Πώς να αποκρυπτογραφήσετε αρχεία κρυπτογραφημένα από ιό. Ιός κρυπτογράφησης. Πώς να αφαιρέσετε έναν ιό και να επαναφέρετε κρυπτογραφημένα αρχεία. Αξίζει να πληρώσω για ένα κλειδί αποκρυπτογράφησης;

Και κάθε χρόνο όλο και περισσότερα νέα εμφανίζονται... όλο και πιο ενδιαφέροντα. Ο πιο δημοφιλής ιός πρόσφατα (Trojan-Ransom.Win32.Rector), ο οποίος κρυπτογραφεί όλα τα αρχεία σας (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar κ.λπ. .δ.). Το πρόβλημα είναι ότι η αποκρυπτογράφηση τέτοιων αρχείων είναι εξαιρετικά δύσκολη και χρονοβόρα, ανάλογα με τον τύπο της κρυπτογράφησης, η αποκρυπτογράφηση μπορεί να διαρκέσει εβδομάδες, μήνες ή και χρόνια. Κατά τη γνώμη μου, αυτός ο ιός είναι αυτή τη στιγμή το απόγειο κινδύνου μεταξύ άλλων ιών. Είναι ιδιαίτερα επικίνδυνο για οικιακούς υπολογιστές/φορητούς υπολογιστές, καθώς οι περισσότεροι χρήστες δεν δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους και κατά την κρυπτογράφηση αρχείων χάνουν όλα τα δεδομένα. Για τους οργανισμούς, αυτός ο ιός είναι λιγότερο επικίνδυνος επειδή δημιουργούν αντίγραφα ασφαλείας σημαντικών δεδομένων και, σε περίπτωση μόλυνσης, απλώς τα επαναφέρουν, φυσικά μετά την αφαίρεση του ιού. Συνάντησα αυτόν τον ιό αρκετές φορές, θα περιγράψω πώς συνέβη και σε τι οδήγησε.

Η πρώτη φορά που αντιμετώπισα έναν ιό που κρυπτογραφεί αρχεία ήταν στις αρχές του 2014. Ένας διαχειριστής από άλλη πόλη επικοινώνησε μαζί μου και μου είπε τα πιο δυσάρεστα νέα - Όλα τα αρχεία στον διακομιστή αρχείων είναι κρυπτογραφημένα! Η μόλυνση έγινε με στοιχειώδη τρόπο - το λογιστήριο έλαβε μια επιστολή με το συνημμένο "Act of something there.pdf.exe", όπως καταλαβαίνετε, άνοιξαν αυτό το αρχείο EXE και ξεκίνησε η διαδικασία... κρυπτογραφούσε όλα τα προσωπικά αρχεία στο τον υπολογιστή και πήγε στον διακομιστή αρχείων (συνδέθηκε με μονάδα δίσκου δικτύου). Με τον διαχειριστή αρχίσαμε να ψάχνουμε για πληροφορίες στο ίντερνετ... τότε δεν υπήρχε λύση... όλοι έγραφαν ότι υπήρχε τέτοιος ιός, δεν ήταν γνωστός τρόπος αντιμετώπισης, τα αρχεία δεν μπορούσαν να αποκρυπτογραφηθούν, ίσως Η αποστολή των αρχείων σε Kaspersky, Dr Web ή Nod32 θα βοηθούσε. Μπορείτε να τα στείλετε μόνο εάν χρησιμοποιείτε τα προγράμματα προστασίας από ιούς (με άδεια χρήσης). Στείλαμε τα αρχεία στον Dr Web και στο Nod32, τα αποτελέσματα ήταν 0, δεν θυμάμαι τι είπαν στον Dr Web και το Nod 32 ήταν εντελώς αθόρυβο και δεν έλαβα καμία απάντηση από αυτούς. Σε γενικές γραμμές, όλα ήταν λυπηρά και δεν βρήκαμε ποτέ λύση, επαναφέραμε μερικά από τα αρχεία από το αντίγραφο ασφαλείας.

Η δεύτερη ιστορία - μόλις τις προάλλες (μέσα Οκτωβρίου 2014) έλαβα μια κλήση από έναν οργανισμό που μου ζητούσε να λύσω ένα πρόβλημα με έναν ιό, όπως καταλαβαίνετε, όλα τα αρχεία στον υπολογιστή ήταν κρυπτογραφημένα. Εδώ είναι ένα παράδειγμα του πώς έμοιαζε.

Όπως μπορείτε να δείτε, η επέκταση *.AES256 προστέθηκε σε κάθε αρχείο. Σε κάθε φάκελο υπήρχε ένα αρχείο «Attention_open-me.txt» που περιείχε επαφές για επικοινωνία.

Όταν προσπαθείτε να ανοίξετε αυτά τα αρχεία, άνοιξε ένα πρόγραμμα με επαφές για να επικοινωνήσει με τους δημιουργούς του ιού για να πληρώσει για την αποκρυπτογράφηση. Φυσικά δεν συνιστώ να επικοινωνήσετε μαζί τους, ούτε να πληρώσετε τον κωδικό, αφού θα τους στηρίξετε μόνο οικονομικά και δεν είναι γεγονός ότι θα λάβετε το κλειδί αποκρυπτογράφησης.

Η μόλυνση προέκυψε κατά την εγκατάσταση ενός προγράμματος που λήφθηκε από το Διαδίκτυο. Το πιο εκπληκτικό ήταν ότι όταν παρατήρησαν ότι τα αρχεία είχαν αλλάξει (τα εικονίδια και οι επεκτάσεις αρχείων είχαν αλλάξει), δεν έκαναν τίποτα και συνέχισαν να εργάζονται, ενώ το ransomware συνέχισε να κρυπτογραφεί όλα τα αρχεία.

Προσοχή!!! Εάν παρατηρήσετε κρυπτογράφηση αρχείων στον υπολογιστή σας (αλλαγή εικονιδίων, αλλαγή επέκτασης), απενεργοποιήστε αμέσως τον υπολογιστή/φορητό υπολογιστή σας και αναζητήστε λύση από άλλη συσκευή (από άλλο υπολογιστή/laptop, τηλέφωνο, tablet) ή επικοινωνήστε με ειδικούς πληροφορικής. Όσο περισσότερο είναι ενεργοποιημένος ο υπολογιστής/φορητός υπολογιστής σας, τόσο περισσότερα αρχεία θα κρυπτογραφεί.

Σε γενικές γραμμές, ήθελα ήδη να αρνηθώ να τους βοηθήσω, αλλά αποφάσισα να σερφάρω στο Διαδίκτυο, ίσως είχε ήδη εμφανιστεί μια λύση σε αυτό το πρόβλημα. Ως αποτέλεσμα της αναζήτησης, διάβασα πολλές πληροφορίες ότι δεν μπορεί να αποκρυπτογραφηθεί, ότι πρέπει να στείλετε αρχεία σε εταιρείες προστασίας από ιούς (Kaspersky, Dr Web ή Nod32) - σας ευχαριστώ για την εμπειρία.
Βρήκα ένα βοηθητικό πρόγραμμα από το Kaspersky - RectorDecryptor. Και ιδού, τα αρχεία αποκρυπτογραφήθηκαν. Λοιπόν, πρώτα πρώτα...

Το πρώτο βήμα είναι να σταματήσετε το ransomware. Δεν θα βρείτε κανένα πρόγραμμα προστασίας από ιούς, επειδή το εγκατεστημένο Dr Web δεν βρήκε τίποτα. Πρώτα απ 'όλα, πήγα στο startup και απενεργοποίησα όλες τις εκκινήσεις (εκτός από το antivirus). Έκανε επανεκκίνηση του υπολογιστή. Μετά άρχισα να κοιτάζω τι είδους αρχεία ήταν κατά την εκκίνηση.

Όπως μπορείτε να δείτε στο πεδίο "Εντολή" υποδεικνύεται πού βρίσκεται το αρχείο, χρειάζεται ιδιαίτερη προσοχή για εφαρμογές χωρίς υπογραφή (Κατασκευαστής - Χωρίς δεδομένα). Γενικά, βρήκα και διέγραψα το κακόβουλο λογισμικό και τα αρχεία που δεν μου ήταν ακόμη ξεκάθαρα. Μετά από αυτό, καθάρισα τους προσωρινούς φακέλους και τις κρυφές μνήμες του προγράμματος περιήγησης, είναι καλύτερο να χρησιμοποιήσετε το πρόγραμμα για αυτούς τους σκοπούς CCleaner .

Μετά άρχισα να αποκρυπτογραφώ τα αρχεία, γι' αυτό κατέβασα πρόγραμμα αποκρυπτογράφησης RectorDecryptor . Το ξεκίνησα και είδα μια μάλλον ασκητική διεπαφή του βοηθητικού προγράμματος.

Έκανα κλικ στο "Έναρξη σάρωσης" και υπέδειξα την επέκταση που είχαν όλα τα άλλα αρχεία.

Και υπέδειξε το κρυπτογραφημένο αρχείο. Σε νεότερες εκδόσεις του RectorDecryptor μπορείτε απλά να καθορίσετε το κρυπτογραφημένο αρχείο. Κάντε κλικ στο κουμπί "Άνοιγμα".

Tada-a-a-am!!! Έγινε ένα θαύμα και το αρχείο αποκρυπτογραφήθηκε.

Μετά από αυτό, το βοηθητικό πρόγραμμα ελέγχει αυτόματα όλα τα αρχεία υπολογιστή + τα αρχεία στη συνδεδεμένη μονάδα δίσκου δικτύου και τα αποκρυπτογραφεί. Η διαδικασία αποκρυπτογράφησης μπορεί να διαρκέσει αρκετές ώρες (ανάλογα με τον αριθμό των κρυπτογραφημένων αρχείων και την ταχύτητα του υπολογιστή σας).

Ως αποτέλεσμα, όλα τα κρυπτογραφημένα αρχεία αποκρυπτογραφήθηκαν επιτυχώς στον ίδιο κατάλογο όπου βρίσκονταν αρχικά.

Το μόνο που απομένει είναι να διαγράψετε όλα τα αρχεία με την επέκταση .AES256, επιλέγοντας το πλαίσιο ελέγχου «Διαγραφή κρυπτογραφημένων αρχείων μετά από επιτυχή αποκρυπτογράφηση», εάν κάνετε κλικ στην επιλογή «Αλλαγή παραμέτρων σάρωσης» στο παράθυρο RectorDecryptor.

Αλλά να θυμάστε ότι είναι καλύτερα να μην επιλέξετε αυτό το πλαίσιο, γιατί εάν τα αρχεία δεν αποκρυπτογραφηθούν με επιτυχία, θα διαγραφούν και για να προσπαθήσετε να τα αποκρυπτογραφήσετε ξανά θα πρέπει πρώτα να επαναφέρω .

Όταν προσπάθησα να διαγράψω όλα τα κρυπτογραφημένα αρχεία χρησιμοποιώντας την τυπική αναζήτηση και διαγραφή, αντιμετώπισα παγώματα και εξαιρετικά αργή λειτουργία του υπολογιστή.

Επομένως, για να το αφαιρέσετε, είναι καλύτερο να χρησιμοποιήσετε τη γραμμή εντολών, να την εκτελέσετε και να γράψετε del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Στην περίπτωσή μου del "d:\*.AES256" /f /s.

Μην ξεχάσετε να διαγράψετε τα αρχεία "Attention_open-me.txt", για να το κάνετε αυτό, χρησιμοποιήστε την εντολή στη γραμμή εντολών del"<диск>:\*.<имя файла>"/f/s,Για παράδειγμα
del "d:\Attention_open-me.txt" /f /s

Έτσι, ο ιός νικήθηκε και τα αρχεία αποκαταστάθηκαν. Θέλω να σας προειδοποιήσω ότι αυτή η μέθοδος δεν θα βοηθήσει όλους, το όλο θέμα είναι ότι το Kapersky σε αυτό το βοηθητικό πρόγραμμα έχει συγκεντρώσει όλα τα γνωστά κλειδιά αποκρυπτογράφησης (από εκείνα τα αρχεία που στάλθηκαν από άτομα που έχουν μολυνθεί από τον ιό) και χρησιμοποιεί μια μέθοδο ωμής βίας για να επιλέξτε τα κλειδιά και αποκρυπτογραφήστε τα. Εκείνοι. εάν τα αρχεία σας είναι κρυπτογραφημένα από ιό με άγνωστο κλειδί, τότε αυτή η μέθοδος δεν θα σας βοηθήσει... θα πρέπει να στείλετε τα μολυσμένα αρχεία σε εταιρείες προστασίας από ιούς - Kaspersky, Dr Web ή Nod32 για να τα αποκρυπτογραφήσετε.

Να σας υπενθυμίσουμε:Οι Trojans της οικογένειας Trojan.Encoder είναι κακόβουλα προγράμματα που κρυπτογραφούν αρχεία στον σκληρό δίσκο ενός υπολογιστή και απαιτούν χρήματα για την αποκρυπτογράφηση τους. Τα αρχεία *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar και ούτω καθεξής ενδέχεται να είναι κρυπτογραφημένα.
Δεν ήταν δυνατό να συναντήσετε προσωπικά ολόκληρη την οικογένεια αυτού του ιού, αλλά, όπως δείχνει η πρακτική, η μέθοδος μόλυνσης, θεραπείας και αποκωδικοποίησης είναι περίπου η ίδια για όλους:
1. το θύμα μολύνεται μέσω spam email με συνημμένο (λιγότερο συχνά με μολυσματικά μέσα),
2. ο ιός αναγνωρίζεται και αφαιρείται (ήδη) από σχεδόν οποιοδήποτε antivirus με νέες βάσεις δεδομένων,
3. τα αρχεία αποκρυπτογραφούνται επιλέγοντας κλειδιά κωδικού πρόσβασης για τους τύπους κρυπτογράφησης που χρησιμοποιούνται.
Για παράδειγμα, το Trojan.Encoder.225 χρησιμοποιεί κρυπτογράφηση RC4 (τροποποιημένη) + DES και το Trojan.Encoder.263 χρησιμοποιεί το BlowFish σε λειτουργία CTR. Αυτοί οι ιοί είναι επί του παρόντος κατά 99% αποκρυπτογραφήσιμοι με βάση την προσωπική εμπειρία.

Αλλά δεν είναι όλα τόσο ομαλά. Ορισμένοι ιοί κρυπτογράφησης απαιτούν μήνες συνεχούς αποκρυπτογράφησης (Trojan.Encoder.102), ενώ άλλοι (Trojan.Encoder.283) δεν μπορούν να αποκρυπτογραφηθούν σωστά ακόμη και από ειδικούς του Doctor Web, το οποίο, στην πραγματικότητα, παίζει βασικό ρόλο σε αυτό το άρθρο .

Τώρα, με τη σειρά.

Στις αρχές Αυγούστου 2013, πελάτες επικοινώνησαν μαζί μου για το πρόβλημα των αρχείων που κρυπτογραφήθηκαν από τον ιό Trojan.Encoder.225. Ο ιός, τότε, ήταν καινούργιος, κανείς δεν ήξερε τίποτα, υπήρχαν 2-3 θεματικοί σύνδεσμοι Google στο Διαδίκτυο. Μετά από μια μακρά αναζήτηση στο Διαδίκτυο, αποδεικνύεται ότι ο μόνος (που βρέθηκε) οργανισμός που ασχολείται με το πρόβλημα της αποκρυπτογράφησης αρχείων μετά από αυτόν τον ιό είναι η εταιρεία Doctor Web. Δηλαδή: δίνει συστάσεις, βοηθά κατά την επικοινωνία με την τεχνική υποστήριξη, αναπτύσσει τους δικούς του αποκρυπτογραφητές κ.λπ.

Αρνητική υποχώρηση.

Και, με την ευκαιρία αυτή, θα ήθελα να επισημάνω δύο παχαίνω μείον το Kaspersky Lab. Τα οποία, όταν επικοινωνούν με την τεχνική τους υποστήριξη, απορρίπτουν "εργαζόμαστε για αυτό το θέμα, θα σας ενημερώσουμε για τα αποτελέσματα μέσω ταχυδρομείου". Κι όμως, το μειονέκτημα είναι ότι δεν έλαβα ποτέ απάντηση στο αίτημα. Μετά από 4 μήνες. Ανάθεμα ο χρόνος αντίδρασης. Και εδώ προσπαθώ για το πρότυπο "όχι περισσότερο από μία ώρα από τη συμπλήρωση της αίτησης".
Ντροπή σου, σύντροφε Evgeniy Kaspersky, Γενικός Διευθυντής της Kaspersky Lab. Αλλά έχω τις μισές εταιρίες να «κάθονται» σε αυτό. Λοιπόν, εντάξει, οι άδειες λήγουν τον Ιανουάριο-Μάρτιο του 2014. Αξίζει να μιλήσουμε για το αν θα ανανεώσω την άδεια μου;;)

Παρουσιάζω πρόσωπα «ειδικών» από «πιο απλές» εταιρείες, ας πούμε, ΟΧΙ κολοσσούς της βιομηχανίας antivirus. Μάλλον απλώς «συγκεντρώθηκαν σε μια γωνία» και «έκλαιγαν ήσυχα».
Αν και, επιπλέον, απολύτως όλοι ήταν εντελώς μπερδεμένοι. Το πρόγραμμα προστασίας από ιούς, καταρχήν, δεν θα έπρεπε να έχει επιτρέψει σε αυτόν τον ιό να εισέλθει στον υπολογιστή. Ειδικά λαμβάνοντας υπόψη τη σύγχρονη τεχνολογία. Και «αυτοί», οι ΓΙΓΑΝΤΕΣ της βιομηχανίας κατά των ιών, δήθεν έχουν τα πάντα καλυμμένα, «ευρετική ανάλυση», «προληπτικό σύστημα», «προληπτική προστασία»...

ΠΟΥ ΗΤΑΝ ΟΛΑ ΑΥΤΑ ΤΑ ΥΠΕΡ-ΣΥΣΤΗΜΑΤΑ ΟΤΑΝ Ο ΕΡΓΑΤΗΣ ΤΟΥ ΤΜΗΜΑΤΟΣ Ανθρώπινου Δυναμικού ΑΝΟΙΞΕ ΜΙΑ ΕΠΙΣΤΟΛΗ «HALMONNESS» ΜΕ ΘΕΜΑ «ΣΥΝΕΧΕΙΑ»;;;
Τι έπρεπε να σκεφτεί ο υπάλληλος;
Αν ΕΣΥ δεν μπορείς να μας προστατέψεις, τότε γιατί σε χρειαζόμαστε καθόλου;

Και όλα θα ήταν καλά με το Doctor Web, αλλά για να λάβετε βοήθεια, πρέπει, φυσικά, να έχετε άδεια για οποιοδήποτε από τα προϊόντα λογισμικού τους. Όταν επικοινωνείτε με την τεχνική υποστήριξη (εφεξής TS), πρέπει να δώσετε τον σειριακό αριθμό Dr.Web και μην ξεχάσετε να επιλέξετε «αίτημα για θεραπεία» στη γραμμή «Κατηγορία αιτήματος:» ή απλώς να τους παρέχετε ένα κρυπτογραφημένο αρχείο στο εργαστήριο. Θα κάνω αμέσως κράτηση ότι τα λεγόμενα "journal keys" του Dr.Web, τα οποία δημοσιεύονται σε παρτίδες στο Διαδίκτυο, δεν είναι κατάλληλα, καθώς δεν επιβεβαιώνουν την αγορά κανενός προϊόντος λογισμικού και εξαλείφονται από Ειδικοί TP μία ή δύο φορές. Είναι πιο εύκολο να αγοράσετε την πιο «φθηνή» άδεια. Διότι αν αναλάβετε την αποκρυπτογράφηση, αυτή η άδεια θα σας επιστρέψει ένα εκατομμύριο φορές. Ειδικά αν ο φάκελος με τις φωτογραφίες «Αίγυπτος 2012» ήταν σε ένα αντίγραφο...

Προσπάθεια Νο 1

Έτσι, έχοντας αγοράσει μια "άδεια για 2 υπολογιστές για ένα χρόνο" για ένα n-ποσό χρημάτων, επικοινωνώντας με το TP και παρέχοντας ορισμένα αρχεία, έλαβα έναν σύνδεσμο προς το βοηθητικό πρόγραμμα αποκρυπτογράφησης te225decrypt.exe έκδοση 1.3.0.0. Αναμένοντας την επιτυχία, εκκινώ το βοηθητικό πρόγραμμα (πρέπει να το υποδείξετε σε ένα από τα κρυπτογραφημένα αρχεία *.doc). Το βοηθητικό πρόγραμμα ξεκινά την επιλογή, φορτώνοντας ανελέητα τον παλιό επεξεργαστή E5300 DualCore, 2600 MHz (υπερχρονισμένος στα 3,46 GHz) / 8192 MB DDR2-800, HDD 160 Gb Western Digital στο 90-100%.
Εδώ, παράλληλα με μένα, ένας συνάδελφος σε υπολογιστή υπολογιστή core i5 2500k (υπερχρονισμένο στα 4,5 ghz) / 16 ram 1600 / ssd intel συμμετέχει στην εργασία (αυτό είναι για σύγκριση του χρόνου που δαπανήθηκε στο τέλος του άρθρου).
Μετά από 6 ημέρες, το βοηθητικό πρόγραμμα ανέφερε ότι 7277 αρχεία είχαν αποκρυπτογραφηθεί. Όμως η ευτυχία δεν κράτησε πολύ. Όλα τα αρχεία αποκρυπτογραφήθηκαν "στραβά". Δηλαδή, για παράδειγμα, τα έγγραφα του Microsoft Office είναι ανοιχτά, αλλά με διάφορα σφάλματα: "Η εφαρμογή Word εντόπισε περιεχόμενο στο έγγραφο *.docx που δεν ήταν δυνατό να διαβαστεί" ή "Το αρχείο *.docx δεν μπορεί να ανοίξει λόγω σφαλμάτων στο περιεχόμενό του .» Τα αρχεία *.jpg ανοίγουν επίσης είτε με σφάλμα, είτε το 95% της εικόνας αποδεικνύεται ότι είναι ξεθωριασμένο μαύρο ή ανοιχτό πράσινο φόντο. Για αρχεία *.rar - "Απροσδόκητο τέλος αρχειοθέτησης".
Συνολικά μια πλήρης αποτυχία.

Προσπάθεια Νο 2

Γράφουμε στο TP για τα αποτελέσματα. Σας ζητούν να δώσετε μερικά αρχεία. Μια μέρα αργότερα παρέχουν ξανά μια σύνδεση με το βοηθητικό πρόγραμμα te225decrypt.exe, αλλά έκδοση 1.3.2.0. Λοιπόν, ας ξεκινήσουμε, έτσι κι αλλιώς δεν υπήρχε εναλλακτική. Περνούν περίπου 6 ημέρες και το βοηθητικό πρόγραμμα τελειώνει με το σφάλμα "Δεν είναι δυνατή η επιλογή παραμέτρων κρυπτογράφησης". Σύνολο 13 ημερών "κάτω από την αποχέτευση".
Αλλά δεν τα παρατάμε, έχουμε σημαντικά έγγραφα από τον *ανόητο* πελάτη μας χωρίς βασικά αντίγραφα ασφαλείας.

Προσπάθεια Νο 3

Γράφουμε στο TP για τα αποτελέσματα. Σας ζητούν να δώσετε μερικά αρχεία. Και, όπως ίσως έχετε μαντέψει, μια μέρα αργότερα παρέχουν έναν σύνδεσμο προς το ίδιο βοηθητικό πρόγραμμα te225decrypt.exe, αλλά έκδοση 1.4.2.0. Λοιπόν, ας ξεκινήσουμε, δεν υπήρχε εναλλακτική λύση και δεν εμφανίστηκε ούτε από την Kaspersky Lab, ούτε από το ESET NOD32, ούτε από άλλους κατασκευαστές λύσεων προστασίας από ιούς. Και τώρα, μετά από 5 ημέρες 3 ώρες 14 λεπτά (123,5 ώρες), το βοηθητικό πρόγραμμα αναφέρει ότι τα αρχεία έχουν αποκρυπτογραφηθεί (για έναν συνάδελφο σε έναν πυρήνα i5, η αποκρυπτογράφηση χρειάστηκε μόνο 21 ώρες και 10 λεπτά).
Λοιπόν, νομίζω ότι ήταν ή δεν ήταν. Και ιδού: απόλυτη επιτυχία! Όλα τα αρχεία αποκρυπτογραφούνται σωστά. Όλα ανοίγουν, κλείνουν, φαίνονται, επεξεργάζονται και αποθηκεύονται σωστά.

Όλοι είναι χαρούμενοι, ΤΟ ΤΕΛΟΣ.

«Πού είναι η ιστορία για τον ιό Trojan.Encoder.263;», ρωτάτε. Και στον επόμενο υπολογιστή, κάτω από το τραπέζι... υπήρχε. Όλα ήταν πιο απλά εκεί: γράφουμε στο Doctor Web TP, λαμβάνουμε το βοηθητικό πρόγραμμα te263decrypt.exe, το εκκινούμε, περιμένουμε 6,5 ημέρες, voila! και όλα είναι έτοιμα για να συνοψίσω, μπορώ να δώσω μερικές συμβουλές από το φόρουμ του Doctor Web στην έκδοσή μου:

Τι να κάνετε εάν έχετε μολυνθεί από έναν ιό ransomware:
- στείλτε στο εργαστήριο ιών Dr. Ιστού ή στο "Υποβολή ύποπτου αρχείου" σχηματίστε ένα κρυπτογραφημένο αρχείο εγγράφου.
- Περιμένετε απάντηση από έναν υπάλληλο του Dr.Web και μετά ακολουθήστε τις οδηγίες του.

Τι ΔΕΝ πρέπει να κάνετε:
- αλλαγή της επέκτασης των κρυπτογραφημένων αρχείων. Διαφορετικά, με ένα επιτυχώς επιλεγμένο κλειδί, το βοηθητικό πρόγραμμα απλά δεν θα "βλέπει" τα αρχεία που πρέπει να αποκρυπτογραφηθούν.
- χρησιμοποιήστε ανεξάρτητα, χωρίς συνεννόηση με ειδικούς, οποιαδήποτε προγράμματα αποκρυπτογράφησης/ανάκτησης δεδομένων.

Προσοχή, έχοντας έναν διακομιστή απαλλαγμένο από άλλες εργασίες, προσφέρω τις δωρεάν υπηρεσίες μου για την αποκρυπτογράφηση των δεδομένων ΣΑΣ. Πυρήνας διακομιστή i7-3770K με overclocking σε *συγκεκριμένες συχνότητες*, 16 GB μνήμης RAM και SSD Vertex 4.
Για όλους τους ενεργούς χρήστες του Habr, η χρήση των πόρων μου θα είναι ΔΩΡΕΑΝ!!!
Γράψτε μου σε προσωπικό μήνυμα ή μέσω άλλων επαφών. Έχω ήδη «φάει τον σκύλο» σε αυτό. Επομένως, δεν είμαι πολύ τεμπέλης για να βάλω τον διακομιστή σε αποκρυπτογράφηση εν μία νυκτί.
Αυτός ο ιός είναι η «μάστιγα» της εποχής μας και το να παίρνεις «λάφυρα» από συναδέλφους στρατιώτες δεν είναι ανθρώπινο. Αν και, αν κάποιος "ρίξει" μερικά δολάρια στον λογαριασμό μου Yandex.money 410011278501419, δεν θα με πειράζει. Αυτό όμως δεν είναι καθόλου απαραίτητο. Επικοινωνήστε μαζί μας. Επεξεργάζομαι αιτήσεις στον ελεύθερο χρόνο μου.

ΝΕΑ ΠΛΗΡΟΦΟΡΙΑ!

Ξεκινώντας από τις 8 Δεκεμβρίου 2013, ένας νέος ιός από την ίδια σειρά Trojan.Encoder άρχισε να εξαπλώνεται με την ταξινόμηση Doctor Web - Trojan.Encoder.263, αλλά με κρυπτογράφηση RSA. Αυτή η προβολή είναι για σήμερα (20/12/2013) δεν μπορεί να αποκρυπτογραφηθεί, καθώς χρησιμοποιεί μια πολύ ισχυρή μέθοδο κρυπτογράφησης.

Συνιστώ σε όλους όσους έχουν υποφέρει από αυτόν τον ιό:
1. Χρησιμοποιώντας την ενσωματωμένη αναζήτηση των Windows, βρείτε όλα τα αρχεία που περιέχουν την επέκταση .perfect και αντιγράψτε τα σε εξωτερικά μέσα.
2. Αντιγράψτε επίσης το αρχείο CONTACT.txt
3. Τοποθετήστε αυτό το εξωτερικό μέσο "στο ράφι".
4. Περιμένετε να εμφανιστεί το βοηθητικό πρόγραμμα αποκρυπτογράφησης.

Τι ΔΕΝ πρέπει να κάνετε:
Δεν υπάρχει λόγος να τα βάζεις με εγκληματίες. Αυτό είναι ανόητο. Σε περισσότερες από το 50% των περιπτώσεων, μετά από "πληρωμή" περίπου 5000 ρούβλια, δεν θα λάβετε ΤΙΠΟΤΑ. Χωρίς χρήματα, χωρίς αποκρυπτογράφηση.
Για να είμαστε δίκαιοι, αξίζει να σημειωθεί ότι υπάρχουν εκείνοι οι «τυχεροί» άνθρωποι στο Διαδίκτυο που έλαβαν πίσω τα αρχεία τους με αποκρυπτογράφηση για «λάφυρα». Αλλά δεν πρέπει να εμπιστεύεστε αυτούς τους ανθρώπους. Αν ήμουν συγγραφέας ιών, το πρώτο πράγμα που θα έκανα θα ήταν να διαδώσω πληροφορίες όπως "Πλήρωσα και μου έστειλαν αποκωδικοποιητή!!!"
Πίσω από αυτούς τους «τυχερούς» μπορεί να υπάρχουν οι ίδιοι επιθετικοί.

Λοιπόν... ας ευχηθούμε καλή επιτυχία σε άλλες εταιρείες προστασίας από ιούς στη δημιουργία ενός βοηθητικού προγράμματος για την αποκρυπτογράφηση αρχείων μετά την ομάδα ιών Trojan.Encoder.

Ιδιαίτερες ευχαριστίες στον σύντροφο v.martyanov από το φόρουμ του Doctor Web για τη δουλειά που έγινε στη δημιουργία βοηθητικών προγραμμάτων αποκρυπτογράφησης.

Εάν το σύστημα έχει μολυνθεί με κακόβουλο λογισμικό από τις οικογένειες Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklή Trojan-Ransom.Win32.CryptXXX, τότε όλα τα αρχεία στον υπολογιστή θα κρυπτογραφηθούν ως εξής:

• Όταν μολυνθεί Trojan-Ransom.Win32.Rannohτα ονόματα και οι επεκτάσεις θα αλλάξουν σύμφωνα με το πρότυπο κλειδωμένο-<оригинальное_имя>.<4 произвольных буквы> .
• Όταν μολυνθεί Trojan-Ransom.Win32.Cryakl προστίθεται μια ετικέτα στο τέλος των περιεχομένων του αρχείου (CRYPTENDBLACKDC) .
• Όταν μολυνθεί Trojan-Ransom.Win32.AutoItη επέκταση αλλάζει ανάλογα με το πρότυπο <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Για παράδειγμα, [email προστατευμένο] _.RZWDTDIC.
• Όταν μολυνθεί Trojan-Ransom.Win32.CryptXXXη επέκταση αλλάζει ανάλογα με τα πρότυπα <оригинальное_имя>.κρύπτη,<оригинальное_имя>. crypzΚαι <оригинальное_имя>. cryp1.

Το βοηθητικό πρόγραμμα RannohDecryptor έχει σχεδιαστεί για την αποκρυπτογράφηση αρχείων μετά από μόλυνση Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklή Trojan-Ransom.Win32.CryptXXXεκδόσεις 1 , 2 Και 3 .

Πώς να θεραπεύσετε το σύστημα

Για να θεραπεύσετε ένα μολυσμένο σύστημα:

1. Κάντε λήψη του αρχείου RannohDecryptor.zip.
2. Εκτελέστε το RannohDecryptor.exe στο μολυσμένο μηχάνημα.
3. Στο κύριο παράθυρο, κάντε κλικ Ξεκινήστε τον έλεγχο.

1. Καθορίστε τη διαδρομή προς το κρυπτογραφημένο και μη κρυπτογραφημένο αρχείο.
   Εάν το αρχείο είναι κρυπτογραφημένο Trojan-Ransom.Win32.CryptXXX, καθορίστε τα μεγαλύτερα αρχεία. Η αποκρυπτογράφηση θα είναι διαθέσιμη μόνο για αρχεία ίσου ή μικρότερου μεγέθους.
2. Περιμένετε μέχρι το τέλος της αναζήτησης και της αποκρυπτογράφησης των κρυπτογραφημένων αρχείων.
3. Κάντε επανεκκίνηση του υπολογιστή σας εάν απαιτείται.
4. Για να διαγράψετε ένα αντίγραφο κρυπτογραφημένων αρχείων όπως κλειδωμένο-<оригинальное_имя>.<4 произвольных буквы> Μετά την επιτυχή αποκρυπτογράφηση, επιλέξτε .

Εάν το αρχείο ήταν κρυπτογραφημένο Trojan-Ransom.Win32.Cryakl, τότε το βοηθητικό πρόγραμμα θα αποθηκεύσει το αρχείο στην παλιά θέση με την επέκταση .decryptedKLR.original_extension. Εάν έχετε επιλέξει Διαγράψτε τα κρυπτογραφημένα αρχεία μετά την επιτυχή αποκρυπτογράφηση, τότε το αποκρυπτογραφημένο αρχείο θα αποθηκευτεί από το βοηθητικό πρόγραμμα με το αρχικό όνομα.

1. Από προεπιλογή, το βοηθητικό πρόγραμμα εξάγει μια αναφορά εργασίας στη ρίζα του δίσκου συστήματος (τον δίσκο στον οποίο είναι εγκατεστημένο το λειτουργικό σύστημα).

   Το όνομα της αναφοράς έχει ως εξής: UtilityName.Version_Date_Time_log.txt

   Για παράδειγμα, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Σε ένα σύστημα μολυσμένο Trojan-Ransom.Win32.CryptXXX, το βοηθητικό πρόγραμμα σαρώνει έναν περιορισμένο αριθμό μορφών αρχείων. Εάν ένας χρήστης επιλέξει ένα αρχείο που επηρεάζεται από το CryptXXX v2, η επαναφορά του κλειδιού μπορεί να διαρκέσει πολύ. Σε αυτήν την περίπτωση, το βοηθητικό πρόγραμμα εμφανίζει μια προειδοποίηση.

Γεια σε όλους, σήμερα θα σας πω πώς να αποκρυπτογραφήσετε αρχεία μετά από έναν ιό στα Windows. Ένα από τα πιο προβληματικά κακόβουλα προγράμματα σήμερα είναι ένας Trojan, ή ιός, που κρυπτογραφεί αρχεία στη μονάδα δίσκου ενός χρήστη. Μερικά από αυτά τα αρχεία μπορούν να αποκρυπτογραφηθούν, αλλά άλλα δεν μπορούν ακόμη να αποκρυπτογραφηθούν. Στο άρθρο θα περιγράψω πιθανούς αλγόριθμους δράσης και στις δύο περιπτώσεις.

Υπάρχουν αρκετές τροποποιήσεις αυτού του ιού, αλλά η γενική ουσία της εργασίας είναι ότι μετά την εγκατάσταση στον υπολογιστή σας, τα αρχεία εγγράφων, οι εικόνες και άλλα δυνητικά σημαντικά αρχεία κρυπτογραφούνται με μια αλλαγή στην επέκταση, μετά την οποία λαμβάνετε ένα μήνυμα ότι όλα τα Τα αρχεία έχουν κρυπτογραφηθεί και για να τα αποκρυπτογραφήσετε πρέπει να στείλετε ένα συγκεκριμένο ποσό στον εισβολέα.

Τα αρχεία στον υπολογιστή είναι κρυπτογραφημένα σε xtbl

Μία από τις πιο πρόσφατες παραλλαγές του ιού ransomware κρυπτογραφεί αρχεία, αντικαθιστώντας τα με αρχεία με την επέκταση .xtbl και ένα όνομα που αποτελείται από ένα τυχαίο σύνολο χαρακτήρων.

Ταυτόχρονα, ένα αρχείο κειμένου readme.txt τοποθετείται στον υπολογιστή με περίπου το εξής περιεχόμενο: «Τα αρχεία σας έχουν κρυπτογραφηθεί. Για να τα αποκρυπτογραφήσετε, πρέπει να στείλετε τον κωδικό στη διεύθυνση email [email προστατευμένο], [email προστατευμένο]ή [email προστατευμένο]. Στη συνέχεια θα λάβετε όλες τις απαραίτητες οδηγίες. Οι προσπάθειες αποκρυπτογράφησης αρχείων μόνοι σας θα οδηγήσουν σε ανεπανόρθωτη απώλεια πληροφοριών» (η διεύθυνση αλληλογραφίας και το κείμενο ενδέχεται να διαφέρουν).

Δυστυχώς, αυτή τη στιγμή δεν υπάρχει τρόπος αποκρυπτογράφησης του .xtbl (μόλις γίνει διαθέσιμο, οι οδηγίες θα ενημερωθούν). Ορισμένοι χρήστες που είχαν πολύ σημαντικές πληροφορίες στον υπολογιστή τους αναφέρουν σε φόρουμ προστασίας από ιούς ότι έστειλαν στους δημιουργούς του ιού 5.000 ρούβλια ή άλλο απαιτούμενο ποσό και έλαβαν αποκρυπτογραφητή, αλλά αυτό είναι πολύ επικίνδυνο: μπορεί να μην λάβετε τίποτα.

Τι πρέπει να κάνετε εάν τα αρχεία ήταν κρυπτογραφημένα σε .xtbl; Οι συστάσεις μου είναι οι εξής (αλλά διαφέρουν από εκείνες σε πολλούς άλλους θεματικούς ιστότοπους, όπου, για παράδειγμα, συνιστούν να απενεργοποιήσετε αμέσως τον υπολογιστή από το τροφοδοτικό ή να μην αφαιρέσετε τον ιό. Κατά τη γνώμη μου, αυτό είναι περιττό και σε ορισμένες περιπτώσεις περιστάσεις μπορεί να είναι ακόμη και επιβλαβές, αλλά εξαρτάται από εσάς να αποφασίσετε.):

1. Εάν ξέρετε πώς, διακόψτε τη διαδικασία κρυπτογράφησης εκκαθαρίζοντας τις αντίστοιχες εργασίες στη διαχείριση εργασιών, αποσυνδέοντας τον υπολογιστή από το Διαδίκτυο (αυτό μπορεί να είναι απαραίτητη προϋπόθεση για την κρυπτογράφηση)
2. Θυμηθείτε ή σημειώστε τον κώδικα που απαιτούν οι εισβολείς για να σταλεί σε μια διεύθυνση email (απλά όχι σε ένα αρχείο κειμένου στον υπολογιστή, για κάθε ενδεχόμενο, ώστε να μην είναι ούτε κρυπτογραφημένο).
3. Χρησιμοποιώντας το Malwarebytes Antimalware, μια δοκιμαστική έκδοση του Kaspersky Internet Security ή του Dr.Web Cure It, αφαιρέστε τον ιό κρυπτογράφησης αρχείων (όλα αυτά τα εργαλεία κάνουν καλή δουλειά σε αυτό). Σας συμβουλεύω να χρησιμοποιήσετε το πρώτο και το δεύτερο προϊόν από τη λίστα με τη σειρά τους (ωστόσο, εάν έχετε εγκατεστημένο πρόγραμμα προστασίας από ιούς, η εγκατάσταση του δεύτερου "από πάνω" είναι ανεπιθύμητη, καθώς μπορεί να οδηγήσει σε προβλήματα με τον υπολογιστή.)
4. Περιμένετε να εμφανιστεί ένας αποκρυπτογραφητής από κάποια εταιρεία προστασίας από ιούς. Η Kaspersky Lab βρίσκεται στην πρώτη γραμμή εδώ.
5. Μπορείτε επίσης να στείλετε ένα παράδειγμα κρυπτογραφημένου αρχείου και τον απαιτούμενο κωδικό [email προστατευμένο], εάν έχετε μη κρυπτογραφημένο αντίγραφο του ίδιου αρχείου, στείλτε το επίσης. Θεωρητικά, αυτό θα μπορούσε να επιταχύνει την εμφάνιση του αποκρυπτογραφητή.

Τι δεν πρέπει να κάνετε:

• Μετονομάστε τα κρυπτογραφημένα αρχεία, αλλάξτε την επέκταση και διαγράψτε τα εάν είναι σημαντικά για εσάς.

Αυτό είναι ίσως το μόνο που μπορώ να πω για τα κρυπτογραφημένα αρχεία με την επέκταση .xtbl αυτή τη στιγμή.

Trojan-Ransom.Win32.Aura και Trojan-Ransom.Win32.Rakhni

Ο ακόλουθος Trojan κρυπτογραφεί αρχεία και εγκαθιστά επεκτάσεις από αυτήν τη λίστα:

• .κλειδωμένο
• .κρυπτο
• .κράκεν
• .AES256 (όχι απαραίτητα αυτός ο Trojan, υπάρχουν και άλλοι που εγκαθιστούν την ίδια επέκταση).
• .codercsu@gmail_com
• .oshit
• Και άλλοι.

Για την αποκρυπτογράφηση αρχείων μετά τη λειτουργία αυτών των ιών, ο ιστότοπος της Kaspersky διαθέτει ένα δωρεάν βοηθητικό πρόγραμμα που ονομάζεται RakhniDecryptor, το οποίο είναι διαθέσιμο στην επίσημη σελίδα http://support.kaspersky.ru/viruses/disinfection/10556.

Υπάρχουν επίσης λεπτομερείς οδηγίες για τη χρήση αυτού του βοηθητικού προγράμματος, που δείχνουν πώς να επαναφέρετε κρυπτογραφημένα αρχεία, από τα οποία, για κάθε περίπτωση, θα αφαιρούσα το στοιχείο "Διαγραφή κρυπτογραφημένων αρχείων μετά από επιτυχή αποκρυπτογράφηση" (αν και νομίζω ότι όλα θα πάνε καλά με την εγκατεστημένη επιλογή) .

Εάν διαθέτετε άδεια προστασίας από ιούς Dr.Web, μπορείτε να χρησιμοποιήσετε δωρεάν αποκρυπτογράφηση από αυτήν την εταιρεία στη σελίδα http://support.drweb.com/new/free_unlocker/

Περισσότερες επιλογές για ιούς ransomware

Λιγότερο συνηθισμένοι, αλλά και συναντημένοι, είναι οι παρακάτω Trojans που κρυπτογραφούν αρχεία και απαιτούν χρήματα για αποκρυπτογράφηση. Οι σύνδεσμοι που παρέχονται δεν περιέχουν μόνο βοηθητικά προγράμματα για την επιστροφή των αρχείων σας, αλλά και μια περιγραφή των ενδείξεων που θα σας βοηθήσουν να προσδιορίσετε ότι έχετε τον συγκεκριμένο ιό. Αν και γενικά, ο βέλτιστος τρόπος είναι να σαρώσετε το σύστημα χρησιμοποιώντας Kaspersky anti-virus, να μάθετε το όνομα του Trojan σύμφωνα με την ταξινόμηση αυτής της εταιρείας και στη συνέχεια να αναζητήσετε ένα βοηθητικό πρόγραμμα με αυτό το όνομα.

• Trojan-Ransom.Win32.Rector - δωρεάν βοηθητικό πρόγραμμα αποκρυπτογράφησης RectorDecryptor και οδηγίες χρήσης είναι διαθέσιμα εδώ: http://support.kaspersky.ru/viruses/disinfection/4264
• Το Trojan-Ransom.Win32.Xorist είναι ένας παρόμοιος Trojan που εμφανίζει ένα παράθυρο που σας ζητά να στείλετε ένα επί πληρωμή SMS ή επαφή μέσω email για να λάβετε οδηγίες αποκρυπτογράφησης. Οδηγίες για την επαναφορά κρυπτογραφημένων αρχείων και το βοηθητικό πρόγραμμα XoristDecryptor για αυτό είναι διαθέσιμες στη σελίδα http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - βοηθητικό πρόγραμμα RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 και άλλα με το ίδιο όνομα (κατά την αναζήτηση μέσω του προγράμματος προστασίας από ιούς Dr.Web ή του βοηθητικού προγράμματος Cure It) και διαφορετικούς αριθμούς - δοκιμάστε να κάνετε αναζήτηση στο Διαδίκτυο με το όνομα του Trojan. Για ορισμένα από αυτά υπάρχουν βοηθητικά προγράμματα αποκρυπτογράφησης από το Dr.Web, επίσης εάν δεν μπορέσατε να βρείτε το βοηθητικό πρόγραμμα, αλλά έχετε άδεια Dr.Web, μπορείτε να χρησιμοποιήσετε την επίσημη σελίδα http://support.drweb.com/new/free_unlocker /
• CryptoLocker - για να αποκρυπτογραφήσετε αρχεία μετά την εργασία του CryptoLocker, μπορείτε να χρησιμοποιήσετε τον ιστότοπο http://decryptolocker.com - μετά την αποστολή του δείγματος αρχείου, θα λάβετε ένα κλειδί και ένα βοηθητικό πρόγραμμα για την ανάκτηση των αρχείων σας.

Λοιπόν, από τα τελευταία νέα - η Kaspersky Lab, μαζί με αξιωματικούς επιβολής του νόμου από την Ολλανδία, ανέπτυξαν το Ransomware Decryptor (http://noransom.kaspersky.com) για την αποκρυπτογράφηση αρχείων μετά το CoinVault, αλλά αυτό το ransomware δεν βρίσκεται ακόμη στα γεωγραφικά πλάτη μας.

Παρεμπιπτόντως, αν ξαφνικά αποδειχθεί ότι έχετε κάτι να προσθέσετε (επειδή μπορεί να μην έχω χρόνο να παρακολουθήσω τι συμβαίνει με τις μεθόδους αποκρυπτογράφησης), ενημερώστε με στα σχόλια, αυτές οι πληροφορίες θα είναι χρήσιμες σε άλλους χρήστες που είναι αντιμέτωπος με ένα πρόβλημα.

Οδηγίες

Καλέστε το κύριο μενού του συστήματος Microsoft Windows κάνοντας κλικ στο κουμπί "Έναρξη" και μεταβείτε στο "Όλα τα προγράμματα" για να εκτελέσετε τη λειτουργία αποκρυπτογράφησης των προηγουμένως κρυπτογραφημένων αρχείων.

Καλέστε το μενού περιβάλλοντος του αρχείου, του φακέλου ή του δίσκου που πρόκειται να αποκρυπτογραφηθεί κάνοντας δεξί κλικ και επιλέξτε "Ιδιότητες".

Μεταβείτε στην καρτέλα «Γενικά» του παραθύρου διαλόγου που ανοίγει και επιλέξτε την εντολή «Άλλο».

Καταργήστε την επιλογή του πλαισίου ελέγχου Κρυπτογράφηση περιεχομένου για προστασία δεδομένων και κάντε κλικ στο OK για να εφαρμόσετε τις επιλεγμένες αλλαγές. Θα πρέπει να θυμάστε ότι όταν ακυρώνετε την κρυπτογράφηση, οι φάκελοι, τα κρυπτογραφημένα αρχεία και οι υποφάκελοι παραμένουν κρυπτογραφημένοι, εκτός εάν ορίζεται διαφορετικά, και τα νέα αρχεία και οι υποφάκελοι του αποκρυπτογραφημένου φακέλου δεν θα υπόκεινται στη διαδικασία κρυπτογράφησης.

Κατεβάστε το δωρεάν εργαλείο te19decrypt.exe από τον επίσημο ιστότοπο του προγραμματιστή της εφαρμογής προστασίας από ιούς Dr.Web και εκτελέστε το εκτελέσιμο αρχείο του βοηθητικού προγράμματος για να εκτελέσετε τη λειτουργία αποκρυπτογράφησης αρχείων που είναι κρυπτογραφημένα από τον ιό Trojan.Encoder. (Αυτός ο ιός είναι ένα πρόγραμμα ransomware που κρυπτογραφεί τα αρχεία του χρήστη και στη συνέχεια διαγράφεται. Αυτό αφήνει ένα αρχείο κειμένου crypted.txt στη μονάδα δίσκου συστήματος που περιέχει ένα αίτημα για μεταφορές χρημάτων διαφόρων ποσών για την αποκρυπτογράφηση των κατεστραμμένων αρχείων.)

Κάντε κλικ στο κουμπί "Συνέχεια" στο κύριο παράθυρο του προγράμματος και συμφωνήστε με την πρόταση να καθορίσετε τη θέση του αρχείου κλειδιού c:crypted.txt με μη αυτόματο τρόπο.

Εισαγάγετε την πλήρη διαδρομή προς το επιθυμητό αρχείο στο παράθυρο διαλόγου Άνοιγμα και κάντε κλικ στο OK για να επιβεβαιώσετε την εντολή.

Σημείωση

Μην προσπαθήσετε να διαγράψετε μόνοι σας το αρχείο κειμένου με:\crypted.txt, καθώς η αποκρυπτογράφηση αρχείων που είναι κρυπτογραφημένα από ιό θα καταστεί αδύνατη!

Πηγές:

• Αποκρυπτογράφηση αρχείου ή φακέλου
• Πώς να αποκρυπτογραφήσετε αρχεία κρυπτογραφημένα από τον ιό Trojan.Encoder;
• το αρχείο είναι κρυπτογραφημένο
• Αποκρυπτογράφηση αρχείων EFS

Μπορείτε να αποκρυπτογραφήσετε ένα αρχείο χρησιμοποιώντας εσωτερικά προγράμματα των Windows XP μόνο εάν τα διαμερίσματα είναι μορφοποιημένα σε μορφή NTFS και τα αρχεία δεν είναι αρχεία συστήματος ή συμπιεσμένα. Η όλη διαδικασία καταλήγει στην αποεπιλογή του πεδίου «Κρυπτογράφηση περιεχομένου για προστασία δεδομένων», το οποίο είναι ένα από τα στοιχεία που αντικατοπτρίζουν τις ιδιότητες των αρχείων. Μπορείτε να το εισαγάγετε μέσω του Explorer.

Θα χρειαστείτε

• Εσωτερικοί πόροι του συστήματος κρυπτογράφησης Windows XP, Explorer

Οδηγίες

Συνδεθείτε στην Εξερεύνηση των Windows. Για να το κάνετε αυτό, κάντε κλικ στο "Start", περάστε από την αλυσίδα "All", "Standard", "Explorer". Μια άλλη επιλογή είναι το κουμπί του ποντικιού, ο κέρσορας βρίσκεται στο κουμπί Έναρξη. Στη συνέχεια, πατήστε ξανά το δεξί κουμπί του ποντικιού με τον κέρσορα να αιωρείται πάνω από το επιθυμητό αρχείο. Ανοίξτε το μενού περιβάλλοντος. Επιλέξτε την εντολή "Ιδιότητες" από την παρουσιαζόμενη λίστα επιλογών.

Μεταβείτε στην καρτέλα "Γενικά", επιλέξτε "Για προχωρημένους". Καταργήστε την επιλογή του πλαισίου δίπλα στην επιλογή "Κρυπτογράφηση περιεχομένου για προστασία δεδομένων".

Βίντεο σχετικά με το θέμα

Σημείωση

Αυτή η διαδικασία είναι κατάλληλη μόνο για Windows XP και λειτουργεί μόνο με διαμερίσματα με μορφοποίηση NTFS. Σε αυτή την περίπτωση, ενεργοποιούνται οι εσωτερικοί πόροι του συστήματος κρυπτογράφησης.

Χρήσιμες συμβουλές

Τα συμπιεσμένα αρχεία ή τα αρχεία συστήματος δεν κρυπτογραφούνται και επομένως αποκρυπτογραφούνται. Για να εκτελέσετε μια τέτοια διαδικασία, πρέπει πρώτα να επαναφέρετε τα συμπιεσμένα αρχεία σε κανονική μορφή.
Εάν ένας ολόκληρος φάκελος είναι κρυπτογραφημένος, τότε όλα τα αρχεία που προστέθηκαν στη συνέχεια σε αυτόν κρυπτογραφούνται επίσης. Σε αυτήν την περίπτωση, η αποκωδικοποίηση του αρχείου σημαίνει την αφαίρεση του κωδικού πρόσβασης από ολόκληρο τον φάκελο.
Η κρυπτογράφηση και η αποκρυπτογράφηση πρέπει να εκτελούνται στον ίδιο λογαριασμό διαχειριστή.

Πηγές:

• Ένα θέμα στο φόρουμ είναι αφιερωμένο στη συζήτηση της διαδικασίας αποκρυπτογράφησης ενός αρχείου.

Μια επέκταση ονόματος αρχείου είναι ένα σύνολο χαρακτήρων που προστίθενται στο τέλος ενός ονόματος αρχείου που καθορίζει ποιο πρόγραμμα πρέπει να ανοίξει το αρχείο. Από προεπιλογή, τα Windows αποκρύπτουν τις επεκτάσεις ονομάτων αρχείων, αλλά μπορείτε να κάνετε ορατές τις επεκτάσεις.

Οδηγίες

Στο παράθυρο "Επιλογές φακέλου" που ανοίγει, μεταβείτε στην καρτέλα "Προβολή", καταργήστε την επιλογή του πλαισίου δίπλα στην επιλογή "Απόκρυψη επεκτάσεων για εγγεγραμμένους τύπους" αρχεία».
Κάντε κλικ στο "OK"

Η αντίστροφη διαδικασία (επιλέξτε το πλαίσιο δίπλα στην επιλογή "Απόκρυψη επεκτάσεων για εγγεγραμμένους τύπους αρχείων") αποκρύπτει τις επεκτάσεις αρχείων. Στην εικόνα μπορείτε να δείτε ένα παράδειγμα εμφάνισης αρχείων στον Explorer με ενεργοποιημένη και απενεργοποιημένη την επιλογή εμφάνισης επεκτάσεων.

Βίντεο σχετικά με το θέμα

Πηγές:

• Πώς να αλλάξετε την επέκταση αρχείου στα Windows 10 ώστε να λειτουργεί;

Σε αυτή τη χρονική στιγμή στον σύγχρονο κόσμο, οι τεχνολογίες της πληροφορίας καθιστούν δυνατή την κρυπτογράφηση των πληροφοριών. Υπάρχουν επίσης προγράμματα που μπορούν να αποκωδικοποιήσουν τα δεδομένα. Η αποκωδικοποίηση δεδομένων σάς επιτρέπει να ξεκινήσετε παιχνίδια και προγράμματα. Για παράδειγμα, το ExeLab TextCoder παρέχει κωδικοποίηση και αποκωδικοποίηση εγγράφων και άλλων αρχείων. Χωρίς να γνωρίζετε τον κωδικό πρόσβασης, είναι αδύνατο να μάθετε τις πληροφορίες που είναι αποθηκευμένες εκεί.

Θα χρειαστείτε

• Η/Υ, πρόγραμμα ExeLab TextCoder

Οδηγίες

Για την αποκωδικοποίηση ή την κωδικοποίηση δεδομένων, κατεβάστε το ειδικό πρόγραμμα ExeLab TextCoder. Εγκαταστήστε το. Εκκινήστε το ExeLab TextCoder. Θα εμφανιστεί το Κύριο παράθυρο. Για κωδικοποίηση, εισαγάγετε στο "Παράθυρο 1". Είναι στα αριστερά. Κάντε κλικ στο "Κανονικό κείμενο" και κρυπτογραφημένες πληροφορίες θα εμφανιστούν στο "Παράθυρο 2".

Για αποκωδικοποίηση, εισαγάγετε κείμενο στο "Παράθυρο" και κάντε κλικ στο "Αποκωδικοποίηση από UTF8". Θα λάβετε το αρχικό κείμενο.

Το TCODE μπορεί να χρησιμοποιηθεί για αποκωδικοποίηση. Αποκαθιστά το κείμενο. Το TCODE είναι προσβάσιμο από το Διαδίκτυο. Εγκαταστήστε το στον υπολογιστή σας και εκτελέστε το. Ανοίγει το κύριο παράθυρο. Πληκτρολογήστε το απαιτούμενο κείμενο και κάντε κλικ στο "Επαναγραφή". Ως αποτέλεσμα, εμφανίζονται 100% αναγνωρισμένες πληροφορίες.

Τα δεδομένα αναγνωρίζονται επίσης από το πρόγραμμα Stirlitz. Κατεβάστε το από το Διαδίκτυο και φορτώστε το στον υπολογιστή σας. Ανοίγοντας το, θα δείτε ένα παράθυρο. Υπάρχει μια γραμμή εργαλείων εκεί.

Ανοίξτε το Αρχείο. Βρείτε το στοιχείο "Άνοιγμα" και επιλέξτε το απαιτούμενο αρχείο.

Στη στήλη "Επεξεργασία", επιλέξτε "Αποκωδικοποίηση". Θα λάβετε κρυπτογραφημένο κείμενο. Οι τύποι κωδικοποιήσεων βρίσκονται σε μια σειρά στη γραμμή εργαλείων. Μπορείτε να επιλέξετε οποιοδήποτε.

Για να αποκωδικοποιήσετε τα δεδομένα, κάντε το ίδιο. Κάντε κλικ στο «Αποκωδικοποίηση» και η απάντηση θα είναι κείμενο στα ρωσικά. Από το πρόγραμμα Stirlitz μπορείτε να εκτυπώσετε αμέσως πληροφορίες. Για να το κάνετε αυτό, επιλέξτε τη στήλη "Εκτύπωση" στο Αρχείο και αυτό είναι.

Ορισμένοι ιοί κρυπτογραφούν τα αρχεία χρήστη, μετά από τα οποία η πρόσβαση σε αυτά με κανονικά μέσα ενδέχεται να περιοριστεί. Η επαναφορά της κανονικής λειτουργίας πραγματοποιείται μέσω παρέμβασης λογισμικού.

Οδηγίες

Πραγματοποιήστε μια πρόσθετη σάρωση του υπολογιστή σας για ιούς. Μετά από αυτό, πραγματοποιήστε λήψη ενός από τα προγράμματα κατά της Trojan από το Διαδίκτυο. Αυτό είναι απαραίτητο εάν το κακόβουλο πρόγραμμα ήταν κρυμμένο από το πρόγραμμα προστασίας από ιούς. Πραγματοποιήστε τη σάρωση και, στη συνέχεια, βρείτε τα κρυπτογραφημένα αρχεία.

Δημιουργήστε ένα αντίγραφο ασφαλείας για κάθε ενδεχόμενο και βεβαιωθείτε ότι δεν υπάρχουν απειλές στον υπολογιστή σας. Σημειώστε το πλήρες όνομα των Trojans που βρέθηκαν στον υπολογιστή σας. Αυτό είναι απαραίτητο για να αποκτήσετε αργότερα πρόσβαση σε πληροφορίες σχετικά με μεθόδους κρυπτογράφησης αρχείων, καθώς τα βοηθητικά προγράμματα γενικής χρήσης είναι απίθανο να είναι κατάλληλα εδώ. Για τον ίδιο λόγο, μην βιαστείτε να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας όταν το σαρώνετε αρχικά.

Κάντε λήψη οποιουδήποτε βοηθητικού προγράμματος για την αποκρυπτογράφηση αρχείων μετά τη μόλυνση από ιούς. Τέτοια βοηθητικά προγράμματα είναι συνήθως διαθέσιμα στους επίσημους ιστότοπους των προγραμματιστών συστημάτων προστασίας από ιούς. Επίσης, όταν επιλέγετε ένα πρόγραμμα, να καθοδηγείτε από το όνομα του Trojan που πραγματοποίησε την κρυπτογράφηση, αφού πολλά από αυτά χρησιμοποιούν διαφορετικές μεθόδους.

Είναι καλύτερο να κάνετε λήψη από τους ιστότοπους προγραμματιστών συστημάτων ασφαλείας που γνωρίζετε, καθώς υπάρχει και πάλι κίνδυνος να αντιμετωπίσετε κακόβουλο λογισμικό. Συνήθως, αυτά τα βοηθητικά προγράμματα έχουν μια δοκιμαστική περίοδο κατά την οποία μπορούν να χρησιμοποιηθούν για θεραπεία.

Ακολουθώντας τις οδηγίες του συστήματος, επιλέξτε τα κρυπτογραφημένα με ιούς αρχεία στο βοηθητικό πρόγραμμα που έχετε λάβει που εκτελείται στον υπολογιστή σας και, ακολουθώντας τις οδηγίες του συστήματος, εκτελέστε τις απαραίτητες ενέργειες. Μετά από αυτό, ελέγξτε ξανά για ιούς, ιδίως όσον αφορά τα αρχεία που αποκρυπτογραφήσατε.

Μετά από αυτό, εγκαταστήστε αξιόπιστο, ενημερωμένο λογισμικό προστασίας από ιούς στον υπολογιστή σας για να αποτρέψετε παρόμοιες καταστάσεις στο μέλλον.

Βίντεο σχετικά με το θέμα

Χρήσιμες συμβουλές

Χρησιμοποιήστε λογισμικό προστασίας από ιούς.

Για την προστασία των προσωπικών πληροφοριών από τα αδιάκριτα βλέμματα, πολλοί χρήστες ορίζουν κωδικούς πρόσβασης σε αρχεία Microsoft Office ή PDF. Ταυτόχρονα, μπορείτε να το παρακάνετε και να προστατέψετε το έγγραφο από τον εαυτό του ξεχνώντας τον κωδικό. Σε αυτήν την περίπτωση, μπορεί να προκύψουν σοβαρά προβλήματα, ειδικά εάν το αρχείο περιέχει πολύτιμες πληροφορίες.

Θα χρειαστείτε

• - Προηγμένο πρόγραμμα ανάκτησης κωδικού πρόσβασης PDF.
• - Πρόγραμμα ανάκτησης κωδικού πρόσβασης Accent WORD.

Οδηγίες

Το πρόβλημα επιλύεται χρησιμοποιώντας ειδικά προγράμματα. Η εφαρμογή πρέπει να χρησιμοποιείται ανάλογα με τον τύπο του αρχείου για το οποίο πρέπει να βρείτε κωδικό πρόσβασης. Στη συνέχεια, θα εξετάσουμε τη διαδικασία ανοίγματος κωδικοποιημένων αρχείων των πιο κοινών μορφών.

Για να αντιστοιχίσετε τον κώδικα με αρχεία PDF, πρέπει να κάνετε λήψη του προγράμματος Advanced PDF Password Recovery και στη συνέχεια να το εγκαταστήσετε στον υπολογιστή σας.

Εκκινήστε το Advanced PDF Password Recovery. Τώρα πρέπει να ενεργήσετε ανάλογα με την κατάσταση. Εάν γνωρίζετε τον κωδικό πρόσβασης, μεταβείτε στην καρτέλα Μήκος. Θα εμφανιστεί ένα παράθυρο στο οποίο μπορείτε να ορίσετε τον αριθμό των χαρακτήρων για τον κωδικό πρόσβασης. Στη γραμμή "Ελάχιστος και μέγιστος αριθμός χαρακτήρων" πρέπει να ορίσετε τον ίδιο αριθμό ίσο με τον αριθμό των χαρακτήρων στον κωδικό πρόσβασης.

Εάν δεν γνωρίζετε τον αριθμό των χαρακτήρων στον κωδικό πρόσβασης, ορίστε 1 στη γραμμή "Ελάχιστη τιμή" και 10 στη γραμμή "Μέγιστη τιμή" Δεν υπάρχει λόγος να ορίσετε περισσότερους. Μετά από αυτό, κάντε κλικ στο Άνοιγμα.

Θα εμφανιστεί ένα παράθυρο αναθεώρησης. Καθορίστε τη διαδρομή προς το αρχείο. Επιλέξτε το με το αριστερό κλικ του ποντικιού και μετά κάντε κλικ στο «Άνοιγμα». Στη συνέχεια, στο κύριο μενού του προγράμματος, κάντε κλικ στο κουμπί Έναρξη. Θα ξεκινήσει η διαδικασία για την επιλογή του κωδικού για το αρχείο. Λάβετε υπόψη ότι αυτή η λειτουργία μπορεί να διαρκέσει πολύ. Με την ολοκλήρωση, μια αναφορά θα δημοσιευτεί στο παράθυρο του προγράμματος, η οποία θα περιέχει τον κώδικα.

Για να βρείτε κωδικούς πρόσβασης για αρχεία Microsoft Word, χρησιμοποιήστε το Accent WORD Password Recovery. Εκκινήστε την εφαρμογή. Επιλέξτε την επιλογή που ονομάζεται Ρύθμιση εφαρμογής. Στη συνέχεια, ορίστε τη γραμμή προτεραιότητας σε Υψηλή. Κάντε κλικ στο OK.

Στη συνέχεια, επιλέξτε Αρχείο από το μενού προγράμματος και μετά Άνοιγμα. Καθορίστε τη διαδρομή προς το αρχείο. Επιλέξτε το και κάντε κλικ στο "Άνοιγμα". Θα ξεκινήσει η διαδικασία επιλογής κωδικού, με την ολοκλήρωση της οποίας θα μπορείτε να τον δείτε στην αναφορά.

Η αποκρυπτογράφηση δεδομένων που κωδικοποιούνται με χρήση επαγγελματικού λογισμικού απαιτεί είτε το ίδιο πακέτο λογισμικού είτε τεράστια υπολογιστική ισχύ και ακόμη πιο προηγμένα προγράμματα. Ωστόσο, πιο συχνά, χρησιμοποιούνται πιο προσιτά μέσα για την κωδικοποίηση, τα οποία είναι πολύ πιο εύκολο να αποκωδικοποιηθούν.

Οδηγίες

Στην κατασκευή ιστού, χρησιμοποιείται συχνότερα η πιο προσιτή μέθοδος κρυπτογράφησης δεδομένων - χρησιμοποιώντας τις ενσωματωμένες λειτουργίες των γλωσσών προγραμματισμού. Μεταξύ των γλωσσών του διακομιστή, η πιο κοινή σήμερα είναι η PHP, η οποία χρησιμοποιεί τη συνάρτηση base64_encode για κρυπτογράφηση. Τα δεδομένα που κωδικοποιούνται με αυτό μπορούν να αποκωδικοποιηθούν χρησιμοποιώντας την αντίστροφη συνάρτηση - base64_decode. Εάν έχετε τη δυνατότητα να εκτελέσετε σενάρια PHP στον υπολογιστή ή στον διακομιστή web σας, δημιουργήστε αυτόν τον απλό κώδικα:

Ανάμεσα στα εισαγωγικά της συνάρτησης base64_decode, τοποθετήστε τη συμβολοσειρά δεδομένων που θέλετε να αποκρυπτογραφήσετε. Στη συνέχεια, αποθηκεύστε τον κώδικα σε ένα αρχείο με την επέκταση php και ανοίξτε αυτήν τη σελίδα μέσω ενός προγράμματος περιήγησης - θα δείτε τα αποκρυπτογραφημένα δεδομένα σε μια κενή σελίδα.

Αν κοιτάξετε τη λίστα των αρχείων στον υπολογιστή σας, θα δείτε ότι τα ονόματα των αρχείων αποτελούνται από δύο μέρη, τα οποία χωρίζονται με μια τελεία. Προφανώς, το πρώτο μέρος είναι το όνομα του αρχείου, αλλά το δεύτερο - η επέκταση - αποτελείται συνήθως από ένα ανούσιο, με την πρώτη ματιά, σύνολο γραμμάτων.

Γιατί χρειάζονται επεκτάσεις

Η επέκταση είναι το ίδιο υποχρεωτικό χαρακτηριστικό οποιουδήποτε αρχείου με το όνομά του. Το γεγονός είναι ότι το λειτουργικό σύστημα δεν είναι σε θέση να προσδιορίσει διαισθητικά εάν ένα αρχείο αντιστοιχεί σε ένα συγκεκριμένο πρόγραμμα με το όνομα. Η επέκταση ονόματος αρχείου προορίζεται να δώσει στο λειτουργικό σύστημα τη δυνατότητα να «κατανοήσει» ποιο πρόγραμμα πρέπει να επεξεργαστεί αυτό το αρχείο. Επιπλέον, από την πλευρά του συστήματος, είναι η επέκταση που περιέχει πληροφορίες σχετικά με τη μορφή αρχείου και τις ενέργειες που πρέπει να γίνουν με αυτήν.

Σήμερα, υπάρχουν πολλές χιλιάδες μορφές αρχείων και συγκρίσιμος αριθμός επεκτάσεων ονομάτων. Ορισμένες επεκτάσεις χρησιμοποιούνται παραδοσιακά σχεδόν από την αρχή της εξάπλωσης των προσωπικών υπολογιστών, για παράδειγμα, η επέκταση .exe (από τα αγγλικά εκτελέσιμο - εκτελέσιμο), που υποδηλώνει αρχεία που εκκινούν ένα συγκεκριμένο πρόγραμμα, ενώ άλλες εμφανίστηκαν πιο πρόσφατα. Γεγονός είναι ότι πολλά προϊόντα λογισμικού δημιουργούν βοηθητικά αρχεία για την εργασία τους με μοναδικές επεκτάσεις που κανένα άλλο πρόγραμμα δεν μπορεί να αναγνωρίσει. Και καθώς όλο και περισσότερα προγράμματα εμφανίζονται στην αγορά, ο αριθμός των επεκτάσεων αυξάνεται καθημερινά. Επιπλέον, ο αριθμός των μορφών αρχείων διαφόρων τύπων αυξάνεται συνεχώς: ήχος, γραφικά, βίντεο και καθεμία από αυτές τις μορφές απαιτεί τη δική της επέκταση.

Ο χρήστης δεν χρειάζεται να θυμάται όλες τις επεκτάσεις ονομάτων αρχείων και τα προγράμματα που σχετίζονται με αυτά. Οι περισσότερες από τις πιο κοινές μορφές και επεκτάσεις αναγνωρίζονται αυτόματα από το λειτουργικό σύστημα, επιτρέποντας στον χρήστη να μην σκεφτεί ποιο πρόγραμμα θα ανοίξει ένα συγκεκριμένο αρχείο.

Αποκρυπτογράφηση επεκτάσεων

Στα σύγχρονα λειτουργικά συστήματα με κελύφη γραφικών, οι αναγνωρισμένες επεκτάσεις αρχείων συχνά κρύβονται και η μορφή αρχείου και το αντίστοιχο πρόγραμμα εμφανίζονται με ένα συγκεκριμένο εικονίδιο. Το πρόβλημα είναι ότι το ίδιο πρόγραμμα μπορεί να αντιστοιχεί σε διάφορους τύπους αρχείων, επομένως μερικές φορές είναι πιο βολικό να επιτρέπετε την εμφάνιση επεκτάσεων. Στην οικογένεια λειτουργικών συστημάτων των Windows, αυτό μπορεί να γίνει επιλέγοντας «Πίνακας Ελέγχου» από το μενού του κουμπιού Έναρξη και, στη συνέχεια, κάνοντας κλικ στο εικονίδιο «Επιλογές φακέλου». Στην καρτέλα "Προβολή", πρέπει να βρείτε το στοιχείο "Απόκρυψη επεκτάσεων για καταχωρημένους τύπους αρχείων" και να το καταργήσετε. Τώρα θα δείτε όλες τις επεκτάσεις.

Η αποκρυπτογράφηση της σημασίας μιας συγκεκριμένης επέκτασης μπορεί να μην είναι τόσο εύκολη, ειδικά αν δημιουργήθηκε για τη μορφή αρχείου υποστήριξης ενός ελάχιστα γνωστού προγράμματος, αλλά μια λίστα με τις πιο δημοφιλείς επεκτάσεις ονομάτων μπορεί να βρεθεί στο Διαδίκτυο. Υπάρχουν ειδικοί ιστότοποι που όχι μόνο θα σας πουν ποιο πρόγραμμα απαιτεί ένα αρχείο με την επέκταση που σας ενδιαφέρει, αλλά θα σας βοηθήσουν επίσης να κατανοήσετε πώς αποκρυπτογραφούνται τα γράμματα που αποτελούν την επέκταση. Στη συντριπτική πλειονότητα των περιπτώσεων, η επέκταση είναι είτε συντομογραφία (για παράδειγμα, η επέκταση της δημοφιλούς μορφής αρχείου εικόνας .jpeg είναι συντομογραφία του Joint Photographic Experts Group, το όνομα της εταιρείας που ανέπτυξε αυτήν τη μορφή) είτε συντομογραφία . Για παράδειγμα, η επέκταση .dat, που χρησιμοποιείται συχνά για την υποστήριξη αρχείων πληροφοριών, είναι μια συντομογραφία της αγγλικής λέξης data, που σημαίνει "δεδομένα".

Βίντεο σχετικά με το θέμα