Dekripsi file. File Anda telah dienkripsi - apa yang harus dilakukan? Apa yang harus dilakukan jika semua data penting dienkripsi

Biasanya, pekerjaan program jahat ditujukan untuk mendapatkan kendali atas komputer, memasukkannya ke dalam jaringan zombie, atau mencuri data pribadi. Pengguna yang lalai mungkin tidak menyadari untuk waktu yang lama bahwa sistem terinfeksi. Tetapi virus ransomware, khususnya xtbl, bekerja dengan cara yang sama sekali berbeda. Mereka membuat file pengguna tidak dapat digunakan dengan mengenkripsi mereka dengan algoritma yang paling kompleks dan menuntut sejumlah besar dari pemilik untuk kemampuan untuk memulihkan informasi.

Penyebab masalah: virus xtbl

Virus ransomware xtbl mendapatkan namanya dari fakta bahwa dokumen pengguna yang dienkripsi olehnya mendapatkan ekstensi .xtbl. Biasanya, encoder meninggalkan kunci di badan file sehingga program dekoder universal dapat mengembalikan informasi dalam bentuk aslinya. Namun, virus ini ditujukan untuk tujuan lain, jadi alih-alih kunci, tawaran muncul di layar untuk membayar jumlah tertentu menggunakan detail akun anonim.

Cara kerja virus xtbl

Virus memasuki komputer melalui pesan email dengan lampiran yang terinfeksi, yang merupakan file aplikasi kantor. Setelah pengguna membuka isi pesan, malware mulai mencari foto, kunci, video, dokumen, dan sebagainya, dan kemudian, menggunakan algoritme kompleks asli (enkripsi hibrida), mengubahnya menjadi penyimpanan xtbl.

Virus menggunakan folder sistem untuk menyimpan file-nya.

Virus menambahkan dirinya ke daftar startup. Untuk melakukannya, ia menambahkan entri ke registri Windows di bagian berikut:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Komputer yang terinfeksi bekerja secara stabil, sistem tidak "crash", tetapi selalu ada aplikasi kecil (atau dua) dengan nama yang tidak dapat dipahami di RAM. Dan folder dengan file kerja pengguna terlihat aneh.

Alih-alih layar splash, sebuah pesan muncul di desktop:

File Anda telah dienkripsi. Untuk mendekripsi mereka, Anda perlu mengirim kode ke alamat email: [dilindungi email](kode berikut). Anda kemudian akan menerima instruksi lebih lanjut. Upaya independen untuk mendekripsi file akan menyebabkan kehancuran total mereka.

Teks yang sama terkandung dalam Cara mendekripsi file files.txt Anda yang dihasilkan. Alamat email, kode, jumlah yang diminta dapat bervariasi.

Cukup sering, beberapa scammer menghasilkan uang dari yang lain - jumlah dompet elektronik ransomware dimasukkan ke dalam tubuh virus, tidak memiliki cara untuk mendekripsi file. Jadi pengguna yang mudah tertipu, setelah mengirim uang, tidak mendapat imbalan apa pun.

Mengapa Anda tidak harus membayar ransomware

Tidak mungkin setuju untuk bekerja sama dengan pemeras bukan hanya karena prinsip moral. Ini tidak masuk akal dari sudut pandang praktis.

  • Tipuan. Bukan fakta bahwa penyerang akan dapat mendekripsi file Anda. Salah satu foto yang diduga didekripsi yang dikembalikan kepada Anda juga tidak berfungsi sebagai bukti - mungkin hanya foto asli yang dicuri sebelum dienkripsi. Uang yang dibayarkan akan sia-sia.
  • Pengulangan. Dengan mengkonfirmasi kesediaan Anda untuk membayar, Anda akan menjadi mangsa yang lebih diinginkan untuk serangan berulang. Mungkin lain kali file Anda akan memiliki ekstensi yang berbeda, dan pesan yang berbeda akan muncul di layar pembuka, tetapi uang akan masuk ke orang yang sama.
  • Kerahasiaan. Sementara file dienkripsi, mereka ada di komputer Anda. Setelah setuju dengan "penjahat yang jujur", Anda akan dipaksa untuk mengirimkan semua informasi pribadi Anda kepada mereka. Algoritme tidak menyediakan untuk mendapatkan kunci dan mendekripsinya sendiri, hanya mengirim file ke dekoder.
  • Infeksi komputer. Komputer Anda masih terinfeksi, jadi dekripsi file bukanlah solusi lengkap untuk masalah tersebut.

    • Bagaimana melindungi sistem Anda dari virus

    Aturan universal untuk melindungi dari malware dan meminimalkan kerusakan akan membantu dalam kasus ini juga.

  • Waspadalah terhadap koneksi kasual. Tidak perlu membuka email yang diterima dari pengirim yang tidak dikenal, termasuk iklan dan penawaran bonus. Dalam kasus ekstrim, Anda dapat membacanya dengan terlebih dahulu menyimpan lampiran pada disk dan memeriksanya dengan antivirus.
  • Manfaat dari perlindungan. Program antivirus terus menambahkan ke perpustakaan kode berbahaya mereka, sehingga versi bek saat ini tidak akan membiarkan sebagian besar virus masuk ke komputer Anda.
  • Distribusikan akses. Virus akan lebih berbahaya jika menembus akun administrator. Lebih baik bekerja atas nama pengguna, sehingga secara drastis mengurangi kemungkinan infeksi.
  • Buat cadangan. Informasi penting harus disalin secara teratur ke media eksternal yang disimpan secara terpisah dari komputer Anda. Juga, jangan lupa tentang membuat cadangan titik pemulihan Windows.

    • Apakah mungkin untuk memulihkan informasi terenkripsi

    Kabar baik: pemulihan data dimungkinkan. Buruk: Anda tidak dapat melakukannya sendiri. Alasan untuk ini adalah kekhasan algoritma enkripsi, pemilihan kunci yang membutuhkan lebih banyak sumber daya dan akumulasi pengetahuan daripada yang dimiliki pengguna biasa. Untungnya, pengembang antivirus menganggapnya sebagai masalah kehormatan untuk menangani setiap program jahat, jadi bahkan jika mereka saat ini tidak dapat menangani ransomware Anda, mereka pasti akan menemukan solusi dalam satu atau dua bulan. Kita harus bersabar.

    Karena kebutuhan untuk menghubungi spesialis, algoritma untuk bekerja dengan komputer yang terinfeksi berubah. Sebagai aturan umum, semakin sedikit perubahan semakin baik. Antivirus menentukan metode perawatan berdasarkan karakteristik umum dari program jahat; oleh karena itu, file yang terinfeksi merupakan sumber informasi penting bagi mereka. Mereka harus dihapus hanya setelah menyelesaikan masalah utama.

    Aturan kedua adalah mengganggu kerja virus dengan cara apa pun. Mungkin dia belum merusak semua informasi, dan jejak ransomware tetap ada di RAM, yang dengannya dia dapat diidentifikasi. Oleh karena itu, Anda perlu segera mematikan komputer dari jaringan, dan mematikan laptop dengan menekan lama tombol jaringan. Kali ini, prosedur shutdown "hati-hati" standar, yang memungkinkan untuk menyelesaikan semua proses dengan benar, tidak akan berfungsi, karena salah satunya adalah penyandian informasi Anda.

    Memulihkan file terenkripsi

    Jika Anda berhasil mematikan komputer Anda

    Jika Anda berhasil mematikan komputer sebelum proses enkripsi berakhir, maka Anda tidak perlu menyalakannya sendiri. Bawa "pasien" langsung ke spesialis, penyandian terputus secara signifikan meningkatkan kemungkinan menyimpan file pribadi. Di sini Anda juga dapat memeriksa media penyimpanan Anda dalam mode aman dan membuat cadangan. Dengan probabilitas tinggi, virus itu sendiri akan diketahui, sehingga pengobatannya akan berhasil.

    Jika enkripsi selesai

    Sayangnya, kemungkinan berhasil mengganggu proses enkripsi sangat kecil. Biasanya, virus memiliki waktu untuk mengkodekan file dan menghapus jejak yang tidak perlu dari komputer. Dan sekarang Anda memiliki dua masalah: Windows masih terinfeksi, dan file pribadi telah menjadi kumpulan karakter. Untuk mengatasi masalah kedua, perlu menggunakan bantuan produsen perangkat lunak antivirus.

    Dr.Web

    Dr.Web Laboratory menyediakan layanan dekripsi gratis hanya untuk pemilik lisensi komersial. Dengan kata lain, jika Anda belum menjadi klien mereka, tetapi ingin memulihkan file Anda, Anda harus membeli programnya. Mengingat situasi saat ini, ini adalah investasi yang tepat.

    Langkah selanjutnya adalah pergi ke situs web produsen dan mengisi formulir entri.

    Jika di antara file yang dienkripsi ada salinan yang disimpan di media eksternal, transfernya akan sangat memudahkan pekerjaan decoder.

    Kaspersky

    Kaspersky Lab telah mengembangkan utilitas dekripsinya sendiri yang disebut RectorDecryptor, yang dapat diunduh ke komputer dari situs web resmi perusahaan.

    Setiap versi sistem operasi, termasuk Windows 7, memiliki utilitasnya sendiri. Setelah memuatnya, tekan tombol "Mulai periksa".

    Layanan mungkin memakan waktu cukup lama jika virusnya relatif baru. Dalam hal ini, perusahaan biasanya mengirimkan pemberitahuan. Terkadang dekripsi bisa memakan waktu beberapa bulan.

    Layanan lainnya

    Ada semakin banyak layanan dengan fungsi serupa, yang menunjukkan permintaan untuk layanan dekripsi. Algoritme tindakannya sama: buka situs (misalnya, https://decryptcryptlocker.com/), daftar dan kirim file terenkripsi.

    Program dekoder

    Ada banyak "dekoder universal" (tentu saja, yang berbayar) di jaringan, tetapi kegunaannya dipertanyakan. Tentu saja, jika pembuat virus itu sendiri yang menulis dekoder, itu akan berhasil, tetapi program yang sama tidak akan berguna untuk aplikasi jahat lainnya. Selain itu, spesialis yang secara teratur menemukan virus biasanya memiliki paket lengkap utilitas yang diperlukan, sehingga mereka memiliki semua program yang berfungsi dengan probabilitas tinggi. Membeli decoder seperti itu kemungkinan akan membuang-buang uang.

    Cara mendekripsi file menggunakan Kaspersky Lab - video

    Pemulihan informasi swalayan

    Jika karena alasan tertentu tidak mungkin untuk menghubungi spesialis pihak ketiga, Anda dapat mencoba memulihkan informasi sendiri. Mari kita membuat reservasi bahwa jika terjadi kegagalan, file mungkin hilang secara permanen.

    Memulihkan file yang terhapus

    Setelah enkripsi, virus menghapus file asli. Namun, Windows 7 menyimpan semua informasi yang dihapus dalam bentuk yang disebut salinan bayangan untuk beberapa waktu.

    Penjelajah Bayangan

    ShadowExplorer adalah utilitas yang dirancang untuk memulihkan file dari salinan bayangannya.

  • Untuk menginstal, buka situs pengembang dan unduh arsip, setelah membongkar modul yang dapat dieksekusi yang akan disimpan di folder ShadowExplorerPortable dengan nama yang sama. Pintasan untuk peluncuran cepat akan muncul di desktop.
  • Selanjutnya, semua tindakan bersifat intuitif. Luncurkan program dan di jendela kiri atas pilih disk tempat data disimpan dan tanggal salinan bayangan dibuat. Anda memerlukan tanggal terbaru.
  • Sekarang temukan bagian yang berisi file kerja dan klik kanan di atasnya. Di menu konteks yang terbuka, pilih Ekspor, lalu tentukan jalur untuk menyimpan file yang dipulihkan. Program akan menemukan semua salinan bayangan yang tersedia di folder ini dan mengekspornya ke tujuannya.

    • FotoRec

    Utilitas PhotoRec gratis bekerja dengan cara yang sama, tetapi dalam mode batch.

  • Unduh arsip dari situs pengembang dan buka kemasannya ke disk. File yang dapat dieksekusi bernama QPhotoRec_Win.
  • Setelah meluncurkan aplikasi, kotak dialog akan menampilkan daftar semua perangkat disk yang tersedia. Pilih salah satu tempat file terenkripsi disimpan dan tentukan jalur untuk menyimpan salinan yang dipulihkan.

    Untuk penyimpanan, lebih baik menggunakan media eksternal, seperti stik USB, karena setiap penulisan ke disk berbahaya dengan menghapus salinan bayangan.

  • Dengan direktori yang diinginkan dipilih, tekan tombol bezel Format File.
  • Menu tarik-turun adalah daftar jenis file yang dapat dipulihkan oleh aplikasi. Secara default, ada tanda centang di sebelah masing-masing, tetapi untuk mempercepat pekerjaan, Anda dapat menghapus "kotak centang" yang tidak perlu, hanya menyisakan yang sesuai dengan jenis file yang dipulihkan. Ketika Anda selesai dengan pilihan Anda, tekan tombol OK di layar.
  • Setelah pemilihan selesai, tombol softkey Pencarian akan tersedia. Klik itu. Prosedur pemulihan adalah proses yang memakan waktu, jadi harap bersabar.
  • Setelah menunggu selesainya proses, tekan tombol Keluar di layar dan keluar dari program.
  • File yang dipulihkan terletak di direktori yang ditentukan sebelumnya dan diurutkan ke dalam folder dengan nama yang sama recup_dir.1, recup_dir.2, recup_dir.3 dan seterusnya. Telusuri masing-masing satu per satu dan kembalikan ke nama aslinya.

    • Penghapusan virus

    Sejak virus memasuki komputer, program keamanan yang diinstal tidak mengatasi tugasnya. Anda dapat mencoba bantuan pihak ketiga.

    Penting! Menghapus virus menyembuhkan komputer, tetapi tidak mengembalikan file terenkripsi. Selain itu, menginstal perangkat lunak baru dapat merusak atau menghapus beberapa salinan bayangan file yang diperlukan untuk memulihkannya. Karena itu, lebih baik menginstal aplikasi di drive lain.

    Alat Penghapus Virus Kaspersky

    Program gratis dari pengembang perangkat lunak anti-virus terkenal, yang dapat diunduh dari situs web Kaspersky Lab. Setelah meluncurkan Alat Penghapusan Virus Kaspersky, Anda akan segera diminta untuk mulai memindai.

    Setelah menekan tombol besar di layar "Mulai Pindai", program mulai memindai komputer Anda.

    Masih menunggu sampai akhir pemindaian dan menghapus tamu tak diundang yang ditemukan.

    Malwarebytes Anti-malware

    Pengembang perangkat lunak antivirus lain menyediakan pemindai versi gratis. Algoritma tindakannya sama:

  • Unduh file instalasi untuk Malwarebytes Anti-malware dari halaman resmi pabrikan, lalu jalankan penginstal, jawab pertanyaan, dan klik tombol "Berikutnya".
  • Jendela utama akan menawarkan untuk segera memperbarui program (prosedur yang berguna untuk menyegarkan basis data virus). Setelah itu, mulai pemeriksaan dengan mengklik tombol yang sesuai.
  • Malwarebytes Anti-malware memindai sistem secara bertahap, menampilkan hasil sementara.
  • Virus yang ditemukan, termasuk ransomware, ditampilkan di jendela terakhir. Singkirkan mereka dengan menekan tombol "Hapus yang Dipilih" di layar.

    Untuk penghapusan yang benar dari beberapa aplikasi berbahaya, Malwarebytes Anti-malware akan menawarkan untuk mem-boot ulang sistem, Anda harus setuju dengan ini. Setelah Windows dilanjutkan, antivirus akan melanjutkan pembersihan.

    • Apa yang tidak dilakukan

    Virus XTBL, seperti virus ransomware lainnya, merusak sistem dan informasi pengguna. Oleh karena itu, untuk mengurangi potensi kerusakan, beberapa tindakan pencegahan harus dilakukan:

    1. Jangan menunggu akhir enkripsi. Jika enkripsi file telah dimulai di depan mata Anda, jangan tunggu sampai semuanya berakhir, atau coba hentikan prosesnya dengan perangkat lunak. Cabut komputer segera dan hubungi teknisi servis.
    2. Jangan mencoba untuk menghapus virus sendiri jika Anda dapat mempercayai profesional.
    3. Jangan menginstal ulang sistem sampai akhir perawatan. Virus akan dengan aman menginfeksi sistem baru juga.
    4. Jangan mengganti nama file terenkripsi. Ini hanya akan mempersulit pekerjaan decoder.
    5. Jangan mencoba membaca file yang terinfeksi di komputer lain sampai virusnya dihapus. Ini dapat menyebarkan infeksi.
    6. Jangan membayar pemeras. Itu tidak berguna dan mendorong pembuat virus dan scammers.
    7. Jangan lupa tentang pencegahan. Menginstal antivirus, backup rutin, dan membuat titik pemulihan akan secara signifikan mengurangi potensi kerusakan dari malware.

    Menyembuhkan komputer yang terinfeksi virus ransomware adalah prosedur yang panjang dan tidak selalu berhasil. Oleh karena itu, sangat penting untuk mengamati tindakan pencegahan saat memperoleh informasi dari jaringan dan bekerja dengan media eksternal yang tidak diverifikasi.

    Hari baik untuk semua, teman-teman terkasih dan pembaca blog saya. Hari ini topiknya akan agak sedih, karena akan menyentuh virus. Saya akan bercerita tentang kasus yang terjadi belum lama ini di tempat kerja saya. Seorang karyawan dengan suara gelisah memanggil saya di departemen: "Dima, virus telah mengenkripsi file di komputer: apa yang harus dilakukan sekarang?". Kemudian saya menyadari bahwa kasingnya berbau goreng, tetapi pada akhirnya saya pergi menemuinya.

    Ya. Semuanya ternyata menyedihkan. Sebagian besar file di komputer terinfeksi, atau lebih tepatnya dienkripsi: dokumen Office, file PDF, database 1C dan banyak lainnya. Secara umum, pantatnya lengkap. Mungkin hanya arsip, aplikasi, dan dokumen teks yang tidak terpengaruh (well, dan banyak lagi). Semua data ini telah mengubah ekstensinya, dan juga mengubah namanya menjadi sesuatu seperti sjd7gy2HjdlVnsjds.
    Juga, beberapa dokumen yang identik README.txt muncul di desktop dan di folder Mereka dengan jujur ​​​​mengatakan bahwa komputer Anda terinfeksi dan agar Anda tidak mengambil tindakan apa pun, jangan hapus apa pun, jangan periksa perangkat lunak antivirus, jika tidak, file tidak akan dikembalikan.
    File tersebut juga mengatakan bahwa orang-orang baik ini akan dapat memulihkan semuanya seperti semula. Untuk melakukan ini, mereka perlu mengirim kunci dari dokumen ke surat mereka, setelah itu Anda akan menerima instruksi yang diperlukan. Mereka tidak menulis harganya, tetapi ternyata biaya pengembaliannya sekitar 20.000 rubel.

    Apakah data Anda bernilai uang? Apakah Anda siap membayar untuk menghilangkan ransomware? Saya ragu. Apa yang kemudian harus diselesaikan? Mari kita bicarakan itu nanti. Sementara itu, mari kita mulai semuanya secara berurutan.

    Dari mana asalnya?

    Dari mana virus ransomware jelek ini berasal? Semuanya sangat sederhana di sini. Orang-orang mengambilnya melalui email. Sebagai aturan, virus ini menembus organisasi, kotak surat perusahaan, meskipun tidak hanya. Di permukaan, Anda tidak menganggapnya kaku, karena itu tidak datang dalam bentuk spam, tetapi dari organisasi serius yang benar-benar ada, misalnya, kami menerima surat dari penyedia Rostelecom dari surat resmi mereka.

    Surat itu benar-benar biasa, seperti "Rencana tarif baru untuk badan hukum." Di dalamnya ada file PDF. Dan ketika Anda membuka file itu, Anda membuka kotak Pandora. Semua file penting dienkripsi dan diubah menjadi "batu bata" dengan kata-kata sederhana. Dan antivirus tidak langsung menangkap omong kosong ini.

    Apa yang saya lakukan dan apa yang tidak berhasil

    Secara alami, bersama kami, tidak ada yang mau membayar 20 ribu untuk ini, karena informasinya tidak terlalu mahal, dan selain itu, menghubungi scammer sama sekali bukan pilihan. Dan selain itu, bukan fakta bahwa untuk jumlah ini Anda akan membuka blokir semuanya.

    Saya memeriksa utilitas drweb cureit dan menemukan virus, tetapi tidak ada gunanya, karena bahkan setelah virus, file tetap dienkripsi. Menghapus virus ternyata mudah, tetapi mengatasi konsekuensinya jauh lebih sulit. Saya pergi ke forum Doctor Web dan Kaspersky, dan di sana saya menemukan topik yang saya butuhkan, dan juga mengetahui bahwa baik di sana maupun di sana mereka tidak dapat membantu dekripsi. Semuanya dienkripsi dengan sangat kuat.

    Di sisi lain, mesin pencari mulai muncul dengan hasil bahwa beberapa perusahaan mendekripsi file secara berbayar. Nah, itu menarik bagi saya, terutama karena perusahaan itu ternyata nyata, benar-benar ada. Di situs web mereka, mereka menawarkan untuk menguraikan lima bagian secara gratis untuk menunjukkan kemampuan mereka. Yah, saya mengambil dan mengirimi mereka 5 file paling penting menurut saya.
    Setelah beberapa waktu, saya menerima jawaban bahwa mereka berhasil menguraikan semuanya dan bahwa mereka akan mengambil 22 ribu dari saya untuk decoding lengkap. Dan mereka tidak mau memberikan file itu kepada saya. Jadi saya langsung berasumsi bahwa mereka kemungkinan besar bekerja sama dengan scammers. Yah, tentu saja mereka dikirim ke neraka.

    • menggunakan program "Recuva" dan "RStudio"
    • Dijalankan oleh berbagai utilitas
    • Nah, untuk menenangkan diri, saya tidak bisa tidak mencoba (walaupun saya tahu betul bahwa ini tidak akan membantu) itu hanya basi ke kanan. tentu saja bray)

    Tak satu pun dari ini bekerja untuk saya. Tapi saya masih menemukan jalan keluarnya \ R \ n \ r \ nTentu saja, jika Anda tiba-tiba mengalami situasi seperti itu, maka lihat dengan ekstensi apa file dienkripsi. Setelah itu pergi ke http://support.kaspersky.com/viruses/disinfection/10556 dan lihat ekstensi mana yang terdaftar. Jika ekstensi Anda ada dalam daftar, gunakan utilitas ini.
    Tetapi dalam semua 3 kasus yang saya lihat dengan ransomware ini, tidak ada utilitas ini yang membantu. Secara khusus, saya bertemu dengan virus "kode da vinci" dan "KUBAH"... Dalam kasus pertama, nama dan ekstensi berubah, dan yang kedua hanya ekstensi. Secara umum, ada sejumlah besar ransomware semacam itu. Saya mendengar bajingan seperti xtbl, tidak ada lagi tebusan, lebih baik panggil saul dan banyak lainnya.

    Apa yang membantu?

    Pernahkah Anda mendengar tentang salinan bayangan? Jadi, ketika titik pemulihan dibuat, salinan bayangan file Anda dibuat secara otomatis. Dan jika sesuatu terjadi pada file Anda, maka Anda selalu dapat mengembalikannya ke saat titik pemulihan dibuat. Satu program hebat untuk memulihkan file dari salinan bayangan akan membantu kami dalam hal ini.

    Untuk memulai unduh dan instal program "Penjelajah Bayangan". Jika versi terbaru mengganggu Anda (itu terjadi), maka instal yang sebelumnya.

    Pergi ke Penjelajah Bayangan. Seperti yang kita lihat, bagian utama dari program ini mirip dengan explorer, yaitu. file dan folder. Sekarang perhatikan sudut kiri atas. Di sana kita melihat huruf dan tanggal drive lokal. Tanggal ini berarti bahwa semua file yang disajikan di drive C adalah yang terbaru pada saat itu. Saya memilikinya pada 30 November. Ini berarti titik pemulihan terakhir dibuat pada tanggal 30 November.
    Jika kita mengklik daftar tarik-turun tanggal, kita akan melihat nomor mana yang masih memiliki salinan bayangan. Dan jika Anda mengklik daftar drop-down drive lokal dan memilih, misalnya, drive D, maka kita akan melihat tanggal di mana kita memiliki file yang sebenarnya. Tapi untuk drive D poin tidak dibuat secara otomatis, jadi item ini harus didaftarkan di pengaturan. dia sangat mudah dilakukan.
    Seperti yang Anda lihat, jika untuk disk C Saya memiliki tanggal yang cukup baru, lalu untuk disk D titik terakhir dibuat hampir setahun yang lalu. Nah, maka kita melakukannya poin demi poin:

    Semuanya. Sekarang yang tersisa hanyalah menunggu ekspor selesai. Dan kemudian kita pergi ke folder yang sama yang telah Anda pilih dan memeriksa semua file untuk keterbukaan dan kinerja. Segalanya menarik).
    Saya tahu bahwa Internet menawarkan beberapa metode, utilitas, dll., Tetapi saya tidak akan menulis tentang mereka, karena saya telah mengalami masalah ini untuk ketiga kalinya, dan tidak pernah sekali pun, hanya salinan bayangan yang membantu saya. Meskipun mungkin saya tidak seberuntung itu).

    Namun sayangnya, terakhir kali kami berhasil memulihkan hanya file-file yang ada di drive C, karena secara default poin dibuat hanya untuk drive C. Dengan demikian, tidak ada salinan bayangan untuk drive D. Tentu saja, Anda juga perlu mengingat titik pemulihan apa yang dapat menyebabkannya, jadi awasi juga.

    Dan agar salinan bayangan dapat dibuat untuk hard drive lain, Anda juga membutuhkannya.

    Profilaksis

    Untuk mencegah masalah pemulihan, Anda perlu melakukan profilaksis. Untuk melakukan ini, Anda harus mematuhi aturan berikut.

    Omong-omong, setelah virus ini mengenkripsi file pada USB flash drive, di mana sertifikat kunci kami untuk tanda tangan digital disimpan. Jadi berhati-hatilah dengan flash drive juga.

    Salam hormat, Dmitry Kostin.

    Ada berbagai macam program jahat. Di antara mereka, ada virus ransomware yang sangat jahat yang, begitu ada di komputer, mulai mengenkripsi file pengguna. Dalam beberapa kasus, ada peluang bagus untuk mendekripsi file Anda, tetapi terkadang tidak berhasil. Kami akan mempertimbangkan semua tindakan yang diperlukan, baik untuk kasus pertama dan kedua, dalam kasus di mana.

    Virus-virus ini mungkin sedikit berbeda, tetapi secara umum, tindakannya selalu sama:

    • instal di komputer;
    • mengenkripsi semua file yang mungkin bernilai apa pun (dokumen, foto);
    • ketika mencoba membuka file-file ini, mengharuskan pengguna untuk menyetor sejumlah tertentu ke dompet atau akun penyerang, jika tidak, akses ke konten tidak akan pernah dibuka.

    File terenkripsi virus di xtbl

    Saat ini, virus telah menyebar cukup luas sehingga dapat mengenkripsi file dan mengubah ekstensinya menjadi .xtbl, serta mengganti namanya dengan karakter yang sepenuhnya acak.

    Selain itu, file khusus dengan instruksi dibuat di tempat yang mencolok. readme.txt... Di dalamnya, penyerang menghadapkan pengguna dengan fakta bahwa semua data pentingnya telah dienkripsi dan sekarang tidak begitu mudah untuk membukanya, melengkapi ini dengan fakta bahwa untuk mengembalikan semuanya ke keadaan sebelumnya, perlu untuk melakukan tindakan tertentu terkait dengan transfer uang ke penipu (biasanya, sebelum itu, Anda perlu mengirim kode tertentu ke salah satu alamat email yang disarankan). Seringkali pesan seperti itu dilengkapi dengan postscript bahwa ketika Anda mencoba untuk mendekripsi semua file Anda sendiri, Anda berisiko kehilangan mereka selamanya.

    Sayangnya, saat ini, secara resmi tidak ada yang dapat mendekripsi .xtbl, jika cara kerja muncul, kami pasti akan menginformasikannya di artikel. Di antara pengguna ada orang-orang yang memiliki pengalaman serupa dengan virus ini dan mereka membayar penipu jumlah yang diperlukan, menerima kembali dekripsi dokumen mereka. Tetapi ini adalah langkah yang sangat berisiko, karena di antara para penjahat dunia maya ada juga yang tidak terlalu peduli dengan dekripsi yang dijanjikan, pada akhirnya itu akan menjadi uang sia-sia.

    Apa yang Anda lakukan kemudian, Anda bertanya? Kami menawarkan beberapa tip untuk membantu Anda mendapatkan kembali semua data Anda dan pada saat yang sama, Anda tidak akan dipimpin oleh scammers dan memberi mereka uang Anda. Dan apa yang perlu dilakukan:

    1. Jika Anda tahu cara bekerja di Pengelola Tugas, maka segera hentikan enkripsi file, hentikan proses yang mencurigakan. Pada saat yang sama, putuskan sambungan komputer Anda dari Internet - banyak ransomware memerlukan koneksi jaringan.
    2. Ambil selembar kertas dan tulis di atasnya kode yang ditawarkan untuk dikirim ke penyerang melalui surat (secarik kertas karena file yang akan Anda tulis mungkin juga tidak dapat diakses untuk dibaca).
    3. Gunakan Malwarebytes Antimalware, percobaan Kaspersky IS atau CureIt Antivirus untuk menghapus malware. Untuk keandalan yang lebih besar, lebih baik menggunakan semua cara yang diusulkan secara konsisten. Meskipun Kaspersky Anti-Virus tidak dapat diinstal jika sistem sudah memiliki satu antivirus utama, jika tidak, konflik perangkat lunak dapat muncul. Semua utilitas lain dapat digunakan dalam situasi apa pun.
    4. Tunggu hingga salah satu perusahaan antivirus mengembangkan decryptor yang berfungsi untuk file tersebut. Cara paling efisien untuk melakukannya adalah Kaspersky Lab.
    5. Selain itu, Anda dapat mengirim ke [dilindungi email] salinan file yang dienkripsi dengan kode yang diperlukan dan, jika ada, file yang sama dalam bentuk aslinya. Ada kemungkinan bahwa ini dapat mempercepat pengembangan metode untuk mendekripsi file.

    Jangan dalam keadaan apapun:

    • penggantian nama dokumen-dokumen ini;
    • mengubah ekspansi mereka;
    • menghapus file.

    Trojan ini juga mengenkripsi file pengguna dan kemudian memerasnya. Pada saat yang sama, file terenkripsi dapat memiliki ekstensi berikut:

    • .terkunci
    • .crypto
    • .kraken
    • .AES256 (belum tentu Trojan ini, ada orang lain yang menginstal ekstensi yang sama).
    • [dilindungi email] _com
    • .oshit
    • Lainnya.

    Untungnya, utilitas dekripsi khusus telah dibuat - RakhniDecryptor... Anda dapat mengunduhnya dari situs web resmi.

    Di situs yang sama, Anda dapat membaca instruksi yang menunjukkan secara rinci dan jelas cara menggunakan utilitas untuk mendekripsi semua file yang telah dikerjakan Trojan. Pada prinsipnya, untuk keandalan yang lebih besar, ada baiknya mengecualikan item untuk menghapus file terenkripsi. Tetapi kemungkinan besar, bahwa pengembang melakukan yang terbaik untuk membuat utilitas dan tidak ada yang mengancam integritas data.

    Mereka yang menggunakan anti-virus Dr.Web berlisensi memiliki akses gratis ke dekripsi dari pengembang http://support.drweb.com/new/free_unlocker/.

    Jenis virus ransomware lainnya

    Terkadang Anda dapat menemukan virus lain yang mengenkripsi file penting dan meminta pembayaran untuk mengembalikan semuanya ke bentuk aslinya. Kami menawarkan daftar kecil dengan utilitas untuk menangani konsekuensi dari virus yang paling umum. Di sana Anda juga dapat membiasakan diri dengan tanda-tanda utama yang dengannya Anda dapat membedakan program Trojan tertentu.

    Selain itu, cara yang baik adalah dengan memindai PC Anda dengan Kaspersky Anti-Virus, yang akan mendeteksi tamu tak diundang dan memberikan nama untuknya. Dengan nama ini, Anda sudah dapat mencari dekoder untuk itu.

    • Trojan-Ransom.Win32.Rektor- pengacak ransomware khas yang mengharuskan Anda mengirim SMS atau melakukan tindakan lain semacam ini, kami mengambil dekripsi dari tautan ini.
    • Trojan-Ransom.Win32.Xorist- variasi dari Trojan sebelumnya, Anda bisa mendapatkan decoder dengan manual untuk penggunaannya.
    • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- ada juga utilitas khusus untuk orang-orang ini, lihat tautannya.
    • Trojan.Encoder858, Trojan.Encoder.741- malware ini dapat dideteksi oleh utilitas CureIt. Mereka memiliki nama yang mirip, tetapi angka di akhir nama mungkin berbeda. Kami mencari dekoder dengan nama virus atau, jika Anda menggunakan Dr.Web berlisensi, Anda dapat menggunakan sumber daya khusus.
    • CryptoLacker- untuk mendapatkan kembali file Anda, kunjungi situs ini dan melaluinya buat program khusus untuk memulihkan dokumen Anda.

    Baru-baru ini, Kaspersky Lab, bekerja sama dengan rekan-rekannya dari Belanda, membuat decryptor yang memungkinkan Anda memulihkan file setelah virus bekerja pada file tersebut. CoinVault.

    Di komentar, Anda dapat membagikan metode Anda untuk mendekripsi file, karena informasi ini akan berguna bagi pengguna lain yang mungkin menemukan perangkat lunak berbahaya tersebut.

    Melawan ancaman virus baru - ransomware

    Kami baru-baru ini menulis bahwa ancaman baru menyebar di jaringan - virus ransomware atau, lebih luas lagi, virus mengenkripsi file, Anda dapat membaca lebih lanjut tentang mereka di situs web kami di tautan ini.

    Dalam topik ini, kami akan memberi tahu Anda bagaimana Anda dapat mengembalikan data yang dienkripsi oleh virus, untuk ini kami akan menggunakan dua dekripsi, dari anti-virus "Kaspersky" dan "Doctor Web", ini adalah metode paling efektif untuk mengembalikan informasi terenkripsi .

    1. Unduh utilitas untuk mendekripsi file dari tautan: Kaspersky dan Dr.WEB

    Atau decryptors untuk jenis file terenkripsi tertentu yang berada.

    2. Pertama, kami akan mencoba mendekripsi file menggunakan program dari Kaspersky:

    2.1. Luncurkan program Kaspersky Decryptor, jika meminta beberapa tindakan, misalnya, luncurkan izin - luncurkan, jika meminta pembaruan - perbarui, ini akan meningkatkan kemungkinan mengembalikan data terenkripsi

    2.2. Di jendela program yang muncul untuk mendekripsi file, kami melihat beberapa tombol. Konfigurasikan parameter tambahan dan mulailah memeriksa.

    2.3. Jika Anda perlu memilih parameter tambahan dan menunjukkan tempat mencari file terenkripsi, dan jika perlu - hapus setelah dekripsi, saya tidak menyarankan Anda untuk memilih opsi ini, file tidak selalu didekripsi dengan benar!

    2.4. Kami memulai pemindaian dan menunggu dekripsi data kami yang dienkripsi oleh virus.

    3. Jika cara pertama tidak berhasil. Kami mencoba mendekripsi file menggunakan program dari Dr. WEB

    3.1. Setelah Anda mengunduh aplikasi dekripsi, letakkan, misalnya, di root drive "C:"., jadi file "te102decrypt.exe" harus tersedia di "c:\te102decrypt.exe"

    3.2. Sekarang pergi ke baris perintah(Mulai-Cari-Masukkan "CMD" tanpa tanda kutip-jalankan dengan menekan Enter)

    3.3. Untuk mulai mendekripsi file kami meresepkan perintah "c: \ te102decrypt.exe -k 86 -e (kode ransomware)"... Kode ransomware adalah ekstensi yang ditambahkan ke akhir file, misalnya " [dilindungi email] _45jhj "- tulis tanpa tanda kutip dan tanda kurung, perhatikan spasi. Anda seharusnya mendapatkan sesuatu seperti c: \ te102decrypt.exe -k 86 -e [dilindungi email] _45jhj

    3.4. Tekan Enter dan tunggu file didekripsi yang dienkripsi, dalam beberapa kasus, beberapa salinan file yang didekripsi dibuat, Anda mencoba menjalankannya, salinan file yang didekripsi itu terbuka secara normal - simpan, sisanya dapat dihapus.

    Unduh sisa decoder file:

    Perhatian: pastikan untuk menyimpan salinan file terenkripsi ke media eksternal atau PC lain. Decryptors yang disajikan di bawah ini mungkin tidak mendekripsi file, tetapi hanya merusaknya!

    Yang terbaik adalah menjalankan dekripsi pada mesin virtual atau pada komputer yang disiapkan khusus, setelah sebelumnya mengunduh beberapa file ke dalamnya.

    Dekoder yang disajikan di bawah ini berfungsi sebagai berikut: Misalnya, file Anda dienkripsi dengan alat enkripsi amba dan file tersebut tampak seperti "Contract.doc.amba" atau "Account.xls.amba", kemudian kami mengunduh decryptor untuk file amba dan jalankan saja, itu akan menemukan semua file dengan ekstensi ini dan dekripsi, tetapi sekali lagi, lindungi diri Anda dan sebelumnya buat cadangan file terenkripsi jika tidak, Anda mungkin kehilangan data yang salah didekripsi selamanya!

    Jika Anda tidak ingin mengambil risiko, maka kirimkan beberapa file kepada kami, setelah sebelumnya menghubungi kami menggunakan formulir umpan balik, kami akan meluncurkan dekoder pada komputer yang disiapkan khusus yang diisolasi dari Internet.

    File yang disajikan diperiksa oleh Kaspersky Anti-Virus versi terbaru dan dengan pembaruan basis data terbaru.

    Fakta bahwa Internet penuh dengan virus tidak mengejutkan siapa pun saat ini. Banyak pengguna merasakan situasi yang terkait dengan dampaknya pada sistem atau data pribadi, secara halus, menutup mata, tetapi hanya sampai virus enkripsi secara khusus mengendap di sistem. Sebagian besar pengguna biasa tidak tahu cara menyembuhkan dan mendekripsi data yang disimpan di hard drive. Oleh karena itu, kontingen ini "digiring" ke tuntutan yang diajukan oleh para penyerang. Tapi mari kita lihat apa yang dapat Anda lakukan jika ancaman seperti itu terdeteksi atau untuk mencegahnya memasuki sistem.

    Apa itu virus ransomware?

    Jenis ancaman ini menggunakan algoritme enkripsi file standar dan non-standar yang sepenuhnya mengubah konten mereka dan memblokir akses. Misalnya, sangat tidak mungkin untuk membuka file teks terenkripsi untuk membaca atau mengedit, serta memutar konten multimedia (grafik, video, atau audio) setelah terpapar virus. Bahkan operasi standar untuk menyalin atau memindahkan objek tidak tersedia.

    Isi perangkat lunak virus adalah sarana yang mengenkripsi data sedemikian rupa sehingga tidak selalu mungkin untuk mengembalikan keadaan semula bahkan setelah menghapus ancaman dari sistem. Biasanya, program jahat semacam itu membuat salinannya sendiri dan mengendap sangat dalam di sistem, sehingga virus enkripsi file terkadang sama sekali tidak mungkin untuk dihapus. Dengan mencopot program utama atau menghapus badan utama virus, pengguna tidak menghilangkan dampak ancaman, apalagi memulihkan informasi terenkripsi.

    Bagaimana ancaman masuk ke sistem?

    Sebagai aturan, ancaman jenis ini sebagian besar ditargetkan pada struktur komersial besar dan dapat menembus komputer melalui program email ketika seorang karyawan membuka dokumen yang diduga dilampirkan dalam email, yang, katakanlah, tambahan untuk semacam perjanjian kerja sama atau rencana pasokan barang (penawaran komersial dengan investasi dari sumber yang meragukan adalah jalur pertama virus).

    Masalahnya adalah virus ransomware pada mesin yang memiliki akses ke jaringan lokal juga dapat beradaptasi di dalamnya, membuat salinannya sendiri tidak hanya di lingkungan jaringan, tetapi juga di terminal administrator, jika tidak memiliki perlindungan yang diperlukan dalam berupa software antivirus.firewall atau firewall.

    Terkadang ancaman semacam itu juga dapat menembus sistem komputer pengguna biasa, yang pada umumnya tidak menarik bagi penjahat dunia maya. Ini terjadi pada saat instalasi beberapa program yang diunduh dari sumber Internet yang meragukan. Banyak pengguna, ketika memulai pengunduhan, mengabaikan peringatan sistem perlindungan anti-virus, dan selama proses instalasi mereka tidak memperhatikan saran untuk menginstal perangkat lunak tambahan, panel atau plug-in untuk browser, dan kemudian, ketika mereka katakan, gigit siku mereka.

    Varietas virus dan sedikit sejarah

    Pada dasarnya, ancaman jenis ini, khususnya virus ransomware paling berbahaya No_more_ransom, diklasifikasikan tidak hanya sebagai alat untuk mengenkripsi data atau memblokir akses ke sana. Faktanya, semua aplikasi berbahaya tersebut diklasifikasikan sebagai ransomware. Dengan kata lain, penjahat dunia maya menuntut sejumlah uang untuk mendekripsi informasi, percaya bahwa proses ini tidak mungkin dilakukan tanpa program awal. Ini sebagian kasusnya.

    Tetapi jika Anda menggali sejarah, Anda akan melihat bahwa salah satu virus pertama dari jenis ini, meskipun tidak memaksakan persyaratan uang, adalah applet I Love You yang terkenal, yang sepenuhnya mengenkripsi file multimedia (terutama trek musik) di sistem pengguna. . Dekripsi file setelah virus ransomware ternyata tidak mungkin pada saat itu. Sekarang ancaman inilah yang dapat ditangani dengan cara dasar.

    Namun perkembangan virus itu sendiri atau algoritma enkripsi yang digunakan tidak berhenti. Apa yang hilang di antara virus - di sini Anda memiliki XTBL, dan CBF, dan Breaking_Bad, dan [dilindungi email], dan banyak hal buruk lainnya.

    Teknik untuk mempengaruhi file pengguna

    Dan jika hingga saat ini sebagian besar serangan dilakukan menggunakan algoritma RSA-1024 berdasarkan enkripsi AES dengan bitness yang sama, virus ransomware No_more_ransom yang sama saat ini disajikan dalam beberapa interpretasi, menggunakan kunci enkripsi berdasarkan teknologi RSA-2048 dan bahkan RSA-3072.

    Masalah dekripsi untuk algoritma yang digunakan

    Masalahnya adalah bahwa sistem dekripsi modern tidak berdaya menghadapi bahaya seperti itu. Dekripsi file setelah virus ransomware berbasis AES256 masih agak didukung, dan dengan bit rate kunci yang lebih tinggi, hampir semua pengembang hanya mengangkat bahu. Omong-omong, ini telah dikonfirmasi secara resmi oleh spesialis dari Kaspersky Lab dan Eset.

    Dalam versi paling primitif, pengguna yang menghubungi layanan dukungan diminta untuk mengirim file terenkripsi dan aslinya untuk perbandingan dan operasi lebih lanjut untuk menentukan algoritma enkripsi dan metode pemulihan. Tetapi, sebagai suatu peraturan, dalam banyak kasus ini tidak berhasil. Tetapi virus ransomware dapat mendekripsi file sendiri, seperti yang diyakini, asalkan korban menyetujui persyaratan penyerang dan membayar sejumlah uang. Namun, rumusan pertanyaan seperti itu menimbulkan keraguan yang sah. Dan itulah kenapa.

    Virus enkripsi: bagaimana cara menyembuhkan dan mendekripsi file dan dapatkah itu dilakukan?

    Setelah pembayaran dilakukan, peretas dikatakan mengaktifkan dekripsi melalui akses jarak jauh ke virus mereka yang ada di sistem, atau melalui applet tambahan jika badan virus telah dihapus. Itu terlihat lebih dari meragukan.

    Saya juga ingin mencatat fakta bahwa Internet penuh dengan posting palsu yang menyatakan bahwa, kata mereka, jumlah yang diperlukan telah dibayarkan, dan data berhasil dipulihkan. Ini semua bohong! Dan sungguh - di mana jaminan bahwa setelah pembayaran virus enkripsi dalam sistem tidak akan diaktifkan lagi? Tidak sulit untuk memahami psikologi pencuri: jika Anda membayar sekali, Anda membayar lagi. Dan jika kita berbicara tentang informasi yang sangat penting seperti perkembangan komersial, ilmiah atau militer tertentu, pemilik informasi tersebut siap membayar sebanyak yang diperlukan, jika hanya file yang tetap utuh dan aman.

    Obat pertama untuk menghilangkan ancaman

    Ini adalah sifat dari virus ransomware. Bagaimana cara mendisinfeksi dan mendekripsi file setelah terkena ancaman? Ya, tidak mungkin, jika tidak ada alat yang tersedia, yang juga tidak selalu membantu. Tapi Anda bisa mencoba.

    Mari kita asumsikan bahwa virus ransomware telah muncul di sistem. Bagaimana cara mendisinfeksi file yang terinfeksi? Pertama, Anda harus melakukan pemindaian sistem mendalam tanpa menggunakan teknologi SMART, yang mendeteksi ancaman hanya ketika sektor boot dan file sistem rusak.

    Dianjurkan untuk tidak menggunakan pemindai standar yang ada, yang telah melewatkan ancaman, tetapi menggunakan utilitas portabel. Pilihan terbaik adalah mem-boot dari Kaspersky Rescue Disk, yang dapat dimulai bahkan sebelum sistem operasi mulai bekerja.

    Tetapi ini hanya setengah dari pertempuran, karena dengan cara ini Anda hanya dapat menyingkirkan virus itu sendiri. Tapi dengan decoder itu akan lebih sulit. Tapi lebih lanjut tentang itu nanti.

    Ada kategori lain yang termasuk dalam virus ransomware. Cara mendekripsi informasi akan dikatakan secara terpisah, tetapi untuk saat ini mari kita memikirkan fakta bahwa mereka dapat sepenuhnya secara terbuka ada dalam sistem dalam bentuk program dan aplikasi yang diinstal secara resmi (kelancangan penyerang tidak mengenal batas, karena ancaman tidak bahkan tidak mencoba untuk menyamar).

    Dalam hal ini, Anda harus menggunakan bagian program dan komponen di mana penghapusan standar dilakukan. Namun, Anda juga harus memperhatikan fakta bahwa uninstaller standar Windows tidak sepenuhnya menghapus semua file program. Secara khusus, virus ransomware ransom dapat membuat foldernya sendiri di direktori root sistem (biasanya, ini adalah direktori Csrss, di mana ada file executable csrss.exe dengan nama yang sama). Windows, System32 atau direktori pengguna (Pengguna di drive sistem) dipilih sebagai lokasi utama.

    Selain itu, virus ransomware No_more_ransom menulis kuncinya sendiri di registri dalam bentuk tautan yang tampaknya ke layanan sistem resmi Subsistem Runtime Server Klien, yang menyesatkan bagi banyak orang, karena layanan ini harus bertanggung jawab untuk interaksi antara perangkat lunak klien dan server . Kunci itu sendiri terletak di folder Jalankan, yang dapat dicapai melalui cabang HKLM. Jelas bahwa Anda perlu menghapus kunci tersebut secara manual.

    Untuk membuatnya lebih mudah, Anda dapat menggunakan utilitas seperti iObit Uninstaller, yang mencari file sisa dan kunci registri secara otomatis (tetapi hanya jika virus terlihat di sistem sebagai aplikasi yang diinstal). Tapi ini adalah hal yang paling sederhana untuk dilakukan.

    Solusi yang ditawarkan oleh pengembang perangkat lunak anti-virus

    Diyakini bahwa dekripsi virus ransomware dapat dilakukan dengan menggunakan utilitas khusus, meskipun jika Anda memiliki teknologi dengan kunci 2048 atau 3072 bit, Anda tidak boleh mengandalkannya (selain itu, banyak dari mereka menghapus file setelah dekripsi, dan kemudian file yang dipulihkan hilang karena kesalahan keberadaan tubuh virus yang belum dihapus sebelumnya).

    Namun demikian, Anda dapat mencoba. Dari semua program, RectorDecryptor dan ShadowExplorer patut disorot. Diyakini bahwa tidak ada yang lebih baik telah dibuat sejauh ini. Tetapi masalahnya mungkin juga ketika Anda mencoba menggunakan decryptor, tidak ada jaminan bahwa file yang didesinfeksi tidak akan dihapus. Artinya, jika Anda tidak menyingkirkan virus pada awalnya, setiap upaya dekripsi akan gagal.

    Selain menghapus informasi terenkripsi, itu juga bisa berakibat fatal - seluruh sistem akan tidak beroperasi. Selain itu, virus ransomware modern mampu memengaruhi tidak hanya data yang disimpan di hard drive komputer, tetapi juga file di penyimpanan cloud. Dan di sini tidak ada solusi untuk memulihkan informasi. Selain itu, ternyata, banyak layanan mengambil tindakan perlindungan yang kurang efektif (OneDrive bawaan yang sama di Windows 10, yang diekspos langsung dari sistem operasi).

    Solusi radikal untuk masalah ini

    Seperti yang sudah jelas, sebagian besar metode modern tidak memberikan hasil positif ketika terinfeksi virus tersebut. Tentu saja, jika ada file asli yang rusak, dapat dikirim untuk diperiksa ke laboratorium antivirus. Benar, ada juga keraguan yang sangat serius bahwa pengguna biasa akan membuat salinan cadangan data yang, bila disimpan di hard disk, juga dapat terkena kode berbahaya. Dan fakta bahwa untuk menghindari masalah, pengguna menyalin informasi ke media yang dapat dipindahkan, kita tidak berbicara sama sekali.

    Jadi, untuk solusi radikal untuk masalah ini, kesimpulannya menyarankan dirinya sendiri: pemformatan lengkap hard drive dan semua partisi logis dengan penghapusan informasi. Jadi apa yang harus dilakukan? Anda harus menyumbang jika Anda tidak ingin virus atau salinan yang disimpan sendiri diaktifkan kembali di sistem.

    Untuk melakukan ini, Anda tidak boleh menggunakan alat dari sistem Windows itu sendiri (maksud saya memformat partisi virtual, karena larangan akan dikeluarkan ketika mencoba mengakses disk sistem). Lebih baik menggunakan booting dari media optik seperti LiveCD atau distribusi instalasi, seperti yang dibuat menggunakan Media Creation Tool untuk Windows 10.

    Sebelum mulai memformat, asalkan virus telah dihapus dari sistem, Anda dapat mencoba memulihkan integritas komponen sistem melalui baris perintah (sfc / scannow), tetapi ini tidak akan berpengaruh dalam hal mendekripsi dan membuka kunci data. Oleh karena itu, format c: adalah satu-satunya solusi yang tepat, apakah Anda suka atau tidak. Ini adalah satu-satunya cara untuk sepenuhnya menyingkirkan jenis ancaman ini. Aduh, tidak ada cara lain! Bahkan perawatan dengan alat standar yang ditawarkan oleh sebagian besar paket antivirus tidak berdaya.

    Alih-alih kata penutup

    Dalam hal menyarankan kesimpulan, kami hanya dapat mengatakan bahwa tidak ada solusi tunggal dan universal untuk menghilangkan konsekuensi dari dampak ancaman semacam itu hari ini (sayangnya, tetapi fakta - ini dikonfirmasi oleh sebagian besar pengembang dan spesialis perangkat lunak anti-virus. di bidang kriptografi).

    Masih belum jelas mengapa munculnya algoritma berdasarkan enkripsi 1024-, 2048- dan 3072-bit yang dilewati oleh mereka yang terlibat langsung dalam pengembangan dan implementasi teknologi semacam itu? Memang, hari ini algoritma AES256 dianggap paling menjanjikan dan paling aman. Melihat! 256! Sistem ini, ternyata, tidak cocok untuk virus modern. Apa yang bisa kita katakan tentang upaya untuk mendekripsi kunci mereka?

    Bagaimanapun, cukup mudah untuk menghindari ancaman ke dalam sistem. Dalam kasus yang paling sederhana, Anda harus memindai semua pesan masuk dengan lampiran di Outlook, Thunderbird, dan klien email lainnya dengan antivirus segera setelah menerima dan tidak membuka lampiran sampai pemindaian selesai. Anda juga harus hati-hati membaca saran untuk menginstal perangkat lunak tambahan saat menginstal beberapa program (biasanya ditulis dalam cetakan yang sangat kecil atau disamarkan sebagai add-on standar seperti memperbarui Flash Player atau yang lainnya). Lebih baik memperbarui komponen media melalui situs resmi. Ini adalah satu-satunya cara untuk setidaknya mencegah penetrasi ancaman tersebut ke dalam sistem Anda sendiri. Konsekuensinya bisa sangat tidak terduga, mengingat virus jenis ini langsung menyebar di jaringan lokal. Dan bagi perusahaan, pergantian peristiwa seperti itu dapat berubah menjadi keruntuhan nyata dari semua usaha.

    Akhirnya, administrator sistem tidak boleh duduk diam. Lebih baik untuk mengecualikan sarana perlindungan perangkat lunak dalam situasi seperti itu. Firewall (firewall) yang sama tidak boleh berupa perangkat lunak, tetapi "perangkat keras" (tentu saja, dengan perangkat lunak yang menyertainya). Dan, tidak perlu dikatakan lagi bahwa tidak ada gunanya menghemat pembelian paket anti-virus juga. Lebih baik membeli paket berlisensi, dan tidak menginstal program primitif yang seharusnya memberikan perlindungan waktu nyata hanya dari kata-kata pengembang.

    Dan jika ancaman telah memasuki sistem, urutan tindakan harus mencakup penghapusan tubuh virus itu sendiri, dan baru kemudian mencoba mendekripsi data yang rusak. Idealnya - pemformatan penuh (perhatikan, tidak cepat dengan menghapus daftar isi, tetapi pemformatan penuh, sebaiknya dengan memulihkan atau mengganti sistem file, sektor boot, dan catatan yang ada).

    ARTIKEL SEPERTI