Tavaliselt on pahatahtlike programmide töö suunatud arvuti üle kontrolli saavutamisele, selle ühendamisele zombivõrku või isikuandmete varastamisega. Tähelepanematu kasutaja ei pruugi pikka aega märgata, et süsteem on nakatunud. Kuid lunavaraviirused, eriti xtbl, töötavad hoopis teistmoodi. Nad muudavad kasutaja failid kasutuskõlbmatuks, krüpteerides need kõige keerulisema algoritmiga ja nõudes omanikult teabe taastamise võimaluse eest suurt summat.

Probleemi põhjus: xtbl viirus

Lunavaraviirus xtbl sai oma nime sellest, et selle krüpteeritud kasutajadokumendid saavad .xtbl laiendi. Tavaliselt jätavad kodeerijad võtme faili kehasse, et universaalne dekoodriprogramm saaks teabe algsel kujul taastada. Viirus on aga mõeldud muuks otstarbeks, nii et võtme asemel ilmub ekraanile pakkumine maksta anonüümseid kontoandmeid kasutades teatud summa.

Kuidas xtbl viirus töötab

Viirus siseneb arvutisse e-kirjade kaudu nakatunud manustega, mis on kontorirakenduste failid. Pärast seda, kui kasutaja on sõnumi sisu avanud, hakkab pahavara otsima fotosid, võtmeid, videoid, dokumente ja nii edasi ning seejärel muudab need originaalse keeruka algoritmi (hübriidkrüptimise) abil xtbl-salvestuseks.

Viirus kasutab oma failide salvestamiseks süsteemikaustu.

Viirus lisab end käivitusloendisse. Selleks lisab ta Windowsi registrisse kanded järgmistesse jaotistesse:

• HKCU \ Tarkvara \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Tarkvara \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Tarkvara \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Nakatunud arvuti töötab stabiilselt, süsteem ei “jookse”, kuid RAM-is on alati väike rakendus (või kaks) arusaamatu nimega. Ja kasutaja tööfailidega kaustad saavad kummalise ilme.

Käivituskuva asemel ilmub töölauale teade:

Teie failid on krüptitud. Nende dekrüpteerimiseks peate saatma koodi e-posti aadressile: [e-postiga kaitstud](kood järgneb). Seejärel saate edasised juhised. Sõltumatud katsed faile dekrüpteerida viivad nende täieliku hävitamiseni.

Sama tekst sisaldub loodud failis Kuidas dekrüpteerida faile.txt. E-posti aadress, kood, nõutav summa võivad erineda.

Üsna sageli teenivad mõned petturid teiste pealt raha – lunavara e-rahakoti number sisestatakse viiruse kehasse, millel pole võimalust faile dekrüpteerida. Nii et kergeusklik kasutaja, kes on raha saatnud, ei saa midagi vastu.

Miks te ei peaks lunavara eest maksma?

Väljapressijatega on võimatu koostööd teha mitte ainult moraalipõhimõtete tõttu. See on praktilisest seisukohast ebamõistlik.

Kuidas kaitsta oma süsteemi viiruse eest

Ka sel juhul aitavad universaalsed reeglid pahavara eest kaitsmiseks ja kahju minimeerimiseks.

Kas krüptitud teavet on võimalik taastada

Hea uudis: andmete taastamine on võimalik. Halb: te ei saa seda ise teha. Selle põhjuseks on krüpteerimisalgoritmi eripära, mille võtme valimine nõuab palju rohkem ressursse ja kogutud teadmisi kui tavakasutaja omab. Õnneks peavad viirusetõrjearendajad iga pahatahtliku programmiga tegelemist auasjaks, nii et isegi kui nad praegu sinu lunavaraga hakkama ei saa, leiavad nad kuu või paari pärast kindlasti lahenduse. Peame olema kannatlikud.

Seoses vajadusega pöörduda spetsialistide poole, muutub nakatunud arvutiga töötamise algoritm. Üldine rusikareegel on, et mida vähem muudatusi, seda parem. Viirusetõrjed määravad ravimeetodi kindlaks ründeprogrammi üldiste omaduste põhjal, seetõttu on nakatunud failid nende jaoks olulise teabe allikaks. Need tuleks eemaldada alles pärast põhiprobleemi lahendamist.

Teine reegel on viiruse töö katkestamine iga hinna eest. Võib-olla pole ta veel kogu infot ära rikkunud ning RAM-i jäävad lunavara jäljed, mille abil saab teda tuvastada. Seetõttu peate kohe arvuti võrgust välja lülitama ja sülearvuti välja lülitama, vajutades pikalt võrgunuppu. Seekord ei tööta standardne "ettevaatlik" sulgemisprotseduur, mis võimaldab kõiki protsesse õigesti lõpule viia, kuna üks neist on teie teabe kodeerimine.

Krüpteeritud failide taastamine

Kui teil õnnestus arvuti välja lülitada

Kui teil õnnestus arvuti enne krüpteerimisprotsessi lõppu välja lülitada, ei pea te seda ise sisse lülitama. Viige "patsient" otse spetsialistide juurde, katkenud kodeerimine suurendab oluliselt isiklike failide salvestamise võimalusi. Siin saate ka turvarežiimis kontrollida oma andmekandjat ja luua varukoopiaid. Suure tõenäosusega teatakse viirust ennast, seega on selle ravi edukas.

Kui krüptimine on lõppenud

Kahjuks on krüpteerimisprotsessi eduka katkestamise tõenäosus väga väike. Tavaliselt on viirusel aega faile kodeerida ja arvutist mittevajalikud jäljed eemaldada. Ja nüüd on teil kaks probleemi: Windows on endiselt nakatunud ja isiklikud failid on muutunud märgistikuks. Teise probleemi lahendamiseks on vaja kasutada viirusetõrjetarkvara tootjate abi.

Dr.Web

Dr.Web Laboratory pakub oma dekrüpteerimisteenust tasuta ainult kommertslitsentside omanikele. Teisisõnu, kui te pole veel nende klient, kuid soovite oma failid taastada, peate programmi ostma. Praegust olukorda arvestades on see õige investeering.

Järgmine samm on minna tootja veebisaidile ja täita sisenemisvorm.

Kui krüptitud failide hulgas on koopiaid, mis on salvestatud välisele andmekandjale, hõlbustab nende edastamine oluliselt dekoodrite tööd.

Kaspersky

Kaspersky Lab on välja töötanud oma dekrüpteerimisutiliidi nimega RectorDecryptor, mille saab arvutisse alla laadida ettevõtte ametlikult veebisaidilt.

Igal operatsioonisüsteemi versioonil, sealhulgas Windows 7-l, on oma utiliit. Pärast selle laadimist vajutage nuppu "Alusta kontrollimist".

Kui viirus on suhteliselt uus, võivad teenused veidi aega võtta. Sel juhul saadab ettevõte tavaliselt teatise. Mõnikord võib dekrüpteerimine kesta mitu kuud.

Muud teenused

Üha enam on sarnaste funktsioonidega teenuseid, mis näitab nõudlust dekrüpteerimisteenuste järele. Toimingute algoritm on sama: minge saidile (näiteks https://decryptolocker.com/), registreeruge ja saatke krüptitud fail.

Dekoodri programmid

Võrgus on palju "universaalseid dekoodereid" (muidugi tasulisi), kuid nende kasulikkus on küsitav. Muidugi, kui viirusetootjad ise kirjutavad dekoodri, töötab see edukalt, kuid sama programm on mõne teise pahatahtliku rakenduse jaoks kasutu. Lisaks on spetsialistidel, kes viirustega regulaarselt kokku puutuvad, tavaliselt täielik vajalike utiliitide pakett, seega on neil suure tõenäosusega kõik töötavad programmid. Sellise dekoodri ostmine on tõenäoliselt raha raiskamine.

Kuidas faile Kaspersky Labi abil dekrüpteerida - video

Iseteenindusega teabe taastamine

Kui kolmandate osapoolte spetsialistidega pole mingil põhjusel võimalik ühendust võtta, võite proovida teavet ise taastada. Teeme reservatsiooni, et ebaõnnestumise korral võivad failid jäädavalt kaduma.

Kustutatud failide taastamine

Pärast krüptimist kustutab viirus algsed failid. Kuid Windows 7 salvestab kogu kustutatud teabe mõnda aega nn varikoopia kujul.

ShadowExplorer

ShadowExplorer on utiliit, mis on loodud failide taastamiseks nende varikoopiatest.

PhotoRec

Tasuta utiliit PhotoRec töötab samamoodi, kuid pakettrežiimis.

Viiruse eemaldamine

Kuna viirus sisenes arvutisse, ei tulnud installitud turvaprogrammid oma ülesandega toime. Võite proovida kolmanda osapoole abi.

Tähtis! Viiruse eemaldamine parandab arvuti, kuid ei taasta krüptitud faile. Lisaks võib uue tarkvara installimine kahjustada või kustutada mõningaid failide taastamiseks vajalikke varikoopiaid. Seetõttu on parem installida rakendused teistele draividele.

Kaspersky viiruse eemaldamise tööriist

Tuntud viirusetõrjetarkvara arendaja tasuta programm, mille saab alla laadida Kaspersky Labi veebisaidilt. Pärast Kaspersky Virus Removal Tooli käivitamist palub see teil kohe skannimist alustada.

Pärast suure ekraaninupu "Start Scan" vajutamist alustab programm teie arvutit skannimist.

Jääb oodata kuni skannimise lõpuni ja kustutada leitud kutsumata külalised.

Malwarebytes Anti-malware

Teine viirusetõrjetarkvara arendaja, kes pakub skanneri tasuta versiooni. Toimingute algoritm on sama:

Mida mitte teha

XTBL-viirus, nagu ka teised lunavaraviirused, kahjustab nii süsteemi kui ka kasutajateavet. Seetõttu tuleks võimaliku kahju vähendamiseks võtta mõned ettevaatusabinõud:

1. Ärge oodake krüptimise lõppu. Kui failide krüptimine on alanud teie silme all, ärge oodake, kuni see kõik lõpeb, ega proovige protsessi tarkvara abil katkestada. Ühendage arvuti kohe lahti ja helistage hooldustehnikule.
2. Ärge proovige viirust ise eemaldada, kui võite usaldada professionaale.
3. Ärge paigaldage süsteemi uuesti enne ravi lõppu. Viirus nakatab ohutult ka uut süsteemi.
4. Ärge nimetage krüptitud faile ümber. See muudab dekoodri töö ainult keerulisemaks.
5. Ärge proovige teises arvutis nakatunud faile lugeda enne, kui viirus on eemaldatud. See võib nakkust levitada.
6. Ärge makske väljapressijatele. See on kasutu ja julgustab viiruste loojaid ja pettureid.
7. Ärge unustage ennetamist. Viirusetõrje installimine, regulaarne varundamine ja taastepunktide loomine vähendab oluliselt pahavara võimalikku kahju.

Lunavaraviirusega nakatunud arvuti ravimine on pikk ja mitte alati edukas protseduur. Seetõttu on võrgust teabe hankimisel ja kontrollimata välismeediumiga töötamisel väga oluline järgida ettevaatusabinõusid.

Tere päevast kõigile, mu kallid sõbrad ja minu ajaveebi lugejad. Täna on see teema üsna kurb, sest see puudutab viiruseid. Ma räägin teile juhtumist, mis juhtus mitte nii kaua aega tagasi minu töö juures. Mulle helistas osakonnas üks ärevil häälega töötaja: “Dima, viirus on arvutis failid krüpteerinud: mida nüüd teha?”. Siis sain aru, et ümbris lõhnas prae järgi, aga lõpuks läksin teda vaatama.

Jah. Kõik osutus kurvaks. Enamik arvutis olevatest failidest olid nakatunud, õigemini krüptitud: Office'i dokumendid, PDF-failid, 1C andmebaasid ja paljud teised. Üldiselt on perse täielik. Tõenäoliselt ei mõjutanud see ainult arhiive, rakendusi ja tekstidokumente (noh, ja palju muud). Kõik need andmed on muutnud oma laiendit ja muutnud ka nende nimed millekski nagu sjd7gy2HjdlVnsjds.
Samuti ilmus töölauale ja kaustadesse mitu identset dokumenti README.txt.Ütlevad ausalt, et arvuti on nakatunud ja et sa midagi ette ei võta, ära kustuta midagi, ära kontrolli viirusetõrjetarkvara, muidu failid ei lähe tagastada.
Failis on ka kirjas, et need toredad inimesed saavad kõik taastada nii, nagu oli. Selleks peavad nad saatma dokumendi võtme oma posti, misjärel saate vajalikud juhised. Nad ei kirjuta hinda, kuid tegelikult selgub, et tagastamise maksumus on umbes 20 000 rubla.

Kas teie andmed on seda raha väärt? Kas olete valmis lunavara kõrvaldamise eest maksma? Ma kahtlen. Mida siis teha tuleb? Räägime sellest hiljem. Seniks alustame kõike järjekorras.

Kust see tuleb

Kust see kole lunavaraviirus tuleb? Siin on kõik väga lihtne. Inimesed võtavad selle e-posti teel kätte. Reeglina tungib see viirus organisatsioonidesse, ettevõtete postkastidesse, kuigi mitte ainult. Pealtnäha ei pea te seda kakuks, kuna see ei tule rämpspostina, vaid tõesti olemasolevalt tõsiselt organisatsioonilt, näiteks saime Rostelecomi pakkujalt kirja nende ametlikust postist.

Kiri oli täiesti tavaline, nagu "Uued tariifiplaanid juriidilistele isikutele". Sees on PDF-fail. Ja kui avate selle faili, avate Pandora laeka. Kõik olulised failid krüpteeritakse ja muudetakse lihtsate sõnadega "tellisteks". Ja viirusetõrjed ei saa seda jama kohe kinni.

Mida ma tegin ja mis ei töötanud

Loomulikult ei tahtnud meie juures keegi selle eest 20 tuhat maksta, kuna teave ei maksnud nii palju ja pealegi polnud petturitega ühenduse võtmine üldse võimalik. Ja pealegi pole tõsiasi, et selle summa eest saate kõik blokeeringud lahti.

Käisin läbi drweb cureit utiliidi ja see leidis viiruse, kuid sellest oli vähe tolku, kuna ka peale viirust jäid failid krüpteerituks. Viiruse eemaldamine osutus lihtsaks, kuid tagajärgedega toimetulek on palju keerulisem. Käisin Doctor Webi ja Kaspersky foorumites ja sealt leidsin vajaliku teema ning sain ka teada, et ei seal ega seal ei saa nad dekrüpteerimisega aidata. Kõik oli väga tugevalt krüpteeritud.

Teisest küljest hakkasid ilmuma otsingumootorid, mille tulemused olid mõned ettevõtted tasuliste failide dekrüpteerimiseks. Noh, see huvitas mind, eriti kuna ettevõte osutus tõeliseks, tõesti eksisteerivaks. Oma veebisaidil pakkusid nad oma võimete näitamiseks tasuta dešifreerimist viis tükki. Noh, ma võtsin ja saatsin neile minu arvates 5 kõige olulisemat faili.
Mõne aja pärast sain vastuse, et neil õnnestus kõik dešifreerida ja nad võtavad minult täieliku dekodeerimise eest 22 tuhat. Ja nad ei tahtnud faile mulle anda. Seega eeldasin kohe, et suure tõenäosusega töötavad nad petturitega koos. No muidugi saadeti nad põrgusse.

• kasutades programme "Recuva" ja "RStudio"
• Käitavad erinevad kommunaalteenused
• Noh, rahunemiseks ei saanud ma jätta proovimata (kuigi teadsin väga hästi, et see ei aita), see on lihtsalt tühine paremale. Brad muidugi)

Ükski neist ei töötanud minu jaoks. Kuid siiski leidsin väljapääsu.\ R \ n \ r \ nMuidugi, kui teil äkki selline olukord tekib, siis vaadake, millise laiendiga failid krüpteeritakse. Pärast seda minge aadressile http://support.kaspersky.com/viruses/desinfection/10556 ja vaadake, millised laiendused on loetletud. Kui teie laiendus on loendis, kasutage seda utiliiti.
Kuid kõigil kolmel juhul, mida ma nende lunavara puhul nägin, ei aidanud ükski neist utiliitidest. Täpsemalt, ma kohtusin viirusega "Da Vinci kood" ja "VAULT"... Esimesel juhul muutusid nii nimi kui laiend ja teisel ainult laiend. Üldiselt on selliseid lunavarasid terve hunnik. Ma kuulen selliseid jõmpsikaid nagu xtbl, pole enam lunaraha, helista parem saul ja palju teisi.

Mis aitas

Kas olete kunagi kuulnud varikoopiatest? Seega luuakse taastepunkti loomisel failide varikoopiad automaatselt. Ja kui teie failidega midagi juhtus, saate need alati taastada, kui taastepunkt loodi. Selles aitab meid üks suurepärane programm failide taastamiseks varikoopiatest.

Alustama lae alla ja installige programm "Shadow Explorer". Kui uusim versioon veab teid (see juhtub), installige eelmine.

Minge Shadow Explorerisse. Nagu näeme, on programmi põhiosa sarnane exploreriga, st. failid ja kaustad. Nüüd pöörake tähelepanu vasakpoolsele ülanurgale. Seal näeme kohaliku draivi tähte ja kuupäeva. See kuupäev tähendab, et kõik C-draivil olevad failid on sel ajal ajakohased. Mul on see 30. novembril. See tähendab, et viimane taastepunkt loodi 30. novembril.
Kui klõpsame kuupäevade ripploendil, näeme, milliste numbrite kohta meil veel varikoopiaid on. Ja kui klõpsate kohalike draivide ripploendil ja valite näiteks draivi D, siis näeme kuupäeva, millal meil tegelikud failid on. Aga sõidu pärast D punkte ei looda automaatselt, seega tuleb see üksus seadistustes registreerida. See väga lihtne teha.
Nagu näete, kui ketta jaoks C Mul on üsna hiljutine kuupäev, siis ketta jaoks D viimane punkt loodi ligi aasta tagasi. Noh, siis teeme seda punkt-punkti haaval:

Kõik. Nüüd jääb üle vaid oodata, kuni eksport lõpeb. Seejärel läheme samasse kausta, mille olete valinud, ja kontrollime kõigi failide avatavust ja jõudlust. Kõik on lahe).
Ma tean, et Internet pakub veel mõningaid erinevaid meetodeid, utiliite jne, aga ma ei hakka neist kirjutama, sest olen selle probleemiga kokku puutunud juba kolmandat korda ja mitte kordagi, peale varikoopiate ei aidanud mind hädast välja. Kuigi võib-olla mul lihtsalt pole nii vedanud).

Kuid kahjuks õnnestus eelmisel korral taastada ainult need failid, mis olid C-kettal, kuna vaikimisi loodi punktid ainult C-draivi jaoks. Seetõttu ei olnud D-ketta jaoks ka varikoopiaid. Muidugi peate meeles pidama ka seda, millised taastepunktid võivad viia, nii et hoidke ka sellel silm peal.

Ja selleks, et luua varjukoopiaid teistele kõvaketastele, on vaja ka neid.

Profülaktika

Taastumisprobleemide vältimiseks peate tegema profülaktikat. Selleks peate järgima järgmisi reegleid.

Muide, kunagi krüpteeris see viirus USB-mälupulgal olevaid faile, kuhu olid salvestatud meie digiallkirja võtmesertifikaadid. Nii et olge ka välkmäluseadmetega väga ettevaatlik.

Parimate soovidega, Dmitri Kostin.

Pahatahtlikke programme on lai valik. Nende hulgas on äärmiselt vastikuid lunavaraviiruseid, mis arvutisse sattudes hakkavad kasutaja faile krüptima. Mõnel juhul on hea võimalus failid dekrüpteerida, kuid mõnikord see ei tööta. Kaalume kõiki vajalikke toiminguid nii esimese kui ka teise juhtumi puhul, kui.

Need viirused võivad veidi erineda, kuid üldiselt on nende tegevus alati sama:

• installida arvutisse;
• krüpteerida kõik failid, mis võivad olla mis tahes väärtusega (dokumendid, fotod);
• kui proovite neid faile avada, nõudke kasutajalt teatud summa sissemaksmist ründaja rahakotile või kontole, vastasel juhul ei avata kunagi juurdepääsu sisule.

Viirustega krüptitud failid xtbl-s

Praegu on viirus saanud piisavalt laialt levinud, et suudab krüpteerida faile ja muuta nende laiendiks .xtbl, samuti asendada nende nime täiesti juhuslike tähemärkidega.

Lisaks luuakse silmatorkavasse kohta spetsiaalne fail koos juhistega. readme.txt... Selles seab ründaja kasutaja silmitsi tõsiasjaga, et kõik tema olulised andmed on krüptitud ja nüüd pole neid enam nii lihtne avada, täiendades seda asjaoluga, et kõige varasemasse olekusse naasmiseks on vaja sooritama teatud toiminguid, mis on seotud petturile raha ülekandmisega (tavaliselt tuleb enne seda saata teatud kood ühele soovitatud meiliaadressidest). Sageli on selliseid sõnumeid täiendatud järelsõnaga, et kui proovite kõiki faile ise dekrüpteerida, võite need igaveseks kaotada.

Kahjuks ei ole hetkel keegi ametlikult suutnud .xtbl-i lahti krüptida, kui mõni toimiv viis ilmub, anname sellest kindlasti artiklis teada. Kasutajate hulgas on neid, kellel oli selle viirusega sarnane kogemus ja nad maksid petturitele vajaliku summa, saades vastutasuks oma dokumentide dekrüpteerimise. Aga see on ülimalt riskantne samm, sest küberkurjategijate seas on ka neid, kes lubatud dekrüpteerimisega eriti ei vaeva, lõpuks läheb raha tühjaks.

Mida sa siis teed, küsite? Pakume mõningaid näpunäiteid, mis aitavad teil kõik oma andmed tagasi saada ja samal ajal ei juhi teid petturid ega anna neile oma raha. Ja mida tuleb teha:

1. Kui teate, kuidas tegumihalduris töötada, katkestage kohe failide krüptimine, peatades kahtlase protsessi. Samal ajal ühenda arvuti internetist lahti – paljud lunavarad vajavad võrguühendust.
2. Võtke paber ja kirjutage sellele kood, mida pakutakse ründajatele posti teel saata (paber, sest fail, kuhu kirjutate, võib samuti lugemiseks kättesaamatuks muutuda).
3. Kasutage pahavara eemaldamiseks Malwarebytes Antimalware, prooviversiooni Kaspersky IS või CureIt Antivirus. Suurema usaldusväärsuse huvides on parem kasutada järjepidevalt kõiki pakutud vahendeid. Kuigi Kaspersky Anti-Virust ei saa installida, kui süsteemis on juba üks peamine viirusetõrje, võivad vastasel juhul tekkida tarkvarakonfliktid. Kõiki muid kommunaalteenuseid saab kasutada igas olukorras.
4. Oodake, kuni üks viirusetõrjefirmadest on selliste failide jaoks välja töötanud toimiva dekrüpteerija. Kõige tõhusam viis selleks on Kaspersky Lab.
5. Lisaks saate saata aadressile [e-postiga kaitstud] faili koopia, mis oli krüpteeritud vajaliku koodiga, ja kui see on olemas, siis sama fail algsel kujul. Võimalik, et see võib kiirendada failide dekrüpteerimise meetodi väljatöötamist.

Ärge mingil juhul:

• nende dokumentide ümbernimetamine;
• nende laienemise muutmine;
• failide kustutamine.

Need troojalased krüpteerivad ka kasutajate faile ja seejärel väljapressivad neid. Samal ajal võivad krüptitud failid olla järgmiste laiendustega:

• .lukustatud
• .crypto
• .kraken
• .AES256 (mitte tingimata see trooja, on ka teisi, mis installivad sama laienduse).
• [e-postiga kaitstud] _com
• .osat
• muud.

Õnneks on spetsiaalne dekrüpteerimisutiliit juba loodud - RakhniDecryptor... Saate selle alla laadida ametlikult veebisaidilt.

Samal saidil saate lugeda juhiseid, mis näitavad üksikasjalikult ja selgelt, kuidas utiliidi abil dekrüpteerida kõik failid, mille kallal trooja on töötanud. Põhimõtteliselt tasub suurema töökindluse huvides krüptitud failide kustutamise üksus välja jätta. Kuid tõenäoliselt andsid arendajad utiliidi loomiseks endast parima ja miski ei ohusta andmete terviklikkust.

Need, kes kasutavad litsentsitud Dr.Web viirusetõrjet, saavad tasuta juurdepääsu dekrüpteerimisele arendajatelt http://support.drweb.com/new/free_unlocker/.

Muud tüüpi lunavaraviirused

Mõnikord võite kokku puutuda teiste viirustega, mis krüpteerivad olulisi faile ja nõuavad tasu selle eest, et kõik algsel kujul tagastaks. Pakume väikest loendit utiliitidega, mis aitavad toime tulla kõige levinumate viiruste tagajärgedega. Seal saate tutvuda ka peamiste märkidega, mille järgi saate konkreetset Trooja programmi eristada.

Lisaks oleks hea võimalus oma arvutit skannida Kaspersky Anti-Virus'iga, mis tuvastab kutsumata külalise ja määrab sellele nime. Selle nime järgi saab sellele juba dekoodrit otsida.

• Trojan-Ransom.Win32.Rector- tüüpiline lunavara skrambleerija, mis nõuab SMS-i saatmist või muid sedalaadi toiminguid, võtame dekrüpteerija sellelt lingilt.
• Trojan-Ransom.Win32.Xorist- eelmise trooja variatsioon, selle kasutamiseks saate dekoodri koos juhendiga.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- nende meeste jaoks on ka spetsiaalne utiliit, vaadake linki.
• Trojan.Encoder858, Trojan.Encoder.741- CureIt utiliit suudab need pahavara tuvastada. Neil on sarnased nimed, kuid numbrid nime lõpus võivad erineda. Otsime dekoodrit viiruse nime järgi või kui kasutate litsentsitud Dr.Webi, võite kasutada spetsiaalset ressurssi.
• CryptoLacker- failide tagasi saamiseks külastage seda saiti ja looge selle kaudu dokumentide taastamiseks spetsiaalne programm.

Hiljuti lõi Kaspersky Lab koostöös oma kolleegidega Hollandist dekrüpteerija, mis võimaldab taastada faile pärast seda, kui viirus on nendega töötanud. CoinVault.

Kommentaarides saate jagada oma meetodeid failide dekrüpteerimiseks, sest see teave on kasulik teistele kasutajatele, kes võivad sellise pahatahtliku tarkvaraga kokku puutuda.

Võitle uute viirusohtude – lunavara vastu

Hiljuti kirjutasime, et võrgus levivad uued ohud - lunavaraviirused või laiemalt faile krüpteerivad viirused, nende kohta saab lähemalt lugeda meie kodulehelt sellelt lingilt.

Selles teemas räägime teile, kuidas saate viiruse poolt krüptitud andmeid tagastada, selleks kasutame kahte dekrüpteerijat, viirusetõrjetest "Kaspersky" ja "Doctor Web", need on kõige tõhusamad meetodid krüptitud teabe tagastamiseks. .

1. Laadige linkidelt alla utiliidid failide dekrüpteerimiseks: Kaspersky ja Dr.WEB

Või dekrüpteerijad kindlat tüüpi krüptitud failide jaoks, mis asuvad.

2. Esiteks proovime failid Kaspersky programmi abil dekrüpteerida:

2.1. Käivitage programm Kaspersky Decryptor, kui see küsib mingit toimingut, näiteks käivitamise õigusi - käivitage see, kui küsib värskendust - värskendage seda, suurendab see krüptitud andmete tagastamise võimalusi

2.2. Failide dekrüpteerimise programmi ilmuvas aknas näeme mitut nuppu. Seadistage lisaparameetrid ja alustage kontrollimist.

2.3. Kui peate valima täiendavaid parameetreid ja märkima, kust krüptitud faile otsida, ja vajadusel kustutama pärast dekrüpteerimist, ei soovita ma seda valikut valida, faile ei dekrüpteerita alati õigesti!

2.4. Alustame skannimist ja ootame viiruse poolt krüpteeritud andmete dekrüpteerimist.

3. Kui esimene meetod ei aidanud. Püüame faile dekrüpteerida, kasutades Dr. VÕRK

3.1. Kui olete dekrüpteerimisrakenduse alla laadinud, pange see näiteks ketta "C:" juuresse., seega peaks fail "te102decrypt.exe" olema saadaval aadressil "c: \ te102decrypt.exe"

3.2. Nüüd minge käsureale(Käivita - otsing - sisestage "CMD" ilma jutumärkideta - käivitage, vajutades sisestusklahvi)

3.3. Failide dekrüpteerimise alustamiseks kirjutame ette käsu "c: \ te102decrypt.exe -k 86 -e (lunavarakood)"... Lunavarakood on faili lõppu lisatud laiend, näiteks " [e-postiga kaitstud] _45jhj "- kirjutage ilma jutumärkide ja sulgudeta, jälgides tühikuid. Peaksite saama midagi sellist nagu c: \ te102decrypt.exe -k 86 -e [e-postiga kaitstud] _45jhj

3.4. Vajutage sisestusklahvi ja oodake, kuni failid dekrüpteeritakse mis olid krüptitud, mõnel juhul luuakse dekrüpteeritud failidest mitu koopiat, proovite neid käivitada, see dekrüpteeritud faili koopia, mis avaneb normaalselt - salvestage, ülejäänud saab kustutada.

Laadige alla ülejäänud failidekoodrid:

Tähelepanu: Salvestage kindlasti krüptitud failide koopiad välisele andmekandjale või muule arvutile. Allpool esitatud dekrüpteerijad ei pruugi faile dekrüpteerida, vaid neid ainult rikkuda!

Dekrüpteerijat on kõige parem käivitada virtuaalmasinas või spetsiaalselt ettevalmistatud arvutis, olles eelnevalt neisse mitu faili alla laadinud.

Allpool esitatud dekoodrid töötavad järgmiselt: Näiteks on teie failid krüptitud amba krüpteerimistööriistaga ja failid nägid välja nagu "Contract.doc.amba" või "Account.xls.amba", siis laadime alla amba-failide dekrüpteerija ja käivitame selle, see leiab kõik selle laiendiga failid ja dekrüpteerige see, kuid taaskord kaitske ennast ja esialgu krüptitud failide varundamine vastasel juhul võite oma valesti dekrüptitud andmed igaveseks kaotada!

Kui te ei soovi riskida, siis saatke meile paar faili, olles eelnevalt tagasisidevormi kaudu ühendust võtnud, käivitame dekoodri spetsiaalselt selleks ettevalmistatud Internetist eraldatud arvutis.

Esitatud faile kontrollis Kaspersky Anti-Virus uusim versioon ja uusimad andmebaasi värskendused.

See, et Internet on viiruseid täis, ei üllata tänapäeval kedagi. Paljud kasutajad tajuvad olukordi, mis on seotud nende mõjuga süsteemidele või isikuandmetele, pehmelt öeldes silma kinni pigistades, kuid ainult seni, kuni krüpteerimisviirus konkreetselt süsteemi elama hakkab. Enamik tavakasutajaid ei tea, kuidas kõvakettale salvestatud andmeid ravida ja dekrüpteerida. Seetõttu on see kontingent "juhitud" ründajate esitatud nõudmistele. Kuid vaatame, mida saate teha, kui selline oht tuvastatakse või takistada selle sisenemist süsteemi.

Mis on lunavaraviirus?

Seda tüüpi oht kasutab standardseid ja mittestandardseid failide krüpteerimisalgoritme, mis muudavad nende sisu täielikult ja blokeerivad juurdepääsu. Näiteks on pärast viirusega kokkupuudet täiesti võimatu avada krüptitud tekstifaili lugemiseks või redigeerimiseks, samuti multimeediumisisu (graafika, video või heli) esitamine. Isegi standardsed toimingud objektide kopeerimiseks või teisaldamiseks pole saadaval.

Viiruse tarkvaraline täidis on vahend, mis krüpteerib andmed nii, et nende algset olekut pole alati võimalik taastada isegi pärast ohu eemaldamist süsteemist. Tavaliselt loovad sellised pahatahtlikud programmid oma koopiad ja settivad süsteemi väga sügavale, mistõttu võib mõnikord olla failide krüpteerimisviiruse eemaldamine täiesti võimatu. Põhiprogrammi desinstallides või viiruse põhiosa kustutades ei vabane kasutaja ohu mõjust, rääkimata krüpteeritud teabe taastamisest.

Kuidas oht süsteemi satub?

Reeglina on seda tüüpi ähvardused suunatud enamasti suurtele äristruktuuridele ja võivad arvutitesse tungida läbi meiliprogrammide, kui töötaja avab e-kirjas väidetavalt lisatud dokumendi, mis on näiteks mingisuguse koostöölepingu lisa või kaupade tarnimise plaan (kahtlastest allikatest pärit investeeringutega kommertspakkumised on viiruse esimene tee).

Häda on selles, et lokaalsele võrgule ligipääsu omavas masinas olev lunavaraviirus suudab ka selles kohaneda, luues oma koopiad mitte ainult võrgukeskkonnas, vaid ka administraatori terminalis, kui sellel puudub vajalik kaitse viirusetõrjetarkvara kujul.tulemüür või tulemüür.

Mõnikord võivad sellised ohud tungida ka tavakasutajate arvutisüsteemidesse, mis üldiselt ei paku küberkurjategijatele huvi. See juhtub mõne kahtlastest Interneti-ressurssidest alla laaditud programmide installimise ajal. Paljud kasutajad eiravad allalaadimist alustades viirusetõrjesüsteemi hoiatusi ega pööra installeerimise ajal tähelepanu soovitustele installida brauseritele täiendavat tarkvara, paneele või pistikprogramme ning siis, kui nad ütle, hammustage küünarnukke.

Viiruste sordid ja veidi ajalugu

Põhimõtteliselt klassifitseeritakse seda tüüpi ohud, eriti kõige ohtlikum lunavaraviirus No_more_ransom, mitte ainult andmete krüptimise või neile juurdepääsu blokeerimise vahenditeks. Tegelikult liigitatakse kõik sellised pahatahtlikud rakendused lunavaraks. Teisisõnu nõuavad küberkurjategijad teabe dekrüpteerimise eest teatud summat raha, kuna usuvad, et seda protsessi on ilma esialgse programmita võimatu läbi viia. See on osaliselt nii.

Kui aga süveneda ajalukku, märkate, et üks esimesi seda tüüpi viiruseid, ehkki rahanõudeid ei seadnud, oli kurikuulus I Love You aplett, mis krüpteeris kasutajasüsteemides täielikult multimeediumifailid (peamiselt muusikapalad). . Failide dekrüpteerimine pärast lunavaraviirust osutus toona võimatuks. Nüüd saab just selle ohuga elementaarselt toime tulla.

Kuid viiruste endi või kasutatavate krüpteerimisalgoritmide arendamine ei seisa paigal. Mis viirustest puudu on - siin on XTBL, CBF ja Breaking_Bad ja [e-postiga kaitstud] ja hunnik muid vastikuid asju.

Kasutajafailide mõjutamise tehnika

Ja kui veel hiljuti viidi enamik rünnakuid läbi AES-krüpteerimisel põhinevate RSA-1024 algoritmide abil sama bitisusega, siis tänapäeval esitatakse sama No_more_ransom lunavaraviirus mitmes tõlgenduses, kasutades RSA-2048 ja isegi RSA-3072 tehnoloogiatel põhinevaid krüpteerimisvõtmeid.

Kasutatud algoritmide dekrüpteerimisprobleemid

Probleem on selles, et tänapäevased dekrüpteerimissüsteemid on sellise ohu ees jõuetud. Failide dekrüpteerimine pärast AES256-l põhinevat lunavaraviirust on endiselt mõnevõrra toetatud ja suurema võtme bitikiirusega kehitavad peaaegu kõik arendajad vaid õlgu. Seda, muide, on ametlikult kinnitanud Kaspersky Labi ja Eseti spetsialistid.

Kõige primitiivsemas versioonis palutakse tugiteenusega ühendust võtnud kasutajal saata krüptitud fail ja selle originaal võrdluseks ning edasisteks toiminguteks krüpteerimisalgoritmi ja taastamismeetodite määramiseks. Kuid reeglina see enamikul juhtudel ei tööta. Kuid lunavaraviirus suudab faile iseseisvalt dekrüpteerida, nagu arvatakse, eeldusel, et ohver nõustub ründajate tingimustega ja maksab teatud summa rahas. Selline küsimuse sõnastus tekitab aga õigustatud kahtlusi. Ja sellepärast.

Krüpteerimisviirus: kuidas faile ravida ja dekrüpteerida ning kas seda saab teha?

Väidetavalt aktiveerivad häkkerid pärast makse sooritamist dekrüpteerimise kaugjuurdepääsu kaudu oma süsteemis olevale viirusele või täiendava apleti kaudu, kui viiruse keha on eemaldatud. See tundub rohkem kui kahtlane.

Tahaksin ka märkida, et Internet on täis võltspostitusi, mis kinnitavad, et nende sõnul on nõutav summa makstud ja andmed on edukalt taastatud. See kõik on vale! Ja tõesti – kus on garantii, et peale maksmist krüpteerimisviirus süsteemis uuesti ei aktiveeru? Sissemurdjate psühholoogiast pole raske aru saada: kui maksad üks kord, maksad uuesti. Ja kui me räägime eriti olulisest teabest nagu konkreetsed ärilised, teaduslikud või sõjalised arengud, siis on sellise teabe omanikud valmis maksma nii palju kui vaja, et failid jääksid terveks ja turvaliseks.

Esimene abinõu ohu kõrvaldamiseks

See on lunavaraviiruse olemus. Kuidas desinfitseerida ja dekrüpteerida faile pärast ohtu sattumist? Jah, mitte mingil juhul, kui käepärast pole tööriistu, mis samuti alati ei aita. Aga sa võid proovida.

Oletame, et süsteemi on ilmunud lunavaraviirus. Kuidas nakatunud faile desinfitseerida? Esiteks peaksite tegema põhjaliku süsteemikontrolli ilma S.M.A.R.T.-tehnoloogiat kasutamata, mis tuvastab ohud ainult siis, kui alglaadimissektorid ja süsteemifailid on kahjustatud.

Soovitatav on mitte kasutada olemasolevat standardskannerit, mis on ohust juba mööda saatnud, vaid kasutada kaasaskantavaid utiliite. Parim variant oleks käivitada Kaspersky Rescue Diskilt, mis võib käivituda juba enne operatsioonisüsteemi tööle hakkamist.

Kuid see on vaid pool võitu, sest nii saate vabaneda ainult viirusest endast. Kuid dekoodriga on see keerulisem. Aga sellest pikemalt hiljem.

On veel üks kategooria, kuhu lunavaraviirused kuuluvad. Teabe dekrüpteerimisest räägitakse eraldi, kuid praegu peatume sellel, et need võivad ametlikult installitud programmide ja rakenduste kujul süsteemis täiesti avalikult eksisteerida (ründajate jultumusel pole piire, kuna oht isegi mitte üritada end varjata).

Sel juhul peaksite kasutama programmide ja komponentide jaotist, kus tehakse standardne desinstallimine. Siiski peaksite pöörama tähelepanu ka sellele, et tavaline Windowsi desinstaller ei kustuta kõiki programmifaile täielikult. Eelkõige suudab lunavaraviirus luua oma kaustu süsteemi juurkataloogidesse (tavaliselt on need Csrss kataloogid, kus asub samanimeline täitmisfail csrss.exe). Põhiasukohaks on valitud Windows, System32 või kasutajakataloogid (kasutajad süsteemidraivil).

Lisaks kirjutab lunavaraviirus No_more_ransom oma võtmed registrisse lingina näiliselt ametlikule süsteemiteenusele Client Server Runtime Subsystem, mis on paljude jaoks eksitav, kuna see teenus peaks vastutama kliendi- ja serveritarkvara vahelise suhtluse eest. . Võti ise asub Run kaustas, kuhu pääseb HKLM-i haru kaudu. On selge, et peate sellised võtmed käsitsi kustutama.

Selle hõlbustamiseks võite kasutada utiliite, nagu iObit Uninstaller, mis otsivad allesjäänud faile ja registrivõtmeid automaatselt (aga ainult siis, kui viirus on süsteemis nähtav installitud rakendusena). Kuid see on kõige lihtsam asi.

Viirusetõrjetarkvara arendajate pakutavad lahendused

Arvatakse, et lunavaraviiruse dekrüpteerimist saab teha spetsiaalsete utiliitide abil, kuigi kui teil on 2048- või 3072-bitise võtmega tehnoloogiad, ei tohiks te neile loota (pealegi kustutavad paljud neist pärast dekrüpteerimist failid ja seejärel taastatud failid kaovad tõrke tõttu viiruse keha olemasolu, mida pole varem eemaldatud).

Sellegipoolest võite proovida. Kõigist programmidest väärivad esiletõstmist RectorDecryptor ja ShadowExplorer. Arvatakse, et midagi paremat pole seni loodud. Kuid probleem võib olla ka selles, et kui proovite dekrüpteerijat kasutada, pole mingit garantiid, et desinfitseeritavaid faile ei kustutata. See tähendab, et kui te esialgu viirusest lahti ei saa, on kõik dekrüpteerimiskatsed määratud läbikukkumisele.

Lisaks krüpteeritud teabe kustutamisele võib see ka saatuslikuks saada – kogu süsteem ei tööta. Lisaks on kaasaegne lunavaraviirus võimeline mõjutama mitte ainult arvuti kõvakettale salvestatud andmeid, vaid ka pilvesalvestuses olevaid faile. Ja siin pole teabe taastamiseks lahendusi. Lisaks, nagu selgus, võtavad paljud teenused ebapiisavalt tõhusaid kaitsemeetmeid (sama sisseehitatud OneDrive Windows 10-s, mis on avatud otse operatsioonisüsteemist).

Radikaalne lahendus probleemile

Nagu juba selge, ei anna enamik kaasaegseid meetodeid selliste viirustega nakatumisel positiivset tulemust. Muidugi, kui kahjustatud failist on originaal, saab selle saata viirusetõrje laborisse kontrolli. Tõsi, on ka väga tõsiseid kahtlusi, et tavakasutaja loob andmetest varukoopiaid, mis kõvakettale salvestatuna võivad samuti sattuda pahatahtliku koodiga kokku. Ja sellest, et probleemide vältimiseks kopeerivad kasutajad teavet irdkandjale, me ei räägi üldse.

Seega soovitab probleemi radikaalseks lahenduseks järeldus: kõvaketta ja kõigi loogiliste partitsioonide täielik vormindamine koos teabe kustutamisega. Mida siis teha? Peate annetama, kui te ei soovi, et viirus või selle ise salvestatud koopia uuesti süsteemis aktiveeritaks.

Selleks ei tohiks te kasutada Windowsi süsteemide tööriistu (pean silmas virtuaalsete partitsioonide vormindamist, kuna süsteemikettale juurdepääsu proovimisel antakse keeld). Parem on kasutada käivitamist optiliselt meediumilt (nt LiveCD-d) või installijaotustelt (nt need, mis on loodud Windows 10 jaoks mõeldud meediumiloomise tööriista abil).

Kui viirus on süsteemist eemaldatud, võite enne vormindamise alustamist proovida süsteemikomponentide terviklikkust käsurea (sfc / scannow) kaudu taastada, kuid see ei mõjuta andmete dekrüpteerimist ja avamist. Seetõttu on formaat c: ainuõige võimalik lahendus, meeldib see sulle või mitte. See on ainus viis seda tüüpi ohtudest täielikult vabaneda. Kahjuks pole muud võimalust! Isegi ravi enamiku viirusetõrjepakettide pakutavate standardsete tööriistadega on jõuetu.

Järelsõna asemel

Järelduste tegemise osas võib vaid öelda, et tänapäeval ei ole ühest ja universaalset lahendust selliste ohtude tagajärgede likvideerimiseks (kahjuks, kuid tõsiasi – seda kinnitab enamik viirusetõrjetarkvara arendajaid ja spetsialiste krüptograafia valdkonnas).

Jääb arusaamatuks, miks 1024-, 2048- ja 3072-bitisel krüptimisel põhinevate algoritmide tekkimine läks nende tehnoloogiate väljatöötamisega ja juurutamisega otseselt seotud isikute poolt? Tõepoolest, tänapäeval peetakse AES256 algoritmi kõige lootustandvamaks ja turvalisemaks. Märka! 256! See süsteem, nagu selgub, ei sobi tänapäevaste viiruste jaoks. Mida saame siis öelda nende võtmete dekrüpteerimise katsete kohta?

Olgu kuidas on, on üsna lihtne vältida ohu sissetoomist süsteemi. Lihtsamal juhul peaksite Outlookis, Thunderbirdis ja teistes meiliklientides kõik sissetulevad kirjad koos manustega kohe pärast saamist viirusetõrjega skannima ja mitte mingil juhul avama manuseid enne, kui kontroll on lõppenud. Samuti peaksite mõne programmi installimisel hoolikalt läbi lugema soovitused lisatarkvara installimiseks (tavaliselt on need kirjutatud väga väikeses kirjas või varjatud tavaliste lisandmoodulitena, nagu Flash Playeri värskendamine või midagi muud). Parem on meediumikomponente värskendada ametlike saitide kaudu. See on ainus viis vähemalt kuidagi takistada selliste ohtude tungimist teie enda süsteemi. Tagajärjed võivad olla täiesti ettearvamatud, arvestades, et seda tüüpi viirused levivad koheselt kohalikus võrgus. Ja ettevõtte jaoks võib selline sündmuste pööre muutuda kõigi ettevõtmiste tõeliseks kokkuvarisemiseks.

Lõpuks ei tohiks süsteemiadministraator tegevusetult istuda. Tarkvarakaitsevahendid on sellises olukorras parem välja jätta. Sama tulemüür (tulemüür) ei tohiks olla tarkvara, vaid "riistvara" (loomulikult koos kaasasoleva tarkvaraga). Ja ütlematagi selge, et ka viirusetõrjepakettide ostmisel ei tasu kokku hoida. Parem on osta litsentsitud pakett ja mitte installida primitiivseid programme, mis väidetavalt pakuvad reaalajas kaitset ainult arendaja sõnade järgi.

Ja kui oht on juba süsteemi sisenenud, peaks toimingute jada hõlmama viiruse keha enda eemaldamist ja alles seejärel katseid kahjustatud andmeid dekrüpteerida. Ideaalis - täielik vormindamine (pidage meeles, mitte kiire sisukorra puhastamisega, vaid täielik vormindamine, eelistatavalt olemasoleva failisüsteemi, alglaadimissektorite ja kirjete taastamise või asendamisega).