Parasti kaitīgo programmu darbs ir vērsts uz kontroles iegūšanu pār datoru, tā iekļaušanu zombiju tīklā vai personas datu zādzību. Neuzmanīgs lietotājs var ilgstoši nepamanīt, ka sistēma ir inficēta. Taču izspiedējvīrusi, jo īpaši xtbl, darbojas pavisam citādi. Tie padara lietotāju failus nelietojamus, šifrējot tos ar vissarežģītāko algoritmu un pieprasot no īpašnieka lielu summu par iespēju atgūt informāciju.

Problēmas cēlonis: xtbl vīruss

Xtbl izpirkuma programmatūras vīruss savu nosaukumu ieguvis no tā, ka tā šifrētie lietotāju dokumenti iegūst paplašinājumu .xtbl. Parasti kodētāji atstāj atslēgu faila pamattekstā, lai universālā dekodētāja programma varētu atjaunot informāciju tās sākotnējā formā. Taču vīruss ir paredzēts citiem mērķiem, tāpēc atslēgas vietā ekrānā parādās piedāvājums samaksāt noteiktu summu, izmantojot anonīmus konta datus.

Kā darbojas xtbl vīruss

Vīruss datorā iekļūst ar e-pasta ziņojumiem ar inficētiem pielikumiem, kas ir biroja aplikāciju faili. Pēc tam, kad lietotājs ir atvēris ziņojuma saturu, ļaunprogrammatūra sāk meklēt fotoattēlus, atslēgas, video, dokumentus un tā tālāk, un pēc tam, izmantojot oriģinālu sarežģītu algoritmu (hibrīda šifrēšana), pārvērš tos par xtbl krātuvi.

Vīruss savu failu glabāšanai izmanto sistēmas mapes.

Vīruss pievieno sevi startēšanas sarakstam. Lai to izdarītu, viņš pievieno ierakstus Windows reģistram šādās sadaļās:

• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
• HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Inficētais dators strādā stabili, sistēma “neatkrita”, bet operatīvajā atmiņā vienmēr atrodas neliela aplikācija (vai divas) ar nesaprotamu nosaukumu. Un mapes ar lietotāja darba failiem iegūst dīvainu izskatu.

Uzplaiksnījuma ekrāna vietā uz darbvirsmas tiek parādīts ziņojums:

Jūsu faili ir šifrēti. Lai tos atšifrētu, jums jānosūta kods uz e-pasta adresi: [aizsargāts ar e-pastu](kods seko). Pēc tam jūs saņemsit papildu norādījumus. Neatkarīgi mēģinājumi atšifrēt failus novedīs pie to pilnīgas iznīcināšanas.

Tas pats teksts ir ietverts ģenerētajā failā Kā atšifrēt failus.txt. E-pasta adrese, kods, pieprasītā summa var atšķirties.

Diezgan bieži daži krāpnieki pelna naudu uz citiem - izspiedējprogrammatūras e-maka numurs tiek ievietots vīrusa ķermenī, nespējot atšifrēt failus. Tātad lētticīgs lietotājs, nosūtījis naudu, neko nesaņem pretī.

Kāpēc jums nevajadzētu maksāt par izpirkuma programmatūru

Nevar vienoties par sadarbību ar izspiedējiem ne tikai morāles principu dēļ. Tas ir nesaprātīgi no praktiskā viedokļa.

Kā aizsargāt savu sistēmu no vīrusiem

Arī šajā gadījumā palīdzēs universālie noteikumi aizsardzībai pret ļaunprātīgu programmatūru un bojājumu mazināšanu.

Vai ir iespējams atgūt šifrētu informāciju

Labas ziņas: ir iespējama datu atkopšana. Slikti: jūs pats to nevarat izdarīt. Iemesls tam ir šifrēšanas algoritma īpatnība, kuras atslēgas izvēle prasa daudz vairāk resursu un uzkrāto zināšanu nekā parastam lietotājam. Par laimi, antivīrusu izstrādātāji uzskata, ka ir goda lieta tikt galā ar katru kaitīgo programmu, tāpēc pat tad, ja viņi pašlaik nevar tikt galā ar jūsu izspiedējvīrusu programmu, viņi noteikti atradīs risinājumu mēneša vai divu laikā. Mums būs jābūt pacietīgiem.

Sakarā ar nepieciešamību sazināties ar speciālistiem, mainās algoritms darbam ar inficētu datoru. Parasti, jo mazāk izmaiņu, jo labāk. Antivīrusi nosaka ārstēšanas metodi, pamatojoties uz ļaunprātīgas programmas vispārīgajām īpašībām, tāpēc inficētie faili tiem ir svarīgas informācijas avots. Tos vajadzētu noņemt tikai pēc galvenās problēmas atrisināšanas.

Otrs noteikums ir par katru cenu pārtraukt vīrusa darbu. Iespējams, viņš vēl nav sabojājis visu informāciju, un operatīvajā atmiņā saglabājušās izpirkuma programmatūras pēdas, ar kuru palīdzību viņu var identificēt. Tāpēc jums nekavējoties jāizslēdz dators no tīkla un jāizslēdz klēpjdators, ilgi nospiežot tīkla pogu. Šoreiz standarta "uzmanīgā" izslēgšanas procedūra, kas ļauj pareizi pabeigt visus procesus, nedarbosies, jo viens no tiem ir jūsu informācijas kodēšana.

Šifrētu failu atkopšana

Ja jums izdevās izslēgt datoru

Ja jums izdevās izslēgt datoru pirms šifrēšanas procesa beigām, jums tas nav jāieslēdz pašam. Nogādājiet "pacientu" tieši pie speciālistiem, pārtraukta kodēšana ievērojami palielina personīgo failu saglabāšanas iespējas. Šeit varat arī pārbaudīt datu nesēju drošajā režīmā un izveidot dublējumus. Ar lielu varbūtību pats vīruss būs zināms, tāpēc tā ārstēšana būs veiksmīga.

Ja šifrēšana ir pabeigta

Diemžēl iespēja veiksmīgi pārtraukt šifrēšanas procesu ir ļoti maza. Parasti vīrusam ir laiks iekodēt failus un noņemt no datora nevajadzīgas pēdas. Un tagad jums ir divas problēmas: Windows joprojām ir inficēta, un personiskie faili ir kļuvuši par rakstzīmju kopu. Lai atrisinātu otro problēmu, ir jāizmanto antivīrusu programmatūras ražotāju palīdzība.

Dr.Web

Dr.Web Laboratory savus atšifrēšanas pakalpojumus bez maksas sniedz tikai komerciālo licenču īpašniekiem. Citiem vārdiem sakot, ja jūs vēl neesat viņu klients, bet vēlaties atjaunot savus failus, jums būs jāiegādājas programma. Ņemot vērā pašreizējo situāciju, šis ir pareizais ieguldījums.

Nākamais solis ir doties uz ražotāja vietni un aizpildīt pieteikuma veidlapu.

Ja starp šifrētajiem failiem ir kopijas, kas ir saglabātas ārējos datu nesējos, to pārsūtīšana ievērojami atvieglos dekoderu darbu.

Kaspersky

Kaspersky Lab ir izstrādājis savu atšifrēšanas utilītu ar nosaukumu RectorDecryptor, kuru var lejupielādēt datorā no uzņēmuma oficiālās vietnes.

Katrai operētājsistēmas versijai, ieskaitot Windows 7, ir sava utilīta. Pēc ielādes nospiediet pogu "Sākt pārbaudi".

Pakalpojumi var aizņemt kādu laiku, ja vīruss ir salīdzinoši jauns. Šajā gadījumā uzņēmums parasti nosūta paziņojumu. Dažreiz atšifrēšana var ilgt vairākus mēnešus.

Citi pakalpojumi

Arvien vairāk pakalpojumu ar līdzīgām funkcijām liecina par pieprasījumu pēc atšifrēšanas pakalpojumiem. Darbību algoritms ir vienāds: dodieties uz vietni (piemēram, https://decryptolocker.com/), reģistrējieties un nosūtiet šifrēto failu.

Dekoderu programmas

Tīklā ir daudz “universālo dekoderu” (protams, maksas), taču to lietderība ir apšaubāma. Protams, ja paši vīrusu ražotāji uzrakstīs dekoderi, tas darbosies veiksmīgi, bet citai kaitīgai aplikācijai tā pati programma būs bezjēdzīga. Turklāt speciālistiem, kuri regulāri saskaras ar vīrusiem, parasti ir pilnīga nepieciešamo utilītu pakete, tāpēc viņiem ir visas darba programmas ar lielu varbūtību. Šāda dekodera iegāde, visticamāk, būs naudas izšķiešana.

Kā atšifrēt failus, izmantojot Kaspersky Lab - video

Pašapkalpošanās informācijas atgūšana

Ja kāda iemesla dēļ nav iespējams sazināties ar trešo pušu speciālistiem, varat mēģināt atgūt informāciju pats. Izdarīsim atrunu, ka neveiksmes gadījumā faili var tikt neatgriezeniski zaudēti.

Izdzēsto failu atkopšana

Pēc šifrēšanas vīruss izdzēš sākotnējos failus. Tomēr Windows 7 kādu laiku saglabā visu izdzēsto informāciju tā sauktās ēnu kopijas veidā.

ShadowExplorer

ShadowExplorer ir utilīta, kas paredzēta failu atkopšanai no to ēnu kopijām.

PhotoRec

Bezmaksas PhotoRec utilīta darbojas tāpat, bet pakešu režīmā.

Vīrusu noņemšana

Tā kā vīruss iekļuva datorā, instalētās drošības programmas netika galā ar savu uzdevumu. Varat izmēģināt trešās puses palīdzību.

Svarīgs! Vīrusa noņemšana izārstē datoru, bet neatjauno šifrētos failus. Turklāt jaunas programmatūras instalēšana var sabojāt vai izdzēst dažas failu ēnu kopijas, kas nepieciešamas to atjaunošanai. Tāpēc labāk ir instalēt lietojumprogrammas citos diskos.

Kaspersky vīrusu noņemšanas rīks

Plaši pazīstama pretvīrusu programmatūras izstrādātāja bezmaksas programma, kuru var lejupielādēt no Kaspersky Lab vietnes. Pēc Kaspersky Virus Removal Tool palaišanas tas nekavējoties piedāvā sākt skenēšanu.

Pēc lielās ekrāna pogas "Start Scan" nospiešanas programma sāk skenēt datoru.

Atliek gaidīt līdz skenēšanas beigām un izdzēst atrastos nelūgtos viesus.

Malwarebytes Anti-ļaundabīga programmatūra

Vēl viens pretvīrusu programmatūras izstrādātājs, kas nodrošina skenera bezmaksas versiju. Darbību algoritms ir tāds pats:

Ko nedrīkst darīt

XTBL vīruss, tāpat kā citi izspiedējvīrusi, bojā gan sistēmu, gan lietotāja informāciju. Tāpēc, lai samazinātu iespējamo kaitējumu, ir jāveic daži piesardzības pasākumi:

1. Negaidiet šifrēšanas beigas. Ja failu šifrēšana ir sākusies jūsu acu priekšā, negaidiet, līdz tas viss beidzas, vai nemēģiniet pārtraukt procesu ar programmatūru. Nekavējoties atvienojiet datoru un sazinieties ar servisa tehniķi.
2. Nemēģiniet pats noņemt vīrusu, ja varat uzticēties profesionāļiem.
3. Nepārinstalējiet sistēmu līdz ārstēšanas beigām. Vīruss droši inficēs arī jauno sistēmu.
4. Nepārdēvējiet šifrētos failus. Tas tikai sarežģīs dekodētāja darbu.
5. Nemēģiniet lasīt inficētos failus citā datorā, kamēr vīruss nav noņemts. Tas var izplatīt infekciju.
6. Nemaksājiet izspiedējiem. Tas ir bezjēdzīgi un iedrošina vīrusu radītājus un krāpniekus.
7. Neaizmirstiet par profilaksi. Pretvīrusu instalēšana, regulāras dublējumkopijas un atjaunošanas punktu izveide ievērojami samazinās iespējamo ļaunprogrammatūras radīto kaitējumu.

Ar izspiedējvīrusu inficēta datora izārstēšana ir ilga un ne vienmēr veiksmīga procedūra. Tāpēc ir tik svarīgi ievērot piesardzības pasākumus, iegūstot informāciju no tīkla un strādājot ar nepārbaudītiem ārējiem datu nesējiem.

Laba diena visiem, mani dārgie draugi un mana emuāra lasītāji. Šodien tēma būs diezgan bēdīga, jo skars vīrusus. Es jums pastāstīšu par gadījumu, kas notika ne tik sen manā darbā. Nodaļā man zvanīja darbiniece satrauktā balsī: “Dima, vīruss ir šifrējis failus datorā: ko tagad darīt?”. Tad es sapratu, ka lieta smaržo pēc cepta, bet beigās aizgāju pie viņas.

Jā. Viss izrādījās skumji. Lielākā daļa datorā esošo failu bija inficēti vai drīzāk šifrēti: Office dokumenti, PDF faili, 1C datu bāzes un daudzi citi. Kopumā dupsis ir pilnīgs. Droši vien netika ietekmēti tikai arhīvi, lietojumprogrammas un teksta dokumenti (nu un vēl daudz vairāk). Visi šie dati ir mainījuši paplašinājumu, kā arī mainīja to nosaukumus uz kaut ko līdzīgu sjd7gy2HjdlVnsjds.
Kā arī uz darbvirsmas un mapēs parādījās vairāki identiski dokumenti README.txt.Viņi godīgi saka, ka dators ir inficēts un lai jūs neveicat nekādas darbības, neko nedzēsiet, nepārbaudiet antivīrusu programmatūru, pretējā gadījumā faili netiks tikt atpakaļ.
Arī failā teikts, ka šie jaukie cilvēki varēs atjaunot visu, kā tas bija. Lai to izdarītu, viņiem ir jānosūta atslēga no dokumenta uz savu pastu, pēc kura jūs saņemsit nepieciešamos norādījumus. Viņi neraksta cenu, bet patiesībā izrādās, ka atgriešanas izmaksas ir apmēram 20 000 rubļu.

Vai jūsu dati ir naudas vērti? Vai esat gatavs maksāt, lai novērstu izspiedējvīrusu? ES šaubos. Kas tad ir jādara? Parunāsim par to vēlāk. Tikmēr sāksim visu pēc kārtas.

No kurienes tas nāk

No kurienes nāk šis neglītais izspiedējvīruss? Šeit viss ir ļoti vienkārši. Cilvēki to saņem pa e-pastu. Parasti šis vīruss iekļūst organizācijās, uzņēmumu pastkastītēs, lai gan ne tikai. Pēc izskata jūs to neuzskatāt par kaku, jo tas nenāk surogātpasta veidā, bet gan no patiešām esošas nopietnas organizācijas, piemēram, mēs saņēmām vēstuli no Rostelecom pakalpojumu sniedzēja no viņu oficiālā pasta.

Vēstule bija pilnīgi parasta, piemēram, "Jauni tarifu plāni juridiskām personām". Iekšpusē ir PDF fails. Un, atverot šo failu, jūs atverat Pandoras lādi. Visi svarīgie faili tiek šifrēti un vienkāršos vārdos pārvēršas par "ķieģeļiem". Un antivīrusi neuztver šīs stulbības uzreiz.

Ko es izdarīju un kas nedarbojās

Protams, pie mums neviens negribēja par to maksāt 20 tūkstošus, jo informācija nemaksāja tik dārgi, un turklāt sazināties ar krāpniekiem vispār nebija iespējams. Un turklāt tas nav fakts, ka par šo summu jums viss tiks atbloķēts.

Es izgāju cauri utilītai drweb cureit un tā atrada vīrusu, taču no tā bija maz jēgas, jo pat pēc vīrusa faili palika šifrēti. Vīrusa likvidēšana izrādījās vienkārša, taču tikt galā ar sekām ir daudz grūtāk. Es devos uz Doctor Web un Kaspersky forumiem, un tur atradu vajadzīgo tēmu, kā arī uzzināju, ka ne tur, ne tur viņi nevar palīdzēt ar atšifrēšanu. Viss bija ļoti stingri šifrēts.

No otras puses, meklētājprogrammas sāka parādīties ar rezultātiem, ka daži uzņēmumi atšifrē failus uz maksas pamata. Nu, tas mani ieinteresēja, jo īpaši tāpēc, ka uzņēmums izrādījās reāls, patiešām pastāvošs. Savā tīmekļa vietnē viņi piedāvāja bez maksas atšifrēt piecus gabalus, lai parādītu savas spējas. Nu es paņēmu un nosūtīju viņiem 5 manuprāt svarīgākos failus.
Pēc kāda laika saņēmu atbildi, ka viņiem izdevās visu atšifrēt un par pilnīgu atkodēšanu no manis paņems 22 tūkstošus. Un viņi negribēja man dot failus. Tāpēc es uzreiz pieņēmu, ka viņi, visticamāk, strādā tandēmā ar krāpniekiem. Nu, protams, viņi tika nosūtīti ellē.

• izmantojot programmas "Recuva" un "RStudio"
• Darbojas dažādi komunālie pakalpojumi
• Nu, lai nomierinātos, es nevarēju nepamēģināt (lai gan es lieliski zināju, ka tas nepalīdzēs), tas ir vienkārši banāls uz labo pusi. Breds, protams)

Nekas no tā man nederēja. Bet es tomēr atradu izeju.\ R \ n \ r \ nProtams, ja jums pēkšņi ir tāda situācija, tad paskatieties, ar kādu paplašinājumu faili ir šifrēti. Pēc tam dodieties uz http://support.kaspersky.com/viruses/desinfection/10556 un skatiet, kuri paplašinājumi ir uzskaitīti. Ja jūsu paplašinājums ir sarakstā, izmantojiet šo utilītu.
Taču visos 3 gadījumos, ko redzēju saistībā ar šo izspiedējprogrammatūru, neviena no šīm utilītprogrammām nepalīdzēja. Precīzāk, es satiku vīrusu "Da Vinči kods" un "VELVĒT"... Pirmajā gadījumā mainījās gan nosaukums, gan paplašinājums, bet otrajā tikai paplašinājums. Kopumā šādu izspiedējprogrammu ir vesela kaudze. Dzirdu tādus neliešus kā xtbl, vairs nekādas izpirkuma maksas, labāk sauc sauli un daudzus citus.

Kas palīdzēja

Vai esat kādreiz dzirdējuši par ēnu kopijām? Tātad, kad tiek izveidots atjaunošanas punkts, tiek automātiski izveidotas jūsu failu ēnu kopijas. Un, ja kaut kas noticis ar jūsu failiem, jūs vienmēr varat tos atgriezt brīdī, kad tika izveidots atjaunošanas punkts. Viena lieliska programma failu atkopšanai no ēnu kopijām mums palīdzēs.

Sākt lejupielādēt un instalējiet programmu "Shadow Explorer". Ja jaunākā versija rada kļūdas (tā notiek), instalējiet iepriekšējo.

Dodieties uz Shadow Explorer. Kā redzam, programmas galvenā daļa ir līdzīga explorer, t.i. failus un mapes. Tagad pievērsiet uzmanību augšējam kreisajam stūrim. Tur mēs redzam vietējā diska burtu un datumu. Šis datums nozīmē, ka visi faili, kas atrodas C diskdzinī, tajā laikā ir atjaunināti. Man tas ir 30. novembrī. Tas nozīmē, ka pēdējais atjaunošanas punkts tika izveidots 30. novembrī.
Ja noklikšķināsim uz nolaižamā datumu saraksta, mēs redzēsim, kuriem skaitļiem mums vēl ir ēnu kopijas. Un, ja noklikšķināsit uz vietējo disku nolaižamā saraksta un atlasīsit, piemēram, D disku, mēs redzēsim datumu, kurā mums ir faktiskie faili. Bet braukšanai D punkti netiek izveidoti automātiski, tāpēc šis vienums ir jāreģistrē iestatījumos. to ļoti viegli izdarāms.
Kā redzat, ja diskam C Man ir diezgan nesens datums, tad diskam D pēdējais punkts tika izveidots gandrīz pirms gada. Tad mēs to darām punktu pa punktam:

Viss. Tagad atliek tikai gaidīt, līdz tiks pabeigta eksportēšana. Un tad mēs pārejam uz to pašu mapi, kuru izvēlējāties, un pārbaudām visus failus, lai tie būtu atvērti un veiktu. Viss ir lieliski).
Es zinu, ka internets piedāvā vēl dažas dažādas metodes, utilītus utt., bet par tiem nerakstīšu, jo ar šo problēmu esmu saskāries jau trešo reizi, un ne reizi nekas, izņemot ēnu kopijas, man nav palīdzējis. Lai gan varbūt man vienkārši nav tik paveicies).

Bet diemžēl pēdējo reizi izdevās atgūt tikai tos failus, kas atradās C diskā, jo pēc noklusējuma punkti tika izveidoti tikai C diskam. Attiecīgi D diskam nebija ēnu kopiju. Protams, jums ir arī jāatceras, pie kādiem atjaunošanas punktiem tas var novest, tāpēc sekojiet līdzi arī tam.

Un, lai varētu izveidot ēnu kopijas citiem cietajiem diskiem, jums arī tie ir nepieciešami.

Profilakse

Lai novērstu problēmas ar atveseļošanos, jums jāveic profilakse. Lai to izdarītu, jums jāievēro šādi noteikumi.

Starp citu, reiz šis vīruss šifrēja failus USB zibatmiņā, kur tika glabāti mūsu atslēgu sertifikāti digitālajam parakstam. Tāpēc esiet ļoti uzmanīgs arī ar zibatmiņas diskiem.

Ar cieņu, Dmitrijs Kostins.

Ir daudz dažādu ļaunprātīgu programmu. Starp tiem ir ārkārtīgi nepatīkami izspiedējvīrusi, kas, nonākot datorā, sāk šifrēt lietotāja failus. Dažos gadījumos ir liela iespēja atšifrēt failus, taču dažreiz tas nedarbojas. Mēs izskatīsim visas nepieciešamās darbības gan pirmajā, gan otrajā gadījumā gadījumos, kad.

Šie vīrusi var nedaudz atšķirties, taču kopumā to darbības vienmēr ir vienādas:

• instalēt datorā;
• šifrēt visus failus, kuriem var būt jebkāda vērtība (dokumenti, fotogrāfijas);
• mēģinot atvērt šos failus, pieprasiet lietotājam iemaksāt noteiktu summu uzbrucēja makā vai kontā, pretējā gadījumā piekļuve saturam nekad netiks atvērta.

Vīrusu šifrēti faili xtbl

Šobrīd vīruss ir kļuvis pietiekami plaši izplatīts, lai varētu šifrēt failus un mainīt to paplašinājumu uz .xtbl, kā arī aizstāt to nosaukumu ar pilnīgi nejaušām rakstzīmēm.

Turklāt labi redzamā vietā tiek izveidots īpašs fails ar instrukcijām. readme.txt... Tajā uzbrucējs konfrontē lietotāju ar faktu, ka visi viņa svarīgie dati ir šifrēti un tagad tos nav tik vienkārši atvērt, papildinot to ar faktu, ka, lai visu atgrieztu iepriekšējā stāvoklī, ir nepieciešams veikt noteiktas darbības, kas saistītas ar naudas pārskaitījumu krāpniekam (parasti pirms tam ir jānosūta noteikts kods uz kādu no ieteiktajām e-pasta adresēm). Bieži vien šādas ziņas tiek papildinātas ar postscript, ka, mēģinot pats atšifrēt visus savus failus, jūs riskējat tos pazaudēt uz visiem laikiem.

Diemžēl šobrīd .xtbl oficiāli nevienam nav izdevies atšifrēt, ja parādīsies kāds darba veids, noteikti par to informēsim rakstā. Lietotāju vidū ir tādi, kuriem bijusi līdzīga pieredze ar šo vīrusu un viņi samaksājuši krāpniekiem nepieciešamo summu, pretī saņemot savu dokumentu atšifrēšanu. Bet tas ir ārkārtīgi riskants solis, jo starp kibernoziedzniekiem ir arī tādi, kuri īpaši neuztraucas ar solīto atšifrēšanu, galu galā tā būs nauda.

Ko tad tu dari, tu jautā? Mēs piedāvājam dažus padomus, kas palīdzēs jums atgūt visus savus datus un tajā pašā laikā jūs nevadīs krāpnieki un nedos viņiem savu naudu. Un kas jādara:

1. Ja zināt, kā strādāt uzdevumu pārvaldniekā, nekavējoties pārtrauciet failu šifrēšanu, apturot aizdomīgo procesu. Tajā pašā laikā atvienojiet datoru no interneta – daudzām izspiedējvīrusu programmām ir nepieciešams tīkla savienojums.
2. Paņemiet lapiņu un uzrakstiet uz tās kodu, ko piedāvā nosūtīt uzbrucējiem pa pastu (papīra, jo fails, uz kuru rakstīsiet, arī var kļūt nepieejams lasīšanai).
3. Izmantojiet Malwarebytes Antimalware, izmēģinājuma versiju Kaspersky IS vai CureIt Antivirus, lai noņemtu ļaunprātīgu programmatūru. Lai nodrošinātu lielāku uzticamību, labāk ir konsekventi izmantot visus piedāvātos līdzekļus. Lai gan Kaspersky Anti-Virus nevar instalēt, ja sistēmai jau ir viens galvenais antivīruss, pretējā gadījumā var rasties programmatūras konflikti. Visas pārējās utilītas var izmantot jebkurā situācijā.
4. Pagaidiet, līdz kāds no pretvīrusu uzņēmumiem ir izstrādājis šādu failu atšifrētāju. Visefektīvākais veids, kā to izdarīt, ir Kaspersky Lab.
5. Turklāt jūs varat nosūtīt uz [aizsargāts ar e-pastu] faila kopija, kas tika šifrēta ar nepieciešamo kodu, un tas pats fails sākotnējā formā, ja tāds ir. Iespējams, ka tas var paātrināt failu atšifrēšanas metodes izstrādi.

Nekādā gadījumā nedrīkst:

• šo dokumentu pārdēvēšana;
• mainot to paplašināšanos;
• failu dzēšana.

Šie Trojas zirgi arī šifrē lietotāju failus un pēc tam tos izspiež. Tajā pašā laikā šifrētajiem failiem var būt šādi paplašinājumi:

• .bloķēta
• .crypto
• .kraken
• .AES256 (ne vienmēr šis Trojas zirgs, ir arī citi, kas instalē to pašu paplašinājumu).
• [aizsargāts ar e-pastu] _com
• .oshi
• Cits.

Par laimi, jau ir izveidota īpaša atšifrēšanas utilīta - RakhniDecryptor... To var lejupielādēt no oficiālās vietnes.

Tajā pašā vietnē varat izlasīt instrukcijas, kas detalizēti un skaidri parāda, kā izmantot utilītu, lai atšifrētu visus failus, ar kuriem Trojas zirgs ir strādājis. Principā, lai nodrošinātu lielāku uzticamību, ir vērts izslēgt vienumu šifrētu failu dzēšanai. Bet visticamāk, ka izstrādātāji darīja visu iespējamo, lai izveidotu utilītu, un nekas neapdraud datu integritāti.

Tiem, kas izmanto licencētu Dr.Web antivīrusu, ir bezmaksas piekļuve atšifrēšanai, ko nodrošina izstrādātāji http://support.drweb.com/new/free_unlocker/.

Cita veida izspiedējvīrusi

Dažreiz jūs varat saskarties ar citiem vīrusiem, kas šifrē svarīgus failus un pieprasa samaksu par visa atgriešanu sākotnējā formā. Mēs piedāvājam nelielu sarakstu ar utilītprogrammām, lai tiktu galā ar visbiežāk sastopamo vīrusu sekām. Tur jūs varat arī iepazīties ar galvenajām pazīmēm, pēc kurām jūs varat atšķirt konkrētu Trojas programmu.

Turklāt labs veids būtu skenēt datoru ar Kaspersky Anti-Virus, kas atklās nelūgto viesi un piešķirs tam nosaukumu. Pēc šī nosaukuma jau var meklēt tam dekodētāju.

• Trojas zirgs-Ransom.Win32.Rector- tipisks izspiedējvīrusu kodētājs, kas prasa sūtīt SMS vai veikt citas šāda veida darbības, mēs ņemam atšifrētāju no šīs saites.
• Trojan-Ransom.Win32.Xorist- iepriekšējā Trojas zirga variācija, jūs varat iegūt dekodētāju ar tā lietošanas rokasgrāmatu.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury- šiem puišiem ir arī īpaša utilīta, skatiet saiti.
• Trojan.Encoder858, Trojan.Encoder.741- šīs ļaunprātīgās programmatūras var noteikt ar CureIt utilītu. Viņiem ir līdzīgi nosaukumi, taču skaitļi vārda beigās var atšķirties. Mēs meklējam dekodētāju pēc vīrusa nosaukuma vai, ja izmantojat licencētu Dr.Web, varat izmantot īpašu resursu.
• CryptoLacker- lai atgūtu failus, apmeklējiet šo vietni un caur to izveidojiet īpašu programmu dokumentu atkopšanai.

Nesen Kaspersky Lab sadarbībā ar kolēģiem no Nīderlandes radīja atšifrētāju, kas ļauj atgūt failus pēc tam, kad ar tiem ir iedarbojies vīruss. CoinVault.

Komentāros varat dalīties ar savām failu atšifrēšanas metodēm, jo ​​šī informācija būs noderīga citiem lietotājiem, kuri var saskarties ar šādu ļaunprātīgu programmatūru.

Cīņa pret jauniem vīrusu draudiem - izpirkuma programmatūru

Nesen rakstījām, ka tīklā izplatās jauni draudi - izspiedējvīrusi vai, plašāk, vīrusi, kas šifrē failus, par tiem vairāk varat lasīt mūsu mājaslapā šajā saitē.

Šajā tēmā mēs jums pateiksim, kā jūs varat atgūt vīrusu šifrētus datus, šim nolūkam mēs izmantosim divus atšifrētājus no pretvīrusu "Kaspersky" un "Doctor Web", šīs ir visefektīvākās šifrētas informācijas atgriešanas metodes. .

1. Lejupielādējiet utilītas failu atšifrēšanai no saitēm: Kaspersky un Dr.WEB

Vai arī atšifrētāji noteikta veida šifrētiem failiem, kas atrodas.

2. Vispirms mēģināsim atšifrēt failus, izmantojot Kaspersky programmu:

2.1. Palaidiet programmu Kaspersky Decryptor, ja tas prasa kādu darbību, piemēram, palaišanas atļaujas - palaidiet to, ja tas prasa atjauninājumu - atjauniniet to, tas palielinās iespēju atgriezt šifrētos datus

2.2. Parādītajā failu atšifrēšanas programmas logā mēs redzam vairākas pogas. Konfigurējiet papildu parametrus un sāciet pārbaudīt.

2.3. Ja jums ir jāizvēlas papildu parametri un jānorāda, kur meklēt šifrētos failus, un, ja nepieciešams, dzēst pēc atšifrēšanas, es neiesaku izvēlēties šo opciju, faili ne vienmēr tiek atšifrēti pareizi!

2.4. Mēs sākam skenēšanu un gaidām mūsu vīrusa šifrēto datu atšifrēšanu.

3. Ja pirmā metode nedarbojās. Mēs cenšamies atšifrēt failus, izmantojot programmu no Dr. WEB

3.1. Kad esat lejupielādējis atšifrēšanas lietojumprogrammu, ievietojiet to, piemēram, "C:" diska saknē., tāpēc failam "te102decrypt.exe" jābūt pieejamam vietnē "c: \ te102decrypt.exe"

3.2. Tagad dodieties uz komandrindu(Start-Search-ievadiet "CMD" bez pēdiņām - palaidiet, nospiežot taustiņu Enter)

3.3. Lai sāktu failu atšifrēšanu mēs izrakstām komandu "c: \ te102decrypt.exe -k 86 -e (ransomware code)"... Izspiedējvīrusa kods ir paplašinājums, kas pievienots faila beigām, piemēram, " [aizsargāts ar e-pastu] _45jhj "- rakstiet bez pēdiņām un iekavām, ievērojot atstarpes. Jums vajadzētu iegūt kaut ko līdzīgu c: \ te102decrypt.exe -k 86 -e [aizsargāts ar e-pastu] _45jhj

3.4. Noklikšķiniet uz Enter un gaidiet, līdz faili tiks atšifrēti kas tika šifrēti, atsevišķos gadījumos tiek izveidotas vairākas atšifrēto failu kopijas, mēģiniet tās palaist, tā atšifrētā faila kopija, kas atveras normāli - saglabājiet, pārējos var izdzēst.

Lejupielādējiet pārējos failu dekodētājus:

Uzmanību: noteikti saglabājiet šifrēto failu kopijas ārējā datu nesējā vai citā datorā. Tālāk norādītie atšifrētāji var neatšifrēt failus, bet tikai tos sabojāt!

Vislabāk ir palaist atšifrētāju virtuālajā mašīnā vai speciāli sagatavotā datorā, iepriekš lejupielādējot tajā vairākus failus.

Tālāk norādītie dekoderi darbojas šādi: Piemēram, jūsu faili ir šifrēti ar amba šifrēšanas rīku, un faili ir izskatījušies kā "Contract.doc.amba" vai "Account.xls.amba", tad mēs lejupielādējam amba failu atšifrētāju un vienkārši palaižam to, tas atradīs visus failus ar šo paplašinājumu un atšifrējiet to. Bet atkal, pasargājiet sevi un provizoriski dublējiet šifrētos failus pretējā gadījumā jūs varat uz visiem laikiem zaudēt savus nepareizi atšifrētos datus!

Ja nevēlaties riskēt, tad atsūtiet mums dažus failus, iepriekš sazinoties ar mums, izmantojot atsauksmju veidlapu, mēs palaidīsim dekoderi uz speciāli sagatavota datora, kas izolēts no interneta.

Uzrādītos failus pārbaudīja jaunākā Kaspersky Anti-Virus versija un jaunākie datu bāzes atjauninājumi.

Tas, ka internets ir pilns ar vīrusiem, šodien nevienu nepārsteidz. Daudzi lietotāji situācijas, kas saistītas ar to ietekmi uz sistēmām vai personas datiem, maigi izsakoties uztver, pieverot acis, taču tikai līdz brīdim, kad šifrēšanas vīruss konkrēti iedzīvojas sistēmā. Lielākā daļa parasto lietotāju nezina, kā izārstēt un atšifrēt cietajā diskā saglabātos datus. Tāpēc šis kontingents tiek "vadīts" uz uzbrucēju izvirzītajām prasībām. Bet paskatīsimies, ko darīt, ja tiek atklāts šāds apdraudējums vai novērst tā iekļūšanu sistēmā.

Kas ir izspiedējvīruss?

Šāda veida draudi izmanto standarta un nestandarta failu šifrēšanas algoritmus, kas pilnībā maina to saturu un bloķē piekļuvi. Piemēram, pēc saskares ar vīrusu būs absolūti neiespējami atvērt šifrētu teksta failu lasīšanai vai rediģēšanai, kā arī atskaņot multivides saturu (grafiku, video vai audio). Pat standarta darbības objektu kopēšanai vai pārvietošanai nav pieejamas.

Pats vīrusa programmatūras pildījums ir līdzeklis, kas šifrē datus tā, ka ne vienmēr ir iespējams atjaunot to sākotnējo stāvokli pat pēc apdraudējuma noņemšanas no sistēmas. Parasti šādas kaitīgās programmas izveido savas kopijas un ļoti dziļi iekļūst sistēmā, tāpēc failu šifrēšanas vīrusu dažkārt var būt pilnīgi neiespējami noņemt. Atinstalējot galveno programmu vai izdzēšot vīrusa galveno daļu, lietotājs neatbrīvojas no apdraudējuma ietekmes, nemaz nerunājot par šifrētas informācijas atjaunošanu.

Kā draudi nokļūst sistēmā?

Parasti šāda veida draudi pārsvarā ir vērsti pret lielām komerciālām struktūrām un var iekļūt datoros caur pasta programmām, kad darbinieks e-pastā atver it kā pievienotu dokumentu, kas ir, teiksim, papildinājums kāda veida sadarbības līgumam vai preču piegādes plāns (komerciālie piedāvājumi ar investīcijām no apšaubāmiem avotiem ir pirmais vīrusa ceļš).

Problēma ir tā, ka izspiedējvīruss uz mašīnas, kurai ir piekļuve lokālajam tīklam, spēj pielāgoties arī tajā, radot savas kopijas ne tikai tīkla vidē, bet arī administratora terminālī, ja tai trūkst nepieciešamās aizsardzības pretvīrusu programmatūras veidā.ugunsmūris vai ugunsmūris.

Dažkārt šādi draudi var iekļūt arī parastu lietotāju datorsistēmās, kuras kopumā kibernoziedzniekus neinteresē. Tas notiek dažu programmu instalēšanas laikā, kas lejupielādētas no apšaubāmiem interneta resursiem. Daudzi lietotāji, uzsākot lejupielādi, ignorē pretvīrusu aizsardzības sistēmas brīdinājumus un instalēšanas procesā nepievērš uzmanību ieteikumiem instalēt papildu programmatūru, paneļus vai spraudņus pārlūkprogrammām, un pēc tam, kad tie sak, iekost elkoņos.

Vīrusu šķirnes un nedaudz vēstures

Būtībā šāda veida draudi, jo īpaši visbīstamākais ransomware vīruss No_more_ransom, tiek klasificēti ne tikai kā rīki datu šifrēšanai vai piekļuves bloķēšanai. Faktiski visas šādas ļaunprātīgas lietojumprogrammas tiek klasificētas kā izpirkuma programmatūra. Citiem vārdiem sakot, kibernoziedznieki pieprasa noteiktu naudas summu par informācijas atšifrēšanu, uzskatot, ka šo procesu nebūs iespējams veikt bez sākotnējās programmas. Daļēji tas tā ir.

Bet, iedziļinoties vēsturē, pamanīsit, ka viens no pašiem pirmajiem šāda veida vīrusiem, lai gan tas neuzlika naudas prasības, bija bēdīgi slavenā I Love You sīklietotne, kas pilnībā šifrēja multivides failus (galvenokārt mūzikas ierakstus) lietotāju sistēmās. . Failu atšifrēšana pēc izspiedējvīrusa tobrīd izrādījās neiespējama. Tagad tieši ar šiem draudiem var elementāri tikt galā.

Taču pašu vīrusu vai izmantoto šifrēšanas algoritmu attīstība nestāv uz vietas. Kas trūkst starp vīrusiem - šeit jums ir XTBL, un CBF, un Breaking_Bad, un [aizsargāts ar e-pastu], un vēl daudzas citas nepatīkamas lietas.

Lietotāju failu ietekmēšanas tehnika

Un, ja vēl nesen lielākā daļa uzbrukumu tika veikti, izmantojot RSA-1024 algoritmus, kuru pamatā ir AES šifrēšana ar tādu pašu bitumu, tas pats No_more_ransom ransomware vīruss mūsdienās tiek prezentēts vairākās interpretācijās, izmantojot šifrēšanas atslēgas, kuru pamatā ir RSA-2048 un pat RSA-3072 tehnoloģijas.

Izmantoto algoritmu atšifrēšanas problēmas

Problēma ir tāda, ka mūsdienu atšifrēšanas sistēmas ir bezspēcīgas šādu briesmu priekšā. Failu atšifrēšana pēc uz AES256 balstītā izspiedējvīrusa joprojām tiek atbalstīta, un ar lielāku atslēgas bitu pārraides ātrumu gandrīz visi izstrādātāji tikai rausta plecus. To, starp citu, oficiāli apstiprinājuši Kaspersky Lab un Eset speciālisti.

Primitīvākajā versijā lietotājam, kurš sazinājās ar atbalsta dienestu, tiek lūgts nosūtīt šifrētu failu un tā oriģinālu salīdzināšanai un turpmākām darbībām, lai noteiktu šifrēšanas algoritmu un atkopšanas metodes. Bet, kā likums, vairumā gadījumu tas nedarbojas. Bet izspiedējvīruss var pats atšifrēt failus, kā tiek uzskatīts, ja upuris piekrīt uzbrucēju noteikumiem un samaksā noteiktu summu naudas izteiksmē. Taču šāds jautājuma formulējums rada pamatotas šaubas. Un tāpēc.

Šifrēšanas vīruss: kā izārstēt un atšifrēt failus un vai to var izdarīt?

Tiek ziņots, ka pēc maksājuma veikšanas hakeri aktivizē atšifrēšanu, izmantojot attālo piekļuvi savam vīrusam, kas atrodas sistēmā, vai izmantojot papildu sīklietotni, ja vīrusa korpuss ir noņemts. Tas izskatās vairāk nekā apšaubāmi.

Vēlos atzīmēt arī faktu, ka internets ir pilns ar viltus ierakstiem, kuros teikts, ka, viņi saka, vajadzīgā summa ir samaksāta, un dati tika veiksmīgi atjaunoti. Tas viss ir meli! Un tiešām - kur garantija, ka pēc samaksas šifrēšanas vīruss sistēmā vairs neaktivizēsies? Nav grūti saprast zagļu psiholoģiju: ja maksā vienu reizi, tad maksā vēlreiz. Un, ja mēs runājam par īpaši svarīgu informāciju, piemēram, konkrētu komerciālu, zinātnisku vai militāru attīstību, šādas informācijas īpašnieki ir gatavi maksāt tik daudz, cik nepieciešams, lai faili paliktu neskarti un drošībā.

Pirmais līdzeklis draudu novēršanai

Tāda ir ransomware vīrusa būtība. Kā dezinficēt un atšifrēt failus pēc apdraudējuma? Jā, nekādā gadījumā, ja pie rokas nav instrumentu, kas arī ne vienmēr palīdz. Bet jūs varat mēģināt.

Pieņemsim, ka sistēmā ir parādījies izspiedējvīruss. Kā dezinficēt inficētos failus? Pirmkārt, jums ir jāveic padziļināta sistēmas skenēšana, neizmantojot S.M.A.R.T. tehnoloģiju, kas atklāj draudus tikai tad, ja ir bojāti sāknēšanas sektori un sistēmas faili.

Vēlams neizmantot esošo standarta skeneri, kas jau ir palaidis garām draudus, bet izmantot portatīvos utilītus. Labākais risinājums būtu sāknēšana no Kaspersky glābšanas diska, kas var sākties pat pirms operētājsistēmas sākšanas.

Bet tā ir tikai puse no kaujas, jo šādā veidā jūs varat atbrīvoties tikai no paša vīrusa. Bet ar dekoderu tas būs grūtāk. Bet vairāk par to vēlāk.

Ir vēl viena kategorija, kurā ietilpst izspiedējvīrusi. Par informācijas atšifrēšanu tiks runāts atsevišķi, bet pagaidām pakavēsimies pie tā, ka tās var pilnīgi atklāti pastāvēt sistēmā oficiāli instalētu programmu un lietojumprogrammu veidā (uzbrucēju nekaunībai nav robežu, jo draudi to dara). pat nemēģiniet maskēties).

Šajā gadījumā jums vajadzētu izmantot programmu un komponentu sadaļu, kurā tiek veikta standarta atinstalēšana. Tomēr jums vajadzētu pievērst uzmanību arī tam, ka standarta Windows atinstalētājs pilnībā neizdzēš visus programmas failus. Jo īpaši izpirkuma izpirkuma programmatūras vīruss spēj izveidot savas mapes sistēmas saknes direktorijos (parasti tie ir Csrss direktoriji, kuros atrodas tāda paša nosaukuma izpildāmais fails csrss.exe). Kā galvenā atrašanās vieta ir atlasīti Windows, System32 vai lietotāju direktoriji (lietotāji sistēmas diskā).

Turklāt No_more_ransom ransomware vīruss ieraksta savas atslēgas reģistrā šķietami saites veidā uz oficiālo sistēmas servisu Client Server Runtime Subsystem, kas daudziem ir maldinoši, jo šim pakalpojumam vajadzētu būt atbildīgam par mijiedarbību starp klienta un servera programmatūru. . Pati atslēga atrodas mapē Run, kuru var sasniegt caur HKLM filiāli. Ir skaidrs, ka šādas atslēgas būs manuāli jādzēš.

Lai to atvieglotu, varat izmantot tādas utilītas kā iObit Uninstaller, kas automātiski meklē atlikušos failus un reģistra atslēgas (bet tikai tad, ja vīruss sistēmā ir redzams kā instalēta lietojumprogramma). Bet tas ir visvienkāršākais.

Pretvīrusu programmatūras izstrādātāju piedāvātie risinājumi

Tiek uzskatīts, ka izspiedējvīrusa atšifrēšanu var veikt, izmantojot īpašas utilītas, lai gan, ja jums ir tehnoloģijas ar 2048 vai 3072 bitu atslēgu, jums nevajadzētu uz tām paļauties (turklāt daudzi no tiem pēc atšifrēšanas izdzēš failus, un tad atjaunotie faili pazūd iepriekš nenoņemta vīrusa korpusa vainas dēļ).

Tomēr jūs varat mēģināt. No visām programmām ir vērts izcelt RectorDecryptor un ShadowExplorer. Tiek uzskatīts, ka nekas labāks līdz šim nav radīts. Taču problēma var būt arī tā, ka, mēģinot izmantot atšifrētāju, nav garantijas, ka dezinficējamie faili netiks dzēsti. Tas ir, ja jūs sākotnēji neatbrīvosities no vīrusa, jebkurš atšifrēšanas mēģinājums būs lemts neveiksmei.

Papildus šifrētās informācijas dzēšanai tā var būt arī letāla – visa sistēma nedarbosies. Turklāt mūsdienu izspiedējvīruss spēj ietekmēt ne tikai datora cietajā diskā glabātos datus, bet arī mākoņkrātuvē esošos failus. Un šeit nav risinājumu informācijas atjaunošanai. Turklāt, kā izrādījās, daudzi servisi veic nepietiekami efektīvus aizsardzības pasākumus (tas pats Windows 10 iebūvētais OneDrive, kas tiek atklāts tieši no operētājsistēmas).

Radikāls problēmas risinājums

Kā jau ir skaidrs, lielākā daļa mūsdienu metožu nedod pozitīvu rezultātu, inficējoties ar šādiem vīrusiem. Protams, ja ir bojātā faila oriģināls, to var nosūtīt pārbaudei uz antivīrusu laboratoriju. Tiesa, pastāv arī ļoti nopietnas šaubas, ka parasts lietotājs izveidos datu rezerves kopijas, kuras, glabājot cietajā diskā, var tikt pakļautas arī kaitīgajam kodam. Un par to, ka lietotāji informāciju kopē noņemamajos datu nesējos, lai izvairītos no nepatikšanām, mēs vispār nerunājam.

Tādējādi radikālam problēmas risinājumam tiek ierosināts pats secinājums: pilnīga cietā diska un visu loģisko nodalījumu formatēšana ar informācijas dzēšanu. Tātad, ko darīt? Jums būs jāziedo, ja nevēlaties, lai vīruss vai tā paša saglabātā kopija atkal tiktu aktivizēta sistēmā.

Lai to izdarītu, nevajadzētu izmantot pašu Windows sistēmu rīkus (es domāju virtuālo nodalījumu formatēšanu, jo, mēģinot piekļūt sistēmas diskam, tiks izdots aizliegums). Labāk ir izmantot sāknēšanu no optiskajiem datu nesējiem, piemēram, LiveCD vai instalācijas izplatījumiem, piemēram, tiem, kas izveidoti, izmantojot Windows 10 multivides izveides rīku.

Pirms formatēšanas uzsākšanas, ja vīruss ir noņemts no sistēmas, varat mēģināt atjaunot sistēmas komponentu integritāti, izmantojot komandrindu (sfc / scannow), taču tas neietekmēs datu atšifrēšanu un atbloķēšanu. Tāpēc formāts c: ir vienīgais pareizais iespējamais risinājums neatkarīgi no tā, vai tas jums patīk vai nē. Tas ir vienīgais veids, kā pilnībā atbrīvoties no šāda veida draudiem. Diemžēl cita ceļa nav! Pat ārstēšana ar standarta rīkiem, ko piedāvā lielākā daļa pretvīrusu pakotņu, ir bezspēcīga.

Pēcvārda vietā

Runājot par secinājumiem, var tikai teikt, ka šodien nav vienota un universāla risinājuma, lai novērstu šādu apdraudējumu ietekmes sekas (bēdīgi, bet fakts - to apstiprina lielākā daļa pretvīrusu programmatūras izstrādātāju un speciālistu kriptogrāfijas jomā).

Joprojām nav skaidrs, kāpēc tādu algoritmu rašanās, kuru pamatā ir 1024, 2048 un 3072 bitu šifrēšana, tika nodoti tiem, kas ir tieši iesaistīti šādu tehnoloģiju izstrādē un ieviešanā? Patiešām, šodien AES256 algoritms tiek uzskatīts par daudzsološāko un drošāko. Paziņojums! 256! Šī sistēma, kā izrādās, nav piemērota mūsdienu vīrusiem. Ko tad mēs varam teikt par mēģinājumiem atšifrēt viņu atslēgas?

Lai kā arī būtu, no draudu ieviešanas sistēmā ir diezgan viegli izvairīties. Visvienkāršākajā gadījumā jums vajadzētu skenēt visus ienākošos ziņojumus ar pielikumiem programmā Outlook, Thunderbird un citos pasta klientos ar antivīrusu tūlīt pēc saņemšanas un nekādā gadījumā neatveriet pielikumus, kamēr skenēšana nav pabeigta. Instalējot dažas programmas, rūpīgi jāizlasa arī ieteikumi par papildu programmatūras instalēšanu (parasti tie ir rakstīti ļoti mazā drukā vai maskēti kā standarta papildinājumi, piemēram, Flash Player atjaunināšana vai kaut kas cits). Multivides komponentus labāk atjaunināt oficiālajās vietnēs. Tas ir vienīgais veids, kā vismaz kaut kā novērst šādu draudu iekļūšanu jūsu sistēmā. Sekas var būt pilnīgi neparedzamas, ņemot vērā, ka šāda veida vīrusi acumirklī izplatās lokālajā tīklā. Un uzņēmumam šāds notikumu pavērsiens var pārvērsties par reālu visu uzņēmumu sabrukumu.

Visbeidzot, sistēmas administratoram nevajadzētu sēdēt dīkstāvē. Šādā situācijā ir labāk izslēgt programmatūras aizsardzības līdzekļus. Tam pašam ugunsmūrim (ugunsmūrim) nevajadzētu būt programmatūrai, bet gan "aparatūrai" (protams, ar pavadošo programmatūru uz klāja). Un, pats par sevi saprotams, nav vērts taupīt arī uz pretvīrusu pakotņu iegādi. Labāk ir iegādāties licencētu pakotni, nevis instalēt primitīvas programmas, kas it kā nodrošina reāllaika aizsardzību tikai no izstrādātāja vārdiem.

Un, ja draudi jau ir iekļuvuši sistēmā, darbību secībā jāiekļauj paša vīrusa korpusa noņemšana un tikai pēc tam mēģinājumi atšifrēt bojātos datus. Ideālā gadījumā - pilns formatējums (ņemiet vērā, ka nesteidzoties ar satura rādītāja notīrīšanu, bet gan pilnu formatēšanu, vēlams ar esošās failu sistēmas, sāknēšanas sektoru un ierakstu atjaunošanu vai nomaiņu).