Vīruss, kas šifrē datus. RectorDecryptor atšifrēšanas utilīta no Kaspersky Lab. Atkopiet šifrētos failus, izmantojot PhotoRec

Lasīt, kā pasargāt sevi no izspiedējvīrusa infekcijas un noņemt XTBL no datora. Vai ir vērts maksāt izpirkuma maksu, un kā atgūt failus, kas šifrēti ar izspiedējvīrusu. Ransomware vīrusi ir viena no sliktākajām kiberinfekcijām, ar ko var saskarties. Ne velti viņiem ir šāda reputācija internetā, jo tas ir patiesi biedējošs rīks.

Visas ransomware ir izstrādātas saskaņā ar to pašu principu. Nepamanīti iekļūstot jūsu sistēmā, viņi sāk šifrēt jūsu failus, lai vēlāk pieprasītu no jums izpirkuma maksu par piekļuvi tiem.

Saturs:

Ransomware vīruss

Ja pēkšņi atrodat vienu vai visus savus failus, kas pārdēvēti ar XTBL vai citu nezināmu faila paplašinājumu, jums nav paveicies — esat saskāries ar izspiedējvīrusu. Drīzumā saņemsit ziņojumu ar lūgumu samaksāt, lai atbloķētu failus. Dažreiz tas var būt logs ar tekstu, dažreiz teksta Readme dokuments darbvirsmā vai pat katrā failu mapē. Ziņojums lietotājam var tikt dublēts vairākās valodās, izņemot angļu valodu, un tajā ir visas prasības, kas attiecas uz uzbrucējiem, kuri radīja vīrusu.

Šķiet, ka vieglāk būtu samaksāt, lai atbrīvotos no šāda vīrusa, taču tas tā nav. Neatkarīgi no vīrusa prasībām nepiekrītiet tām - tas dos jums dubultu triecienu. Jūsu bloķētie faili, visticamāk, nebūs atkopjami — pieņemiet to un nesūtiet naudu, lai atbloķētu failus. Pretējā gadījumā papildus failiem jūs zaudēsiet arī naudu.

Jūs varat saņemt ziņojumu ar šādu saturu:

“Visi datorā esošie faili, tostarp video, fotoattēli un dokumenti, ir šifrēti. Šifrēšana tika veikta, izmantojot šim datoram ģenerētu unikālu publisko atslēgu. Lai atšifrētu failus, ir jāizmanto privātā atslēga.
Vienīgā šīs atslēgas kopija tiek glabāta slepenā serverī internetā. Atslēga tiks automātiski iznīcināta pēc 7 dienām, un neviens nevarēs piekļūt failiem.

Kā dators var tikt inficēts ar izspiedējvīrusu

Izspiedējvīruss nevar parādīties jūsu datorā ar maģijas palīdzību. Tas sastāv no vairākiem elementiem, kuru uzstādīšana ir jāapstiprina jums personīgi. Protams, vīruss to nedarīja atklāti, tas tika darīts ar triku un maldināšanas palīdzību.

Piemēram, viena no populārākajām iespiešanās metodēm ir bezmaksas programmu, bojātu vietņu vai saišu izmantošana. Infekcija var būt arī slēpta kā Java vai Flash Player atjauninājums. Jūs būsiet pārliecināts, ka instalējat atjauninājumus programmai, kuru zināt, un dosiet zaļo gaismu bīstamas un kaitīgas infekcijas instalēšanai.

Lai nenokļūtu nepatīkamā situācijā, esi uzmanīgs un uzmanīgs. Nesteidzieties veikt nekādas darbības, ja neesat par to pārliecināts. Galvenais vīrusa iegūšanas iemesls ir lietotāja nolaidība.

XTBL paplašinājuma noņemšana vai failu nosaukumu maiņa

Kāpēc XTBL faila paplašinājums ir tik bīstams? Izspiedējvīrusa programma atradīs visus jūsu failus, tostarp attēlus, video, mūziku, dokumentus un veiks ar tiem šifrēšanas procedūru. Tiks šifrēti jebkura formāta faili: doc, .docx, .docm, .wps, .xls, .xlsx, .ppt, .pptx, .pptm, .pdd, .pdf, .eps, .ai, .indd, . cdr, .dng, .mp3, .lnk, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt. Nekas viņus nepasargās. Kad šifrēšana būs pabeigta, visu failu paplašinājumi tiks mainīti uz XTBL un tie vairs netiks atvērti.

Mainot faila nosaukumu vai noņemot XBTL paplašinājumu, piekļuve failiem netiks atjaunota. Lai to izdarītu, tie ir jāatšifrē, izmantojot privāto atslēgu. Lai iegūtu šo atslēgu, jums ir jāizpilda visi izpirkuma programmatūras nosacījumi. Bet uzdodiet sev šo jautājumu: vai varat uzticēties uzbrucējiem, kas inficēja jūsu datoru? Protams, nē, paturiet prātā, ka spēles noteikumi sākotnēji nav jums labvēlīgi.

Vai ir vērts maksāt par atšifrēšanas atslēgu?

Kāds ir labākais scenārijs, uz ko varat cerēt? Jūs maksājat izpirkuma maksu un pieņemsim, ka saņemat atslēgu failu atšifrēšanai, pieņemsim, ka tā darbojas un jūsu faili ir atbloķēti. Bet ko tālāk? Kas pasargās jūsu datus no atkārtotas šifrēšanas nākamajā dienā? Nekas.

Maksājot par piekļuvi failiem, jūs ne tikai zaudēsiet naudu, bet arī nodrošināsiet piekļuvi savai personiskajai un finanšu informācijai krāpniekiem, kuri izstrādājuši vīrusu. Neļaujiet nevienam iejaukties jūsu personīgajā dzīvē. Par atšifrēšanas atslēgu pieprasītā summa bieži pārsniedz 500 USD. Atbildiet sev uz šo jautājumu: vai esat gatavs atklāt savus personas datus un bankas informāciju krāpniekiem un zaudēt papildu 500 USD apmaiņā pret spoku solījumu atšifrēt jūsu failus? Pareizi nosaki savas prioritātes!

Norādījumi izspiedējvīrusa noņemšanai

1. Noņemiet ļaunprātīgo procesu, izmantojot procesu pārvaldnieku;
2. Rādīt slēptos failus

Noņemiet ļaunprātīgo procesu, izmantojot Process Manager

Rādīt slēptos failus

• Dodieties uz jebkuru mapi
• Atlasiet Fails — Mainīt mapi un meklēšanas opcijas.
• Dodieties uz grāmatzīmi "Skatīt".
• Iespējot opciju "Rādīt slēptos failus un mapes".
• Izslēdziet opciju "Slēpt aizsargātos sistēmas failus".
• Pēc tam noklikšķiniet uz Lietot mapēm Pieteikties Un labi.

Atrodiet vīrusa atrašanās vietu

1. Tūlīt pēc operētājsistēmas ielādes nospiediet taustiņu kombināciju Windows + R.
2. Dialoglodziņā ievadiet Regedit. Esiet piesardzīgs, rediģējot Windows reģistru, jo tas var padarīt sistēmu nedarbojamu.
   Atkarībā no operētājsistēmas (x86 vai x64) dodieties uz filiāli
   vai
   vai
   un izdzēsiet parametru ar automātiski ģenerēto nosaukumu.

Alternatīvi jūs varat skriet msconfig un papildus vēlreiz pārbaudiet vīrusa palaišanas punktu. Lūdzu, ņemiet vērā, ka procesu, mapju un izpildāmo failu nosaukumi tiks automātiski ģenerēti jūsu datoram un atšķirsies no parādītajiem piemēriem. Tāpēc, ja neesat pārliecināts par savām spējām, ir vērts izmantot profesionālu pretvīrusu programmu, lai identificētu un noņemtu vīrusu.

Atgūt XTBL vīrusa šifrētos failus

Ja jums joprojām ir svarīgo failu rezerves kopija, jums ir paveicies atjaunot failus no kopijas pēc vīrusa ārstēšanas. Dublēšana var notikt, izmantojot jūsu konfigurētu programmu vai bez jūsu iejaukšanās, izmantojot kādu no Windows OS rīkiem: failu vēsture, atjaunošanas punkti, sistēmas attēla dublējums.

Ja strādājat ar datoru, kas ir savienots ar uzņēmuma tīklu, sazinieties ar tīkla administratoru, lai saņemtu palīdzību. Visticamāk, dublējumu uzstādīja viņš. Ja dublējuma meklēšana nav veiksmīga, izmēģiniet datu atkopšanas programmu.

Šifrēšanas laikā vīruss izveido jaunu failu un ieraksta tajā sākotnējā faila šifrēto saturu. Pēc tam sākotnējais fails tiek izdzēsts, lai jūs varētu mēģināt to atjaunot. Lejupielādējiet un instalējiet

Šie vīrusi var nedaudz atšķirties, taču kopumā to darbības vienmēr ir vienādas:

• instalēt datorā;
• šifrēt visus failus, kuriem var būt kāda vērtība (dokumenti, fotogrāfijas);
• mēģinot atvērt šos failus, pieprasiet lietotājam iemaksāt noteiktu summu uzbrucēja makā vai kontā, pretējā gadījumā piekļuve saturam nekad netiks atvērta.

Vīruss šifrēja failus xtbl

Šobrīd diezgan plaši ir izplatījies vīruss, kas spēj šifrēt failus un nomainīt to paplašinājumu uz .xtbl, kā arī aizstāt to nosaukumu ar pilnīgi nejaušām rakstzīmēm.

Turklāt redzamā vietā tiek izveidots īpašs fails ar instrukcijām readme.txt. Tajā uzbrucējs konfrontē lietotāju ar faktu, ka visi viņa svarīgie dati ir šifrēti un tagad vairs nav tik vienkārši atverami, piebilstot, ka, lai viss atgrieztos iepriekšējā stāvoklī, nepieciešams veikt noteiktas darbības, kas saistītas ar naudas pārskaitīšanu. krāpniekam (parasti Pirms to izdarīt, jums ir jānosūta konkrēts kods uz kādu no ieteiktajām e-pasta adresēm). Bieži vien šādi ziņojumi tiek papildināti arī ar piezīmi, ka, mēģinot pats atšifrēt visus savus failus, jūs riskējat tos pazaudēt uz visiem laikiem.

Diemžēl šobrīd .xtbl oficiāli nevienam nav izdevies atšifrēt, ja parādīsies kāda darba metode, par to noteikti ziņosim rakstā. Lietotāju vidū ir tādi, kuriem bijusi līdzīga pieredze ar šo vīrusu un viņi krāpniekiem samaksājuši nepieciešamo summu, pretī saņemot savu dokumentu atšifrējumu. Taču tas ir ārkārtīgi riskants solis, jo uzbrucēju vidū ir arī tādi, kas ar solīto atšifrēšanu pārāk neapgrūtinās, tā būs nauda.

Ko tad darīt, jūs jautājat? Mēs piedāvājam dažus padomus, kas palīdzēs jums atgūt visus savus datus un tajā pašā laikā nesekot krāpnieku piemēram un neatdot viņiem savu naudu. Un kas jādara:

1. Ja zināt, kā strādāt uzdevumu pārvaldniekā, nekavējoties pārtrauciet failu šifrēšanu, apturot aizdomīgo procesu. Tajā pašā laikā atvienojiet datoru no interneta — daudzām izspiedējvīrusu programmām ir nepieciešams tīkla savienojums.
2. Paņemiet papīra lapu un pierakstiet uz tās kodu, ko ierosināts nosūtīt uzbrucējiem pa e-pastu (papīra gabals, jo fails, kurā rakstīsit, arī var kļūt nelasāms).
3. Izmantojot Malwarebytes Antimalware, izmēģinājuma versiju Kaspersky IS Anti-Virus vai CureIt, noņemiet ļaunprātīgo programmu. Lai nodrošinātu lielāku uzticamību, labāk ir konsekventi izmantot visus piedāvātos līdzekļus. Lai gan jums nav jāinstalē Kaspersky Anti-Virus, ja sistēmai jau ir viens galvenais antivīruss, pretējā gadījumā var rasties programmatūras konflikti. Visas pārējās utilītas var izmantot jebkurā situācijā.
4. Pagaidiet, līdz kāds no pretvīrusu uzņēmumiem izstrādās šādu failu atšifrētāju. Kaspersky Lab paveic darbu visātrāk.
5. Turklāt jūs varat nosūtīt uz [aizsargāts ar e-pastu]šifrētā faila kopija ar nepieciešamo kodu un, ja pieejams, to pašu failu sākotnējā formā. Pilnīgi iespējams, ka tas varētu paātrināt failu atšifrēšanas metodes izstrādi.

Nekādā gadījumā nedrīkst:

• pārdēvējot šos dokumentus;
• mainot to pagarinājumu;
• failu dzēšana.

Šie Trojas zirgi arī šifrē lietotāju failus ar sekojošu izspiešanu. Šajā gadījumā šifrētajiem failiem var būt šādi paplašinājumi:

• .bloķēta
• .crypto
• .kraken
• .AES256 (ne vienmēr šis Trojas zirgs, ir arī citi, kas instalē to pašu paplašinājumu).
• .codercsu@gmail_com
• .o šitā
• Un citi.

Par laimi, jau ir izveidota īpaša atšifrēšanas utilīta - RakhniDecryptor. To var lejupielādēt no oficiālās vietnes.

Tajā pašā vietnē varat izlasīt instrukcijas, kurās detalizēti un skaidri parādīts, kā izmantot utilītu, lai atšifrētu visus failus, ar kuriem Trojas zirgs ir strādājis. Principā, lai nodrošinātu lielāku uzticamību, ir vērts izslēgt iespēju dzēst šifrētos failus. Bet, visticamāk, izstrādātāji paveica labu darbu, izveidojot utilītu, un datu integritātei nekas nedraud.

Tie, kas izmanto licencētu Dr.Web antivīrusu, var brīvi piekļūt atšifrēšanai, ko nodrošina izstrādātāji http://support.drweb.com/new/free_unlocker/.

Cita veida izspiedējvīrusi

Dažreiz jūs varat saskarties ar citiem vīrusiem, kas šifrē svarīgus failus un izspiež maksājumu, lai viss atgrieztos sākotnējā formā. Mēs piedāvājam nelielu utilītu sarakstu, lai cīnītos ar visbiežāk sastopamo vīrusu sekām. Tur jūs varat arī iepazīties ar galvenajām zīmēm, pēc kurām jūs varat atšķirt vienu vai otru Trojas programmu.

Turklāt labs veids būtu skenēt datoru ar Kaspersky antivīrusu, kas atklās nelūgto viesi un piešķirs tam nosaukumu. Pēc šī nosaukuma jau var meklēt tam dekodētāju.

• Trojas zirgs-Ransom.Win32.Rector- tipisks izspiedējprogrammatūras šifrētājs, kuram ir jānosūta SMS vai jāveic citas šāda veida darbības, mēs ņemam atšifrētāju no šīs saites.
• Trojan-Ransom.Win32.Xorist- iepriekšējā Trojas zirga variācija, jūs varat iegūt atšifrētāju ar tā lietošanas instrukcijām.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury– šiem puišiem ir arī īpaša utilīta, paskaties

Mūsdienu tehnoloģijas ļauj hakeriem pastāvīgi uzlabot savas krāpšanas metodes pret parastajiem lietotājiem. Parasti šiem nolūkiem tiek izmantota vīrusu programmatūra, kas iekļūst datorā. Šifrēšanas vīrusi tiek uzskatīti par īpaši bīstamiem. Draudi ir tādi, ka vīruss izplatās ļoti ātri, šifrējot failus (lietotājs vienkārši nevarēs atvērt vienu dokumentu). Un, ja tas ir pavisam vienkārši, tad atšifrēt datus ir daudz grūtāk.

Ko darīt, ja vīruss ir šifrējis failus datorā

Ikvienam var uzbrukt izspiedējvīrusu programmatūra, pat lietotāji, kuriem ir spēcīga pretvīrusu programmatūra, nav imūni. Failu šifrēšanas Trojas zirgiem ir dažādi kodi, kas var būt ārpus pretvīrusu iespējām. Hakeriem līdzīgā veidā izdodas uzbrukt pat lieliem uzņēmumiem, kas nav parūpējušies par savas informācijas nepieciešamo aizsardzību. Tātad, paņemot tiešsaistē izspiedējvīrusu programmu, jums ir jāveic vairāki pasākumi.

Galvenās infekcijas pazīmes ir lēna datora darbība un izmaiņas dokumentu nosaukumos (var redzēt uz darbvirsmas).

1. Restartējiet datoru, lai pārtrauktu šifrēšanu. Ieslēdzot, neapstipriniet nezināmu programmu palaišanu.
2. Palaidiet savu pretvīrusu, ja tai nav uzbrukusi izspiedējvīrusa programmatūra.
3. Dažos gadījumos ēnu kopijas palīdzēs atjaunot informāciju. Lai tos atrastu, atveriet šifrētā dokumenta sadaļu “Properties”. Šī metode darbojas ar šifrētiem datiem no Vault paplašinājuma, par ko ir informācija portālā.
4. Lejupielādējiet jaunāko utilīta versiju, lai cīnītos pret izspiedējvīrusiem. Visefektīvākos piedāvā Kaspersky Lab.

Ransomware vīrusi 2016. gadā: piemēri

Cīnoties ar jebkuru vīrusu uzbrukumu, ir svarīgi saprast, ka kods mainās ļoti bieži, ko papildina jauna pretvīrusu aizsardzība. Protams, drošības programmām ir vajadzīgs zināms laiks, līdz izstrādātājs atjaunina datu bāzes. Mēs esam atlasījuši pēdējā laika bīstamākos šifrēšanas vīrusus.

Ishtar Ransomware

Ishtar ir ransomware, kas izspiež naudu no lietotāja. Vīruss tika pamanīts 2016. gada rudenī, inficējot milzīgu skaitu lietotāju datoru no Krievijas un vairākām citām valstīm. Izplata pa e-pastu, kurā ir pievienoti dokumenti (uzstādītāji, dokumenti utt.). Ishtar šifrētāja inficētajiem datiem to nosaukumā tiek piešķirts prefikss “ISHTAR”. Procesa laikā tiek izveidots pārbaudes dokuments, kurā norādīts, kur doties, lai iegūtu paroli. Uzbrucēji par to prasa no 3000 līdz 15 000 rubļu.

Ishtar vīrusa briesmas ir tādas, ka šodien nav neviena atšifrētāja, kas palīdzētu lietotājiem. Pretvīrusu programmatūras uzņēmumiem ir nepieciešams laiks, lai atšifrētu visu kodu. Tagad jūs varat tikai izolēt svarīgu informāciju (ja tā ir īpaši svarīga) atsevišķā datu nesējā, gaidot, kad tiks izlaista utilīta, kas spēj atšifrēt dokumentus. Ieteicams pārinstalēt operētājsistēmu.

Neitrino

Neitrino šifrētājs parādījās internetā 2015. gadā. Uzbrukuma princips ir līdzīgs citiem līdzīgas kategorijas vīrusiem. Maina mapju un failu nosaukumus, pievienojot "Neitrino" vai "Neutrino". Vīrusu ir grūti atšifrēt, ne visi pretvīrusu uzņēmumu pārstāvji to apņemas, atsaucoties uz ļoti sarežģītu kodu. Daži lietotāji var gūt labumu no ēnu kopijas atjaunošanas. Lai to izdarītu, ar peles labo pogu noklikšķiniet uz šifrētā dokumenta, dodieties uz cilni "Rekvizīti", "Iepriekšējās versijas" un noklikšķiniet uz "Atjaunot". Būtu ieteicams izmantot bezmaksas Kaspersky Lab utilītu.

Maks vai .maksa.

Maka šifrēšanas vīruss parādījās 2016. gada beigās. Inficēšanās procesa laikā tas maina datu nosaukumu uz “Vārds..maciņš” vai ko līdzīgu. Tāpat kā lielākā daļa izspiedējvīrusu, tas iekļūst sistēmā, izmantojot uzbrucēju nosūtīto e-pasta ziņojumu pielikumus. Tā kā draudi parādījās pavisam nesen, pretvīrusu programmas to nepamana. Pēc šifrēšanas viņš izveido dokumentu, kurā krāpnieks norāda e-pastu saziņai. Pašlaik pretvīrusu programmatūras izstrādātāji strādā, lai atšifrētu izspiedējvīrusa kodu. [aizsargāts ar e-pastu]. Lietotāji, kuriem ir uzbrukts, var tikai gaidīt. Ja dati ir svarīgi, ieteicams tos saglabāt ārējā diskdzinī, notīrot sistēmu.

Enigma

Enigma ransomware vīruss sāka inficēt Krievijas lietotāju datorus 2016. gada aprīļa beigās. Tiek izmantots AES-RSA šifrēšanas modelis, kas mūsdienās ir sastopams lielākajā daļā izspiedējvīrusu. Vīruss iekļūst datorā, izmantojot skriptu, kuru lietotājs izpilda, atverot failus no aizdomīga e-pasta. Joprojām nav universālu līdzekļu, lai cīnītos pret Enigma ransomware. Lietotāji ar pretvīrusu licenci var lūgt palīdzību izstrādātāja oficiālajā vietnē. Tika atrasta arī neliela “nepilnība” - Windows UAC. Ja lietotājs vīrusu inficēšanās procesa laikā parādītajā logā noklikšķina uz “Nē”, viņš pēc tam varēs atjaunot informāciju, izmantojot ēnu kopijas.

Granīts

Jauns ransomware vīruss Granit parādījās internetā 2016. gada rudenī. Inficēšanās notiek saskaņā ar šādu scenāriju: lietotājs palaiž instalēšanas programmu, kas inficē un šifrē visus datorā esošos datus, kā arī pievienotos diskus. Cīņa ar vīrusu ir sarežģīta. Lai to noņemtu, varat izmantot īpašas Kaspersky utilītas, taču mēs vēl neesam spējuši kodu atšifrēt. Varbūt palīdzēs iepriekšējo datu versiju atjaunošana. Turklāt speciālists ar lielu pieredzi var atšifrēt, taču pakalpojums ir dārgs.

Taisons

Pamanīts nesen. Tas ir jau zināmā ransomware no_more_ransom paplašinājums, par kuru varat uzzināt mūsu vietnē. Tas sasniedz personālos datorus no e-pasta. Tika uzbrukts daudziem korporatīvajiem datoriem. Vīruss izveido teksta dokumentu ar atbloķēšanas instrukcijām, piedāvājot samaksāt “izpirkuma maksu”. Tyson ransomware parādījās nesen, tāpēc vēl nav atbloķēšanas atslēgas. Vienīgais veids, kā atjaunot informāciju, ir atgriezt iepriekšējās versijas, ja tās nav izdzēsis vīruss. Jūs, protams, varat riskēt, pārskaitot naudu uz uzbrucēju norādīto kontu, taču nav garantijas, ka paroli saņemsiet.

Spora

2017. gada sākumā vairāki lietotāji kļuva par jaunā Spora izpirkuma programmatūras upuriem. Pēc darbības principa tas īpaši neatšķiras no līdziniekiem, taču lepojas ar profesionālāku dizainu: instrukcijas paroles iegūšanai ir labāk uzrakstītas, un vietne izskatās skaistāka. Spora ransomware vīruss tika izveidots C valodā un izmanto RSA un AES kombināciju, lai šifrētu upura datus. Parasti uzbruka datoriem, kuros tika aktīvi izmantota 1C grāmatvedības programma. Vīruss, kas slēpjas zem vienkārša rēķina .pdf formātā, liek uzņēmuma darbiniekiem to palaist. Ārstēšana vēl nav atrasta.

1C.Drop.1

Šis 1C šifrēšanas vīruss parādījās 2016. gada vasarā, izjaucot daudzu grāmatvedības nodaļu darbu. Tas tika izstrādāts īpaši datoriem, kas izmanto 1C programmatūru. Atrodoties datorā, izmantojot failu e-pastā, īpašnieks aicina atjaunināt programmu. Neatkarīgi no lietotāja nospiestās pogas vīruss sāks šifrēt failus. Dr.Web speciālisti strādā pie atšifrēšanas rīkiem, taču risinājums pagaidām nav atrasts. Tas ir saistīts ar sarežģīto kodu, kuram var būt vairākas modifikācijas. Vienīgā aizsardzība pret 1C.Drop.1 ir lietotāju modrība un regulāra svarīgu dokumentu arhivēšana.

da_vinci_code

Jauna izpirkuma programmatūra ar neparastu nosaukumu. Vīruss parādījās 2016. gada pavasarī. Tas atšķiras no saviem priekšgājējiem ar uzlaboto kodu un spēcīgu šifrēšanas režīmu. da_vinci_code inficē datoru, pateicoties izpildes lietojumprogrammai (parasti pievienota e-pastam), kuru lietotājs palaiž neatkarīgi. Da Vinci šifrēšanas rīks kopē pamattekstu sistēmas direktorijā un reģistrā, nodrošinot automātisku palaišanu, kad Windows ir ieslēgts. Katra upura datoram tiek piešķirts unikāls ID (palīdz iegūt paroli). Datus atšifrēt ir gandrīz neiespējami. Jūs varat maksāt naudu uzbrucējiem, taču neviens negarantē, ka saņemsiet paroli.

[aizsargāts ar e-pastu] / [aizsargāts ar e-pastu]

Divas e-pasta adreses, kuras 2016. gadā bieži pavadīja izspiedējvīrusi. Tie kalpo, lai upuri savienotu ar uzbrucēju. Pielikumā bija dažādu veidu vīrusu adreses: da_vinci_code, no_more_ransom un tā tālāk. Ļoti ieteicams nesazināties un nepārskaitīt naudu krāpniekiem. Lietotāji vairumā gadījumu paliek bez parolēm. Tādējādi parādot, ka uzbrucēju izpirkuma programmatūra darbojas, radot ienākumus.

Breaking Bad

Tas parādījās 2015. gada sākumā, bet aktīvi izplatījās tikai gadu vēlāk. Inficēšanās princips ir identisks citām izpirkuma programmām: faila instalēšana no e-pasta, datu šifrēšana. Parastās pretvīrusu programmas, kā likums, nepamana Breaking Bad vīrusu. Daži kodi nevar apiet Windows UAC, atstājot lietotājam iespēju atjaunot iepriekšējās dokumentu versijas. Neviens uzņēmums, kas izstrādā pretvīrusu programmatūru, vēl nav prezentējis atšifrētāju.

XTBL

Ļoti izplatīta izpirkuma programmatūra, kas daudziem lietotājiem ir radījusi problēmas. Nokļūstot datorā, vīruss dažu minūšu laikā maina faila paplašinājumu uz .xtbl. Tiek izveidots dokuments, kurā uzbrucējs izspiež naudu. Daži XTBL vīrusa varianti nevar iznīcināt failus sistēmas atkopšanai, kas ļauj atgūt svarīgus dokumentus. Pašu vīrusu var noņemt daudzas programmas, taču dokumentu atšifrēšana ir ļoti sarežģīta. Ja esat licencēta antivīrusa īpašnieks, izmantojiet tehnisko atbalstu, pievienojot inficēto datu paraugus.

Kukarača

Cucaracha izpirkuma programmatūra tika atklāta 2016. gada decembrī. Vīruss ar interesantu nosaukumu slēpj lietotāju failus, izmantojot RSA-2048 algoritmu, kas ir ļoti izturīgs. Kaspersky antivīruss to apzīmēja kā Trojan-Ransom.Win32.Scatter.lb. Kukaracha var izņemt no datora, lai netiktu inficēti citi dokumenti. Tomēr inficētos pašlaik ir gandrīz neiespējami atšifrēt (ļoti spēcīgs algoritms).

Kā darbojas izspiedējvīruss?

Ir milzīgs skaits izpirkuma programmu, taču tās visas darbojas pēc līdzīga principa.

1. Piekļūšana personālajam datoram. Parasti, pateicoties e-pasta ziņojumam pievienotajam failam. Instalēšanu uzsāk pats lietotājs, atverot dokumentu.
2. Failu infekcija. Gandrīz visu veidu faili ir šifrēti (atkarībā no vīrusa). Tiek izveidots teksta dokuments, kurā ir kontaktpersonas saziņai ar uzbrucējiem.
3. Visi. Lietotājs nevar piekļūt nevienam dokumentam.

Kontroles aģenti no populārām laboratorijām

Plašā izpirkuma programmatūras izmantošana, kas ir atzīta par visbīstamāko draudu lietotāju datiem, ir kļuvusi par stimulu daudzām pretvīrusu laboratorijām. Katrs populārs uzņēmums saviem lietotājiem nodrošina programmas, kas palīdz cīnīties ar izspiedējvīrusiem. Turklāt daudzi no tiem palīdz dokumentu atšifrēšanā un sistēmas aizsardzībā.

Kaspersky un ransomware vīrusi

Viena no slavenākajām pretvīrusu laboratorijām Krievijā un pasaulē šodien piedāvā visefektīvākos rīkus cīņai pret izspiedējvīrusiem. Pirmais šķērslis izspiedējvīrusam būs Kaspersky Endpoint Security 10 ar jaunākajiem atjauninājumiem. Antivīruss vienkārši neļaus draudiem iekļūt datorā (lai gan tas var neapturēt jaunas versijas). Lai atšifrētu informāciju, izstrādātājs piedāvā vairākas bezmaksas utilītas: XoristDecryptor, RakhniDecryptor un Ransomware Decryptor. Tie palīdz atrast vīrusu un izvēlēties paroli.

Dr. Tīmeklis un izpirkuma programmatūra

Šī laboratorija iesaka izmantot viņu pretvīrusu programmu, kuras galvenā funkcija ir failu dublēšana. Glabāšana ar dokumentu kopijām ir aizsargāta arī pret nesankcionētu iebrucēju piekļuvi. Licencēta produkta īpašnieki Dr. Tīmekļa funkcija ir pieejama, lai lūgtu palīdzību no tehniskā atbalsta. Tiesa, pat pieredzējuši speciālisti ne vienmēr var pretoties šāda veida draudiem.

ESET Nod 32 un izpirkuma programmatūra

Arī šī kompānija nepalika malā, nodrošinot saviem lietotājiem labu aizsardzību pret vīrusu iekļūšanu datorā. Turklāt laboratorija nesen izlaida bezmaksas utilītu ar atjauninātām datu bāzēm - Eset Crysis Decryptor. Izstrādātāji saka, ka tas palīdzēs cīņā pat pret jaunāko izspiedējprogrammatūru.

Es turpinu bēdīgi slaveno sadaļu savā vietnē ar citu stāstu, kurā es pats biju upuris. Es runāšu par izspiedējvīrusu Crusis (Dharma), kas šifrēja visus tīkla diskā esošos failus un piešķīra tiem paplašinājumu .combo. Viņš strādāja ne tikai ar vietējiem failiem, kā tas visbiežāk notiek, bet arī ar tīkla failiem.

Garantēta failu atšifrēšana pēc izspiedējvīrusa - dr-shifro.ru. Sīkāka informācija par darbu un mijiedarbības ar klientu shēma ir manā rakstā vai vietnes sadaļā “Darba procedūra”.

Ievads

Stāsts būs pirmajā personā, jo manis pārvaldītos datus un infrastruktūru ietekmēja šifrētājs. Lai cik skumji būtu to atzīt, es daļēji esmu vainojams notikušajā, lai gan kriptogrāfus pazīstu ļoti ilgu laiku. Savā aizstāvībā teikšu, ka nekādi dati netika zaudēti, viss tika ātri atjaunots un bez kavēšanās izmeklēts. Bet vispirms vispirms.

Garlaicīgais rīts sākās ar to, ka 9:15 piezvanīja sistēmas administrators no vienas attālinātas vietnes un teica, ka tīklā ir šifrētājs, dati tīkla diskos jau ir šifrēti. Man cauri ādai pārskrēja drebuļi :) Viņš pats sāka pārbaudīt infekcijas avotu, un es sāku pārbaudīt ar savējo. Protams, es nekavējoties devos uz serveri, atvienoju tīkla diskus un sāku skatīties datu piekļuves žurnālu. Tīkla diskdziņi ir konfigurēti, ir jābūt iespējotiem. No žurnāla es uzreiz redzēju infekcijas avotu, kontu, kurā darbojās izspiedējprogrammatūra, un šifrēšanas sākuma laiku.

Crusis (Dharma) izspiedējvīrusa apraksts

Tad sākās izmeklēšana. Šifrētie faili saņēma paplašinājumu .combo. Viņu bija daudz. Kriptogrāfs sāka strādāt vēlu vakarā, aptuveni pulksten 23:00. Mums paveicās – tikko bija pabeigta skarto disku dublēšana. Dati nemaz netika zaudēti, jo darba dienas beigās tie tika dublēti. Uzreiz sāku atjaunot no dublējuma, kas atrodas atsevišķā serverī bez SMB piekļuves.

Vienas nakts laikā vīrusam tīkla diskos izdevās šifrēt aptuveni 400 GB datu. Visu šifrēto failu ar kombinēto paplašinājumu banāla dzēšana aizņēma ilgu laiku. Sākumā es gribēju dzēst tos visus uzreiz, bet, kad tikai šo failu skaitīšana ilga 15 minūtes, es sapratu, ka šajā brīdī tas ir bezjēdzīgi. Tā vietā es sāku lejupielādēt jaunākos datus un pēc tam notīrīju diskus no šifrētiem failiem.

Es jums tūlīt pateikšu patiesību. Atjauninātas, uzticamas dublējumkopijas padara visas problēmas atrisināmas. Es pat nevaru iedomāties, ko darīt, ja viņu nav vai tie nav aktuāli. Es vienmēr pievēršu īpašu uzmanību dublēšanai. Es rūpējos par viņiem, es tos loloju un nevienam neļauju tiem piekļūt.

Pēc tam, kad es uzsāku šifrēto failu atkopšanu, man bija laiks mierīgi izprast situāciju un tuvāk apskatīt Crusis (Dharma) šifrēšanas vīrusu. Šeit mani gaidīja pārsteigumi un pārsteigumi. Infekcijas avots bija virtuālā mašīna ar Windows 7 ar pamestu rdp ports, izmantojot rezerves kanālu. Ports nebija standarta - 33333. Manuprāt, tā bija galvenā kļūda izmantot šādu portu. Lai gan tas nav standarta, tas ir ļoti populārs. Protams, labāk vispār nepārsūtīt rdp, taču šajā gadījumā tas tiešām bija nepieciešams. Starp citu, tagad šīs virtuālās mašīnas vietā tiek izmantota arī virtuālā mašīna ar CentOS 7, kurā darbojas konteiners ar xfce un pārlūkprogramma Docker. Nu šai virtuālajai mašīnai nav piekļuves nekur, tikai tur, kur vajag.

Kas ir biedējošs visā šajā stāstā? Virtuālā mašīna tika atjaunināta. Kriptogrāfs darbu sāka augusta beigās. Nav iespējams precīzi noteikt, kad iekārta tika inficēta. Vīruss iznīcināja daudzas lietas pašā virtuālajā mašīnā. Šīs sistēmas atjauninājumi tika instalēti maijā. Tas ir, uz tā nedrīkst būt veci atvērti caurumi. Tagad es pat nezinu, kā atstāt rdp portu pieejamu no interneta. Ir pārāk daudz gadījumu, kad tas patiešām ir vajadzīgs. Piemēram, termināļa serveris uz īrētas aparatūras. Jūs arī neiznomāsit VPN vārteju katram serverim.

Tagad pietuvosimies jautājumam un pašai izpirkuma programmatūrai. Tika atspējots virtuālās mašīnas tīkla interfeiss, pēc kura es to papalaidu. Mani sagaidīja standarta zīme, kuru jau daudzkārt biju redzējis no citiem kriptogrāfiem.

Visi jūsu faili ir šifrēti! Visi jūsu faili ir šifrēti datora drošības problēmas dēļ. Ja vēlaties tos atjaunot, rakstiet mums uz e-pastu [aizsargāts ar e-pastu] Ierakstiet šo ID savas ziņas virsrakstā 501BED27 Ja 24 stundu laikā nesaņemat atbildi, rakstiet mums uz šiem e-pastiem: [aizsargāts ar e-pastu] Jums ir jāmaksā par atšifrēšanu Bitcoins. Cena ir atkarīga no tā, cik ātri mums rakstīsi. Pēc maksājuma mēs jums nosūtīsim atšifrēšanas rīku, kas atšifrēs visus jūsu failus. Bezmaksas atšifrēšana kā garantija Pirms apmaksas varat nosūtīt mums līdz 1 failam bezmaksas atšifrēšanai. Failu kopējam izmēram ir jābūt mazākam par 1 Mb (nav arhivēti), un failos nedrīkst būt vērtīga informācija. (datu bāzes, dublējumkopijas, lielas Excel lapas u.c.) Kā iegūt Bitcoins Vieglākais veids, kā iegādāties bitkoinus, ir Vietne Vietne Bitcoin. Jums ir jāreģistrējas, jānoklikšķina uz "Pirkt bitcoins" un jāizvēlas pārdevējs pēc maksājuma veida un cenas. https://localbitcoins.com/buy_bitcoins Šeit varat atrast arī citas Bitcoin iegādes vietas un ceļvedi iesācējiem: Uzmanību! Nepārdēvējiet šifrētos failus. Nemēģiniet atšifrēt savus datus, izmantojot trešās puses programmatūru, jo tas var izraisīt neatgriezenisku datu zudumu. Jūsu failu atšifrēšana ar trešo pušu palīdzību var izraisīt sadārdzinājumu (tās pieskaita mūsu maksu), vai arī jūs varat kļūt par krāpniecības upuri.

Uz darbvirsmas bija 2 teksta faili ar nosaukumiem FAILI ENCRYPTED.TXTšādu saturu:

Visi jūsu dati mums ir bloķēti Vai vēlaties atgriezties? rakstīt e-pastu [aizsargāts ar e-pastu]

Interesanti, ka direktoriju atļaujas ir mainītas Darbvirsma. Lietotājam nebija rakstīšanas atļauju. Acīmredzot vīruss to izdarīja, lai neļautu lietotājam nejauši dzēst informāciju teksta failos no darbvirsmas. Tur uz darbvirsmas bija direktorijs Troja, kurā atradās pats vīruss – fails l20VHC_playload.exe.

Kā Crusis (Dharma) izspiedējvīruss šifrē failus

Mierīgi visu izdomājis un internetā izlasījis līdzīgus ziņojumus par izspiedējvīrusu tēmu, uzzināju, ka esmu noķēris slavenā Crusis (Dharma) izspiedējvīrusa versiju. Kaspersky to nosaka kā Trojan-Ransom.Win32.Crusis.to. Tā failiem ievieto dažādus paplašinājumus, tostarp and.combo. Mans failu saraksts izskatījās apmēram šādi:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovska-Kamčatska.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Es jums pastāstīšu sīkāku informāciju par to, kā darbojās izspiedējprogrammatūra. Es nepieminēju svarīgu lietu. Šis dators atradās domēnā. Faili tika šifrēti no domēna lietotāja!!! Šeit rodas jautājums: no kurienes vīruss to ieguva? Es neredzēju informāciju par domēna kontrollera žurnāliem un lietotāja paroles izvēli. Nebija daudz neveiksmīgu pieteikšanos. Vai nu tika izmantota kāda ievainojamība, vai arī es nezinu, ko domāt. Tika izmantots konts, kas nekad nav pieteicies šajā sistēmā. No domēna lietotāja konta tika veikta autorizācija, izmantojot rdp, un pēc tam šifrēšana. Tāpat nebija nekādu pēdu no brutāla spēka uzbrukumiem lietotājiem un parolēm pašā sistēmā. Gandrīz uzreiz man bija pieteikšanās, izmantojot rdp domēna kontu. Bija jāizvēlas vismaz ne tikai parole, bet arī vārds.

Diemžēl konta parole bija 123456. Šis bija vienīgais konts ar šo paroli, kuru vietējie administratori palaida garām. Cilvēciskais faktors. Tas bija vadītājs un nez kāpēc vesela virkne sistēmas administratoru zināja par šo paroli, bet nemainīja to. Acīmredzot tas ir šī konkrētā konta izmantošanas iemesls. Tomēr pat tik vienkāršas paroles un lietotājvārda iegūšanas mehānisms joprojām nav zināms.

Es izslēdzu un izdzēsu virtuālo mašīnu, kas bija inficēta ar šifrētāju, vispirms uzņemot diska attēlu. Pats vīruss no tā izņēma attēlu, lai apskatītu savu darbu. Tālākais stāsts būs balstīts uz vīrusa palaišanu virtuālajā mašīnā.

Vēl viena maza detaļa. Vīruss skenēja visu lokālo tīklu un vienlaikus šifrēja informāciju tajos datoros, kuros bija dažas koplietotas mapes ar piekļuvi visiem. Pirmo reizi redzu šādu šifrētāja modifikāciju. Šī patiešām ir biedējoša lieta. Šāds vīruss var vienkārši paralizēt visas organizācijas darbu. Pieņemsim, ka kāda iemesla dēļ jums bija piekļuve tīklam pašām dublējumkopijām. Vai arī viņi izmantoja kādu vāju konta paroli. Var gadīties, ka tiks šifrēts viss – gan dati, gan arhivētās kopijas. Kopumā es tagad domāju par dublējumu glabāšanu ne tikai izolētā tīkla vidē, bet vispār uz izslēgtām iekārtām, kuras tiek iedarbinātas tikai dublēšanas veikšanai.

Kā ārstēt datoru un noņemt Crusis (Dharma) izspiedējvīrusu

Manā gadījumā Crusis (Dharma) ransomware vīruss nebija īpaši slēpts un tā noņemšanai nevajadzētu radīt nekādas problēmas. Kā jau teicu, tas atradās mapē uz manas darbvirsmas. Turklāt viņš autorun ierakstīja sevi un informatīvu ziņojumu.

Palaišanas sadaļā tika dublēts pats vīrusa ķermenis Uzsākt visiem lietotājiem un logi/sistēma32. Es neskatījos tuvāk, jo neredzu tam jēgu. Pēc inficēšanās ar izspiedējvīrusu, es ļoti iesaku pārinstalēt sistēmu. Tas ir vienīgais veids, kā nodrošināt vīrusa izņemšanu. Jūs nekad nebūsiet pilnīgi pārliecināts, ka vīruss ir noņemts, jo tas varēja izmantot dažas vēl nepublicētas un nezināmas ievainojamības, lai sistēmā atstātu grāmatzīmi. Pēc kāda laika caur šo hipotēku jūs varat iegūt kādu jaunu vīrusu un viss atkārtosies pa apli.

Tāpēc iesaku uzreiz pēc ransomware atklāšanas nevis apstrādāt datoru, bet gan pārinstalēt sistēmu, saglabājot atlikušos datus. Iespējams, vīrusam neizdevās visu šifrēt. Šie ieteikumi attiecas uz tiem, kuri neplāno atkopt failus. Ja jums ir pašreizējās dublējumkopijas, vienkārši pārinstalējiet sistēmu un atjaunojiet datus.

Ja jums nav dublējumkopiju un esat gatavs par katru cenu atjaunot failus, mēs cenšamies datoram nepieskarties vispār. Pirmkārt, vienkārši atvienojiet tīkla kabeli, lejupielādējiet pāris šifrētus failus un teksta failu ar informāciju par tīrs zibatmiņas disku, pēc tam izslēdziet datoru. Datoru vairs nevar ieslēgt. Ja jūs vispār nesaprotat datora lietas, jūs pats nevarēsit tikt galā ar vīrusu, vēl jo mazāk atšifrēt vai atjaunot failus. Sazinieties ar kādu, kas zina. Ja domājat, ka varat kaut ko izdarīt pats, tad lasiet tālāk.

Kur lejupielādēt Crusis (Dharma) atšifrētāju

Tālāk ir sniegts mans universālais padoms par visiem izspiedējvīrusiem. Ir vietne - https://www.nomoreransom.org Teorētiski tajā varētu būt Crusis vai Dharma atšifrētājs vai kāda cita informācija par failu atšifrēšanu. Manā praksē tas nekad agrāk nav noticis, bet varbūt jums paveiksies. Ir vērts mēģināt. Lai to izdarītu, galvenajā lapā mēs piekrītam, noklikšķinot JĀ.

Pievienojiet 2 failus un ielīmējiet izspiedējvīrusa informatīvā ziņojuma saturu un noklikšķiniet uz Pārbaudiet.

Ja jums paveiksies, jūs iegūsit informāciju. Manā gadījumā nekas netika atrasts.

Visi esošie ransomware atšifrētāji ir apkopoti atsevišķā lapā - https://www.nomoreransom.org/ru/decryption-tools.html Šī saraksta esamība ļauj mums sagaidīt, ka šai vietnei un pakalpojumam joprojām ir kāda jēga. Kaspersky piedāvā līdzīgu pakalpojumu - https://noransom.kaspersky.com/ru/ Tur varat izmēģināt savu veiksmi.

Es nedomāju, ka ir vērts meklēt atšifrētājus jebkur citur, izmantojot meklēšanu internetā. Maz ticams, ka tie tiks atrasti. Visticamāk, tā būs vai nu parasta krāpniecība ar nevēlamu programmatūru, vai arī jauns vīruss.

Svarīgs papildinājums. Ja jums ir instalēta licencēta pretvīrusu versija, noteikti izveidojiet failu atšifrēšanas pieprasījumu pretvīrusu TP. Dažreiz tas patiešām palīdz. Esmu redzējis atsauksmes par veiksmīgu pretvīrusu atbalsta atšifrēšanu.

Kā atšifrēt un atgūt failus pēc Crusis (Dharma) vīrusa

Ko darīt, ja Crusis (Dharma) vīruss ir šifrējis jūsu failus, neviena no iepriekš aprakstītajām metodēm nepalīdzēja un jums patiešām ir jāatjauno faili? Šifrēšanas tehniskā realizācija neļauj atšifrēt failus bez atslēgas vai atšifrētāja, kas ir tikai šifrētāja autoram. Varbūt ir kāds cits veids, kā to iegūt, bet man nav tādas informācijas. Mēs varam tikai mēģināt atgūt failus, izmantojot improvizētas metodes. Tie ietver:

• Rīks ēnu kopijas logi.
• Izdzēstas datu atkopšanas programmas

Pirms turpmākām manipulācijām iesaku izveidot diska attēlu pa sektoram. Tas ļaus ierakstīt pašreizējo stāvokli un, ja nekas nedarbojas, tad vismaz varat atgriezties sākuma punktā un izmēģināt kaut ko citu. Pēc tam jums ir jānoņem pati izpirkuma programmatūra, izmantojot jebkuru pretvīrusu ar jaunāko pretvīrusu datu bāzu komplektu. Darīšu CureIt vai Kaspersky vīrusu noņemšanas rīks. Izmēģinājuma režīmā varat instalēt jebkuru citu pretvīrusu. Tas ir pietiekami, lai noņemtu vīrusu.

Pēc tam mēs sāknējam inficēto sistēmu un pārbaudām, vai mums ir iespējotas ēnu kopijas. Šis rīks darbojas pēc noklusējuma operētājsistēmā Windows 7 un jaunākās versijās, ja vien to manuāli neatspējojat. Lai pārbaudītu, atveriet datora rekvizītus un dodieties uz sistēmas aizsardzības sadaļu.

Ja inficēšanās laikā neapstiprinājāt UAC pieprasījumu dzēst failus ēnu kopijās, daļai datu tur vajadzētu palikt. Lai viegli atjaunotu failus no ēnu kopijām, iesaku šim nolūkam izmantot bezmaksas programmu - ShadowExplorer. Lejupielādējiet arhīvu, izpakojiet programmu un palaidiet to.

Tiks atvērta jaunākā failu kopija un diska C sakne. Augšējā kreisajā stūrī varat atlasīt rezerves kopiju, ja jums ir vairākas no tām. Pārbaudiet nepieciešamos failu dažādās kopijas. Salīdziniet jaunāko versiju pēc datuma. Tālāk esošajā piemērā es savā darbvirsmā atradu 2 failus no pirms trim mēnešiem, kad tie tika pēdējoreiz rediģēti.

Man izdevās atgūt šos failus. Lai to izdarītu, es tos atlasīju, ar peles labo pogu noklikšķināju, atlasīju Eksportēt un norādīju mapi, kur tās atjaunot.

Jūs varat nekavējoties atjaunot mapes, izmantojot to pašu principu. Ja darbojās ēnu kopijas un tās neizdzēsāt, jums ir labas izredzes atgūt visus vai gandrīz visus vīrusa šifrētos failus. Varbūt daži no tiem būs vecāka versija, nekā mēs vēlētos, bet tomēr tas ir labāk nekā nekas.

Ja kāda iemesla dēļ jums nav failu ēnu kopiju, vienīgā iespēja iegūt vismaz kaut ko no šifrētajiem failiem ir tos atjaunot, izmantojot izdzēsto failu atkopšanas rīkus. Lai to izdarītu, iesaku izmantot bezmaksas programmu Photorec.

Palaidiet programmu un atlasiet disku, kurā atjaunosiet failus. Palaižot programmas grafisko versiju, tiek izpildīts fails qphotorec_win.exe. Jāizvēlas mape, kurā tiks ievietoti atrastie faili. Labāk, ja šī mape neatrodas tajā pašā diskā, kurā mēs meklējam. Lai to izdarītu, pievienojiet zibatmiņas disku vai ārējo cieto disku.

Meklēšanas process prasīs ilgu laiku. Beigās jūs redzēsit statistiku. Tagad varat doties uz iepriekš norādīto mapi un redzēt, kas tur ir atrasts. Visticamāk, failu būs daudz, un lielākā daļa no tiem būs vai nu bojāti, vai arī tie būs kaut kāda sistēma un bezjēdzīgi faili. Tomēr šajā sarakstā var atrast dažus noderīgus failus. Šeit nav nekādu garantiju, tas, ko jūs atradīsiet, ir tas, ko jūs atradīsit. Attēli parasti tiek atjaunoti vislabāk.

Ja rezultāts jūs neapmierina, tad ir arī programmas izdzēsto failu atkopšanai. Tālāk ir sniegts to programmu saraksts, kuras es parasti izmantoju, kad jāatkopj maksimālais failu skaits:

• R.saver
• Starus failu atkopšana
• JPEG Recovery Pro
• Aktīvās failu atkopšanas profesionālis

Šīs programmas nav bezmaksas, tāpēc saites nesniegšu. Ja ļoti vēlaties, varat tos atrast pats internetā.

Viss failu atkopšanas process, izmantojot uzskaitītās programmas, ir detalizēti parādīts videoklipā raksta pašā beigās.

Kaspersky, eset nod32 un citi cīņā pret Crusis (Dharma) izpirkuma programmatūru

Kā parasti, es pārlūkoju populāro antivīrusu forumus, meklējot informāciju par izspiedējprogrammatūru, kas instalē paplašinājumu .combo. Ir skaidra tendence uz vīrusa izplatību. Daudz pieprasījumu sākas no augusta vidus. Tagad šķiet, ka tie nav redzami, bet varbūt uz laiku, vai vienkārši ir mainījies šifrēto failu paplašinājums.

Šeit ir piemērs tipiskam pieprasījumam no Kaspersky foruma.

Zemāk ir arī moderatora komentārs.

EsetNod32 forums jau sen ir pazīstams ar vīrusu, kas instalē paplašinājumu .combo. Kā es saprotu, vīruss nav unikāls un nav jauns, bet gan sen zināmās Crusis (Dharma) vīrusu sērijas variācija. Šis ir tipisks datu atšifrēšanas pieprasījums:

Es pamanīju, ka Eset forumā ir daudz atsauksmju, ka vīruss ir iekļuvis serverī caur rdp. Šķiet, ka tas ir patiešām spēcīgs drauds, un jūs nevarat atstāt rdp bez seguma. Vienīgais jautājums, kas rodas, ir, kā vīruss iekļūst caur rdp? Atlasa paroli, izveido savienojumu ar zināmu lietotāju un paroli vai kaut ko citu.

Kur meklēt garantētu atšifrēšanu

Man gadījās satikt vienu uzņēmumu, kas faktiski atšifrē datus pēc dažādu šifrēšanas vīrusu, tostarp Crusis (Dharma) darba. Viņu adrese ir http://www.dr-shifro.ru. Maksājums tikai pēc atšifrēšanas un jūsu verifikācijas. Šeit ir aptuvenā darba shēma:

1. Uzņēmuma speciālists ierodas jūsu birojā vai mājās un paraksta ar jums līgumu, kurā ir noteiktas darba izmaksas.
2. Palaiž savā datorā atšifrētāju un atšifrē dažus failus.
3. Pārliecinies, ka visi faili ir atvērti, paraksti pieņemšanas sertifikātu par paveikto darbu un saņem atšifrētāju.
4. Jūs atšifrējat savus failus un aizpildāt atlikušos dokumentus.

Tu ar neko neriskē. Samaksa tikai pēc dekodera darbības demonstrēšanas. Lūdzu, uzrakstiet atsauksmi par savu pieredzi ar šo uzņēmumu.

Aizsardzības metodes pret izspiedējvīrusu

Es neuzskaitīšu acīmredzamās lietas par nezināmu programmu palaišanu no interneta un pielikumu atvēršanu pastā. Tagad visi to zina. Turklāt es par to daudzkārt rakstīju savos rakstos sadaļā par. Es pievērsīšu uzmanību dublēšanai. Tiem ne tikai ir jābūt, bet arī no ārpuses nepieejamiem. Ja tas ir sava veida tīkla disks, tam ir jāpiekļūst atsevišķam kontam ar spēcīgu paroli.

Ja dublējat personiskos failus zibatmiņas diskā vai ārējā diskdzinī, neglabājiet tos pastāvīgi savienotus ar sistēmu. Pēc rezerves kopiju izveides atvienojiet ierīces no datora. Es redzu ideālo dublējumu atsevišķā ierīcē, kas tiek ieslēgta tikai, lai izveidotu dublējumu, un pēc tam atkal fiziski atvieno no tīkla, atvienojot tīkla kabeli vai vienkārši izslēdzot darbu.

Dublējumam ir jābūt pakāpeniskai. Tas ir nepieciešams, lai izvairītos no situācijas, kad šifrētājs šifrēja visus datus jums nemanot. Tika veikta dublēšana, kas nomainīja vecos failus ar jauniem, bet jau šifrētiem. Rezultātā jums ir arhīvs, bet no tā nav nekāda labuma. Arhīva dziļumam jābūt vismaz vairākas dienas. Domāju, ka nākotnē būs, ja tie vēl nav parādījušies, ransomware, kas klusi šifrēs daļu datu un gaidīs kādu laiku, neatklājoties. Tas tiks darīts, cerot, ka šifrētie faili nonāks arhīvos un laika gaitā aizstās reālos failus.

Šis būs grūts laiks korporatīvajam sektoram. Iepriekš jau minēju piemēru no eset foruma, kur tika šifrēti tīkla diski ar 20 TB datu. Tagad iedomājieties, ka jums ir šāds tīkla disks, bet tikai 500 G datu ir šifrēti direktorijos, kuriem netiek pastāvīgi piekļūts. Paiet pāris nedēļas, šifrētos failus neviens nepamana, jo tie atrodas arhīvu direktorijās un ar tiem visu laiku netiek strādāts. Bet pārskata perioda beigās ir nepieciešami dati. Viņi dodas uz turieni un redz, ka viss ir šifrēts. Viņi nonāk arhīvā, un tur uzglabāšanas dziļums ir, teiksim, 7 dienas. Un tas arī viss, dati ir pazuduši.

Tam nepieciešama atsevišķa, rūpīga pieeja arhīviem. Nepieciešama programmatūra un resursi ilgstošai datu glabāšanai.

Video par failu atšifrēšanu un atkopšanu

Šeit ir līdzīgas vīrusa modifikācijas piemērs, bet video ir pilnībā atbilstošs kombinācijai.