Kõik failid on krüpteeritud, mida teha. Viirus Encrypter: Kuidas ravida ja dekrüpteerida faile? Failide dešifreerimine pärast krüpteeri viirust. Kust taotleda garanteeritud dekodeerimist

Tere kõigile täna ütlevad teile, kuidas faile pärast viirust Windowsis dekrüpteerida. Üks kõige problemaatilisemat pahavara täna on trooja või viirus, mis krüpteerivad failid kasutajakettal. Mõned neist faile saab dekrüpteerida ja mõned ei ole veel. Artiklis kirjeldan ma võimalikke algoritme mõlemas olukorras.

Selle viiruse on mitmeid muudatusi, kuid töö üldine olemus langeb asjaolule, et pärast dokumentide, piltide ja muude failide failide paigaldamist, mis on potentsiaalselt olulised, krüpteerivad laienemise muutusega, pärast mida saate sõnumi, mis kõik Teie failid on krüpteeritud ja nende dekrüpteerimise eest vajate teatava ründaja saatmise.

Arvuti failid on krüpteeritud XTBL-is

Üks viimaseid võimalusi Wizard viirus krüpteerib faile, asendades need failidega laiendiga. XTBL ja nimi, mis koosneb juhusliku tähemärkide komplektist.

Samal ajal arvutis on tekstifaili readme.txt koos järgmise sisuga: "Teie failid on krüpteeritud. Nende dešifreerimiseks peate koodi saatma e-posti aadressile [E-posti kaitstud], [E-posti kaitstud] või [E-posti kaitstud] Seejärel saate kõik vajalikud juhised. Taotlused failide dešifreerimise katsed viia sõltumatult teabe tagasivõtmiseni "(posti aadress ja tekst võib erineda).

Kahjuks pole mingit võimalust dekrüpteerida. XTBL hetkel (niipea, kui see ilmub, uuendatakse juhiseid). Mõned kasutajad, kellel on tõesti oluline teave arvuti kohta, teatas viirusetõrjefoorumitest, et nad saatsid viiruse autoritelt 5000 rubla või teist vajalikku summat ja sai alifranger, kuid see on väga riskantne: Te saate midagi.

Mis siis, kui failid olid krüpteeritud V.XTBL? Minu soovitused näevad välja sellised (kuid need erinevad nendest, kellel on palju teisi temaatilisi saite, kus näiteks on soovitatav arvuti toiteallika väljalülitamiseks välja lülitada või viirus eemaldada. Minu arvates on see üleliigne ja Mõnes juhus võib isegi olla kahjulik, kuid teie lahendamiseks.):

  1. Kui te teate, kuidas krüpteerimisprotsessi katkestada, eemaldades ülesandehalduri vastavad ülesanded, arvuti internetist välja lülitades (see võib olla vajalik krüpteerimise tingimus)
  2. Pea meeles või kirjutage koodi, mida ründajad tuleb saata e-posti aadressile (mitte ainult arvuti tekstifailis, lihtsalt juhul, kui see ei ole ka krüpteeritud).
  3. Kasutades Malwarebytes Antimalware, prooviversiooni Kaspersky Internet Security või Dr.Web Cure See eemaldada viiruse krüpteerimine faile (kõik loetletud tööriistad on hästi toime tulla see). Soovitan teil teha kordamööda, et kasutada esimest ja teist toodet nimekirjast (aga kui teil on installitud viirusetõrje, on teise "top" paigaldamine ebasoovitav, sest see võib põhjustada probleeme arvutis.)
  4. Oodata, kui dekoodri mis tahes viirusetõrjefirma ilmub. Siinkohal on siin Kaspersky lab.
  5. Võite saata ka krüpteeritud faili ja nõutava koodi näite [E-posti kaitstud]Kui teil on krüpteerimata kujul sama faili koopia, saatke see ka. Teoreetiliselt võib see kiirendada dekoodri välimust.

Mida ei tohiks teha:

  • Nimeta krüpteeritud failid, muutke laiendamist ja kustutage need, kui need on teile olulised.

See on ilmselt kõik, mida võin öelda krüpteeritud faile laiendamisega. XTBL hetkel.

Trooja-ransom.win32.oura ja trooja-ransom.win32.rakhni

Järgmine Trooja, failide krüpteerimine ja selle nimekirja laienemise loomine:

  • .locked
  • .crypto.
  • .Kraken.
  • .Aes256 (mitte tingimata Troyan, on teisi, kes asutavad sama laienemist).
  • [E-posti kaitstud]_Com.
  • .OSHIT.
  • Muu.

Failide dekrüpteerimiseks pärast määratud viiruste toimimist on olemas tasuta Rakhhnidecryptori utiliit, mis on saadaval ametlikul lehel http://support.kaspersky.ru/virused/disinfection/10556.

Selle kasulikkuse kasutamisel on ka üksikasjalik juhendamine, mis näitab, kuidas taastada krüpteeritud failid, millest ma lihtsalt oleksin, eemaldas elemendi "Kustuta krüpteeritud failid pärast edukat dekodeerimist" (kuigi ma arvan, et kõik on hea valikuvõimalus).

Kui teil on dr.Webi viirusetõrje litsents, saate selle ettevõtte tasuta dekodeerimist kasutada leheküljel http://support.drweb.com/new/free_unlocker/

Rohkem valikuid elektriviiruse jaoks

Kergemini, aga ka vastavad järgmistele trojalastele, krüpteerimisfailidele ja nõuda raha dekodeerimiseks raha. Vastavalt ülaltoodud linkidele ei ole failide tagastamiseks ainult kommunaalteenuseid, vaid ka märke kirjeldust, mis aitavad kindlaks määrata, et teil on see konkreetne viirus. Kuigi üldiselt on optimaalne tee: kaspersky viirusetõrje abil skannides süsteemi, teada saada Trooja nime selle ettevõtte klassifikatsiooni ja seejärel otsida selle nimega kasulikkust.

  • TROJAN-RANSOM.WIN32.RECTION - Tasuta rekordekrüptori utiliit dekodeerimiseks ja kasutusjuhendi jaoks Saadaval siin: http://support.kaspersky.ru/virused/disinfection/4264
  • TROJAN-RANSOM.WIN32.xoric on sarnane Trooja, kuvades akna taotluse saata tasulise SMS või võtke ühendust e-kirja, et saada dekodeerimiseks juhiseid. Juhised krüpteeritud failide taastamiseks ja XoristDecryptori utiliidi taastamiseks on see leheküljel http://support.kaspersky.ru/virused/disinfection/2911
  • TROJAN-RANSOM.WIN32.RANNOH, TROJAN-RANSOM.WIN32.FURY - Rannohdecryptorhtp: //support.kaspersky.ru/virused/disinfection/8547
  • Trojan.encoder.858 (XTBL), Trojan.encoder.741 ja teised sama nimega (kui otsides Dr.Web viirusetõrje või Cure IT Utility) ja erinevaid numbreid - proovige otsida Internet nimega Trooja. Sest osa neist on dr.Web, ka dekrüpteerimise kommunaalkulud, kui te ei leidnud kasulikkust, kuid seal on dr.Web litsents, saate kasutada ametlikku lehekülge: //support.drweb.com/new / Free_Unlocker /
  • Cryptolocker - failide dekrüpteerimiseks pärast Cryptolockerit saate kasutada SiteHTTP-d: //decryptcrypticyptolocker.com - pärast faili näite saatmist saate faile peamise ja kasuliku abil.

Noh, viimastest uudistest - Kaspersky Lab koos Madalmaade õiguskaitseametnikest, arenenud lunaraha dekrüptor (http://norandom.kas.kaspersky.com) failide dešifreerimiseks pärast Coinvault, kuid meie laiuskraadis ei leita seda väljapressimist.

Muide, kui äkki selgub, et teil on midagi lisada (sest mul ei ole aega jälgida, mis toimub dekrüpteerimismeetoditega), aruannete aruanne, see teave on kasulik teistele kasutajatele, kes põrkasid probleem.

Tavaliselt on pahavara töö suunatud arvuti kontrollimise saamiseks, kaasa arvatud see Zombie võrgustik või isikuandmete vargus. Taaseisev kasutaja ei pruugi süsteem nakatuda pikka aega. Kuid krüpteerimisviirused, eriti XTBL, töötavad üsna erinevalt. Nad teevad sobimatuid kasutajafaile, krüpteerivad neid kõige keerulisema algoritmiga ja nõuavad suurt summat omanikule teabe taastamiseks.

Probleemi põhjus: XTBL viirus

XTBL viiruse encrypter sai selle nime tõttu asjaolu, et nende poolt krüpteeritud kohandatud dokumendid saavad laiendusi. Ytbl. Tavaliselt jätavad kodeerijad kehas kehas klahvi nii, et universaalne dekooderi programm võib teavet taastada algses vormis. Kuid viirus on mõeldud muudel eesmärkidel, nii et võti asemel on ekraanil ettepanek maksta mõningaid anonüümseid üksikasju.

Kuidas XTBL viiruse töötab

Viirus siseneb arvuti, kasutades nakatunud manustega e-posti kirju, mis esindavad büroo rakenduste faile. Pärast seda, kui kasutaja avas sõnumi sisu, hakkab pahatahtlik programm otsima fotosid, võtmeid, videoid, dokumente jne otsimine ning seejärel originaalse kompleksi algoritmi (hübriidi krüpteerimine) abil muutub need XTBL-ladustamiseks.

Failide salvestamiseks kasutab viirus süsteemi kaustu.

Viirus aitab kaasa autoloadi nimekirjale. Selleks lisab ta sektsioonides Windowsi registris dokumente:

  • HKCU & SOFTWARE Microsoft \\ Windows \\ Worriquension Runronce;
  • HKCU ja tarkvara Microsoft \\ Windows \\ Worriquerversion \\ t
  • HKCU & Microsoft \\ Windows \\ Windowversion \\ t

Nakatunud arvuti töötab stabiilselt, süsteem ei lange "langus", vaid ram pidevalt on väike rakendus (või kaks) arusaamatu nimega. Ja kaustad kasutaja töötavad failid omandavad kummalise välimuse.

Töölaual ekraanisäästja asemel ilmub teade:

Teie failid krüpteeritud. Nende dešifreerimiseks peate koodi saatma e-posti aadressile: [E-posti kaitstud] (edaspidi kood järgib). Pärast seda saate täiendavaid juhiseid. Sõltumatud katsed faile dešifreerida toob kaasa täieliku hävitamise.

Sama tekst sisaldub loodud failide dekrüpteerimise loomisel. E-posti aadress, kood nõutud summa võib erineda.

Üsna tihti mõned petturid teenivad teistele - elektrooniline rahakottide arv väljapressimisvahendid, kes ei ole mingit võimalust dekrüpteerida faile lisatakse viiruse keha. Nii et kajastus kasutaja, saates raha, ei saa midagi vastutasuks.

Miks sa ei maksa väljapressid

Nõustuge koostöös väljapressijatega, on võimatu mitte ainult moraalsete põhimõtete tõttu. See on ebamõistlik ja praktilisest seisukohast.

  • Pettus. Mitte asjaolu, et ründajad saavad teie faile dekrüpteerida. EI ole tõendina ja tagastatakse teile ühe väidetava dekodeeritud fotode - see võib olla just varastatud enne krüpteerimist. Praegune raha läheb kasutamata.
  • Korrata. Kinnitades teie valmisolekut maksta, siis muutute soovitavamaks saagiks uuesti rünnata. Võib-olla on järgmine kord, kui teie failidel on veel üks laiendus ja teine \u200b\u200bsõnum ilmub ekraanisäästja, kuid raha läheb samadele inimestele.
  • Konfidentsiaalsus. Kuigi failid on isegi krüpteeritud, kuid on teie arvutis. Olles kokku lepitud "aus roisto", siis sunnitud saatma need kõik oma isikuandmeid. Algoritm ei näe ette võtit ja sõltumatut dekodeerimist, saatke failid ainult dekoodrile.
  • Arvutiinfektsioon. Teie arvuti on endiselt nakatunud, nii et failide dekrüpteerimine ei ole probleemi täielik lahendus.

    • Kuidas kaitsta süsteemi viirusest

    Universaalsed eeskirjad pahatahtlike programmide eest kaitsmiseks ja kahju minimeerimiseks aitab käesoleval juhul.

  • Juhuslike ühenduste hoidmiseks. Ei ole vaja avada võõras saatjatelt saadud kirju, sealhulgas reklaami ja boonus pakkumisi. Äärmuslikul juhul saate neid lugeda pärast ketta kinnituse säilitamist ja viirusetõrje kontrollimist.
  • Kasuta kaitset. Viirusetõrjeprogrammid täiendab pidevalt pahatahtlike koodide raamatukogusid, nii et Defenderi tegelik versioon ei kaota enamikku arvutit viirustest.
  • Jaotage juurdepääs. Viirus põhjustab palju kahju, kui administraatori konto siseneb. Parem on kasutaja nimel töötada, vähendades seeläbi infektsioonivõimalust dramaatiliselt.
  • Loo varukoopiad. Olulist teavet tuleb regulaarselt kopeerida arvutist eraldi salvestatud välisele meediale. Samuti me ei tohiks unustada luua Backup Windows Recovery Points.

    • Kas on võimalik krüpteeritud teavet taastada

    Hea uudis: Taasta andmed on võimalik. Halb: see pole võimalik seda ise teha. Selle põhjuseks on krüpteerimisalgoritmi omadus, mis on valiku võtme valik, mis nõuab palju rohkem ressursse ja kogunenud teadmisi kui tavaline kasutaja. Õnneks peavad viirusetõrje arendajad seda austama iga pahatahtliku programmiga tegelema, nii et isegi kui nad ei suuda oma krüpteeriga toime tulla, leiavad kindlasti lahenduse. Me peame olema kannatlik.

    Spetsialistide pöördumise vajaduse tõttu muutub algoritm nakatunud arvutiga töötamise algoritm. Üldine reegel: Mida vähem muudatusi, seda parem. Antivirused määravad pahatahtliku programmi "üldiste märke" ravimeetodi, nii nakatunud failid neile on oluline teabeallikas. Sa pead need kustutama alles pärast peamise probleemi lahendamist.

    Teine reegel: viiruse katkestamiseks igal kulul. Võib-olla ei ole ta veel kogu teavet veel rikutud ja ka jäi ka RAM-i jälgi, millega saate selle määratleda. Seetõttu peate arvuti võrgust välja lülitama ja lülitage sülearvuti pikk, vajutades toitenuppu. Seekord ei sobi standard "ettevaatlik" sulgemismenetlus võimalus täita kõik protsessid õigesti, kuna üks neist on teie teabe kodeerimine.

    Me taastame krüpteeritud faile

    Kui teil õnnestub arvuti välja lülitada

    Kui teil on aega arvuti välja lülitada enne, kui krüpteerimisprotsess on lõpetatud, ei ole vaja seda ise lisada. Kandke "patsient" kohe spetsialistidele, katkestab katkestatud kodeerimine oluliselt isiklike failide salvestamise võimalusi. Siin saate oma meedia turvaliselt kontrollida ja varundada backup koopiaid. Suure tõenäosusega on viirus ise teada, nii et see ravi on edukas.

    Kui krüpteerimine lõppes

    Kahjuks on krüpteerimisprotsessi eduka katkemise tõenäosus väga väike. Tavaliselt on viirus aega kodeerida faile ja eemaldada tarbetu jälgi arvutist. Ja nüüd on teil kaks probleemi: Windows on endiselt nakatunud ja isiklikud failid on muutunud tähemärkideks. Teise ülesande lahendamiseks peate kasutama viirusetõrje tarkvara tootjate abi.

    Dr.Web.

    Dr.Web laboratoorium pakub oma teenuseid dekrüpteerimiseks tasuta ainult ärilubade omanikud. Teisisõnu, kui te ei ole nende klient, kuid soovite oma faile taastada, peate ostma programmi. Arvestades olukorda, on see vajalik investeering.

    Järgmine samm on suunata tootja veebisaidile ja sisendvormi täitmisele.

    Kui krüpteeritud failide hulgas on sellised koopiad, mis säilitatakse välismeedias, hõlbustab nende ülekanne oluliselt dekoodrite toimimist.

    Kaspersky

    Kaspersky Lab on välja töötanud oma dekrüpteerimise utiliit nimega Rolldekryptor, mida saab alla laadida ettevõtte ametliku veebisaidilt arvutisse.

    Operatsioonisüsteemi iga versioon, sealhulgas Windows 7 versioon, pakub selle kasulikkust. Pärast selle allalaadimist klõpsake ekraani nupul "Start Check".

    Teenuste teenused võivad mõnda aega edasi lükata, kui viirus on suhteliselt uus. Sellisel juhul saadab ettevõte tavaliselt asjakohase teate. Mõnikord dekodeerimine on võimeline hõivamiseks mitu kuud.

    Muud teenused

    Sarnaste funktsioonidega teenused on üha enam muutumas, mis räägib dekrüpteerimise nõudlusest. Algoritm on sama: läheme saidile (näiteks https://decryptcrypticrocker.com/), registreerige ja saatke krüpteeritud fail.

    Decifrancy programmid

    Ettepanekud "Universaalsed dekoodrid" (muidugi, makstud) võrgus palju, aga kasu nende on kaheldav. Muidugi, kui viiruse tootjad ise kirjutavad dekoodri, töötab see edukalt, kuid sama programm on kasutu teise pahatahtliku rakenduse jaoks. Lisaks spetsialistid, kes regulaarselt esinenud viiruste tavaliselt on täielik pakett vajalikud kommunaalteenused, nii et kõik tööprogrammid on suure tõenäosusega. Sellise dekoodri ostmine on tõenäoliselt raha raiskamine.

    Kuidas dekrüpteerida faile Kaspersky Lab - Video abil

    Teabe sõltumatu taastumine

    Kui mingil põhjusel on võimatu pöörduda kolmanda osapoole spetsialistide poole, võite proovida taastada teavet omaette. Me tühistame, et ebaõnnestumise korral võivad failid lõpuks kaotada.

    Remote failide taastamine

    Pärast krüpteerimist kustutab viirus lähtefailide. Kuid Windows 7 salvestab kõik kaugjulgesid nn vari koopia kujul.

    ShadowExplorer

    ShadowExplorer on kasulikkus, mis on mõeldud failide taastamiseks nende vari koopiatest.

  • Paigaldada, minna arendaja veebisaidile ja alla laadida arhiiv, pärast lahtipakkimist, mida käivitatav moodul salvestatakse sama nimega ShadowExploreRable kausta. Kiire käivitamiseks ilmub töölaual otsetee.
  • Lisaks kõik tegevused intuitiivsed. Käivita programm ja vasaknas aknas ülaosas valige plaat, millele andmed salvestatakse, ja vari koopia loomise kuupäev. Teil on vaja viimast kuupäeva.
  • Nüüd leiate partitsiooni, milles töötavad toimimisfailid ja klõpsa paremale klõpsata. Kirjeldatud kontekstimenüüst valige Export, seejärel täpsustage taastatud failide salvestamise viis. Programm leiab kõik saadaval olevad vari koopiad selles kaustas ja ekspordib neid kavatsevad.

    • Fotorec.

    Tasuta Photorec Utility töötab samal põhimõttel, kuid partiirežiimis.

  • Laadige arhiiv Arendaja sait ja pakkige see kettale lahti. Käivitavat faili nimetatakse QPhotorec_winiks.
  • Pärast dialoogiboksi rakenduse käivitamist kuvatakse kõigi olemasolevate kettaseadmete loend. Vali, et krüpteeritud failid salvestatakse ja täpsustage taastatud koopiate salvestamise tee.

    Salvestamiseks on parem kasutada välist meediat, näiteks USB-mälupulgal, sest iga kanne kettale on vari koopiate ohtlik kustutamine.

  • Vajalike kataloogide valimisel klõpsa nupule failivorminguid.
  • Lõpetatud menüü on failitüüpide loetelu, mida rakendus võib taastada. Vaikimisi vastas on märgitud märk, kuid töö kiirendamiseks on võimalik võtta täiendavaid "linde", jättes ainult failide vastavad failid taastatud. Pärast lõpetamist klõpsake nuppu OK.
  • Pärast valiku lõppu muutub otsinguekraani nupp saadaval. Klõpsake seda. Taastamismenetlus on aeganõudev protsess, nii et olge kannatlik.
  • Olles oodanud protsessi lõpuleviimist, vajutage QUIT ekraani nuppu ja väljuge programmist.
  • Taastatud failid paigutatakse eelnevalt kindlaksmääratud kataloogi ja lagunevad samade nimedega kaustade poolt Recup_Dir.1, recup_dir.2, recup_dir.3 ja nii edasi. Vaadake järjekindlalt iga ja naaske neile samade nimede jaoks.

    • Viiruse eemaldamine

    Kuna viirus tabas arvutit, ei toimetanud paigaldatud kaitseprogrammid nende ülesande täitmisega. Võite proovida kasutada kolmanda osapoole abi.

    Oluline! Viiruse eemaldamine kohtleb arvutit, kuid ei taasta krüpteeritud faile. Lisaks võib uue tarkvara paigaldamine kahjustada või kustutada nende taastumiseks vajalike failide varjude koopiad. Seetõttu on parem paigaldada rakenduste teistele kettadele.

    Kaspersky viiruse eemaldamise tööriist

    Vaba programmi tuntud Antivirus tarkvara arendaja, mida saab alla laadida Kaspersky Labi veebilehel. Pärast Kaspersky viiruse eemaldamise tööriista käivitamist pakub kohe kontrollimise alustamist.

    Pärast suure ekraani nupu "Start Check" vajutamist käivitab programm arvuti skaneerimist.

    See jääb ootama skaneerimise lõppu ja eemaldage leitud vastuvõetavad külalised.

    Malwarebytes Anti-Malware

    Teine viirusetõrjetarkvara arendaja, mis pakub skanneri tasuta versiooni. Algoritmi tegevus on sama:

  • Laadige alla tootja ametlikust lehest, Malwarebytesi paigaldusfaili Anti-Malware'ile, pärast seda, kui käivitate installiprogrammi, vastates küsimustele ja klõpsates nuppu "Järgmine".
  • Peaaken teeb ettepaneku kohe uuendada programmi (kasulik protseduur, värskendav andmebaasi viiruste). Pärast seda käivitage skannimine, klõpsates sobivat nuppu.
  • Malwarebytes Anti-Malware järk-järgult skaneerib süsteemi, et kuvada vahe-töö tulemused.
  • Lõplikus aknas on näidatud viirused, sealhulgas krüpterid. Vabane neist vajutades "Kustuta valitud" nuppu.

    Mõnede pahavararakenduste eemaldamiseks pakuvad Malwarebytes Anti-Malware System, peate sellega nõustuma. Pärast Windowsi jätkamist jätkab viirusetõrje puhastamist.

    • Mida ei tohiks teha

    XTBL viirus nagu teised krüpteerimisviirused, kahjustab süsteemi ja kasutajaandmeid. Seetõttu tuleks jälgida võimalikke kahjustusi, mõned ettevaatusabinõud tuleb järgida:

    1. Ärge oodake krüpteerimise lõppu. Kui faili krüpteerimine on oma silmis alustanud, ei tohiks te oodata kõike lõpetada või proovida protsessi katkestada tarkvara abil. Katkestage kohe arvuti võimsus ja helistage spetsialistidele.
    2. Ärge püüdke viirust ise eemaldada, kui suudate spetsialistide usaldada.
    3. Ärge installige süsteemi uuesti enne ravi lõppu uuesti. Viirus nakatab uue süsteemi turvaliselt.
    4. Ärge ümbernimetage krüpteeritud faile. See raskendab ainult dekoodri tööd.
    5. Ärge püüdke lugeda nakatunud faile teises arvutis, kuni viirus on eemaldatud. See võib põhjustada nakkuse levikut.
    6. Ära maksa väljapressid. See on kasutu ja julgustab viiruste ja petturite loojaid.
    7. Ära unusta ennetamist. Antivirus, regulaarne varukoopia paigaldamine, vähendab taastumispunktide loomine oluliselt pahatahtlike programmide võimalikke kahjustusi.

    Viirusega nakatunud arvuti ravi on pikk ja mitte alati edukas menetlus. Seetõttu on nii oluline järgida ettevaatusabinõusid võrgustiku teabe saamisel ja töötamata jätmise väliste kandjatega.

    - See on pahatahtlik programm, mis oma aktiveerimisega krüpteerida kõik isiklikud failid, näiteks dokumendid, fotod jne. Samasuguste programmide arv on väga suur ja see suureneb iga päev. Alles hiljuti seisame silmitsi kümnete valikutega CIPHER: Cryptolocker, Crypt0L0L0CKER, Alpha Crypt, Teslakrypt, Coinvault, Bit Crypt, CTB-kapp, Torrentlocker, Hydracrypt, Better_Call_saul, Critt, .Da_vinci_code, Toste, FFF jne. Eesmärgiks selliste krüpteerija viiruste sundida kasutajaid osta, sageli suur hulk raha, programmi ja võti pead dekrüpteerida oma faile.

    Muidugi saate krüpteeritud faile taastada lihtsalt järgides juhiseid, mida viiruse loojad jätavad saastunud arvutisse. Kuid kõige sagedamini on dekrüpteerimise hind väga oluline, peate ka teadma krüpteerimisviiruserite osa, et krüptida faile, et see on lihtsalt võimatu neid dekrüpteerida. Ja muidugi on lihtsalt ebameeldiv maksma oma failide taastamise eest.

    Allpool kirjeldame üksikasjalikumalt krüpteerimisviiruste kohta, kuidas jõuda ohvri ohvrile tungida, samuti eemaldada viiruse-krüpteerimine ja taastada need failid krüpteeritud.

    Viiruse encrypter tungib arvuti

    Krüpteerimisviirus jaotatakse tavaliselt e-posti teel. Kiri sisaldab nakatunud dokumente. Sellised tähed saadetakse tohutu andmebaas e-posti aadresside. Selle viiruse autorid kasutavad eksiarvamusi pealkirjade ja kirjade sisu, püüdes teha pettust, et avada kirjas investeerinud dokument. Osa kirjadest Teave vajadust maksta konto, teised pakuvad näha värske hinnakirja, teised avavad lõbusat fotot jne. Igal juhul on lisatud faili avamise tulemus viiruse-kiirkronüüpiga arvutiinfektsioon.

    Mis on viiruse kiirklahv

    Viiruse krüpteerimine on pahatahtlik programm, mis mõjutab Windowsi perekond operatsioonisüsteemide kaasaegseid versioone, nagu Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Need viirused püüavad kasutada näiteks resistentsete krüpteerimisrežiimi, näiteks RSA-2048 Võtme pikkus on 2048 bitti, mis praktiliselt kõrvaldab võimaluse valida klahvi sõltumatult dekrüpteerida faile.

    Arvutiga nakatumise ajal kasutab viiruse encrypter oma failide salvestamiseks% appData% süsteemi kataloogi. Et automaatselt käivitada arvuti võimaldab luua kande Windowsi register: sektsioonid HKCU & Microsoft \\ Windows \\ Worriversion \\ t Windows \\ nurkversioon Run, HKCU & Microsoft \\ Windows \\ Worriquersion \\ t

    Vahetult pärast käivitamist skaneerib viirus kõik kättesaadavad kettad, kaasa arvatud võrgu- ja pilveladus, et määrata krüpteeritud failid. Krüpteerimisviirus kasutab failinime laiendus meetodina krüpteeritud failide rühma määratlemiseks. Peaaegu kõik failid on krüpteeritud, kaasa arvatud need, mis on ühised, nagu:

    0 \\ t1, .1st, .3bp, .3dm, .3ds, .SQL, .mp4, 0,7z, .rar, .m4a, .wma, .vi, .wmv, .csv, .d3dbsp, .zip, .Sie, .Sum, .ibank, .T13, .t12, .qdf, .gdb, .tax, .bs ,.bc6, .bc7, .bkp, .qic, .bcf, .sidn, .sidd, .mdata , .ITL, .TDB, .ICXS, .HVPL, .HPLG, .hkdb, .mdbackup, .yncdb ,.gho, .cas, .svg,. \\ tWMO, .TM, .SB,. mov, .vdf, .ztmp, .sis, .NCF, .MENU, .Layout, .dmp, .blob, .eesm, .vcf, .VTF, .Dazip, .fpk, .mlx, .kf, .iwd, .vpk, .mpk, .rim, .w3x, .fsh, .ntl, .rhh00, .lvl, .snx, .cfr, .ff, .vpp_pc, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .Sast, .LT, .LTX,. APK ,.RE4, .SAV, .LBF, .slm, .Pik, .epk, .rg, rahakott, .wotreplay, .xxx, .Desc, .py, .m3u,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .12, .pfx, .pem, .crT, .cer, .cer, .x3f, .SRW, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .Raf, Oorf, .nr, .mrwref, .MEF, .ERF ,KDC, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .PDF, PDD, .PDD, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg ,.pst, .cdb , .MDB ,.PPTM, .PPTX, .ppt, .xlk, .xlsb, .xls, .xlsb, .xls, .docm, .docx, .doc, .dc, .odm ,. ODP, .ODS, .ODS, .WAV ,WBC ,.WBD, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .wire ,. .wm, .wMD, .wmd, .wmf, .wmv, .wn ,.wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpg, .wpg .wpl, .wps ,.WPT, .wpw, .WRI, .ws, .wsc, .wSD, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xb ,. XDL, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .x,. .yal, .ybk, .yml, .yp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zi

    Kohe pärast faili krüpteeritud, saab ta uue laienduse, mis on sageli võimeline identifitseerima nime või tüüpi elektrija. Mõned nende pahatahtlike programmide liigid võivad muuta ka krüpteeritud failide nimesid. Viirus loob seejärel teksti dokumendi nimedega nagu help_your_files, Readme, mis sisaldab juhiseid dešifreerimise krüpteeritud faile.

    Oma töö ajal püüab viirus krüpteerimisnõunik sulgeda võime taastada faile SVC-süsteemi abil (failide vari koopiad). Selleks kõned käsurežiimis viirus variide koopiate kasulikuks võtmefailidele, et alustada nende täieliku eemaldamise protseduuri. Seega, peaaegu alati, on võimatu faile taastada nende vari eksemplari abil.

    Viiruse krüpteerimine kasutab aktiivselt hirmutamise taktikat, andes ohverdamise krüpteerimisalgoritmi kirjelduse kirjeldusele ja näidates töölaua ähvardavat sõnumit. Ta püüab sundida kasutaja nakatunud arvuti ilma mõtlemata, saatke arvuti ID e-posti aadressile viiruse, püüda oma faile tagasi saata. Vastus sellisele sõnumile on kõige sagedamini lunastamise summa ja elektroonilise rahakoti aadress.

    Minu arvuti on nakatunud viirusega-encrypter?

    Arvuti määramine on nakatunud või viirusetõrje ei ole üsna lihtne. Pöörake tähelepanu oma isiklike failide laiendamisele, näiteks dokumendid, fotod, muusika jne. Kui laiendus on muutunud või teie isiklikud failid kadunud, jättes paljude tundmatute nimedega faile maha, siis arvuti on nakatunud. Lisaks märk nakkuse on olemasolu faili nimi help_your_files või readme oma kataloogides. See fail sisaldab faile dekodeerimisjuhiseid.

    Kui te kahtlustate, et olete avastanud viirusega nakatunud kirja, kuid ei ole veel nakkuse sümptomeid, siis ärge lülitage välja ja ärge taaskäivitage arvuti. Järgige käesolevas juhendis kirjeldatud samme, sektsiooni. Ma kordan veel kord, see on väga oluline mitte välja lülitada arvuti, teatud tüüpi krüpteerimisseadmete protsess krüpteerimisfailide aktiveeritakse, kui esimene, pärast nakatamist lülitage arvuti sisse!

    Kuidas dekrüpteerida viirus-encrypter'i krüpteeritud faile?

    Kui see probleem juhtus, siis te ei pea paanikat! Aga sa pead teadma, et enamikul juhtudel ei ole tasuta dekooderit. Sarnaselt sellistele pahatahtlikele programmidele kasutatavatele püsivatele krüpteerimisalgoritmetele. See tähendab ilma isikliku võtmeta failide dešifreerimiseks on peaaegu võimatu. Kasutage ka võtme valikumeetodi ei tooda ka pika võtme pikkuse tõttu. Seega kahjuks ainult makse autorid viiruse kogu taotletud summa on ainus võimalus saada dekrüpteerimise võti.

    Muidugi ei ole mingit garantiid, et pärast makse saamist viiruse autorid tulevad suhtlemiseks ja võtme tagamiseks vajalike failide dekrüpteerimiseks. Lisaks peate mõistma, et raha maksta viirustele arendajatele, surute neid uute viiruste loomiseks.

    Kuidas eemaldada viirus Encrypter?

    Enne selle jätkamist peate teadma, et viiruse eemaldamine ja proovida faile iseseisvalt taastada, blokeerite faile dekrüpteerimise võime, makstes nende poolt taotletud viiruse autorid.

    Kaspersky viiruse eemaldamise tööriist ja Malwarebytes Anti-Malware suudab tuvastada erinevaid aktiivseid krüpteerimisviirusi ja neid lihtsalt arvutist kustutada, kuid nad ei saa krüpteeritud faile taastada.

    5.1. Eemaldage viiruse kiirklahv Kaspersky viiruse eemaldamise tööriista abil

    Vaikimisi on programm konfigureeritud taastada kõik tüüpi failid, kuid töö kiirendamiseks on soovitatav jätta ainult failide liigid, mida peate taastama. Pärast valiku lõpetamist klõpsake nuppu OK.

    QPhotoreci programmi akna allosas leida sirvimisnupp ja klõpsake seda. Te peate valima kataloogi, milles taastatud failid salvestatakse. Soovitatav on kasutada plaati, millel ei ole krüpteeritud faile taastumist nõudvatele failidele (saate kasutada USB-mälupulka või välise ketta).

    Otsingumenetluse alustamiseks ja krüpteeritud failide taastamise allikate taastamiseks klõpsake nuppu Otsi. See protsess kestab üsna pikka aega, nii et võtke kannatlikkust.

    Kui otsing on möödas, klõpsake nuppu Lõpeta. Nüüd avage taastatud failide salvestamiseks valitud kaust.

    Kaust sisaldab katalooge koos nimedega Recup_Dir.1, Recup_Dir.2, Recup_Dir.3 ja nii edasi. Mida rohkem faile leiate programmi, seda rohkem kataloogi on. Vajalike failide otsimiseks kontrollige kõiki katalooge. Et hõlbustada otsida faili vajate seas suur hulk taastunud, kasutage sisseehitatud Windowsi otsingusüsteemi (faili sisu), samuti unustada faili sorteerimine funktsiooni kataloogides. Sorteeri parameetri kujul saate valida faili muutmise kuupäeva, kuna QPhotoreci taastumisel faili taastub selle vara taastamisel.

    Kuidas vältida arvutitefektsiooni viiruse-ventilatsiooni?

    Enamik kaasaegsem viirusetõrje programmid on juba sisseehitatud kaitsesüsteem kaitsmise vastu ja aktiveerides krüpteerimisviiruste. Seega, kui teie arvutis ei ole viirusetõrje programmi, siis installige see. Kuidas valida selle lugemiseks.

    Lisaks on spetsialiseerunud kaitseprogrammid. Näiteks on see krüptoprevent, rohkem.

    Mitmed viimased sõnad

    Selle juhendi lõpuleviimisega puhastatakse arvuti krüpteeri viirusest. Kui teil on küsimusi või vajate abi, siis võtke meiega ühendust.

    Tähelepanu! Ettevõte ESET. See hoiatab, et hiljuti suurenenud tegevuse ja ähmase võrgustiku nakatumise oht, mille tagajärjed on: \\ t

    1) konfidentsiaalse teabe ja failide krüpteerimine, sealhulgas andmebaasid 1c., dokumendid, pildid. Krüpteeritud failide tüüp sõltub kodeerija konkreetsest muutmisest. Krüpteerimisprotsess viiakse läbi vastavalt komplekssete algoritme ja iga juhtumi puhul esineb krüpteerimine vastavalt teatud mustrile. Seega on krüpteeritud andmed raske taastada.

    2) Mõnel juhul pärast pahatahtlike toimingute tegemist eemaldatakse kodeerija automaatselt arvutist, mistõttu on dekooderi valiku valimine raske.

    Pärast pahatahtlike toimingute tegemist ilmub nakatunud arvuti ekraanile aken. Teie failid on krüpteeritud", Samuti dekoodri saamiseks vajalikud väljapressimisnõuded.

    2) Kasutage viirusetõrjelahuseid sisseehitatud tulemüüri mooduliga ( ESET NOD32 Smart Security) vähendada ründaja haavatavust kasutamise tõenäosust RDP. Isegi kui puuduvad vajalikud operatsioonisüsteemi uuendused. Soovitatav on võimaldada laiendatud heuristika käivitada käivitatavaid faile. (Täiendavad seaded (F5) - Arvuti - kaitse viiruste ja nuhkvara kaitse eest reaalajas - täiendavaid seadeid. Lisaks sellele kontrollige, kas ESET Live Grid on lubatud (Täpsemad seaded (F5) - Utilities - ESET Live Grid).

    3) e-posti serveris keelata käivitatavate failide vastuvõtt ja edastamine * .exe., sama hästi kui * .js.Kuna sageli kodeerijad saadetakse ründajad investeeringu kujul väljamõeldud teabega e-kirjas võla sissenõudmise, selle ja muu sarnase sisu kohta, mis võib julgustada kasutajat avama pahatahtliku kinnituse ründaja kirjast ja käivitades seeläbi a kodeerija.

    4) keelata makrod kõigis rakendustes, mis kuuluvad osa Microsoft Office.või sarnane kolmanda osapoole tootjad. Macros võib sisaldada käsku allalaadimiseks ja teostamiseks pahatahtliku koodi, mis töötab dokumendi tellimisel (näiteks dokumendi avamine pealkirjaga " Võlgade koondamise teatamine.doc"Ründajate kirjadest võivad põhjustada süsteemi infektsiooni isegi siis, kui server vastamata pahatahtliku manusega käivitatava kodeerija failiga, tingimusel et te ei keelanud makrosid kontoriprogrammide seadistamises).

    5) Tehke regulaarselt Varukoopia. (Varukoopia) Oluline teave salvestatud arvutisse. Alustades OS-i Windows Vista. Operatsioonisüsteemide koosseisus Aknad Süsteemi kaitse teenus kõigil kettadel, mis loob faile ja kaustade varukoopiaid arhiveerimise või süsteemi taastamise punkti loomise ajal. Vaikimisi on see teenus lubatud ainult süsteemi partitsiooni jaoks. Soovitatav on võimaldada see funktsioon kõigi osade jaoks.

    Mis siis, kui nakkus on juba juhtunud?

    Juhul kui olete muutunud ründajate ohvriks ja teie failid on krüpteeritud, ärge kiirustage raha dekooderi valiku jaoks raha ülekandmiseks. Tingimusel, et olete meie klient, Konsulteerige tehnilise toega, võib-olla suudame teie juhtumi jaoks dekooderit kätte saada või selline dekooder juba olemas. Selleks lisage arhiivile kodeerija proovi ja muud kahtlased failid, kui need on olemas ja saatke see arhiiv meile. Pange ka arhiividesse krüpteeritud failide proovid. Kommentaarides märkida asjaolud, milles nakkuse tekkis, samuti teie litsentseeritud andmed ja võta ühendust e-posti teel Tagasiside eest.

    Võite proovida taastada originaal, mitte krüpteeritud versioon faile vari eksemplari, tingimusel, et see funktsioon on sisse lülitatud ja kui vari koopiad ei kahjustanud viiruse konkretär. Lisateave selle kohta:

    Lisateabe saamiseks võtke ühendust.

    Kui süsteem on nakatunud pahatahtliku programmiga Trooja-Ransom.Win32.Rannoh, Trojan-Ransom.win32.autoit, Trojan-Ransom.win32.fury, Trojan-Ransom.Win32.CRYOLA, TROJAN-RANSOM.WIN32. Crasekl või Trooja-Ransom. Win32.Cryptxxx, kõik arvuti failid krüpteeritakse järgmiselt:

    • Kui nakatub Trojan-Ransom.win32.rannoh, nimed ja laiendused muutuvad lukustatud mall<оригинальное_имя>.<4 произвольных буквы>.
    • Trooja-Ransom.Win32.CRYAKL nakatumisel lisatakse failide sisu lõppu märgis.
    • Kui nakatub Trojan-Ransom.Win32.autoit laiendus mallist<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
      Näiteks, [E-posti kaitstud]_.Rzwdtdic.
    • Kui nakatub Trojan-Ransom.win32.CRYPTXXX, laiendus varieerub malle<оригинальное_имя>.crypt,<оригинальное_имя>.CRYPZ I.<оригинальное_имя>.CRYP1.

    Rannohdekonptori utiliit on mõeldud failide dekrüpteerimiseks pärast infektsiooni trooja-ransom.win32.polyglot, trooja-ransom.win32.rannoh, trooja-ransom.win32.autoit, trooja-ransom.win32.fury, troojan-ransom.win32.crybola, \\ t Trooja ransom.win32.cryakl või trooja-ransom.win32.cryptxxx versioonid 1, 2 ja 3.

    Kuidas süsteemi ravida

    Nakatunud süsteemi ravimiseks:

    1. Laadige alla Rannohdecryptor.zip faili.
    2. Käivita rannohdecryptor.exe faili nakatunud masinat.
    3. Klõpsake peaaknas klõpsake Alustada kontrolli.
    1. Määrake krüpteeritud ja krüpteerimata faili tee.
      Kui fail on krüpteeritud trooja-ransom.win32.cryptxxx, täpsustage suurimad failid. Dekodeerimine on saadaval ainult võrdsete või väiksemate failide jaoks.
    2. Oodake otsingu ja dekrüpteerimise krüpteeritud faile.
    3. Vajadusel taaskäivitage arvuti.
    4. pärast lukustamist<оригинальное_имя>.<4 произвольных буквы>Eduka dekrüpteerimisvaate krüpteeritud failide koopiate kustutamiseks valige.

    Kui fail krüpteeris trooja-ransom.win32.cryakl, salvestab utiliidi faili laiendiga vanasse kohta. Dekrüpterklr. Originaal_exing. Kui olete valinud Kustutage krüpteeritud failid pärast edukat dekrüpteerimistTray-fail salvestatakse algse nimega kasuliku kasuliku abil.

    1. Vaikimisi näitab Utility aruande süsteemi ketta juurele (ketas, millel operatsioonisüsteem on paigaldatud).

      Aruande nimi on järgmine vorm: Nimi nimed. Device_data_log.txt

      Näiteks C: rannohdekonptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    Trojan-Ransom.Win32.CRYPTXXX nakatunud süsteemis skaneerib kommunaalteenus piiratud arv failivorminguid. Kui kasutaja valib kasutaja Cryptxxx V2-fail, võib võtme taastumine võtta kaua aega. Sellisel juhul näitab utiliit hoiatus.