فایل را رمزگشایی کنید. فایل های شما رمزگذاری شده اند - چه باید کرد؟ اگر همه داده های مهم رمزگذاری شده باشند چه باید کرد

به طور معمول، کار برنامه های مخرب با هدف به دست آوردن کنترل بر روی رایانه، ترکیب آن در یک شبکه زامبی، یا سرقت اطلاعات شخصی است. یک کاربر بی توجه ممکن است برای مدت طولانی متوجه آلوده شدن سیستم نشود. اما ویروس‌های باج‌افزار، به‌ویژه xtbl، به روشی کاملاً متفاوت کار می‌کنند. آنها با رمزگذاری آنها با پیچیده ترین الگوریتم و درخواست مبلغ زیادی از مالک برای توانایی بازیابی اطلاعات، فایل های کاربر را غیرقابل استفاده می کنند.

علت مشکل: ویروس xtbl

ویروس باج افزار xtbl نام خود را از این واقعیت گرفته است که اسناد کاربر رمزگذاری شده توسط آن پسوند xtbl. را دریافت می کنند. معمولاً رمزگذارها کلیدی را در بدنه فایل می گذارند تا یک برنامه رمزگشای جهانی بتواند اطلاعات را به شکل اصلی بازیابی کند. با این حال، این ویروس برای اهداف دیگری در نظر گرفته شده است، بنابراین به جای کلید، پیشنهادی برای پرداخت مبلغ مشخصی با استفاده از جزئیات حساب ناشناس روی صفحه ظاهر می شود.

نحوه عملکرد ویروس xtbl

ویروس از طریق پیام‌های ایمیل با پیوست‌های آلوده، که فایل‌های برنامه‌های اداری هستند، وارد رایانه می‌شود. پس از اینکه کاربر محتویات پیام را باز کرد، بدافزار شروع به جستجوی عکس ها، کلیدها، فیلم ها، اسناد و غیره می کند و سپس با استفاده از یک الگوریتم پیچیده اصلی (رمزگذاری ترکیبی) آنها را به حافظه های xtbl تبدیل می کند.

این ویروس از پوشه های سیستم برای ذخیره فایل های خود استفاده می کند.

این ویروس خود را به لیست راه اندازی اضافه می کند. برای انجام این کار، او ورودی هایی را به رجیستری ویندوز در بخش های زیر اضافه می کند:

  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

رایانه آلوده به طور پایدار کار می کند ، سیستم "خراش" نمی شود ، اما همیشه یک برنامه کوچک (یا دو) با نام نامفهوم در RAM وجود دارد. و پوشه های حاوی فایل های کاری کاربر ظاهر عجیبی به خود می گیرند.

به جای یک صفحه نمایش اسپلش، یک پیام روی دسکتاپ ظاهر می شود:

فایل های شما رمزگذاری شده اند. برای رمزگشایی آنها، باید کد را به آدرس ایمیل ارسال کنید: [ایمیل محافظت شده](کد زیر است). سپس دستورالعمل های بیشتری دریافت خواهید کرد. تلاش های مستقل برای رمزگشایی فایل ها منجر به نابودی کامل آنها می شود.

همان متن در فایل How to decrypt your files.txt ایجاد شده است. آدرس ایمیل، کد، مبلغ درخواستی ممکن است متفاوت باشد.

اغلب، برخی از کلاهبرداران از دیگران درآمد کسب می کنند - شماره کیف پول الکترونیکی باج افزار در بدنه ویروس قرار می گیرد و راهی برای رمزگشایی فایل ها وجود ندارد. بنابراین یک کاربر ساده لوح، با ارسال پول، در ازای آن چیزی دریافت نمی کند.

چرا نباید باج افزار پرداخت کنید

موافقت با اخاذی ها نه تنها به دلیل اصول اخلاقی غیرممکن است. این از نظر عملی غیر منطقی است.

  • تقلب این یک واقعیت نیست که مهاجمان می توانند فایل های شما را رمزگشایی کنند. یکی از عکس‌های ظاهراً رمزگشایی شده که به شما بازگردانده شده است نیز به عنوان مدرک استفاده نمی‌شود - ممکن است به سادگی عکس اصلی دزدیده شده قبل از رمزگذاری باشد. پول پرداخت شده بی فایده خواهد ماند.
  • تکرارپذیری با تأیید تمایل خود به پرداخت، طعمه مطلوب تری برای حمله تکراری خواهید شد. شاید دفعه بعد فایل‌های شما پسوند متفاوتی داشته باشند و پیام دیگری در صفحه نمایش ظاهر شود، اما پول به دست همان افراد خواهد رفت.
  • محرمانه بودن در حالی که فایل ها رمزگذاری شده اند، در رایانه شما هستند. پس از توافق با "شرورهای صادق"، مجبور خواهید شد تمام اطلاعات شخصی خود را برای آنها ارسال کنید. این الگوریتم دریافت یک کلید و رمزگشایی آن را به تنهایی فراهم نمی کند، فقط فایل ها را به رمزگشا ارسال می کند.
  • عفونت کامپیوتری رایانه شما هنوز آلوده است، بنابراین رمزگشایی فایل راه حل کاملی برای مشکل نیست.

    • چگونه از سیستم خود در برابر ویروس محافظت کنیم

    قوانین جهانی برای محافظت در برابر بدافزار و به حداقل رساندن آسیب در این مورد نیز کمک خواهد کرد.

  • مراقب ارتباطات معمولی باشید. بدون نیاز به باز کردن ایمیل های دریافتی از فرستندگان ناشناس، از جمله تبلیغات و پیشنهادات جایزه. در موارد شدید، می توانید با ذخیره کردن پیوست روی دیسک و بررسی آن با یک آنتی ویروس، آنها را بخوانید.
  • از حفاظت بهره مند شوید. برنامه‌های آنتی‌ویروس دائماً کدهای مخرب را به کتابخانه‌های خود اضافه می‌کنند، بنابراین نسخه فعلی مدافع اجازه نمی‌دهد بیشتر ویروس‌ها وارد رایانه شما شوند.
  • توزیع دسترسی اگر ویروس از طریق حساب مدیر نفوذ کند، آسیب بسیار بیشتری وارد می کند. بهتر است از طرف کاربر کار کنید و در نتیجه احتمال عفونت را به شدت کاهش دهید.
  • پشتیبان گیری ایجاد کنید. اطلاعات مهم باید به طور منظم در رسانه خارجی که جدا از رایانه شما ذخیره شده است کپی شود. همچنین، ایجاد نقاط بازیابی ویندوز پشتیبان را فراموش نکنید.

    • آیا امکان بازیابی اطلاعات رمزگذاری شده وجود دارد؟

    خبر خوب: بازیابی اطلاعات امکان پذیر است. بد: شما نمی توانید این کار را به تنهایی انجام دهید. دلیل این امر خاص بودن الگوریتم رمزگذاری است که انتخاب کلید آن به منابع و دانش انباشته بسیار بیشتری نسبت به یک کاربر معمولی نیاز دارد. خوشبختانه، توسعه دهندگان آنتی ویروس مقابله با هر برنامه مخرب را یک امر افتخاری می دانند، بنابراین حتی اگر در حال حاضر قادر به مقابله با باج افزار شما نباشند، مطمئناً یک یا دو ماه دیگر راه حلی برای آن پیدا خواهند کرد. ما باید صبور باشیم

    به دلیل نیاز به تماس با متخصصان، الگوریتم کار با رایانه آلوده در حال تغییر است. به عنوان یک قاعده کلی، هر چه تغییرات کمتر باشد بهتر است.آنتی ویروس ها روش درمان را بر اساس ویژگی های عمومی یک برنامه مخرب تعیین می کنند؛ بنابراین فایل های آلوده منبع اطلاعات مهمی برای آنها هستند. آنها باید تنها پس از حل مشکل اصلی حذف شوند.

    قانون دوم این است که به هر قیمتی کار ویروس را قطع کنید. شاید او هنوز تمام اطلاعات را خراب نکرده است و ردپایی از باج افزار در رم باقی مانده است که با کمک آن می توان او را شناسایی کرد. بنابراین، شما باید بلافاصله کامپیوتر را از شبکه خاموش کنید و با فشار طولانی دکمه شبکه، لپ تاپ را خاموش کنید. این بار، روش استاندارد خاموش کردن "دقت"، که امکان تکمیل صحیح همه فرآیندها را فراهم می کند، کار نخواهد کرد، زیرا یکی از آنها رمزگذاری اطلاعات شما است.

    بازیابی فایل های رمزگذاری شده

    اگر موفق شدید کامپیوتر خود را خاموش کنید

    اگر موفق شدید کامپیوتر خود را قبل از پایان فرآیند رمزگذاری خاموش کنید، دیگر نیازی نیست خودتان آن را روشن کنید. "بیمار" را مستقیماً نزد متخصصان ببرید، رمزگذاری قطع شده به طور قابل توجهی شانس ذخیره پرونده های شخصی را افزایش می دهد. در اینجا شما همچنین می توانید رسانه ذخیره سازی خود را در حالت ایمن بررسی کنید و نسخه پشتیبان تهیه کنید. با احتمال زیاد، خود ویروس شناخته می شود، بنابراین درمان آن موفقیت آمیز خواهد بود.

    اگر رمزگذاری کامل شود

    متاسفانه، احتمال قطع موفقیت آمیز فرآیند رمزگذاری بسیار کم است. معمولاً ویروس زمان دارد تا فایل ها را رمزگذاری کند و آثار غیر ضروری را از رایانه حذف کند. و اکنون شما دو مشکل دارید: ویندوز هنوز آلوده است و فایل های شخصی به یک مجموعه کاراکتر تبدیل شده اند. برای حل مشکل دوم، باید از شرکت های سازنده نرم افزارهای آنتی ویروس کمک گرفت.

    دکتر وب

    آزمایشگاه Dr.Web خدمات رمزگشایی خود را به صورت رایگان فقط برای دارندگان مجوزهای تجاری ارائه می دهد. به عبارت دیگر، اگر هنوز مشتری آنها نیستید، اما می خواهید فایل های خود را بازیابی کنید، باید برنامه را خریداری کنید. با توجه به شرایط فعلی، این سرمایه گذاری درستی است.

    مرحله بعدی این است که به وب سایت سازنده بروید و فرم ورود را پر کنید.

    اگر در بین فایل های رمزگذاری شده نسخه هایی از آنها در رسانه های خارجی ذخیره شده باشد، انتقال آنها کار رمزگشاها را بسیار تسهیل می کند.

    کسپرسکی

    آزمایشگاه کسپرسکی ابزار رمزگشایی خود به نام RectorDecryptor را توسعه داده است که می‌توان آن را از وب‌سایت رسمی شرکت در رایانه دانلود کرد.

    هر نسخه از سیستم عامل، از جمله ویندوز 7، ابزار کاربردی خاص خود را دارد. پس از بارگذاری، دکمه "شروع بررسی" را فشار دهید.

    اگر ویروس نسبتاً جدید باشد، ممکن است خدمات کمی طول بکشد. در این حالت معمولاً شرکت یک اعلان ارسال می کند. گاهی اوقات رمزگشایی ممکن است چندین ماه طول بکشد.

    سایر خدمات

    سرویس های بیشتری با عملکردهای مشابه وجود دارد که نشان دهنده تقاضا برای خدمات رمزگشایی است. الگوریتم اقدامات یکسان است: به سایت بروید (به عنوان مثال https://decryptolocker.com/)، ثبت نام کنید و فایل رمزگذاری شده را ارسال کنید.

    برنامه های رمزگشا

    تعداد زیادی "رمزگشاهای جهانی" (البته پولی) در شبکه وجود دارد، اما مفید بودن آنها مشکوک است. البته اگر خود تولیدکنندگان ویروس رمزگشا بنویسند با موفقیت کار می کند اما همین برنامه برای یک برنامه مخرب دیگر بی فایده خواهد بود. علاوه بر این، متخصصانی که مرتباً با ویروس‌ها مواجه می‌شوند معمولاً یک بسته کامل از ابزارهای ضروری دارند، بنابراین همه برنامه‌های کاری را با احتمال بالا در اختیار دارند. خرید چنین رمزگشایی احتمالاً هدر دادن پول است.

    نحوه رمزگشایی فایل ها با استفاده از آزمایشگاه کسپرسکی - ویدئو

    بازیابی اطلاعات سلف سرویس

    اگر به دلایلی تماس با متخصصان شخص ثالث غیرممکن است، می توانید سعی کنید اطلاعات را به تنهایی بازیابی کنید. بیایید رزرو کنیم که در صورت خرابی، ممکن است فایل ها برای همیشه از بین بروند.

    بازیابی فایل های پاک شده

    پس از رمزگذاری، ویروس فایل های اصلی را حذف می کند. با این حال، ویندوز 7 تمام اطلاعات حذف شده را در قالب یک کپی به اصطلاح سایه ای برای مدتی ذخیره می کند.

    ShadowExplorer

    ShadowExplorer ابزاری است که برای بازیابی فایل ها از کپی های سایه آنها طراحی شده است.

  • برای نصب، به سایت توسعه دهنده رفته و آرشیو را دانلود کنید، پس از باز کردن آن، ماژول اجرایی در پوشه ShadowExplorerPortable با همین نام ذخیره می شود. یک میانبر برای راه اندازی سریع روی دسکتاپ ظاهر می شود.
  • علاوه بر این، همه اقدامات بصری هستند. برنامه را اجرا کنید و در پنجره بالا سمت چپ دیسکی را که اطلاعات در آن ذخیره شده و تاریخ ایجاد کپی سایه را انتخاب کنید. شما به آخرین تاریخ نیاز دارید.
  • حال قسمتی را که حاوی فایل های کاری است پیدا کنید و روی آن کلیک راست کنید. در منوی زمینه که باز می شود، Export را انتخاب کنید، سپس مسیر ذخیره فایل های بازیابی شده را مشخص کنید. برنامه تمام کپی های سایه موجود در این پوشه را پیدا کرده و آنها را به مقصد صادر می کند.

    • PhotoRec

    ابزار رایگان PhotoRec به همین روش کار می کند، اما در حالت دسته ای.

  • آرشیو را از سایت توسعه دهنده دانلود کنید و آن را روی دیسک باز کنید. فایل اجرایی QPhotoRec_Win نام دارد.
  • پس از راه اندازی برنامه، یک کادر محاوره ای لیستی از تمام دستگاه های دیسک موجود را نشان می دهد. جایی که فایل های رمزگذاری شده در آن ذخیره شده اند را انتخاب کنید و مسیر ذخیره کپی های بازیابی شده را مشخص کنید.

    برای ذخیره سازی، بهتر است از یک رسانه خارجی مانند یک USB استفاده کنید، زیرا هر نوشتن روی دیسک با پاک کردن کپی های سایه خطرناک است.

  • با انتخاب دایرکتوری های مورد نظر، دکمه قالب های فایل را فشار دهید.
  • منوی کشویی لیستی از انواع فایل هایی است که برنامه می تواند بازیابی کند. به طور پیش فرض، یک علامت تیک در کنار هر کدام وجود دارد، اما برای سرعت بخشیدن به کار، می توانید "چک باکس های" غیر ضروری را حذف کنید و فقط موارد مربوط به انواع فایل های در حال بازیابی را باقی بگذارید. وقتی انتخاب خود را به پایان رساندید، دکمه OK را روی صفحه فشار دهید.
  • پس از تکمیل انتخاب، کلید نرم افزار جستجو در دسترس می شود. روی آن کلیک کنید. روند بهبودی فرآیندی زمان بر است، پس لطفا صبور باشید.
  • پس از انتظار برای تکمیل فرآیند، دکمه Quit روی صفحه را فشار دهید و از برنامه خارج شوید.
  • فایل های بازیابی شده در دایرکتوری مشخص شده قبلی قرار دارند و در پوشه هایی با نام های مشابه recup_dir.1، recup_dir.2، recup_dir.3 و غیره مرتب شده اند. هر کدام را یکی یکی مرور کنید و به نام اصلی خود برگردانید.

    • حذف ویروس

    از آنجایی که ویروس وارد رایانه شد، برنامه های امنیتی نصب شده با وظایف خود مقابله نکردند. می توانید کمک شخص ثالث را امتحان کنید.

    مهم! حذف ویروس کامپیوتر را درمان می کند، اما فایل های رمزگذاری شده را بازیابی نمی کند. علاوه بر این، نصب نرم‌افزار جدید می‌تواند به برخی از کپی‌های سایه‌ای از فایل‌هایی که برای بازیابی آن‌ها نیاز است آسیب بزند یا پاک کند. بنابراین بهتر است اپلیکیشن ها را روی درایوهای دیگر نصب کنید.

    ابزار حذف ویروس کسپرسکی

    برنامه رایگان یک توسعه دهنده معروف نرم افزار ضد ویروس که از وب سایت آزمایشگاه کسپرسکی قابل دانلود است. پس از راه اندازی Kaspersky Virus Removal Tool، بلافاصله از شما می خواهد که اسکن را شروع کنید.

    پس از فشار دادن دکمه بزرگ روی صفحه "Start Scan"، برنامه شروع به اسکن کامپیوتر شما می کند.

    باقی مانده است که تا پایان اسکن صبر کنید و مهمانان ناخوانده پیدا شده را حذف کنید.

    ضد بدافزار Malwarebytes

    یکی دیگر از توسعه دهندگان نرم افزار آنتی ویروس، نسخه رایگان اسکنر را ارائه می دهد. الگوریتم اقدامات یکسان است:

  • فایل نصب Malwarebytes Anti-malware را از صفحه رسمی سازنده دانلود کنید، سپس نصب کننده را اجرا کنید، به سوالات پاسخ دهید و روی دکمه "بعدی" کلیک کنید.
  • پنجره اصلی به روز رسانی فوری برنامه را ارائه می دهد (روشی مفید برای تازه کردن پایگاه داده های ویروس). پس از آن، چک را با کلیک بر روی دکمه مربوطه شروع کنید.
  • Malwarebytes Anti-Malware سیستم را در مراحل اسکن می کند و نتایج موقت را نمایش می دهد.
  • ویروس های یافت شده، از جمله باج افزار، در پنجره نهایی نشان داده می شوند. با فشار دادن دکمه "Delete Selected" روی صفحه از شر آنها خلاص شوید.

    برای حذف صحیح برخی از برنامه های مخرب، Malwarebytes Anti-Malware پیشنهاد راه اندازی مجدد سیستم را می دهد، شما باید با این موافق باشید. پس از از سرگیری ویندوز، آنتی ویروس به پاکسازی ادامه خواهد داد.

    • چه کاری را نباید انجام داد

    ویروس XTBL مانند سایر ویروس های باج افزار هم به سیستم و هم به اطلاعات کاربر آسیب می زند. بنابراین، برای کاهش آسیب احتمالی، برخی از اقدامات احتیاطی باید انجام شود:

    1. منتظر پایان رمزگذاری نباشید. اگر رمزگذاری فایل در مقابل چشمان شما آغاز شده است، منتظر نمانید تا همه چیز تمام شود، یا سعی کنید با نرم افزار فرآیند را قطع کنید. بلافاصله کامپیوتر را از برق جدا کرده و با یک تکنسین خدمات تماس بگیرید.
    2. اگر می توانید به افراد حرفه ای اعتماد کنید، سعی نکنید خودتان ویروس را حذف کنید.
    3. تا پایان درمان، سیستم را دوباره نصب نکنید. این ویروس با خیال راحت سیستم جدید را نیز آلوده خواهد کرد.
    4. نام فایل های رمزگذاری شده را تغییر ندهید. این فقط کار رمزگشا را پیچیده می کند.
    5. تا زمانی که ویروس پاک نشده است سعی نکنید فایل های آلوده را در رایانه دیگری بخوانید. این می تواند عفونت را گسترش دهد.
    6. به زورگیران پول ندهید بی فایده است و سازندگان ویروس و کلاهبرداران را تشویق می کند.
    7. پیشگیری را فراموش نکنید. نصب آنتی ویروس، پشتیبان گیری منظم و ایجاد نقاط بازیابی به میزان قابل توجهی آسیب احتمالی بدافزار را کاهش می دهد.

    درمان رایانه آلوده به ویروس باج افزار یک روش طولانی است و همیشه موفقیت آمیز نیست. بنابراین، رعایت اقدامات احتیاطی هنگام به دست آوردن اطلاعات از شبکه و کار با رسانه های خارجی تایید نشده بسیار مهم است.

    روز همگی دوستان عزیز و خوانندگان وبلاگم بخیر. امروز موضوع بسیار غم انگیز خواهد بود، زیرا ویروس ها را لمس می کند. من در مورد موردی که چندی پیش در محل کارم اتفاق افتاد به شما خواهم گفت. یکی از کارمندان با صدایی آشفته در بخش به من زنگ زد: "دیما، ویروس فایل ها را روی رایانه رمزگذاری کرده است: اکنون چه باید کرد؟". بعد متوجه شدم که کیس بوی سرخ شده می دهد، اما در نهایت به دیدن او رفتم.

    آره. همه چیز غم انگیز بود. بیشتر فایل‌های روی رایانه آلوده یا رمزگذاری شده بودند: اسناد آفیس، فایل‌های PDF، پایگاه‌های داده 1C و بسیاری دیگر. به طور کلی، الاغ کامل است. احتمالاً فقط آرشیوها، برنامه ها و اسناد متنی تحت تأثیر قرار نگرفته اند (خوب، و خیلی بیشتر). همه این داده ها پسوند خود را تغییر داده اند و همچنین نام خود را به چیزی مانند sjd7gy2HjdlVnsjds تغییر داده اند.
    همچنین چندین سند یکسان README.txt روی دسکتاپ و پوشه ها ظاهر شد که صادقانه می گویند رایانه شما آلوده است و برای اینکه اقدامی نکنید، چیزی را حذف نکنید، آن را با نرم افزار آنتی ویروس چک نکنید، در غیر این صورت فایل ها برگردانده نمی شوند
    این فایل همچنین می گوید که این افراد خوب می توانند همه چیز را همانطور که بوده بازیابی کنند. برای انجام این کار، آنها باید کلید را از سند به پست خود ارسال کنند و پس از آن دستورالعمل های لازم را دریافت خواهید کرد. آنها قیمت را نمی نویسند، اما در واقع معلوم می شود که هزینه بازگشت بازگشت چیزی حدود 20000 روبل است.

    آیا داده های شما ارزش پول را دارد؟ آیا حاضرید برای از بین بردن باج افزار پول پرداخت کنید؟ شک دارم. آنچه پس از آن است که باید انجام شود؟ بیایید بعداً در مورد آن صحبت کنیم. در ضمن، بیایید همه چیز را به ترتیب شروع کنیم.

    از کجا آمده است

    این ویروس زشت باج افزار از کجا می آید؟ اینجا همه چیز خیلی ساده است. مردم آن را از طریق ایمیل دریافت می کنند. به عنوان یک قاعده، این ویروس به سازمان ها، صندوق های پستی شرکت ها نفوذ می کند، اگرچه نه تنها. در ظاهر، شما آن را برای کاکو نمی گیرید، زیرا به شکل هرزنامه نیست، بلکه از یک سازمان جدی واقعا موجود است، به عنوان مثال، ما نامه ای از ارائه دهنده Rostelecom از پست رسمی آنها دریافت کردیم.

    نامه کاملا معمولی بود مثل «طرح تعرفه های جدید برای اشخاص حقوقی». داخل یک فایل PDF است. و وقتی آن فایل را باز می کنید، جعبه پاندورا را باز می کنید. تمام فایل های مهم رمزگذاری شده و در کلمات ساده به "آجر" تبدیل می شوند. و آنتی ویروس ها فوراً این مزخرفات را نمی گیرند.

    چه کردم و چه کار نکردم

    طبیعتاً با ما ، هیچ کس نمی خواست برای این کار 20 هزار بپردازد ، زیرا اطلاعات آنقدر هزینه نداشت و علاوه بر این ، تماس با کلاهبرداران اصلاً گزینه ای نبود. و علاوه بر این، این یک واقعیت نیست که برای این مقدار همه چیز از حالت انسداد خارج می شود.

    من از طریق ابزار drweb cureit رفتم و یک ویروس پیدا کرد، اما حس کمی از آن وجود داشت، زیرا حتی پس از ویروس، فایل ها رمزگذاری شده باقی می ماندند. از بین بردن ویروس آسان بود، اما مقابله با عواقب آن بسیار دشوارتر است. من به انجمن های دکتر وب و کسپرسکی رفتم و در آنجا موضوع مورد نیاز خود را پیدا کردم و همچنین فهمیدم که نه آنجا و نه آنجا نمی توانند به رمزگشایی کمک کنند. همه چیز به شدت رمزگذاری شده بود.

    از سوی دیگر، موتورهای جستجو با نتایجی ظاهر شدند که برخی از شرکت ها فایل ها را به صورت پولی رمزگشایی می کنند. خوب، برای من جالب بود، به خصوص که معلوم شد شرکت واقعی است، واقعاً موجود است. آنها در وب سایت خود پیشنهاد کردند که پنج قطعه را به صورت رایگان رمزگشایی کنند تا توانایی های خود را نشان دهند. خب من 5 تا از مهمترین فایل ها رو از نظر خودم گرفتم و فرستادم.
    بعد از مدتی به من پاسخ دادند که همه چیز را رمزگشایی کرده اند و برای رمزگشایی کامل 22 هزار از من می گیرند. و نمی خواستند پرونده ها را به من بدهند. بنابراین من بلافاصله فرض کردم که آنها به احتمال زیاد با کلاهبرداران کار می کنند. خوب، البته آنها به جهنم فرستاده شدند.

    • با استفاده از برنامه های "Recuva" و "RStudio"
    • توسط ابزارهای مختلف اجرا می شود
    • خوب، برای آرام شدن، نمی‌توانستم تلاش نکنم (اگرچه به خوبی می‌دانستم که این کمکی نمی‌کند) به سادگی از سمت راست پیش پا افتاده است. البته براد)

    هیچ کدام از اینها برای من کار نکرد. اما من هنوز راهی برای خروج پیدا کردم. \ R \ n \ r \ nالبته، اگر به طور ناگهانی با چنین موقعیتی مواجه شدید، پس ببینید فایل ها با چه پسوندی رمزگذاری شده اند. پس از آن به http://support.kaspersky.com/viruses/disinfection/10556و ببینید کدام افزونه ها لیست شده اند. اگر برنامه افزودنی شما در لیست است، از این ابزار استفاده کنید.
    اما در هر 3 موردی که با این باج افزار دیدم، هیچ کدام از این ابزارها کمکی نکردند. به طور خاص، من با یک ویروس ملاقات کردم "کد داوینچی"و "طاق"... در حالت اول، هم نام و هم پسوند تغییر کرده و در حالت دوم فقط پسوند. به طور کلی، یک دسته کامل از این باج افزارها وجود دارد. من حرامزاده هایی مانند xtbl را می شنوم، دیگر باج نمی گیریم، بهتر است با ساول تماس بگیرید و بسیاری دیگر.

    چه کمکی کرد

    آیا تا به حال در مورد کپی های سایه شنیده اید؟ بنابراین، هنگامی که یک نقطه بازیابی ایجاد می شود، کپی های سایه ای از فایل های شما به طور خودکار ایجاد می شوند. و اگر برای فایل های شما اتفاقی افتاد، همیشه می توانید آنها را به لحظه ای که نقطه بازیابی ایجاد شده است برگردانید. یک برنامه عالی برای بازیابی فایل ها از کپی های سایه به ما در این امر کمک می کند.

    برای شروع دانلودو برنامه "Shadow Explorer" را نصب کنید. اگر آخرین نسخه شما را با مشکل مواجه کرد (این اتفاق می افتد)، نسخه قبلی را نصب کنید.

    به Shadow Explorer بروید. همانطور که می بینیم، قسمت اصلی برنامه شبیه به اکسپلورر است، یعنی. فایل ها و پوشه ها حالا به گوشه بالا سمت چپ توجه کنید. در آنجا نامه و تاریخ درایو محلی را می بینیم. این تاریخ به این معنی است که تمام فایل های ارائه شده در درایو C در آن زمان به روز هستند. من آن را در 30 نوامبر دارم. این بدان معناست که آخرین نقطه بازیابی در 30 نوامبر ایجاد شده است.
    اگر روی لیست کشویی تاریخ ها کلیک کنیم، خواهیم دید که هنوز برای کدام اعداد کپی سایه داریم. و اگر روی لیست کشویی درایوهای محلی کلیک کنید و مثلاً درایو D را انتخاب کنید، تاریخی را می بینیم که در آن فایل های واقعی داریم. اما برای رانندگی دینقاط به طور خودکار ایجاد نمی شوند، بنابراین این مورد باید در تنظیمات ثبت شود. آی تی بسیار آسان برای انجام.
    همانطور که می بینید، اگر برای دیسک سیمن یک تاریخ نسبتاً جدید دارم، سپس برای دیسک دیآخرین نقطه تقریبا یک سال پیش ایجاد شد. خوب، سپس ما این کار را نقطه به نقطه انجام می دهیم:

    همه چيز. اکنون تنها چیزی که باقی می ماند این است که صبر کنیم تا صادرات کامل شود. و سپس به همان پوشه ای که انتخاب کرده اید می رویم و همه فایل ها را از نظر باز بودن و عملکرد بررسی می کنیم. همه چیز عالیه).
    می‌دانم که اینترنت روش‌ها، ابزارهای کاربردی و غیره متفاوت دیگری را ارائه می‌کند، اما در مورد آن‌ها نمی‌نویسم، زیرا قبلاً برای سومین بار با این مشکل مواجه شده‌ام و هیچ‌وقت یک بار، چیزی جز کپی‌های سایه‌ای به من کمک نکرد. اگرچه شاید من خیلی خوش شانس نیستم).

    اما متأسفانه آخرین بار موفق شدیم فقط آن دسته از فایل هایی را که در درایو C بودند بازیابی کنیم، زیرا به طور پیش فرض نقاط فقط برای درایو C ایجاد شده بودند. بر این اساس، هیچ کپی سایه ای برای درایو D وجود نداشت. البته، شما همچنین باید به خاطر داشته باشید که چه نقاط بازیابی می تواند منجر به آن شود، بنابراین مراقب آن نیز باشید.

    و برای اینکه کپی های سایه ای برای هارد دیسک های دیگر ایجاد شوند، شما نیز به آنها نیاز دارید.

    پیشگیری

    برای جلوگیری از مشکلات بهبودی، باید پروفیلاکسی انجام دهید. برای این کار باید قوانین زیر را رعایت کنید.

    به هر حال، یک بار این ویروس فایل ها را روی یک درایو فلش USB رمزگذاری کرد، جایی که گواهی های کلیدی ما برای امضای دیجیتال ذخیره می شد. بنابراین در مورد درایوهای فلش نیز بسیار مراقب باشید.

    با احترام، دیمیتری کوستین.

    طیف گسترده ای از برنامه های مخرب وجود دارد. در میان آنها، ویروس‌های باج‌افزاری بسیار بدی وجود دارند که وقتی روی رایانه قرار می‌گیرند، شروع به رمزگذاری فایل‌های کاربر می‌کنند. در برخی موارد، شانس خوبی برای رمزگشایی فایل های شما وجود دارد، اما گاهی اوقات کار نمی کند. ما تمام اقدامات لازم را چه برای مورد اول و چه برای مورد دوم در مواردی که مورد نیاز است در نظر خواهیم گرفت.

    این ویروس ها ممکن است کمی متفاوت باشند، اما به طور کلی، عملکرد آنها همیشه یکسان است:

    • نصب بر روی کامپیوتر؛
    • رمزگذاری تمام فایل هایی که ممکن است دارای هر ارزشی باشند (اسناد، عکس).
    • هنگام تلاش برای باز کردن این فایل‌ها، از کاربر بخواهید که مبلغ مشخصی را به کیف پول یا حساب مهاجم واریز کند، در غیر این صورت دسترسی به محتوا هرگز باز نخواهد شد.

    فایل های رمزگذاری شده با ویروس در xtbl

    در حال حاضر، یک ویروس به اندازه ای گسترده شده است که می تواند فایل ها را رمزگذاری کند و پسوند آنها را به xtbl. تغییر دهد و همچنین نام آنها را با کاراکترهای کاملا تصادفی جایگزین کند.

    علاوه بر این، یک فایل ویژه با دستورالعمل در یک مکان مشخص ایجاد می شود. readme.txt... در آن، مهاجم کاربر را با این واقعیت مواجه می‌کند که تمام داده‌های مهم او رمزگذاری شده‌اند و اکنون باز کردن آن‌ها چندان آسان نیست و این را با این واقعیت تکمیل می‌کند که برای بازگرداندن همه چیز به حالت قبلی، لازم است انجام برخی اقدامات مربوط به انتقال پول به کلاهبردار (معمولاً قبل از آن، باید کد خاصی را به یکی از آدرس های ایمیل پیشنهادی ارسال کنید). اغلب چنین پیام‌هایی با یک پست اسکریپت تکمیل می‌شوند که وقتی سعی می‌کنید همه فایل‌هایتان را خودتان رمزگشایی کنید، خطر از دست دادن آن‌ها را برای همیشه دارید.

    متأسفانه در حال حاضر رسماً هیچکس نتوانسته است .xtbl را رمزگشایی کند، اگر راه کاری ظاهر شود، قطعاً در مقاله در مورد آن اطلاع رسانی خواهیم کرد. در میان کاربران کسانی هستند که تجربه مشابهی با این ویروس داشته اند و مبلغ مورد نیاز را به کلاهبرداران پرداخته و در ازای آن رمزگشایی اسناد خود را دریافت کرده اند. اما این یک گام بسیار پرخطر است، زیرا در میان مجرمان سایبری کسانی نیز وجود دارند که به‌خصوص با رمزگشایی وعده داده شده زحمت نمی‌کشند، در نهایت این پول به پایان خواهد رسید.

    میپرسی پس چیکار میکنی؟ ما نکاتی را ارائه می دهیم که به شما کمک می کند تمام داده های خود را بازگردانید و در عین حال توسط کلاهبرداران هدایت نخواهید شد و پول خود را به آنها نمی دهید. و بنابراین آنچه باید انجام شود:

    1. اگر می دانید چگونه در Task Manager کار کنید، بلافاصله رمزگذاری فایل را قطع کنید و روند مشکوک را متوقف کنید. در همان زمان، رایانه خود را از اینترنت جدا کنید - بسیاری از باج افزارها به اتصال شبکه نیاز دارند.
    2. یک تکه کاغذ بردارید و روی آن کدی را که برای مجرمان سایبری از طریق پست ارسال می شود بنویسید (تکه کاغذ زیرا ممکن است فایلی که روی آن می نویسید نیز برای خواندن غیر قابل دسترس شود).
    3. از Malwarebytes Antimalware، نسخه آزمایشی Kaspersky IS یا CureIt Antivirus برای حذف بدافزار استفاده کنید. برای اطمینان بیشتر، بهتر است به طور مداوم از تمام ابزارهای پیشنهادی استفاده کنید. اگر چه اگر سیستم از قبل یک آنتی ویروس اصلی داشته باشد، آنتی ویروس کسپرسکی قابل نصب نیست، در غیر این صورت ممکن است تداخل نرم افزاری ایجاد شود. همه ابزارهای دیگر در هر شرایطی قابل استفاده هستند.
    4. صبر کنید تا یکی از شرکت های آنتی ویروس رمزگشای کارآمدی برای چنین فایل هایی ایجاد کند. کارآمدترین راه برای انجام این کار آزمایشگاه کسپرسکی است.
    5. علاوه بر این، می توانید ارسال کنید [ایمیل محافظت شده]یک کپی از فایل که با کد مورد نیاز رمزگذاری شده است و در صورت وجود، همان فایل به شکل اصلی آن. ممکن است که این می تواند توسعه روشی برای رمزگشایی فایل ها را سرعت بخشد.

    تحت هیچ شرایطی انجام ندهید:

    • تغییر نام این اسناد؛
    • تغییر گسترش آنها؛
    • حذف فایل ها

    این تروجان ها همچنین فایل های کاربران را رمزگذاری کرده و سپس از آنها اخاذی می کنند. در عین حال، فایل های رمزگذاری شده می توانند پسوندهای زیر را داشته باشند:

    • .قفل شده
    • .crypto
    • .kraken
    • .AES256 (الزاماً این تروجان نیست، سایرین هستند که همین پسوند را نصب می کنند).
    • [ایمیل محافظت شده] _com
    • .oshit
    • دیگر.

    خوشبختانه، یک ابزار رمزگشایی اختصاصی قبلاً ایجاد شده است - RakhniDecryptor... می توانید آن را از وب سایت رسمی دانلود کنید.

    در همان سایت، می‌توانید دستورالعمل‌هایی را بخوانید که نحوه استفاده از ابزار برای رمزگشایی تمام فایل‌هایی که تروجان روی آن‌ها کار کرده است را با جزئیات و به وضوح نشان می‌دهد. در اصل، برای قابلیت اطمینان بیشتر، ارزش حذف مورد برای حذف فایل های رمزگذاری شده را دارد. اما به احتمال زیاد، توسعه دهندگان تمام تلاش خود را برای ایجاد این ابزار انجام دادند و هیچ چیز یکپارچگی داده ها را تهدید نمی کند.

    کسانی که از آنتی ویروس Dr.Web دارای مجوز استفاده می کنند، دسترسی رایگان به رمزگشایی از توسعه دهندگان http://support.drweb.com/new/free_unlocker/ دارند.

    انواع دیگر ویروس های باج افزار

    گاهی اوقات می‌توانید با ویروس‌های دیگری برخورد کنید که فایل‌های مهم را رمزگذاری می‌کنند و برای بازگرداندن همه چیز به شکل اصلی خود، پولی را طلب می‌کنند. ما یک لیست کوچک با ابزارهای کاربردی برای مقابله با عواقب رایج ترین ویروس ها ارائه می دهیم. در آنجا همچنین می توانید با علائم اصلی که توسط آنها می توانید یک برنامه تروجان خاص را تشخیص دهید آشنا شوید.

    علاوه بر این، یک راه خوب این است که رایانه شخصی خود را با آنتی ویروس کسپرسکی اسکن کنید، که مهمان ناخوانده را شناسایی کرده و نامی برای آن تعیین می کند. با این نام، می توانید از قبل یک رمزگشا برای آن جستجو کنید.

    • Trojan-Ransom.Win32.Rector- یک درهم‌ساز باج‌افزار معمولی که از شما می‌خواهد پیامک ارسال کنید یا اقدامات دیگری از این دست انجام دهید، رمزگشا را از این پیوند می‌گیریم.
    • Trojan-Ransom.Win32.Xorist- یک نسخه از تروجان قبلی، می توانید یک رمزگشا را با یک کتابچه راهنمای استفاده از آن دریافت کنید.
    • Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.Fury- همچنین یک ابزار ویژه برای این بچه ها وجود دارد، به لینک مراجعه کنید.
    • Trojan.Encoder858، Trojan.Encoder.741- این بدافزارها توسط ابزار CureIt قابل شناسایی هستند. آنها نام های مشابهی دارند، اما اعداد در انتهای نام ممکن است متفاوت باشند. ما به دنبال رمزگشا با نام ویروس می گردیم یا اگر از Dr.Web دارای مجوز استفاده می کنید، می توانید از یک منبع ویژه استفاده کنید.
    • CryptoLacker- برای بازگرداندن فایل های خود به این سایت مراجعه کرده و از طریق آن برنامه ای ویژه برای بازیابی اسناد خود ایجاد کنید.

    اخیراً، آزمایشگاه کسپرسکی با همکاری همکارانش از هلند، رمزگشایی ایجاد کرده است که به شما امکان می دهد پس از اینکه یک ویروس روی آنها کار کرد، فایل ها را بازیابی کنید. CoinVault.

    در نظرات می توانید روش های رمزگشایی فایل ها را به اشتراک بگذارید، زیرا این اطلاعات برای سایر کاربرانی که ممکن است با چنین نرم افزارهای مخربی مواجه شوند مفید خواهد بود.

    مبارزه با تهدیدات ویروس جدید - باج افزار

    اخیراً نوشتیم که تهدیدات جدیدی در شبکه پخش می شوند - ویروس های باج افزار یا به طور گسترده تر، ویروس ها که فایل ها را رمزگذاری می کنند، می توانید اطلاعات بیشتری در مورد آنها در وب سایت ما در این پیوند بخوانید.

    در این مبحث به شما خواهیم گفت که چگونه می توانید داده های رمزگذاری شده توسط ویروس را بازیابی کنید، برای این کار از دو رمزگشا استفاده می کنیم، از آنتی ویروس "کسپرسکی" و "دکتر وب"، اینها موثرترین روش ها برای بازگرداندن اطلاعات رمزگذاری شده هستند. .

    1. برنامه های کاربردی برای رمزگشایی فایل ها را از لینک های: Kaspersky و Dr.WEB دانلود کنید

    یا رمزگشا برای نوع خاصی از فایل های رمزگذاری شده که قرار دارند.

    2. ابتدا سعی می کنیم با استفاده از برنامه ای از Kaspersky فایل ها را رمزگشایی کنیم:

    2.1. برنامه Kaspersky Decryptor را اجرا کنید، اگر از شما درخواست کند، به عنوان مثال، مجوزهای راه اندازی - آن را راه اندازی کنید، اگر درخواست به روز رسانی کرد - آن را به روز کنید، این شانس بازگرداندن داده های رمزگذاری شده را افزایش می دهد.

    2.2. در پنجره ظاهر شده برنامه رمزگشایی فایل ها، چندین دکمه را مشاهده می کنیم. پارامترهای اضافی را پیکربندی کنید و شروع به بررسی کنید.

    2.3. اگر لازم است پارامترهای اضافی را انتخاب کنید و مکان جستجوی فایل های رمزگذاری شده را مشخص کنید، و در صورت لزوم - پس از رمزگشایی حذف کنید، به شما توصیه نمی کنم این گزینه را انتخاب کنید، فایل ها همیشه به درستی رمزگشایی نمی شوند!

    2.4. ما اسکن را شروع می کنیم و منتظر رمزگشایی اطلاعات رمزگذاری شده توسط ویروس هستیم.

    3. اگر روش اول جواب نداد. ما سعی می کنیم با استفاده از برنامه ای از Dr. وب

    3.1. پس از دانلود برنامه رمزگشایی، آن را به عنوان مثال در ریشه درایو "C:" قرار دهید.، بنابراین فایل "te102decrypt.exe" باید در "c: \ te102decrypt.exe" موجود باشد.

    3.2. اکنون به خط فرمان بروید(شروع - جستجو - "CMD" را بدون نقل قول وارد کنید - با فشار دادن Enter اجرا شود)

    3.3. برای شروع رمزگشایی فایل ها ما دستور "c: \ te102decrypt.exe -k 86 -e (کد باج افزار)" را تجویز می کنیم.... کد باج افزار پسوندی است که به انتهای فایل اضافه شده است، به عنوان مثال " [ایمیل محافظت شده] _45jhj "- بدون گیومه و پرانتز بنویسید، فاصله ها را رعایت کنید. باید چیزی شبیه c: \ te102decrypt.exe -k 86 -e دریافت کنید. [ایمیل محافظت شده] _45jhj

    3.4. Enter را فشار دهید و منتظر بمانید تا فایل ها رمزگشایی شوندکه رمزگذاری شده بودند، در برخی موارد، چندین نسخه از فایل های رمزگشایی ایجاد می شود، شما سعی می کنید آنها را اجرا کنید، آن کپی از فایل رمزگشایی که به طور معمول باز می شود - ذخیره کنید، بقیه را می توان حذف کرد.

    دانلود بقیه رسیورهای فایل:

    توجه:حتماً یک کپی از فایل های رمزگذاری شده را در رسانه خارجی یا رایانه دیگری ذخیره کنید. رمزگشاهای ارائه شده در زیر ممکن است فایل ها را رمزگشایی نکنند، بلکه فقط آنها را خراب کنند!

    بهتر است رمزگشا را روی یک ماشین مجازی یا روی یک رایانه آماده شده مخصوص اجرا کنید، زیرا قبلا چندین فایل را برای آنها دانلود کرده اید.

    رمزگشاهای ارائه شده در زیر به شرح زیر عمل می کنند:به عنوان مثال، فایل های شما با رمزگذار amba رمزگذاری می شوند و فایل ها شبیه "Contract.doc.amba" یا "Account.xls.amba" هستند، سپس رمزگشا را برای فایل های amba دانلود کنید و فقط آن را اجرا کنید، همه فایل ها را با این مورد پیدا می کند. آن را گسترش داده و رمزگشایی کنید از فایل های رمزگذاری شده نسخه پشتیبان تهیه کنیددر غیر این صورت، ممکن است داده های رمزگشایی نادرست خود را برای همیشه از دست بدهید!

    اگر نمی خواهید آن را به خطر بیندازید، سپس چند فایل را برای ما ارسال کنید، پس از اینکه قبلاً با استفاده از فرم بازخورد با ما تماس گرفته اید، رمزگشا را روی رایانه ای که مخصوص تهیه شده از اینترنت جدا شده است راه اندازی می کنیم.

    فایل های ارائه شده توسط آخرین نسخه آنتی ویروس کسپرسکی و با آخرین به روز رسانی پایگاه داده بررسی شدند.

    این واقعیت که اینترنت پر از ویروس است، امروز هیچ کس را شگفت زده نمی کند. بسیاری از کاربران موقعیت‌های مربوط به تأثیر آن‌ها بر سیستم‌ها یا داده‌های شخصی را درک می‌کنند، به عبارت ساده، چشم خود را می‌بندند، اما فقط تا زمانی که یک ویروس باج‌افزار به طور خاص در سیستم مستقر شود. اکثر کاربران عادی نمی دانند چگونه داده های ذخیره شده روی هارد دیسک را درمان و رمزگشایی کنند. بنابراین، این گروه به خواسته‌های مهاجمان «رهنمون» می‌شود. اما بیایید ببینیم در صورت شناسایی چنین تهدیدی یا جلوگیری از ورود آن به سیستم چه کاری می توانید انجام دهید.

    ویروس باج افزار چیست؟

    این نوع تهدید از الگوریتم‌های رمزگذاری فایل استاندارد و غیراستاندارد استفاده می‌کند که محتوای آن‌ها را کاملاً تغییر داده و دسترسی را مسدود می‌کند. به عنوان مثال، باز کردن یک فایل متنی رمزگذاری شده برای خواندن یا ویرایش، و همچنین پخش محتوای چندرسانه ای (گرافیک، ویدیو یا صدا) پس از قرار گرفتن در معرض ویروس کاملاً غیرممکن خواهد بود. حتی عملیات استاندارد برای کپی یا جابجایی اشیا در دسترس نیست.

    پر کردن نرم افزار ویروس وسیله ای است که داده ها را به گونه ای رمزگذاری می کند که حتی پس از حذف تهدید از سیستم همیشه امکان بازیابی حالت اولیه آنها وجود ندارد. معمولاً چنین برنامه‌های مخربی کپی‌های خود را ایجاد می‌کنند و بسیار عمیق در سیستم مستقر می‌شوند، بنابراین حذف ویروس رمزگذاری فایل گاهی اوقات کاملاً غیرممکن است. با حذف برنامه اصلی یا حذف بدنه اصلی ویروس، کاربر از تأثیر تهدید خلاص نمی شود، چه رسد به اینکه اطلاعات رمزگذاری شده را بازیابی کند.

    تهدید چگونه وارد سیستم می شود؟

    به عنوان یک قاعده، تهدیدهایی از این نوع بیشتر ساختارهای تجاری بزرگ را هدف قرار می دهند و می توانند از طریق برنامه های پستی به رایانه ها نفوذ کنند، زمانی که یک کارمند یک سند پیوست شده را در یک ایمیل باز می کند، که مثلاً افزوده ای به نوعی توافق نامه همکاری است یا طرح تامین کالا (پیشنهادات تجاری با سرمایه گذاری از منابع مشکوک اولین مسیر برای شیوع ویروس است).

    مشکل اینجاست که یک ویروس باج‌افزار روی ماشینی که به شبکه محلی دسترسی دارد، می‌تواند در آن نیز تطبیق پیدا کند و در صورت عدم حفاظت لازم، نسخه‌های خود را نه تنها در یک محیط شبکه، بلکه در ترمینال مدیر نیز ایجاد کند. به صورت نرم افزار آنتی ویروس فایروال یا فایروال.

    گاهی اوقات چنین تهدیداتی می تواند به سیستم های رایانه ای کاربران عادی نیز نفوذ کند که به طور کلی مورد توجه مجرمان سایبری نیست. این در زمان نصب برخی از برنامه های دانلود شده از منابع اینترنتی مشکوک اتفاق می افتد. بسیاری از کاربران هنگام شروع دانلود، هشدارهای سیستم حفاظت ضد ویروس را نادیده می گیرند و در حین نصب به پیشنهادات نصب نرم افزار، پنل یا پلاگین اضافی برای مرورگرها توجهی نمی کنند و سپس به عنوان آنها بگو، آرنج آنها را گاز بگیر.

    انواع ویروس ها و کمی تاریخچه

    اساساً، تهدیدات از این نوع، به ویژه خطرناک ترین ویروس باج افزار No_more_ransom، نه تنها به عنوان ابزارهایی برای رمزگذاری داده ها یا مسدود کردن دسترسی به آن طبقه بندی می شوند. در واقع، تمام این برنامه های مخرب به عنوان باج افزار طبقه بندی می شوند. به عبارت دیگر، مجرمان سایبری مبلغ مشخصی را برای رمزگشایی اطلاعات طلب می کنند و معتقدند که انجام این فرآیند بدون برنامه اولیه غیرممکن خواهد بود. تا حدودی اینطور است.

    اما اگر به تاریخ بگردید، متوجه خواهید شد که یکی از اولین ویروس‌های این نوع، اگرچه نیازی به پول نداشت، اپلت بدنام I Love You بود که فایل‌های چندرسانه‌ای (عمدتاً آهنگ‌های موسیقی) را به طور کامل در سیستم‌های کاربری رمزگذاری می‌کرد. . رمزگشایی فایل‌ها پس از ویروس باج‌افزار در آن زمان غیرممکن بود. اکنون این تهدید است که می توان به صورت ابتدایی با آن مقابله کرد.

    اما توسعه خود ویروس ها یا الگوریتم های رمزگذاری مورد استفاده ثابت نمی ماند. آنچه در بین ویروس ها وجود ندارد - در اینجا شما XTBL، و CBF، و Breaking_Bad، و [ایمیل محافظت شده]، و یک سری چیزهای زشت دیگر.

    تکنیکی برای تأثیرگذاری بر فایل های کاربر

    و اگر تا همین اواخر اکثر حملات با استفاده از الگوریتم‌های RSA-1024 مبتنی بر رمزگذاری AES با همان بیت انجام می‌شدند، همان ویروس باج‌افزار No_more_ransom امروزه با چندین تفسیر و با استفاده از کلیدهای رمزگذاری مبتنی بر فناوری‌های RSA-2048 و حتی RSA-3072 ارائه می‌شود.

    مشکلات رمزگشایی برای الگوریتم های مورد استفاده

    مشکل اینجاست که سیستم های رمزگشایی مدرن در برابر چنین خطری ناتوان هستند. رمزگشایی فایل‌ها پس از ویروس باج‌افزار مبتنی بر AES256 هنوز تا حدودی پشتیبانی می‌شود و با نرخ بیت بالاتر، تقریباً همه توسعه‌دهندگان فقط شانه‌های خود را بالا می‌کنند. این، به هر حال، به طور رسمی توسط متخصصان آزمایشگاه کسپرسکی و Eset تایید شده است.

    در ابتدایی ترین نسخه، از کاربری که با خدمات پشتیبانی تماس گرفته است، خواسته می شود که یک فایل رمزگذاری شده و اصلی آن را برای مقایسه و عملیات بعدی برای تعیین الگوریتم رمزگذاری و روش های بازیابی ارسال کند. اما، به عنوان یک قاعده، در بیشتر موارد این کار نمی کند. اما ویروس باج‌افزار می‌تواند به تنهایی فایل‌ها را رمزگشایی کند، به شرطی که قربانی با شرایط مهاجمان موافقت کند و مبلغ مشخصی را به صورت پولی بپردازد. با این حال، چنین صورت بندی سؤال، تردیدهای موجهی را ایجاد می کند. و به همین دلیل.

    ویروس رمزگذاری: چگونه فایل ها را درمان و رمزگشایی کنیم و آیا می توان آن را انجام داد؟

    پس از پرداخت، گفته می شود که هکرها رمزگشایی را از طریق دسترسی از راه دور به ویروس خود که روی سیستم قرار دارد، یا اگر بدنه ویروس حذف شده باشد، از طریق یک اپلت اضافی فعال می کنند. بیش از حد مشکوک به نظر می رسد.

    همچنین می خواهم به این واقعیت توجه کنم که اینترنت پر از پست های جعلی است که بیان می کنند، آنها می گویند، مبلغ مورد نیاز پرداخت شده است و داده ها با موفقیت بازیابی شده اند. اینا همش دروغه! و واقعا - کجا تضمینی وجود دارد که پس از پرداخت، ویروس رمزگذاری در سیستم دوباره فعال نشود؟ درک روانشناسی سارقان دشوار نیست: اگر یک بار پرداخت کنید، دوباره پرداخت می کنید. و اگر در مورد اطلاعات مهمی مانند پیشرفت‌های خاص تجاری، علمی یا نظامی صحبت می‌کنیم، صاحبان چنین اطلاعاتی آماده‌اند تا به اندازه‌ای که لازم است پرداخت کنند تا فایل‌ها دست نخورده و سالم بمانند.

    اولین راه حل برای از بین بردن تهدید

    این ماهیت یک ویروس باج افزار است. چگونه فایل ها را پس از قرار گرفتن در معرض تهدید ضد عفونی و رمزگشایی کنیم؟ بله، به هیچ وجه، اگر ابزاری در دسترس نباشد، که همچنین همیشه کمک نمی کند. اما شما می توانید امتحان کنید.

    بیایید فرض کنیم که یک ویروس باج افزار در سیستم ظاهر شده است. چگونه فایل های آلوده را ضد عفونی کنم؟ ابتدا باید یک اسکن عمیق سیستم را بدون استفاده از فناوری S.M.A.R.T انجام دهید، که تهدیدات را تنها زمانی شناسایی می کند که بخش های بوت و فایل های سیستم آسیب دیده باشند.

    توصیه می شود از اسکنر استاندارد موجود که قبلاً تهدید را از دست داده است استفاده نکنید، بلکه از ابزارهای قابل حمل استفاده کنید. بهترین گزینه بوت کردن از دیسک نجات کسپرسکی است که می تواند حتی قبل از شروع به کار سیستم عامل شروع به کار کند.

    اما این تنها نیمی از نبرد است، زیرا از این طریق فقط می توانید از شر خود ویروس خلاص شوید. اما با رمزگشا دشوارتر خواهد بود. اما در ادامه بیشتر در مورد آن.

    دسته دیگری نیز وجود دارد که ویروس های باج افزار در آن قرار می گیرند. نحوه رمزگشایی اطلاعات به طور جداگانه گفته می شود، اما در حال حاضر اجازه دهید به این واقعیت بپردازیم که آنها می توانند به طور کاملاً آشکار در قالب برنامه ها و برنامه های کاربردی نصب شده رسمی در سیستم وجود داشته باشند (وقاحت مهاجمان هیچ حد و مرزی نمی شناسد، زیرا تهدید وجود دارد. حتی سعی نکنید خود را پنهان کنید).

    در این صورت باید از قسمت برنامه ها و کامپوننت ها استفاده کنید که در آن حذف نصب استاندارد انجام می شود. با این حال، باید به این نکته نیز توجه داشته باشید که حذف کننده استاندارد ویندوز همه فایل های برنامه را به طور کامل حذف نمی کند. به ویژه، ویروس باج‌افزار باج‌افزار می‌تواند پوشه‌های خود را در دایرکتوری‌های ریشه سیستم ایجاد کند (معمولاً این دایرکتوری‌های Csrss هستند که فایل اجرایی csrss.exe با همین نام وجود دارد). دایرکتوری های Windows، System32 یا کاربر (کاربران در درایو سیستم) به عنوان مکان اصلی انتخاب می شوند.

    علاوه بر این، ویروس باج‌افزار No_more_ransom کلیدهای خود را در رجیستری در قالب پیوندی ظاهراً به سرویس سیستم رسمی Client Server Runtime Subsystem می‌نویسد، که برای بسیاری گمراه‌کننده است، زیرا این سرویس باید مسئول تعامل بین نرم‌افزار مشتری و سرور باشد. . خود کلید در پوشه Run قرار دارد که از طریق شاخه HKLM قابل دسترسی است. واضح است که باید به صورت دستی چنین کلیدهایی را حذف کنید.

    برای آسان‌تر کردن کار، می‌توانید از ابزارهایی مانند iObit Uninstaller استفاده کنید که به‌طور خودکار فایل‌های باقی‌مانده و کلیدهای رجیستری را جستجو می‌کنند (اما فقط در صورتی که ویروس به عنوان یک برنامه نصب‌شده در سیستم قابل مشاهده باشد). اما این ساده ترین کار است.

    راه حل های ارائه شده توسط توسعه دهندگان نرم افزار ضد ویروس

    اعتقاد بر این است که رمزگشایی ویروس باج‌افزار را می‌توان با استفاده از ابزارهای ویژه انجام داد، اگرچه اگر فناوری‌هایی با کلید 2048 یا 3072 بیتی دارید، نباید به آنها اعتماد کنید (بعلاوه، بسیاری از آنها پس از رمزگشایی فایل‌ها را حذف می‌کنند و سپس فایل های بازیابی شده به دلیل وجود یک بدنه ویروسی که قبلاً حذف نشده است ناپدید می شوند.

    با این وجود، می توانید تلاش کنید. از بین همه برنامه ها، RectorDecryptor و ShadowExplorer ارزش برجسته کردن را دارند. اعتقاد بر این است که تا کنون هیچ چیز بهتری ایجاد نشده است. اما مشکل ممکن است این باشد که وقتی می‌خواهید از رمزگشا استفاده کنید، هیچ تضمینی وجود ندارد که فایل‌هایی که ضدعفونی می‌شوند حذف نشوند. یعنی اگر در ابتدا از شر ویروس خلاص نشوید، هرگونه تلاش برای رمزگشایی محکوم به شکست خواهد بود.

    علاوه بر حذف اطلاعات رمزگذاری شده، می تواند کشنده نیز باشد - کل سیستم غیرفعال خواهد بود. علاوه بر این، یک ویروس باج‌افزار مدرن نه تنها می‌تواند بر داده‌های ذخیره‌شده در هارد دیسک رایانه، بلکه بر فایل‌های ذخیره‌سازی ابری نیز تأثیر بگذارد. و در اینجا هیچ راه حلی برای بازیابی اطلاعات وجود ندارد. علاوه بر این، همانطور که مشخص شد، بسیاری از سرویس ها اقدامات حفاظتی به اندازه کافی موثر انجام نمی دهند (همان OneDrive داخلی در ویندوز 10، که مستقیماً از سیستم عامل در معرض دید قرار می گیرد).

    یک راه حل ریشه ای برای مشکل

    همانطور که قبلاً مشخص است ، اکثر روش های مدرن هنگام آلوده شدن به چنین ویروس هایی نتیجه مثبتی نمی دهند. البته در صورت وجود اصل فایل آسیب دیده می توان آن را برای بررسی به آزمایشگاه آنتی ویروس فرستاد. درست است، همچنین تردیدهای بسیار جدی وجود دارد که یک کاربر معمولی نسخه های پشتیبان از داده هایی ایجاد کند که وقتی روی هارد دیسک ذخیره می شوند، می توانند در معرض کدهای مخرب نیز قرار گیرند. و این واقعیت است که برای جلوگیری از مشکل، کاربران اطلاعات را در رسانه های قابل جابجایی کپی می کنند، ما اصلاً صحبت نمی کنیم.

    بنابراین، برای یک راه حل اساسی برای مشکل، نتیجه گیری خود را نشان می دهد: قالب بندی کامل هارد دیسک و تمام پارتیشن های منطقی با حذف اطلاعات. پس چه باید کرد؟ اگر نمی‌خواهید ویروس یا نسخه ذخیره‌شده آن دوباره در سیستم فعال شود، باید کمک مالی کنید.

    برای انجام این کار، شما نباید از ابزارهای خود سیستم های ویندوز استفاده کنید (منظورم قالب بندی پارتیشن های مجازی است، زیرا هنگام تلاش برای دسترسی به دیسک سیستم، ممنوعیت صادر می شود). بهتر است از بوت شدن از رسانه های نوری مانند LiveCD یا توزیع های نصب استفاده کنید، مانند مواردی که با استفاده از ابزار ایجاد رسانه برای ویندوز 10 ایجاد شده اند.

    قبل از شروع فرمت کردن، به شرط حذف ویروس از سیستم، می توانید سعی کنید یکپارچگی اجزای سیستم را از طریق خط فرمان (sfc / scannow) بازیابی کنید، اما این امر از نظر رمزگشایی و باز کردن قفل داده ها هیچ تاثیری نخواهد داشت. بنابراین فرمت c: خواه ناخواه تنها راه حل صحیح ممکن است. این تنها راه خلاصی کامل از این نوع تهدید است. افسوس که راه دیگری نیست! حتی درمان با ابزارهای استاندارد ارائه شده توسط اکثر بسته های آنتی ویروس بی قدرت است.

    به جای حرف آخر

    از نظر نتیجه گیری، فقط می توان گفت که امروزه هیچ راه حل واحد و جهانی برای از بین بردن پیامدهای تأثیر چنین تهدیدهایی وجود ندارد (متاسفانه، اما یک واقعیت - این توسط اکثر توسعه دهندگان و متخصصان نرم افزار ضد ویروس تأیید شده است. در زمینه رمزنگاری).

    هنوز مشخص نیست که چرا ظهور الگوریتم‌های مبتنی بر رمزگذاری 1024، 2048 و 3072 بیتی توسط کسانی که مستقیماً در توسعه و پیاده‌سازی چنین فناوری‌هایی دخیل هستند، عبور کرده است؟ در واقع، امروزه الگوریتم AES256 امیدوارکننده ترین و امن ترین در نظر گرفته می شود. اطلاع! 256! این سیستم، همانطور که مشخص است، برای ویروس های مدرن مناسب نیست. پس در مورد تلاش برای رمزگشایی کلیدهای آنها چه می توانیم بگوییم؟

    به هر حال، جلوگیری از وارد کردن یک تهدید به سیستم بسیار آسان است. در ساده‌ترین حالت، شما باید تمام پیام‌های دریافتی را با پیوست‌های موجود در Outlook، Thunderbird و سایر سرویس گیرنده‌های ایمیل با آنتی‌ویروس بلافاصله پس از دریافت اسکن کنید و به هیچ وجه پیوست‌ها را تا پایان اسکن باز نکنید. همچنین باید هنگام نصب برخی از برنامه‌ها، پیشنهادات نصب نرم‌افزار اضافی را با دقت بخوانید (معمولاً آنها با حروف کوچک نوشته می‌شوند یا به عنوان افزونه‌های استاندارد مانند به‌روزرسانی Flash Player یا موارد دیگر پنهان می‌شوند). بهتر است اجزای رسانه را از طریق سایت های رسمی به روز کنید. این تنها راهی است که می توانید حداقل به نحوی از نفوذ چنین تهدیداتی به سیستم خود جلوگیری کنید. با توجه به اینکه ویروس هایی از این نوع فوراً در شبکه محلی پخش می شوند، عواقب آن می تواند کاملاً غیرقابل پیش بینی باشد. و برای شرکت، چنین چرخشی از رویدادها می تواند به یک فروپاشی واقعی همه تعهدات تبدیل شود.

    در نهایت، مدیر سیستم نباید بیکار بنشیند. در چنین شرایطی بهتر است ابزارهای حفاظتی نرم افزاری را حذف کنید. همان فایروال (فایروال) نباید نرم افزاری باشد، بلکه باید «سخت افزاری» باشد (البته با نرم افزارهای همراهش). و ناگفته نماند که ارزش صرفه جویی در خرید بسته های آنتی ویروس را نیز ندارد. بهتر است یک بسته دارای مجوز خریداری کنید و برنامه های ابتدایی را نصب نکنید که ظاهراً فقط از گفته های توسعه دهنده محافظت بلادرنگ را ارائه می دهند.

    و اگر تهدیدی قبلاً وارد سیستم شده باشد، دنباله اقدامات باید شامل حذف خود بدنه ویروس باشد و تنها پس از آن تلاش می کند تا داده های آسیب دیده را رمزگشایی کند. در حالت ایده آل - قالب بندی کامل (توجه داشته باشید، نه سریع با پاک کردن فهرست مطالب، بلکه قالب بندی کامل، ترجیحاً با بازیابی یا جایگزینی سیستم فایل موجود، بخش های بوت و سوابق).

    مقالات مشابه