Një virus që kodon të dhënat. Shërbimi i deshifrimit RectorDecryptor nga Kaspersky Lab. Rikuperoni skedarët e koduar duke përdorur PhotoRec

Lexo, si të mbroheni nga infeksioni i virusit ransomware dhe të hiqni XTBL nga një kompjuter. A ia vlen të paguhet shpërblesa, dhe si të rikuperoni skedarët e koduar nga ransomware. Viruset ransomware janë një nga infeksionet më të këqija kibernetike që mund të hasni. Nuk është më kot që ata gëzojnë një reputacion të tillë në internet, pasi është një mjet vërtet i frikshëm.

I gjithë ransomware është projektuar sipas të njëjtit parim. Duke rrëshqitur në sistemin tuaj të pazbuluar, ata fillojnë të kodojnë skedarët tuaj në mënyrë që të kërkojnë më vonë një shpërblim nga ju për qasje në to.

Përmbajtja:

Virus ransomware

Nëse papritmas gjeni një ose të gjithë skedarët tuaj të riemërtuar me një shtesë skedari XTBL ose një shtesë tjetër të panjohur, nuk keni fat - keni hasur në një virus ransomware. Së shpejti do të merrni një mesazh që ju kërkon të paguani për të zhbllokuar skedarët tuaj. Ndonjëherë kjo mund të jetë një dritare me tekst, ndonjëherë një dokument Readme tekst në desktop ose edhe në çdo dosje skedari. Mesazhi për përdoruesin mund të kopjohet në disa gjuhë të tjera përveç anglishtes dhe përmban të gjitha kërkesat e sulmuesve që krijuan virusin.

Do të dukej më e lehtë të paguash për të hequr qafe një virus të tillë, por nuk është kështu. Pavarësisht nga kërkesat e virusit, mos u pajto me to - do t'ju japë një goditje të dyfishtë. Skedarët e tu të kyçur ka shumë të ngjarë të mos rikuperohen - pranoje këtë dhe mos dërgo para për të zhbllokuar skedarët. Përndryshe, përveç skedarëve, do të humbni edhe para.

Ju mund të merrni një mesazh me përmbajtjen e mëposhtme:

“Të gjithë skedarët në kompjuterin tuaj duke përfshirë videot, fotot dhe dokumentet janë të koduar. Kriptimi u krye duke përdorur një çelës publik unik të krijuar për këtë kompjuter. Për të deshifruar skedarët duhet të përdorni një çelës privat.
Kopja e vetme e këtij çelësi ruhet në një server sekret në internet. Çelësi do të shkatërrohet automatikisht pas 7 ditësh dhe askush nuk do të jetë në gjendje t'i qaset skedarëve."

Si një kompjuter mund të infektohet me një virus ransomware

Një virus ransomware nuk mund të shfaqet në kompjuterin tuaj nëpërmjet magjisë. Ai përbëhet nga disa elementë, instalimi i të cilave duhet të miratohet nga ju personalisht. Sigurisht, virusi nuk e bëri këtë haptazi, u bë me ndihmën e mashtrimeve dhe mashtrimeve.

Për shembull, një nga metodat më të njohura të depërtimit është përdorimi i programeve falas, faqeve të korruptuara ose lidhjeve. Infeksioni gjithashtu mund të maskohet si një përditësim Java ose Flash Player. Do të jeni të sigurt se po instaloni përditësime për një program që njihni dhe do të jepni dritën jeshile për të instaluar një infeksion të rrezikshëm dhe të dëmshëm.

Për të mos u futur në një situatë të pakëndshme, jini të kujdesshëm dhe të kujdesshëm. Mos nxitoni për të ndërmarrë asnjë veprim nëse nuk jeni të sigurt për të. Arsyeja kryesore për marrjen e një virusi është neglizhenca e përdoruesit.

Heqja e shtesës XTBL ose ndryshimi i emrave të skedarëve

Pse shtesa e skedarit XTBL është kaq e rrezikshme? Programi ransomware do të gjejë të gjithë skedarët tuaj, duke përfshirë imazhet, videot, muzikën, dokumentet dhe do të kryejë një procedurë enkriptimi me to. Skedarët e çdo formati do të kodohen: doc, .docx, .docm, .wps, .xls, .xlsx, .ppt, .pptx, .pptm, .pdd, .pdf, .eps, .ai, .indd, . cdr, .dng, .mp3, .lnk, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt. Asgjë nuk do t'i mbrojë ata. Pasi të përfundojë kriptimi, shtesat e të gjithë skedarëve do të ndryshohen në XTBL dhe ato nuk do të hapen më.

Ndryshimi i emrit të skedarit ose heqja e shtesës XBTL nuk do të rivendosë aksesin në skedarë. Për ta bërë këtë, ato duhet të deshifrohen duke përdorur një çelës privat. Për të marrë këtë çelës, duhet të plotësoni të gjitha kushtet e ransomware. Por bëni vetes këtë pyetje: A mund t'u besoni sulmuesve që infektuan kompjuterin tuaj? Sigurisht që jo, kini parasysh që rregullat e lojës fillimisht nuk janë në favorin tuaj.

A ia vlen të paguani për një çelës deshifrimi?

Cili është skenari më i mirë për të cilin mund të shpresoni? Ju paguani shpërblimin dhe le të themi se merrni një çelës për të deshifruar skedarët tuaj, le të themi se funksionon dhe skedarët tuaj janë të shkyçur. Por çfarë më pas? Çfarë do t'i mbrojë të dhënat tuaja nga rikriptimi ditën tjetër? Asgjë.

Duke paguar për akses në skedarë, jo vetëm që do të humbni para, por gjithashtu do t'u jepni akses në informacionet tuaja personale dhe financiare mashtruesve që zhvilluan virusin. Mos lejoni askënd të ndërhyjë në jetën tuaj personale. Shuma e kërkuar për një çelës deshifrimi shpesh kalon 500 dollarë. Përgjigjjuni vetes kësaj pyetjeje: a jeni gati të hapni të dhënat tuaja personale dhe informacionin bankar për mashtruesit dhe të humbni 500 dollarë shtesë në këmbim të një premtimi fantazmë për të deshifruar skedarët tuaj? Vendosni prioritetet tuaja drejt!

Udhëzime për heqjen e virusit ransomware

1. Hiqni procesin me qëllim të keq duke përdorur menaxherin e procesit;
2. Shfaq skedarët e fshehur

Hiqni procesin me qëllim të keq duke përdorur Process Manager

Shfaq skedarët e fshehur

• Shkoni në çdo dosje
• Zgjidhni Skedar - Ndrysho dosjen dhe opsionet e kërkimit.
• Shkoni te faqeshënuesi "Pamje".
• Aktivizo opsionin "Shfaq skedarët dhe dosjet e fshehura".
• Çaktivizoni opsionin "Fshih skedarët e mbrojtur të sistemit".
• Klikoni Apply to Folders, më pas Aplikoni Dhe Ne rregull.

Gjeni vendndodhjen e virusit

1. Menjëherë pas ngarkimit të sistemit operativ, shtypni kombinimin e tasteve Windows + R.
2. Në kutinë e dialogut, futni Regedit. Kini kujdes kur redaktoni regjistrin e Windows, kjo mund të bëjë që sistemi të mos funksionojë.
   Në varësi të sistemit operativ (x86 ose x64) shkoni te dega
   ose
   ose
   dhe fshini parametrin me emrin e krijuar automatikisht.

Përndryshe, ju mund të vraponi msconfig dhe gjithashtu kontrolloni dy herë pikën e lëshimit të virusit. Ju lutemi vini re se emrat e procesit, dosjeve dhe skedarëve të ekzekutueshëm do të gjenerohen automatikisht për kompjuterin tuaj dhe do të ndryshojnë nga shembujt e treguar. Prandaj, ia vlen të përdorni një program antivirus profesional për të identifikuar dhe hequr virusin nëse nuk jeni të sigurt në aftësitë tuaja.

Rikuperoni skedarët e koduar nga virusi XTBL

Nëse keni ende një kopje rezervë të skedarëve tuaj të rëndësishëm, jeni me fat që t'i rivendosni skedarët nga kopja pas trajtimit për virusin. Rezervimi mund të bëhet ose duke përdorur një program që keni konfiguruar, ose pa ndërhyrjen tuaj duke përdorur një nga mjetet e Windows OS: historiku i skedarëve, pikat e rikuperimit, rezervimi i imazhit të sistemit.

Nëse jeni duke punuar në një kompjuter të lidhur me një rrjet ndërmarrje, kontaktoni administratorin e rrjetit tuaj për ndihmë. Me shumë mundësi rezervimi është krijuar nga ai. Nëse kërkimi juaj për një kopje rezervë është i pasuksesshëm, provoni një program për rikuperimin e të dhënave.

Gjatë kriptimit, virusi krijon një skedar të ri dhe shkruan përmbajtjen e koduar të skedarit origjinal në të. Pas së cilës skedari origjinal fshihet, kështu që mund të përpiqeni ta rivendosni atë. Shkarkoni dhe instaloni

Këto viruse mund të ndryshojnë pak, por në përgjithësi, veprimet e tyre janë gjithmonë të njëjta:

• instaloni në kompjuterin tuaj;
• enkriptoni të gjithë skedarët që mund të kenë ndonjë vlerë (dokumente, fotografi);
• kur përpiqeni të hapni këto skedarë, kërkoni që përdoruesi të depozitojë një shumë të caktuar në portofolin ose llogarinë e sulmuesit, përndryshe qasja në përmbajtje nuk do të hapet kurrë.

Skedarët e koduar nga virusi në xtbl

Aktualisht, një virus është bërë mjaft i përhapur, i aftë të kodojë skedarët dhe të ndryshojë shtrirjen e tyre në .xtbl, si dhe të zëvendësojë emrin e tyre me karaktere krejtësisht të rastësishme.

Përveç kësaj, një skedar i veçantë me udhëzime krijohet në një vend të dukshëm readme.txt. Në të, sulmuesi përballon përdoruesin me faktin se të gjitha të dhënat e tij të rëndësishme janë të koduara dhe tani nuk mund të hapen kaq lehtë, duke shtuar se për të kthyer gjithçka në gjendjen e mëparshme, është e nevojshme të kryhen veprime të caktuara që lidhen me transferimin e parave. mashtruesit (zakonisht Përpara se ta bëni këtë, duhet të dërgoni një kod specifik në një nga adresat e propozuara të emailit). Shpesh mesazhe të tilla plotësohen edhe me një shënim që nëse përpiqeni të deshifroni vetë të gjithë skedarët tuaj, rrezikoni t'i humbni ato përgjithmonë.

Për fat të keq, për momentin, askush nuk ka qenë në gjendje të deshifrojë zyrtarisht .xtbl nëse shfaqet një metodë pune, ne patjetër do të raportojmë për të në artikull. Mes përdoruesve ka nga ata që kanë pasur një përvojë të ngjashme me këtë virus dhe u kanë paguar mashtruesve shumën e kërkuar, duke marrë në këmbim një deshifrim të dokumenteve të tyre. Por ky është një hap jashtëzakonisht i rrezikshëm, sepse në mesin e sulmuesve ka edhe nga ata që nuk do të shqetësohen shumë me deshifrimin e premtuar, në fund të fundit do të jenë paratë në fund.

Çfarë të bëni atëherë, ju pyesni? Ne ofrojmë disa këshilla që do t'ju ndihmojnë të riktheni të gjitha të dhënat tuaja dhe në të njëjtën kohë, nuk do të ndiqni rrugën e mashtruesve dhe do t'u jepni atyre paratë tuaja. Dhe kështu çfarë duhet bërë:

1. Nëse dini të punoni në Task Manager, atëherë ndërprisni menjëherë enkriptimin e skedarit duke ndaluar procesin e dyshimtë. Në të njëjtën kohë, shkëputni kompjuterin tuaj nga interneti - shumë ransomware kërkojnë një lidhje rrjeti.
2. Merrni një copë letër dhe shkruani në të kodin që propozohet t'u dërgohet me email sulmuesve (copë letre sepse skedari në të cilin do të shkruani mund të bëhet gjithashtu i palexueshëm).
3. Duke përdorur Malwarebytes Antimalware, provoni Kaspersky IS Anti-Virus ose CureIt, hiqni programin keqdashës. Për besueshmëri më të madhe, është më mirë të përdorni vazhdimisht të gjitha mjetet e propozuara. Megjithëse Kaspersky Anti-Virus mund të mos instalohet nëse sistemi tashmë ka një antivirus kryesor, përndryshe mund të lindin konflikte të softuerit. Të gjitha shërbimet e tjera mund të përdoren në çdo situatë.
4. Prisni derisa një nga kompanitë antivirus të zhvillojë një deshifrues funksional për skedarë të tillë. Kaspersky Lab e bën punën më shpejt.
5. Për më tepër, ju mund të dërgoni në [email i mbrojtur] një kopje të skedarit që ishte i koduar, me kodin e kërkuar dhe, nëse disponohet, të njëjtin skedar në formën e tij origjinale. Është e mundur që kjo mund të përshpejtojë zhvillimin e një metode të deshifrimit të skedarëve.

Në asnjë rrethanë mos:

• riemërimi i këtyre dokumenteve;
• ndryshimi i shtrirjes së tyre;
• fshirja e skedarëve.

Këta trojanë gjithashtu kodojnë skedarët e përdoruesve me zhvatje të mëvonshme. Në këtë rast, skedarët e koduar mund të kenë shtesat e mëposhtme:

• .i bllokuar
• .kripto
• .kraken
• .AES256 (jo domosdoshmërisht ky trojan, ka të tjerë që instalojnë të njëjtën shtesë).
• .codercsu@gmail_com
• .oshit
• Dhe të tjerët.

Për fat të mirë, tashmë është krijuar një mjet i veçantë deshifrimi - RakhniDecryptor. Mund ta shkarkoni nga faqja zyrtare e internetit.

Në të njëjtën faqe mund të lexoni udhëzime që tregojnë qartë dhe qartë se si të përdorni programin për të deshifruar të gjithë skedarët në të cilët ka punuar Trojan. Në parim, për besueshmëri më të madhe, ia vlen të përjashtohet opsioni i fshirjes së skedarëve të koduar. Por ka shumë të ngjarë, zhvilluesit kanë bërë një punë të mirë duke krijuar shërbimin dhe integriteti i të dhënave nuk është në rrezik.

Ata që përdorin antivirus të licencuar Dr.Web kanë qasje falas në deshifrim nga zhvilluesit http://support.drweb.com/new/free_unlocker/.

Lloje të tjera të viruseve ransomware

Ndonjëherë mund të hasni viruse të tjerë që kodojnë skedarë të rëndësishëm dhe zhvatin pagesa për të kthyer gjithçka në formën e saj origjinale. Ne ofrojmë një listë të vogël të shërbimeve për të luftuar pasojat e viruseve më të zakonshme. Atje mund të njiheni edhe me shenjat kryesore me të cilat mund të dalloni një ose një program tjetër trojan.

Përveç kësaj, një mënyrë e mirë do të ishte të skanoni kompjuterin tuaj me antivirusin Kaspersky, i cili do të zbulojë mysafirin e paftuar dhe do t'i caktojë një emër. Me këtë emër ju tashmë mund të kërkoni për një dekoder për të.

• Trojan-Ransom.Win32.Rector- një kodues tipik ransomware që kërkon që ju të dërgoni një SMS ose të kryeni veprime të tjera të këtij lloji, ne e marrim dekriptuesin nga kjo lidhje.
• Trojan-Ransom.Win32.Xorist- një variant i Trojanit të mëparshëm, mund të merrni një dekriptues me udhëzime për përdorimin e tij.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury– ka edhe një mjet të veçantë për këta djem, shikoni

Teknologjitë moderne i lejojnë hakerat të përmirësojnë vazhdimisht metodat e tyre të mashtrimit kundër përdoruesve të zakonshëm. Si rregull, softueri i virusit që depërton në kompjuter përdoret për këto qëllime. Viruset e enkriptimit konsiderohen veçanërisht të rrezikshëm. Kërcënimi është se virusi përhapet shumë shpejt, duke koduar skedarët (përdoruesi thjesht nuk do të jetë në gjendje të hapë një dokument të vetëm). Dhe nëse është mjaft e thjeshtë, atëherë është shumë më e vështirë të deshifrosh të dhënat.

Çfarë duhet të bëni nëse një virus ka skedarë të koduar në kompjuterin tuaj

Çdokush mund të sulmohet nga ransomware, madje edhe përdoruesit që kanë softuer të fuqishëm antivirus. Trojanët e enkriptimit të skedarëve vijnë në një sërë kodesh që mund të jenë përtej aftësive të një antivirusi. Madje hakerët arrijnë të sulmojnë në mënyrë të ngjashme kompanitë e mëdha që nuk janë kujdesur për mbrojtjen e nevojshme të informacionit të tyre. Pra, pasi të keni zgjedhur një program ransomware në internet, duhet të merrni një sërë masash.

Shenjat kryesore të infeksionit janë funksionimi i ngadaltë i kompjuterit dhe ndryshimet në emrat e dokumenteve (mund të shihen në desktop).

1. Rinisni kompjuterin tuaj për të ndaluar enkriptimin. Kur ndizni, mos konfirmoni nisjen e programeve të panjohura.
2. Drejtoni antivirusin tuaj nëse nuk është sulmuar nga ransomware.
3. Në disa raste, kopjet hije do të ndihmojnë në rivendosjen e informacionit. Për t'i gjetur ato, hapni "Properties" të dokumentit të koduar. Kjo metodë funksionon me të dhëna të koduara nga zgjerimi Vault, për të cilin ka informacion në portal.
4. Shkarkoni versionin më të fundit të mjetit për të luftuar viruset e ransomware. Ato më efektive ofrohen nga Kaspersky Lab.

Viruset ransomware në 2016: shembuj

Kur luftoni çdo sulm virusi, është e rëndësishme të kuptoni se kodi ndryshon shumë shpesh, i plotësuar nga një mbrojtje e re antivirus. Sigurisht, programeve të sigurisë u duhet pak kohë derisa zhvilluesi të përditësojë bazat e të dhënave. Ne kemi zgjedhur viruset më të rrezikshëm të enkriptimit të kohëve të fundit.

Ishtar Ransomware

Ishtar është një ransomware që zhvat para nga përdoruesi. Virusi u vu re në vjeshtën e vitit 2016, duke infektuar një numër të madh kompjuterash të përdoruesve nga Rusia dhe një numër vendesh të tjera. Shpërndahet me email, i cili përmban dokumente të bashkangjitura (instalues, dokumente, etj.). Të dhënave të infektuara nga enkriptuesi Ishtar i jepet prefiksi “ISHTAR” në emër të tij. Procesi krijon një dokument testimi që tregon se ku të shkoni për të marrë fjalëkalimin. Sulmuesit kërkojnë nga 3,000 deri në 15,000 rubla për të.

Rreziku i virusit Ishtar është se sot nuk ka një dekriptues që do t'i ndihmonte përdoruesit. Kompanitë e programeve antivirus kanë nevojë për kohë për të deshifruar të gjithë kodin. Tani mund të izoloni vetëm informacione të rëndësishme (nëse janë të një rëndësie të veçantë) në një medium të veçantë, duke pritur lëshimin e një programi të aftë për të deshifruar dokumentet. Rekomandohet të riinstaloni sistemin operativ.

Neitrino

Kriptori Neitrino u shfaq në internet në vitin 2015. Parimi i sulmit është i ngjashëm me viruset e tjerë të një kategorie të ngjashme. Ndryshon emrat e dosjeve dhe skedarëve duke shtuar "Neitrino" ose "Neutrino". Virusi është i vështirë për t'u deshifruar; jo të gjithë përfaqësuesit e kompanive antivirus e marrin përsipër këtë, duke përmendur një kod shumë kompleks. Disa përdorues mund të përfitojnë nga rivendosja e një kopjeje hije. Për ta bërë këtë, klikoni me të djathtën në dokumentin e koduar, shkoni te "Properties", skeda "Versionet e mëparshme", klikoni "Rivendos". Do të ishte një ide e mirë të përdorni një program falas nga Kaspersky Lab.

Portofoli ose .portofoli.

Virusi i enkriptimit të Portofolit u shfaq në fund të vitit 2016. Gjatë procesit të infektimit, ai ndryshon emrin e të dhënave në "Emri..wallet" ose diçka e ngjashme. Ashtu si shumica e viruseve ransomware, ai hyn në sistem përmes bashkëngjitjeve në emailet e dërguara nga sulmuesit. Meqenëse kërcënimi u shfaq shumë kohët e fundit, programet antivirus nuk e vërejnë atë. Pas kriptimit, ai krijon një dokument në të cilin mashtruesi tregon emailin për komunikim. Aktualisht, zhvilluesit e programeve antivirus po punojnë për të deshifruar kodin e virusit ransomware. [email i mbrojtur]. Përdoruesit që janë sulmuar mund të presin vetëm. Nëse të dhënat janë të rëndësishme, rekomandohet t'i ruani ato në një disk të jashtëm duke pastruar sistemin.

Enigma

Virusi ransomware Enigma filloi të infektonte kompjuterët e përdoruesve rusë në fund të prillit 2016. Përdoret modeli i enkriptimit AES-RSA, i cili gjendet në shumicën e viruseve të ransomware sot. Virusi depërton në kompjuter duke përdorur një skript që përdoruesi drejton duke hapur skedarë nga një email i dyshimtë. Nuk ka ende asnjë mjet universal për të luftuar ransomware Enigma. Përdoruesit me një licencë antivirus mund të kërkojnë ndihmë në faqen zyrtare të zhvilluesit. U gjet gjithashtu një "zbrazëtirë" e vogël - Windows UAC. Nëse përdoruesi klikon "Jo" në dritaren që shfaqet gjatë procesit të infektimit me virus, ai do të jetë në gjendje të rivendosë më pas informacionin duke përdorur kopje hije.

Granit

Një virus i ri ransomware, Granit, u shfaq në internet në vjeshtën e vitit 2016. Infeksioni ndodh sipas skenarit të mëposhtëm: përdoruesi lëshon instaluesin, i cili infekton dhe kodon të gjitha të dhënat në PC, si dhe disqet e lidhur. Luftimi i virusit është i vështirë. Për ta hequr atë, mund të përdorni shërbime speciale nga Kaspersky, por ne ende nuk kemi qenë në gjendje të deshifrojmë kodin. Ndoshta rivendosja e versioneve të mëparshme të të dhënave do të ndihmojë. Për më tepër, një specialist që ka përvojë të gjerë mund të deshifrojë, por shërbimi është i shtrenjtë.

Tyson

Është parë së fundmi. Është një shtesë e ransomware-it tashmë të njohur no_more_ransom, për të cilin mund të mësoni në faqen tonë të internetit. Ai arrin në kompjuterët personalë nga posta elektronike. Shumë PC të korporatave u sulmuan. Virusi krijon një dokument teksti me udhëzime zhbllokuese, duke ofruar të paguajë një "shpërblim". ransomware Tyson u shfaq kohët e fundit, kështu që nuk ka ende një çelës zhbllokues. Mënyra e vetme për të rivendosur informacionin është të ktheni versionet e mëparshme nëse ato nuk janë fshirë nga një virus. Sigurisht, mund të rrezikoni duke transferuar para në llogarinë e specifikuar nga sulmuesit, por nuk ka asnjë garanci që do të merrni fjalëkalimin.

Spora

Në fillim të vitit 2017, një numër përdoruesish u bënë viktima të ransomware-it të ri Spora. Për sa i përket parimit të funksionimit, ai nuk është shumë i ndryshëm nga homologët e tij, por krenohet me një dizajn më profesional: udhëzimet për marrjen e një fjalëkalimi janë shkruar më mirë dhe faqja e internetit duket më e bukur. Virusi Spora ransomware u krijua në gjuhën C dhe përdor një kombinim të RSA dhe AES për të enkriptuar të dhënat e viktimës. Si rregull, kompjuterët në të cilët u përdor në mënyrë aktive programi i kontabilitetit 1C u sulmuan. Virusi, i fshehur nën maskën e një faturë të thjeshtë në formatin .pdf, detyron punonjësit e kompanisë ta lëshojnë atë. Nuk është gjetur ende asnjë trajtim.

1C.Rënie.1

Ky virus i enkriptimit 1C u shfaq në verën e vitit 2016, duke ndërprerë punën e shumë departamenteve të kontabilitetit. Ai u zhvillua posaçërisht për kompjuterët që përdorin softuer 1C. Pasi të jetë në PC përmes një skedari në një email, ai i kërkon pronarit të përditësojë programin. Çfarëdo butoni që përdoruesi shtyp, virusi do të fillojë të enkriptojë skedarët. Specialistët e Dr.Web po punojnë për mjetet e deshifrimit, por ende nuk është gjetur një zgjidhje. Kjo është për shkak të kodit kompleks, i cili mund të ketë disa modifikime. Mbrojtja e vetme kundër 1C.Drop.1 është vigjilenca e përdoruesit dhe arkivimi i rregullt i dokumenteve të rëndësishme.

kodi_da_vinci

Një ransomware i ri me një emër të pazakontë. Virusi u shfaq në pranverën e vitit 2016. Ai ndryshon nga paraardhësit e tij në kodin e tij të përmirësuar dhe mënyrën e fortë të kriptimit. da_vinci_code infekton kompjuterin falë një aplikacioni ekzekutues (zakonisht i bashkangjitur një email), të cilin përdoruesi e lëshon në mënyrë të pavarur. Mjeti i enkriptimit da Vinci kopjon trupin në drejtorinë dhe regjistrin e sistemit, duke siguruar nisjen automatike kur Windows është i ndezur. Kompjuterit të çdo viktime i caktohet një ID unike (ndihmon për të marrë një fjalëkalim). Deshifrimi i të dhënave është pothuajse i pamundur. Ju mund t'i paguani para sulmuesve, por askush nuk ju garanton se do të merrni fjalëkalimin.

[email i mbrojtur] / [email i mbrojtur]

Dy adresa emaili që shpesh shoqëroheshin nga viruse ransomware në 2016. Ato shërbejnë për të lidhur viktimën me sulmuesin. Bashkangjitur ishin adresat për një sërë llojesh virusesh: da_vinci_code, no_more_ransom, e kështu me radhë. Rekomandohet shumë të mos kontaktoni ose transferoni para te mashtruesit. Përdoruesit mbeten pa fjalëkalime në shumicën e rasteve. Kështu, duke treguar se ransomware-i i sulmuesve funksionon, duke gjeneruar të ardhura.

Breaking Bad

Ajo u shfaq në fillim të vitit 2015, por u përhap në mënyrë aktive vetëm një vit më vonë. Parimi i infeksionit është identik me ransomware të tjerë: instalimi i një skedari nga një email, enkriptimi i të dhënave. Programet konvencionale antivirus, si rregull, nuk e vërejnë virusin Breaking Bad. Disa kode nuk mund të anashkalojnë UAC të Windows, duke i lënë përdoruesit mundësinë për të rivendosur versionet e mëparshme të dokumenteve. Asnjë kompani që zhvillon softuer antivirus nuk ka paraqitur ende një deshifrues.

XTBL

Një ransomware shumë i zakonshëm që ka shkaktuar telashe për shumë përdorues. Pasi të jetë në PC, virusi ndryshon ekstensionin e skedarit në .xtbl brenda pak minutash. Krijohet një dokument në të cilin sulmuesi zhvat para. Disa variante të virusit XTBL nuk mund të shkatërrojnë skedarët e rimëkëmbjes së sistemit, duke ju lejuar të merrni dokumente të rëndësishme. Vetë virusi mund të hiqet nga shumë programe, por deshifrimi i dokumenteve është shumë i vështirë. Nëse jeni pronar i një antivirusi të licencuar, përdorni mbështetjen teknike duke bashkangjitur mostra të të dhënave të infektuara.

Kukaraça

ransomware Cucaracha u zbulua në dhjetor 2016. Virusi me një emër interesant fsheh skedarët e përdoruesve duke përdorur algoritmin RSA-2048, i cili është shumë rezistent. Antivirusi Kaspersky e etiketoi atë si Trojan-Ransom.Win32.Scatter.lb. Kukaracha mund të hiqet nga kompjuteri në mënyrë që dokumentet e tjera të mos infektohen. Sidoqoftë, të infektuarit aktualisht janë pothuajse të pamundur të deshifrohen (një algoritëm shumë i fuqishëm).

Si funksionon një virus ransomware?

Ka një numër të madh të ransomware, por të gjithë ata punojnë në një parim të ngjashëm.

1. Hyrja në një kompjuter personal. Në mënyrë tipike, falë një skedari të bashkangjitur në një email. Instalimi inicohet nga vetë përdoruesi duke hapur dokumentin.
2. Infeksioni i skedarit. Pothuajse të gjitha llojet e skedarëve janë të koduar (në varësi të virusit). Krijohet një dokument teksti që përmban kontakte për të komunikuar me sulmuesit.
3. Të gjitha. Përdoruesi nuk mund të hyjë në asnjë dokument.

Agjentët e kontrollit nga laboratorët e njohur

Përdorimi i gjerë i ransomware, i cili njihet si kërcënimi më i rrezikshëm për të dhënat e përdoruesve, është bërë një shtysë për shumë laboratorë antivirus. Çdo kompani e njohur u ofron përdoruesve të saj programe që i ndihmojnë ata të luftojnë ransomware. Për më tepër, shumë prej tyre ndihmojnë me deshifrimin e dokumenteve dhe mbrojtjen e sistemit.

Kaspersky dhe viruset ransomware

Një nga laboratorët më të famshëm antivirus në Rusi dhe në botë ofron sot mjetet më efektive për të luftuar viruset ransomware. Barriera e parë për virusin ransomware do të jetë Kaspersky Endpoint Security 10 me përditësimet më të fundit. Antivirusi thjesht nuk do të lejojë që kërcënimi të hyjë në kompjuterin tuaj (megjithëse mund të mos ndalojë versionet e reja). Për të deshifruar informacionin, zhvilluesi paraqet disa shërbime falas: XoristDecryptor, RakhniDecryptor dhe Ransomware Decryptor. Ato ndihmojnë në gjetjen e virusit dhe zgjedhjen e fjalëkalimit.

Dr. Ueb dhe ransomware

Ky laborator rekomandon përdorimin e programit të tyre antivirus, tipari kryesor i të cilit është kopjimi i skedarëve. Ruajtja me kopje të dokumenteve është gjithashtu e mbrojtur nga aksesi i paautorizuar nga ndërhyrës. Pronarët e produktit të licencuar Dr. Funksioni në internet është i disponueshëm për të kërkuar ndihmë nga mbështetja teknike. Vërtetë, edhe specialistët me përvojë nuk mund t'i rezistojnë gjithmonë këtij lloji të kërcënimit.

ESET Nod 32 dhe ransomware

As kjo kompani nuk qëndroi mënjanë, duke u siguruar përdoruesve të saj mbrojtje të mirë kundër viruseve që hyjnë në kompjuterin e tyre. Për më tepër, laboratori lëshoi ​​së fundmi një mjet falas me baza të dhënash të përditësuara - Eset Crysis Decryptor. Zhvilluesit thonë se do të ndihmojë në luftën kundër edhe ransomware-it më të ri.

Unë vazhdoj seksionin famëkeq në faqen time të internetit me një histori tjetër në të cilën unë vetë isha viktimë. Unë do të flas për virusin ransomware Crusis (Dharma), i cili kodoi të gjithë skedarët në një disk rrjeti dhe u dha atyre zgjerimin .combo. Ai ka punuar jo vetëm në skedarët lokalë, siç ndodh më shpesh, por edhe në skedarët e rrjetit.

Deshifrimi i garantuar i skedarëve pas një virusi ransomware - dr-shifro.ru. Detajet e punës dhe skema e ndërveprimit me klientin janë më poshtë në artikullin tim ose në faqen e internetit në seksionin "Procedura e punës".

Prezantimi

Historia do të jetë në vetën e parë, pasi të dhënat dhe infrastruktura që kam menaxhuar janë prekur nga enkriptuesi. Sado e trishtueshme ta pranosh këtë, unë jam pjesërisht fajtor për atë që ndodhi, megjithëse kam njohur kriptografë për një kohë shumë të gjatë. Në mbrojtjen time do të them se asnjë e dhënë nuk humbi, gjithçka u rikthye shpejt dhe u hetua pa vonesë. Por gjërat e para së pari.

Mëngjesi i mërzitshëm filloi me faktin se në orën 9:15 thirri një administrator i sistemit nga një sit i largët dhe tha se kishte një enkriptues në rrjet dhe të dhënat në disqet e rrjetit tashmë ishin të koduara. Një e dridhur më përshkoi lëkurën :) Ai filloi të kontrollonte vetë burimin e infeksionit dhe unë fillova të kontrolloja me timin. Sigurisht, shkova menjëherë te serveri, shkëputa disqet e rrjetit dhe fillova të shikoja regjistrin e aksesit të të dhënave. Disqet e rrjetit janë konfiguruar, duhet të aktivizohen. Nga regjistri, pashë menjëherë burimin e infeksionit, llogarinë nën të cilën po funksiononte ransomware dhe kohën e fillimit të kriptimit.

Përshkrimi i virusit ransomware Crusis (Dharma).

Më pas filloi hetimi. Skedarët e koduar morën shtesën .kombinim. Kishte shumë prej tyre. Kriptografi filloi të punojë vonë në mbrëmje, rreth orës 23:00. Unë isha me fat - rezervimi i disqeve të prekur sapo kishte përfunduar në këtë kohë. Të dhënat nuk humbën fare, pasi ato u arkivuan në fund të ditës së punës. Fillova menjëherë të rivendosja nga rezervimi, i cili është në një server të veçantë pa qasje SMB.

Brenda natës, virusi arriti të kodonte afërsisht 400 GB të dhëna në disqet e rrjetit. Fshirja banale e të gjithë skedarëve të koduar me zgjerimin e kombinuar zgjati shumë. Në fillim doja t'i fshija të gjitha menjëherë, por kur vetëm numërimi i këtyre skedarëve zgjati për 15 minuta, kuptova se ishte e kotë në këtë moment. Në vend të kësaj, fillova të shkarkoj të dhënat më të fundit dhe më pas pastrua disqet nga skedarët e koduar.

Unë do t'ju them të vërtetën e thjeshtë menjëherë. Të kesh kopje rezervë të përditësuar dhe të besueshme e bën çdo problem të zgjidhshëm. Unë as nuk mund ta imagjinoj se çfarë të bëj nëse ato nuk janë atje ose nuk janë relevante. Unë gjithmonë i kushtoj vëmendje të veçantë kopjeve rezervë. Unë kujdesem për ta, i vlerësoj dhe nuk i jap askujt qasje në to.

Pasi nisa rikuperimin e skedarëve të koduar, pata kohë të kuptoja me qetësi situatën dhe të shikoja më nga afër virusin e kriptimit Crusis (Dharma). Këtu më prisnin surpriza dhe surpriza. Burimi i infeksionit ishte një makinë virtuale me Windows 7 me të braktisur rdp port përmes një kanali rezervë. Porti nuk ishte standard - 33333. Mendoj se ishte gabimi kryesor përdorimi i një porti të tillë. Edhe pse nuk është standard, është shumë popullor. Sigurisht, është më mirë të mos përcillni fare rdp, por në këtë rast ishte vërtet e nevojshme. Nga rruga, tani, në vend të kësaj makine virtuale, përdoret gjithashtu një makinë virtuale me CentOS 7, ajo drejton një enë me xfce dhe një shfletues në Docker. Epo, kjo makinë virtuale nuk ka akses askund, vetëm aty ku është e nevojshme.

Çfarë është e frikshme në gjithë këtë histori? Makina virtuale u përditësua. Kriptografi filloi punën në fund të gushtit. Është e pamundur të përcaktohet saktësisht se kur është infektuar makina. Virusi fshiu shumë gjëra në vetë makinën virtuale. Përditësimet e këtij sistemi u instaluan në maj. Kjo do të thotë, nuk duhet të ketë ndonjë vrimë të vjetër të hapur mbi të. Tani nuk di as si ta lë portin rdp të aksesueshëm nga Interneti. Ka shumë raste kur kjo është vërtet e nevojshme. Për shembull, një server terminal në pajisje me qira. Ju gjithashtu nuk do të merrni me qira një portë VPN për secilin server.

Tani le t'i afrohemi pikës dhe vetë ransomware. Ndërfaqja e rrjetit të makinës virtuale u çaktivizua, pas së cilës e nisa atë. Më priti një shenjë standarde, të cilën e kisha parë shumë herë nga kriptografë të tjerë.

Të gjithë skedarët tuaj janë të koduar! Të gjithë skedarët tuaj janë të koduar për shkak të një problemi sigurie me kompjuterin tuaj. Nëse dëshironi t'i rivendosni ato, na shkruani në e-mail [email i mbrojtur] Shkruani këtë ID në titullin e mesazhit tuaj 501BED27 Në rast se nuk keni përgjigje brenda 24 orëve na shkruani në këto e-mail: [email i mbrojtur] Ju duhet të paguani për deshifrimin në Bitcoin. Çmimi varet nga sa shpejt na shkruani. Pas pagesës ne do t'ju dërgojmë mjetin e deshifrimit që do të deshifrojë të gjithë skedarët tuaj. Deshifrimi falas si garanci Përpara se të paguani mund të na dërgoni deri në 1 skedar për deshifrim falas. Madhësia totale e skedarëve duhet të jetë më e vogël se 1 Mb (jo e arkivuar) dhe skedarët nuk duhet të përmbajnë informacion të vlefshëm. (baza të të dhënave, kopje rezervë, fletë të mëdha excel, etj.) Si të merrni Bitcoins Mënyra më e lehtë për të blerë bitcoin është faqja LocalBitcoins. Duhet të regjistroheni, të klikoni "Bli bitcoin" dhe të zgjidhni shitësin sipas mënyrës së pagesës dhe çmimit. https://localbitcoins.com/buy_bitcoins Gjithashtu mund të gjeni vende të tjera për të blerë Bitcoin dhe udhëzues për fillestarët këtu: Kujdes! Mos riemërtoni skedarët e enkriptuar. Mos u përpiqni të deshifroni të dhënat tuaja duke përdorur softuer të palëve të treta, kjo mund të shkaktojë humbje të përhershme të të dhënave. Deshifrimi i skedarëve tuaj me ndihmën e palëve të treta mund të shkaktojë rritje të çmimit (ata shtojnë tarifën e tyre tek ne) ose ju mund të bëheni viktimë e një mashtrimi.

Kishte 2 skedarë teksti në desktop të emërtuar SKIDA TË KRIPTUAR.TXT përmbajtjen e mëposhtme:

Të gjitha të dhënat tuaja na janë bllokuar A dëshironi të ktheheni? shkruani email [email i mbrojtur]

Është interesante që lejet e drejtorisë kanë ndryshuar Desktop. Përdoruesi nuk kishte leje shkrimi. Me sa duket, virusi e bëri këtë për të parandaluar që përdoruesi të fshinte aksidentalisht informacionin në skedarët e tekstit nga desktopi. Kishte një drejtori atje në desktop troja, i cili përmbante vetë virusin - një skedar l20VHC_playload.exe.

Si i kodon skedarët virusi ransomware Crusis (Dharma).

Pasi i kuptova me qetësi të gjitha dhe lexova mesazhe të ngjashme mbi temën e ransomware në internet, mësova se kisha kapur një version të virusit të famshëm ransomware Crusis (Dharma). Kaspersky e zbulon atë si Trojan-Ransom.Win32.Crusis.to. Ai vendos shtesa të ndryshme në skedarë, duke përfshirë dhe.combo. Lista ime e skedarëve dukej diçka si kjo:

• Vanino.docx.id-24EE2FBC..kombo
• Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..kombo
• Khorol.docx.id-24EE2FBC..kombo
• Yakutsk.docx.id-24EE2FBC..kombo

Unë do t'ju tregoj disa detaje më shumë se si funksionoi ransomware. Nuk përmenda një gjë të rëndësishme. Ky kompjuter ishte në një domen. Skedarët ishin të koduar nga një përdorues domeni!!! Këtu lind pyetja: nga e mori virusi? Nuk pashë informacion mbi regjistrat e kontrolluesit të domenit dhe zgjedhjen e fjalëkalimit të përdoruesit. Nuk kishte një ton hyrje të dështuar. Ose është shfrytëzuar një lloj dobësie, ose nuk di çfarë të mendoj. Është përdorur një llogari që nuk është regjistruar kurrë në këtë sistem. Pati autorizim nëpërmjet rdp nga një llogari përdoruesi domeni dhe më pas kriptim. Nuk kishte gjithashtu gjurmë të sulmeve me forcë brutale ndaj përdoruesve dhe fjalëkalime në vetë sistemin. Pothuajse menjëherë pata një hyrje duke përdorur llogarinë e domenit rdp. Ishte e nevojshme të zgjidhej, të paktën, jo vetëm një fjalëkalim, por edhe një emër.

Fatkeqësisht, fjalëkalimi i llogarisë ishte 123456. Kjo ishte llogaria e vetme me atë fjalëkalim që u mungua nga administratorët lokalë. Faktori njerëzor. Ky ishte menaxheri dhe për disa arsye një seri e tërë administratorësh të sistemit dinin për këtë fjalëkalim, por nuk e ndryshuan atë. Natyrisht, kjo është arsyeja e përdorimit të kësaj llogarie të veçantë. Por megjithatë, mekanizmi për të marrë edhe një fjalëkalim dhe emër përdoruesi kaq të thjeshtë mbetet i panjohur.

Fikja dhe fshiva makinën virtuale të infektuar me enkriptues, pasi kisha marrë fillimisht imazhin e diskut. Vetë virusi e hoqi imazhin për të parë punën e tij. Historia e mëtejshme do të bazohet në ekzekutimin e virusit në një makinë virtuale.

Edhe një detaj i vogël. Virusi skanoi të gjithë rrjetin lokal dhe në të njëjtën kohë kodoi informacionin në ata kompjuterë ku kishte disa dosje të përbashkëta me akses për të gjithë. Kjo është hera e parë që kam parë një modifikim të tillë të enkriptuesit. Kjo është vërtet një gjë e frikshme. Një virus i tillë thjesht mund të paralizojë punën e të gjithë organizatës. Le të themi, për ndonjë arsye, keni pasur akses në rrjet në vetë rezervat. Ose ata përdorën një lloj fjalëkalimi të dobët për llogarinë. Mund të ndodhë që gjithçka do të jetë e koduar - të dhënat dhe kopjet e arkivuara. Në përgjithësi, tani jam duke menduar për ruajtjen e kopjeve rezervë jo vetëm në një mjedis të izoluar rrjeti, por përgjithësisht në pajisjet e fikura që janë nisur vetëm për të bërë një kopje rezervë.

Si ta trajtoni kompjuterin tuaj dhe të hiqni ransomware-in Crusis (Dharma).

Në rastin tim, virusi ransomware Crusis (Dharma) nuk ishte veçanërisht i fshehur dhe heqja e tij nuk duhet të përbëjë ndonjë problem. Siç thashë, ishte në një dosje në desktopin tim. Përveç kësaj, ai regjistroi veten dhe një mesazh informacioni në autorun.

Vetë trupi i virusit u dyfishua në seksionin e nisjes Fillimi për të gjithë përdoruesit dhe windows/sistemi32. Nuk e shikova më nga afër sepse nuk e shoh kuptimin në të. Pasi u infektova me ransomware, unë rekomandoj fuqimisht riinstalimin e sistemit. Kjo është mënyra e vetme për të qenë të sigurt për të hequr virusin. Nuk do të jeni kurrë plotësisht të sigurt se virusi është hequr, pasi ai mund të kishte përdorur disa dobësi ende të papublikuara dhe të panjohura për të lënë një faqerojtës në sistem. Pas ca kohësh, përmes kësaj hipoteke mund të merrni ndonjë virus të ri dhe gjithçka do të përsëritet në një rreth.

Kështu që unë rekomandoj që menjëherë pas zbulimit të ransomware, të mos trajtoni kompjuterin tuaj, por të riinstaloni sistemin, duke kursyer të dhënat e mbetura. Ndoshta virusi nuk arriti të kodonte gjithçka. Këto rekomandime vlejnë për ata që nuk synojnë të përpiqen të rikuperojnë skedarët. Nëse keni kopje rezervë aktuale, atëherë thjesht riinstaloni sistemin dhe rivendosni të dhënat.

Nëse nuk keni kopje rezervë dhe jeni gati të rivendosni skedarët me çdo kusht, atëherë përpiqemi të mos e prekim fare kompjuterin. Para së gjithash, thjesht shkëputni kabllon e rrjetit, shkarkoni disa skedarë të koduar dhe një skedar teksti me informacion pastër flash drive, pastaj mbyllni kompjuterin. Kompjuteri nuk mund të ndizet më. Nëse nuk i kuptoni fare çështjet e kompjuterit, atëherë nuk do të jeni në gjendje të përballeni vetë me virusin, aq më pak të deshifroni ose rivendosni skedarët. Kontaktoni dikë që e njeh. Nëse mendoni se mund të bëni diçka vetë, atëherë lexoni.

Ku mund të shkarkoni dekriptuesin Crusis (Dharma).

Ajo që vijon është këshilla ime universale për të gjithë viruset e ransomware. Ekziston një faqe interneti - https://www.nomoreransom.org Ajo teorikisht mund të përmbajë një dekriptues për Crusis ose Dharma, ose disa informacione të tjera për deshifrimin e skedarëve. Në praktikën time, kjo nuk ka ndodhur kurrë më parë, por ndoshta do të keni fat. Ia vlen të provohet. Për ta bërë këtë, në faqen kryesore biem dakord duke klikuar PO.

Bashkangjitni 2 skedarë dhe ngjitni përmbajtjen e mesazhit të informacionit të ransomware dhe klikoni Kontrollo.

Nëse jeni me fat, do të merrni disa informacione. Në rastin tim nuk u gjet asgjë.

Të gjithë dekriptuesit ekzistues për ransomware janë mbledhur në një faqe të veçantë - https://www.nomoreransom.org/ru/decryption-tools.html Ekzistenca e kësaj liste na lejon të presim që ka ende një kuptim në këtë faqe dhe shërbim. Kaspersky ka një shërbim të ngjashëm - https://noransom.kaspersky.com/ru/ Mund ta provoni fatin atje.

Nuk mendoj se ia vlen të kërkosh deshifrues diku tjetër përmes një kërkimi në internet. Nuk ka gjasa që ato të gjenden. Me shumë mundësi do të jetë ose një mashtrim i rregullt me ​​softuer të padëshiruar në rastin më të mirë, ose një virus i ri.

Shtesë e rëndësishme. Nëse keni të instaluar një version të licencuar të një antivirusi, sigurohuni që të krijoni një kërkesë në antivirus TP për deshifrimin e skedarëve. Ndonjëherë me të vërtetë ndihmon. Kam parë rishikime të deshifrimit të suksesshëm nga mbështetja antivirus.

Si të deshifroni dhe rikuperoni skedarët pas virusit Crusis (Dharma).

Çfarë duhet të bëni kur virusi Crusis (Dharma) ka koduar skedarët tuaj, asnjë nga metodat e përshkruara më parë nuk ju ndihmoi dhe ju duhet vërtet të rivendosni skedarët? Zbatimi teknik i enkriptimit nuk lejon deshifrimin e skedarëve pa çelës ose deshifrues, të cilin e ka vetëm autori i enkriptuesit. Ndoshta ka ndonjë mënyrë tjetër për ta marrë atë, por unë nuk e kam atë informacion. Mund të përpiqemi të rikuperojmë skedarët vetëm duke përdorur metoda të improvizuara. Kjo perfshin:

• Mjet kopje hije dritaret.
• Programet e rikuperimit të të dhënave të fshira

Përpara manipulimeve të mëtejshme, unë rekomandoj të bëni një imazh të diskut sektor pas sektori. Kjo do t'ju lejojë të regjistroni gjendjen aktuale dhe nëse asgjë nuk funksionon, atëherë të paktën mund të ktheheni në pikën fillestare dhe të provoni diçka tjetër. Më pas, duhet të hiqni vetë ransomware duke përdorur çdo antivirus me grupin më të fundit të bazave të të dhënave antivirus. Do të bëjë Shëroje ose Mjeti për heqjen e virusit Kaspersky. Mund të instaloni çdo antivirus tjetër në modalitetin e provës. Kjo është e mjaftueshme për të hequr virusin.

Pas kësaj, ne futemi në sistemin e infektuar dhe kontrollojmë nëse kemi të aktivizuara kopjet hije. Ky mjet funksionon si parazgjedhje në Windows 7 dhe më të lartë, përveç nëse e çaktivizoni manualisht. Për të kontrolluar, hapni vetitë e kompjuterit dhe shkoni te seksioni i mbrojtjes së sistemit.

Nëse gjatë infeksionit nuk e keni konfirmuar kërkesën UAC për të fshirë skedarët në kopjet hije, atëherë disa të dhëna duhet të mbeten atje. Për të rivendosur lehtësisht skedarët nga kopjet e hijes, unë sugjeroj të përdorni një program falas për këtë - ShadowExplorer. Shkarkoni arkivin, shpaketoni programin dhe ekzekutoni atë.

Kopja më e fundit e skedarëve dhe rrënja e diskut C do të hapen Në këndin e sipërm të majtë, mund të zgjidhni një kopje rezervë nëse keni disa prej tyre. Kontrolloni kopje të ndryshme për skedarët e kërkuar. Krahasoni sipas datës për versionin më të fundit. Në shembullin tim më poshtë, gjeta 2 skedarë në desktopin tim nga tre muaj më parë kur u redaktuan për herë të fundit.

Unë isha në gjendje t'i rikuperoja këto skedarë. Për ta bërë këtë, unë i zgjodha ato, klikova me të djathtën, zgjodha Eksporto dhe specifikova dosjen ku t'i rivendosja.

Ju mund të rivendosni dosjet menjëherë duke përdorur të njëjtin parim. Nëse keni funksionuar kopjet hije dhe nuk i keni fshirë, keni një shans të mirë për të rikuperuar të gjithë, ose pothuajse të gjithë, skedarët e koduar nga virusi. Ndoshta disa prej tyre do të jenë një version më i vjetër nga sa do të donim, por megjithatë, është më mirë se asgjë.

Nëse për ndonjë arsye nuk keni kopje hije të skedarëve tuaj, shansi juaj i vetëm për të marrë të paktën diçka nga skedarët e koduar është t'i rivendosni ato duke përdorur mjetet e rikuperimit të skedarëve të fshirë. Për ta bërë këtë, unë sugjeroj të përdorni programin falas Photorec.

Nisni programin dhe zgjidhni diskun në të cilin do të rivendosni skedarët. Nisja e versionit grafik të programit ekzekuton skedarin qphotorec_win.exe. Ju duhet të zgjidhni një dosje ku do të vendosen skedarët e gjetur. Është më mirë nëse kjo dosje nuk ndodhet në të njëjtin disk ku po kërkojmë. Lidhni një flash drive ose një hard disk të jashtëm për ta bërë këtë.

Procesi i kërkimit do të zgjasë shumë. Në fund do të shihni statistikat. Tani mund të shkoni në dosjen e specifikuar më parë dhe të shihni se çfarë gjendet atje. Me shumë mundësi do të ketë shumë skedarë dhe shumica e tyre ose do të dëmtohen ose do të jenë një lloj sistemi dhe skedarë të padobishëm. Por megjithatë, disa skedarë të dobishëm mund të gjenden në këtë listë. Nuk ka garanci këtu, ajo që gjeni është ajo që do të gjeni. Imazhet zakonisht restaurohen më së miri.

Nëse rezultati nuk ju kënaq, atëherë ka edhe programe për rikuperimin e skedarëve të fshirë. Më poshtë është një listë e programeve që përdor zakonisht kur më duhet të rikuperoj numrin maksimal të skedarëve:

• R.kursimtar
• Rimëkëmbja e skedarit Starus
• JPEG Recovery Pro
• Profesionist për rikuperimin e skedarëve aktiv

Këto programe nuk janë falas, kështu që unë nuk do të jap lidhje. Nëse vërtet dëshironi, mund t'i gjeni vetë në internet.

I gjithë procesi i rikuperimit të skedarëve duke përdorur programet e listuara tregohet në detaje në videon në fund të artikullit.

Kaspersky, eset nod32 dhe të tjerë në luftën kundër ransomware Crusis (Dharma)

Si zakonisht, kalova nëpër forumet e antivirusëve të njohur në kërkim të informacionit rreth ransomware që instalon shtesën .combo. Ka një tendencë të qartë drejt përhapjes së virusit. Shumë kërkesa nisin nga mesi i gushtit. Tani duket se ato nuk janë të dukshme, por ndoshta përkohësisht, ose zgjatja e skedarëve të koduar thjesht ka ndryshuar.

Këtu është një shembull i një kërkese tipike nga forumi Kaspersky.

Më poshtë ka edhe një koment nga moderatori.

Forumi EsetNod32 është njohur prej kohësh me virusin që instalon shtesën .combo. Siç e kuptoj unë, virusi nuk është unik dhe jo i ri, por një variant i serisë së njohur të viruseve Crusis (Dharma). Këtu është një kërkesë tipike për të deshifruar të dhënat:

Vura re që ka shumë komente në forumin Eset që virusi depërtoi në server përmes rdp. Duket sikur ky është një kërcënim vërtet i fortë dhe nuk mund ta lini RDP-në pa mbulesë. Pyetja e vetme që lind është se si hyn virusi përmes rdp? Ai merr me mend një fjalëkalim, lidhet me një përdorues dhe fjalëkalim të njohur, ose diçka tjetër.

Ku të shkoni për deshifrim të garantuar

Më ka ndodhur të takoj një kompani që në fakt deshifron të dhënat pas punës së viruseve të ndryshëm të enkriptimit, duke përfshirë Crusis (Dharma). Adresa e tyre është http://www.dr-shifro.ru. Pagesa vetëm pas deshifrimit dhe verifikimit tuaj. Këtu është një skemë e përafërt e punës:

1. Një specialist i kompanisë vjen në zyrën ose shtëpinë tuaj dhe nënshkruan një marrëveshje me ju, e cila përcakton koston e punës.
2. Nis dekriptuesin në kompjuterin e tij dhe deshifron disa skedarë.
3. Sigurohuni që të hapen të gjithë skedarët, nënshkruani certifikatën e pranimit për punën e përfunduar dhe merrni një deshifrues.
4. Ju deshifroni skedarët tuaj dhe plotësoni dokumentet e mbetura.

Ju nuk rrezikoni asgjë. Pagesa vetëm pas demonstrimit të funksionimit të dekoderit. Ju lutemi shkruani një koment për përvojën tuaj me këtë kompani.

Metodat e mbrojtjes kundër virusit ransomware

Unë nuk do të rendis gjërat e dukshme në lidhje me nisjen e programeve të panjohura nga Interneti dhe hapjen e bashkëngjitjeve në postë. Të gjithë e dinë këtë tani. Për më tepër, kam shkruar për këtë shumë herë në artikujt e mi në seksionin rreth. Do t'i kushtoj vëmendje kopjeve rezervë. Ato jo vetëm që duhet të ekzistojnë, por të jenë të paarritshme nga jashtë. Nëse ky është një lloj disku i rrjetit, atëherë një llogari e veçantë me një fjalëkalim të fortë duhet të ketë qasje në të.

Nëse bëni kopje rezervë të skedarëve personalë në një flash drive ose një disk të jashtëm, mos i mbani të lidhur vazhdimisht me sistemin. Pas krijimit të kopjeve rezervë, shkëputni pajisjet nga kompjuteri. Unë shoh rezervimin ideal në një pajisje të veçantë, e cila ndizet vetëm për të bërë një kopje rezervë dhe më pas shkëputet fizikisht nga rrjeti duke shkëputur kabllon e rrjetit ose thjesht duke mbyllur punën.

Rezervimet duhet të jenë në rritje. Kjo është e nevojshme për të shmangur një situatë ku kriptori ka koduar të gjitha të dhënat pa e vënë re ju. U krye një kopje rezervë, e cila zëvendësoi skedarët e vjetër me të rinj, por tashmë të koduar. Si rezultat, ju keni një arkiv, por nuk është i dobishëm. Duhet të keni një thellësi arkivi prej të paktën disa ditësh. Unë mendoj se në të ardhmen do të ketë, nëse nuk janë shfaqur ende, ransomware që do të kodojnë në heshtje një pjesë të të dhënave dhe do të presin për ca kohë pa u zbuluar. Kjo do të bëhet me shpresën që skedarët e enkriptuar të përfundojnë në arkiva dhe atje, me kalimin e kohës, të zëvendësojnë skedarët e vërtetë.

Kjo do të jetë një kohë e vështirë për sektorin e korporatave. Tashmë kam dhënë një shembull më lart nga forumi eset, ku disqet e rrjetit me 20 TB të dhëna ishin të koduara. Tani imagjinoni që keni një disk të tillë rrjeti, por vetëm 500 G të dhëna janë të koduara në drejtoritë që nuk aksesohen vazhdimisht. Kalojnë nja dy javë, askush nuk i vë re skedarët e koduar, sepse ato ruhen në drejtoritë e arkivave dhe nuk punohen vazhdimisht. Por në fund të periudhës raportuese nevojiten të dhëna. Ata shkojnë atje dhe shohin se gjithçka është e koduar. Ata shkojnë në arkiv, dhe atje thellësia e ruajtjes është, të themi, 7 ditë. Dhe kjo është e gjitha, të dhënat janë zhdukur.

Kjo kërkon një qasje të veçantë dhe të kujdesshme ndaj arkivave. Keni nevojë për softuer dhe burime për ruajtjen afatgjatë të të dhënave.

Video rreth deshifrimit dhe rikuperimit të skedarëve

Këtu është një shembull i një modifikimi të ngjashëm të virusit, por videoja është plotësisht e rëndësishme për kombinimin.