Todos los archivos están encriptados qué hacer. Encrypter de virus: ¿Cómo curar y descifrar archivos? Descifrar archivos después del círculo del virus. Dónde buscar la decodificación garantizada.

Hola a todos hoy le dirán cómo descifrar los archivos después del virus en Windows. Uno de los malware más problemáticos hoy en día es un troyano o un virus que cifra archivos en un disco de usuario. Algunos de estos archivos se pueden descifrar, y algunos aún no están. En el artículo, describiré los posibles algoritmos de acción en ambas situaciones.

Hay varias modificaciones de este virus, pero la esencia general del trabajo se reduce al hecho de que después de instalar sus archivos de documentos, imágenes y otros, potencialmente importantes, cifrados con el cambio en la expansión, después de lo cual recibe un mensaje que todos Sus archivos han sido cifrados y para su descifrado, debe enviar una cierta cantidad de un atacante.

Los archivos en una computadora están encriptados en XTBL

Una de las últimas opciones para el virus del asistente encripta los archivos, reemplazándolos con archivos con extensión. XTBL y el nombre que consta de un conjunto de caracteres aleatorios.

Al mismo tiempo en la computadora, hay un archivo de texto readme.txt con respecto al siguiente contenido: "Sus archivos han sido cifrados. Para descifrarlos, debe enviar el código a la dirección de correo electrónico. [Correo electrónico protegido], [Correo electrónico protegido] o [Correo electrónico protegido] A continuación, recibirá todas las instrucciones necesarias. Los intentos de descifrar archivos conducirán independientemente a la pérdida irrevocable de información "(la dirección de correo y el texto pueden diferir).

Desafortunadamente, no hay forma de descifrar. XTBL en este momento (tan pronto como aparece, la instrucción se actualizará). Algunos usuarios que tienen información realmente importante en la computadora informaron sobre los foros de antivirus que enviaron 5000 rublos de los autores de virus u otro importe requerido y recibieron un alifranger, pero es muy riesgoso: puede obtener cualquier cosa.

¿Qué pasa si los archivos fueron encriptados por v.xtbl? Mis recomendaciones se ven así (pero difieren de aquellas que tienen muchos otros sitios temáticos, donde, por ejemplo, se recomienda apagar la computadora de la fuente de alimentación inmediatamente o eliminar el virus. En mi opinión, es superfluo, y En alguna coincidencia puede incluso ser perjudicial, pero para resolverte.):

  1. Si sabe cómo interrumpir el proceso de cifrado, eliminando las tareas correspondientes en el Administrador de tareas, desactivando la computadora de Internet (esto puede ser una condición de cifrado necesaria)
  2. Recuerde o escriba un código que los atacantes deben enviarse a una dirección de correo electrónico (no solo en el archivo de texto en la computadora, en caso de que tampoco esté encriptado).
  3. Uso de Malwarebytes Antimalware, versión de prueba de Kaspersky Internet Security o Dr.Web Cura, elimine los archivos de cifrado de virus (todas las herramientas listadas están bien equipadas con esto). Le aconsejo que tome turnos para usar el primer y segundo producto de la lista (sin embargo, si tiene un antivirus instalado, la instalación de la segunda "superior" es indeseable, ya que puede provocar problemas en la computadora).
  4. Espere cuando aparezca un decodificador de cualquier compañía antivirus. En la vanguardia aquí Kaspersky Lab.
  5. También puede enviar un ejemplo de un archivo cifrado y el código requerido para [Correo electrónico protegido]Si tiene una copia del mismo archivo en el formulario sin cifrar, envíelo también. En teoría, puede acelerar la apariencia del decodificador.

Lo que no debería hacer:

  • Cambie el nombre de los archivos encriptados, cambie la expansión y elimínelos si son importantes para usted.

Este es quizás todo lo que pueda decir sobre los archivos cifrados con extensión. XTBL en este momento.

Troyan-ransom.win32.aura y troyan-ransom.win32.rakhni

El siguiente troyano, cifrando archivos y estableciendo la expansión de esta lista:

  • .
  • .crypto.
  • .kraken.
  • .AES256 (no necesariamente este troyano, hay otros que establecen la misma expansión).
  • [Correo electrónico protegido]_Com.
  • .OSHIT.
  • Otro.

Para descifrar los archivos después de la operación de los virus especificados, hay una utilidad gratuita de rakhnidecryptor disponible en la página oficial http://support.kaspersky.ru/viruses/disinfection/10556.

También hay una instrucción detallada sobre el uso de esta utilidad, que muestra cómo restaurar los archivos cifrados de los cuales, por si acaso, en caso de que eliminaría "Eliminar archivos encriptados después de decodificación exitosa" (aunque, creo, todo estará bien con la opción).

Si tiene una licencia de Dr.Web Anti-Virus, puede usar la decodificación gratuita de esta empresa en la página http://support.drweb.com/new/free_unlocker/

Más opciones para el virus del círculo.

Más fácilmente, pero también cumple con los siguientes troyanos, archivos de cifrado y que requieren dinero para la decodificación. Según los enlaces anteriores, no solo hay utilidades para devolver sus archivos, sino también una descripción de los signos que ayudarán a determinar que tiene este virus en particular. Aunque en general, la ruta óptima: con la ayuda de Kaspersky Anti-Virus, escanee el sistema, averigüe el nombre de Trojan en la clasificación de esta empresa y luego busque una utilidad a este nombre.

  • TROJAN-RANSOM.WIN32.RECTOR - UTILIDAD DE RECORTECTORÍA LIBRE PARA Decodificación y uso manual disponible aquí: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-ransom.win32.xorist es un troyano similar, mostrando una ventana con una solicitud para enviar un SMS pagado o contactar con un correo electrónico para recibir instrucciones para decodificar. Instrucciones para restaurar los archivos cifrados y la utilidad XorISTDECryptor para esto está en la página http://support.kaspersky.ru/viruses/disinfection/2911
  • Troyan-ransom.win32.rannoh, troyan-ransom.win32.fury - rannohdecryptorhttp: //support.kaspersky.ru/viruses/disinfection/8547
  • TROJAN.ENCODER.858 (XTBL), TROJAN.ENCODER.741 Y OTROS CON EL MISMO NOMBRE (Al buscar a través del Dr.Web Anti-Virus o Cure TI Utility) y diferentes números, intente buscar en Internet llamado Trojan. Para una parte de ellos, también hay utilidades de descifrado de Dr.Web, también, si no ha encontrado una utilidad, pero hay una licencia DR.WEB, puede usar la PAGETTP oficial: //support.drweb.com/new / Free_unlocker /
  • Cryptolocker: para descifrar archivos después de trabajar Cryptolocker, puede usar el SiteHTTP: //decryptcryptolocker.com - Después de enviar un ejemplo del archivo, recibirá una clave y una utilidad para restaurar sus archivos.

Bueno, desde las últimas noticias, Kaspersky Lab, junto con los oficiales de la ley de los Países Bajos, desarrollaron el descifrado de Ransomware (http://noransom.kaspersky.com) para descifrar archivos después de Coinvault, pero en nuestras latitudes no se encuentra esta extorsión.

Por cierto, si de repente resulta que tiene algo que agregar (porque no puedo tener tiempo para monitorear lo que está sucediendo con los métodos de descifrado), informe en los comentarios, esta información será útil para otros usuarios que colisionaron con el problema.

Por lo general, el trabajo de malware está dirigido a obtener el control sobre la computadora, incluido ello en la red de zombies o el robo de datos personales. El usuario desatento puede no notar durante mucho tiempo que el sistema está infectado. Pero los virus de cifrado, en particular XTBL, trabajan de manera bastante diferente. Hacen archivos de usuario inadecuados, cifrándose con el algoritmo más complejo y exige una gran cantidad del propietario para la capacidad de restaurar la información.

Causa del problema: Virus XTBL

El círculo del virus de XTBL recibió su nombre debido al hecho de que los documentos personalizados cifrados por ellos reciben extensión. YTBL. Típicamente, los codificadores dejan la llave en el cuerpo en el cuerpo para que el programa de decodificador universal pueda restaurar la información en su forma original. Sin embargo, el virus está destinado a otros fines, por lo que en lugar de una clave, aparece una propuesta en la pantalla para pagar cierta cantidad de detalles anónimos.

Cómo funciona el virus XTBL

El virus ingresa a la computadora utilizando letras por correo electrónico con archivos adjuntos infectados, lo que representa los archivos de las aplicaciones de oficina. Después de que el usuario abrió el contenido del mensaje, el programa malicioso comienza a buscar fotos, teclas, video, documentos, etc., y luego con la ayuda de un algoritmo complejo original (cifrado híbrido) los convierte en el almacenamiento de XTBL.

Para almacenar sus archivos, el virus utiliza carpetas del sistema.

El virus contribuye a la lista de autopoad. Para hacer esto, agrega registros en el Registro de Windows en las secciones:

  • HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Runnce;
  • HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Run;
  • HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Runnce.

La computadora infectada funciona de manera estable, el sistema no "cae", sino en RAM constantemente, hay una pequeña solicitud (o dos) con un nombre incomprensible. Y las carpetas con archivos de trabajo de usuario adquieren una vista extraña.

En el escritorio en lugar de un protector de pantalla, aparece un mensaje:

Tus archivos fueron encriptados. Para descifrarlos, debe enviar el código a la dirección de correo electrónico: [Correo electrónico protegido] (A continuación, sigue el código). Después de eso recibirá más instrucciones. Los intentos independientes de descifrar los archivos conducirán a la destrucción completa.

El mismo texto está contenido en la forma creada para descifrar su archivo archivos.txt. La dirección de correo electrónico, la cantidad solicitada de código puede variar.

Muy a menudo, algunos estafadores ganan en otros: la billetera electrónica número de extorsiones que no tienen forma de descifrar archivos se inserta en el cuerpo del virus. Así que el usuario de Gulling, que envía dinero, no recibe nada a cambio.

¿Por qué no pagas extorsiones?

De acuerdo con la cooperación con los extorsionistas, es imposible no solo por los principios morales. Esto es irrazonable y desde un punto de vista práctico.

  • Fraude. No es el hecho de que los atacantes puedan descifrar sus archivos. No sirve como prueba y le devuelve una de las presuntas fotos descodificadas, se puede robar antes del cifrado. El dinero actual irá sin uso.
  • La posibilidad de repetir. Reafirmando su disposición a pagar, se convertirá en presas más deseables para el re-ataque. Quizás la próxima vez que sus archivos tengan otra extensión, y aparecerá otro mensaje en el protector de pantalla, pero el dinero irá a las mismas personas.
  • Confidencialidad. Mientras que los archivos incluso están encriptados, pero están en su computadora. Habiendo acordado con "villanos honestos", se le verá obligado a enviarles toda su información personal. El algoritmo no proporciona una decodificación clave e independiente, solo envíe archivos al decodificador.
  • Infección por computadora. Su computadora todavía está infectada, por lo que el descifrado de archivos no es una solución completa para el problema.

    • Cómo proteger el sistema del virus.

    Las reglas universales para la protección contra los programas maliciosos y la minimización del daño ayudarán en este caso.

  • Cuidado con las conexiones aleatorias. No hay necesidad de abrir cartas recibidas de remitentes desconocidos, incluidas las ofertas de publicidad y bonificación. En el caso extremo, puede leerlos, después de preservar el archivo adjunto en el disco y verificarlo con antivirus.
  • Usa protección. Los programas antivirus reponen constantemente las bibliotecas de códigos maliciosos, por lo que la versión real del defensor no se perderá la mayoría de los virus en la computadora.
  • Distribuir el acceso. El virus causará mucho daño si la cuenta del administrador ingresa. Es mejor trabajar en nombre del usuario, reduciendo dramáticamente la posibilidad de infección.
  • Crea copias de seguridad. La información importante debe copiarse regularmente a los medios externos almacenados por separado de la computadora. Además, no debemos olvidar crear puntos de recuperación de ventanas de respaldo.

    • ¿Es posible restaurar la información cifrada?

    Buenas noticias: la restauración de datos es posible. Malo: no es posible hacerlo tú mismo. La razón de esta es la característica del algoritmo de cifrado, la selección de la clave a la que requiere mucho más recursos y conocimientos acumulados que el usuario habitual. Afortunadamente, los desarrolladores antivirus consideran que es una cuestión de honor para tratar con cada programa malicioso, por lo que incluso si no pueden hacer frente a su círculo, en un mes o dos definitivamente encontrarán una solución. Tendremos que ser pacientes.

    Debido a la necesidad de atraer a los especialistas, el algoritmo para trabajar con una computadora infectada está cambiando. La Regla general: Cuanto menos cambios, mejor. Los antivirus determinan el método de tratamiento en "signos genéricos" de un programa malicioso, por lo que los archivos infectados para ellos son una fuente de información importante. Debe eliminarlos solo después de resolver el problema principal.

    La segunda regla: a cualquier costo para interrumpir el virus. Tal vez aún no haya echado a perder toda la información, y también se mantiene en las trazas de RAM del cifrado, con las que puede definirla. Por lo tanto, debe apagar de inmediato la computadora de la red y apagar la computadora portátil presionando el botón de encendido. Esta vez, el procedimiento de apagado "cuidadoso" estándar no se adaptará a la oportunidad de completar todos los procesos correctamente, ya que uno de ellos es la codificación de su información.

    Restauramos los archivos cifrados

    Si logras apagar la computadora.

    Si tiene tiempo para apagar la computadora antes de que se complete el proceso de cifrado, no es necesario incluirlo usted mismo. Lleve el "paciente" inmediatamente a los especialistas, la codificación interrumpida aumenta significativamente las posibilidades de guardar archivos personales. Aquí puede revisar con seguridad sus medios y crear copias de respaldo. Con una alta probabilidad, se conocerá el virus en sí, por lo que el tratamiento será exitoso.

    Si el cifrado terminó

    Desafortunadamente, la probabilidad de interrupción exitosa del proceso de cifrado es muy pequeña. Por lo general, el virus tiene tiempo para codificar archivos y eliminar trazas innecesarias de la computadora. Y ahora tiene dos problemas: Windows todavía está infectado, y los archivos personales se han convertido en un conjunto de caracteres. Para resolver la segunda tarea, debe usar la ayuda de los fabricantes de software antivirus.

    Dr.Web.

    El laboratorio del Dr.Web proporciona sus servicios para descifrar gratis solo por los propietarios de licencias comerciales. En otras palabras, si usted no es su cliente, pero desea restaurar sus archivos, tendrá que comprar un programa. Dada la situación, esta es la inversión necesaria.

    El siguiente paso es cambiar al sitio web del fabricante y completar el formulario de entrada.

    Si entre los archivos cifrados, existen copias de las cuales se conservan en medios externos, su transferencia facilitará en gran medida la operación de decodificadores.

    Kaspersky

    Kaspersky Lab ha desarrollado su propia utilidad de descifrado llamada rectordecryptor, que se puede descargar a una computadora del sitio web oficial de la compañía.

    Cada versión del sistema operativo, incluida Windows 7, proporciona su utilidad. Después de descargarlo, haga clic en el botón "Iniciar comprobar" en la pantalla.

    Los servicios de servicios pueden demorarse por un tiempo si el virus es relativamente nuevo. En este caso, la compañía generalmente envía la notificación apropiada. A veces, la decodificación es capaz de ocupar durante varios meses.

    Otros servicios

    Los servicios con funciones similares se están volviendo cada vez más, lo que habla de la demanda del servicio de descifrado. El algoritmo de acciones es el mismo: vamos al sitio (por ejemplo, https://decryptcryptolocker.com/), registre y envíe un archivo cifrado.

    Programas de decifrancias

    Sin embargo, las propuestas de los "decodificadores universales" (por supuesto, pagados) en la red son mucho, los beneficios de ellos son dudosos. Por supuesto, si los propios fabricantes de virus escriben un decodificador, funcionará con éxito, pero el mismo programa será inútil para otra aplicación maliciosa. Además, los especialistas que se encuentran regularmente con los virus generalmente tienen un paquete completo de utilidades necesarias, por lo que todos los programas de trabajo tienen con una alta probabilidad. Comprar tal decodificador, lo más probable es que sea un desperdicio de dinero.

    Cómo descifrar archivos usando Kaspersky Lab - Video

    Recuperación independiente de la información.

    Si por alguna razón es imposible recurrir a especialistas en terceros, puede intentar restaurar la información por su cuenta. Negaremos que en caso de fallo, los archivos pueden perderse finalmente.

    Restaurar archivos remotos

    Después del cifrado, el virus elimina los archivos de origen. Sin embargo, Windows 7 almacena toda la información remota en forma de una llamada copia de sombra.

    SombraExplorador

    ShadowExplorer es una utilidad diseñada para restaurar archivos de sus copias de sombra.

  • Para instalar, vaya al sitio web del desarrollador y descargue el archivo, después de desempacar que el módulo ejecutable se almacenará en la carpeta SombraExplorerRorerRerer con el mismo nombre. Aparecerá un acceso directo en el escritorio para un lanzamiento rápido.
  • Además, todas las acciones intuitivas. Ejecute el programa y en la ventana de la izquierda en la parte superior Seleccione el disco en el que se almacenan los datos, y la fecha de la creación de la copia sombra. Necesita la fecha más reciente.
  • Ahora encuentre la partición en la que contengan los archivos de trabajo y haga clic en él, haga clic con el botón derecho. En el menú contextual describe, seleccione Exportar, luego especifique la forma de guardar los archivos recuperados. El programa encontrará todas las copias de sombra disponibles en esta carpeta y exportarlas a la intención.

    • Photorec.

    La utilidad Free Photorec funciona en el mismo principio, pero en modo por lotes.

  • Descargue el archivo del sitio del desarrollador y desempaquelo en el disco. El archivo ejecutable se llama qphotogreec_win.
  • Después de iniciar la aplicación en el cuadro de diálogo, la lista de todos los dispositivos de disco disponibles se mostrarán. Elija que los archivos cifrados se almacenan y especifiquen la ruta para guardar las copias recuperadas.

    Para el almacenamiento, es mejor usar medios externos, por ejemplo, una unidad flash USB, ya que cada entrada al disco es la borradura peligrosa de las copias de la sombra.

  • Al seleccionar los directorios que necesita, haga clic en el botón Formatos de archivo.
  • El menú discontinuado es una lista de tipos de archivos que la aplicación puede restaurar. De forma predeterminada, opuesta a cada uno, hay una marca, sin embargo, es posible tomar "aves" adicionales para acelerar el trabajo, dejando solo los archivos correspondientes de los archivos restaurados. Después de graduarse, haga clic en el botón OK.
  • Una vez completada la selección, el botón de la pantalla de búsqueda está disponible. Pinchalo. El procedimiento de recuperación es un proceso que requiere mucho tiempo, por lo que sea paciente.
  • Habiendo esperado la finalización del proceso, presione el botón Salir de la pantalla y salir del programa.
  • Los archivos restaurados se colocan en el directorio previamente especificado y se descomponen mediante carpetas con los mismos nombres recup_dir.1, recup_dir.2, recup_dir.3 y así sucesivamente. Constantemente ve a cada uno y vuelve a ellos por los mismos nombres.

    • Remoción del virus

    Dado que el virus llegó a la computadora, los programas de protección instalados no enfrentaron su tarea. Puedes intentar usar una ayuda de terceros.

    ¡Importante! Eliminar el virus trata una computadora, pero no restaura los archivos cifrados. Además, la instalación de un nuevo software puede dañar o borrar algunas copias de sombra de los archivos necesarios para su recuperación. Por lo tanto, es mejor instalar aplicaciones a otros discos.

    Herramienta de eliminación de virus Kaspersky

    Programa gratuito del conocido desarrollador de software antivirus, que se puede descargar en el sitio web de Kaspersky Lab. Después del lanzamiento de la herramienta de eliminación de virus Kaspersky, se ofrece inmediatamente para comenzar a registrarse.

    Después de presionar un botón de pantalla grande "Iniciar cheque", el programa comienza a escanear una computadora.

    Queda por esperar el final de la exploración y eliminar los invitados no aceptadores encontrados.

    Malwarebytes Anti-Malware

    Otro desarrollador de software antivirus que proporciona una versión gratuita del escáner. El algoritmo de acción es el mismo:

  • Descargue desde la página oficial del fabricante, el archivo de instalación para Malwarebytes Anti-Malware, después de lo cual ejecuta el programa de instalación, respondiendo a las preguntas y haciendo clic en el botón "Siguiente".
  • La ventana principal se propondrá actualizar inmediatamente el programa (procedimiento útil, actualizar la base de datos de virus). Después de eso, ejecute el escaneo haciendo clic en el botón apropiado.
  • Malwarebytes Anti-Malware escanea gradualmente el sistema para mostrar los resultados intermedios del trabajo.
  • Los virus encontrados, incluidos los encriptadores, se demuestran en la ventana final. Deshágase de ellos presionando el botón "Eliminar seleccionado".

    Para eliminar algunas aplicaciones de malware, Malwarebytes Anti-Malware ofrecerá reiniciar el sistema, debe estar de acuerdo con esto. Después de reanudar las ventanas, el antivirus continuará limpiando.

    • Lo que no se debe hacer

    El virus XTBL, como otros virus de cifrado, es perjudicial para el sistema y la información del usuario. Por lo tanto, para reducir los posibles daños, se deben observar algunas precauciones:

    1. No espere al final del cifrado. Si el cifrado de archivos ha comenzado en sus ojos, no debe esperar a que todo termine, o intente interrumpir el proceso por software. Desconecte inmediatamente la alimentación de la computadora y llame a los especialistas.
    2. No intente eliminar el virus usted mismo, si puede confiar en los profesionales.
    3. No reinstale el sistema antes del final del tratamiento. El virus infecta con seguridad el nuevo sistema.
    4. No cambie el nombre de los archivos encriptados. Esto solo complicará el trabajo del decodificador.
    5. No intente leer archivos infectados en otra computadora hasta que se elimine el virus. Esto puede llevar a la propagación de la infección.
    6. No pague extorsiones. Es inútil, y alienta a los creadores de virus y estafadores.
    7. No te olvides de la prevención. Instalación de un antivirus, una copia de seguridad regular, la creación de puntos de recuperación reducirá significativamente los posibles daños de los programas maliciosos.

    El tratamiento de una computadora infectada con un reglipo de virus es un procedimiento largo y no siempre exitoso. Por lo tanto, es tan importante cumplir con las precauciones al recibir información de la red y trabajar con vehículos externos no verificados.

    - Este es un programa malicioso que, con su activación, cifra todos los archivos personales, como documentos, fotos, etc. El número de programas similares es muy grande y aumenta con cada día. Solo recientemente, nos enfrentamos a docenas de opciones de cifrado: Cryptolocker, Crypt0l0cker, Crypt, TeslaCrypt, Coinvault, Bit Crypt, CTB-Locker, Torrentlocker, Hydracrypt, BETET_CALL_SAUL, CRITTT, .DA_VINGI_CODE, TOSTE, FFF, etc. El objetivo de tal círculo virus para obligar a los usuarios a comprar, a menudo por una gran cantidad de dinero, el programa y la clave que necesita para descifrar sus propios archivos.

    Por supuesto, puede restaurar los archivos cifrados simplemente siguiendo las instrucciones que los creadores del virus se van en la computadora contaminada. Pero la mayoría de las veces, el precio de la descifrado es muy significativo, también necesita saber que parte de los virus de cifrado, así que cifra los archivos que es simplemente imposible de descifrarlos. Y, por supuesto, es simplemente desagradable pagar por la restauración de sus propios archivos.

    A continuación, describiremos con más detalle sobre los virus de cifrado, la forma de penetrar en la víctima a la computadora, así como para eliminar el encriptor de virus y restaurar los archivos que los encriptan.

    Como un círculo de virus penetra en la computadora.

    El virus de cifrado generalmente se distribuye por correo electrónico. La carta contiene documentos infectados. Dichas letras se envían en una enorme base de datos de direcciones de correo electrónico. Los autores de este virus utilizan conceptos erróneos de los encabezados y el contenido de las letras, tratando de hacer un engaño para abrir el documento invertido en la carta. Parte de las letras Reportar la necesidad de pagar la cuenta, otras ofrecen ver una lista de precios frescos, otros abren una foto divertida, etc. En cualquier caso, el resultado de la apertura del archivo adjunto será una infección por computadora con un reglipo de virus.

    ¿Qué es el círculo de virus?

    El cifrado de virus es un programa malicioso que afecta las versiones modernas de los sistemas operativos familiares de Windows, como Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Estos virus están tratando de usar como modos de cifrado resistentes, por ejemplo, RSA-2048 Con la longitud de la llave es de 2048 bits, lo que prácticamente elimina la posibilidad de seleccionar la clave para descifrar de forma independiente los archivos.

    Mientras está infectado con una computadora, el encrypter del virus utiliza el% de archivos del sistema% para almacenar sus propios archivos. Para comenzar automáticamente con una computadora que habilita, el encrypter crea una entrada en el registro de Windows: Secciones HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RUN, HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Runnce, HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RUN, HKCU \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Runnce.

    Inmediatamente después de comenzar, el virus escanea todos los discos disponibles, incluidos el almacenamiento de la red y la nube, para definir archivos que se cifrarán. El virus de cifrado utiliza la extensión del nombre del archivo como un método para definir un grupo de archivos que se cifrarán. Casi todos los tipos de archivos están encriptados, incluidos los comunes como:

    0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .tar, .m4a, .wma, .m4a, .wma, .vi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .bank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mdata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .ghbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos ,. MOV, .VDF, .ZTMP, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .Rarch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .pk, .das, .iwi, .litemod, .set, .porge, .ltx, .bsa ,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, billetera, .wotreplay, .xxx, .desc, .py, .m3u, .flv ,. js, .csss, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .traw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .dc, .odm ,. ODP, .ODs, .ODT, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wbdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsd, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

    Inmediatamente después de que se cifre el archivo, recibe una nueva extensión, que a menudo es capaz de identificar el nombre o el tipo de cifrado. Algunos tipos de estos programas maliciosos también pueden cambiar los nombres de los archivos cifrados. Luego, el virus crea un documento de texto con los nombres como help_your_files, README, que contiene las instrucciones para descifrar archivos cifrados.

    Durante su trabajo, el oficial de cifrado de virus intenta cerrar la capacidad de restaurar archivos utilizando el sistema SVC (Copias de sombras de archivos). Para esto, el virus en el modo de comando llama a la Sombra Copia la utilidad a los archivos clave con la clave para iniciar el procedimiento para su eliminación completa. Por lo tanto, casi siempre, es imposible restaurar los archivos usando sus copias de sombra.

    El cifrado de virus está utilizando activamente tácticas de intimidación, lo que le da un sacrificio a la descripción del algoritmo de cifrado Descripción y que muestra el mensaje amenazador en el escritorio. Intenta forzar a un usuario de una computadora infectada sin pensar, envíe un ID de computadora a la dirección de correo electrónico del virus, para intentar devolver sus archivos. La respuesta a dicho mensaje es la mayor frecuencia de la cantidad de redención y la dirección de la billetera electrónica.

    ¿Mi computadora está infectada con un reglipo de virus?

    Determinar la computadora está infectada o ningún círculo de virus es bastante fácil. Preste atención a la expansión de sus archivos personales, como documentos, fotos, música, etc. Si la extensión ha cambiado o sus archivos personales desaparecieron, dejando atrás muchos archivos con nombres desconocidos, entonces la computadora está infectada. Además, un signo de infección es la presencia de un archivo con el nombre help_your_files o README en sus catálogos. Este archivo contendrá instrucciones para decodificar archivos.

    Si sospecha que ha descubierto una letra infectada con un círculo de virus, pero aún no hay síntomas de infección, entonces no se apague y no reinicie la computadora. Siga los pasos descritos en esta instrucción, sección. Repito una vez más, es muy importante no apagar la computadora, en algunos tipos de encriptadores, ¡el proceso de los archivos de cifrado se activa cuando la primera, después de la infección, enciende la computadora!

    ¿Cómo descifrar los archivos cifrados por un encriptador de virus?

    Si ocurrió este problema, entonces no necesitas entrar en pánico! Pero necesitas saber que en la mayoría de los casos no hay decodificador libre. Similar a esto, los algoritmos de cifrado persistentes utilizados por dichos programas maliciosos. Esto significa sin una clave personal para descifrar que los archivos son casi imposibles. Use el método de selección de teclas tampoco es la salida, debido a la longitud de la llave larga. Por lo tanto, desafortunadamente, solo el pago de los autores del virus de toda la cantidad solicitada es la única manera de tratar de obtener la clave de descifrado.

    Por supuesto, no hay absolutamente ninguna garantía de que, después del pago, los autores del virus se comunicarán y proporcionarán la clave que necesita para descifrar sus archivos. Además, debe entender que pague dinero a los virus a los desarrolladores, usted mismo lo empuja para crear nuevos virus.

    ¿Cómo eliminar el círculo de virus?

    Antes de continuar con esto, debe saber que comenzar a eliminar el virus e intentar restaurar los archivos de forma independiente, bloquea la capacidad de descifrar los archivos pagando a los autores del virus solicitados por ellos.

    La herramienta de eliminación de virus Kaspersky y Malwarebytes, anti-malware, puede detectar diferentes tipos de virus de cifrado activos y eliminarlos fácilmente desde una computadora, pero no pueden restaurar los archivos cifrados.

    5.1. Retire el círculo de virus utilizando la herramienta de eliminación de virus Kaspersky

    De forma predeterminada, el programa está configurado para restaurar todos los tipos de archivos, pero para acelerar el trabajo, se recomienda dejar solo los tipos de archivos que necesita restaurar. Después de completar la selección, haga clic en Aceptar.

    En la parte inferior de la ventana del programa QPhotorec, localice el botón Examinar y haga clic en él. Debe seleccionar un directorio en el que se guardarán los archivos recuperados. Es recomendable utilizar un disco en el que no se encuentran archivos cifrados que requieren recuperación (puede usar una unidad flash USB o un disco externo).

    Para iniciar el procedimiento de búsqueda y restaurar copias de origen de los archivos cifrados, haga clic en el botón Buscar. Este proceso dura mucho tiempo, así que toma la paciencia.

    Cuando termine la búsqueda, haga clic en el botón Salir. Ahora abra la carpeta que seleccionó para guardar los archivos recuperados.

    La carpeta contendrá directorios con los nombres recup_dir.1, recup_dir.2, recup_dir.3 y así sucesivamente. Cuantos más archivos encuentren el programa, más será el directorio. Para buscar los archivos que necesita, marque todos los directorios. Para facilitar la búsqueda del archivo que necesita, entre la gran cantidad de recuperación, use el sistema de búsqueda de Windows incorporado (por contenido de archivos), así como si se olvide de la función de clasificación de archivos en los directorios. Como un parámetro de clasificación, puede seleccionar una fecha de cambio de archivo, ya que el QPhotorec al recuperar el archivo intenta restaurar esta propiedad.

    ¿Cómo prevenir la infección por computadora con un encriptador de virus?

    La mayoría de los programas de antivirus modernos ya tienen un sistema de protección incorporado contra la penetración y activando los virus de cifrado. Por lo tanto, si no hay un programa antivirus en su computadora, luego lo instale. Cómo elegir elegir leer esto.

    Además, hay programas de protección especializados. Por ejemplo, es cryptoprevent, más.

    Varias palabras finales

    Al completar esta instrucción, su computadora se limpiará desde el virus del círculo. Si tiene preguntas o necesita ayuda, póngase en contacto con nosotros.

    ¡ATENCIÓN! Empresa ESET. Advierte que recientemente la mayor actividad y peligro de infección de la red corporativa de un programa malicioso, las consecuencias de las acciones de las cuales es:

    1) Cifrado de información y archivos confidenciales, incluidas las bases de datos. 1c., documentos, imágenes. El tipo de archivos cifrados depende de la modificación específica del codificador. El proceso de cifrado se realiza de acuerdo con los algoritmos complejos y en cada caso, se produce cifrado de acuerdo con un cierto patrón. Por lo tanto, los datos cifrados son difíciles de restaurar.

    2) En algunos casos, después de realizar acciones maliciosas, el codificador se elimina automáticamente de la computadora, lo que dificulta la selección del decodificador.

    Después de hacer acciones maliciosas, aparece una ventana con información en la pantalla de la computadora infectada. Tus archivos están encriptados", Así como los requisitos de extorsiones que deben realizarse para obtener un decodificador.

    2) Use soluciones antivirus con el módulo de firewall incorporado ( ESET NOD32 Smart Security) Para reducir la probabilidad de usar una vulnerabilidad de un atacante en RDP. Incluso si no hay actualizaciones necesarias del sistema operativo. Se recomienda permitir la heurística extendida para ejecutar archivos ejecutables. (Configuración adicional (F5) - Computadora: protección contra virus y protección de spyware en tiempo real: configuraciones adicionales. Además, compruebe si ESET Live Grid está habilitado (Configuración avanzada (F5) - Utilidades - ESET Live Grid).

    3) En el servidor de correo, prohibir la recepción y la transmisión de archivos ejecutables. * .exe., así como * .js.Dado que a menudo los codificadores son enviados por los atacantes en forma de inversión en un correo electrónico con información ficticia sobre la recolección de deudas, la información sobre ella y otros contenidos similares que pueden alentar al usuario a abrir un accesorio malicioso de una carta de un atacante y, por lo tanto, lanzar un codificador.

    4) Prohibir macros en todas las aplicaciones que forman parte de Microsoft Office.o similar por fabricantes de terceros. Macros puede contener un comando para descargar y realizar un código malicioso que se ejecuta cuando se ordena el documento (por ejemplo, la apertura del documento con el título " Notificación de la colección de deudas.doc"De las cartas de los atacantes pueden llevar a una infección por el sistema, incluso si el servidor se perdió un archivo adjunto malicioso con un archivo de codificador ejecutable siempre que no deshabilite las macros en la configuración de los programas de oficina).

    5) Llevar a cabo regularmente Respaldo. (Copia de seguridad) Información importante almacenada en su computadora. Comenzando con el sistema operativo Windows Vista. En la composición de los sistemas operativos. Ventanas El servicio de protección del sistema en todos los discos que crea copias de copia de seguridad de archivos y carpetas al archivar o crear un punto de recuperación del sistema. De forma predeterminada, este servicio se habilita solo para la partición del sistema. Se recomienda habilitar esta función para todas las secciones.

    ¿Qué pasa si la infección ya ha ocurrido?

    En caso de que se haya convertido en una víctima de los atacantes y sus archivos se cifra, no se apresure a transferir dinero a su cuenta para la selección del decodificador. Siempre que usted sea nuestro cliente, Consulte el soporte técnico, tal vez podamos recoger un decodificador para su caso o que ya exista un decodificador. Para hacer esto, agregue una muestra de codificador y otros archivos sospechosos al archivo, si corresponde, y envíenos este archivo con nosotros. También pone en el archivo varias muestras de archivos cifrados. En los comentarios, indique las circunstancias en que ocurrió la infección, así como sus datos con licencia y email de contacto Para la retroalimentación.

    Puede intentar restaurar la versión original, no encriptada de archivos de las copias de la sombra, siempre que esta función se haya activado y si la COPIA DE LA SOMBRA no fue dañada por el Virus Encrypor. Más información sobre esto:

    Para mas informacion contacte.

    Si el sistema está infectado con un programa malicioso de familias de troyan-ransom.win32.rannoh, troyan-ransom.win32.autoit, troyan-ransom.win32.furio, troyan-ransom.win32.crybola, troyan-ransom.win32. Cryakl o Trojan-Ransom. Win32.CryPTXXX, todos los archivos de la computadora se cifrarán de la siguiente manera:

    • Cuando se infecta por Trojan-Ransom.Win32.Rannoh, los nombres y extensiones cambiarán por la plantilla bloqueada<оригинальное_имя>.<4 произвольных буквы>.
    • Cuando se infecta por Trojan-Ransom.Win32.Cryakl, se agrega una etiqueta al final del contenido de los archivos, se agrega la etiqueta (CryptendBlackDC).
    • Cuando está infectado por Trojan-Ransom.Win32.Autoit Extensión varía según la plantilla<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
      Por ejemplo, [Correo electrónico protegido]_.RZWDTDIC.
    • Cuando está infectado por Trojan-Ransom.Win32.CryPTXXX, la extensión varía en plantillas<оригинальное_имя>.cripta,<оригинальное_имя>.crypz I.<оригинальное_имя>.cryp1.

    La utilidad de Rannohdecryptor está diseñada para descifrar archivos después de la infección troyan-ransom.win32.polyglot, troyan-ransom.win32.rannoh, troyan-ransom.win32.autoit, troyan-ransom.win32.furio, troyan-ransom.win32.crybola, TROJAN RANSOM.WIN32.CRYAKL o TROJAN-RANSOM.WIN32.CRYPTXXX Versiones 1, 2 y 3.

    Cómo curar el sistema

    Para curar un sistema infectado:

    1. Descargue el archivo rannohdecryptor.zip.
    2. Ejecute el archivo rannohdecrypttor.exe en una máquina infectada.
    3. En la ventana principal, haga clic en Cheque de inicio.
    1. Especifique la ruta al archivo cifrado y sin cifrado.
      Si el archivo está encriptado por TROJAN-RANSOM.WIN32.CRYPTXXX, especifique los archivos más grandes. La decodificación estará disponible solo para archivos iguales o más pequeños.
    2. Espere los archivos cifrados de búsqueda y descifrado.
    3. Reinicie la computadora si es necesario.
    4. después de bloqueo-<оригинальное_имя>.<4 произвольных буквы>Para eliminar copias de los archivos cifrados de una vista de descifrado exitosa, seleccione.

    Si el archivo fue encriptado por TROJAN-RANSOM.WIN32.CRYAKL, la utilidad guardará el archivo en el lugar anterior con la extensión. DecryptedKlr. Original_exing. Si has elegido Eliminar archivos encriptados después de un descifrado exitosoEl archivo de la bandeja será guardado por una utilidad con el nombre original.

    1. De forma predeterminada, la utilidad muestra un informe a la raíz del disco del sistema (el disco en el que se instala OS).

      El nombre del informe tiene el siguiente formulario: NOMBRE NOMBRES. DEVICE_DATA_LOG.TXT

      Por ejemplo, C: \\ rannohdecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    En el sistema infectado por TROJAN-RANSOM.WIN32.CRYPTXXX, la utilidad escanea el número limitado de formatos de archivo. Cuando se selecciona un usuario por el archivo CryptXXX V2, la recuperación de la tecla puede llevar mucho tiempo. En este caso, la utilidad muestra una advertencia.