιδιαίτερα σημαντικά).
2. Πηγαίνετε στο εργαστήριο ενός προγράμματος προστασίας από ιούς, για παράδειγμα, ο Dr. ΙΣΤΟΣ. Φροντίστε να στείλετε πολλά μολυσμένα αρχεία στους προγραμματιστές μαζί με το κλειδί αποκρυπτογράφησης, που βρίσκεται στον υπολογιστή ως KEY.PRIVATE.
3. Ο πιο ακριβός τρόπος. Περιλαμβάνει την πληρωμή του ποσού που ζητούν οι χάκερ για την αποκρυπτογράφηση μολυσμένων αρχείων. Κατά κανόνα, το κόστος αυτής της υπηρεσίας είναι μεταξύ 200 και 500 δολαρίων ΗΠΑ. Αυτό είναι αποδεκτό σε μια κατάσταση όπου ένας ιός έχει κρυπτογραφήσει τα αρχεία μιας μεγάλης εταιρείας στην οποία λαμβάνει χώρα μια σημαντική ροή πληροφοριών κάθε μέρα και αυτό το κακόβουλο πρόγραμμα μπορεί να προκαλέσει κολοσσιαία ζημιά μέσα σε λίγα δευτερόλεπτα. Από αυτή την άποψη, η πληρωμή είναι η ταχύτερη επιλογή για την ανάκτηση μολυσμένων αρχείων.

Μερικές φορές μια πρόσθετη επιλογή αποδεικνύεται αποτελεσματική. Στην περίπτωση που ένας ιός έχει κρυπτογραφημένα αρχεία (paycrypt@gmail_com ή άλλο κακόβουλο λογισμικό), μπορεί να βοηθήσει πριν από λίγες ημέρες.

Το πρόγραμμα αποκρυπτογράφησης RectorDecryptor

Εάν ο ιός έχει κρυπτογραφημένα αρχεία jpg, doc, cbf κ.λπ., τότε ένα ειδικό πρόγραμμα μπορεί να βοηθήσει. Για να το κάνετε αυτό, θα πρέπει πρώτα να πάτε στην εκκίνηση και να απενεργοποιήσετε τα πάντα εκτός από το πρόγραμμα προστασίας από ιούς. Στη συνέχεια, πρέπει να επανεκκινήσετε τον υπολογιστή σας. Δείτε όλα τα αρχεία, επισημάνετε τα ύποπτα. Το πεδίο που ονομάζεται "Command" υποδεικνύει τη θέση ενός συγκεκριμένου αρχείου (δώστε προσοχή σε εφαρμογές που δεν έχουν υπογραφή: κατασκευαστής - δεν υπάρχουν δεδομένα).

Όλα τα ύποπτα αρχεία πρέπει να διαγραφούν, μετά από αυτό θα πρέπει να διαγράψετε τις κρυφές μνήμες του προγράμματος περιήγησης και τους προσωρινούς φακέλους (το CCleaner είναι κατάλληλο για αυτό).

Για να ξεκινήσετε την αποκρυπτογράφηση, πρέπει να κατεβάσετε το παραπάνω πρόγραμμα. Στη συνέχεια, εκτελέστε το και κάντε κλικ στο κουμπί "Έναρξη σάρωσης", υποδεικνύοντας τα αλλαγμένα αρχεία και την επέκτασή τους. Στις σύγχρονες εκδόσεις αυτού του προγράμματος, μπορείτε μόνο να καθορίσετε το ίδιο το μολυσμένο αρχείο και να κάνετε κλικ στο κουμπί "Άνοιγμα". Μετά από αυτό, τα αρχεία θα αποκρυπτογραφηθούν.

Στη συνέχεια, το βοηθητικό πρόγραμμα σαρώνει αυτόματα όλα τα δεδομένα του υπολογιστή, συμπεριλαμβανομένων των αρχείων που βρίσκονται στη συνδεδεμένη μονάδα δίσκου δικτύου, και τα αποκρυπτογραφεί. Αυτή η διαδικασία ανάκτησης μπορεί να διαρκέσει αρκετές ώρες (ανάλογα με την ποσότητα εργασίας και την ταχύτητα του υπολογιστή).

Ως αποτέλεσμα, όλα τα κατεστραμμένα αρχεία θα αποκρυπτογραφηθούν στον ίδιο κατάλογο όπου βρίσκονταν αρχικά. Τέλος, το μόνο που μένει είναι να διαγράψετε όλα τα υπάρχοντα αρχεία με ύποπτη επέκταση, για την οποία μπορείτε να επιλέξετε το πλαίσιο στο αίτημα «Διαγραφή κρυπτογραφημένων αρχείων μετά από επιτυχή αποκρυπτογράφηση» κάνοντας πρώτα κλικ στο κουμπί «Αλλαγή παραμέτρων σάρωσης». Ωστόσο, είναι καλύτερο να μην το εγκαταστήσετε, καθώς εάν η αποκρυπτογράφηση των αρχείων δεν είναι επιτυχής, ενδέχεται να διαγραφούν και στη συνέχεια θα πρέπει πρώτα να τα επαναφέρετε.

Έτσι, εάν ένας ιός έχει κρυπτογραφημένα αρχεία doc, cbf, jpg κ.λπ., δεν πρέπει να βιαστείτε να πληρώσετε για τον κωδικό. Ίσως δεν θα χρειαστεί.

Αποχρώσεις της διαγραφής κρυπτογραφημένων αρχείων

Όταν προσπαθείτε να εξαλείψετε όλα τα κατεστραμμένα αρχεία μέσω μιας τυπικής αναζήτησης και επακόλουθης διαγραφής, ο υπολογιστής σας μπορεί να παγώσει και να επιβραδύνει. Από αυτή την άποψη, για αυτήν τη διαδικασία αξίζει να χρησιμοποιήσετε ένα ειδικό. Μετά την εκκίνηση, πρέπει να εισαγάγετε τα εξής: del "<диск>:\*.<расширение зараженного файла>"/f/s.

Είναι επιτακτική ανάγκη να διαγράψετε αρχεία όπως το "Read-me.txt", για τα οποία στην ίδια γραμμή εντολών θα πρέπει να καθορίσετε: del "<диск>:\*.<имя файла>"/f/s.

Έτσι, μπορεί να σημειωθεί ότι εάν ο ιός έχει μετονομάσει και κρυπτογραφήσει αρχεία, δεν θα πρέπει να ξοδέψετε αμέσως χρήματα για την αγορά ενός κλειδιού από εισβολείς· θα πρέπει πρώτα να προσπαθήσετε να καταλάβετε μόνοι σας το πρόβλημα. Είναι καλύτερα να επενδύσετε χρήματα για την αγορά ενός ειδικού προγράμματος για την αποκρυπτογράφηση κατεστραμμένων αρχείων.

Τέλος, αξίζει να υπενθυμίσουμε ότι αυτό το άρθρο εξέτασε το ζήτημα του τρόπου αποκρυπτογράφησης αρχείων κρυπτογραφημένων από ιό.

είναι ένα κακόβουλο πρόγραμμα που, όταν ενεργοποιηθεί, κρυπτογραφεί όλα τα προσωπικά αρχεία, όπως έγγραφα, φωτογραφίες κ.λπ. Ο αριθμός τέτοιων προγραμμάτων είναι πολύ μεγάλος και αυξάνεται καθημερινά. Μόνο πρόσφατα συναντήσαμε δεκάδες παραλλαγές ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci,_ffde κ.λπ. Ο στόχος τέτοιων ιών κρυπτογράφησης είναι να αναγκάσουν τους χρήστες να αγοράσουν, συχνά για ένα μεγάλο χρηματικό ποσό, το πρόγραμμα και το κλειδί που είναι απαραίτητο για την αποκρυπτογράφηση των δικών τους αρχείων.

Φυσικά, μπορείτε να επαναφέρετε κρυπτογραφημένα αρχεία απλά ακολουθώντας τις οδηγίες που αφήνουν οι δημιουργοί του ιού στον μολυσμένο υπολογιστή. Αλλά τις περισσότερες φορές, το κόστος της αποκρυπτογράφησης είναι πολύ σημαντικό και πρέπει επίσης να γνωρίζετε ότι ορισμένοι ιοί ransomware κρυπτογραφούν τα αρχεία με τέτοιο τρόπο που είναι απλώς αδύνατο να τα αποκρυπτογραφήσετε αργότερα. Και φυσικά, είναι απλώς ενοχλητικό να πληρώνεις για να επαναφέρεις τα δικά σου αρχεία.

Παρακάτω θα μιλήσουμε λεπτομερέστερα για τους ιούς κρυπτογράφησης, τον τρόπο διείσδυσης στον υπολογιστή του θύματος, καθώς και τον τρόπο αφαίρεσης του ιού κρυπτογράφησης και επαναφοράς αρχείων κρυπτογραφημένων από αυτόν.

Πώς ένας ιός ransomware διεισδύει σε έναν υπολογιστή;

Ένας ιός ransomware συνήθως διαδίδεται μέσω email. Η επιστολή περιέχει μολυσμένα έγγραφα. Τέτοιες επιστολές αποστέλλονται σε μια τεράστια βάση δεδομένων με διευθύνσεις email. Οι συντάκτες αυτού του ιού χρησιμοποιούν παραπλανητικές κεφαλίδες και περιεχόμενα γραμμάτων, προσπαθώντας να ξεγελάσουν τον χρήστη ώστε να ανοίξει ένα έγγραφο που επισυνάπτεται στην επιστολή. Ορισμένες επιστολές ενημερώνουν για την ανάγκη πληρωμής λογαριασμού, άλλες προσφέρουν να δείτε τον πιο πρόσφατο τιμοκατάλογο, άλλες προσφέρουν να ανοίξετε μια αστεία φωτογραφία κ.λπ. Σε κάθε περίπτωση, το άνοιγμα του συνημμένου αρχείου θα έχει ως αποτέλεσμα να μολυνθεί ο υπολογιστής σας από έναν ιό ransomware.

Τι είναι ένας ιός ransomware;

Ένας ιός ransomware είναι ένα κακόβουλο πρόγραμμα που μολύνει σύγχρονες εκδόσεις λειτουργικών συστημάτων Windows, όπως Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Αυτοί οι ιοί προσπαθούν να χρησιμοποιήσουν τις ισχυρότερες δυνατές λειτουργίες κρυπτογράφησης, για παράδειγμα RSA-2048 με το μήκος του κλειδιού είναι 2048 bit, γεγονός που πρακτικά εξαλείφει τη δυνατότητα επιλογής κλειδιού για ανεξάρτητη αποκρυπτογράφηση αρχείων.

Όταν μολύνει έναν υπολογιστή, ο ιός ransomware χρησιμοποιεί τον κατάλογο συστήματος %APPDATA% για να αποθηκεύσει τα δικά του αρχεία. Για αυτόματη εκκίνηση όταν ενεργοποιείτε τον υπολογιστή, το ransomware δημιουργεί μια καταχώρηση στο μητρώο των Windows: ενότητες HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Αμέσως μετά την εκκίνηση, ο ιός σαρώνει όλες τις διαθέσιμες μονάδες δίσκου, συμπεριλαμβανομένης της αποθήκευσης δικτύου και cloud, για να προσδιορίσει τα αρχεία που θα είναι κρυπτογραφημένα. Ένας ιός ransomware χρησιμοποιεί μια επέκταση ονόματος αρχείου ως τρόπο αναγνώρισης μιας ομάδας αρχείων που θα κρυπτογραφηθούν. Σχεδόν όλοι οι τύποι αρχείων είναι κρυπτογραφημένοι, συμπεριλαμβανομένων κοινών όπως:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mdta , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, πορτοφόλι, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Αμέσως μετά την κρυπτογράφηση ενός αρχείου, λαμβάνει μια νέα επέκταση, η οποία μπορεί συχνά να χρησιμοποιηθεί για τον προσδιορισμό του ονόματος ή του τύπου του ransomware. Ορισμένοι τύποι αυτών των κακόβουλων προγραμμάτων μπορούν επίσης να αλλάξουν τα ονόματα των κρυπτογραφημένων αρχείων. Στη συνέχεια, ο ιός δημιουργεί ένα έγγραφο κειμένου με ονόματα όπως HELP_YOUR_FILES, README, το οποίο περιέχει οδηγίες για την αποκρυπτογράφηση των κρυπτογραφημένων αρχείων.

Κατά τη λειτουργία του, ο ιός κρυπτογράφησης προσπαθεί να μπλοκάρει τη δυνατότητα επαναφοράς αρχείων χρησιμοποιώντας το σύστημα SVC (σκιώδης αντιγραφή αρχείων). Για να γίνει αυτό, ο ιός, σε λειτουργία εντολών, καλεί το βοηθητικό πρόγραμμα για τη διαχείριση σκιωδών αντιγράφων αρχείων με ένα κλειδί που ξεκινά τη διαδικασία για την πλήρη διαγραφή τους. Έτσι, είναι σχεδόν πάντα αδύνατο να επαναφέρετε αρχεία χρησιμοποιώντας τα σκιερά αντίγραφά τους.

Ο ιός ransomware χρησιμοποιεί ενεργά τακτικές εκφοβισμού δίνοντας στο θύμα έναν σύνδεσμο προς μια περιγραφή του αλγόριθμου κρυπτογράφησης και εμφανίζοντας ένα απειλητικό μήνυμα στην επιφάνεια εργασίας. Με αυτόν τον τρόπο, προσπαθεί να αναγκάσει τον χρήστη του μολυσμένου υπολογιστή, χωρίς δισταγμό, να στείλει το αναγνωριστικό του υπολογιστή στη διεύθυνση email του συντάκτη του ιού για να προσπαθήσει να ανακτήσει τα αρχεία του. Η απάντηση σε ένα τέτοιο μήνυμα είναι τις περισσότερες φορές το ποσό των λύτρων και η διεύθυνση του ηλεκτρονικού πορτοφολιού.

Είναι ο υπολογιστής μου μολυσμένος με ιό ransomware;

Είναι αρκετά εύκολο να προσδιοριστεί εάν ένας υπολογιστής έχει μολυνθεί από έναν ιό κρυπτογράφησης ή όχι. Δώστε προσοχή στις επεκτάσεις των προσωπικών σας αρχείων, όπως έγγραφα, φωτογραφίες, μουσική κ.λπ. Εάν η επέκταση έχει αλλάξει ή τα προσωπικά σας αρχεία έχουν εξαφανιστεί, αφήνοντας πίσω πολλά αρχεία με άγνωστα ονόματα, τότε ο υπολογιστής σας έχει μολυνθεί. Επιπλέον, ένα σημάδι μόλυνσης είναι η παρουσία ενός αρχείου με το όνομα HELP_YOUR_FILES ή README στους καταλόγους σας. Αυτό το αρχείο θα περιέχει οδηγίες για την αποκρυπτογράφηση των αρχείων.

Εάν υποψιάζεστε ότι έχετε ανοίξει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που έχει μολυνθεί από ιό ransomware, αλλά δεν υπάρχουν ακόμη συμπτώματα μόλυνσης, μην απενεργοποιήσετε ή επανεκκινήσετε τον υπολογιστή σας. Ακολουθήστε τα βήματα που περιγράφονται σε αυτό το εγχειρίδιο, ενότητα. Επαναλαμβάνω για άλλη μια φορά, είναι πολύ σημαντικό να μην απενεργοποιήσετε τον υπολογιστή· σε ορισμένους τύπους ransomware, η διαδικασία κρυπτογράφησης αρχείων ενεργοποιείται την πρώτη φορά που ανοίγετε τον υπολογιστή μετά τη μόλυνση!

Πώς να αποκρυπτογραφήσετε αρχεία κρυπτογραφημένα με ιό ransomware;

Αν συμβεί αυτή η καταστροφή, τότε δεν υπάρχει λόγος πανικού! Αλλά πρέπει να γνωρίζετε ότι στις περισσότερες περιπτώσεις δεν υπάρχει δωρεάν αποκρυπτογραφητής. Αυτό οφείλεται στους ισχυρούς αλγόριθμους κρυπτογράφησης που χρησιμοποιούνται από τέτοιου είδους κακόβουλο λογισμικό. Αυτό σημαίνει ότι χωρίς ιδιωτικό κλειδί, είναι σχεδόν αδύνατη η αποκρυπτογράφηση αρχείων. Η χρήση της μεθόδου επιλογής κλειδιού δεν αποτελεί επίσης επιλογή, λόγω του μεγάλου μήκους του κλειδιού. Επομένως, δυστυχώς, μόνο η πληρωμή ολόκληρου του ζητούμενου ποσού στους δημιουργούς του ιού είναι ο μόνος τρόπος για να προσπαθήσετε να αποκτήσετε το κλειδί αποκρυπτογράφησης.

Φυσικά, δεν υπάρχει καμία απολύτως εγγύηση ότι μετά την πληρωμή οι δημιουργοί του ιού θα επικοινωνήσουν μαζί σας και θα παρέχουν το απαραίτητο κλειδί για την αποκρυπτογράφηση των αρχείων σας. Επιπλέον, πρέπει να καταλάβετε ότι πληρώνοντας χρήματα σε προγραμματιστές ιών, εσείς οι ίδιοι τους ενθαρρύνετε να δημιουργήσουν νέους ιούς.

Πώς να αφαιρέσετε έναν ιό ransomware;

Πριν ξεκινήσετε, πρέπει να γνωρίζετε ότι ξεκινώντας την αφαίρεση του ιού και την προσπάθεια επαναφοράς των αρχείων μόνοι σας, αποκλείετε τη δυνατότητα αποκρυπτογράφησης των αρχείων πληρώνοντας στους δημιουργούς του ιού το ποσό που ζήτησαν.

Το Kaspersky Virus Removal Tool και το Malwarebytes Anti-malware μπορούν να εντοπίσουν διαφορετικούς τύπους ενεργών ιών ransomware και να τους αφαιρέσουν εύκολα από τον υπολογιστή σας, ΑΛΛΑ δεν μπορούν να ανακτήσουν κρυπτογραφημένα αρχεία.

5.1. Καταργήστε το ransomware χρησιμοποιώντας το Kaspersky Virus Removal Tool

Από προεπιλογή, το πρόγραμμα έχει ρυθμιστεί να ανακτά όλους τους τύπους αρχείων, αλλά για να επιταχύνετε την εργασία, συνιστάται να αφήσετε μόνο τους τύπους αρχείων που πρέπει να ανακτήσετε. Όταν ολοκληρώσετε την επιλογή σας, κάντε κλικ στο OK.

Στο κάτω μέρος του παραθύρου του προγράμματος QPhotoRec, βρείτε το κουμπί Αναζήτηση και κάντε κλικ σε αυτό. Πρέπει να επιλέξετε τον κατάλογο όπου θα αποθηκευτούν τα ανακτημένα αρχεία. Συνιστάται να χρησιμοποιείτε δίσκο που δεν περιέχει κρυπτογραφημένα αρχεία που απαιτούν ανάκτηση (μπορείτε να χρησιμοποιήσετε μονάδα flash ή εξωτερική μονάδα δίσκου).

Για να ξεκινήσετε τη διαδικασία αναζήτησης και επαναφοράς αρχικών αντιγράφων κρυπτογραφημένων αρχείων, κάντε κλικ στο κουμπί Αναζήτηση. Αυτή η διαδικασία διαρκεί αρκετά, οπότε να είστε υπομονετικοί.

Όταν ολοκληρωθεί η αναζήτηση, κάντε κλικ στο κουμπί Έξοδος. Τώρα ανοίξτε το φάκελο που επιλέξατε για να αποθηκεύσετε τα ανακτημένα αρχεία.

Ο φάκελος θα περιέχει καταλόγους με τα ονόματα recup_dir.1, recup_dir.2, recup_dir.3, κ.λπ. Όσο περισσότερα αρχεία βρίσκει το πρόγραμμα, τόσο περισσότεροι κατάλογοι θα υπάρχουν. Για να βρείτε τα αρχεία που χρειάζεστε, ελέγξτε όλους τους καταλόγους έναν προς έναν. Για να διευκολύνετε την εύρεση του αρχείου που χρειάζεστε μεταξύ ενός μεγάλου αριθμού ανακτημένων, χρησιμοποιήστε το ενσωματωμένο σύστημα αναζήτησης των Windows (ανά περιεχόμενα αρχείου) και επίσης μην ξεχνάτε τη λειτουργία ταξινόμησης αρχείων σε καταλόγους. Μπορείτε να επιλέξετε την ημερομηνία τροποποίησης του αρχείου ως επιλογή ταξινόμησης, καθώς το QPhotoRec επιχειρεί να επαναφέρει αυτήν την ιδιότητα κατά την επαναφορά ενός αρχείου.

Πώς να αποτρέψετε έναν ιό ransomware να μολύνει τον υπολογιστή σας;

Τα περισσότερα σύγχρονα προγράμματα προστασίας από ιούς διαθέτουν ήδη ένα ενσωματωμένο σύστημα προστασίας από τη διείσδυση και την ενεργοποίηση ιών κρυπτογράφησης. Επομένως, εάν δεν έχετε πρόγραμμα προστασίας από ιούς στον υπολογιστή σας, φροντίστε να το εγκαταστήσετε. Μπορείτε να μάθετε πώς να το επιλέξετε διαβάζοντας αυτό.

Επιπλέον, υπάρχουν εξειδικευμένα προγράμματα προστασίας. Για παράδειγμα, αυτό είναι το CryptoPrevent, περισσότερες λεπτομέρειες.

Λίγα τελευταία λόγια

Ακολουθώντας αυτές τις οδηγίες, ο υπολογιστής σας θα καθαριστεί από τον ιό ransomware. Εάν έχετε οποιεσδήποτε ερωτήσεις ή χρειάζεστε βοήθεια, επικοινωνήστε μαζί μας.

Πριν από περίπου μία ή δύο εβδομάδες, ένα άλλο hack από σύγχρονους κατασκευαστές ιών εμφανίστηκε στο Διαδίκτυο, το οποίο κρυπτογραφεί όλα τα αρχεία του χρήστη. Για άλλη μια φορά θα εξετάσω το ερώτημα πώς να θεραπεύσετε έναν υπολογιστή μετά από έναν ιό ransomware κρυπτογραφημένο000007και να ανακτήσετε κρυπτογραφημένα αρχεία. Σε αυτήν την περίπτωση, δεν έχει εμφανιστεί τίποτα νέο ή μοναδικό, απλώς μια τροποποίηση της προηγούμενης έκδοσης.

Εγγυημένη αποκρυπτογράφηση αρχείων μετά από ιό ransomware - dr-shifro.ru. Λεπτομέρειες για την εργασία και το σχέδιο αλληλεπίδρασης με τον πελάτη βρίσκονται παρακάτω στο άρθρο μου ή στον ιστότοπο στην ενότητα "Διαδικασία εργασίας".

Περιγραφή του ιού ransomware CRYPTED000007

Ο κρυπτογραφητής CRYPTED000007 δεν διαφέρει ουσιαστικά από τους προκατόχους του. Λειτουργεί σχεδόν με τον ίδιο τρόπο. Ωστόσο, υπάρχουν πολλές αποχρώσεις που το διακρίνουν. Θα σας τα πω όλα με τη σειρά.

Φτάνει, όπως και τα ανάλογα του, ταχυδρομικώς. Χρησιμοποιούνται τεχνικές κοινωνικής μηχανικής για να διασφαλιστεί ότι ο χρήστης ενδιαφέρεται για το γράμμα και το ανοίγει. Στην περίπτωσή μου, η επιστολή μιλούσε για κάποιου είδους δικαστήριο και σημαντικές πληροφορίες για την υπόθεση στο συνημμένο. Μετά την εκκίνηση του συνημμένου, ο χρήστης ανοίγει ένα έγγραφο του Word με απόσπασμα από το Διαιτητικό Δικαστήριο της Μόσχας.

Παράλληλα με το άνοιγμα του εγγράφου, ξεκινά η κρυπτογράφηση του αρχείου. Ένα πληροφοριακό μήνυμα από το σύστημα ελέγχου λογαριασμού χρήστη των Windows αρχίζει να εμφανίζεται συνεχώς.

Εάν συμφωνείτε με την πρόταση, τότε τα αντίγραφα ασφαλείας των αρχείων σε σκιώδη αντίγραφα των Windows θα διαγραφούν και η επαναφορά πληροφοριών θα είναι πολύ δύσκολη. Είναι προφανές ότι δεν μπορείτε να συμφωνήσετε με την πρόταση σε καμία περίπτωση. Σε αυτόν τον κρυπτογραφητή, αυτά τα αιτήματα εμφανίζονται συνεχώς, το ένα μετά το άλλο και δεν σταματούν, αναγκάζοντας τον χρήστη να συμφωνήσει και να διαγράψει τα αντίγραφα ασφαλείας. Αυτή είναι η κύρια διαφορά από τις προηγούμενες τροποποιήσεις των κρυπτογραφητών. Δεν έχω συναντήσει ποτέ αιτήματα για διαγραφή σκιωδών αντιγράφων χωρίς διακοπή. Συνήθως, μετά από 5-10 προσφορές σταματούσαν.

Θα δώσω αμέσως μια σύσταση για το μέλλον. Είναι πολύ συνηθισμένο για άτομα να απενεργοποιούν τις προειδοποιήσεις ελέγχου λογαριασμού χρήστη. Δεν χρειάζεται να γίνει αυτό. Αυτός ο μηχανισμός μπορεί πραγματικά να βοηθήσει στην αντίσταση στους ιούς. Η δεύτερη προφανής συμβουλή είναι να μην εργάζεστε συνεχώς κάτω από τον λογαριασμό διαχειριστή υπολογιστή εκτός εάν υπάρχει αντικειμενική ανάγκη για αυτό. Σε αυτή την περίπτωση, ο ιός δεν θα έχει την ευκαιρία να κάνει πολύ κακό. Θα έχετε περισσότερες πιθανότητες να του αντισταθείτε.

Αλλά ακόμα κι αν απαντούσατε πάντα αρνητικά στα αιτήματα του ransomware, όλα τα δεδομένα σας είναι ήδη κρυπτογραφημένα. Αφού ολοκληρωθεί η διαδικασία κρυπτογράφησης, θα δείτε μια εικόνα στην επιφάνεια εργασίας σας.

Ταυτόχρονα, θα υπάρχουν πολλά αρχεία κειμένου με το ίδιο περιεχόμενο στην επιφάνεια εργασίας σας.

Τα αρχεία σας έχουν κρυπτογραφηθεί. Για να αποκρυπτογραφήσετε το ux, πρέπει να στείλετε τον κωδικό: 329D54752553ED978F94|0 στη διεύθυνση email [email προστατευμένο]. Στη συνέχεια θα λάβετε όλες τις απαραίτητες οδηγίες. Οι προσπάθειες αποκρυπτογράφησης μόνοι σας δεν θα οδηγήσουν σε τίποτα άλλο εκτός από έναν αμετάκλητο αριθμό πληροφοριών. Εάν εξακολουθείτε να θέλετε να δοκιμάσετε, τότε δημιουργήστε πρώτα αντίγραφα ασφαλείας των αρχείων, διαφορετικά, σε περίπτωση αλλαγής, η αποκρυπτογράφηση θα καταστεί αδύνατη υπό οποιεσδήποτε συνθήκες. Εάν δεν έχετε λάβει ειδοποίηση στην παραπάνω διεύθυνση εντός 48 ωρών (μόνο σε αυτήν την περίπτωση!), χρησιμοποιήστε τη φόρμα επικοινωνίας. Αυτό μπορεί να γίνει με δύο τρόπους: 1) Κατεβάστε και εγκαταστήστε το Tor Browser χρησιμοποιώντας τον σύνδεσμο: https://www.torproject.org/download/download-easy.html.en Στη διεύθυνση Tor Browser, πληκτρολογήστε τη διεύθυνση: http: //cryptsen7fo43rr6 .onion/ και πατήστε Enter. Θα φορτωθεί η σελίδα με τη φόρμα επικοινωνίας. 2) Σε οποιοδήποτε πρόγραμμα περιήγησης, μεταβείτε σε μία από τις διευθύνσεις: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Όλα τα σημαντικά αρχεία στον υπολογιστή σας ήταν κρυπτογραφημένα. Για να αποκρυπτογραφήσετε τα αρχεία θα πρέπει να στείλετε τον ακόλουθο κωδικό: 329D54752553ED978F94|0 στη διεύθυνση e-mail [email προστατευμένο]. Στη συνέχεια θα λάβετε όλες τις απαραίτητες οδηγίες. Όλες οι προσπάθειες αποκρυπτογράφησης από εσάς θα έχουν ως αποτέλεσμα μόνο αμετάκλητη απώλεια των δεδομένων σας. Εάν εξακολουθείτε να θέλετε να προσπαθήσετε να τα αποκρυπτογραφήσετε μόνοι σας, κάντε ένα αντίγραφο ασφαλείας στην αρχή γιατί η αποκρυπτογράφηση θα γίνει αδύνατη σε περίπτωση οποιωνδήποτε αλλαγών μέσα στα αρχεία. Εάν δεν λάβατε την απάντηση από το προαναφερθέν email για περισσότερες από 48 ώρες (και μόνο σε αυτήν την περίπτωση!), χρησιμοποιήστε τη φόρμα σχολίων. Μπορείτε να το κάνετε με δύο τρόπους: 1) Κατεβάστε το Tor Browser από εδώ: https://www.torproject.org/download/download-easy.html.en Εγκαταστήστε το και πληκτρολογήστε την ακόλουθη διεύθυνση στη γραμμή διευθύνσεων: http:/ /cryptsen7fo43rr6.onion/ Πατήστε Enter και στη συνέχεια θα φορτωθεί η σελίδα με τη φόρμα σχολίων. 2) Μεταβείτε σε μία από τις ακόλουθες διευθύνσεις σε οποιοδήποτε πρόγραμμα περιήγησης: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Η ταχυδρομική διεύθυνση μπορεί να αλλάξει. Βρήκα επίσης τις παρακάτω διευθύνσεις:

• [email προστατευμένο]
• [email προστατευμένο]

Οι διευθύνσεις ενημερώνονται συνεχώς, επομένως μπορεί να είναι εντελώς διαφορετικές.

Μόλις ανακαλύψετε ότι τα αρχεία σας είναι κρυπτογραφημένα, απενεργοποιήστε αμέσως τον υπολογιστή σας. Αυτό πρέπει να γίνει για να διακοπεί η διαδικασία κρυπτογράφησης τόσο στον τοπικό υπολογιστή όσο και στις μονάδες δίσκου δικτύου. Ένας ιός κρυπτογράφησης μπορεί να κρυπτογραφήσει όλες τις πληροφορίες που μπορεί να φτάσει, συμπεριλαμβανομένων των μονάδων δίσκου δικτύου. Αλλά αν υπάρχει μεγάλος όγκος πληροφοριών εκεί, τότε θα του πάρει αρκετό χρόνο. Μερικές φορές, ακόμη και σε μερικές ώρες, το ransomware δεν είχε χρόνο να κρυπτογραφήσει τα πάντα σε μια μονάδα δίσκου δικτύου χωρητικότητας περίπου 100 gigabyte.

Στη συνέχεια, πρέπει να σκεφτείτε προσεκτικά πώς να ενεργήσετε. Εάν χρειάζεστε πληροφορίες για τον υπολογιστή σας με οποιοδήποτε κόστος και δεν έχετε αντίγραφα ασφαλείας, τότε είναι καλύτερα αυτή τη στιγμή να απευθυνθείτε σε ειδικούς. Όχι απαραίτητα για χρήματα σε κάποιες εταιρείες. Χρειάζεστε απλώς ένα άτομο που να γνωρίζει καλά τα πληροφοριακά συστήματα. Είναι απαραίτητο να αξιολογηθεί το μέγεθος της καταστροφής, να αφαιρεθεί ο ιός και να συλλεχθούν όλες οι διαθέσιμες πληροφορίες για την κατάσταση, προκειμένου να κατανοήσουμε πώς να προχωρήσουμε.

Εσφαλμένες ενέργειες σε αυτό το στάδιο μπορεί να περιπλέξουν σημαντικά τη διαδικασία αποκρυπτογράφησης ή επαναφοράς αρχείων. Στη χειρότερη περίπτωση, μπορούν να το κάνουν αδύνατο. Πάρτε λοιπόν το χρόνο σας, να είστε προσεκτικοί και συνεπείς.

Πώς ο ιός ransomware CRYPTED000007 κρυπτογραφεί αρχεία

Μετά την εκκίνηση του ιού και την ολοκλήρωση της δραστηριότητάς του, όλα τα χρήσιμα αρχεία θα κρυπτογραφηθούν και θα μετονομαστούν από επέκταση.crypted000007. Επιπλέον, δεν θα αντικατασταθεί μόνο η επέκταση αρχείου, αλλά και το όνομα του αρχείου, ώστε να μην γνωρίζετε ακριβώς τι είδους αρχεία είχατε αν δεν θυμάστε. Θα μοιάζει κάπως έτσι.

Σε μια τέτοια κατάσταση, θα είναι δύσκολο να εκτιμήσετε το μέγεθος της τραγωδίας, αφού δεν θα μπορείτε να θυμηθείτε πλήρως τι είχατε σε διαφορετικούς φακέλους. Αυτό έγινε ειδικά για να μπερδέψει τους ανθρώπους και να τους ενθαρρύνει να πληρώσουν για την αποκρυπτογράφηση αρχείων.

Και αν οι φάκελοι του δικτύου σας ήταν κρυπτογραφημένοι και δεν υπάρχουν πλήρη αντίγραφα ασφαλείας, τότε αυτό μπορεί να σταματήσει εντελώς το έργο ολόκληρου του οργανισμού. Θα σας πάρει λίγο χρόνο για να καταλάβετε τι χάθηκε τελικά για να ξεκινήσετε την αποκατάσταση.

Πώς να χειριστείτε τον υπολογιστή σας και να αφαιρέσετε το CRYPTED000007 ransomware

Ο ιός CRYPTED000007 βρίσκεται ήδη στον υπολογιστή σας. Το πρώτο και πιο σημαντικό ερώτημα είναι πώς να απολυμάνετε έναν υπολογιστή και πώς να αφαιρέσετε έναν ιό από αυτόν για να αποτρέψετε περαιτέρω κρυπτογράφηση, εάν δεν έχει ολοκληρωθεί ακόμη. Θα ήθελα να επιστήσω αμέσως την προσοχή σας στο γεγονός ότι αφού αρχίσετε να κάνετε κάποιες ενέργειες με τον υπολογιστή σας, οι πιθανότητες αποκρυπτογράφησης των δεδομένων μειώνονται. Εάν χρειάζεται να ανακτήσετε αρχεία με οποιοδήποτε κόστος, μην αγγίζετε τον υπολογιστή σας, αλλά επικοινωνήστε αμέσως με επαγγελματίες. Παρακάτω θα μιλήσω για αυτά και θα παράσχω έναν σύνδεσμο προς τον ιστότοπο και θα περιγράψω πώς λειτουργούν.

Στο μεταξύ, θα συνεχίσουμε να αντιμετωπίζουμε ανεξάρτητα τον υπολογιστή και να αφαιρούμε τον ιό. Παραδοσιακά, το ransomware αφαιρείται εύκολα από έναν υπολογιστή, αφού ο ιός δεν έχει το καθήκον να παραμείνει στον υπολογιστή με οποιοδήποτε κόστος. Αφού κρυπτογραφήσει πλήρως τα αρχεία, είναι ακόμη πιο κερδοφόρο να διαγραφεί και να εξαφανιστεί, ώστε να είναι πιο δύσκολη η διερεύνηση του συμβάντος και η αποκρυπτογράφηση των αρχείων.

Είναι δύσκολο να περιγράψω πώς να αφαιρέσετε με μη αυτόματο τρόπο έναν ιό, αν και έχω προσπαθήσει να το κάνω στο παρελθόν, αλλά βλέπω ότι τις περισσότερες φορές είναι άσκοπο. Τα ονόματα αρχείων και οι διαδρομές τοποθέτησης ιών αλλάζουν συνεχώς. Αυτό που είδα δεν είναι πλέον σχετικό σε μια ή δύο εβδομάδες. Συνήθως, οι ιοί αποστέλλονται ταχυδρομικά σε κύματα και κάθε φορά υπάρχει μια νέα τροποποίηση που δεν έχει εντοπιστεί ακόμη από τα προγράμματα προστασίας από ιούς. Βοηθούν τα καθολικά εργαλεία που ελέγχουν την εκκίνηση και ανιχνεύουν ύποπτη δραστηριότητα σε φακέλους συστήματος.

Για να αφαιρέσετε τον ιό CRYPTED000007, μπορείτε να χρησιμοποιήσετε τα ακόλουθα προγράμματα:

1. Kaspersky Virus Removal Tool - ένα βοηθητικό πρόγραμμα από την Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - ένα παρόμοιο προϊόν από άλλο web http://free.drweb.ru/cureit.
3. Εάν τα δύο πρώτα βοηθητικά προγράμματα δεν βοηθήσουν, δοκιμάστε το MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Πιθανότατα, ένα από αυτά τα προϊόντα θα καθαρίσει τον υπολογιστή σας από το CRYPTED000007 ransomware. Εάν ξαφνικά συμβεί ότι δεν βοηθούν, δοκιμάστε να αφαιρέσετε τον ιό με μη αυτόματο τρόπο. Έδωσα ένα παράδειγμα της μεθόδου αφαίρεσης και μπορείτε να το δείτε εκεί. Εν συντομία, βήμα προς βήμα, πρέπει να ενεργήσετε ως εξής:

1. Εξετάζουμε τη λίστα των διεργασιών, αφού προσθέσουμε αρκετές επιπλέον στήλες στη διαχείριση εργασιών.
2. Βρίσκουμε τη διαδικασία του ιού, ανοίγουμε το φάκελο στον οποίο βρίσκεται και τη διαγράφουμε.
3. Καθαρίζουμε την αναφορά της διαδικασίας του ιού με το όνομα αρχείου στο μητρώο.
4. Κάνουμε επανεκκίνηση και βεβαιωνόμαστε ότι ο ιός CRYPTED000007 δεν βρίσκεται στη λίστα των διεργασιών που εκτελούνται.

Πού να κατεβάσετε τον αποκρυπτογραφητή CRYPTED000007

Το ζήτημα ενός απλού και αξιόπιστου αποκρυπτογραφητή έρχεται πρώτο όταν πρόκειται για έναν ιό ransomware. Το πρώτο πράγμα που προτείνω είναι να χρησιμοποιήσετε την υπηρεσία https://www.nomoreransom.org. Τι γίνεται αν είστε τυχεροί και έχουν έναν αποκρυπτογραφητή για την έκδοση του κρυπτογραφητή CRYPTED000007. Θα πω αμέσως ότι δεν έχετε πολλές πιθανότητες, αλλά η προσπάθεια δεν είναι βασανιστήριο. Στην κεντρική σελίδα κάντε κλικ στο Ναι:

Στη συνέχεια, κατεβάστε μερικά κρυπτογραφημένα αρχεία και κάντε κλικ στο Go! Βρίσκω:

Τη στιγμή της σύνταξης, δεν υπήρχε αποκρυπτογραφητής στον ιστότοπο.

Ίσως θα έχετε καλύτερη τύχη. Μπορείτε επίσης να δείτε τη λίστα των αποκρυπτογραφητών για λήψη σε μια ξεχωριστή σελίδα - https://www.nomoreransom.org/decryption-tools.html. Ίσως υπάρχει κάτι χρήσιμο εκεί. Όταν ο ιός είναι εντελώς φρέσκος, υπάρχει μικρή πιθανότητα να συμβεί κάτι τέτοιο, αλλά με την πάροδο του χρόνου μπορεί να εμφανιστεί κάτι. Υπάρχουν παραδείγματα όταν εμφανίστηκαν στο δίκτυο αποκρυπτογραφητές για ορισμένες τροποποιήσεις κρυπτογραφητών. Και αυτά τα παραδείγματα βρίσκονται στην καθορισμένη σελίδα.

Δεν ξέρω που αλλού μπορείτε να βρείτε αποκωδικοποιητή. Είναι απίθανο να υπάρχει στην πραγματικότητα, λαμβάνοντας υπόψη τις ιδιαιτερότητες της εργασίας των σύγχρονων κρυπτογραφητών. Μόνο οι δημιουργοί του ιού μπορούν να έχουν πλήρη αποκρυπτογράφηση.

Πώς να αποκρυπτογραφήσετε και να ανακτήσετε αρχεία μετά τον ιό CRYPTED000007

Τι να κάνετε όταν ο ιός CRYPTED000007 έχει κρυπτογραφήσει τα αρχεία σας; Η τεχνική εφαρμογή της κρυπτογράφησης δεν επιτρέπει την αποκρυπτογράφηση αρχείων χωρίς κλειδί ή αποκρυπτογραφητή, που έχει μόνο ο συγγραφέας του κρυπτογραφητή. Ίσως υπάρχει κάποιος άλλος τρόπος να το αποκτήσω, αλλά δεν έχω αυτές τις πληροφορίες. Μπορούμε μόνο να προσπαθήσουμε να ανακτήσουμε αρχεία χρησιμοποιώντας αυτοσχέδιες μεθόδους. Αυτά περιλαμβάνουν:

• Εργαλείο σκιώδη αντίγραφαπαράθυρα.
• Διαγραμμένα προγράμματα ανάκτησης δεδομένων

Αρχικά, ας ελέγξουμε αν έχουμε ενεργοποιημένα τα σκιώδη αντίγραφα. Αυτό το εργαλείο λειτουργεί από προεπιλογή σε Windows 7 και νεότερες εκδόσεις, εκτός εάν το απενεργοποιήσετε χειροκίνητα. Για έλεγχο, ανοίξτε τις ιδιότητες του υπολογιστή και μεταβείτε στην ενότητα προστασίας συστήματος.

Εάν κατά τη διάρκεια της μόλυνσης δεν επιβεβαιώσετε το αίτημα UAC για διαγραφή αρχείων σε σκιερά αντίγραφα, τότε κάποια δεδομένα θα πρέπει να παραμείνουν εκεί. Μίλησα πιο αναλυτικά για αυτό το αίτημα στην αρχή της ιστορίας, όταν μίλησα για το έργο του ιού.

Για να επαναφέρετε εύκολα αρχεία από σκιερά αντίγραφα, προτείνω να χρησιμοποιήσετε ένα δωρεάν πρόγραμμα για αυτό - το ShadowExplorer. Κατεβάστε το αρχείο, αποσυσκευάστε το πρόγραμμα και εκτελέστε το.

Θα ανοίξει το πιο πρόσφατο αντίγραφο αρχείων και η ρίζα της μονάδας δίσκου C. Στην επάνω αριστερή γωνία, μπορείτε να επιλέξετε ένα αντίγραφο ασφαλείας εάν έχετε πολλά από αυτά. Ελέγξτε διαφορετικά αντίγραφα για τα απαιτούμενα αρχεία. Συγκρίνετε κατά ημερομηνία για την πιο πρόσφατη έκδοση. Στο παρακάτω παράδειγμά μου, βρήκα 2 αρχεία στην επιφάνεια εργασίας μου πριν από τρεις μήνες, όταν επεξεργάστηκαν για τελευταία φορά.

Κατάφερα να ανακτήσω αυτά τα αρχεία. Για να το κάνω αυτό, τα επέλεξα, έκανα δεξί κλικ, επέλεξα Εξαγωγή και όρισα τον φάκελο στον οποίο θα τα επαναφέρω.

Μπορείτε να επαναφέρετε τους φακέλους αμέσως χρησιμοποιώντας την ίδια αρχή. Εάν λειτουργούσαν σκιώδη αντίγραφα και δεν τα διαγράψατε, έχετε πολλές πιθανότητες να ανακτήσετε όλα, ή σχεδόν όλα, τα αρχεία που είναι κρυπτογραφημένα από τον ιό. Ίσως κάποια από αυτά να είναι μια παλαιότερη έκδοση από ό, τι θα θέλαμε, αλλά παρόλα αυτά, είναι καλύτερα από το τίποτα.

Εάν για κάποιο λόγο δεν έχετε σκιώδη αντίγραφα των αρχείων σας, η μόνη σας ευκαιρία να λάβετε τουλάχιστον κάτι από τα κρυπτογραφημένα αρχεία είναι να τα επαναφέρετε χρησιμοποιώντας εργαλεία ανάκτησης διαγραμμένων αρχείων. Για να το κάνετε αυτό, προτείνω να χρησιμοποιήσετε το δωρεάν πρόγραμμα Photorec.

Εκκινήστε το πρόγραμμα και επιλέξτε το δίσκο στον οποίο θα επαναφέρετε τα αρχεία. Η εκκίνηση της γραφικής έκδοσης του προγράμματος εκτελεί το αρχείο qphotorec_win.exe. Πρέπει να επιλέξετε έναν φάκελο όπου θα τοποθετηθούν τα αρχεία που βρέθηκαν. Είναι καλύτερα αυτός ο φάκελος να μην βρίσκεται στην ίδια μονάδα δίσκου όπου κάνουμε αναζήτηση. Συνδέστε μια μονάδα flash ή έναν εξωτερικό σκληρό δίσκο για να το κάνετε αυτό.

Η διαδικασία αναζήτησης θα διαρκέσει πολύ. Στο τέλος θα δείτε στατιστικά. Τώρα μπορείτε να μεταβείτε στον προκαθορισμένο φάκελο και να δείτε τι βρίσκεται εκεί. Πιθανότατα θα υπάρχουν πολλά αρχεία και τα περισσότερα είτε θα είναι κατεστραμμένα είτε θα είναι κάποιου είδους σύστημα και άχρηστα αρχεία. Ωστόσο, ορισμένα χρήσιμα αρχεία μπορούν να βρεθούν σε αυτήν τη λίστα. Δεν υπάρχουν εγγυήσεις εδώ, αυτό που θα βρείτε είναι αυτό που θα βρείτε. Οι εικόνες συνήθως αποκαθίστανται καλύτερα.

Εάν το αποτέλεσμα δεν σας ικανοποιεί, τότε υπάρχουν και προγράμματα για την ανάκτηση των διαγραμμένων αρχείων. Ακολουθεί μια λίστα με τα προγράμματα που χρησιμοποιώ συνήθως όταν χρειάζεται να ανακτήσω τον μέγιστο αριθμό αρχείων:

• R.saver
• Ανάκτηση αρχείων Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Αυτά τα προγράμματα δεν είναι δωρεάν, επομένως δεν θα παράσχω συνδέσμους. Αν θέλετε πραγματικά, μπορείτε να τα βρείτε μόνοι σας στο Διαδίκτυο.

Ολόκληρη η διαδικασία ανάκτησης αρχείων παρουσιάζεται λεπτομερώς στο βίντεο στο τέλος του άρθρου.

Kaspersky, eset nod32 και άλλα στον αγώνα κατά του κρυπτογραφητή Filecoder.ED

Τα δημοφιλή antivirus ανιχνεύουν το ransomware CRYPTED000007 ως Filecoder.EDκαι μετά μπορεί να υπάρχει κάποιος άλλος προσδιορισμός. Κοίταξα στα μεγάλα φόρουμ προστασίας από ιούς και δεν είδα κάτι χρήσιμο εκεί. Δυστυχώς, ως συνήθως, το λογισμικό προστασίας από ιούς αποδείχθηκε απροετοίμαστο για την εισβολή ενός νέου κύματος ransomware. Εδώ είναι μια ανάρτηση από το φόρουμ της Kaspersky.

Τα antivirus χάνουν παραδοσιακά τις νέες τροποποιήσεις των Trojans ransomware. Παρόλα αυτά, προτείνω να τα χρησιμοποιήσετε. Εάν είστε τυχεροί και λάβετε ένα email ransomware όχι στο πρώτο κύμα μολύνσεων, αλλά λίγο αργότερα, υπάρχει πιθανότητα το antivirus να σας βοηθήσει. Όλοι δουλεύουν ένα βήμα πίσω από τους επιτιθέμενους. Κυκλοφορεί μια νέα έκδοση του ransomware, αλλά τα antivirus δεν ανταποκρίνονται σε αυτό. Μόλις συσσωρευτεί μια ορισμένη ποσότητα υλικού για έρευνα σχετικά με έναν νέο ιό, το λογισμικό προστασίας από ιούς εκδίδει μια ενημέρωση και αρχίζει να ανταποκρίνεται σε αυτήν.

Δεν καταλαβαίνω τι εμποδίζει τα προγράμματα προστασίας από ιούς να ανταποκρίνονται άμεσα σε οποιαδήποτε διαδικασία κρυπτογράφησης στο σύστημα. Ίσως υπάρχει κάποια τεχνική απόχρωση σε αυτό το θέμα που δεν μας επιτρέπει να ανταποκριθούμε επαρκώς και να αποτρέψουμε την κρυπτογράφηση των αρχείων χρήστη. Μου φαίνεται ότι θα ήταν δυνατό να εμφανιστεί τουλάχιστον μια προειδοποίηση σχετικά με το γεγονός ότι κάποιος κρυπτογραφεί τα αρχεία σας και να προσφερθεί να σταματήσει τη διαδικασία.

Πού να πάτε για εγγυημένη αποκρυπτογράφηση

Έτυχε να συναντήσω μια εταιρεία που στην πραγματικότητα αποκρυπτογραφεί δεδομένα μετά από την εργασία διαφόρων ιών κρυπτογράφησης, συμπεριλαμβανομένου του CRYPTED000007. Η διεύθυνσή τους είναι http://www.dr-shifro.ru. Πληρωμή μόνο μετά την πλήρη αποκρυπτογράφηση και την επαλήθευση σας. Εδώ είναι ένα κατά προσέγγιση σχέδιο εργασίας:

1. Ένας ειδικός της εταιρείας έρχεται στο γραφείο ή στο σπίτι σας και υπογράφει μια συμφωνία μαζί σας, η οποία καθορίζει το κόστος της εργασίας.
2. Εκκινεί τον αποκρυπτογραφητή και αποκρυπτογραφεί όλα τα αρχεία.
3. Φροντίζετε να έχουν ανοιχτεί όλα τα αρχεία και υπογράφετε το πιστοποιητικό παράδοσης/αποδοχής ολοκληρωμένης εργασίας.
4. Η πληρωμή πραγματοποιείται μόνο με επιτυχή αποτελέσματα αποκρυπτογράφησης.

Θα είμαι ειλικρινής, δεν ξέρω πώς το κάνουν, αλλά δεν ρισκάρεις τίποτα. Πληρωμή μόνο μετά από επίδειξη της λειτουργίας του αποκωδικοποιητή. Γράψτε μια κριτική σχετικά με την εμπειρία σας με αυτήν την εταιρεία.

Μέθοδοι προστασίας από τον ιό CRYPTED000007

Πώς να προστατευτείτε από ransomware και να αποφύγετε υλικές και ηθικές ζημιές; Υπάρχουν μερικές απλές και αποτελεσματικές συμβουλές:

1. Αντιγράφων ασφαλείας! Δημιουργία αντιγράφων ασφαλείας όλων των σημαντικών δεδομένων. Και όχι απλώς ένα αντίγραφο ασφαλείας, αλλά ένα αντίγραφο ασφαλείας στο οποίο δεν υπάρχει συνεχής πρόσβαση. Διαφορετικά, ο ιός μπορεί να μολύνει τόσο τα έγγραφά σας όσο και τα αντίγραφα ασφαλείας.
2. Άδεια προστασίας από ιούς. Αν και δεν παρέχουν 100% εγγύηση, αυξάνουν τις πιθανότητες αποφυγής της κρυπτογράφησης. Τις περισσότερες φορές δεν είναι έτοιμοι για νέες εκδόσεις του κρυπτογραφητή, αλλά μετά από 3-4 ημέρες αρχίζουν να ανταποκρίνονται. Αυτό αυξάνει τις πιθανότητές σας να αποφύγετε τη μόλυνση εάν δεν συμπεριλαμβανόσασταν στο πρώτο κύμα διανομής μιας νέας τροποποίησης του ransomware.
3. Μην ανοίγετε ύποπτα συνημμένα στο ταχυδρομείο. Δεν υπάρχει τίποτα να σχολιάσω εδώ. Όλα τα ransomware που γνωρίζω έφτασαν στους χρήστες μέσω email. Επιπλέον, κάθε φορά επινοούνται νέα κόλπα για να εξαπατήσουν το θύμα.
4. Μην ανοίγετε απερίσκεπτα συνδέσμους που σας αποστέλλονται από φίλους σας μέσω κοινωνικών δικτύων ή άμεσων μηνυμάτων. Κάπως έτσι μεταδίδονται και οι ιοί μερικές φορές.
5. Ενεργοποιήστε τα παράθυρα για εμφάνιση επεκτάσεων αρχείων. Πώς να το κάνετε αυτό είναι εύκολο να βρείτε στο Διαδίκτυο. Αυτό θα σας επιτρέψει να παρατηρήσετε την επέκταση αρχείου στον ιό. Τις περισσότερες φορές θα είναι .exe, .vbs, .src. Στην καθημερινή σας εργασία με έγγραφα, είναι απίθανο να συναντήσετε τέτοιες επεκτάσεις αρχείων.

Προσπάθησα να συμπληρώσω όσα έχω ήδη γράψει σε κάθε άρθρο σχετικά με τον ιό ransomware. Στο μεταξύ, αποχαιρετώ. Θα χαρώ να λάβω χρήσιμα σχόλια για το άρθρο και τον ιό ransomware CRYPTED000007 γενικά.

Βίντεο σχετικά με την αποκρυπτογράφηση και την ανάκτηση αρχείων

Ακολουθεί ένα παράδειγμα προηγούμενης τροποποίησης του ιού, αλλά το βίντεο είναι απολύτως σχετικό με το CRYPTED000007.

Εάν το σύστημα έχει μολυνθεί με κακόβουλο λογισμικό από τις οικογένειες Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklή Trojan-Ransom.Win32.CryptXXX, τότε όλα τα αρχεία στον υπολογιστή θα κρυπτογραφηθούν ως εξής:

• Όταν μολυνθεί Trojan-Ransom.Win32.Rannohτα ονόματα και οι επεκτάσεις θα αλλάξουν σύμφωνα με το πρότυπο κλειδωμένο-<оригинальное_имя>.<4 произвольных буквы> .
• Όταν μολυνθεί Trojan-Ransom.Win32.Cryakl προστίθεται μια ετικέτα στο τέλος των περιεχομένων του αρχείου (CRYPTENDBLACKDC) .
• Όταν μολυνθεί Trojan-Ransom.Win32.AutoItη επέκταση αλλάζει ανάλογα με το πρότυπο <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Για παράδειγμα, [email προστατευμένο] _.RZWDTDIC.
• Όταν μολυνθεί Trojan-Ransom.Win32.CryptXXXη επέκταση αλλάζει ανάλογα με τα πρότυπα <оригинальное_имя>.κρύπτη,<оригинальное_имя>. crypzΚαι <оригинальное_имя>. cryp1.

Το βοηθητικό πρόγραμμα RannohDecryptor έχει σχεδιαστεί για την αποκρυπτογράφηση αρχείων μετά από μόλυνση Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklή Trojan-Ransom.Win32.CryptXXXεκδόσεις 1 , 2 Και 3 .

Πώς να θεραπεύσετε το σύστημα

Για να θεραπεύσετε ένα μολυσμένο σύστημα:

1. Κάντε λήψη του αρχείου RannohDecryptor.zip.
2. Εκτελέστε το RannohDecryptor.exe στο μολυσμένο μηχάνημα.
3. Στο κύριο παράθυρο, κάντε κλικ Ξεκινήστε τον έλεγχο.

1. Καθορίστε τη διαδρομή προς το κρυπτογραφημένο και μη κρυπτογραφημένο αρχείο.
   Εάν το αρχείο είναι κρυπτογραφημένο Trojan-Ransom.Win32.CryptXXX, καθορίστε τα μεγαλύτερα αρχεία. Η αποκρυπτογράφηση θα είναι διαθέσιμη μόνο για αρχεία ίσου ή μικρότερου μεγέθους.
2. Περιμένετε μέχρι το τέλος της αναζήτησης και της αποκρυπτογράφησης των κρυπτογραφημένων αρχείων.
3. Κάντε επανεκκίνηση του υπολογιστή σας εάν απαιτείται.
4. Για να διαγράψετε ένα αντίγραφο κρυπτογραφημένων αρχείων όπως κλειδωμένο-<оригинальное_имя>.<4 произвольных буквы> Μετά την επιτυχή αποκρυπτογράφηση, επιλέξτε .

Εάν το αρχείο ήταν κρυπτογραφημένο Trojan-Ransom.Win32.Cryakl, τότε το βοηθητικό πρόγραμμα θα αποθηκεύσει το αρχείο στην παλιά θέση με την επέκταση .decryptedKLR.original_extension. Εάν έχετε επιλέξει Διαγράψτε τα κρυπτογραφημένα αρχεία μετά την επιτυχή αποκρυπτογράφηση, τότε το αποκρυπτογραφημένο αρχείο θα αποθηκευτεί από το βοηθητικό πρόγραμμα με το αρχικό όνομα.

1. Από προεπιλογή, το βοηθητικό πρόγραμμα εξάγει μια αναφορά εργασίας στη ρίζα του δίσκου συστήματος (τον δίσκο στον οποίο είναι εγκατεστημένο το λειτουργικό σύστημα).

   Το όνομα της αναφοράς έχει ως εξής: UtilityName.Version_Date_Time_log.txt

   Για παράδειγμα, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Σε ένα σύστημα μολυσμένο Trojan-Ransom.Win32.CryptXXX, το βοηθητικό πρόγραμμα σαρώνει έναν περιορισμένο αριθμό μορφών αρχείων. Εάν ένας χρήστης επιλέξει ένα αρχείο που επηρεάζεται από το CryptXXX v2, η επαναφορά του κλειδιού μπορεί να διαρκέσει πολύ. Σε αυτήν την περίπτωση, το βοηθητικό πρόγραμμα εμφανίζει μια προειδοποίηση.