როგორც წესი, მავნე პროგრამების მუშაობა მიზნად ისახავს კომპიუტერზე კონტროლის მოპოვებას, ზომბების ქსელში ჩართვის ან პერსონალური მონაცემების მოპარვას. უყურადღებო მომხმარებელმა შეიძლება დიდი ხნის განმავლობაში ვერ შეამჩნიოს, რომ სისტემა ინფიცირებულია. მაგრამ ransomware ვირუსები, კერძოდ xtbl, მუშაობს სრულიად განსხვავებული გზით. ისინი მომხმარებლის ფაილებს გამოუსადეგარს ხდიან მათ ყველაზე რთული ალგორითმით დაშიფვრით და ინფორმაციის აღდგენის უნარის მფლობელისგან დიდი თანხის მოთხოვნით.

პრობლემის მიზეზი: xtbl ვირუსი

xtbl ransomware ვირუსმა მიიღო სახელი იმის გამო, რომ მის მიერ დაშიფრული მომხმარებლის დოკუმენტები იღებენ .xtbl გაფართოებას. ჩვეულებრივ, ენკოდერები ტოვებენ გასაღებს ფაილის სხეულში, რათა უნივერსალურმა დეკოდერმა პროგრამამ შეძლოს ინფორმაციის თავდაპირველი სახით აღდგენა. თუმცა, ვირუსი განკუთვნილია სხვა მიზნებისთვის, ამიტომ გასაღების ნაცვლად ეკრანზე ჩნდება შეთავაზება, რომ გადაიხადოთ გარკვეული თანხა ანონიმური ანგარიშის დეტალების გამოყენებით.

როგორ მუშაობს xtbl ვირუსი

ვირუსი კომპიუტერში ხვდება ინფიცირებული დანართებით ელ.ფოსტის შეტყობინებებით, რომლებიც წარმოადგენს საოფისე აპლიკაციების ფაილებს. მას შემდეგ, რაც მომხმარებელი გახსნის შეტყობინების შინაარსს, მავნე პროგრამა იწყებს ფოტოების, გასაღებების, ვიდეოების, დოკუმენტების და ა.

ვირუსი იყენებს სისტემის საქაღალდეებს მისი ფაილების შესანახად.

ვირუსი თავს ემატება გაშვების სიაში. ამისათვის ის ამატებს ჩანაწერებს Windows რეესტრში შემდეგ განყოფილებებში:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ პროგრამული უზრუნველყოფა \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

ინფიცირებული კომპიუტერი მუშაობს სტაბილურად, სისტემა არ "ავარდება", მაგრამ RAM-ში ყოველთვის არის პატარა აპლიკაცია (ან ორი) გაუგებარი სახელით. ხოლო საქაღალდეები მომხმარებლის სამუშაო ფაილებით უცნაურ სახეს იღებს.

დახვეწილი ეკრანის ნაცვლად, დესკტოპზე გამოჩნდება შეტყობინება:

თქვენი ფაილები დაშიფრულია. მათი გაშიფვრისთვის, თქვენ უნდა გამოაგზავნოთ კოდი ელ.ფოსტის მისამართზე: [ელფოსტა დაცულია](კოდი მოყვება). შემდეგ მიიღებთ დამატებით ინსტრუქციებს. ფაილების გაშიფვრის დამოუკიდებელი მცდელობები გამოიწვევს მათ სრულ განადგურებას.

იგივე ტექსტი შეიცავს გენერირებულ How to decrypt your files.txt ფაილში. ელექტრონული ფოსტის მისამართი, კოდი, მოთხოვნილი თანხა შეიძლება განსხვავდებოდეს.

ხშირად, ზოგიერთი თაღლითი სხვებზე ფულს შოულობს - გამოსასყიდის ელექტრონული საფულის ნომერი ჩასმულია ვირუსის სხეულში და არ აქვს ფაილების გაშიფვრის საშუალება. ასე რომ, გულმოდგინე მომხმარებელი, რომელმაც ფული გაგზავნა, სანაცვლოდ არაფერს იღებს.

რატომ არ უნდა გადაიხადოთ გამოსასყიდი პროგრამა

გამომძალველებთან თანამშრომლობაზე დათანხმება შეუძლებელია არა მხოლოდ მორალური პრინციპების გამო. ეს არაგონივრულია პრაქტიკული თვალსაზრისით.

როგორ დავიცვათ სისტემა ვირუსისგან

მავნე პროგრამებისგან დაცვისა და ზიანის მინიმიზაციის უნივერსალური წესები ამ შემთხვევაშიც დაგეხმარებათ.

შესაძლებელია თუ არა დაშიფრული ინფორმაციის აღდგენა

კარგი ამბავი: მონაცემთა აღდგენა შესაძლებელია. ცუდი: თქვენ არ შეგიძლიათ ამის გაკეთება საკუთარ თავზე. ამის მიზეზი დაშიფვრის ალგორითმის თავისებურებაა, რომლის გასაღების არჩევა გაცილებით მეტ რესურსს და დაგროვილ ცოდნას მოითხოვს, ვიდრე ჩვეულებრივ მომხმარებელს აქვს. საბედნიეროდ, ანტივირუსის დეველოპერები თვლიან, რომ ღირსების საქმედ უმკლავდებიან ყველა მავნე პროგრამას, ასე რომ, მაშინაც კი, თუ ისინი ამჟამად ვერ უმკლავდებიან თქვენს გამოსასყიდ პროგრამას, ისინი აუცილებლად იპოვიან გამოსავალს ერთ-ორ თვეში. მოგვიწევს მოთმინება.

სპეციალისტებთან დაკავშირების აუცილებლობის გამო, იცვლება ინფიცირებულ კომპიუტერთან მუშაობის ალგორითმი. როგორც ზოგადი წესი, რაც ნაკლები ცვლილებებია მით უკეთესი.ანტივირუსები განსაზღვრავენ მკურნალობის მეთოდს მავნე პროგრამის ზოგადი მახასიათებლების საფუძველზე, ამიტომ ინფიცირებული ფაილები მათთვის მნიშვნელოვანი ინფორმაციის წყაროა. ისინი უნდა მოიხსნას მხოლოდ ძირითადი პრობლემის გადაჭრის შემდეგ.

მეორე წესი არის ვირუსის მუშაობის შეწყვეტა ნებისმიერ ფასად. შესაძლოა, მას ჯერ არ გაუფუჭებია მთელი ინფორმაცია და RAM-ში რჩება გამოსასყიდის პროგრამის კვალი, რომლის დახმარებითაც შესაძლებელია მისი იდენტიფიცირება. ამიტომ, თქვენ დაუყოვნებლივ უნდა გამორთოთ კომპიუტერი ქსელიდან და გამორთოთ ლეპტოპი ქსელის ღილაკზე ხანგრძლივი დაჭერით. ამჯერად, სტანდარტული "ფრთხილი" გამორთვის პროცედურა, რომელიც შესაძლებელს ხდის ყველა პროცესის სწორად დასრულებას, არ იმუშავებს, რადგან ერთ-ერთი მათგანია თქვენი ინფორმაციის კოდირება.

დაშიფრული ფაილების აღდგენა

თუ მოახერხეთ კომპიუტერის გამორთვა

თუ თქვენ მოახერხეთ კომპიუტერის გამორთვა დაშიფვრის პროცესის დასრულებამდე, მაშინ არ გჭირდებათ მისი ჩართვა. მიიყვანეთ „პაციენტი“ პირდაპირ სპეციალისტებთან, შეწყვეტილი კოდირება საგრძნობლად ზრდის პერსონალური ფაილების შენახვის შანსებს. აქ ასევე შეგიძლიათ შეამოწმოთ თქვენი შენახვის მედია უსაფრთხო რეჟიმში და შექმნათ სარეზერვო ასლები. დიდი ალბათობით, თავად ვირუსი გახდება ცნობილი, ამიტომ მისი მკურნალობა წარმატებული იქნება.

თუ დაშიფვრა დასრულებულია

სამწუხაროდ, დაშიფვრის პროცესის წარმატებით შეწყვეტის ალბათობა ძალიან მცირეა. ჩვეულებრივ, ვირუსს აქვს დრო, რომ დაშიფროს ფაილები და ამოიღოს არასაჭირო კვალი კომპიუტერიდან. ახლა კი თქვენ გაქვთ ორი პრობლემა: Windows ჯერ კიდევ ინფიცირებულია და პერსონალური ფაილები გახდა სიმბოლოების ნაკრები. მეორე პრობლემის გადასაჭრელად აუცილებელია ანტივირუსული პროგრამების მწარმოებლების დახმარება.

Dr.Web

Dr.Web Laboratory თავის გაშიფვრის სერვისებს უფასოდ აწვდის მხოლოდ კომერციული ლიცენზიების მფლობელებს. სხვა სიტყვებით რომ ვთქვათ, თუ თქვენ ჯერ არ ხართ მათი კლიენტი, მაგრამ გსურთ თქვენი ფაილების აღდგენა, თქვენ მოგიწევთ პროგრამის ყიდვა. არსებული ვითარებიდან გამომდინარე, ეს არის სწორი ინვესტიცია.

შემდეგი ნაბიჯი არის მწარმოებლის ვებსაიტზე გადასვლა და შესვლის ფორმის შევსება.

თუ დაშიფრულ ფაილებს შორის არის ასლები, რომლებიც შენახულია გარე მედიაზე, მათი გადაცემა მნიშვნელოვნად შეუწყობს ხელს დეკოდერების მუშაობას.

კასპერსკი

Kaspersky Lab-მა შეიმუშავა საკუთარი გაშიფვრის პროგრამა სახელწოდებით RectorDecryptor, რომლის ჩამოტვირთვა შესაძლებელია კომპიუტერში კომპანიის ოფიციალური ვებ-გვერდიდან.

ოპერაციული სისტემის თითოეულ ვერსიას, მათ შორის Windows 7-ს, აქვს საკუთარი უტილიტა. ჩატვირთვის შემდეგ დააჭირეთ ღილაკს "დაიწყეთ შემოწმება".

სერვისებს შეიძლება გარკვეული დრო დასჭირდეს, თუ ვირუსი შედარებით ახალია. ამ შემთხვევაში, კომპანია ჩვეულებრივ აგზავნის შეტყობინებას. ზოგჯერ გაშიფვრას შეიძლება რამდენიმე თვე დასჭირდეს.

სხვა სერვისები

სულ უფრო მეტი სერვისი არსებობს მსგავსი ფუნქციებით, რაც მიუთითებს გაშიფვრის სერვისებზე მოთხოვნაზე. მოქმედებების ალგორითმი იგივეა: გადადით საიტზე (მაგალითად, https://decryptolocker.com/), დარეგისტრირდით და გაგზავნეთ დაშიფრული ფაილი.

დეკოდერის პროგრამები

ქსელში არის უამრავი „უნივერსალური დეკოდერი“ (რა თქმა უნდა, ფასიანი), მაგრამ მათი სარგებლობა საეჭვოა. რა თქმა უნდა, თუ ვირუსის მწარმოებლები თავად დაწერენ დეკოდერს, ის წარმატებით იმუშავებს, მაგრამ იგივე პროგრამა გამოუსადეგარი იქნება სხვა მავნე აპლიკაციისთვის. გარდა ამისა, სპეციალისტებს, რომლებიც რეგულარულად ხვდებიან ვირუსებს, ჩვეულებრივ აქვთ საჭირო კომუნალური საშუალებების სრული პაკეტი, ამიტომ მათ აქვთ ყველა სამუშაო პროგრამა მაღალი ალბათობით. ასეთი დეკოდერის ყიდვა, სავარაუდოდ, ფულის დაკარგვაა.

როგორ გავაშიფროთ ფაილები კასპერსკის ლაბორატორიის გამოყენებით - ვიდეო

თვითმომსახურების ინფორმაციის აღდგენა

თუ რაიმე მიზეზით შეუძლებელია მესამე მხარის სპეციალისტებთან დაკავშირება, შეგიძლიათ სცადოთ ინფორმაციის აღდგენა დამოუკიდებლად. მოდით გავაკეთოთ დათქმა, რომ წარუმატებლობის შემთხვევაში, ფაილები შეიძლება სამუდამოდ დაიკარგოს.

წაშლილი ფაილების აღდგენა

დაშიფვრის შემდეგ, ვირუსი წაშლის ორიგინალ ფაილებს. თუმცა, Windows 7 ინახავს ყველა წაშლილ ინფორმაციას ეგრეთ წოდებული ჩრდილოვანი ასლის სახით გარკვეული დროის განმავლობაში.

ShadowExplorer

ShadowExplorer არის პროგრამა, რომელიც შექმნილია ფაილების აღდგენისთვის მათი ჩრდილოვანი ასლებიდან.

PhotoRec

უფასო PhotoRec უტილიტა მუშაობს იმავე გზით, მაგრამ სურათების რეჟიმში.

ვირუსის მოცილება

მას შემდეგ, რაც ვირუსი შევიდა კომპიუტერში, დაინსტალირებული უსაფრთხოების პროგრამები ვერ გაუმკლავდნენ მათ დავალებას. შეგიძლიათ სცადოთ მესამე მხარის დახმარება.

Მნიშვნელოვანი! ვირუსის მოცილება კურნავს კომპიუტერს, მაგრამ არ აღადგენს დაშიფრულ ფაილებს. გარდა ამისა, ახალი პროგრამული უზრუნველყოფის დაყენებამ შეიძლება დააზიანოს ან წაშალოს ფაილების ზოგიერთი ჩრდილოვანი ასლი, რომელიც საჭიროა მათი აღსადგენად. ამიტომ, უმჯობესია აპლიკაციების დაყენება სხვა დისკებზე.

Kaspersky Virus Removal Tool

ანტივირუსული პროგრამის ცნობილი დეველოპერის უფასო პროგრამა, რომლის ჩამოტვირთვა შესაძლებელია კასპერსკის ლაბორატორიის ვებსაიტიდან. Kaspersky Virus Removal Tool-ის გაშვების შემდეგ, ის დაუყოვნებლივ მოგთხოვთ სკანირების დაწყებას.

ეკრანზე დიდი ღილაკის „Start Scan“ დაჭერის შემდეგ პროგრამა იწყებს თქვენი კომპიუტერის სკანირებას.

რჩება დაველოდოთ სკანირების დასრულებას და წაშალოთ ნაპოვნი დაუპატიჟებელი სტუმრები.

Malwarebytes ანტი მავნე პროგრამა

კიდევ ერთი ანტივირუსული პროგრამის შემქმნელი, რომელიც უზრუნველყოფს სკანერის უფასო ვერსიას. მოქმედებების ალგორითმი იგივეა:

რა არ უნდა გააკეთოს

XTBL ვირუსი, ისევე როგორც სხვა გამოსასყიდი ვირუსები, აზიანებს როგორც სისტემას, ასევე მომხმარებლის ინფორმაციას. ამიტომ, პოტენციური ზიანის შესამცირებლად, გარკვეული სიფრთხილის ზომები უნდა იქნას მიღებული:

1. ნუ დაელოდებით დაშიფვრის დასრულებას. თუ ფაილის დაშიფვრა თქვენს თვალწინ დაიწყო, არ დაელოდოთ სანამ ყველაფერი დასრულდება, ან შეეცადეთ შეწყვიტოთ პროცესი პროგრამული უზრუნველყოფის საშუალებით. სასწრაფოდ გამორთეთ კომპიუტერი და დაურეკეთ სერვის ტექნიკოსს.
2. ნუ ეცდებით ვირუსის მოცილებას, თუ შეგიძლიათ ენდოთ პროფესიონალებს.
3. არ დააინსტალიროთ სისტემა მკურნალობის დასრულებამდე. ვირუსი უსაფრთხოდ დააინფიცირებს ახალ სისტემასაც.
4. არ გადარქმევა დაშიფრული ფაილები. ეს მხოლოდ გაართულებს დეკოდერის მუშაობას.
5. არ შეეცადოთ წაიკითხოთ ინფიცირებული ფაილები სხვა კომპიუტერზე, სანამ ვირუსი არ მოიხსნება. ამან შეიძლება ინფექციის გავრცელება.
6. არ გადაიხადოთ გამომძალველები. ეს უსარგებლოა და ხელს უწყობს ვირუსების შემქმნელებსა და თაღლითებს.
7. არ დაივიწყოთ პრევენცია. ანტივირუსის ინსტალაცია, რეგულარული სარეზერვო ასლები და აღდგენის წერტილების შექმნა მნიშვნელოვნად შეამცირებს მავნე პროგრამის პოტენციურ ზიანს.

ransomware ვირუსით ინფიცირებული კომპიუტერის განკურნება ხანგრძლივი და არა ყოველთვის წარმატებული პროცედურაა. აქედან გამომდინარე, ძალზე მნიშვნელოვანია სიფრთხილის ზომების დაცვა ქსელიდან ინფორმაციის მოპოვებისას და დაუზუსტებელ გარე მედიასთან მუშაობისას.

კარგი დღე ყველას, ჩემო ძვირფასო მეგობრებო და ჩემი ბლოგის მკითხველებო. დღეს თემა საკმაოდ სევდიანი იქნება, რადგან ის ვირუსებს შეეხება. მე მოგიყვებით შემთხვევაზე, რომელიც არც ისე დიდი ხნის წინ მოხდა ჩემს სამსახურში. განყოფილებაში აჟიტირებული ხმით თანამშრომელმა დამირეკა: "დიმა, ვირუსმა დაშიფრა ფაილები კომპიუტერში: რა ვქნა ახლა?". მერე მივხვდი, რომ შემწვარი სუნი ასდიოდა საქმეს, მაგრამ ბოლოს მის სანახავად წავედი.

დიახ. ყველაფერი სამწუხარო აღმოჩნდა. კომპიუტერზე არსებული ფაილების უმეტესობა ინფიცირებული, უფრო სწორად დაშიფრული იყო: საოფისე დოკუმენტები, PDF ფაილები, 1C მონაცემთა ბაზები და მრავალი სხვა. ზოგადად, ტრაკი სრულია. ალბათ მხოლოდ არქივები, აპლიკაციები და ტექსტური დოკუმენტები არ დაზარალდა (კარგად და კიდევ ბევრი). ყველა ამ მონაცემმა შეცვალა მათი გაფართოება და ასევე შეცვალა მათი სახელები რაღაც sjd7gy2HjdlVnsjds.
ასევე, დესკტოპზე და საქაღალდეებში გამოჩნდა რამდენიმე იდენტური დოკუმენტი README.txt, რომლებიც გულახდილად ამბობენ, რომ თქვენი კომპიუტერი დაინფიცირებულია და არ იმოქმედოთ, არ წაშალოთ არაფერი, არ შეამოწმოთ ანტივირუსული პროგრამა, თორემ ფაილები არ გაქრება. დაბრუნდეს.
ფაილში ასევე ნათქვამია, რომ ეს კარგი ადამიანები შეძლებენ აღადგინონ ყველაფერი ისე, როგორც იყო. ამისათვის მათ უნდა გაგზავნონ გასაღები დოკუმენტიდან ფოსტაზე, რის შემდეგაც თქვენ მიიღებთ საჭირო მითითებებს. ისინი არ წერენ ფასს, მაგრამ სინამდვილეში გამოდის, რომ დაბრუნების ღირებულება არის დაახლოებით 20,000 რუბლი.

ღირს თქვენი მონაცემები ფულისთვის? მზად ხართ გადაიხადოთ გამოსასყიდი პროგრამის აღმოსაფხვრელად? Ვეჭვობ. მერე რა არის გასაკეთებელი? ამაზე მოგვიანებით ვისაუბროთ. ამასობაში ყველაფერი რიგზე დავიწყოთ.

Საიდან მოდის

საიდან მოდის ეს მახინჯი გამოსასყიდი ვირუსი? აქ ყველაფერი ძალიან მარტივია. ხალხი იღებენ მას ელ.ფოსტის საშუალებით. როგორც წესი, ეს ვირუსი აღწევს ორგანიზაციებში, კორპორატიულ საფოსტო ყუთებში, თუმცა არა მხოლოდ. ერთი შეხედვით, თქვენ არ იღებთ მას კაკუსთვის, რადგან ის არ მოდის სპამის სახით, არამედ ნამდვილად არსებული სერიოზული ორგანიზაციისგან, მაგალითად, მივიღეთ წერილი Rostelecom-ის პროვაიდერისგან მათი ოფიციალური ფოსტიდან.

წერილი სრულიად ჩვეულებრივი იყო, როგორც „ახალი სატარიფო გეგმები იურიდიული პირებისთვის“. შიგნით არის PDF ფაილი. და როდესაც ხსნით ამ ფაილს, ხსნით პანდორას ყუთს. ყველა მნიშვნელოვანი ფაილი დაშიფრულია და მარტივი სიტყვებით „აგურებად“ იქცევა. და ანტივირუსები არ იჭერენ ამ სისულელეს მაშინვე.

რა გავაკეთე და რა არა

ბუნებრივია, ჩვენთან ამაში 20 ათასის გადახდა არავის სურდა, რადგან ინფორმაცია არც ისე ძვირი ღირდა და გარდა ამისა, თაღლითებთან დაკავშირება საერთოდ არ იყო ვარიანტი. თანაც, ფაქტი არ არის, რომ ამ თანხისთვის ყველაფერი განბლოკილი იქნება.

მე გავიარე drweb cureit უტილიტა და მან აღმოაჩინა ვირუსი, მაგრამ მისგან აზრი არ იყო, რადგან ვირუსის შემდეგაც კი ფაილები დაშიფრული რჩებოდა. ვირუსის მოცილება მარტივი აღმოჩნდა, მაგრამ შედეგებთან გამკლავება გაცილებით რთულია. მივედი Doctor Web-ისა და Kaspersky-ის ფორუმებზე და იქ ვიპოვე ის თემა, რომელიც მჭირდებოდა და ასევე გავიგე, რომ ვერც იქ და ვერც იქ ვერ დაგეხმარებიან გაშიფვრაში. ყველაფერი ძალიან მკაცრად იყო დაშიფრული.

მეორეს მხრივ, საძიებო სისტემებმა დაიწყეს გამოჩენა ისეთი შედეგებით, რომ ზოგიერთი კომპანია შიფრავს ფაილებს ფასიან საფუძველზე. ისე, ეს დამაინტერესა, მით უმეტეს, რომ კომპანია აღმოჩნდა რეალური, ნამდვილად არსებული. მათ ვებსაიტზე მათ შესთავაზეს ხუთი ნაწილის უფასოდ გაშიფვრა, რათა გამოეჩინათ თავიანთი შესაძლებლობები. ჰოდა, ავიღე და გავუგზავნე მათ ჩემი აზრით 5 ყველაზე მნიშვნელოვანი ფაილი.
გარკვეული პერიოდის შემდეგ მივიღე პასუხი, რომ მათ მოახერხეს ყველაფრის გაშიფვრა და სრული გაშიფვრისთვის 22 ათასს წამიღებდნენ. და მათ არ სურდათ ფაილების მოცემა ჩემთვის. ასე რომ, მე მაშინვე ვივარაუდე, რომ ისინი, სავარაუდოდ, მუშაობენ თაღლითებთან ერთად. რა თქმა უნდა, ისინი გაგზავნეს ჯოჯოხეთში.

• პროგრამების "Recuva" და "RStudio" გამოყენებით
• იმართება სხვადასხვა კომუნალური საშუალებებით
• ისე, რომ დავმშვიდდე, არ შემეძლო არ ვცადე (თუმცა მშვენივრად ვიცოდი, რომ ეს არ მეშველებოდა) ეს უბრალოდ ბანალურია მარჯვნივ. ბრედ რა თქმა უნდა)

ამათგან არცერთი არ მუშაობდა ჩემთვის. მაგრამ მე მაინც ვიპოვე გამოსავალი. \ R \ n \ r \ nრა თქმა უნდა, თუ მოულოდნელად შეგექმნათ ასეთი სიტუაცია, მაშინ ნახეთ, რა გაფართოებით არის დაშიფრული ფაილები. ამის შემდეგ გადადით http://support.kaspersky.com/viruses/disinfection/10556და ნახეთ, რომელი გაფართოებებია ჩამოთვლილი. თუ თქვენი გაფართოება სიაშია, გამოიყენეთ ეს პროგრამა.
მაგრამ სამივე შემთხვევაში, რაც მე ვნახე ამ გამოსასყიდით, არცერთმა ამ კომუნალურმა პროგრამამ არ უშველა. კონკრეტულად ვირუსი შემხვდა "და ვინჩის კოდი"და "VAULT"... პირველ შემთხვევაში შეიცვალა სახელიც და გაფართოებაც, მეორეში კი მხოლოდ გაფართოება. ზოგადად, ასეთი გამოსასყიდი პროგრამების მთელი თაიგულია. მესმის ისეთი ნაბიჭვრები, როგორიცაა xtbl, აღარ არის გამოსასყიდი, ჯობია საულს დაუძახო და ბევრი სხვა.

რა დაეხმარა

გსმენიათ ოდესმე ჩრდილოვანი ასლების შესახებ? ასე რომ, როდესაც იქმნება აღდგენის წერტილი, ავტომატურად იქმნება თქვენი ფაილების ჩრდილოვანი ასლები. და თუ რამე დაემართა თქვენს ფაილებს, მაშინ ყოველთვის შეგიძლიათ დააბრუნოთ ისინი იმ მომენტში, როდესაც შეიქმნა აღდგენის წერტილი. ამაში დაგვეხმარება ფაილების აღდგენის ერთი შესანიშნავი პროგრამა ჩრდილოვანი ასლებიდან.

Დაწყება ჩამოტვირთვადა დააინსტალირეთ "Shadow Explorer" პროგრამა. თუ უახლესი ვერსია შეგეშალათ (ეს ხდება), მაშინ დააინსტალირეთ წინა.

გადადით Shadow Explorer-ზე. როგორც ვხედავთ, პროგრამის ძირითადი ნაწილი ექსპლორერის მსგავსია, ე.ი. ფაილები და საქაღალდეები. ახლა ყურადღება მიაქციეთ ზედა მარცხენა კუთხეს. აქ ჩვენ ვხედავთ ლოკალური დისკის ასოს და თარიღს. ეს თარიღი ნიშნავს, რომ C დისკზე წარმოდგენილი ყველა ფაილი იმ დროს განახლებულია. 30 ნოემბერს მაქვს. ეს ნიშნავს, რომ ბოლო აღდგენითი პუნქტი 30 ნოემბერს შეიქმნა.
თუ დავაწკაპუნებთ თარიღების ჩამოსაშლელ სიაზე, დავინახავთ, რომელი ნომრებისთვის ჯერ კიდევ გვაქვს ჩრდილოვანი ასლები. და თუ დააწკაპუნებთ ლოკალური დისკების ჩამოსაშლელ სიაზე და აირჩიეთ, მაგალითად, დისკი D, მაშინ ჩვენ დავინახავთ თარიღს, რომლის დროსაც გვაქვს რეალური ფაილები. მაგრამ დისკისთვის დქულები ავტომატურად არ იქმნება, ამიტომ ეს ელემენტი უნდა დარეგისტრირდეს პარამეტრებში. ის ძალიან ადვილი გასაკეთებელი.
როგორც ხედავთ, თუ დისკისთვის Cმე მაქვს საკმაოდ ბოლო თარიღი, შემდეგ დისკისთვის დბოლო პუნქტი თითქმის ერთი წლის წინ შეიქმნა. კარგად, მაშინ ჩვენ ამას ვაკეთებთ წერტილი-პუნქტით:

ყველაფერი. ახლა რჩება მხოლოდ ექსპორტის დასრულებას. შემდეგ ჩვენ მივდივართ იმავე საქაღალდეში, რომელიც თქვენ აირჩიეთ და ვამოწმებთ ყველა ფაილს გახსნილობასა და შესრულებაზე. ყველაფერი გასაოცარია).
ვიცი, რომ ინტერნეტი გვთავაზობს სხვა სხვადასხვა მეთოდებს, უტილიტებს და ა.შ., მაგრამ მათზე არ დავწერ, რადგან უკვე მესამედ შემხვედრია ეს პრობლემა და არც ერთხელ, ჩრდილოვანი ასლების გარდა არაფერი დამეხმარა. მიუხედავად იმისა, რომ შეიძლება მე უბრალოდ არ ვარ იღბლიანი).

მაგრამ სამწუხაროდ, ბოლო დროს ჩვენ მოვახერხეთ მხოლოდ იმ ფაილების აღდგენა, რომლებიც C დისკზე იყო, რადგან ნაგულისხმევად ქულები იქმნებოდა მხოლოდ C დისკისთვის. შესაბამისად, D დისკისთვის არ იყო ჩრდილოვანი ასლები. რა თქმა უნდა, თქვენ ასევე უნდა გახსოვდეთ, თუ რა აღდგენის წერტილებს შეიძლება მოჰყვეს, ასე რომ თვალი ადევნეთ ამასაც.

და იმისათვის, რომ შეიქმნას ჩრდილოვანი ასლები სხვა მყარი დისკებისთვის, თქვენ ასევე გჭირდებათ ისინი.

პროფილაქტიკა

გამოჯანმრთელების პრობლემების თავიდან ასაცილებლად, საჭიროა პროფილაქტიკა. ამისათვის თქვენ უნდა დაიცვან შემდეგი წესები.

სხვათა შორის, ერთხელ ამ ვირუსმა დაშიფრა ფაილები USB ფლეშ დრაივზე, სადაც ინახებოდა ჩვენი ძირითადი სერთიფიკატები ციფრული ხელმოწერისთვის. ამიტომ ძალიან ფრთხილად იყავით ფლეშ დრაივებთანაც.

პატივისცემით, დიმიტრი კოსტინი.

არსებობს მავნე პროგრამების ფართო არჩევანი. მათ შორის არის უკიდურესად საზიზღარი გამოსასყიდი ვირუსები, რომლებიც კომპიუტერზე ყოფნისას იწყებენ მომხმარებლის ფაილების დაშიფვრას. ზოგიერთ შემთხვევაში, თქვენი ფაილების გაშიფვრის კარგი შანსია, მაგრამ ზოგჯერ ეს არ მუშაობს. ჩვენ განვიხილავთ ყველა საჭირო მოქმედებას, როგორც პირველი, ასევე მეორე შემთხვევისთვის, იმ შემთხვევებში, როდესაც.

ეს ვირუსები შეიძლება ოდნავ განსხვავდებოდეს, მაგრამ ზოგადად, მათი მოქმედებები ყოველთვის ერთნაირია:

• დააინსტალირეთ კომპიუტერზე;
• დაშიფრეთ ყველა ფაილი, რომელიც შეიძლება იყოს ნებისმიერი ღირებულების (დოკუმენტები, ფოტოები);
• ამ ფაილების გახსნის მცდელობისას მოითხოვეთ მომხმარებლისგან გარკვეული თანხის ჩარიცხვა თავდამსხმელის საფულეში ან ანგარიშზე, წინააღმდეგ შემთხვევაში კონტენტზე წვდომა არასოდეს გაიხსნება.

ვირუსით დაშიფრული ფაილები xtbl-ში

ამჟამად ვირუსი საკმაოდ ფართოდ გავრცელდა, რომ მას შეუძლია ფაილების დაშიფვრა და მათი გაფართოების შეცვლა .xtbl-ზე, ასევე მათი სახელის შეცვლა სრულიად შემთხვევითი სიმბოლოებით.

გარდა ამისა, თვალსაჩინო ადგილას იქმნება სპეციალური ფაილი ინსტრუქციებით. readme.txt... მასში თავდამსხმელი მომხმარებელს უპირისპირებს იმ ფაქტს, რომ მისი ყველა მნიშვნელოვანი მონაცემი დაშიფრულია და ახლა არც ისე ადვილია მათი გახსნა, ამას ემატება ის ფაქტი, რომ იმისათვის, რომ ყველაფერი დაბრუნდეს წინა მდგომარეობაში, აუცილებელია შეასრულეთ გარკვეული ქმედებები, რომლებიც დაკავშირებულია თაღლითობისთვის ფულის გადაცემასთან (ჩვეულებრივ, მანამდე, თქვენ უნდა გაგზავნოთ გარკვეული კოდი ერთ-ერთ შემოთავაზებულ ელ.ფოსტის მისამართზე). ხშირად ასეთ შეტყობინებებს ემატება პოსტსკრიპტი, რომლის მიხედვითაც, როდესაც თქვენ თავად ცდილობთ ყველა თქვენი ფაილის გაშიფვრას, რისკავთ მათ სამუდამოდ დაკარგვას.

სამწუხაროდ, ამ დროისთვის ოფიციალურად ვერავინ შეძლო .xtbl-ის გაშიფვრა, თუ სამუშაო გზა გამოჩნდება, ამის შესახებ აუცილებლად შეგატყობინებთ სტატიაში. მომხმარებლებს შორის არიან ისეთებიც, რომლებსაც ჰქონდათ მსგავსი გამოცდილება ამ ვირუსთან და მათ გადაუხადეს თაღლითებს საჭირო თანხა, სანაცვლოდ მიიღეს მათი დოკუმენტების გაშიფვრა. მაგრამ ეს უკიდურესად სარისკო ნაბიჯია, რადგან კიბერკრიმინალებს შორის არიან ისეთებიც, რომლებიც განსაკუთრებით არ იტანჯებიან დაპირებული გაშიფვრით, საბოლოო ჯამში ეს იქნება ფული.

რას აკეთებ მერე, გეკითხები? ჩვენ გთავაზობთ რამდენიმე რჩევას, რომელიც დაგეხმარებათ დაიბრუნოთ ყველა თქვენი მონაცემი და ამავდროულად, თქვენ არ იქნებით თაღლითების ხელმძღვანელობით და არ მისცემთ მათ ფულს. და რა არის გასაკეთებელი:

1. თუ იცით როგორ იმუშაოთ სამუშაო მენეჯერში, მაშინვე შეწყვიტეთ ფაილის დაშიფვრა, შეაჩერეთ საეჭვო პროცესი. ამავდროულად, გათიშეთ თქვენი კომპიუტერი ინტერნეტიდან - ბევრ გამოსასყიდ პროგრამას სჭირდება ქსელის კავშირი.
2. აიღეთ ფურცელი და დაწერეთ მასზე კოდი, რომელიც შესთავაზებენ თავდამსხმელებს ფოსტით გაგზავნას (ქაღალდის ნაჭერი, რადგან ფაილი, რომელზეც თქვენ დაწერთ, შესაძლოა ასევე მიუწვდომელი გახდეს წასაკითხად).
3. გამოიყენეთ Malwarebytes Antimalware, საცდელი Kaspersky IS ან CureIt Antivirus მავნე პროგრამის მოსაშორებლად. უფრო მეტი საიმედოობისთვის, უმჯობესია, თანმიმდევრულად გამოიყენოთ ყველა შემოთავაზებული საშუალება. მიუხედავად იმისა, რომ Kaspersky Anti-Virus-ის დაყენება შეუძლებელია, თუ სისტემას უკვე აქვს ერთი მთავარი ანტივირუსი, წინააღმდეგ შემთხვევაში შეიძლება წარმოიშვას პროგრამული უზრუნველყოფის კონფლიქტები. ყველა სხვა კომუნალური გამოყენება შესაძლებელია ნებისმიერ სიტუაციაში.
4. დაელოდეთ სანამ ერთ-ერთი ანტივირუსული კომპანია შეიმუშავებს სამუშაო გაშიფვრას ასეთი ფაილებისთვის. ამის გაკეთების ყველაზე ეფექტური გზაა კასპერსკის ლაბორატორია.
5. გარდა ამისა, შეგიძლიათ გაგზავნოთ [ელფოსტა დაცულია]ფაილის ასლი, რომელიც დაშიფრული იყო საჭირო კოდით და, ასეთის არსებობის შემთხვევაში, იგივე ფაილი ორიგინალური სახით. შესაძლებელია, რომ ამან დააჩქაროს ფაილების გაშიფვრის მეთოდის შემუშავება.

არავითარ შემთხვევაში არ გააკეთოთ:

• ამ დოკუმენტების სახელის გადარქმევა;
• მათი გაფართოების შეცვლა;
• ფაილების წაშლა.

ეს ტროიანები ასევე შიფრავს მომხმარებლების ფაილებს და შემდეგ სძალავს მათ. ამავდროულად, დაშიფრულ ფაილებს შეიძლება ჰქონდეთ შემდეგი გაფართოებები:

• .ჩაკეტილი
• .კრიპტო
• .კრაკენი
• .AES256 (აუცილებლად არ არის ეს ტროას, არის სხვები, რომლებიც დააინსტალირებენ იგივე გაფართოებას).
• [ელფოსტა დაცულია] _com
• .ოშიტი
• სხვა.

საბედნიეროდ, უკვე შეიქმნა სპეციალური გაშიფვრის პროგრამა - რახნიდეკრიპტორი... შეგიძლიათ გადმოწეროთ ოფიციალური საიტიდან.

იმავე საიტზე შეგიძლიათ წაიკითხოთ ინსტრუქციები, რომლებიც დეტალურად და ნათლად აჩვენებს, თუ როგორ გამოიყენოთ პროგრამა ყველა იმ ფაილის გასაშიფრად, რომლებზეც მუშაობდა ტროასი. პრინციპში, უფრო მეტი საიმედოობისთვის, ღირს დაშიფრული ფაილების წაშლის ელემენტის გამორიცხვა. მაგრამ, სავარაუდოდ, დეველოპერებმა ყველაფერი გააკეთეს კომუნალური პროგრამის შესაქმნელად და არაფერი ემუქრება მონაცემთა მთლიანობას.

მათ, ვინც იყენებს ლიცენზირებულ Dr.Web ანტივირუსს, აქვს უფასო წვდომა დეშიფრაციაზე დეველოპერებისგან http://support.drweb.com/new/free_unlocker/.

სხვა სახის გამოსასყიდი ვირუსები

ზოგჯერ შეგიძლიათ შეხვდეთ სხვა ვირუსებს, რომლებიც დაშიფვრავენ მნიშვნელოვან ფაილებს და ითხოვენ გადახდას ყველაფრის თავდაპირველ ფორმაში დასაბრუნებლად. ჩვენ გთავაზობთ მცირე ჩამონათვალს კომუნალური საშუალებებით, რათა გაუმკლავდეთ ყველაზე გავრცელებული ვირუსების შედეგებს. აქ ასევე შეგიძლიათ გაეცნოთ მთავარ ნიშნებს, რომლითაც შეგიძლიათ განასხვავოთ კონკრეტული ტროას პროგრამა.

გარდა ამისა, კარგი გზა იქნება თქვენი კომპიუტერის სკანირება Kaspersky Anti-Virus-ით, რომელიც აღმოაჩენს დაუპატიჟებელ სტუმარს და მიანიჭებს მას სახელს. ამ სახელით უკვე შეგიძლიათ მოძებნოთ დეკოდერი.

• Trojan-Ransom.Win32.Rector- ტიპიური გამოსასყიდი პროგრამა, რომელიც მოითხოვს თქვენგან SMS-ის გაგზავნას ან ამ ტიპის სხვა მოქმედებების შესრულებას, ჩვენ ვიღებთ დეშიფრტორს ამ ბმულიდან.
• Trojan-Ransom.Win32.Xorist- წინა ტროას ვარიაცია, შეგიძლიათ მიიღოთ დეკოდერი მისი გამოყენების სახელმძღვანელოთი.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- ასევე არის ამ ბიჭებისთვის სპეციალური პროგრამა, იხილეთ ბმული.
• Trojan.Encoder858, Trojan.Encoder.741- ამ მავნე პროგრამების აღმოჩენა შესაძლებელია CureIt უტილიტას მიერ. მათ აქვთ მსგავსი სახელები, მაგრამ სახელის ბოლოს რიცხვები შეიძლება განსხვავდებოდეს. ჩვენ ვეძებთ დეკოდერს ვირუსის სახელით ან, თუ იყენებთ ლიცენზირებულ Dr.Web-ს, შეგიძლიათ გამოიყენოთ სპეციალური რესურსი.
• CryptoLacker- თქვენი ფაილების დასაბრუნებლად ეწვიეთ ამ საიტს და შექმენით სპეციალური პროგრამა თქვენი დოკუმენტების აღდგენისთვის.

ცოტა ხნის წინ, კასპერსკის ლაბორატორიამ, ნიდერლანდელ კოლეგებთან თანამშრომლობით, შექმნა დეშიფრატორი, რომელიც საშუალებას გაძლევთ აღადგინოთ ფაილები მათზე ვირუსის მუშაობის შემდეგ. CoinVault.

კომენტარებში შეგიძლიათ გააზიაროთ ფაილების გაშიფვრის თქვენი მეთოდები, რადგან ეს ინფორმაცია სასარგებლო იქნება სხვა მომხმარებლებისთვის, რომლებიც შეიძლება შეხვდნენ ასეთ მავნე პროგრამას.

ბრძოლა ახალი ვირუსის საფრთხეების წინააღმდეგ - ransomware

ცოტა ხნის წინ ჩვენ დავწერეთ, რომ ქსელში ვრცელდება ახალი საფრთხეები - ransomware ვირუსები ან უფრო ვრცლად, ვირუსები, რომლებიც შიფრავენ ფაილებს, მათ შესახებ მეტი შეგიძლიათ წაიკითხოთ ჩვენს ვებ გვერდზე ამ ბმულზე.

ამ თემაში ჩვენ გეტყვით, თუ როგორ შეგიძლიათ დააბრუნოთ ვირუსით დაშიფრული მონაცემები, ამისთვის გამოვიყენებთ ორ დეშიფრტორს, ანტივირუსიდან "კასპერსკი" და "დოქტორი ვებ", ეს არის დაშიფრული ინფორმაციის დაბრუნების ყველაზე ეფექტური მეთოდები. .

1. ჩამოტვირთეთ ფაილების გაშიფვრის უტილიტები ბმულებიდან: Kaspersky და Dr.WEB

ან დეშიფრატორები კონკრეტული ტიპის დაშიფრული ფაილებისთვის, რომლებიც მდებარეობს.

2. პირველ რიგში, ჩვენ შევეცდებით ფაილების გაშიფვრას კასპერსკის პროგრამის გამოყენებით:

2.1. გაუშვით Kaspersky Decryptor პროგრამა, თუ ის ითხოვს რაიმე მოქმედებას, მაგალითად, გაშვების ნებართვებს - გაუშვით, თუ ის ითხოვს განახლებას - განაახლეთ, ეს გაზრდის დაშიფრული მონაცემების დაბრუნების შანსებს

2.2. ფაილების გაშიფვრის პროგრამის გამოჩენილ ფანჯარაში ჩვენ ვხედავთ რამდენიმე ღილაკს. დააკონფიგურირეთ დამატებითი პარამეტრები და დაიწყეთ შემოწმება.

2.3. თუ თქვენ გჭირდებათ დამატებითი პარამეტრების არჩევა და მიუთითეთ სად უნდა მოძებნოთ დაშიფრული ფაილები და საჭიროების შემთხვევაში - წაშალოთ გაშიფვრის შემდეგ, არ გირჩევთ აირჩიოთ ეს ვარიანტი, ფაილები ყოველთვის არ არის გაშიფრული სწორად!

2.4. ჩვენ ვიწყებთ სკანირებას და ველოდებით ვირუსით დაშიფრული ჩვენი მონაცემების გაშიფვრას.

3. თუ პირველი მეთოდი არ მუშაობდა. ჩვენ ვცდილობთ ფაილების გაშიფვრას Dr. WEB

3.1. მას შემდეგ რაც ჩამოტვირთავთ გაშიფვრის აპლიკაციას, ჩადეთ იგი, მაგალითად, "C:" დისკის ძირში.ასე რომ, ფაილი "te102decrypt.exe" ხელმისაწვდომი უნდა იყოს მისამართზე "c: \ te102decrypt.exe"

3.2. ახლა გადადით ბრძანების ხაზზე(დაწყება-ძებნა-შეიყვანეთ "CMD" ბრჭყალების გარეშე - გაუშვით Enter დაჭერით)

3.3. ფაილების გაშიფვრის დასაწყებად ჩვენ ვწერთ ბრძანებას "c: \ te102decrypt.exe -k 86 -e (გამოსყიდვის პროგრამის კოდი)"... გამოსასყიდი პროგრამის კოდი არის გაფართოება, რომელიც დართულია ფაილის ბოლოს, მაგალითად " [ელფოსტა დაცულია] _45jhj "- ჩაწერეთ ბრჭყალების და ფრჩხილების გარეშე, დაკვირვებით სივრცეებს. თქვენ უნდა მიიღოთ მსგავსი რამ c: \ te102decrypt.exe -k 86 -e [ელფოსტა დაცულია] _45jhj

3.4. დააჭირეთ Enter და დაელოდეთ ფაილების გაშიფვრასრომ იყო დაშიფრული, ზოგიერთ შემთხვევაში იქმნება გაშიფრული ფაილების რამდენიმე ასლი, თქვენ ცდილობთ მათ გაშვებას, გაშიფრული ფაილის ის ასლი, რომელიც ჩვეულებრივ იხსნება - შეინახეთ, დანარჩენი შეიძლება წაიშალოს.

ჩამოტვირთეთ დანარჩენი ფაილის დეკოდერები:

ყურადღება:დარწმუნდით, რომ შეინახეთ დაშიფრული ფაილების ასლი გარე მედიაში ან სხვა კომპიუტერში. ქვემოთ წარმოდგენილი დეშიფრატორები შეიძლება არ გაშიფრონ ფაილები, მაგრამ მხოლოდ გააფუჭონ ისინი!

უმჯობესია დეშიფრატორის გაშვება ვირტუალურ მანქანაზე ან სპეციალურად მომზადებულ კომპიუტერზე, მათზე ადრე ჩამოტვირთული რამდენიმე ფაილი.

ქვემოთ წარმოდგენილი დეკოდერები მუშაობს შემდეგნაირად:მაგალითად, თქვენი ფაილები დაშიფრულია amba დაშიფვრის ხელსაწყოთი და ფაილები გამოიყურებოდა "Contract.doc.amba" ან "Account.xls.amba", შემდეგ ჩვენ გადმოვწერთ დეშიფრორს amba ფაილებისთვის და უბრალოდ გაუშვით, ის იპოვის. ყველა ფაილი ამ გაფართოებით და გაშიფრეთ, მაგრამ ისევ დაიცავით საკუთარი თავი და წინასწარ დაშიფრული ფაილების სარეზერვო ასლის შექმნაწინააღმდეგ შემთხვევაში, თქვენ შეიძლება სამუდამოდ დაკარგოთ თქვენი არასწორად გაშიფრული მონაცემები!

თუ არ გსურთ გარისკვა, მაშინ გამოგვიგზავნეთ რამდენიმე ფაილი, ადრე დაგვიკავშირდით გამოხმაურების ფორმის გამოყენებით, ჩვენ გავუშვით დეკოდერს ინტერნეტისგან იზოლირებულ სპეციალურად მომზადებულ კომპიუტერზე.

წარმოდგენილი ფაილები შემოწმდა Kaspersky Anti-Virus-ის უახლესი ვერსიით და მონაცემთა ბაზის უახლესი განახლებით.

ის, რომ ინტერნეტი სავსეა ვირუსებით, დღეს არავის უკვირს. ბევრი მომხმარებელი აღიქვამს სიტუაციებს, რომლებიც დაკავშირებულია მათ გავლენას სისტემებზე ან პერსონალურ მონაცემებზე, რბილად რომ ვთქვათ, თვალის დახუჭვას, მაგრამ მხოლოდ მანამ, სანამ დაშიფვრის ვირუსი კონკრეტულად არ დასახლდება სისტემაში. უბრალო მომხმარებელმა არ იცის როგორ განკურნოს და გაშიფროს მყარ დისკზე შენახული მონაცემები. ამიტომ ეს კონტიგენტი თავდამსხმელების მიერ წამოყენებული მოთხოვნებისკენ არის „მიყვანილი“. მაგრამ ვნახოთ, რა შეგიძლიათ გააკეთოთ ასეთი საფრთხის აღმოჩენის შემთხვევაში ან მისი სისტემაში შესვლის თავიდან ასაცილებლად.

რა არის გამოსასყიდი ვირუსი?

ამ ტიპის საფრთხე იყენებს ფაილების დაშიფვრის სტანდარტულ და არასტანდარტულ ალგორითმებს, რომლებიც მთლიანად ცვლის მათ შინაარსს და ბლოკავს წვდომას. მაგალითად, აბსოლუტურად შეუძლებელი იქნება დაშიფრული ტექსტური ფაილის გახსნა წასაკითხად ან რედაქტირებისთვის, ასევე მულტიმედიური შინაარსის (გრაფიკა, ვიდეო ან აუდიო) დაკვრა ვირუსის ზემოქმედების შემდეგ. ობიექტების კოპირების ან გადაადგილების სტანდარტული ოპერაციებიც კი მიუწვდომელია.

თავად ვირუსის პროგრამული ჩაყრა არის საშუალება, რომელიც დაშიფვრავს მონაცემებს ისე, რომ ყოველთვის არ არის შესაძლებელი მათი თავდაპირველი მდგომარეობის აღდგენა სისტემიდან საფრთხის მოხსნის შემდეგაც კი. ჩვეულებრივ, ასეთი მავნე პროგრამები ქმნიან საკუთარ ასლებს და ძალიან ღრმად მკვიდრდებიან სისტემაში, ამიტომ ფაილების დაშიფვრის ვირუსის ამოღება ზოგჯერ სრულიად შეუძლებელია. ძირითადი პროგრამის დეინსტალაციის ან ვირუსის ძირითადი ნაწილის წაშლით მომხმარებელი არ ათავისუფლებს საფრთხის გავლენას, რომ აღარაფერი ვთქვათ დაშიფრული ინფორმაციის აღდგენაზე.

როგორ ხვდება საფრთხე სისტემაში?

როგორც წესი, ამ ტიპის საფრთხეები ძირითადად მიზნად ისახავს მსხვილ კომერციულ სტრუქტურებს და შეუძლიათ შეაღწიონ კომპიუტერებში საფოსტო პროგრამების საშუალებით, როდესაც თანამშრომელი ხსნის სავარაუდო თანდართულ დოკუმენტს ელფოსტაში, რაც, ვთქვათ, რაიმე სახის თანამშრომლობის ხელშეკრულების დამატებაა ან საქონლის მიწოდების გეგმა (საეჭვო წყაროებიდან ინვესტიციებით კომერციული შეთავაზებები ვირუსის პირველი გზაა).

პრობლემა ის არის, რომ გამოსასყიდი პროგრამის ვირუსი მოწყობილობაზე, რომელსაც აქვს წვდომა ლოკალურ ქსელში, შეუძლია მასში ადაპტირებაც, შექმნას საკუთარი ასლები არა მხოლოდ ქსელურ გარემოში, არამედ ადმინისტრატორის ტერმინალზე, თუ მას არ გააჩნია საჭირო დაცვა. ანტივირუსული პროგრამული უზრუნველყოფის ფორმა.firewall ან firewall.

ზოგჯერ ასეთმა საფრთხეებმა შეიძლება შეაღწიონ რიგითი მომხმარებლების კომპიუტერულ სისტემებშიც, რაც, ზოგადად, კიბერკრიმინალებისთვის არ არის საინტერესო. ეს ხდება საეჭვო ინტერნეტ რესურსებიდან გადმოწერილი ზოგიერთი პროგრამის ინსტალაციის დროს. ბევრი მომხმარებელი, ჩამოტვირთვის დაწყებისას, უგულებელყოფს ანტივირუსული დაცვის სისტემის გაფრთხილებებს და ინსტალაციის პროცესში ისინი ყურადღებას არ აქცევენ წინადადებებს ბრაუზერებისთვის დამატებითი პროგრამული უზრუნველყოფის, პანელების ან დანამატების დაყენების შესახებ, შემდეგ კი, რადგან ისინი თქვით, იდაყვების კბენა.

ვირუსების მრავალფეროვნება და პატარა ისტორია

ძირითადად, ამ ტიპის საფრთხეები, განსაკუთრებით ყველაზე საშიში გამოსასყიდი ვირუსი No_more_ransom, კლასიფიცირებულია არა მხოლოდ როგორც მონაცემების დაშიფვრის ან მასზე წვდომის დაბლოკვის ინსტრუმენტები. სინამდვილეში, ყველა ასეთი მავნე პროგრამა კლასიფიცირებულია როგორც გამოსასყიდი. სხვა სიტყვებით რომ ვთქვათ, კიბერკრიმინალები ითხოვენ გარკვეულ თანხას ინფორმაციის გაშიფვრისთვის, მიაჩნიათ, რომ ამ პროცესის განხორციელება შეუძლებელი იქნება საწყისი პროგრამის გარეშე. ეს ნაწილობრივ ასეა.

მაგრამ თუ ისტორიას ჩავუღრმავდებით, შეამჩნევთ, რომ ამ ტიპის ერთ-ერთი პირველი ვირუსი, თუმცა ის არ აწესებდა ფულის მოთხოვნებს, იყო სამარცხვინო I Love You აპლეტი, რომელიც მთლიანად დაშიფვრა მულტიმედიური ფაილები (ძირითადად მუსიკალური ტრეკები) მომხმარებლის სისტემებში. . გამოსასყიდი პროგრამის ვირუსის შემდეგ ფაილების გაშიფვრა იმ დროს შეუძლებელი აღმოჩნდა. ახლა სწორედ ამ საფრთხესთან არის შესაძლებელი ელემენტარული გზით გამკლავება.

მაგრამ თავად ვირუსების განვითარება ან გამოყენებული დაშიფვრის ალგორითმები არ დგას. რა აკლია ვირუსებს შორის - აქ თქვენ გაქვთ XTBL, და CBF, და Breaking_Bad და [ელფოსტა დაცულია]და კიდევ რამდენიმე საზიზღარი რამ.

მომხმარებლის ფაილებზე ზემოქმედების ტექნიკა

და თუ ბოლო დრომდე თავდასხმების უმეტესობა განხორციელდა RSA-1024 ალგორითმების გამოყენებით, რომელიც დაფუძნებულია AES დაშიფვრაზე იმავე ბიტით, იგივე No_more_ransom ransomware ვირუსი დღეს წარმოდგენილია რამდენიმე ინტერპრეტაციაში, RSA-2048 და თუნდაც RSA-3072 ტექნოლოგიებზე დაფუძნებული დაშიფვრის გასაღებების გამოყენებით.

გაშიფვრის პრობლემები გამოყენებული ალგორითმებისთვის

უბედურება ის არის, რომ თანამედროვე გაშიფვრის სისტემები უძლურია ასეთი საფრთხის წინაშე. AES256-ზე დაფუძნებული ransomware ვირუსის შემდეგ ფაილების გაშიფვრა ჯერ კიდევ გარკვეულწილად არის მხარდაჭერილი და საკვანძო ბიტის უფრო მაღალი სიჩქარით, თითქმის ყველა დეველოპერი უბრალოდ იჩეჩავს მხრებს. ეს, სხვათა შორის, ოფიციალურად დაადასტურეს Kaspersky Lab-ისა და Eset-ის სპეციალისტებმა.

ყველაზე პრიმიტიულ ვერსიაში, მომხმარებელს, რომელიც დაუკავშირდა მხარდაჭერის სერვისს, სთხოვს გაგზავნოს დაშიფრული ფაილი და მისი ორიგინალი შედარებისთვის და შემდგომი ოპერაციებისთვის, რათა დადგინდეს დაშიფვრის ალგორითმი და აღდგენის მეთოდები. მაგრამ, როგორც წესი, უმეტეს შემთხვევაში ეს არ მუშაობს. მაგრამ ransomware ვირუსს შეუძლია ფაილების გაშიფვრა დამოუკიდებლად, როგორც ითვლება, იმ პირობით, რომ მსხვერპლი ეთანხმება თავდამსხმელთა პირობებს და გადაიხდის გარკვეულ თანხას ფულადი თვალსაზრისით. თუმცა, კითხვის ასეთი ფორმულირება ბადებს ლეგიტიმურ ეჭვებს. და ამიტომ.

დაშიფვრის ვირუსი: როგორ განკურნოს და გაშიფროს ფაილები და შეიძლება ამის გაკეთება?

გადახდის შემდეგ, ამბობენ, რომ ჰაკერები ააქტიურებენ გაშიფვრას მათ ვირუსზე დისტანციური წვდომის საშუალებით, რომელიც ზის სისტემაში, ან დამატებითი აპლეტის მეშვეობით, თუ ვირუსის სხეული ამოღებულია. უფრო საეჭვოდ გამოიყურება.

აქვე მინდა აღვნიშნო ის ფაქტი, რომ ინტერნეტი სავსეა ყალბი პოსტებით, სადაც ნათქვამია, რომ, მათი თქმით, გადახდილი იქნა საჭირო თანხა და მონაცემები წარმატებით აღდგა. ეს ყველაფერი ტყუილია! და მართლაც - სად არის გარანტია, რომ გადახდის შემდეგ სისტემაში დაშიფვრის ვირუსი აღარ გააქტიურდება? ძნელი არ არის ქურდების ფსიქოლოგიის გაგება: თუ ერთხელ გადაიხადე, ისევ იხდი. და თუ ჩვენ ვსაუბრობთ განსაკუთრებით მნიშვნელოვან ინფორმაციაზე, როგორიცაა კონკრეტული კომერციული, სამეცნიერო ან სამხედრო განვითარება, ასეთი ინფორმაციის მფლობელები მზად არიან გადაიხადონ რამდენიც საჭიროა, თუ მხოლოდ ფაილები დარჩება ხელუხლებელი და უსაფრთხო.

საფრთხის აღმოსაფხვრელად პირველი საშუალება

ეს არის გამოსასყიდის ვირუსის ბუნება. როგორ მოვახდინოთ ფაილების დეზინფექცია და გაშიფვრა საფრთხის ქვეშ მოხვედრის შემდეგ? დიახ, არავითარ შემთხვევაში, თუ ხელთ არ არის ხელსაწყოები, რომლებიც ასევე ყოველთვის არ დაგეხმარებათ. მაგრამ შეგიძლიათ სცადოთ.

დავუშვათ, რომ სისტემაში გამოჩნდა გამოსასყიდი ვირუსი. როგორ მოვახდინო ინფიცირებული ფაილების დეზინფექცია? პირველ რიგში, თქვენ უნდა შეასრულოთ სისტემის სიღრმისეული სკანირება S.M.A.R.T ტექნოლოგიის გამოყენების გარეშე, რომელიც აღმოაჩენს საფრთხეებს მხოლოდ მაშინ, როდესაც დაზიანებულია ჩატვირთვის სექტორები და სისტემის ფაილები.

მიზანშეწონილია არ გამოიყენოთ არსებული სტანდარტული სკანერი, რომელმაც უკვე გამოტოვა საფრთხე, არამედ გამოიყენოთ პორტატული კომუნალური საშუალებები. საუკეთესო ვარიანტი იქნება კასპერსკის სამაშველო დისკიდან ჩატვირთვა, რომელიც შეიძლება დაიწყოს ოპერაციული სისტემის მუშაობამდეც კი.

მაგრამ ეს მხოლოდ ნახევარი ბრძოლაა, რადგან ამ გზით შეგიძლიათ მხოლოდ თავად ვირუსის მოშორება. მაგრამ დეკოდერით ეს უფრო რთული იქნება. მაგრამ ამის შესახებ მოგვიანებით.

არის კიდევ ერთი კატეგორია, რომელსაც ransomware ვირუსები მიეკუთვნება. როგორ გავაშიფროთ ინფორმაცია ცალკე გეტყვით, მაგრამ ახლა მოდით ვისაუბროთ იმაზე, რომ მათ შეუძლიათ სრულიად ღიად არსებობდნენ სისტემაში ოფიციალურად დაინსტალირებული პროგრამებისა და აპლიკაციების სახით (თავდამსხმელების თავხედობამ არ იცის საზღვრები, რადგან საფრთხეს აქვს არც კი ეცადო შენიღბვას).

ამ შემთხვევაში, თქვენ უნდა გამოიყენოთ პროგრამებისა და კომპონენტების განყოფილება, სადაც ხორციელდება სტანდარტული დეინსტალაცია. ამასთან, ყურადღება უნდა მიაქციოთ იმ ფაქტს, რომ სტანდარტული Windows Uninstaller არ წაშლის პროგრამის ყველა ფაილს. კერძოდ, ransom ransomware ვირუსს შეუძლია შექმნას საკუთარი საქაღალდეები სისტემის root დირექტორიაში (ჩვეულებრივ, ეს არის Csrss დირექტორიები, სადაც არის ამავე სახელწოდების csrss.exe შესრულებადი ფაილი). Windows, System32 ან მომხმარებლის დირექტორიები (მომხმარებლები სისტემის დისკზე) არჩეულია მთავარ მდებარეობად.

გარდა ამისა, No_more_ransom ransomware ვირუსი წერს საკუთარ გასაღებებს რეესტრში ბმულის სახით, როგორც ჩანს, ოფიციალური სისტემის სერვისის Client Server Runtime Subsystem-თან, რაც შეცდომაში შეჰყავს ბევრისთვის, რადგან ეს სერვისი პასუხისმგებელი უნდა იყოს კლიენტისა და სერვერის პროგრამულ უზრუნველყოფას შორის ურთიერთქმედებისთვის. . თავად გასაღები მდებარეობს Run საქაღალდეში, რომლის მიღწევაც შესაძლებელია HKLM ფილიალის მეშვეობით. ნათელია, რომ მოგიწევთ ხელით წაშალოთ ასეთი კლავიშები.

ამის გასაადვილებლად, შეგიძლიათ გამოიყენოთ უტილიტები, როგორიცაა iObit Uninstaller, რომელიც ავტომატურად ეძებს ნარჩენ ფაილებს და რეესტრის გასაღებებს (მაგრამ მხოლოდ იმ შემთხვევაში, თუ ვირუსი ჩანს სისტემაში, როგორც დაინსტალირებული აპლიკაცია). მაგრამ ეს უმარტივესი საქმეა.

ანტივირუსული პროგრამული უზრუნველყოფის შემქმნელების მიერ შემოთავაზებული გადაწყვეტილებები

ითვლება, რომ გამოსასყიდი პროგრამის ვირუსის გაშიფვრა შეიძლება გაკეთდეს სპეციალური კომუნალური საშუალებების გამოყენებით, თუმცა თუ თქვენ გაქვთ ტექნოლოგიები 2048 ან 3072 ბიტიანი გასაღებით, არ უნდა დაეყრდნოთ მათ (გარდა ამისა, ბევრი მათგანი წაშლის ფაილებს გაშიფვრის შემდეგ და შემდეგ აღდგენილი ფაილები ქრება ვირუსის სხეულის არსებობის გამო, რომელიც ადრე არ იყო ამოღებული).

მიუხედავად ამისა, შეგიძლიათ სცადოთ. ყველა პროგრამიდან აღსანიშნავია RectorDecryptor და ShadowExplorer. ითვლება, რომ აქამდე არაფერია შექმნილი. მაგრამ პრობლემა შეიძლება ისიც იყოს, რომ როდესაც თქვენ ცდილობთ დეშიფრატორის გამოყენებას, არ არსებობს გარანტია იმისა, რომ დეზინფექციური ფაილები არ წაიშლება. ანუ, თუ თავიდანვე არ მოიშორებთ ვირუსს, გაშიფვრის ნებისმიერი მცდელობა განწირული იქნება წარუმატებლობისთვის.

დაშიფრული ინფორმაციის წაშლის გარდა, ის შეიძლება ფატალურიც იყოს - მთელი სისტემა უმოქმედო იქნება. გარდა ამისა, თანამედროვე ransomware ვირუსს შეუძლია გავლენა მოახდინოს არა მხოლოდ კომპიუტერის მყარ დისკზე შენახულ მონაცემებზე, არამედ ღრუბლოვან საცავში არსებულ ფაილებზეც. და აქ არ არსებობს გადაწყვეტილებები ინფორმაციის აღდგენისთვის. გარდა ამისა, როგორც გაირკვა, ბევრი სერვისი იღებს არასაკმარისად ეფექტურ დაცვის ზომებს (იგივე ჩაშენებული OneDrive Windows 10-ში, რომელიც უშუალოდ ოპერაციული სისტემიდან არის გამოვლენილი).

პრობლემის რადიკალური გადაწყვეტა

როგორც უკვე ცხადია, თანამედროვე მეთოდების უმეტესობა არ იძლევა დადებით შედეგს ასეთი ვირუსებით ინფიცირებისას. რა თქმა უნდა, თუ არსებობს დაზიანებული ფაილის ორიგინალი, ის შეიძლება გაიგზავნოს შესამოწმებლად ანტივირუსულ ლაბორატორიაში. მართალია, ასევე არსებობს ძალიან სერიოზული ეჭვები, რომ ჩვეულებრივი მომხმარებელი შექმნის მონაცემთა სარეზერვო ასლებს, რომლებიც მყარ დისკზე შენახვისას ასევე შეიძლება ექვემდებარებოდეს მავნე კოდს. და იმაზე, რომ პრობლემების თავიდან აცილების მიზნით, მომხმარებლები ინფორმაციას აკოპირებენ მოსახსნელ მედიაზე, ჩვენ საერთოდ არ ვსაუბრობთ.

ამრიგად, პრობლემის რადიკალური გადაწყვეტისთვის, დასკვნა თავისთავად გვთავაზობს: მყარი დისკის და ყველა ლოგიკური დანაყოფის სრული ფორმატირება ინფორმაციის წაშლით. ასე რომ, რა უნდა გააკეთოს? თქვენ მოგიწევთ შემოწირულობა, თუ არ გსურთ ვირუსი ან მისი თვითშენახული ასლი კვლავ გააქტიურდეს სისტემაში.

ამისათვის თქვენ არ უნდა გამოიყენოთ თავად Windows სისტემების ინსტრუმენტები (ვგულისხმობ ვირტუალური ტიხრების ფორმატირებას, რადგან სისტემის დისკზე წვდომის მცდელობისას გამოვა აკრძალვა). უმჯობესია გამოიყენოთ ჩატვირთვა ოპტიკური მედიიდან, როგორიცაა LiveCD ან ინსტალაციის დისტრიბუციები, როგორიცაა Windows 10-ისთვის Media Creation Tool-ის გამოყენებით შექმნილი.

ფორმატირების დაწყებამდე, იმ პირობით, რომ ვირუსი ამოღებულია სისტემიდან, შეგიძლიათ სცადოთ სისტემის კომპონენტების მთლიანობის აღდგენა ბრძანების ხაზის საშუალებით (sfc / scannow), მაგრამ ეს არ იმოქმედებს მონაცემების გაშიფვრისა და განბლოკვის თვალსაზრისით. ამიტომ, ფორმატი c: ერთადერთი სწორი გამოსავალია, მოგწონთ თუ არა. ეს არის ერთადერთი გზა ამ ტიპის საფრთხის სრულად მოშორების მიზნით. ვაი, სხვა გზა არ არის! ანტივირუსული პაკეტების უმეტესობის მიერ შემოთავაზებული სტანდარტული ხელსაწყოებით მკურნალობაც კი უძლურია.

შემდგომი სიტყვის ნაცვლად

დასკვნების შეთავაზების თვალსაზრისით, შეგვიძლია მხოლოდ ვთქვათ, რომ დღეს არ არსებობს ერთიანი და უნივერსალური გადაწყვეტა ამგვარი საფრთხეების ზემოქმედების შედეგების აღმოსაფხვრელად (სამწუხაროდ, მაგრამ ფაქტი - ამას ადასტურებს ანტივირუსული პროგრამის შემქმნელებისა და სპეციალისტების უმრავლესობა. კრიპტოგრაფიის დარგში).

გაურკვეველი რჩება, რატომ გაჩნდა 1024-, 2048- და 3072-ბიტიან დაშიფვრაზე დაფუძნებული ალგორითმები მათ მიერ, ვინც უშუალოდ მონაწილეობს ასეთი ტექნოლოგიების შემუშავებასა და დანერგვაში? მართლაც, დღეს AES256 ალგორითმი ითვლება ყველაზე პერსპექტიულ და უსაფრთხოდ. გაითვალისწინეთ! 256! ეს სისტემა, როგორც ირკვევა, არ არის შესაფერისი თანამედროვე ვირუსებისთვის. რა შეგვიძლია ვთქვათ მაშინ მათი გასაღებების გაშიფვრის მცდელობებზე?

როგორც არ უნდა იყოს, სისტემაში საფრთხის შეტანის თავიდან აცილება საკმაოდ მარტივია. უმარტივეს შემთხვევაში, თქვენ უნდა დაასკანიროთ ყველა შემომავალი შეტყობინება დანართებით Outlook-ში, Thunderbird-ში და სხვა ფოსტის კლიენტებთან ანტივირუსით მიღებისთანავე და არავითარ შემთხვევაში არ გახსნათ დანართები სკანირების დასრულებამდე. თქვენ ასევე ყურადღებით უნდა წაიკითხოთ წინადადებები დამატებითი პროგრამული უზრუნველყოფის დაყენების შესახებ ზოგიერთი პროგრამის დაყენებისას (ჩვეულებრივ, ისინი იწერება ძალიან მცირე ბეჭდვით ან შენიღბული როგორც სტანდარტული დანამატები, როგორიცაა Flash Player-ის განახლება ან რაიმე სხვა). უმჯობესია მედია კომპონენტების განახლება ოფიციალური საიტების მეშვეობით. ეს არის ერთადერთი გზა, რომ როგორმე თავიდან აიცილოთ ასეთი საფრთხეების შეღწევა საკუთარ სისტემაში. შედეგები შეიძლება იყოს სრულიად არაპროგნოზირებადი, იმის გათვალისწინებით, რომ ამ ტიპის ვირუსები მყისიერად ვრცელდება ადგილობრივ ქსელში. კომპანიისთვის კი მოვლენების ასეთი შემობრუნება შეიძლება გადაიქცეს ყველა წამოწყების ნამდვილ კოლაფსად.

და ბოლოს, სისტემის ადმინისტრატორი არ უნდა იჯდეს უსაქმოდ. ასეთ სიტუაციაში უმჯობესია გამორიცხოთ პროგრამული დაცვის საშუალებები. იგივე firewall (firewall) არ უნდა იყოს პროგრამული უზრუნველყოფა, არამედ "ტექნიკა" (რა თქმა უნდა, ბორტზე თანმხლები პროგრამული უზრუნველყოფით). და, რა თქმა უნდა, არ ღირს დაზოგვა ანტივირუსული პაკეტების შეძენაზეც. უმჯობესია შეიძინოთ ლიცენზირებული პაკეტი და არ დააინსტალიროთ პრიმიტიული პროგრამები, რომლებიც სავარაუდოდ უზრუნველყოფენ რეალურ დროში დაცვას მხოლოდ დეველოპერის სიტყვებისგან.

და თუ საფრთხე უკვე შევიდა სისტემაში, მოქმედებების თანმიმდევრობა უნდა მოიცავდეს თავად ვირუსის სხეულის ამოღებას და მხოლოდ ამის შემდეგ ცდილობდეს დაზიანებული მონაცემების გაშიფვრას. იდეალურია - სრული ფორმატირება (გაითვალისწინეთ, არა სწრაფი სარჩევის გასუფთავებით, არამედ სრული ფორმატირება, სასურველია არსებული ფაილური სისტემის, ჩატვირთვის სექტორების და ჩანაწერების აღდგენით ან ჩანაცვლებით).