NO_MORE_RANSOM - cum să decriptați fișierele criptate? Decriptor Better_call_saul: cum să decriptați fișierele infectate cu viruși Decriptarea RSA 3072 fără o cheie

O familie de troieni ransomware care criptează fișierele și le adaugă extensiile „.xtbl” și „.ytbl” a apărut la sfârșitul anului 2014 – începutul anului 2015 și a ocupat destul de repede o poziție stabilă printre cei mai obișnuiți trei criptori din Rusia ( împreună cu şi). Conform clasificării Kaspersky Lab, această amenințare a primit verdictul Trojan-Ransom.Win32.Shade. Numele „autorului” al acestui ransomware este necunoscut; alte companii de antivirus îl detectează sub numele Trojan.Encoder.858, Ransom:Win32/Troldesh.

Nu există practic nicio evoluție a troianului: doar formatul numelui fișierului criptat, adresele C&C și setul de chei RSA.

Cunoaștem două modalități principale de a livra acest malware pe computerul unei victime: mesajele spam și kiturile de exploatare (în special, Nuclear EK).

În primul caz, victima primește un e-mail care conține un fișier executabil rău intenționat. Sistemul se infectează după o încercare de a deschide atașamentul. Când Trojan-Ransom.Win32.Shade a fost distribuit, au fost folosite următoarele nume de fișiere:

  • doc_dlea podpisi.com
  • doc_dlea podpisi.rar
  • documenti_589965465_documenti.com
  • documenti_589965465_documenti.rar
  • documenti_589965465_doc.scr
  • doc_dlea podpisi.rar
  • neverificat 308853.scr
  • documente dlea podpisi 08/05/2015.scr.exe
  • akt sverki za 17082015.scr

Rețineți că numele fișierului se schimbă cu fiecare val de distribuție și opțiuni posibile nu se limitează la cele enumerate mai sus.

A doua metodă de distribuire (kit de exploatare) este mai periculoasă deoarece infecția are loc fără interacțiunea utilizatorului atunci când victima vizitează un site web compromis. Acesta poate fi fie site-ul web al atacatorului, fie o resursă complet legală, dar piratată. Cel mai adesea, utilizatorul nu știe că site-ul prezintă vreun pericol. Cod rău intenționat pe un site web exploatează o vulnerabilitate a browserului sau a pluginurilor acestuia, după care troianul țintă este instalat în sistem în modul stealth. În acest caz, spre deosebire de un e-mail spam, victima nici măcar nu este obligată să ruleze fișierul executabil.

Odată ce Trojan-Ransom.Win32.Shade a intrat în sistem, se conectează la C&C situat în Rețele Tor, raportează o infecție și solicită o cheie publică RSA-3072, pe care o folosește ulterior pentru a cripta fișierele (vom vedea cum mai jos). Dacă brusc conexiunea nu a putut fi stabilită, malware-ul selectează una dintre cele 100 de chei publice conținute în corpul său doar pentru un astfel de caz.

Troianul continuă apoi să cripteze fișierele. Când caută obiecte de criptare, folosește lista statică de extensii afișată în captură de ecran.

Când criptarea este completă, pe desktop este instalată o imagine înfricoșătoare:

Malware-ul lasă cereri de răscumpărare în fișierele README1.txt, ..., README10.txt. Conținutul lor are întotdeauna aceeași formă:

Cu toate acestea, spre deosebire de majoritatea altor ransomware, Trojan-Ransom.Win32.Shade nu se oprește aici. Nu își încheie procesul, ci începe o buclă nesfârșită în care solicită o listă de adrese malware de la C&C, apoi descarcă și instalează acest software pe sistem - această funcționalitate este tipică pentru roboții de descărcare. Am identificat cazuri de descărcare a reprezentanților următoarelor familii:

  • Trojan.Win32.CMSBrute (vom vorbi despre el mai detaliat mai jos).
  • Trojan.Win32.Muref
  • Trojan.Win32.Kovter
  • Trojan-Downloader.Win32.Zemot

Descărcați și așteptați codul ciclului:

În acest sens, este foarte important să efectuați o scanare antivirus completă a computerului dvs. dacă este detectat ransomware-ul Shade (sau rezultatele muncii sale - fișiere cu extensiile .xtbl, .ytbl). Dacă tratamentul nu este efectuat, există o probabilitate mare ca sistemul să rămână infectat cu mai multe programe malware diferite descărcate de acest ransomware.

Caracteristici comune ale familiei de troieni Shade

  • Fiecare eșantion conține adresa unui server C&C; în total, adresele a 10 servere C&C au fost găsite în mostre diferite, dintre care 8 sunt active în prezent. Toate serverele sunt situate în rețeaua Tor.
  • Înainte de a vă instala tapetul, acesta salvează vechiul tapet în registru.
  • De obicei, ambalat cu UPX și un pachet suplimentar, are o dimensiune de 1817 KB când este despachetat.
  • Pe computerul infectat, creează 10 fișiere identice README1.txt, ... README10.txt cu cereri de răscumpărare în rusă și engleză.
  • Pentru a cripta conținutul fiecărui fișier și numele fiecărui fișier, este generată o cheie AES unică de 256 de biți, criptarea este efectuată în modul CBC cu un vector de semințe zero.
  • Conține 100 de chei publice RSA-3072 cu un exponent public de 65537 (în total, 300 de chei publice diferite au fost descoperite în mostre diferite).
  • Are funcționalitatea de a descărca și rula malware.

Schema criptografică

Generarea ID-ului unui computer infectat

  1. Troianul obține numele computerului (comp_name) folosind funcția API GetComputerName și numărul de procesoare (num_cpu) folosind funcția API GetSystemInfo;
  2. bazat număr de serie volumul sistemului calculează o constantă de 32 de biți și se convertește într-un șir hexadecimal (vol_const);
  3. primește informații despre versiunea sistemului de operare (os_version), separate prin caracterul „;”. (de exemplu, „5;1;2600;1;Service Pack 3”);
  4. generează șirul comp_name num_cpu vol_const os_version;
  5. calculează MD5 din acest șir;
  6. convertește un hash MD5 într-un șir hexadecimal și ia primele 20 de caractere din acesta. Rezultatul rezultat este folosit ca id computer.

Obținerea datelor cheie

După generarea ID-ului, se încearcă să se conecteze la serverul C&C situat în rețeaua Tor, să îi trimită id-ul computerului și să primească o cheie RSA publică ca răspuns. Dacă nu reușește, una dintre cele 100 de chei RSA publice conectate în troian este selectată.

Criptarea fișierelor

Algoritmul AES-256 în modul CBC este utilizat pentru a cripta fișierele. Pentru fiecare fișier criptat, sunt generate două chei aleatoare AES de 256 de biți: una este folosită pentru a cripta conținutul fișierului, a doua este folosită pentru a cripta numele fișierului. Aceste chei sunt plasate în structura serviciului key_data, care ea însăși este criptată cu cheia RSA selectată (ocupă 384 de octeți după criptare) și este plasată la sfârșitul fișierului criptat:

În sintaxa limbajului C această structură se poate scrie astfel:

Troianul încearcă să redenumească fișierul codificat, alegând rezultatul calculului ca nou nume Base64(AES_encrypt(nume fișier original)).xtbl(De exemplu, ArSxrr+acw970LFQw.xtbl), iar dacă nu reușește, pur și simplu adaugă extensia .ytbl la numele fișierului original. În versiunile ulterioare, id-ul computerului infectat a fost adăugat înaintea extensiei .xtbl, de exemplu: ArSxrr+acw970LFQw.043C17E72A1E91C6AE29.xtbl.

Corpul troianului conține adresa unui server C&C. Serverele în sine sunt situate în rețeaua Tor, iar comunicarea cu acestea se realizează folosind un client Tor legat static la troian.

    Solicitarea unei noi chei publice RSA:
    OBȚINE http:// .ceapa/reg.php?i= ID&b= construi&v= versiune&ss= etapă
    ID– identificatorul calculatorului infectat;
    construi– identificatorul unui eșantion specific de malware;
    versiune– versiunea malware-ului, au fost întâlnite versiunile 1 și 2;
    etapă indică etapa de criptare - o solicitare pentru o nouă cheie publică RSA sau un mesaj despre finalizarea criptării fișierului.

    Mesaj de eroare:
    OBȚINE http:// .ceapa/err.php?i= ID&b= construi&v= versiune&err= eroare
    eroare– mesaj codificat în base64 despre o eroare care a apărut în timpul criptării.

    Rezumatul stadiului actual al activității ransomware-ului:
    OBȚINE http:// .ceapa/prog.php?i= ID&b= construi&v= versiune&ss= etapă&c= numara&f= finalizarea
    numara– numărul curent de fișiere criptate;
    finalizarea– steag de sfârșit de criptare.

    Informatii despre sistem:
    POST http:// .onion/sys.php?i= ID&b= construi&v= versiune&ss= etapă&c= numara&k= număr_cheie&si= info
    număr_cheie– numărul cheii RSA selectate (în cazul în care cheia nu a fost primită de la server, ci a fost selectată dintre cele conținute în corpul malware-ului);
    info– informații primite de la computerul infectat:

    • Numele calculatorului
    • Nume de utilizator
    • adresa IP
    • Domeniul computerului
    • Lista unităților logice
    • Versiunea sistemului de operare Windows
    • Lista software-ului instalat

  1. Solicitați o listă de adrese URL de pe care doriți să descărcați și să rulați programe malware suplimentare:
    OBȚINE http:// .ceapa/cmd.php?i= ID&b= construi&v= versiune

Distribuție de ransomware

Program de afiliere

Codul pe care utilizatorii sunt rugați să-l trimită prin e-mail atacatorilor poate arăta ID|0în cazul în care cheia publică a fost obținută de la serverul C&C, sau ID|număr_cheie|build|versiune dacă una dintre cheile publice RSA cu numărul număr_cheie. ID indică identificatorul computerului infectat și două numere construiȘi versiune indicați ID-ul unui eșantion specific și, respectiv, versiunea de ransomware.

Când am analizat mostre de malware, am descoperit diferite combinații de valori ale versiunii, adrese de e-mail pentru conectarea utilizatorilor cu atacatorii și adrese C&C. Înțelesuri diferite build corespund adreselor de corespondență diferite, în timp ce același C&C poate servi mai multe mostre diferite:

construi C&C e-mail
2 a4yhexpmth2ldj3v.ceapa [email protected]
[email protected]
2 a4yhexpmth2ldj3v.ceapa [email protected]
[email protected]
4 a4yhexpmth2ldj3v.ceapa [email protected]
[email protected]
6 a4yhexpmth2ldj3v.ceapa [email protected]
[email protected]
2 e4aibjtrguqlyaow.ceapa [email protected]
[email protected]
15 e4aibjtrguqlyaow.ceapa [email protected]
[email protected]
12 gxyvmhc55s4fss2q.ceapa [email protected]
[email protected]
14 gxyvmhc55s4fss2q.ceapa [email protected]
[email protected]
4 gxyvmhc55s4fss2q.ceapa [email protected]
[email protected]

Am înregistrat distribuția diferitelor mostre din două versiuni ale ransomware-ului. Mai mult, fiecare eșantion specific din aceeași versiune a malware-ului corespundea unei combinații unice de compilare-e-mail (ID-ul unui eșantion specific și adresă pentru contactarea atacatorilor).

Deși nu au fost găsite anunțuri de parteneriat, pe baza acestor date putem presupune că troianul este distribuit și răscumpărarea este acceptată prin rețea afiliată. Este probabil ca ID-urile eșantionului (valoarea de compilare) și diferite adrese de e-mail să corespundă diferiților parteneri de distribuție ai acestui malware.

Geografie

Cele mai frecvente cazuri de infecție cu acest troian sunt în Rusia, Ucraina și Germania. Potrivit KSN, geografia de distribuție a Trojan-Ransom.Win32.Shade este după cum urmează.

Rusia 70,88%
Germania 8,42%
Ucraina 6,48%
Austria 3,91%
Elveţia 2,98%
Polonia 1,45%
Kazahstan 1,20%
Bielorusia 1,07%
Brazilia 0,55%

Malware descărcabil: troian de forță brută pentru parola site-ului

Printre programele rău intenționate pe care Trojan-Ransom.Win32.Shade le descarcă se numără un troian care forță brutală parolele pentru site-uri web. În ceea ce privește organizarea sa internă, brute forcer este foarte asemănător cu ransomware-ul în sine - cel mai probabil, este un proiect al acelorași autori. Malware-ul descărcat a primit verdictul Trojan.Win32.CMSBrute.

Caracteristici comune ale familiei CMSBrute

  • Scris în C++ folosind STL și propriile sale clase.
  • Conectat static la clientul Tor.
  • Utilizează boost (threads), curl, biblioteci OpenSSL.
  • Fiecare eșantion conține adresa unui server C&C; în total, adresele a trei servere C&C au fost găsite în mostre diferite. Toate C&C-urile sunt situate în rețeaua Tor, sunt diferite de adresele găsite în eșantioanele Trojan-Ransom.Win32.Shade.
  • Toate șirurile (împreună cu numele funcțiilor importate) sunt criptate cu algoritmul AES, decriptate la pornirea programului, după care tabelul de import este completat dinamic.
  • În mod obișnuit, UPX împachetat, dimensiunea dezambalată este de 2080-2083 KB.
  • Se copiează în unul dintre directoarele de pe unitatea C cu numele csrss.exe.
  • Descărcă pluginuri dll suplimentare. Pluginurile conțin cod de definit sistem instalat managementul conținutului (CMS) pe site-ul atacat, căutarea panoului de administrare și selectarea parolelor. Au fost găsite pluginuri care suportă site-uri bazate pe Joomla, WordPress și DataLife Engine.

Comunicarea cu serverul de comenzi

Fiecare eșantion Trojan.Win32.CMSBrute conține adresa unui server C&C. Serverele sunt situate în rețeaua Tor, iar comunicarea cu acestea se realizează folosind un client Tor legat static la troian.

Exemplul trimite următoarele solicitări către serverul C&C:

    Înregistrarea unui nou bot:
    OBȚINE http:// .ceapa/reg.php?n= ID&b= construi&v= versiune&sf= etapă
    ID– identificatorul calculatorului infectat; calculat folosind un algoritm ușor diferit de cel din criptorul Shade;
    construi– identificatorul unui eșantion specific de malware; a fost îndeplinită numai construi 1;
    versiune– versiunea de malware; a fost întâlnită doar versiunea 1;
    etapă– etapa muncii troianului.

    Solicitați obținerea adreselor URL pentru descărcarea sau actualizarea dll-urilor plugin
    OBȚINE http:// .ceapa/upd.php?n= ID&b= construi&v= versiune&p= pluginuri

    Solicitarea unei sarcini pentru determinarea CMS-ului de pe site și verificarea autentificărilor și parolelor:
    OBȚINE http:// .ceapa/sarcina.php?n= ID&b= construi&v= versiune&p= pluginuri
    pluginuri– versiuni ale pluginurilor dll instalate.
    Răspunsul de la server vine în format json și conține adresele site-urilor atacate și un dicționar pentru ghicirea parolelor.

    Trimiterea unui raport de forță brută:
    POST http:// .ceapa/rep.php?n= ID&b= construi&v= versiune&rep= raport
    raport– un șir json care conține un raport despre CMS găsit pe site și login-uri și parole selectate din panoul de administrare.

În cazul Trojan-Ransom.Win32.Shade, toate sfaturile tradiționale despre combaterea ransomware-ului sunt relevante. Instrucțiuni detaliate poate fi găsit la:
https://support.kaspersky.ru/12015#block2
https://support.kaspersky.ru/viruses/common/10952

Dacă computerul dumneavoastră a fost deja afectat de acest troian, este extrem de important să efectuați o scanare și un tratament complet cu un produs antivirus, deoarece Trojan-Ransom.Win32.Shade descarcă și instalează programe malware din mai multe familii diferite enumerate la începutul articolului în sistemul compromis.

Aplicație

La pregătirea acestui articol, au fost examinate următoarele mostre:

Verdict MD5
Trojan-Ransom.Win32.Shade.ub
Trojan-Ransom.Win32.Shade.ui
Trojan.Win32.CMSBrute.a

Săptămâna trecută am prins un lucru atât de urât. Un troian care a criptat toate fișierele cu extensii psd, xlsx, docx, png, jpg, rar, zip și multe altele. Vă voi spune mai detaliat ce s-a întâmplat și ce trebuie să faceți pentru a reduce probabilitatea de a contracta un astfel de virus.

Pentru comoditate, iată un cuprins al articolului.

Encryptor troian. Cum a fost.

Ca de obicei

De obicei, troienii care criptează fișierele tale funcționează conform următorului principiu. Primiți sau descărcați un fișier de la cineva. Arată ca un fișier normal, poate chiar un producător normal este înregistrat și există semnatura digitala. Când îl lansați, la prima vedere nu se întâmplă nimic. Fereastra de instalare nu se deschide, nimic... dar în fundal acest program de descărcare troian deschide o așa-numită backdoor. Și troianul ransomware începe să treacă prin gaura creată în protecția computerului tău.

Apoi intră în joc ransomware-ul. Criptează anumite tipuri de date cu un algoritm special. Cel mai adesea asta Documente Word, Excel, 1C Database și așa mai departe. Cel mai adesea rămâne pe desktop Document text cu o descriere a ceea ce a făcut acest virus și cum să recuperezi fișierele. Cel mai probabil vi se va cere să îi scrieți e-mail atacatorului și trimite o anumită sumă pentru recuperarea datelor. Este puțin probabil că veți putea recupera singur datele. Pentru asta ai nevoie de un decodor. Dar nici aici nu este atât de simplu. Nu există prea multe informații despre recuperarea datelor pe Internet, iar troienii de acest tip se dezvoltă mult mai repede decât se creează un remediu pentru ei.

Cum a fost pentru mine

Pentru mine totul s-a întâmplat mult mai interesant. Am stat și am lucrat la laptop. Internetul era conectat, dar nu l-am folosit. A lucrat în program terță parte. Nu am primit nicio scrisoare și nu am instalat sau lansat niciun fișier. Am plecat literalmente pentru aproximativ 20 de minute. Mă întorc și văd această poză:

Ei bine, desigur, scanarea antivirus nu a fost lansată) Dar, în general, acesta este cazul. Mi-am schimbat screensaverul de pe desktop și am deschis un document text. Documentul conține următorul conținut:

Computerul dvs. a fost atacat de un virus periculos.

Toate informațiile dumneavoastră (documente, baze de date, arhive, copii de siguranță, etc. fișiere) au fost îmbinate hard disk-uriși criptat folosind cel mai sigur algoritm din lume, RSA-4096.

Recuperarea fișierelor este posibilă numai folosind...

(Citiți textul integral, dacă sunteți interesat, pe captură de ecran.)

S-a sugerat să scrieți prin poștă [email protected] pentru a obține decodorul. Desigur, s-a presupus că pentru o anumită sumă.

Sincer să fiu, am fost pur și simplu învins. Un astfel de șoc. Toată munca, toate proiectele și dosarele care erau importante pentru mine erau acolo. Aspecte de site-uri web. În panică, am lansat o scanare antivirus. Sincer, nu știu de ce. Pur din panica.

Câteva cuvinte despre sistemul meu și starea lui. Acesta este Windows 8.1 cu toate cele mai recente actualizări. Eset Antivirus Antivirus 8. Toți clienții acces de la distanță au fost dezactivate în momentul pătrunderii troienilor. Cu toate acestea, AmmyAdmin și TeamViewer sunt instalate. RDP (Remote Desktop) este dezactivat. Firewall - standard Windows Firewall. Cu excepția faptului că firewall-ul a fost dezactivat 🙁 (eșec epic)

Am intrat online pentru a studia problema. Și aici este cel mai interesant lucru.

Cum se recuperează fișierele criptate

Această întrebare m-a îngrijorat foarte mult. Am început să caut pe internet. O mulțime de forumuri. Peste tot este descris un troian care funcționează conform unui algoritm diferit, mai vechi. Și nu este întotdeauna posibil să se elimine consecințele acțiunii sale. Nu este întotdeauna posibilă decriptarea fișierelor. Există o opțiune de a scrie la asistența DrWeb. Dar dacă nu aveți o licență pentru antivirusul lor, atunci ei nu vă vor ajuta.

Kaspersky are, de asemenea, utilitare pentru decriptarea fișierelor criptate. Iată un link către pagina de descărcare pentru aceste utilitare: support.kaspersky.ru/viruses/sms

După o verificare fără speranță cu aceste utilitare, am scris Centrului de analiză a virușilor Kaspersky. Au răspuns și au luat dosarele pentru analiză. Dar un lucru a devenit clar.

Cum să nu prinzi un troian ransomware.

Dacă ați primit deja un virus de la un hacker de e-mail [email protected] , atunci poți organiza în siguranță o petrecere de rămas bun pentru dosarele tale. Nu va fi posibil să le reînvie. Așadar, faceți o copie de rezervă a fișierelor ucise (poate că în viitor vor face un remediu și va fi posibil să restaurați datele pierdute), reinstalați Windows și aflați cum să minimizați probabilitatea ca un astfel de troian să ajungă la dvs. După ce am căutat pe internet, am citit o grămadă de sfaturi inteligente și din propria mea experiență, am venit cu următoarele puncte de siguranță:

  1. Actualizați-vă sistemul.Înainte de a instala cea mai recentă Actualizări Windows, citiți despre ce este vorba și de ce. Cum au afectat aceste actualizări sistemul. Actualizările de la Microsoft nu sunt întotdeauna super utile. Dar nu-l rula. Păstrați sistemul actualizat.
  2. Firewall. Nu dezactivați firewall-ul și, mai bine, instalați un firewall normal. Deși FW standard de la MicroSoft nu este o fântână, este mai bine decât nimic. Este chiar mai bine dacă instalați un firewall normal. Am setat deja ESET Smart Securitate.
  3. Acces de la distanță. Nu ține programe deschise acces la distanță, cum ar fi Team Viewer, Ammy Admin, Radmin și alții. Cine știe, poate au găsit deja o gaură în ele! În plus, nu sfătuiesc niciodată să permită tuturor accesul la desktopul de la distanță. Cum să dezactivați Remote Decktop nu este greu de găsit pe Internet.
  4. Parola. Setați o parolă pentru utilizatorul dvs. Poate că nu este o parolă complicată, dar este. Și faceți ca Windows să vă ceară întotdeauna permisiunea când porniți programe. Acest lucru este oarecum mai puțin convenabil, dar mult mai sigur. Această setare se face în Centrul de securitate Windows.
  5. Backup-uri. Acesta este ceva care nu vă va salva de pătrunderea troienilor, dar vă va fi de mare ajutor dacă pierdeți fișiere. Îmbinați copii ale fișierelor importante în cloud, pe unități flash, detașabile hard disk-uri, DVD... oriunde. Asigurați depozitare Informații importante nu doar local pe computer.

Prin observarea acestora reguli simple Puteți reduce probabilitatea ca un virus rău intenționat să intre în computer și vă puteți face viața mult mai ușoară dacă pierdeți fișiere valoroase.

În urmă cu aproximativ o săptămână sau două, a apărut pe Internet un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după un virus ransomware criptat000007și recuperați fișierele criptate. În acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare.

Decriptare garantată fișiere după virusul ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact în același mod. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnicile de inginerie socială sunt folosite pentru a se asigura că utilizatorul devine interesat de scrisoare și o deschide. În cazul meu, în scrisoare se vorbea despre un fel de instanță și despre informații importante despre caz din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras din instanța de arbitraj Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, faceți copii de rezervă ale fișierelor în umbră copii ale Windows vor fi șterse și recuperarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. În acest criptator, aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să fie de acord și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere a copiilor umbre fără să mă opresc. De obicei, după 5-10 oferte s-au oprit.

Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze avertismentele de control al contului de utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant sub cont administrator de computer, cu excepția cazului în care există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor exista multe fișiere text cu același conținut pe desktop.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Tor Browser folosind link-ul: https://www.torproject.org/download/download-easy.html.en În spațiul de adrese Browser Tor introduceți adresa: http://cryptsen7fo43rr6.onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul dvs. au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți face acest lucru în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http:/ /cryptsen7fo43rr6.onion/ Apăsați Enter și apoi va fi încărcată pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. Am dat si peste urmatoarele adrese:

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare ca în calculator local, și pe unitățile de rețea. Un virus de criptare poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, ransomware-ul nu a avut timp să cripteze totul pe o unitate de rețea cu o capacitate de aproximativ 100 de gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de cineva care se pricepe sisteme de informare. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiunile incorecte în această etapă pot complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia fișierului va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arata cam asa.

Într-o astfel de situație, va fi dificil să evaluați amploarea tragediei, deoarece nu vă veți putea aminti pe deplin ce ați avut în diferite dosare. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Ce se întâmplă dacă folderele de rețea ar fi criptate sau nu? copii de rezervă complete, atunci acest lucru poate opri complet munca întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai importantă întrebare este cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul dvs., șansele de decriptare a datelor scad. Dacă trebuie să recuperați fișiere cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptarea completă a fișierelor, este și mai profitabil pentru el să se ștergă și să dispară, astfel încât este mai dificil să investigheze incidentul și să decripteze fișierele.

Descrie îndepărtarea manuală virusul este dificil, deși am încercat să fac asta înainte, dar văd că cel mai adesea este inutil. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant într-o săptămână sau două. De obicei, virușii sunt trimiși prin merge la postaîn valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Instrumente universale care verifică și detectează pornirea automată Activitate suspicioasaîn folderele de sistem.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

  1. Kaspersky Virus Removal Tool - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
  3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați virusul manual. Am dat un exemplu de metodă de eliminare și îl puteți vedea acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

  1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
  2. Găsim procesul virusului, deschidem folderul în care se află și îl ștergem.
  3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
  4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere apare pe primul loc când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina principala faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista niciun decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptoare pentru descărcare pagină separată- https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care în rețea au apărut decriptoare pentru unele modificări ale criptoarelor. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișierele folosind metode improvizate. Acestea includ:

  • Instrument copii umbră ferestre.
  • Programe de recuperare a datelor șterse

În primul rând, să verificăm dacă avem copiile umbră activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă în timpul infecției nu ați confirmat solicitarea UAC de ștergere a fișierelor în copii umbră, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai pe larg la începutul poveștii, când am vorbit despre munca virusului.

Pentru a restaura cu ușurință fișierele din copii umbre, vă sugerez să utilizați program gratuitîn acest scop - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Se va deschide cea mai recentă copie a fișierelor și rădăcina unității C. În colțul din stânga sus, puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verificați diferitele copii pentru disponibilitate fisierele necesare. Comparați după date, unde mai multe ultima versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am dat clic Click dreapta mouse-ul, a selectat Export și a indicat folderul în care să le restaurați.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi mai multe versiune veche, decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare fișiere șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansa versiune grafică programul execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau dur extern disc pentru asta.

Procesul de căutare va dura mult timp. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, în această listă puteți găsi câteva fișiere utile. Nu există garanții aici; ceea ce vei găsi este ceea ce vei găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei atunci când trebuie să le refac suma maxima fisiere:

  • R.saver
  • Recuperare fișier Starus
  • JPEG Recovery Pro
  • Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

În mod tradițional, antivirușii ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Se dovedește o nouă versiune ransomware, antivirusurile nu răspund la acesta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanță tehnică pe acest subiect, care nu vă permite să răspundeți în mod adecvat și să împiedicați criptarea fișierelor utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să vă oferiți oprirea procesului.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși de criptare, inclusiv CRYPTED000007. Adresa lor este http://www.dr-shifro.ru. Plata numai după decriptarea completă și verificarea dvs. Iată o schemă aproximativă de lucru:

  1. Un specialist al companiei vine la birou sau acasă și semnează un acord cu tine, care stabilește costul lucrării.
  2. Lansează decriptorul și decriptează toate fișierele.
  3. Vă asigurați că toate fișierele sunt deschise și semnați certificatul de livrare/acceptare a lucrării finalizate.
  4. Plata se face numai pe baza rezultatelor reușite ale decriptării.

Sincer să fiu, nu știu cum fac, dar nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să faci fără materiale și prejudiciu moral? Există câteva sfaturi simple și eficiente:

  1. Backup! Copiere de rezervă a tuturor datelor importante. Și nu doar un backup, ci un backup la care nu există acces constant. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
  2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de distribuție a unei noi modificări a ransomware-ului.
  3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
  4. Nu deschideți neatenționat link-urile trimise de prietenii dvs. prin social media sau mesageri. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
  5. Porniți afişajul ferestrelor extensii de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Video despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.

, VIDEO, MUZICA și alte fișiere personale activate .NO_MORE_RANSOMși schimbă numele original într-o combinație aleatorie de litere și cifre. Cu toate acestea, majoritatea fișierelor din cele mai importante formate .PDF, .DOC, .DOCX, .XLS, .XLSX, .JPG, .ZIP nu deschide. Contabilitate 1C nu funcționează. Cam asa arata:

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii binecunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil.


Dar nu te grăbi să disperi!

Faptul este că, după ce a pătruns în computerul dvs., programul rău intenționat folosește ca instrument un software de criptare GPG complet legal și algoritmul popular de criptare - RSA-1024. Deoarece acest utilitar este folosit în multe locuri și nu este un virus în sine, programele antivirus îi permit să treacă și nu îi blochează funcționarea. Se generează o cheie publică și privată pentru a cripta fișierele. Cheie privată este trimis la serverul atacatorilor și rămâne deschis pe computerul utilizatorului. Ambele chei sunt necesare pentru a decripta fișierele! Atacatorii suprascriu cu atenție cheia privată de pe computerul afectat. Dar asta nu se întâmplă întotdeauna. De mai bine de trei ani de istorie a muncii impecabile, specialiști Dr.SHIFRO Am studiat mii de variații ale activităților malware și poate chiar și într-o situație aparent fără speranță, vom putea oferi o soluție care vă va permite să vă recuperați datele.

În acest videoclip puteți urmări funcționarea reală a decriptorului pe computerul unuia dintre clienții noștri:


Pentru a analiza posibilitatea decriptării, trimiteți 2 mostre de fișiere criptate: un text (doc, docx, odt, txt sau rtf cu dimensiunea de până la 100 KB), al doilea grafic (jpg, png, bmp, tif sau dimensiune pdf până la 3 MB). De asemenea, aveți nevoie de un fișier de notă de la atacatori. După examinarea dosarelor, vă vom oferi o estimare a costului. Fișierele pot fi trimise prin e-mail [email protected] sau utilizați formularul de trimitere a fișierului de pe site (buton portocaliu).

COMENTARII (2)

Am virusul NCOV. După ce am căutat pe Internet o metodă de decriptare, am găsit acest site. Specialistul a descris rapid și complet ceea ce trebuie făcut. Pentru garantare, au fost decriptate 5 fișiere de testare. Au anunțat costul și după plată totul a fost descifrat în câteva ore. Deși nu numai computerul a fost criptat, ci și unitate de rețea. Multumesc foarte mult pentru ajutorul tau!

O zi buna! Am avut recent o situație similară cu virusul NCOV, care nu a avut timp să cripteze toate discurile, pentru că... după ceva timp am deschis folderul cu fotografia și am văzut un plic gol și un nume de fișier dintr-un set diferit de litere și numere și am descărcat și lansat imediat utilitate gratuită pentru a elimina troienii. Virusul a sosit prin poștă și a fost o scrisoare convingătoare pe care am deschis-o și am lansat atașamentul. Computerul are 4 hard disk-uri foarte mari (terabytes). Am contactat diverse companii, care sunt pline pe internet și care își oferă serviciile, dar chiar și cu o decriptare reușită, toate fișierele vor fi în folder separat si totul se amesteca. Nimeni nu oferă o garanție de decriptare 100%. Am contactat Kaspersky Lab și nici acolo nu m-au ajutat..html# așa că am decis să contactez. Am trimis trei fotografii de test și după un timp am primit un răspuns cu o transcriere completă a acestora. În corespondența prin poștă mi s-a oferit fie de la distanță, fie acasă. Am decis să o fac acasă. Am decis data și ora sosirii specialistului. Imediat în corespondență s-a convenit suma pentru decodor și după decriptarea cu succes am semnat un acord asupra lucrării și am făcut plata conform acordului. Decriptarea fișierelor a durat foarte mult, deoarece unele videoclipuri au fost marime mare. După decriptarea completă, m-am asigurat că toate fișierele mele revin la forma lor originală și la extensia corectă de fișier. Capacitatea hard disk-urilor a devenit aceeași ca înainte de a fi infectate, deoarece în timpul infecției unitățile erau aproape complet pline. Cei care scriu despre escroci etc., nu sunt de acord cu asta. Acest lucru este scris fie de concurenți din furie, că nu reușesc, fie de oameni care sunt jigniți de ceva. În cazul meu, totul a ieșit grozav, temerile mele sunt în trecut. Mi-am văzut din nou vechile fotografii de familie pe care le-am făcut cu mult timp în urmă și videoclipuri de familie pe care le-am editat singur. Aș dori să-mi exprim recunoștința față de compania dr.Shifro și personal lui Igor Nikolaevich, care m-a ajutat să-mi restabilesc toate datele. Multumesc mult si mult succes! Tot ceea ce este scris este părerea mea personală și tu decizi pe cine să contactezi.

Virușii ransomware sunt programe de calculator, care mai întâi criptează fișierele și apoi solicită bani pentru posibilitatea de a le decripta. Virușii ransomware au devenit o adevărată epidemie. Internetul este plin de cereri de ajutor pentru decriptarea fișierelor. Majoritatea virușilor ransomware sunt foarte asemănători între ei. Acestea se strecoară în computerul tău și apoi îți criptează fișierele. Se crede că principalele diferențe dintre ele sunt algoritmul de criptare și cantitatea de răscumpărare necesară.

Rețineți că, plătind răscumpărarea, nu aveți nicio garanție că fișierele dvs. vor fi decriptate cu succes. Pur și simplu susțineți afacerea criminală a infractorilor cibernetici. Nu poți fi niciodată sigur că îți vor trimite cheia secretă folosită pentru a le decripta. Din acest motiv, nu încercați niciodată să contactați infractorii sau să plătiți o răscumpărare. În plus, virușii ransomware se pot răspândi prin rețelele de torrent P2P, unde utilizatorii descarcă versiuni piratate software. Din aceste motive, ar trebui să fiți atenți atunci când descărcați fișiere din surse neverificate, precum și când deschideți fișiere trimise de la un destinatar de e-mail necunoscut.

Imagine de fundal pe un computer infectat cu ransomware.better_call_saul

Majoritatea acestor viruși au apărut destul de recent; .better_call_saul a apărut în jurul lunii februarie. În prezent, virusul.better_call_saul este distribuit destul de agresiv în Rusia și în alte țări post-sovietice. Majoritatea utilizatorilor sunt infectați cu virusul .better_call_saul atunci când fac clic pe linkuri în e-mailuri. De asemenea, criminalii vor răspândi acest virus prin e-mailuri spam cu fișiere infectate atașate la e-mailuri. Site-urile web piratate sunt a treia cea mai comună metodă de infectare cu ransomware.better_call_saul. După ce a pătruns cu succes în sistem, acest ransomware criptează diverse fișiere, stocat pe dvs hard disk-uri. Pentru criptare, virusul folosește algoritmul RSA-3072.

Vă rugăm să rețineți că acest virus adaugă extensia .better_call_saul la sfârșitul numelui fiecărui fișier criptat. În plus, schimbă aspectul desktopului (schimbă imaginea de fundal) și creează un fișier README.txt în fiecare folder care conține fișiere criptate. README.txt fisier textși, de asemenea, tapetul de pe desktop conține un mesaj că fișierele sunt criptate și că pentru a le restaura, victima trebuie să plătească o răscumpărare. În instrucțiuni, victima este sfătuită să contacteze infractorii cibernetici prin scris la adresa specificată Adresa de e-mail, si trimite cod special. După aceasta, victima ar trebui să primească instrucțiuni suplimentare.

Infractorii cibernetici cer apoi să plătească 14-15 mii de ruble unui portofel special QIWI. Dacă răscumpărarea nu este plătită în 48 de ore, atunci cheia folosită pentru decriptarea fișierelor și stocată pe serverele controlate de criminali va fi ștearsă. Rețineți că fără această cheie este imposibil să vă decriptați fișierele. Din păcate, pe acest moment Nu există instrumente capabile să decripteze fișierele codificate de virusul .better_call_saul. O modalitate de a rezolva această problemă este să restaurați sistemul sau fișierele din copie de rezervă. Alte opțiuni de combatere a acestui virus sunt prezentate mai jos.

Eliminați ransomware.better_call_saul cu un agent de curățare automat

Exclusiv metoda eficienta lucrul cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea minuțioasă a oricăror componente virale, a acestora îndepărtarea completă cu un singur clic. Notă, despre care vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

  1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea).
  2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul .better_call_saul blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate nu pot fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută. Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program recuperare automată fişiere

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva software cum să restaurați obiectele șterse, chiar dacă fiabilitatea înlăturării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor; eficacitatea acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe procedura Windows Rezervă copie fișiere, care se repetă la fiecare punct de recuperare. Conditii importante de munca aceasta metoda: Funcția „Restaurare sistem” trebuie să fie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să introduceți interfața corespunzătoare, selectați fisierele necesareși porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor ransomware reziduale.better_call_saul

Curatenie in mod manual este plin de omisiunea unor bucăți individuale de ransomware care pot evita eliminarea ca obiecte ascunse sistem de operare sau elemente de registru. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în software rău intenționat.