Deblocarea fișierelor criptate. Metode de recuperare a fișierelor. Procedura corectă la pornirea criptării
„Îmi pare rău că vă deranjez, dar... fișierele dumneavoastră sunt criptate. Pentru a obține cheia de decriptare, transferați urgent o anumită sumă de bani în portofel... În caz contrar, datele dumneavoastră vor fi distruse pentru totdeauna. Ai 3 ore, timpul a trecut.” Și nu este o glumă. Un virus de criptare este o amenințare mai mult decât reală.
Astăzi vom vorbi despre ce este malware-ul ransomware care s-a răspândit în ultimii ani, ce să faceți dacă este infectat, cum să vă vindecați computerul și dacă este chiar posibil și cum să vă protejați de ele.
Criptăm totul!
Un virus ransomware (encryptor, cryptor) este un tip special de ransomware rău intenționat a cărui activitate constă în criptarea fișierelor utilizatorului și apoi solicitarea unei răscumpări pentru instrumentul de decriptare. Sumele de răscumpărare încep de la 200 de dolari și ajung la zeci și sute de mii de bucăți de hârtie verzi.
Cu câțiva ani în urmă, numai computerele bazate pe Windows au fost atacate de această clasă de malware. Astăzi, gama lor s-a extins la Linux, Mac și Android aparent bine protejate. În plus, varietatea de criptoare este în continuă creștere - produse noi apar unul după altul, care au ceva să surprindă lumea. Astfel, a apărut din cauza „încrucișării” unui troian clasic de criptare și a unui vierme de rețea (un program rău intenționat care se răspândește în rețele fără participarea activă a utilizatorilor).
După WannaCry, au apărut Petya și Bad Rabbit, nu mai puțin sofisticați. Și din moment ce „afacerea de criptare” aduce venituri bune proprietarilor săi, puteți fi sigur că nu sunt ultimii.
Din ce în ce mai mulți criptori, în special cei care au fost lansati în ultimii 3-5 ani, folosesc algoritmi criptografici puternici care nu pot fi sparți nici prin forța brută, nici prin alte mijloace existente. Singura modalitate de a recupera datele este să folosești cheia originală, pe care atacatorii o oferă să o cumpere. Cu toate acestea, chiar și transferul sumei necesare către ei nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă potențiale profituri. Și ce rost are să-și țină promisiunile dacă au deja banii?
Căile de distribuție a virușilor de criptare
Principala modalitate prin care malware-ul ajunge pe computerele utilizatorilor privați și ale organizațiilor este e-mailul sau, mai precis, fișierele și linkurile atașate la e-mailuri.
Un exemplu de astfel de scrisoare destinată „clienților corporativi”:
- „Rambursează-ți imediat datoria de împrumut.”
- „Cererea a fost depusă în instanță”.
- „Plătește amenda/taxa/taxa.”
- „Taxă suplimentară pentru facturile de utilități.”
- „Oh, tu ești în fotografie?”
- „Lena mi-a cerut să-ți dau asta urgent” etc.
De acord, doar un utilizator informat ar trata o astfel de scrisoare cu prudență. Majoritatea oamenilor, fără ezitare, vor deschide atașamentul și vor lansa ei înșiși programul rău intenționat. Apropo, în ciuda strigătelor antivirusului.
Următoarele sunt, de asemenea, utilizate în mod activ pentru a distribui ransomware:
- Rețelele sociale (e-mailuri din conturile prietenilor și străinilor).
- Resurse web rău intenționate și infectate.
- Banner publicitar.
- Trimitere prin mesagerie din conturi piratate.
- Site-uri Vareznik și distribuitori de keygen și crack-uri.
- Site-uri pentru adulți.
- Magazine de aplicații și conținut.
Virușii de criptare sunt adesea transportați de alte programe rău intenționate, în special, demonstranții de publicitate și troienii backdoor. Acesta din urmă, folosind vulnerabilități din sistem și software, ajută criminalul să obțină acces de la distanță la dispozitivul infectat. Lansarea criptatorului în astfel de cazuri nu coincide întotdeauna în timp cu acțiunile utilizatorului potențial periculoase. Atâta timp cât ușa din spate rămâne în sistem, un atacator poate pătrunde în dispozitiv în orice moment și poate iniția criptarea.
Pentru a infecta computerele organizațiilor (la urma urmei, din ele se poate extrage mai mult decât de la utilizatorii casnici), se dezvoltă metode deosebit de sofisticate. De exemplu, troianul Petya a pătruns în dispozitive prin modulul de actualizare al programului de contabilitate fiscală MEDoc.
Criptoarele cu funcții de viermi de rețea, așa cum am menționat deja, se răspândesc în rețele, inclusiv pe Internet, prin vulnerabilitățile protocolului. Și te poți infecta cu ele fără să faci absolut nimic. Utilizatorii sistemelor de operare Windows care sunt rar actualizate sunt expuși celui mai mare risc, deoarece actualizările închid lacune cunoscute.
Unele programe malware, cum ar fi WannaCry, exploatează vulnerabilități de tip 0-day, adică cele de care dezvoltatorii de sisteme nu sunt încă conștienți. Din păcate, este imposibil să reziste pe deplin infecției în acest fel, dar probabilitatea ca tu să fii printre victime nici măcar nu ajunge la 1%. De ce? Da, deoarece programele malware nu pot infecta toate mașinile vulnerabile simultan. Și în timp ce planifică noi victime, dezvoltatorii de sistem reușesc să lanseze o actualizare care salvează vieți.
Cum se comportă ransomware-ul pe un computer infectat
Procesul de criptare, de regulă, începe neobservat, iar când semnele sale devin evidente, este prea târziu pentru a salva datele: până atunci, malware-ul a criptat tot ce poate ajunge. Uneori, un utilizator poate observa că extensia fișierelor dintr-un folder deschis s-a schimbat.
Apariția nerezonabilă a unei noi și uneori a unei a doua extensii pe fișiere, după care nu se mai deschide, indică în mod absolut consecințele unui atac de criptare. Apropo, de obicei este posibil să se identifice malware-ul după extensia pe care o primesc obiectele deteriorate.
Un exemplu despre ce pot fi extensiile fișierelor criptate:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn etc.
Există o mulțime de opțiuni, iar altele noi vor apărea mâine, așa că nu are rost să enumerați totul. Pentru a determina tipul de infecție, este suficient să alimentați mai multe extensii motorului de căutare.
Alte simptome care indică indirect începutul criptării:
- Ferestrele din linia de comandă apar pe ecran pentru o fracțiune de secundă. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor de sistem și program, dar este mai bine să nu îl lăsați nesupravegheat.
- UAC solicită lansarea unui program pe care nu intenționați să îl deschideți.
- O repornire bruscă a computerului urmată de simularea funcționării utilitarului de verificare a discului de sistem (sunt posibile alte variante). În timpul „verificării”, are loc procesul de criptare.
După ce operațiunea rău intenționată este finalizată cu succes, pe ecran apare un mesaj cu o cerere de răscumpărare și diverse amenințări.
Ransomware-ul criptează o parte semnificativă a fișierelor utilizatorului: fotografii, muzică, videoclipuri, documente text, arhive, e-mail, baze de date, fișiere cu extensii de program etc. Cu toate acestea, nu ating obiectele sistemului de operare, deoarece atacatorii nu au nevoie de computerul infectat pentru a opreste munca. Unii viruși înlocuiesc înregistrările de pornire ale discurilor și partițiilor.
După criptare, toate copiile umbre și punctele de recuperare sunt de obicei șterse din sistem.
Cum să vindeci un computer de ransomware
Eliminarea programelor malware dintr-un sistem infectat este ușoară — aproape toate programele antivirus le pot gestiona fără dificultate pe majoritatea acestora. Dar! Este naiv să credem că a scăpa de vinovat va rezolva problema: fie că eliminați virusul sau nu, fișierele vor rămâne totuși criptate. În plus, în unele cazuri acest lucru va complica decriptarea lor ulterioară, dacă este posibil.
Procedura corectă la pornirea criptării
- Odată ce observați semne de criptare, Opriți imediat alimentarea computerului apăsând și apăsat butonulPutere timp de 3-4 secunde. Acest lucru va salva cel puțin unele dintre fișiere.
- Creați un disc de pornire sau o unitate flash cu un program antivirus pe alt computer. De exemplu, , , etc.
- Porniți mașina infectată de pe acest disc și scanați sistemul. Eliminați orice viruși găsiți și păstrați-i în carantină (în cazul în care sunt necesari pentru decriptare). Abia după aceea puteți porni computerul de pe hard disk.
- Încercați să recuperați fișierele criptate din copii umbra utilizând instrumente de sistem sau utilizând o terță parte.
Ce trebuie să faceți dacă fișierele sunt deja criptate
- Nu-ți pierde speranța. Site-urile web ale dezvoltatorilor de produse antivirus conțin utilitare gratuite de decriptare pentru diferite tipuri de malware. În special, utilitățile de la și .
- După ce ați determinat tipul de codificator, descărcați utilitarul corespunzător, cu siguranță fă-o copii fișiere deteriorateși încearcă să le descifrezi. Dacă reușiți, descifrați restul.
Dacă fișierele nu sunt decriptate
Dacă niciunul dintre utilitare nu ajută, este probabil să fi suferit de un virus pentru care nu există încă un tratament.
Ce poți face în acest caz:
- Dacă utilizați un produs antivirus plătit, contactați asistența acestuia. Trimiteți mai multe copii ale fișierelor deteriorate la laborator și așteptați un răspuns. Dacă este posibil din punct de vedere tehnic, ei vă vor ajuta.
- Dacă se dovedește că fișierele sunt deteriorate fără speranță, dar sunt de mare valoare pentru tine, nu poți decât să speri și să aștepți că într-o zi va fi găsit un remediu de salvare. Cel mai bun lucru pe care îl puteți face este să lăsați sistemul și fișierele așa cum sunt, adică să închideți complet și să nu utilizați hard diskul. Ștergerea fișierelor malware, reinstalarea sistemului de operare și chiar actualizarea acestuia vă poate priva și această șansă, deoarece la generarea cheilor de criptare/decriptare se folosesc adesea identificatori unici de sistem și copii ale virusului.
Plata răscumpărării nu este o opțiune, deoarece probabilitatea de a primi cheia este aproape de zero. Și nu are rost să finanțezi o afacere criminală.
Cum să te protejezi de acest tip de malware
Nu aș vrea să repet sfaturi pe care fiecare dintre cititori le-a auzit de sute de ori. Da, este important să instalați un antivirus bun, să nu faceți clic pe linkuri suspecte și blablabla. Totuși, așa cum a arătat viața, o pastilă magică care să-ți ofere o garanție de securitate 100% nu există astăzi.
Singura metodă eficientă de protecție împotriva ransomware-ului de acest fel este copia de rezerva a datelor către alte medii fizice, inclusiv servicii cloud. Backup, backup, backup...
De asemenea pe site:
Fără o șansă de salvare: ce este un virus de criptare și cum să-i faci față actualizat: 1 septembrie 2018 de: Johnny Mnemonic
Să vă reamintim: Troienii din familia Trojan.Encoder sunt programe rău intenționate care criptează fișierele de pe hard diskul unui computer și solicită bani pentru decriptarea acestora. Fișierele *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar și așa mai departe pot fi criptate.
Nu a fost posibil să întâlnim personal întreaga familie a acestui virus, dar, după cum arată practica, metoda de infectare, tratament și decodare este aproximativ aceeași pentru toată lumea:
1. victima este infectată printr-un e-mail spam cu un atașament (mai rar prin mijloace infecțioase),
2. virusul este recunoscut și eliminat (deja) de aproape orice antivirus cu baze de date proaspete,
3. fișierele sunt decriptate prin selectarea cheilor de parolă pentru tipurile de criptare utilizate.
De exemplu, Trojan.Encoder.225 folosește criptarea RC4 (modificat) + DES, iar Trojan.Encoder.263 folosește BlowFish în modul CTR. Acești viruși sunt în prezent descifrabili în proporție de 99% pe baza experienței personale.
Dar nu totul este atât de lin. Unii viruși de criptare necesită luni de decriptare continuă (Trojan.Encoder.102), în timp ce alții (Trojan.Encoder.283) nu pot fi decriptați corect nici măcar de specialiștii de la Doctor Web, care, de fapt, joacă un rol cheie în acest articol.
Acum, în ordine.
La începutul lunii august 2013, clienții m-au contactat cu problema fișierelor criptate de virusul Trojan.Encoder.225. Virusul, la acea vreme, era nou, nimeni nu știa nimic, erau 2-3 link-uri Google tematice pe Internet. După o lungă căutare pe Internet, se dovedește că singura organizație (găsită) care se ocupă de problema decriptării fișierelor după acest virus este compania Doctor Web. Și anume: oferă recomandări, ajută la contactarea suportului tehnic, dezvoltă propriile decriptoare etc.
Retragere negativă.
Și, profitând de această ocazie, aș dori să subliniez două ingrasand
minus Kaspersky Lab. Pe care, atunci când își contactează asistența tehnică, ei îl resping „lucrăm la această problemă, vă vom anunța rezultatele prin poștă”. Și totuși, dezavantajul este că nu am primit niciodată un răspuns la cerere. Dupa 4 luni. La naiba cu timpul de reacție. Și aici mă străduiesc pentru standardul „nu mai mult de o oră de la finalizarea cererii”.
Să-ți fie rușine, tovarășe Evgeniy Kaspersky, director general al Kaspersky Lab. Dar am o jumătate bună din toate companiile „stau” pe el. Ei bine, licențele expiră în ianuarie-martie 2014. Merită să vorbim dacă îmi voi reînnoi permisul?;)
Vă prezint chipurile „specialiștilor” de la companii „mai simple”, ca să zic așa, NU giganți ai industriei antivirus. Probabil că doar „s-au înghesuit într-un colț” și „au plâns în liniște”.
Deși, mai mult, absolut toată lumea a fost complet înșurubată. Antivirusul, în principiu, nu ar fi trebuit să permită acestui virus să pătrundă pe computer. Mai ales având în vedere tehnologia modernă. Iar „ei”, GIGANTII industriei anti-VIRUS, se presupune că au totul acoperit, „analiza euristică”, „sistem preventiv”, „protecție proactivă”...
UNDE ERAU TOATE ACESTE SUPER-SISTEME CÂND LUNCITORUL DEPARTAMENTULUI DE HR A DESCHIS O SCRISOARE „HALMONEST” CU SUBIECTUL „CURVA”???
Ce trebuia să creadă angajatul?
Dacă TU nu ne poți proteja, atunci de ce avem nevoie de TINE?
Și totul ar fi bine cu Doctor Web, dar pentru a obține ajutor, trebuie, desigur, să aveți o licență pentru oricare dintre produsele lor software. Când contactați asistența tehnică (denumită în continuare TS), trebuie să furnizați numărul de serie Dr.Web și nu uitați să selectați „cerere de tratament” în linia „Categorie de solicitare:” sau pur și simplu să le furnizați un fișier criptat către laborator. Voi face imediat o rezervare că așa-numitele „chei jurnal” ale Dr.Web, care sunt postate în loturi pe Internet, nu sunt potrivite, deoarece nu confirmă achiziționarea niciunui produs software și sunt eliminate prin Specialiști TP o dată sau de două ori. Este mai ușor să cumpărați cea mai „ieftină” licență. Pentru că dacă începi decriptarea, această licență va plăti pentru tine de un milion de ori. Mai ales dacă folderul cu fotografii „Egypt 2012” era într-o singură copie...
Încercarea nr. 1
Deci, după ce am cumpărat o „licență pentru 2 PC-uri timp de un an” pentru o sumă n de bani, contactând TP-ul și furnizând câteva fișiere, am primit un link către utilitarul de decriptare te225decrypt.exe versiunea 1.3.0.0. Anticipând succesul, lansez utilitarul (trebuie să îl îndreptați către unul dintre fișierele *.doc criptate). Utilitarul începe selecția, încărcând fără milă vechiul procesor E5300 DualCore, 2600 MHz (overclockat la 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital la 90-100%.
Iată, în paralel cu mine, un coleg pe un PC core i5 2500k (overclockat la 4.5ghz) / 16 ram 1600 / ssd intel se alătură lucrării (aceasta este pentru compararea timpului petrecut la sfârșitul articolului).
După 6 zile, utilitarul a raportat că au fost decriptate 7277 de fișiere. Dar fericirea nu a durat mult. Toate fișierele au fost decriptate „în mod strâmb”. Adică, de exemplu, documentele Microsoft Office se deschid, dar cu diverse erori: „Aplicația Word a detectat conținut în documentul *.docx care nu a putut fi citit” sau „Fișierul *.docx nu poate fi deschis din cauza unor erori în conținutul său. .” Fișierele *.jpg se deschid, de asemenea, fie cu o eroare, fie 95% din imagine se dovedește a fi un fundal negru decolorat sau verde deschis. Pentru fișierele *.rar - „Sfârșitul neașteptat al arhivei”.
Per total un eșec total.
Încercarea nr. 2
Scriem lui TP despre rezultate. Ei vă cer să furnizați câteva fișiere. O zi mai târziu oferă din nou un link către utilitarul te225decrypt.exe, dar de data aceasta versiunea 1.3.2.0. Ei bine, haideți să lansăm, oricum nu a existat nicio alternativă. Trec aproximativ 6 zile și utilitarul se termină cu eroarea „Nu se pot selecta parametrii de criptare”. Total 13 zile „la scurgere”.
Dar nu renunțăm, avem documente importante de la clientul nostru *prost* fără copii de siguranță de bază.
Încercarea nr. 3
Scriem lui TP despre rezultate. Ei vă cer să furnizați câteva fișiere. Și, după cum probabil ați ghicit, o zi mai târziu oferă un link către același utilitar te225decrypt.exe, dar versiunea 1.4.2.0. Ei bine, haideți să lansăm, nu a existat alternativă și nu a apărut nici de la Kaspersky Lab, nici de la ESET NOD32, nici de la alți producători de soluții antivirus. Și acum, după 5 zile 3 ore și 14 minute (123,5 ore), utilitarul raportează că fișierele au fost decriptate (pentru un coleg pe un core i5, decriptarea a durat doar 21 de ore și 10 minute).
Ei bine, cred că a fost sau nu a fost. Și iată: succes total! Toate fișierele sunt decriptate corect. Totul se deschide, se închide, arată, editează și salvează corect.
Toată lumea este fericită, Sfârșitul.
„Unde este povestea despre virusul Trojan.Encoder.263?”, vă întrebați. Și pe următorul computer, sub masă... era. Totul era mai simplu acolo: scriem la Doctor Web TP, luăm utilitarul te263decrypt.exe, îl lansăm, așteptăm 6,5 zile, voila! și totul este gata Pentru a rezuma, pot da câteva sfaturi de pe forumul Doctor Web în ediția mea:
Ce trebuie să faceți dacă sunteți infectat cu un virus ransomware:
- trimite la laboratorul de virus Dr. Web sau în „Trimiteți fișierul suspect” formați un fișier document criptat.
- Așteptați un răspuns de la un angajat Dr.Web și apoi urmați instrucțiunile acestuia.
Ce sa nu faci:
- modificarea extensiei fișierelor criptate; În caz contrar, cu o cheie selectată cu succes, utilitarul pur și simplu nu va „vedea” fișierele care trebuie decriptate.
- utilizați independent, fără consultarea specialiștilor, orice programe de decriptare/recuperare a datelor.
Atentie, avand un server liber de alte sarcini, va ofer serviciile mele gratuite pentru decriptarea datelor DVS. Nucleu de server i7-3770K cu overclocking la *anumite frecvențe*, 16 GB RAM și SSD Vertex 4.
Pentru toți utilizatorii activi ai Habr, utilizarea resurselor mele va fi GRATUITĂ!!!
Scrie-mi într-un mesaj personal sau prin alte contacte. Am „mâncat câinele” deja. Prin urmare, nu sunt prea leneș să pun serverul pe decriptare peste noapte.
Acest virus este „flaga” al timpului nostru și a lua „pradă” de la colegii soldați nu este uman. Deși, dacă cineva „aruncă” câțiva dolari în contul meu Yandex.money 410011278501419, nu mă deranjează. Dar acest lucru nu este deloc necesar. Contactaţi-ne. Procesez aplicațiile în timpul liber.
Informație nouă!
Începând cu 8 decembrie 2013, un nou virus din aceeași serie Trojan.Encoder a început să se răspândească sub clasificarea Doctor Web - Trojan.Encoder.263, dar cu criptare RSA. Această vizualizare este pentru astăzi (20.12.2013) nu poate fi descifrat, deoarece folosește o metodă de criptare foarte puternică.
Recomand tuturor celor care au suferit de acest virus:
1. Folosind căutarea încorporată Windows, găsiți toate fișierele care conțin extensia .perfect și copiați-le pe un suport extern.
2. Copiați și fișierul CONTACT.txt
3. Așezați acest suport extern „pe raft”.
4. Așteptați să apară utilitarul de decriptare.
Ce sa nu faci:
Nu e nevoie să te încurci cu criminalii. Asta e o prostie. În mai mult de 50% din cazuri, după „plata” a aproximativ 5000 de ruble, nu veți primi NIMIC. Fără bani, fără decriptor.
Pentru a fi corect, merită remarcat faptul că există acei oameni „norocoși” pe internet care și-au primit fișierele înapoi prin decriptare pentru „pradă”. Dar nu ar trebui să ai încredere în acești oameni. Dacă aș fi scriitor de viruși, primul lucru pe care l-aș face ar fi să răspândesc informații de genul „Am plătit și mi-au trimis un decodor!!!”
În spatele acestor „norocoși” pot fi aceiași atacatori.
Ei bine... să urăm mult noroc altor companii de antivirus în crearea unui utilitar pentru decriptarea fișierelor după grupul de viruși Trojan.Encoder.
Mulțumiri speciale tovarășului v.martyanov de pe forumul Doctor Web pentru munca depusă la crearea utilităților de decriptare.
Ai devenit victima unui ransomware? Nu plătiți răscumpărarea!
Decriptoarele noastre gratuite vă vor ajuta să recâștigați accesul la fișierele blocate de diferite tipuri de ransomware descrise mai jos. Doar selectați un titlu pentru a vedea semnele de infecție și pentru a obține ajutor gratuit.
Doriți să evitați infecțiile cu ransomware în viitor?
Dulapul Alcatraz
Alcatraz Locker este unul dintre programele ransomware care a fost descoperit pentru prima dată la mijlocul lunii noiembrie 2016. Folosește metoda AES 256 în combinație cu codificarea Base64 pentru a cripta fișierele.
Schimbarea numelor fișierelor.
Fișierele criptate primesc extensia .Alcatraz.
Mesaj de răscumpărare.
răscumpărat.html" pe desktop:
Dacă Alcatraz a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
Apocalipsa
Apocalypse este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Semnele de infecție sunt descrise mai jos.
Schimbarea numelor fișierelor.
Apocalypse adaugă extensii .criptate, .La naiba cu datele tale, .blocat, .Fișier criptat sau .SecureCrypted Teză.doc.blocat.)
Mesaj de răscumpărare.
La deschiderea unui fișier cu extensia .Cum_Se_decriptează.txt, .README.Txt, .Contactați_Aici_Pentru_Recuperarea_Fișierelor_Dvs..txt, .Cum_se_recuperează_datele.txt sau .Unde_fișierele_mea.txt(De exemplu, Thesis.doc.How_To_Decrypt.txt) va apărea un mesaj similar cu următorul:
BadBlock
BadBlock este un tip de ransomware care a fost descoperit pentru prima dată în mai 2016. Semnele de infecție sunt descrise mai jos.
Schimbarea numelor fișierelor.
BadBlock nu redenumește fișierele.
Mesaj de răscumpărare.
După ce v-a criptat fișierele, troianul BadBlock afișează unul dintre următoarele mesaje (folosind fișierul exemplu Ajutor Decrypt.html):
Dacă BadBlock a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
Bart
Bart este un tip de ransomware care a fost descoperit pentru prima dată la sfârșitul lunii iunie 2016. Semnele de infecție sunt descrise mai jos.
Schimbarea numelor fișierelor.
Programul Bart adaugă text .bart.zip la sfârșitul numelor fișierelor (de exemplu, în loc de Thesis.doc fișierul va fi apelat Teză.docx.bart.zip). Această arhivă ZIP criptată conține fișierele sursă.
Mesaj de răscumpărare.
După criptarea fișierelor, Bart schimbă fundalul desktopului, așa cum se arată mai jos. Textul din această imagine poate fi folosit și pentru a identifica programul Bart. Textul este stocat pe desktop în fișiere recupera.bmpȘi recupera.txt.
Dacă Bart a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
Recunoștință. Dorim să-i mulțumim lui Peter Conrad, autorul programului PkCrack, care ne-a permis să folosim biblioteca sa în decriptorul nostru pentru troianul ransomware Bart.
Cripta888
Crypt888 (cunoscut și ca Mircop) este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Semnele de infecție sunt descrise mai jos.
Schimbarea numelor fișierelor.
Programul Crypt888 adaugă text Lacăt. la începutul numelor de fișiere (de exemplu, în loc de Thesis.doc fișierul va fi apelat Blocare.Teza.doc).
Mesaj de răscumpărare.
După criptarea fișierelor, Crypt888 schimbă fundalul desktopului la una dintre opțiunile de mai jos.
Dacă Crypt888 a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
CryptoMix (versiunea independentă)
CryptoMix (cunoscut și ca CryptFile2 și Zeta) este unul dintre programele ransomware care a fost observat pentru prima dată în martie 2016. La începutul anului 2017 a apărut o nouă varietate de CryptoMix, numită CryptoShield. Ambele versiuni ale programului criptează fișierele folosind algoritmul AES256 cu o cheie de criptare unică care este descărcată de pe un server la distanță. Dacă serverul nu este disponibil sau utilizatorul nu are o conexiune la Internet, ransomware-ul criptează fișierele folosind o cheie fixă („cheie offline”).
Notă. Decriptorul propus este capabil să deblocheze numai fișierele criptate folosind o „cheie offline”. În cazurile în care o cheie offline nu a fost folosită pentru a cripta fișierele, decriptorul nostru nu va putea restabili accesul la fișiere.
Schimbarea numelor fișierelor.
.CRYPTOSHIELD, .rdmk, lesli, .scl, .cod, .rmd sau .rscl.
Mesaj de răscumpărare.
După criptarea fișierelor de pe computer, puteți găsi următoarele fișiere:
Dacă CryptoMix a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
CrySiS
CrySiS (JohnyCryptor, Virus-Encode sau Aura) este unul dintre programele ransomware care a fost observat pentru prima dată în septembrie 2015. Utilizează criptarea AES256 în combinație cu metoda de criptare asimetrică RSA1024.
Schimbarea numelor fișierelor.
Fișierele criptate au una dintre următoarele extensii:
[email protected]
,
[email protected]
,
[email protected]
,
[email protected]
,
.{[email protected]).CrySiS,
.{[email protected]).xtbl,
.{[email protected]).xtbl,
.{[email protected]).xtbl
Mesaj de răscumpărare.
După criptarea fișierelor, programul afișează unul dintre următoarele mesaje. Acest mesaj este conținut într-un fișier numit „ Instructiuni de decriptare.txt», « Instructiuni de decriptare.txt" sau "* README.txt"pe desktop.
Dacă CrySiS a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
Glob
Globe este unul dintre programele de tip ransomware care a fost descoperit pentru prima dată în august 2016. Utilizează metoda de criptare RC4 sau Blowfish. Semnele de infecție sunt descrise mai jos.
Schimbarea numelor fișierelor.
Globe adaugă una dintre următoarele extensii la numele fișierului: .ACRIPTA, .GSupport, .blackblock, .dll555, .duhust, .exploata, .îngheţat, .glob, .gsupport, .kyra, .epurat, .raid, [email protected] , .xtbl, .zendrz, .zendr sau .hnan. Mai mult, unele versiuni ale programului criptează numele fișierului în sine.
Mesaj de răscumpărare.
După criptarea fișierelor, programul afișează următorul mesaj, care se află în fișierul „ Cum să restabiliți fișierele.hta" sau " Citește-mă, te rog.hta»):
Dacă Globe a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
HiddenTear
HiddenTear este unul dintre primele programe ransomware open source găzduite pe GitHub și cunoscut din august 2015. De atunci, sute de variante ale programului HiddenTear au fost create de escroci folosind cod sursă deschisă. HiddenTear folosește criptarea AES.
Schimbarea numelor fișierelor.
Fișierele criptate primesc una dintre următoarele extensii (dar pot avea altele): .blocat, .34xxx, .bloccato, .BUGSECCC, .Hollycrypt, .Lacăt, .saeid, .deblocați, .razy, .mecpt, .monstru, .lok, .암호화됨 , .8lock8, .dracu', .zburător, .kratos, .criptate, .CAZZO, .condamnat.
Mesaj de răscumpărare.
Când fișierele sunt criptate, pe ecranul de start al utilizatorului apare un fișier text (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Diferite opțiuni pot afișa, de asemenea, un mesaj de răscumpărare:
Dacă HiddenTear a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
Jigsaw
Jigsaw este unul dintre programele ransomware care există din martie 2016. Ea este numită după ticălosul filmului poreclit „Jigsaw Killer”. Unele variante ale acestui program folosesc o imagine a acestui personaj pe ecran cu o cerere de răscumpărare pentru deblocare.
Schimbarea numelor fișierelor.
Fișierele criptate primesc una dintre următoarele extensii: .kkk, .btc, .gws, .J, .criptate, .porno, .răscumpărare, .pornoransom, .epic, .xyz, .versiegelt, .criptate, .payb, .plateste, .plăți, .paymds, .plăți, .plata, .payrms, .plate, .plăți, .paybtcs, .distracţie, .tăcere, [email protected] sau .gefickt.
Mesaj de răscumpărare.
Odată ce fișierele sunt criptate, va fi afișat unul dintre ecranele de mai jos:
Dacă Jigsaw a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
Legiune
Legion este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Următoarele sunt simptomele unei infecții.
Schimbarea numelor fișierelor.
Legion adaugă ceva de genul [email protected]$.legiune sau [email protected]$.cbf la sfârșitul numelor fișierelor. (De exemplu, în loc de Thesis.doc fișierul va fi apelat [email protected]$.legiune.)
Mesaj de răscumpărare.
După criptarea fișierelor, Legion vă schimbă fundalul desktopului și afișează o fereastră pop-up similară cu aceasta:
Dacă Legion a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.
Instrucțiuni
Apelați meniul principal al sistemului Microsoft Windows făcând clic pe butonul „Start” și accesați „Toate programele” pentru a efectua operația de decriptare a fișierelor criptate anterior.
Apelați meniul contextual al fișierului, folderului sau discului care urmează să fie decriptat făcând clic dreapta și selectați „Proprietăți”.
Accesați fila „General” a casetei de dialog care se deschide și selectați comanda „Altele”.
Debifați caseta de selectare Criptare conținut pentru a proteja datele și faceți clic pe OK pentru a aplica modificările selectate. Vă rugăm să rețineți că atunci când decriptați folderele care sunt criptate fișiereși subfolderele rămân criptate dacă nu se specifică altfel, iar fișierele și subfolderele nou create ale folderului decriptat nu vor fi supuse criptării.
Descărcați instrumentul gratuit te19decrypt.exe de pe site-ul oficial al dezvoltatorului aplicației antivirus Dr.Web și rulați fișierul executabil utilitar pentru a efectua operația de decriptare a fișierelor criptate de virusul Trojan.Encoder. (Acest virus este un program ransomware care criptează fișierele utilizatorului și apoi se șterge singur. Acest lucru lasă un fișier text crypted.txt pe unitatea de sistem care conține o cerere de transfer de bani de diferite sume pentru a decripta fișierele deteriorate.)
Faceți clic pe butonul „Continuați” din fereastra principală a programului și acceptați propunerea de a specifica manual locația fișierului cheie c:crypted.txt.
Introduceți calea completă către fișierul dorit în caseta de dialog Deschidere și faceți clic pe OK pentru a confirma comanda.
Notă
Nu încercați să ștergeți singur fișierul text cu:\crypted.txt, deoarece decriptarea fișierelor criptate de un virus va deveni atunci imposibilă!
Surse:
- Decriptarea unui fișier sau folder
- Cum se decriptează fișierele criptate de virusul Trojan.Encoder?
- fișier criptat
- Decriptarea fișierelor EFS
Unii viruși criptează fișierele utilizatorului, după care accesul la acestea prin mijloace normale poate fi limitat. Restabilirea modului normal are loc prin intervenție software.
Instrucțiuni
Efectuați o scanare suplimentară a computerului pentru viruși. După aceasta, descărcați unul dintre programele anti-Troian de pe Internet. Acest lucru este necesar dacă programul rău intenționat a fost ascuns de antivirus. Efectuați o verificare și apoi găsiți cel criptat fișiere.
Faceți o copie de rezervă a acestora pentru orice eventualitate și asigurați-vă că nu există amenințări pe computer. Notați numele complet al troienilor găsiți pe computerul dvs. Acest lucru este necesar pentru a obține mai târziu acces la informații despre metodele de criptare a fișierelor, deoarece utilitarele de uz general este puțin probabil să fie potrivite aici. Din același motiv, nu vă grăbiți să eliminați programele malware de pe computer atunci când îl scanați inițial.
Descărcați orice utilitar pentru a decripta fișierele după ce ați fost infectat de viruși. Astfel de utilități sunt de obicei disponibile pe site-urile web oficiale ale dezvoltatorilor de sisteme antivirus. De asemenea, atunci când alegeți un program, ghidați-vă după numele troianului care a efectuat criptarea, deoarece multe dintre ele folosesc metode diferite.
Cel mai bine este să descărcați de pe site-urile dezvoltatorilor de sisteme de securitate pe care îi cunoașteți, deoarece din nou există riscul de a întâlni malware. De obicei, aceste utilități au o perioadă de probă în care pot fi utilizate pentru tratament.
Urmând instrucțiunile sistemului, selectați-le pe cele criptate cu viruși în utilitarul descărcat care rulează pe computer fișiereși, urmând instrucțiunile sistemului, efectuați acțiunile necesare. După aceasta, verificați din nou dacă există viruși, în special în ceea ce privește fișierele pe care le-ați decriptat.
După aceasta, instalați un software antivirus de încredere și actualizat pe computer pentru a preveni situații similare să apară în viitor.
Video pe tema
Sfaturi utile
Utilizați software antivirus.
VIN mașina conține aproape toate informațiile importante și valoroase despre vehicul: de la țara în care a fost asamblată mașina până la culoarea, anul de fabricație și echipare. Pentru a vă pune la dispoziție toate aceste informații, VIN trebuie doar să înveți să citești.
Vei avea nevoie
- - Codul VIN al mașinii
Instrucțiuni
Identificați componentele dvs VIN A.
VIN-cod este format din 17 caractere, care sunt împărțite în trei părți:
- indicele mondial al producătorilor sau WMI;
- partea descriptivă sau VDS;
- parte distinctivă sau indice mondial VIS al producătorului - acestea sunt primele trei caractere VIN a, partea descriptivă este formată din următoarele șase caractere, iar ultimele opt caractere sunt partea distinctivă. Să aruncăm o privire mai atentă la ce informații pot fi adunate prin descifrarea fiecărei părți componente VIN A.
Descifrați indexul producătorului mondial Primul caracter al indexului vă va spune în ce parte a lumii a fost făcută al dvs., al doilea - în ce țară, iar al treilea va indica producătorul specific. Literele alfabetului latin de la A la H sunt în această parte codși, dacă mașina a fost asamblată în Africa; de la J la R - într-una dintre țările asiatice și de la S la Z - în Europa. Tot printre primele trei personaje VINși poți găsi și numere. Dacă patria ta este America de Nord, vei găsi numere de la 1 la 5; daca a fost facut in Oceania, atunci indexul producatorului va contine numerele 6 sau 7, iar pentru producatorii din America de Sud numerele vor fi 8 sau 9.
Descifrați partea descriptivă a indexului. Aceste șase simboluri sunt folosite pentru a descrie tipul de vehicul: pe baza căruia este construit, modelul de mașină, tipul de caroserie și altele. Aceste simboluri sunt unice pentru fiecare producător, așa că pentru o decodare mai detaliată ar trebui să căutați informații legate de .Ultima parte descriptivă specifică. VIN iar majoritatea producătorilor după 1980 îl folosesc pentru a indica tipul de motor. Să remarcăm, totuși, că acest lucru este valabil numai pentru acele modele în producția cărora producătorul a prevăzut instalarea unui alt tip și/sau volum.
Descifrați partea distinctivă. Acesta conține informații care se aplică exclusiv vehiculului dumneavoastră. Producătorul ar fi putut cripta ultimele opt caractere VINși configurația mașinii dvs., culoarea acesteia, tipul transmisiei. Uneori se întâmplă ca partea distinctivă să fie pur și simplu o secvență de caractere care corespunde fiecărei mașini specifice din baza de date generală a producătorului și nu este deloc descifrată. Cu toate acestea, iată ce putem spune cu încredere: al zecelea caracter al niciunuia VIN-cod iar mașina este codul pentru anul de fabricație. Literele alfabetului latin de la A la Y corespund anilor 1980 până în 2000, respectiv. Dacă mașina a fost produsă între 2001 și 2009, atunci VINîn număr, al zecelea caracter va fi un număr de la 1 la 9. Toți anii următori, începând cu 2010, sunt din nou desemnați în conformitate cu literele latine, începând cu A.
Sfaturi utile
Pentru a ajuta pasionații de mașini, există un număr mare de organizații pe Internet care oferă gratuit descifrarea informațiilor generale în codul VIN.
De asemenea, contra cost, marile organizații internaționale precum Carfax și Autocheck pot oferi informații fiabile despre dacă vehiculul a fost implicat în accidente de circulație, unde a fost întreținut, care este kilometrajul său și alte date. Este complet legal și conceput pentru a permite pasionaților de mașini din întreaga lume să afle istoricul unei mașini second hand înainte de a cumpăra.
Surse:
- car vin
Criptarea folderelor este cea mai fiabilă modalitate de a proteja informațiile furnizate de sistemul de operare Windows. Utilizatorul care a criptat fișierul poate lucra cu acesta în același mod ca și cu alte foldere, dar pentru a asigura accesul la datele criptate, este necesară o copie de rezervă a certificatului și a cheii de criptare.
Instrucțiuni
Apelați meniul contextual al folderului sau fișierului de criptat și accesați „Proprietăți”.
Selectați fila „General” din caseta de dialog care se deschide și selectați „Avansat”.
Selectați caseta de selectare Criptare conținut pentru a proteja datele și faceți clic pe OK pentru a confirma operația de criptare.
Debifați caseta de selectare Criptare conținut pentru a proteja datele și faceți clic pe OK pentru a confirma operația de decriptare pentru fișierul sau folderul selectat.
Faceți clic pe butonul „Start” pentru a deschide meniul principal al sistemului și introduceți valoarea certmgr.msc pentru a lansa instrumentul „Manager” pentru a crea o copie de rezervă a certificatului EFS a folderului criptat.
Apăsați Enter pentru a confirma comanda și a extinde pliant„Personal” făcând clic pe săgeata de lângă acesta.
Specificați secțiunea Certificate și selectați certificatul care listează EFS File System în Destinations.
Asigurați-vă că certificatul selectat este corect derulând detaliile acestuia la dreapta și aplicați acest algoritm tuturor certificatelor EFS existente.
Selectați „Toate sarcinile” din meniul „Acțiune” din bara de instrumente de sus a ferestrei aplicației și selectați comanda „Export”.
Confirmați parola administratorului computerului reintroducând câmpul de confirmare și faceți clic pe „Next” pentru a crea fișierul de stocare a certificatului.
Specificați numele fișierului selectat și calea completă și faceți clic pe butonul „Terminare”.
Video pe tema
Notă
Dosarele și fișierele comprimate nu pot fi criptate.
Sfaturi utile
Numai fișierele și folderele aflate pe volume NTFS pot fi criptate.
Surse:
- Criptați și decriptați folderul și fișierul în 2019
Sistemul de operare Windows vă permite să setați opțiunea de criptare în atribute. Fișierul va fi apoi citit numai de acel utilizator, cel pe care îl specifică ca „agent de recuperare” sau utilizatorul care are „cheia publică”. Dacă este necesară anularea în viitor criptare, puteți face acest lucru și în setările fișierului sau folderului.
Lansați „Explorer” - apăsați combinația de taste Win + E sau selectați „Computer” în meniul principal al sistemului de operare. Utilizați arborele de directoare din panoul din stânga pentru a naviga la folderul dorit.
Există o altă modalitate de a ajunge la fișierul criptat, folosind motorul de căutare al sistemului de operare. În Windows 7 și Vista, acest lucru este foarte ușor: apăsați tasta Win și începeți să tastați numele fișierului. Când un link către obiectul dorit apare în lista de rezultate, faceți clic dreapta pe el și selectați „Locația fișierului”.
Selectați acest fișier și faceți clic dreapta pe fișier sau apăsați tasta meniului contextual - este plasat pe tastatură între butoanele Win și Ctrl din dreapta. În ambele cazuri, pe ecran va apărea un meniu contextual, în care aveți nevoie de ultima linie - „Proprietăți”. Selectați-l în meniu și se va deschide o fereastră separată cu setările proprietăților fișierului.
Fila General (se deschide implicit) este împărțită în secțiuni. În partea de jos există mai multe casete de selectare legate de atributele fișierului, iar butonul „Altele” - faceți clic pe el.
În fereastra Atribute avansate ale fișierului, debifați caseta „Criptați conținutul pentru a proteja datele”. Apoi faceți clic pe butoanele OK în ambele ferestre deschise și operațiunea va fi finalizată.
Anulați dacă este necesar criptare nu pentru un singur dosar, ci pentru toate fișiereÎn dosar trebuie să acționați aproape în același mod. După primii trei pași, selectați nu fișierul, ci folderul dorit din panoul din stânga Explorer. Meniul contextual cu elementul „Proprietăți” pentru un folder, precum și pentru un fișier, este apelat făcând clic dreapta pe mouse, iar în fereastra de proprietăți a obiectului trebuie să repetați cei doi pași anteriori.
Descifrarea datelor codificate folosind software-ul profesional necesită fie același pachet software, fie o putere de calcul enormă și chiar programe mai avansate. Cu toate acestea, mai des, pentru codificare sunt folosite mijloace mai accesibile, care sunt mult mai ușor de decodat.
Instrucțiuni
În construcția web, cea mai accesibilă metodă de criptare a datelor este folosită cel mai des - folosind funcțiile încorporate ale limbajelor de programare. Printre limbajele de pe server, cea mai comună astăzi este PHP, care utilizează funcția base64_encode pentru criptare. Datele codificate cu acesta pot fi decodificate folosind funcția inversă - base64_decode. Dacă aveți capacitatea de a executa scripturi PHP pe computer sau pe serverul dvs. web, creați acest cod simplu:
Între ghilimele funcției base64_decode, plasați șirul de date pe care doriți să îl decriptați. Apoi salvați codul într-un fișier cu extensia php și deschideți această pagină printr-un browser - veți vedea datele decriptate într-o pagină goală.
Dacă nu este posibil să executați scripturi PHP, utilizați formularul web de pe unul dintre site-urile de Internet - linkul către pagina necesară este prezentat mai jos. Copiați și inserați datele criptate în câmpul de deasupra butonului Base 64 Decode. După ce faceți clic pe acest buton, va apărea un câmp suplimentar cu date decriptate - acestea pot fi, de asemenea, copiate și utilizate la discreția dvs.
Dacă metoda de criptare este necunoscută, încercați să decodați datele folosind unul dintre programele care pot încerca mai mulți algoritmi. Una dintre aceste aplicații se numește „Stirlitz”, nu necesită instalare și este destul de populară pe Internet, așa că găsirea acesteia nu va fi dificilă. Programul încearcă să decripteze datele folosind cinci algoritmi de criptare.
Cele mai recente versiuni ale sistemelor de operare Windows vă permit să criptați toate fișierele de pe un anumit disc sau de pe toate mediile computerului. Dacă trebuie să decodați date dintr-un astfel de fișier, cel mai bine este să le încredințați sistemului de operare însuși - dezactivați criptarea în setările sale, iar Windows va rescrie toate fișierele cu aceste date în versiunile lor necriptate. Pentru a face acest lucru, apăsați butonul Win, tastați și selectați „BitLocker Drive Encryption” din lista cu rezultatele căutării. Apoi faceți clic pe linkul „Dezactivați BitLocker” de lângă unitatea dorită. Odată ce sistemul a finalizat această comandă, puteți deschide fișierul cu date criptate anterior.
Surse:
- Formular web pentru funcția base64_decode
Când lucrați cu documente, poate fi necesar să le trimiteți cuiva prin Internet (de exemplu, prin e-mail). Cu toate acestea, în unele cazuri, importanța informațiilor pe care le conțin nu permite ca acest lucru să se facă în formă deschisă. Desigur, soluția este criptarea, pe care mulți o asociază cu ceva îndepărtat și complex. Cu toate acestea, această sarcină poate fi rezolvată cu ușurință utilizând un program de arhivare de fișiere gratuit, de exemplu, 7-Zip, și folosindu-l pentru a crea o arhivă criptată.
Vei avea nevoie
- - Internet;
- - sistem de operare Microsoft Windows;
- - Program de arhivare 7-Zip.
Instrucțiuni
descarca si instaleaza. Pentru a cripta un document folosind 7-Zip, trebuie mai întâi să îl instalați. Pentru a face acest lucru, accesați site-ul web http://7-zip.org/ (secțiunea „Descărcare”), selectați versiunea programului potrivită pentru computerul dvs. (32 sau 64 de biți) și descărcați-o. După descărcare, rulați programul de instalare și urmați instrucțiunile acestuia - acest lucru nu ar trebui să vă ridice întrebări.
Verificați asocierile fișierelor. După instalare, de regulă, 7-Zip nu modifică setările sistemului de operare și nu adaugă secțiunea sa în meniul contextual Explorer. Pentru a face aceste modificări, trebuie să deschideți meniul Start, Programs, 7-Zip și să selectați 7-Zip File Manager. În meniul principal, deschideți secțiunea „Instrumente” și selectați „Setări...”. Apoi, accesați fila „Sistem” și faceți clic pe „Selectați tot”. Confirmați modificările făcând clic pe butonul „OK” din partea de jos a ferestrei programului.
Selectați fișierul document. Puteți cripta orice fișier, formatul acestuia nu contează. Pentru a face acest lucru, deschideți Explorer și găsiți fișierul de care aveți nevoie. Apoi, faceți clic dreapta pe el și selectați „7-Zip”, „Adăugați la arhivă...” în meniul care apare.
Setați setările și lansați. În fereastra care se deschide, puteți seta numele arhivei, parola de deschidere, puteți seta criptarea numelui fișierului și alte setări. Vă rugăm să rețineți că, în mod implicit, criptarea numelui este dezactivată și nu este specificată nicio parolă pentru arhivă. După ce ați specificat toate setările dorite, puteți începe să creați o arhivă criptată făcând clic pe butonul „OK” din fereastra curentă.
Așteptați până la sfârșit. Finalizarea operației poate dura ceva timp, în funcție de dimensiunea fișierelor care sunt criptate, de raportul de compresie și de alte setări configurate. La finalizare, lângă fișierele criptate va apărea o arhivă cu numele specificat anterior.
