1. Nu va fi prea multă demagogie, deoarece articolul va fi deja destul de lung! Să ne dăm seama ce poți face dacă computerul tău este infectat cu un criptator: mai întâi, trebuie să afli ce fel de criptator a făcut acest lucru rău fișierelor tale. Mai jos, la sfârșitul articolului, există link-uri către Servicii care vor oferi toate informațiile despre răul tău care operează pe computerul tău. Dacă numele vătămării tale malefice coincide cu numele din acest articol, atunci este jumătate din necaz, așa că citim în continuare ce ne oferă Kaspersky în lupta împotriva criptatorilor ransomware. Sincer vorbind, acești viruși sunt destul de puternici și chiar ai probleme. Puteți elimina această porcărie de pe computer, aceasta nu este o problemă, dar recuperarea fișierelor este o întrebare:
2. Enumerez numele ransomware-ului și la sfârșit postezi numele programului care te poate ajuta:

Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.Win32. 2 .

Ce nume vor avea fișierele tale după criptare?

3. Când sunt infectate cu Trojan-Ransom.Win32.Rannoh, numele și extensiile sunt blocate- . .
4. Când este infectat, Trojan-Ransom.Win32.Cryakl este adăugat la sfârșitul fișierelor (CRYPTENDBLACKDC).
5. Extensia Trojan-Ransom.Win32.AutoIt se modifică în funcție de modelul @_.
6. De exemplu, _.RZWDTDIC.
7. Când este infectat, Trojan-Ransom.Win32.CryptXXX este modificat folosind șablonul .crypt.
8. Verificăm acuratețea utilizând serviciul pe care îl voi posta la sfârșitul articolului și dacă totul se potrivește, descărcați utilitarul:
9. .de la birou, site-ul Kaspersky
.
10. .cu cloud verificat de Kaspersky
11. După ce faceți clic pe butonul de pornire a scanării, se va deschide o fereastră în care trebuie să afișați fișierul criptat.
12. Apoi programul va face totul singur. Dacă o face!))) Dar să nu vorbim despre lucruri rele, totul va fi bine!

XoristDecryptor

13. Proiectat pentru a combate virușii de criptare: Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev
14. Puteți recunoaște codificatorul utilizând următorii pași: Afișează o fereastră asemănătoare cu cea de mai jos:
15. Pe unitatea C:/ face fișiere cu numele „Citiți-mă - cum să decriptați fișierele”. După ce a deschis un astfel de fișier, acesta va conține conținut similar cu cel din imaginea de mai jos.
16. De asemenea, în folderul Windows există un fișier numit CryptLogFile.txt. Înregistrează tot ce a fost criptat.

17. Decriptarea fișierelor

18. de la birou, site-ul Kaspersky
19. cu cloud verificat de Kaspersky
20. Lansăm și afișăm fișierul criptat și așteptăm până când utilitarul încearcă să decripteze fișierul.
21. Dacă utilitarul XoristDecryptor nu detectează fișierul, acesta va oferi să îl trimită prin e-mail. Kaspersky Lab va examina fișierul și îl va actualiza baza de date antivirus XoristDecryptor. Că atunci când retratați, există o opțiune de a vă returna fișierele.

    Următorul utilitar se numește RectorDecryptor

22. După cum am menționat mai sus, este de la Compania Kasperskyși este folosit pentru a decripta fișierele infectate cu ransomware: Trojan-Ransom.Win32.Rector

Ce fișiere criptează:

23. jpg, .doc, .pdf, .rar.
24. Numele fișierelor după criptare:
25. vscrypt, .infectat, .bloc, .korrektor
26. Semnătura autorului sub forma ††KOPPEKTOP†† și contactul cu acesta pot fi păstrate:
27. ICQ: 557973252 sau 481095
28. În unele cazuri, atacatorul cere să lase un mesaj în cartea de oaspeți a unuia dintre site-urile sale care nu funcționează sau funcționează la momentul de care are nevoie:
29. https://trojan....sooot.cn/
30. https://malware....66ghz.com/
31. De asemenea, bannerul de pe desktop de mai jos indică faptul că fișierele dvs. sunt criptate cu acest criptator:
32. Cum să încercați să vă recuperați fișierele:
33. Descărcați un utilitar de la Kaspersky numit
34. de la birou, site-ul Kaspersky
35. cu cloud verificat de Kaspersky
36. Ca și în toate celelalte utilități de mai sus de la Kaspersky. Rulați utilitarul descărcat și făcând clic pe butonul Start scanare din fereastra care se deschide, specificați fișierul criptat.
37. Un raport despre munca depusă, ca în exemplele de mai sus cu programe, îl găsiți la: C:\RectorDecryptor.2.3.7.0_10.05.2010_15.45.43_log.txt Ora și data sunt aproximative, le veți avea pe ale dumneavoastră.

Utilitarul RakhniDecryptor

38. Pentru a combate ransomware-ul de la Kaspersky:
39. Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.Lamer, Trojan-Ransom.MSIL.Lortok, Trojan-Ransom.Win32.Cryptokluchen, Trojan-Ransom.Win32.Democry, Trojan-Ransom.Win32.Bitman versiunile 3 și 4, Trojan-Ransom.Win32. Libra,Trojan-Ransom.MSIL.Lobzik și Trojan-Ransom.Win32.Chimera

ÎN În ultima vreme există o creștere a activității unei noi generații de malițioși programe de calculator. Au apărut cu destul de mult timp în urmă (cu 6 - 8 ani), dar ritmul implementării lor a atins maximul chiar acum. Din ce în ce mai mult, puteți întâlni faptul că un virus are fișiere criptate.

Se știe deja că acestea nu sunt doar malware primitive, de exemplu, (care provoacă ecran albastru), și programe serioase care vizează deteriorarea, de regulă, a datelor contabile. Ele criptează toate fișierele existente la îndemână, inclusiv datele contabile 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Pericolul deosebit al virușilor în cauză

Constă în faptul că folosește o cheie RSA, care este legată de calculator specific utilizator, motiv pentru care decodorul universal ( decriptor) absent. Virușii activați pe un computer pot să nu funcționeze pe altul.

Pericolul constă și în faptul că de mai bine de un an sunt postate pe internet programe de constructoare gata făcute, permițând chiar și hackerilor (persoane care se consideră hackeri, dar nu studiază programarea) să dezvolte acest tip de virus.

În prezent, au apărut modificări mai puternice.

Metoda de introducere a acestor programe malware

Virusul este trimis intenționat, de obicei către departamentul de contabilitate al companiei. În primul rând, e-mailurile departamentelor de resurse umane și ale departamentelor de contabilitate sunt colectate din baze de date precum, de exemplu, hh.ru. În continuare, sunt trimise scrisorile. Ele conțin cel mai adesea o cerere privind acceptarea într-o anumită poziție. La o astfel de scrisoare cu CV, în interiorul căreia se află un document real cu un obiect OLE implantat (fișier pdf cu un virus).

În situațiile în care angajații contabili s-au lansat imediat acest document, după repornire s-au întâmplat următoarele: virusul a redenumit și a criptat fișierele, apoi s-a autodistrus.

Acest tip de scrisoare, de regulă, este scris și trimis în mod adecvat dintr-o cutie poștală non-spam (numele se potrivește cu semnătura). Un post vacant este întotdeauna solicitat pe baza activităților de bază ale companiei, motiv pentru care nu apar suspiciuni.

Nici Kaspersky licențiat (program antivirus) și nici Virus Total (un serviciu online pentru verificarea atașamentelor pentru viruși) nu pot securiza computerul în acest caz. Ocazional, unele programe antivirus, la scanare, raportează că atașamentul conține Gen:Variant.Zusy.71505.

Cum să evitați infectarea cu acest virus?

Fiecare fișier primit ar trebui verificat. Atentie speciala este dat documentelor Word care au pdf încorporat.

Opțiuni pentru e-mailurile „infectate”.

Sunt destul de mulți. Cele mai comune opțiuni pentru modul în care fișierele criptate de viruși sunt prezentate mai jos. În toate cazurile, următoarele documente sunt trimise prin e-mail:

1. Notificare privind începerea procesului de revizuire a unui proces intentat împotriva unei anumite companii (scrisoarea vă cere să verificați datele făcând clic pe linkul specificat).
2. Scrisoare din partea Curții Supreme de Arbitraj a Federației Ruse privind colectarea datoriilor.
3. Mesaj de la Sberbank cu privire la creșterea datoriei existente.
4. Notificarea înregistrării unei încălcări rutiere.
5. O scrisoare din partea Agenției de Colectare care indică amânarea maximă posibilă a plății.

Notă de criptare a fișierelor

După infectare, va apărea în folderul rădăcină al unității C. Uneori fișiere precum WHAT_DO.txt, CONTACT.txt sunt plasate în toate directoarele cu text deteriorat. Acolo, utilizatorul este informat despre criptarea fișierelor sale, care se realizează folosind algoritmi criptografici fiabili. De asemenea, este avertizat despre utilizarea necorespunzătoare utilități terțe, deoarece acest lucru poate duce la deteriorarea permanentă a fișierelor, ceea ce, la rândul său, le va face imposibil de decriptat ulterior.

Notificarea recomandă să lăsați computerul așa cum este. Indică timpul de stocare pentru cheia furnizată (de obicei 2 zile). Este specificată o dată exactă după care orice fel de solicitări vor fi ignorate.

Un e-mail este furnizat la sfârșit. De asemenea, se precizează că utilizatorul trebuie să-și furnizeze ID-ul și că oricare dintre următoarele acțiuni poate duce la distrugerea cheii, și anume:

Cum să decriptezi fișierele criptate de un virus?

Acest tip de criptare este foarte puternic: fișierului i se atribuie o extensie precum perfect, nochance etc. Este pur și simplu imposibil de spart, dar puteți încerca să utilizați criptoanalisti și să găsiți o lacună (Dr. WEB vă va ajuta în unele situații) .

Există o altă modalitate de a recupera fișierele criptate de un virus, dar nu funcționează pentru toți virușii și, de asemenea, va trebui să eliminați exe-ul original împreună cu acest program rău intenționat, care este destul de dificil de făcut după autodistrugere.

Solicitare virus privind introducerea cod special- o verificare minoră, deoarece fișierul are deja un decriptor în acest moment (codul de la, ca să spunem așa, nu va fi necesar atacatorilor). Esenta aceasta metoda- inserarea comenzilor goale în virusul infiltrat (în locul în care este comparat codul introdus). rezultat - malware El însuși începe decriptarea fișierelor și, prin urmare, le restaurează complet.

Fiecare virus individual are al lui functie speciala criptare, motiv pentru care nu va fi posibil să o decriptați cu un executabil terță parte (fișier în format exe), sau puteți încerca să selectați funcția de mai sus, pentru care trebuie să efectuați toate acțiunile folosind WinAPI.

fisiere: ce sa fac?

Pentru a efectua procedura de decriptare veți avea nevoie de:

Cum să evitați pierderea de date din cauza malware-ului în cauză?

Merită să știți că într-o situație în care un virus are fișiere criptate, procesul de decriptare va dura timp. Un punct important Faptul este că există o eroare în malware-ul menționat mai sus care vă permite să salvați unele dintre fișiere dacă opriți rapid alimentarea computerului (scoateți ștecherul din priză, opriți filtru de rețea, scoateți bateria în cazul unui laptop) imediat ce apare un numar mare de fișiere cu extensia specificată anterior.

Încă o dată, trebuie subliniat că principalul lucru este să creați în mod constant copii de siguranță, dar nu în alt folder, nu să suporturi amovibile introdus în computer deoarece această modificare Virusul va ajunge în aceste locuri. Merită să salvați copii de siguranță pe alt computer, pe un hard disk care nu este conectat permanent la computer și în cloud.

Ar trebui să fiți suspicios față de toate documentele care ajung prin poștă de la persoane necunoscute (sub formă de CV, factură, rezoluție a Curții Supreme de Arbitraj a Federației Ruse sau a biroului fiscal etc.). Nu este nevoie să le rulați pe computer (în aceste scopuri, puteți selecta un netbook care nu conține date importante).

Program rău intenționat * [email protected]: solutii

Într-o situație în care virusul de mai sus are fișiere criptate cbf, doc, jpg etc., există doar trei opțiuni pentru dezvoltarea evenimentului:

1. Cel mai simplu mod de a scăpa de el este să ștergeți toate fișierele infectate (acest lucru este acceptabil, cu excepția cazului în care datele sunt deosebit de importante).
2. Du-te la laborator program antivirus, de exemplu, Dr. WEB. Asigurați-vă că trimiteți mai multe fișiere infectate dezvoltatorilor împreună cu cheia de decriptare, aflată pe computer ca KEY.PRIVATE.
3. Cel mai scump mod. Implică plata sumei solicitate de hackeri pentru decriptarea fișierelor infectate. De regulă, costul acestui serviciu este între 200 și 500 de dolari SUA. Acest lucru este acceptabil într-o situație în care un virus are fișiere criptate companie mare, în care un flux de informații semnificativ are loc în fiecare zi, iar acest program rău intenționat poate provoca daune colosale în câteva secunde. În acest sens, plata este cea mai mare varianta rapida recuperarea fișierelor infectate.

Uneori se dovedește a fi eficient opțiune suplimentară. În cazul în care un virus are fișiere criptate (paycrypt@gmail_com sau alt malware), acesta poate ajuta acum câteva zile.

Program de decriptare RectorDecryptor

Dacă virusul a fost criptat fișiere jpg, doc, cbf etc., atunci un program special poate ajuta. Pentru a face acest lucru, va trebui mai întâi să mergeți la pornire și să dezactivați totul, cu excepția antivirusului. Apoi, trebuie să reporniți computerul. Vizualizați toate fișierele, evidențiați-le pe cele suspecte. Câmpul numit „Echipă” indică locația fisier specific(Atenție trebuie acordată aplicațiilor care nu au semnătură: producător - fără date).

Toate fisiere suspicioase trebuie șterse, după care va trebui să ștergeți cache-urile browserului și folderele temporare (pentru aceasta programul este potrivit CCleaner).

Pentru a începe decriptarea, trebuie să descărcați programul de mai sus. Apoi rulați-l și faceți clic pe butonul „Începe scanarea”, indicând fișierele modificate și extensia acestora. ÎN versiuni moderneÎn acest program, puteți specifica doar fișierul infectat și faceți clic pe butonul „Deschidere”. După aceasta, fișierele vor fi decriptate.

Ulterior, utilitarul verifică automat toate datele computerului, inclusiv fișierele aflate pe fișierul atașat unitate de rețeași le decriptează. Acest proces Recuperarea poate dura câteva ore (în funcție de volumul de lucru și de viteza computerului).

Ca rezultat, toate fișierele deteriorate vor fi decriptate în același director în care au fost localizate inițial. În cele din urmă, tot ce rămâne este să ștergeți toate fișierele existente cu o extensie suspectă, pentru care puteți bifa caseta din solicitarea „Ștergeți fișierele criptate după decriptarea reușită”, făcând mai întâi clic pe butonul „Modificați parametrii de scanare”. Cu toate acestea, este mai bine să nu îl instalați, deoarece dacă decriptarea fișierelor nu reușește, acestea pot fi șterse și, ulterior, va trebui să le restaurați mai întâi.

Deci, dacă virusul a fost criptat fișiere doc, cbf, jpg etc., nu trebuie să vă grăbiți să plătiți codul. Poate nu va fi nevoie de el.

Nuanțe de ștergere a fișierelor criptate

Când încercăm să elimini totul fișiere deteriorate prin căutare standard iar eliminarea ulterioară poate face ca computerul să înghețe și să încetinească. În acest sens, pentru această procedură merită să utilizați una specială După lansare, trebuie să introduceți următoarele: del ".<диск>:\*.<расширение зараженного файла>„/f/s.

Este imperativ să ștergeți fișiere precum „Read-me.txt”, pentru care în aceeași linie de comandă trebuie să specificați: del “<диск>:\*.<имя файла>„/f/s.

Astfel, se poate observa că, dacă virusul a redenumit și criptat fișiere, nu ar trebui să cheltuiți imediat bani pentru achiziționarea unei chei de la atacatori, ar trebui să încercați mai întâi să vă dați seama singur de problema. Este mai bine să investești bani în achiziție program special pentru a decripta fișierele deteriorate.

În cele din urmă, merită să ne amintim că acest articol a discutat despre cum să decriptați fișierele criptate de un virus.

Hackerii ransomware sunt foarte asemănători cu șantajatorii obișnuiți. Atât în ​​lumea reală, cât și în mediul cibernetic, există o singură țintă sau un grup de atac. Este fie furat, fie făcut inaccesibil. În continuare, infractorii folosesc anumite mijloace de comunicare cu victimele pentru a-și transmite revendicările. Escrocii informatici aleg de obicei doar câteva formate pentru scrisorile de răscumpărare, dar copiile pot fi găsite în aproape orice locație de memorie de pe un sistem infectat. În cazul familiei de programe spyware cunoscută sub numele de Troldesh sau Shade, escrocii adoptă o abordare specială atunci când contactează victima.

Să aruncăm o privire mai atentă asupra acestei tulpini de virus ransomware, care se adresează publicului vorbitor de limbă rusă. Cele mai multe infecții similare detectează aspectul tastaturii pe computerul atacat, iar dacă una dintre limbi este rusă, intruziunea se oprește. Cu toate acestea, virusul ransomware XTBL inaudibil: din păcate pentru utilizatori, atacul se desfășoară indiferent de ai lor locație geograficăși preferințele de limbă. O întruchipare clară a acestei versatilități este un avertisment care apare în fundalul desktopului, precum și un fișier TXT cu instrucțiuni pentru plata răscumpărării.

Virusul XTBL este de obicei răspândit prin spam. Mesajele sunt ca scrisorile mărci celebre, sau pur și simplu sunt vizibile deoarece linia de subiect folosește expresii precum „Urgent!” sau „Documente financiare importante”. Trucul de phishing va funcționa atunci când destinatarul unui astfel de e-mail. mesajele vor descărca un fișier ZIP care conține Cod JavaScript, sau un obiect Docm cu o macrocomandă potențial vulnerabilă.

După ce a finalizat algoritmul de bază pe computerul compromis, troianul ransomware continuă să caute date care ar putea fi de valoare pentru utilizator. În acest scop, virusul scanează local și memorie externa, potrivind simultan fiecare fișier cu un set de formate selectate în funcție de extensia obiectului. Toate fișierele .jpg, .wav, .doc, .xls, precum și multe alte obiecte, sunt criptate folosind algoritmul criptografic bloc simetric AES-256.

Există două aspecte ale acestui impact dăunător. În primul rând, utilizatorul pierde accesul la datele importante. În plus, numele fișierelor sunt profund codificate, rezultând un șir fără sens de caractere hexazecimale. Tot ceea ce au în comun numele fișierelor afectate este ceva adăugat la ele extensia xtbl, adică numele amenințării cibernetice. Numele de fișiere criptate au uneori un format special. În unele versiuni de Troldesh, numele obiectelor criptate pot rămâne neschimbate, iar cod unic: [email protected], [email protected], sau [email protected].

Evident, atacatorii, după ce au introdus adrese de e-mail. mail direct în numele dosarelor, indicându-le victimelor modalitatea de comunicare. E-mail este indicat și în altă parte, și anume în scrisoarea de cerere de răscumpărare conținută în fișierul „Readme.txt”. Astfel de documente Notepad vor apărea pe Desktop, precum și în toate folderele cu date criptate. Mesajul cheie este acesta:

„Toate fișierele au fost criptate. Pentru a le decripta, trebuie să trimiteți codul: [Cifrul dvs. unic] către Adresa de e-mail [email protected] sau [email protected]. În continuare vei primi totul instructiunile necesare. Încercările de a decripta pe cont propriu nu vor duce decât la pierderea irecuperabilă a informațiilor.”

Adresa de e-mail se poate schimba în funcție de grupul de șantaj care răspândește virusul.

În ceea ce privește evoluțiile ulterioare: în schiță generală, escrocii răspund cu recomandarea de a transfera o răscumpărare, care poate fi de 3 bitcoini, sau o altă sumă din acest interval. Vă rugăm să rețineți că nimeni nu poate garanta că hackerii își vor îndeplini promisiunea chiar și după primirea banilor. Pentru a restabili accesul la fișierele .xtbl, utilizatorilor afectați li se recomandă să încerce mai întâi toate metodele alternative disponibile. În unele cazuri, datele pot fi puse în ordine folosind serviciul copiere umbră volume (Volume Shadow Copy), furnizate direct în sistemul de operare Windows, precum și programe de decriptare și recuperare de date din dezvoltatori independenți DE.

Eliminați ransomware-ul XTBL folosind un agent de curățare automat

O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea minuțioasă a oricăror componente virale, a acestora îndepărtarea completă cu un singur clic. Notă, despre care vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altora troieni de computer cu ajutorul ei.

1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începeți scanarea).
2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate cu extensia .xtbl

După cum sa menționat, ransomware-ul XTBL blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu o glisare bagheta magica- dacă nu țineți cont de plata unei sume de răscumpărare nemaivăzute. Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Decryptor - program recuperare automată fișiere

Se cunoaște o circumstanță foarte neobișnuită. Această infecție se șterge fișiere sursăîn formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva software cum să restaurați obiectele șterse, chiar dacă fiabilitatea înlăturării lor este garantată. Se recomandă insistent să recurgeți la procedura de recuperare a fișierelor, a cărei eficacitate a fost confirmată de mai multe ori.

Copii umbră ale volumelor

Abordarea se bazează pe Procedura Windows Rezervă copie fișiere, care se repetă la fiecare punct de recuperare. Stare importantă muncă aceasta metoda: Funcția „Restaurare sistem” trebuie să fie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de backup a datelor este server extern a fost folosit înainte de atacul ransomware asupra computerului dvs., pentru a restabili fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, selectați fisierele necesareși porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale virusului ransomware XTBL

Curatenie in mod manual este plin de omisiunea unor bucăți individuale de ransomware care pot evita eliminarea ca obiecte ascunse sistem de operare sau elemente de registru. Pentru a elimina riscul de reținere parțială a elementelor rău intenționate individuale, scanați-vă computerul utilizând o suită antivirus universală de încredere.

Dacă apare pe computer mesaj text, care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea, deoarece acest program se bazează de obicei pe unele inofensive utilitate gratuită criptare. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii binecunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa doar cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitatile de curățare Dr.Web CureIt, Kaspersky securitatea internetuluiși Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computer, atunci chiar și după acțiunea unui virus ransomware există șansa de a reveni fișierele la normal folosind copii umbră fişiere. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc acest lucru din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

1. Deschide Proprietăți computer.
2. Din meniul din stânga, selectați Protecție sistem.
   
3. Selectați unitatea C și faceți clic pe „Configurare”.
4. Selectați restabiliți setările și Versiuni anterioare fişiere. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția unui virus de criptare a fișierelor, atunci după curățarea computerului cod rău intenționat veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.

Lupta cu altele noi amenințări virale- criptografii

Am scris recent despre faptul că pe Internet se răspândesc noi amenințări - viruși ransomware sau, mai pe larg, viruși de criptare a fișierelor, puteți citi mai detaliat despre acestea pe site-ul nostru, la acest link;

În acest subiect vă vom spune cum puteți returna date criptate de un virus pentru aceasta vom folosi două decriptoare, de la antivirusurile Kaspersky și Doctor Web, acestea sunt cele mai multe metode eficiente returnând informații criptate.

1. Descărcați utilitare pentru decriptarea fișierelor din linkurile: Kaspersky și Dr.WEB

Sau decriptoare pentru un anumit tip de fișiere criptate care sunt .

2. Mai întâi, vom încerca să decriptăm fișierele folosind un program de la Kaspersky:

2.1. Lansați programul de decriptare Kaspersky, dacă cere niște acțiuni, de exemplu permisiunea de lansare, îl lansăm, dacă cere actualizarea, îl actualizăm, acest lucru va crește șansele de a returna date criptate

2.2. În fereastra programului care apare pentru decriptarea fișierelor, vedem mai multe butoane. Configurați setările avansate și începeți scanarea.

2.3. Dacă este necesar, selectați Opțiuni suplimentareși indicați unde să căutați fișierele criptate și, dacă este necesar, ștergeți-le după decriptare Nu recomand să alegeți această opțiune, fișierele nu sunt întotdeauna decriptate corect!

2.4. Lansăm scanarea și așteptăm ca datele noastre criptate cu viruși să fie decriptate.

3. Dacă prima metodă nu a funcționat. Să încercăm să decriptăm fișierele folosind un program de la Dr. WEB

3.1. După ce ați descărcat aplicația de decriptare, puneți-o, de exemplu, în rădăcina unității „C:”., așa că fișierul „te102decrypt.exe” ar trebui să fie disponibil la „c:\te102decrypt.exe”

3.2. Acum să mergem la Linie de comanda (Start-Căutare-Tastați „CMD” fără ghilimele-rulați apăsând Enter)

3.3. Pentru a începe decriptarea fișierelor scrieți comanda „c:\te102decrypt.exe -k 86 -e (cod de criptare)”. Codul ransomware este o extensie adăugată la sfârșitul fișierului, de exemplu " [email protected] _45jhj" - scrieți fără ghilimele și paranteze, observând spațiile. Ar trebui să obțineți ceva de genul c:\te102decrypt.exe -k 86 -e [email protected] _45jhj

3.4. Apăsați Enter și așteptați ca fișierele să fie decriptate care au fost criptate, în unele cazuri sunt create mai multe copii ale fișierelor decriptate, încercați să le rulați, salvați copia fișierului decriptat care se deschide normal, restul se poate șterge.

Descărcați alte decriptoare de fișiere:

Atenţie: asigurați-vă că salvați o copie a fișierelor criptate în medii externe sau alt PC. Decriptoarele prezentate mai jos pot să nu decripteze fișierele, ci doar să le corupă!

Cel mai bine este să rulați decriptorul mașină virtuală sau pe un computer special pregătit, după ce a descărcat anterior mai multe fișiere pe ele.

Decriptoarele prezentate mai jos funcționează după cum urmează: De exemplu, fișierele dvs. sunt criptate cu amba encryptor și fișierele arată ca „Agreement.doc.amba” sau „Account.xls.amba”, apoi descărcați decriptorul pentru fișierele amba și rulați-l, va găsi toate fișierele cu această extensie și decriptați-o, dar repet, protejați-vă și mai întâi face o copie a fișierelor criptate, altfel puteți pierde pentru totdeauna datele decriptate incorect!

Dacă nu doriți să vă asumați riscuri, atunci trimiteți-ne mai multe fișiere, după ce ne-ați contactat folosind formularul de feedback, vom lansa decriptorul pe un computer special pregătit, izolat de Internet.

Fișierele trimise au fost scanate de Kaspersky Antivirus ultima versiune si cu ultimele actualizări bazele