Hogyan lehet visszafejteni a vírus által titkosított fájlokat. Titkosító vírus. A vírus eltávolítása és a titkosított fájlok visszaállítása. Megéri fizetni a visszafejtő kulcsért?

És évről évre egyre több új jelenik meg... egyre érdekesebb. Az utóbbi időben a legnépszerűbb vírus (Trojan-Ransom.Win32.Rector), amely titkosítja az összes fájlt (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar stb. ..d.). A probléma az, hogy az ilyen fájlok visszafejtése rendkívül nehéz és időigényes; a titkosítás típusától függően a visszafejtés heteket, hónapokat vagy akár éveket is igénybe vehet. Véleményem szerint ez a vírus jelenleg a veszély csúcspontja a többi vírus között. Ez különösen veszélyes az otthoni számítógépekre/laptopokra, mivel a legtöbb felhasználó nem készít biztonsági másolatot adatairól, és a fájlok titkosítása során minden adatot elveszítenek. A szervezetek számára ez a vírus kevésbé veszélyes, mert a fontos adatokról biztonsági másolatot készítenek, és fertőzés esetén egyszerűen visszaállítják azokat, természetesen a vírus eltávolítása után. Többször találkoztam ezzel a vírussal, leírom hogyan történt és mihez vezetett.

2014 elején találkoztam először fájlokat titkosító vírussal. Egy másik város adminisztrátora megkeresett, és elmondta a legkellemetlenebb hírt: A fájlszerveren lévő összes fájl titkosítva van! A fertőzés alapvetően történt - a könyvelési osztály kapott egy levelet „Act of Something there.pdf.exe” melléklettel, mint érti, megnyitották ezt az EXE fájlt, és elkezdődött a folyamat... titkosította az összes személyes fájlt a számítógépet, és a fájlszerverre ment (hálózati meghajtó kötötte). Az adminisztrátorral elkezdtünk a neten keresgélni... akkor még nem volt megoldás... mindenki azt írta, hogy van ilyen vírus, nem tudták, hogyan kell kezelni, a fájlokat nem lehet visszafejteni, talán a fájlok elküldése a Kaspersky-nek, a Dr Web-nek vagy a Nod32-nek segítene. Csak akkor küldheti el őket, ha használja a vírusirtó programjaikat (licenc). Elküldtük a fájlokat a Dr Webnek és a Nod32-nek, az eredmény 0 volt, nem emlékszem, mit mondtak Dr Webnek, a Nod 32 pedig teljesen néma volt, és nem kaptam tőlük választ. Általában minden szomorú volt, és soha nem találtunk megoldást; néhány fájlt visszaállítottunk biztonsági másolatból.

A második történet - éppen a minap (2014. október közepén) felhívtak egy szervezet, amelyben arra kértek, hogy oldjak meg egy vírussal kapcsolatos problémát; amint Ön is tudja, a számítógépen lévő összes fájl titkosítva volt. Íme egy példa, hogyan nézett ki.

Amint láthatja, a *.AES256 kiterjesztést minden fájlhoz hozzáadtuk. Mindegyik mappában volt egy „Attention_open-me.txt” fájl, amely a kommunikációhoz szükséges kapcsolatokat tartalmazta.

Amikor megpróbálta megnyitni ezeket a fájlokat, megnyílt egy program névjegyekkel, hogy kapcsolatba léphessen a vírus szerzőivel, és fizetni kell a visszafejtésért. Természetesen nem javaslom, hogy felvegye velük a kapcsolatot, és fizessen a kódért sem, hiszen csak anyagilag támogatja őket, és nem tény, hogy megkapja a visszafejtő kulcsot.

A fertőzés egy internetről letöltött program telepítése során történt. A legmeglepőbb az volt, hogy amikor észrevették, hogy a fájlok megváltoztak (változtak az ikonok és a fájlkiterjesztések), nem tettek semmit, és tovább dolgoztak, miközben a ransomware továbbra is titkosított minden fájlt.

Figyelem!!! Ha fájlok titkosítását észleli a számítógépén (módosul az ikonokban, megváltozik a kiterjesztése), azonnal kapcsolja ki számítógépét/laptopját, és keressen megoldást egy másik eszközről (másik számítógépről/laptopról, telefonról, táblagépről), vagy forduljon informatikusokhoz. Minél tovább van bekapcsolva a számítógépe/laptopja, annál több fájlt titkosít.

Általában már meg akartam tagadni, hogy segítsek nekik, de úgy döntöttem, hogy szörfölök az interneten, talán már megjelent a megoldás erre a problémára. A keresés eredményeként sok olyan információt olvastam, hogy nem lehet visszafejteni, hogy vírusirtó cégeknek (Kaspersky, Dr Web vagy Nod32) kell fájlokat küldeni - köszönöm a tapasztalatot.
Találkoztam a Kaspersky segédprogramjával - RectorDecryptor. És lám, a fájlokat feloldották. Nos, először a dolgok...

Az első lépés a ransomware leállítása. Nem talál vírusirtót, mert a telepített Dr Web nem talált semmit. Először is elmentem az indításhoz, és letiltottam az összes indulást (kivéve a vírusirtót). Újraindította a számítógépet. Aztán elkezdtem nézni, hogy milyen fájlok vannak indításkor.

Amint látható, a "Parancs" mezőben jelzi, hol található a fájl, különös figyelmet kell fordítani az aláírás nélküli alkalmazásokra (Gyártó - Nincs adat). Általában megtaláltam és töröltem azokat a rosszindulatú programokat és fájlokat, amelyek még nem voltak egyértelműek számomra. Ezt követően töröltem az ideiglenes mappákat és a böngésző gyorsítótárait, erre a célra a legjobb a programot használni CCleaner .

Aztán elkezdtem visszafejteni a fájlokat, erre letöltöttem visszafejtő program RectorDecryptor . Elindítottam, és megláttam a segédprogram meglehetősen aszkétikus felületét.

Rákattintottam a „Szkennelés indítása” gombra, és jeleztem az összes módosított fájl kiterjesztését.

És jelezte a titkosított fájlt. A RectorDecryptor újabb verzióiban egyszerűen megadhatja a titkosított fájlt. Kattintson a "Megnyitás" gombra.

Tada-a-a-am!!! Csoda történt, és a fájl visszafejtésre került.

Ezt követően a segédprogram automatikusan ellenőrzi az összes számítógépes fájlt + a csatlakoztatott hálózati meghajtón lévő fájlokat, és visszafejti azokat. A visszafejtési folyamat több órát is igénybe vehet (a titkosított fájlok számától és a számítógép sebességétől függően).

Ennek eredményeként az összes titkosított fájlt sikeresen visszafejtették ugyanabba a könyvtárba, ahol eredetileg voltak.

Már csak az összes .AES256 kiterjesztésű fájlt törölni kell; ezt a „Titkosított fájlok törlése a sikeres visszafejtés után” jelölőnégyzet bejelölésével teheti meg, ha a RectorDecryptor ablakban a „Keresési paraméterek módosítása” gombra kattint.

De ne feledje, hogy jobb, ha nem jelöli be ezt a jelölőnégyzetet, mert ha a fájlok visszafejtése nem sikerült, akkor azok törlődnek, és a visszafejtéshez először visszaállítás .

Amikor megpróbáltam törölni az összes titkosított fájlt a szabványos keresés és törlés segítségével, lefagyást és a számítógép rendkívül lassú működését tapasztaltam.

Ezért az eltávolításához a legjobb a parancssor használata, futtatása és írása del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Az én esetemben del "d:\*.AES256" /f /s.

Ne felejtse el törölni az "Attention_open-me.txt" fájlokat, ehhez használja a parancssor parancsát. del"<диск>:\*.<имя файла>"/f/s, Például
del "d:\Attention_open-me.txt" /f /s

Így a vírust legyőzték, és a fájlok helyreálltak. Szeretném figyelmeztetni, hogy ez a módszer nem segít mindenkinek, a lényeg az, hogy a Kapersky ebben a segédprogramban összegyűjtötte az összes ismert visszafejtési kulcsot (azokból a fájlokból, amelyeket a vírussal fertőzöttek küldtek), és brute force módszert alkalmaz válassza ki a kulcsokat és dekódolja azokat. Azok. ha a fájljait egy ismeretlen kulcsú vírus titkosítja, akkor ez a módszer nem segít... el kell küldenie a fertőzött fájlokat vírusirtó cégeknek - Kaspersky, Dr Web vagy Nod32, hogy visszafejtse őket.

Hadd emlékeztessük: A Trojan.Encoder család trójai olyan rosszindulatú programok, amelyek titkosítják a számítógép merevlemezén lévő fájlokat, és pénzt követelnek a visszafejtésükért. A fájlok lehetnek *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar stb.
Nem lehetett személyesen találkozni a vírus teljes családjával, de amint a gyakorlat azt mutatja, a fertőzés, a kezelés és a dekódolás módja mindenki számára megközelítőleg azonos:
1. az áldozat egy melléklettel ellátott spam e-mailen keresztül fertőződik meg (ritkábban fertőző úton),
2. a vírust szinte minden friss adatbázissal rendelkező vírusirtó felismeri és eltávolítja (már),
3. A fájlok visszafejtése a használt titkosítási típusokhoz tartozó jelszókulcsok kiválasztásával történik.
Például a Trojan.Encoder.225 RC4 (módosított) + DES titkosítást, a Trojan.Encoder.263 pedig a BlowFish-t használja CTR módban. Ezek a vírusok személyes tapasztalatok alapján jelenleg 99%-ban megfejthetők.

De nem minden olyan sima. Egyes titkosító vírusok hónapokig tartó folyamatos visszafejtést igényelnek (Trojan.Encoder.102), míg másokat (Trojan.Encoder.283) még a Doctor Web szakemberei sem tudnak megfelelően visszafejteni, ami valójában ebben a cikkben kulcsszerepet játszik.

Most sorrendben.

2013. augusztus elején az ügyfelek megkerestek a Trojan.Encoder.225 vírus által titkosított fájlok problémájával. A vírus akkor még új volt, senki nem tudott semmit, volt 2-3 tematikus Google link a neten. Hosszas internetes keresgélés után kiderül, hogy az egyetlen (talált) szervezet, amely e vírus után a fájlok visszafejtésének problémájával foglalkozik, a Doctor Web cég. Nevezetesen: ajánlásokat ad, segít a technikai támogatás megkeresésekor, saját dekódolókat fejleszt stb.

Negatív visszavonulás.

És megragadva az alkalmat, kettőt szeretnék kiemelni meghízni mínusz Kaspersky Lab. A technikai támogatással felkeresve azt ecsetelték, hogy „dolgozunk a problémán, az eredményről levélben értesítjük”. És mégis, a hátránya, hogy soha nem kaptam választ a megkeresésre. 4 hónap után. A fenébe a reakcióidő. És itt arra törekszem, hogy „a jelentkezés kitöltése után legfeljebb egy óra telik el” szabvány.
Szégyelld magad, Jevgenyij Kasperszkij elvtárs, a Kaspersky Lab vezérigazgatója. De nálam az összes cég jó fele „ül” rajta. Nos, rendben, a licencek 2014. január-márciusban járnak le. Érdemes beszélni arról, hogy megújítom-e a jogosítványomat? ;)

„Egyszerűbb” cégek „szakembereinek” arcát mutatom be, úgymond, NEM a vírusirtó ipar óriásai. Valószínűleg csak „összehúzódtak egy sarokban” és „csendben sírtak”.
Bár mi több, abszolút mindenki teljesen becsavarodott. A vírusirtónak elvileg nem kellett volna megengednie, hogy ez a vírus a számítógépre kerüljön. Főleg a modern technikát figyelembe véve. És „ők”, a VÍRUS-ellenes ipar ÓRIÁSAI, állítólag mindent lefednek, „heurisztikus elemzés”, „megelőző rendszer”, „proaktív védelem”...

HOL VOLTAK EZEK A SZUPER-RENDSZEREK, AMIKOR A HR OSZTÁLYI MUNKAVÁLLALÓ NYITOTT EGY „ÖNÉLETRAJZ” TÉMAKÖRŰ „HALMONNESS” LEVELT???
Mit kellett volna gondolnia az alkalmazottnak?
Ha TE nem tudsz megvédeni minket, akkor miért van egyáltalán szükségünk RÁD?

És minden rendben lenne a Doctor Web-el, de ahhoz, hogy segítséget kapjon, természetesen licenccel kell rendelkeznie bármely szoftvertermékéhez. Amikor kapcsolatba lép a műszaki támogatással (továbbiakban: TS), meg kell adnia a Dr.Web sorozatszámát, és ne felejtse el kiválasztani a „Request for Treatment” (kezelési kérelem) lehetőséget a „Request Category:” sorban, vagy egyszerűen csak el kell juttatnia egy titkosított fájlt a laboratórium. Azonnal leszögezem, hogy a Dr.Web úgynevezett „naplókulcsai”, amelyek kötegekben kerülnek fel az internetre, nem alkalmasak, mivel nem igazolják semmilyen szoftvertermék megvásárlását, és a TP specialisták egyszer-kétszer. Könnyebb megvenni a „legolcsóbb” licencet. Mert ha vállalod a visszafejtést, akkor ez a licenc milliószorosan megtérül. Főleg, ha az „Egyiptom 2012” fotókat tartalmazó mappa egy példányban volt...

1. számú kísérlet

Így, miután n-es összegért vettem egy „licencet 2 PC-re egy évre”, felvettem a kapcsolatot a TP-vel és megadtam néhány fájlt, kaptam egy hivatkozást a te225decrypt.exe 1.3.0.0-s verziójú dekódoló segédprogramhoz. A sikerre számítva elindítom a segédprogramot (az egyik titkosított *.doc fájlra kell mutatni). A segédprogram megkezdi a kiválasztást, és kíméletlenül betölti a régi E5300 DualCore processzort, 2600 MHz (túlhajtva 3,46 GHz-re) / 8192 MB DDR2-800, HDD 160 Gb Western Digital 90-100%-ra.
Itt velem párhuzamosan egy PC core i5 2500k (4,5ghz-re túlhajtva) / 16 ram 1600 / ssd intel kolléga csatlakozik a munkához (ez a cikk végén az eltöltött idő összehasonlítása).
6 nap elteltével a segédprogram arról számolt be, hogy 7277 fájl titkosítását sikerült feloldani. De a boldogság nem tartott sokáig. Az összes fájlt „ferdén” dekódolták. Azaz például a Microsoft Office dokumentumok megnyílnak, de különféle hibákkal: „A Word alkalmazás olyan tartalmat észlelt a *.docx dokumentumban, amelyet nem lehetett olvasni” vagy „A *.docx fájl nem nyitható meg tartalmi hibák miatt .” A *.jpg fájlok is vagy hibával nyílnak meg, vagy a kép 95%-a fakó fekete vagy világoszöld háttérnek bizonyul. *.rar fájlok esetén – „Az archívum váratlan vége”.
Összességében teljes kudarc.

2. számú kísérlet

Az eredményekről írunk a TP-nek. Megkérnek, hogy adjon meg néhány fájlt. Egy nappal később ismét linket adnak a te225decrypt.exe segédprogramhoz, de ezúttal az 1.3.2.0 verziót. Na, induljunk, akkor amúgy sem volt alternatíva. Körülbelül 6 nap telik el, és a segédprogram a „Nem lehet kiválasztani a titkosítási paramétereket” hibával ér véget. Összesen 13 nap „lefolyóba”.
De nem adjuk fel, fontos dokumentumok vannak a *hülye* kliensünktől, alapvető biztonsági mentések nélkül.

3. számú kísérlet

Az eredményekről írunk a TP-nek. Megkérnek, hogy adjon meg néhány fájlt. És amint azt sejteni lehetett, egy nappal később ugyanarra a te225decrypt.exe segédprogramra mutatnak hivatkozást, de az 1.4.2.0 verzió. Nos, indítsuk el, nem volt alternatíva, és nem jelent meg sem a Kaspersky Lab-tól, sem az ESET NOD32-től, sem más vírusirtó-megoldások gyártóitól. És most, 5 nap 3 óra 14 perc (123,5 óra) elteltével a segédprogram azt jelenti, hogy a fájlok visszafejtésre kerültek (egy core i5-ön dolgozó kollégának a visszafejtés mindössze 21 óra 10 percet vett igénybe).
Nos, szerintem volt vagy nem volt. És lám: teljes siker! Minden fájl visszafejtése megfelelően megtörtént. Minden megfelelően nyílik, zár, néz, szerkeszt és ment.

Mindenki boldog, A VÉGE.

„Hol van a történet a Trojan.Encoder.263 vírusról?” – kérdezed. És a következő PC-n, az asztal alatt... volt. Ott minden egyszerűbb volt: írunk a Doctor Web TP-re, megkapjuk a te263decrypt.exe segédprogramot, elindítjuk, várunk 6,5 napot, íme! és minden készen van. Összefoglalva, adhatok néhány tanácsot a kiadásomban található Doctor Web fórumból:

Mi a teendő, ha ransomware vírussal fertőződött meg:
- küldje el a víruslaboratóriumba Dr. A weben vagy a „Gyanús fájl beküldése” részben hozzon létre egy titkosított doc fájlt.
- Várja meg a Dr.Web munkatársának válaszát, majd kövesse az utasításait.

Mit NE tegyél:
- módosítsa a titkosított fájlok kiterjesztését; Ellenkező esetben a sikeresen kiválasztott kulccsal a segédprogram egyszerűen nem „látja” a visszafejtendő fájlokat.
- önállóan, szakértőkkel való konzultáció nélkül használja az adatok visszafejtésére/visszaállítására szolgáló programokat.

Figyelem, az egyéb feladatoktól mentes szerverrel ingyenes szolgáltatásaimat ajánlom az ÖN adatainak visszafejtésére. Szervermag i7-3770K *bizonyos frekvenciákon való túlhajtással, 16 GB RAM és SSD Vertex 4.
A Habr minden aktív felhasználója számára az erőforrásaim használata INGYENES lesz!!!
Írjon nekem személyes üzenetben vagy más elérhetőségeken. Ezen már „megettem a kutyát”. Ezért nem vagyok lusta, hogy egyik napról a másikra visszafejtsem a szervert.
Ez a vírus korunk „csapása”, és „zsákmányt” venni a katonatársaktól nem emberséges. Bár ha valaki „bedob” pár dollárt a 410011278501419-es Yandex.money számlámra, azt nem bánom. De ez egyáltalán nem szükséges. Lépjen kapcsolatba velünk. A jelentkezéseket szabadidőmben dolgozom fel.

Új információ!

2013. december 8-tól ugyanebből a Trojan.Encoder sorozatból egy új vírus kezdett terjedni a Doctor Web besorolása alatt - Trojan.Encoder.263, de RSA titkosítással. Ez a nézet a mai napra vonatkozik (2013.12.20.) nem lehet megfejteni, mivel nagyon erős titkosítási módszert használ.

Mindenkinek ajánlom, aki szenvedett ettől a vírustól:
1. A beépített Windows kereső segítségével keresse meg az összes .perfect kiterjesztést tartalmazó fájlt, és másolja őket külső adathordozóra.
2. Másolja ki a CONTACT.txt fájlt is
3. Helyezze ezt a külső adathordozót a „polcra”.
4. Várja meg, amíg a visszafejtő segédprogram megjelenik.

Mit NE tegyél:
Nem kell bûnözõkkel vacakolni. Ez butaság. Az esetek több mint 50%-ában körülbelül 5000 rubel „befizetése” után SEMMIT nem kap. Nincs pénz, nincs dekódoló.
Az igazságosság kedvéért érdemes megjegyezni, hogy vannak olyan „szerencsések” az interneten, akik visszakapták a fájljaikat a „zsákmány” címén történő visszafejtéssel. De nem szabad megbíznod ezekben az emberekben. Ha vírusíró lennék, az első dolgom az lenne, hogy olyan információkat terjesszenek, mint a „kifizettem, és küldtek egy dekódert!!!”
A „szerencsések” mögött ugyanazok a támadók állhatnak.

Nos... sok szerencsét kívánunk a többi víruskereső cégnek egy fájlok visszafejtésére szolgáló segédprogram létrehozásában a Trojan.Encoder víruscsoport után.

Külön köszönet V.martyanov elvtársnak a Doctor Web fórumról a dekódoló segédprogramok létrehozásán végzett munkájáért.

Ha a rendszert a családok rosszindulatú programjai fertőzték meg Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl vagy Trojan-Ransom.Win32.CryptXXX, akkor a számítógépen lévő összes fájl az alábbiak szerint titkosítva lesz:

• Amikor fertőzött Trojan-Ransom.Win32.Rannoh a nevek és a kiterjesztések a sablonnak megfelelően változnak zárt-<оригинальное_имя>.<4 произвольных буквы> .
• Amikor fertőzött Trojan-Ransom.Win32.Cryakl egy címke kerül a fájltartalom végére (CRYPTENDBLACKDC) .
• Amikor fertőzött Trojan-Ransom.Win32.AutoIt a kiterjesztés a sablonnak megfelelően változik <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Például, [e-mail védett] _.RZWDTDIC.
• Amikor fertőzött Trojan-Ransom.Win32.CryptXXX a kiterjesztés a sablonok szerint változik <оригинальное_имя>.kripta,<оригинальное_имя>. kriptaÉs <оригинальное_имя>. Cryp1.

A RannohDecryptor segédprogramot a fertőzés utáni fájlok visszafejtésére tervezték Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl vagy Trojan-Ransom.Win32.CryptXXX verziók 1 , 2 És 3 .

Hogyan gyógyítható a rendszer

A fertőzött rendszer gyógyítása:

1. Töltse le a RannohDecryptor.zip fájlt.
2. Futtassa a RannohDecryptor.exe fájlt a fertőzött gépen.
3. A fő ablakban kattintson a gombra Kezdje el az ellenőrzést.

1. Adja meg a titkosított és titkosítatlan fájl elérési útját.
   Ha a fájl titkosított Trojan-Ransom.Win32.CryptXXX, adja meg a legnagyobb fájlokat. A visszafejtés csak azonos vagy kisebb méretű fájlok esetén lesz elérhető.
2. Várja meg a titkosított fájlok keresésének és visszafejtésének végét.
3. Indítsa újra a számítógépet, ha szükséges.
4. A titkosított fájlok másolatának törléséhez, mint pl zárt-<оригинальное_имя>.<4 произвольных буквы> A sikeres visszafejtés után válassza a lehetőséget.

Ha a fájl titkosított volt Trojan-Ransom.Win32.Cryakl, akkor a segédprogram a régi helyre menti a fájlt a kiterjesztéssel .decryptedKLR.original_extension. Ha választott A sikeres visszafejtés után törölje a titkosított fájlokat, akkor a visszafejtett fájlt a segédprogram az eredeti néven menti el.

1. Alapértelmezés szerint a segédprogram munkajelentést ad ki a rendszerlemez gyökérkönyvtárába (a lemezre, amelyre az operációs rendszer telepítve van).

   A jelentés neve a következő: UtilityName.Version_Date_Time_log.txt

   Például, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Fertőzött rendszerben Trojan-Ransom.Win32.CryptXXX, a segédprogram korlátozott számú fájlformátumot vizsgál. Ha a felhasználó a CryptXXX v2 által érintett fájlt választ ki, a kulcs visszaállítása sokáig tarthat. Ebben az esetben a segédprogram figyelmeztetést jelenít meg.

Üdvözlök mindenkit, ma elmondom, hogyan lehet visszafejteni a fájlokat egy vírus után a Windows rendszerben. Napjaink egyik legproblémásabb kártevője egy trójai vagy vírus, amely titkosítja a felhasználó meghajtóján lévő fájlokat. Ezen fájlok egy része visszafejthető, mások azonban még nem. A cikkben mindkét helyzetben leírom a lehetséges cselekvési algoritmusokat.

Ennek a vírusnak számos módosítása létezik, de a munka általános lényege, hogy a számítógépre történő telepítés után a dokumentumfájljait, képeit és egyéb potenciálisan fontos fájljait kiterjesztés módosítással titkosítja, ami után üzenetet kap, hogy minden A fájlok titkosítva vannak, és a visszafejtéshez el kell küldenie egy bizonyos összeget a támadónak.

A számítógépen lévő fájlok xtbl-ben vannak titkosítva

A ransomware vírus egyik legújabb változata titkosítja a fájlokat, .xtbl kiterjesztésű és véletlenszerű karakterkészletből álló névvel helyettesítve azokat.

Ezzel egyidejűleg egy readme.txt szöveges fájl kerül a számítógépre, körülbelül a következő tartalommal: „A fájlok titkosítva vannak. Ezek visszafejtéséhez el kell küldenie a kódot az e-mail címre [e-mail védett], [e-mail védett] vagy [e-mail védett]. Ezután megkapja az összes szükséges utasítást. A fájlok saját kezű visszafejtésére tett kísérletek helyrehozhatatlan információvesztéshez vezetnek” (a cím és a szöveg eltérő lehet).

Sajnos jelenleg nincs mód a .xtbl visszafejtésére (amint elérhetővé válik, az utasítások frissítésre kerülnek). Egyes felhasználók, akiknek valóban fontos információk voltak a számítógépükön, vírusirtó fórumokon számolnak be arról, hogy 5000 rubelt vagy más szükséges összeget küldtek a vírus szerzőinek, és kapott egy visszafejtőt, de ez nagyon kockázatos: lehet, hogy nem kap semmit.

Mi a teendő, ha a fájlok .xtbl formátumban voltak titkosítva? Javaslataim a következők (de eltérnek sok más tematikus oldalon találhatóaktól, ahol pl azt javasolják, hogy azonnal kapcsoljuk ki a számítógépet a tápegységről, vagy ne távolítsuk el a vírust. Véleményem szerint ez felesleges, és bizonyos esetekben adott körülmények között akár káros is lehet, de ezt neked kell eldöntened.):

1. Ha tudja, hogyan, szakítsa meg a titkosítási folyamatot a megfelelő feladatok törlésével a feladatkezelőben, és válassza le a számítógépet az internetről (ez a titkosítás szükséges feltétele lehet)
2. Emlékezzen vagy írja le a kódot, amelyet a támadók egy e-mail címre kérnek elküldeni (csak ne a számítógépen lévő szöveges fájlba, minden esetre, hogy az se legyen titkosítva).
3. A Malwarebytes Antimalware, a Kaspersky Internet Security vagy a Dr.Web Cure It próbaverziójával távolítsa el a fájltitkosító vírust (ezek az eszközök mindegyike jó munkát végez). Azt tanácsolom, hogy felváltva használja a listából az első és a második terméket (ha azonban telepítve van egy vírusirtó, a második telepítése „felülről” nem kívánatos, mivel ez problémákat okozhat a számítógépen.)
4. Várja meg, amíg megjelenik egy dekódoló valamelyik víruskereső cégtől. A Kaspersky Lab itt az élen jár.
5. Titkosított fájl példáját és a szükséges kódot is elküldheti a címre [e-mail védett], ha ugyanabból a fájlból van titkosítatlan másolata, kérjük, küldje el azt is. Elméletileg ez felgyorsíthatja a visszafejtő megjelenését.

Mit ne tegyünk:

• Nevezze át a titkosított fájlokat, módosítsa a kiterjesztést, és törölje azokat, ha fontosak az Ön számára.

Valószínűleg csak ennyit mondhatok jelenleg az .xtbl kiterjesztésű titkosított fájlokról.

Trojan-Ransom.Win32.Aura és Trojan-Ransom.Win32.Rakhni

A következő trójai program titkosítja a fájlokat és telepíti a kiterjesztéseket erről a listáról:

• .zárt
• .crypto
• .kraken
• .AES256 (nem feltétlenül ez a trójai, mások is telepítik ugyanazt a kiterjesztést).
• .codercsu@gmail_com
• .bassza meg
• És mások.

A fájlok visszafejtéséhez a vírusok működése után a Kaspersky webhelyen található egy ingyenes RakhniDecryptor segédprogram, amely a http://support.kaspersky.ru/viruses/disinfection/10556 hivatalos oldalon érhető el.

A segédprogram használatához részletes utasítások is találhatók, amelyek bemutatják a titkosított fájlok visszaállítását, amelyekből minden esetben eltávolítanám a „Titkosított fájlok törlése a sikeres visszafejtés után” elemet (bár úgy gondolom, hogy a telepített opcióval minden rendben lesz) .

Ha rendelkezik Dr.Web víruskereső licenccel, használhatja a cég ingyenes visszafejtését a http://support.drweb.com/new/free_unlocker/ oldalon.

További ransomware vírus lehetőségek

Kevésbé elterjedt, de előfordul, hogy a következő trójaiak titkosítják a fájlokat, és pénzt kérnek a visszafejtésért. A megadott hivatkozások nem csak segédprogramokat tartalmaznak a fájlok visszaküldéséhez, hanem azoknak a jeleknek a leírását is, amelyek segítenek megállapítani, hogy Önnél ez a vírus van. Bár általában az optimális módszer a rendszer átvizsgálása a Kaspersky anti-vírus használatával, megtudja a trójai nevét a vállalat besorolása szerint, majd keressen egy segédprogramot ezen a néven.

• Trojan-Ransom.Win32.Rector – ingyenes RectorDecryptor visszafejtő segédprogram és a használati utasítás itt érhető el: http://support.kaspersky.ru/viruses/disinfection/4264
• A Trojan-Ransom.Win32.Xorist egy hasonló trójai, amely egy ablakban kéri, hogy küldjön fizetett SMS-t vagy lépjen kapcsolatba e-mailben, hogy megkapja a visszafejtési utasításokat. A titkosított fájlok visszaállítására vonatkozó utasítások és az ehhez szükséges XoristDecryptor segédprogram a következő oldalon érhető el: http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – RannohDecryptor segédprogramhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 és más azonos nevű (ha a Dr.Web víruskeresőn vagy a Cure It segédprogramon keresztül keres) és különböző számokkal – próbáljon meg a trójai neve alapján keresni az interneten. Néhányukhoz vannak visszafejtő segédprogramok a Dr.Webtől, ha nem találta a segédprogramot, de rendelkezik Dr.Web licenccel, használhatja a hivatalos oldalt: http://support.drweb.com/new/free_unlocker /
• CryptoLocker - a fájlok visszafejtéséhez a CryptoLocker működése után használhatja a http://decryptcryptolocker.com webhelyet - a mintafájl elküldése után kulcsot és segédprogramot kap a fájlok helyreállításához.

Nos, a legfrissebb hírekből - a Kaspersky Lab a holland bűnüldöző tisztekkel közösen kifejlesztette a Ransomware Decryptor programot (http://noransom.kaspersky.com) a fájlok CoinVault utáni visszafejtésére, de ez a ransomware még nem található meg a szélességi köreinken.

Egyébként, ha hirtelen kiderül, hogy van hozzáfűznivalója (mert lehet, hogy nincs időm figyelemmel kísérni, hogy mi történik a visszafejtési módszerekkel), jelezze megjegyzésekben, ez az információ hasznos lesz más felhasználók számára, akik problémával szembesült.

Utasítás

Hívja meg a Microsoft Windows rendszer főmenüjét a „Start” gombra kattintva, és lépjen a „Minden program” elemre a korábban titkosított fájlok visszafejtésének végrehajtásához.

Hívja meg a feloldandó fájl, mappa vagy lemez helyi menüjét a jobb gombbal kattintva, és válassza a „Tulajdonságok” lehetőséget.

Lépjen a megnyíló párbeszédpanel „Általános” lapjára, és válassza ki az „Egyéb” parancsot.

Törölje a jelet a Tartalom titkosítása az adatok védelme érdekében jelölőnégyzetből, és kattintson az OK gombra a kiválasztott módosítások alkalmazásához. Emlékeztetni kell arra, hogy a titkosítás törlésekor a mappák, a titkosított fájlok és almappák titkosítva maradnak, hacsak másként nem jelezzük, és a visszafejtett mappa újonnan létrehozott fájljaira és almappáira nem vonatkozik a titkosítási eljárás.

Töltse le az ingyenes te19decrypt.exe eszközt a Dr.Web víruskereső alkalmazás fejlesztőjének hivatalos webhelyéről, és futtassa a segédprogram végrehajtható fájlját a Trojan.Encoder vírus által titkosított fájlok visszafejtésének műveletéhez. (Ez a vírus egy zsarolóprogram, amely titkosítja a felhasználó fájljait, majd törli magát. Ez a crypted.txt szöveges fájlt hagyja a rendszermeghajtón, amely különböző összegű pénzátutalási kérelmet tartalmaz a sérült fájlok visszafejtésére.)

Kattintson a „Folytatás” gombra a program főablakában, és fogadja el a c:crypted.txt kulcsfájl helyének manuális megadására vonatkozó javaslatot.

Adja meg a kívánt fájl teljes elérési útját a Megnyitás párbeszédpanelen, és kattintson az OK gombra a parancs megerősítéséhez.

jegyzet

Ne próbálja meg saját maga törölni a:\crypted.txt fájlt, mert a vírus által titkosított fájlok visszafejtése lehetetlenné válik!

Források:

• Fájl vagy mappa visszafejtése
• Hogyan lehet visszafejteni a Trojan.Encoder vírus által titkosított fájlokat?
• a fájl titkosítva van
• EFS fájlok visszafejtése

A fájlok titkosítását belső Windows XP programokkal csak akkor tudja visszafejteni, ha a partíciók NTFS formátumban vannak formázva, és a fájlok nem rendszerfájlok vagy nem tömörítettek. Az egész eljárás a „Tartalom titkosítása az adatok védelme érdekében” mező bejelölésének törlésére vezet, amely a fájlok tulajdonságait tükröző elemek egyike. Az Exploreren keresztül lehet belépni.

Szükséged lesz

• A Windows XP titkosítási rendszer, az Explorer belső erőforrásai

Utasítás

Jelentkezzen be a Windows Intézőbe. Ehhez kattintson a „Start” gombra, menjen végig az „Összes”, „Normál”, „Explorer” láncon. Egy másik lehetőség az egérgomb, a kurzor a Start gombon van. Ezután nyomja meg ismét a jobb egérgombot úgy, hogy a kurzor a kívánt fájl fölé kerül. Nyissa meg a helyi menüt. Válassza ki a "Tulajdonságok" parancsot a megjelenő opciók listájából.

Lépjen az „Általános” fülre, válassza a „Speciális” lehetőséget. Törölje a jelet a „Tartalom titkosítása az adatok védelme érdekében” jelölőnégyzetből.

Videó a témáról

jegyzet

Ez az eljárás csak Windows XP rendszeren használható, és csak NTFS-formátumú partíciókkal működik. Ebben az esetben a titkosítási rendszer belső erőforrásai aktiválódnak.

Hasznos tanács

A tömörített vagy rendszerfájlok nincsenek titkosítva, ezért visszafejtésre kerülnek. Egy ilyen eljárás végrehajtásához először vissza kell állítania a tömörített fájlokat normál formátumban.
Ha egy teljes mappa titkosítva van, akkor a hozzá utólag hozzáadott összes fájl is titkosítva lesz. Ebben az esetben a fájl dekódolása a jelszó eltávolítását jelenti a teljes mappából.
A titkosítást és a visszafejtést ugyanazon adminisztrátori fiók alatt kell végrehajtani.

Források:

• A fórum egy témája a fájl visszafejtésének folyamatát tárgyalja.

A fájlnév-kiterjesztés egy fájlnév végéhez hozzáadott karakterkészlet, amely meghatározza, hogy melyik program nyitja meg a fájlt. A Windows alapértelmezés szerint elrejti a fájlnév-kiterjesztéseket, de láthatóvá teheti a kiterjesztéseket.

Utasítás

A megnyíló „Mappabeállítások” ablakban lépjen a „Nézet” fülre, és törölje a jelet a „Regisztrált típusok bővítményeinek elrejtése” jelölőnégyzetből. fájlokat».
kattintson az "OK" gombra

A fordított eljárás (jelölje be a „Regisztrált fájltípusok kiterjesztésének elrejtése” jelölőnégyzetet) elrejti a fájlkiterjesztéseket. A képen láthat egy példát a fájlok megjelenítésére az Intézőben, a kiterjesztések be- és kikapcsolásával.

Videó a témáról

Források:

• Hogyan lehet megváltoztatni a fájlkiterjesztést a Windows 10 rendszerben, hogy működjön?

A modern világ jelen pillanatában az információs technológia lehetővé teszi az információk titkosítását. Vannak olyan programok is, amelyek képesek dekódolni az adatokat. Az adatdekódolás lehetővé teszi játékok és programok indítását. Például az ExeLab TextCoder biztosítja a dokumentumok és egyéb fájlok kódolását és dekódolását. A jelszó ismerete nélkül lehetetlen kideríteni az ott tárolt információkat.

Szükséged lesz

• PC, ExeLab TextCoder program

Utasítás

Az adatok dekódolásához vagy kódolásához töltse le az ExeLab TextCoder speciális programot. Telepítse. Indítsa el az ExeLab TextCoder programot. Megjelenik a főablak. A kódoláshoz írja be az "1. ablakba". Balra van. Kattintson a "Normál szöveg" lehetőségre, és a titkosított információ megjelenik a "2. ablakban".

A dekódoláshoz írja be a szöveget az "Ablakba", majd kattintson a "Decode from UTF8" gombra. Megkapod az eredeti szöveget.

A TCODE használható dekódolásra. Visszaállítja a szöveget. A TCODE az internetről elérhető. Telepítse a számítógépére, és futtassa. Megnyílik a főablak. Írja be a kívánt szöveget, majd kattintson az "Újrakódolás" gombra. Ennek eredményeként 100%-ban felismert információ jelenik meg.

Az adatokat a Stirlitz program is felismeri. Töltse le az internetről, és töltse be a számítógépére. Ha kinyitja, megjelenik egy ablak. Van ott egy eszköztár.

Nyissa meg a fájlt. Keresse meg a "Megnyitás" elemet, és válassza ki a kívánt fájlt.

A "Szerkesztés" oszlopban válassza a "Dekódolás" lehetőséget. Titkosított szöveget fog kapni. A kódolások típusai az eszköztáron egy sorban találhatók. Bármelyiket választhatja.

Az adatok dekódolásához tegye ugyanezt. Kattintson a „Dekódolás” gombra, és a válasz orosz nyelvű szöveg lesz. A Stirlitz programból azonnal kinyomtathatja az információkat. Ehhez válassza ki a „Nyomtatás” oszlopot a Fájlban, és kész.

Egyes vírusok titkosítják a felhasználói fájlokat, ami után a normál eszközökkel való hozzáférés korlátozott lehet. A normál üzemmód visszaállítása szoftveres beavatkozással történik.

Utasítás

Végezzen további vírusellenőrzést a számítógépen. Ezek után töltse le az egyik trójai ellenes programot az internetről. Erre akkor van szükség, ha a rosszindulatú program el volt rejtve a víruskereső elől. Végezzen vizsgálatot, majd keresse meg a titkosított fájlokat.

Készítsen biztonsági másolatot róluk minden esetre, és győződjön meg arról, hogy nincs fenyegetés a számítógépen. Írja le a számítógépén található trójaiak teljes nevét. Erre azért van szükség, hogy a későbbiekben hozzáférhessünk a fájltitkosítási módszerekről szóló információkhoz, mivel az általános célú segédprogramok itt valószínűleg nem megfelelőek. Ugyanezen okból kifolyólag ne rohanjon eltávolítani a rosszindulatú programokat a számítógépről, amikor először átvizsgálja azt.

Töltsön le bármilyen segédprogramot a vírusfertőzés utáni fájlok visszafejtéséhez. Az ilyen segédprogramok általában elérhetők a víruskereső rendszer fejlesztőinek hivatalos webhelyein. Ezenkívül a program kiválasztásakor vegye figyelembe a titkosítást végrehajtó trójai nevét, mivel sokan különböző módszereket használnak.

A legjobb, ha az Ön által ismert biztonsági rendszerfejlesztők webhelyeiről tölti le, mivel ismét fennáll a rosszindulatú programokkal való találkozás veszélye. Általában ezeknek a segédprogramoknak van egy próbaidőszaka, amely alatt kezelésre használhatók.

A számítógépen futó letöltött segédprogramban a rendszer utasításait követve válassza ki a vírussal titkosított fájlokat, és a rendszer utasításait követve hajtsa végre a szükséges műveleteket. Ezt követően ellenőrizze újra a vírusokat, különös tekintettel a visszafejtett fájlokra.

Ezt követően telepítsen megbízható, naprakész vírusirtó szoftvert a számítógépére, hogy a jövőben ne fordulhasson elő hasonló helyzet.

Videó a témáról

Hasznos tanács

Használjon víruskereső szoftvert.

Annak érdekében, hogy megvédje személyes adatait a kíváncsi szemektől, sok felhasználó jelszót állít be a Microsoft Office- vagy PDF-fájlokban. Ugyanakkor túlzásba viheti, és megvédheti a dokumentumot magától, ha elfelejti a kódot. Ebben az esetben komoly problémák merülhetnek fel, különösen, ha a fájl értékes információkat tartalmaz.

Szükséged lesz

• - Speciális PDF jelszó-helyreállító program;
• - Accent WORD jelszó-helyreállító program.

Utasítás

A problémát speciális programok segítségével oldják meg. Az alkalmazást attól függően kell használni, hogy milyen fájltípushoz kell jelszót találnia. Ezután megvizsgáljuk a leggyakoribb formátumú kódolt fájlok megnyitásának eljárását.

Ahhoz, hogy a kódot a PDF fájlokhoz illessze, le kell töltenie az Advanced PDF Password Recovery programot, majd telepítenie kell a számítógépére.

Indítsa el az Advanced PDF Password Recovery programot. Most a helyzettől függően kell cselekednie. Ha ismeri a jelszót, lépjen a Hosszúság fülre. Megjelenik egy ablak, amelyben beállíthatja a jelszó karaktereinek számát. A „Minimális és maximális karakterszám” sorban ugyanazt a számot kell beállítania, amely megegyezik a jelszó karaktereinek számával.

Ha nem ismeri a jelszó karakterszámát, a „Minimális érték” sorban állítson be 1-et, a „Maximális érték” sorba pedig 10-et. Nincs értelme többet beállítani. Ezt követően kattintson a Megnyitás gombra.

Megjelenik egy áttekintő ablak. Adja meg a fájl elérési útját. Jelölje ki a bal egérgombbal, majd kattintson a „Megnyitás” gombra. Ezután a program főmenüjében kattintson a Start gombra. Megkezdődik a fájl kódjának kiválasztásának folyamata. Kérjük, vegye figyelembe, hogy ez a művelet sokáig tarthat. Befejezése után a program ablakában egy jelentés jelenik meg, amely tartalmazza a kódot.

A Microsoft Word fájlok jelszavainak megkereséséhez használja az Accent WORD Password Recovery alkalmazást. Indítsa el az alkalmazást. Válassza az Alkalmazás beállítása lehetőséget. Ezután állítsa a Prioritás sort Magasra. Kattintson az OK gombra.

Ezután a program menüjéből válassza a Fájl lehetőséget, majd a Megnyitás lehetőséget. Adja meg a fájl elérési útját. Válassza ki, és kattintson a "Megnyitás" gombra. Megkezdődik a kódválasztási procedúra, melynek befejezése után a jelentésben láthatja.

A professzionális szoftverekkel kódolt adatok megfejtéséhez vagy ugyanaz a szoftvercsomag, vagy hatalmas számítási teljesítmény és még fejlettebb programok szükségesek. A kódoláshoz azonban gyakrabban használnak hozzáférhetőbb eszközöket, amelyek sokkal könnyebben dekódolhatók.

Utasítás

A webkészítés során leggyakrabban az adattitkosítás legelérhetőbb módszerét alkalmazzák - a programozási nyelvek beépített funkcióinak felhasználásával. A szerveroldali nyelvek közül ma a legelterjedtebb a PHP, amely a base64_encode függvényt használja titkosításra. A vele kódolt adatok az inverz függvény - base64_decode - segítségével dekódolhatók. Ha képes PHP szkriptek futtatására a számítógépén vagy webszerverén, hozzon létre egy egyszerű kódot:

A base64_decode függvény idézőjelei közé helyezze a visszafejteni kívánt adatsort. Ezután mentse el a kódot egy php kiterjesztésű fájlba, és nyissa meg ezt az oldalt egy böngészőn keresztül - a visszafejtett adatokat egy üres oldalon fogja látni.

Ha megnézi a fájlok listáját a számítógépén, látni fogja, hogy a fájlnevek két részből állnak, amelyeket egy pont választ el. Nyilvánvalóan az első rész a fájlnév, de a második - a kiterjesztés - legtöbbször egy első ránézésre értelmetlen betűkészletből áll.

Miért van szükség a kiterjesztésekre?

A kiterjesztés bármely fájl azonos kötelező attribútuma, mint a neve. A helyzet az, hogy az operációs rendszer nem képes intuitív módon meghatározni, hogy egy fájl név szerint megfelel-e egy adott programnak. A fájlnév-kiterjesztés célja, hogy az operációs rendszer „megértse”, melyik programnak kell feldolgoznia ezt a fájlt. Ezenkívül a rendszer szempontjából a kiterjesztés az, amely a fájlformátumról és a vele végrehajtandó műveletekről tartalmaz információkat.

Manapság több ezer fájlformátum és hasonló számú névkiterjesztés létezik. Egyes kiterjesztéseket hagyományosan szinte a személyi számítógépek elterjedésének kezdetétől használnak, például az .exe kiterjesztést (angolul executable - executable), amely egy adott programot elindító fájlokat jelöl, míg mások az utóbbi időben jelentek meg. A tény az, hogy sok szoftvertermék olyan egyedi kiterjesztésű segédfájlokat hoz létre a munkájához, amelyeket egyetlen más program sem tud felismerni. És ahogy egyre több program jelenik meg a piacon, a bővítmények száma napról napra nő. Emellett folyamatosan növekszik a különféle típusú fájlformátumok száma: hang, grafika, videó, és ezeknek a formátumoknak mindegyikéhez saját kiterjesztés szükséges.

A felhasználónak nem kell emlékeznie az összes fájlnév-kiterjesztésre és a hozzájuk társított programra. A legtöbb leggyakoribb formátumot és kiterjesztést az operációs rendszer automatikusan azonosítja, így a felhasználó nem gondolhat arra, hogy melyik programmal nyissa meg az adott fájlt.

Bővítmények visszafejtése

A modern, grafikus héjjal rendelkező operációs rendszerekben a felismert fájlkiterjesztések gyakran el vannak rejtve, és a fájlformátum és a megfelelő program egy adott ikonnal jelenik meg. A probléma az, hogy ugyanaz a program többféle fájltípusnak felelhet meg, ezért néha kényelmesebb, ha továbbra is engedélyezi a kiterjesztések megjelenítését. A Windows operációs rendszer családban ezt úgy teheti meg, hogy a Start gomb menüjéből kiválasztja a „Vezérlőpultot”, majd a „Mappabeállítások” ikonra kattint. A „Nézet” lapon meg kell találnia a „Regisztrált fájltípusok kiterjesztésének elrejtése” elemet, és törölnie kell a jelölést. Most látni fogja az összes bővítményt.

Egy adott kiterjesztés jelentésének megfejtése nem biztos, hogy olyan egyszerű, különösen, ha egy kevéssé ismert program támogatási fájlformátumához készült, de a legnépszerűbb névkiterjesztések listája megtalálható az interneten. Vannak speciális oldalak, amelyek nem csak azt mondják meg, hogy melyik programnak van szüksége az Önt érdeklő kiterjesztésű fájlra, hanem segítenek megérteni a kiterjesztést alkotó betűk megfejtését is. Az esetek túlnyomó többségében a kiterjesztés vagy egy rövidítés (például a népszerű képfájl-formátum .jpeg kiterjesztése a Joint Photography Experts Group rövidítése, amely a formátumot kifejlesztő cég neve), vagy egy rövidítés. . Például a .dat kiterjesztés, amelyet gyakran használnak információs fájlok támogatására, az angol data szó rövidítése, amely „adat”-t jelent.

Videó a témáról