Ako dešifrovať súbory zašifrované vírusom. Šifrovací vírus. Ako odstrániť vírus a obnoviť zašifrované súbory. Oplatí sa platiť za dešifrovací kľúč?

A každým rokom pribúdajú nové a nové... stále zaujímavejšie. Najpopulárnejší vírus poslednej doby (Trojan-Ransom.Win32.Rector), ktorý zašifruje všetky vaše súbory (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar atď. ..d.). Problémom je, že dešifrovanie takýchto súborov je mimoriadne náročné a časovo náročné, v závislosti od typu šifrovania môže dešifrovanie trvať týždne, mesiace alebo dokonca roky. Podľa môjho názoru je tento vírus v súčasnosti vrcholom nebezpečenstva medzi ostatnými vírusmi. Nebezpečné je to najmä pre domáce počítače/notebooky, keďže väčšina používateľov svoje dáta nezálohuje a pri šifrovaní súborov o všetky dáta príde. Pre organizácie je tento vírus menej nebezpečný, pretože si vytvárajú záložné kópie dôležitých údajov a v prípade infekcie ich jednoducho obnovia, prirodzene po odstránení vírusu. S týmto vírusom som sa stretol viackrát, popíšem ako sa to stalo a k čomu to viedlo.

Prvýkrát som sa stretol s vírusom, ktorý šifruje súbory, začiatkom roku 2014. Kontaktoval ma správca z iného mesta a povedal mi tú najnepríjemnejšiu správu - Všetky súbory na súborovom serveri sú šifrované! Infekcia sa vyskytla elementárnym spôsobom - účtovné oddelenie dostalo list s prílohou „Zákon o niečom tam.pdf.exe“, ako ste pochopili, otvorili tento súbor EXE a proces sa začal... zašifrovalo všetky osobné súbory na počítač a prešiel na súborový server (bol pripojený sieťovou jednotkou). S administrátorom sme sa začali hrabať po informáciách na internete...vtedy nebolo riešenie...všetci písali, že existuje taký vírus, nevedelo sa, ako sa to má liečiť, súbory sa nedali dešifrovať napr. zaslanie súborov do Kaspersky, Dr Web alebo Nod32 by pomohlo. Môžete ich odoslať iba vtedy, ak používate ich antivírusové programy (licencované). Poslali sme súbory Dr Webovi a Nod32, výsledky boli 0, nepamätám si, čo povedali Dr Webovi, a Nod 32 bol úplne tichý a nedostal som od nich žiadnu odpoveď. Vo všeobecnosti bolo všetko smutné a nikdy sme nenašli riešenie, niektoré súbory sme obnovili zo zálohy.

Druhý príbeh – práve druhý deň (v polovici októbra 2014) mi volala organizácia, ktorá ma požiadala o vyriešenie problému s vírusom; ako viete, všetky súbory v počítači boli zašifrované. Tu je príklad, ako to vyzeralo.

Ako vidíte, ku každému súboru bola pridaná prípona *.AES256. V každom priečinku bol súbor „Attention_open-me.txt“, ktorý obsahoval kontakty na komunikáciu.

Pri pokuse o otvorenie týchto súborov sa otvoril program s kontaktmi, aby kontaktovali autorov vírusu, aby zaplatili za dešifrovanie. Samozrejme neodporúčam ich kontaktovať, ani platiť za kód, keďže ich podporíte len finančne a nie je pravda, že dostanete dešifrovací kľúč.

K infekcii došlo počas inštalácie programu stiahnutého z internetu. Najprekvapivejšie bolo, že keď si všimli, že sa súbory zmenili (ikony a prípony súborov sa zmenili), neurobili nič a pokračovali v práci, zatiaľ čo ransomvér naďalej šifroval všetky súbory.

Pozor!!! Ak spozorujete na svojom počítači šifrovanie súborov (zmena ikon, zmena prípony), okamžite vypnite počítač/notebook a hľadajte riešenie na inom zariadení (z iného počítača/notebooku, telefónu, tabletu) alebo kontaktujte IT špecialistov. Čím dlhšie je váš počítač/notebook zapnutý, tým viac súborov zašifruje.

Vo všeobecnosti som im už chcel odmietnuť pomôcť, ale rozhodol som sa surfovať po internete, možno sa už objavilo riešenie tohto problému. V dôsledku hľadania som sa dočítal veľa informácií, že sa to nedá dešifrovať, že treba posielať súbory antivírusovým spoločnostiam (Kaspersky, Dr Web alebo Nod32) - vďaka za skúsenosť.
Narazil som na utilitu od Kaspersky - RectorDecryptor. A hľa, súbory boli dešifrované. No najprv to...

Prvým krokom je zastaviť ransomvér. Nenájdete žiadne antivírusy, pretože nainštalovaný Dr Web nič nenašiel. V prvom rade som išiel do štartu a zakázal som všetky štarty (okrem antivírusu). Reštartoval počítač. Potom som sa začal pozerať na to, aké súbory boli pri spustení.

Ako môžete vidieť v poli "Príkaz" je uvedené, kde sa súbor nachádza, osobitnú pozornosť je potrebné odstrániť pri aplikáciách bez podpisu (Výrobca - Žiadne údaje). Vo všeobecnosti som našiel a odstránil malvér a súbory, ktoré mi ešte neboli jasné. Potom som vymazal dočasné priečinky a vyrovnávaciu pamäť prehliadača; na tieto účely je najlepšie použiť program CCleaner .

Potom som začal dešifrovať súbory, ktoré som si stiahol dešifrovací program RectorDecryptor . Spustil som to a videl som dosť asketické rozhranie pomôcky.

Kliknul som na „Spustiť skenovanie“ a označil som príponu, ktorú mali všetky zmenené súbory.

A označil zašifrovaný súbor. V novších verziách RectorDecryptor môžete jednoducho zadať šifrovaný súbor. Kliknite na tlačidlo "Otvoriť".

Tada-a-a-am!!! Stal sa zázrak a súbor bol dešifrovaný.

Potom pomôcka automaticky skontroluje všetky počítačové súbory + súbory na pripojenom sieťovom disku a dešifruje ich. Proces dešifrovania môže trvať niekoľko hodín (v závislosti od počtu zašifrovaných súborov a rýchlosti vášho počítača).

Výsledkom bolo, že všetky zašifrované súbory boli úspešne dešifrované do rovnakého adresára, kde boli pôvodne umiestnené.

Zostáva len vymazať všetky súbory s príponou .AES256, čo je možné vykonať zaškrtnutím políčka „Vymazať zašifrované súbory po úspešnom dešifrovaní“, ak kliknete na „Zmeniť parametre kontroly“ v okne RectorDecryptor.

Pamätajte však, že je lepšie nezačiarknuť toto políčko, pretože ak súbory nie sú úspešne dešifrované, budú vymazané a ak sa chcete pokúsiť ich dešifrovať znova, musíte najprv obnoviť .

Keď som sa pokúsil odstrániť všetky zašifrované súbory pomocou štandardného vyhľadávania a vymazania, narazil som na zamrznutie a extrémne pomalú prevádzku počítača.

Preto na jeho odstránenie je najlepšie použiť príkazový riadok, spustiť ho a písať del"<диск>:\*.<расширение зашифрованного файла>"/f/s. V mojom prípade del "d:\*.AES256" /f /s.

Nezabudnite vymazať súbory "Attention_open-me.txt", na to použite príkaz na príkazovom riadku del"<диск>:\*.<имя файла>"/f/s, Napríklad
del "d:\Attention_open-me.txt" /f /s

Vírus bol teda porazený a súbory boli obnovené. Chcem vás varovať, že táto metóda nepomôže každému, ide o to, že Kapersky v tomto nástroji zhromaždil všetky známe dešifrovacie kľúče (zo súborov, ktoré poslali infikovaní vírusom) a používa metódu hrubej sily na vyberte kľúče a dešifrujte ich. Tie. ak sú vaše súbory zašifrované vírusom s neznámym kľúčom, tak táto metóda nepomôže... infikované súbory budete musieť poslať antivírusovým spoločnostiam – Kaspersky, Dr Web alebo Nod32, aby ich dešifrovali.

Pripomeňme si: Trójske kone z rodiny Trojan.Encoder sú škodlivé programy, ktoré šifrujú súbory na pevnom disku počítača a požadujú peniaze za ich dešifrovanie. Súbory môžu byť *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar atď.
Nebolo možné osobne stretnúť celú rodinu tohto vírusu, ale ako ukazuje prax, spôsob infekcie, liečby a dekódovania je pre každého približne rovnaký:
1. obeť je infikovaná prostredníctvom nevyžiadanej pošty s prílohou (menej často infekčnými prostriedkami),
2. vírus je rozpoznaný a odstránený (už) takmer každým antivírusom s čerstvými databázami,
3. súbory sa dešifrujú výberom kľúčov hesiel pre použité typy šifrovania.
Napríklad Trojan.Encoder.225 používa šifrovanie RC4 (upravené) + DES a Trojan.Encoder.263 používa BlowFish v režime CTR. Tieto vírusy sú v súčasnosti na 99 % dešifrovateľné na základe osobných skúseností.

Ale nie všetko je také hladké. Niektoré šifrovacie vírusy vyžadujú mesiace nepretržitého dešifrovania (Trojan.Encoder.102), zatiaľ čo iné (Trojan.Encoder.283) nedokážu správne dešifrovať ani špecialisti z Doctor Web, ktorý v skutočnosti zohráva kľúčovú úlohu v tomto článku.

Teraz po poriadku.

Začiatkom augusta 2013 ma klienti kontaktovali s problémom súborov zašifrovaných vírusom Trojan.Encoder.225. Vírus bol v tom čase nový, nikto nič nevedel, na internete boli 2-3 tematické odkazy Google. Po zdĺhavom hľadaní na internete sa ukazuje, že jedinou (nájdenou) organizáciou, ktorá sa problémom dešifrovania súborov po tomto víruse zaoberá, je spoločnosť Doctor Web. Konkrétne: dáva odporúčania, pomáha pri kontaktovaní technickej podpory, vyvíja vlastné dešifrovače atď.

Negatívny ústup.

A pri tejto príležitosti by som rád poukázal na dva priberať mínus Kaspersky Lab. Čo pri kontaktovaní ich technickej podpory odmietnu „na tomto probléme pracujeme, o výsledkoch vás budeme informovať poštou“. Nevýhodou však je, že som nikdy nedostal odpoveď na žiadosť. Po 4 mesiacoch. Sakra ten reakčný čas. A tu sa snažím o štandardné „nie viac ako jednu hodinu od dokončenia žiadosti“.
Hanba vám, súdruh Evgenij Kaspersky, generálny riaditeľ Kaspersky Lab. Ale „sedí“ na tom dobrá polovica všetkých spoločností. Dobre, platnosť licencií vyprší v januári až marci 2014. Oplatí sa hovoriť o tom, či si obnovím licenciu? ;)

Predstavujem tváre „špecialistov“ z „jednoduchších“ spoločností, NIE gigantov antivírusového priemyslu. Pravdepodobne sa len „schúlili v rohu“ a „potichu plakali“.
Aj keď, čo viac, úplne všetci boli úplne pobláznení. Antivírus by v zásade nemal dovoliť, aby sa tento vírus dostal do počítača. Najmä vzhľadom na moderné technológie. A „oni“, GIANTI antiVÍRUSOVÉHO priemyslu, majú vraj všetko pokryté, „heuristickú analýzu“, „preemptívny systém“, „proaktívnu ochranu“...

KDE BOLI VŠETKY TIETO SUPER-SYSTÉMY, KEĎ PRACOVNÍK HR ODBORU OTVORIL LIST “HALMONNESS” S PREDMETOM “RESUME”???
Čo si mal zamestnanec myslieť?
Ak nás nemôžete ochrániť VY, tak prečo VÁS vôbec potrebujeme?

A s Doctor Web by bolo všetko v poriadku, ale ak chcete získať pomoc, musíte mať, samozrejme, licenciu na ktorýkoľvek z ich softvérových produktov. Pri kontaktovaní technickej podpory (ďalej len TS) musíte uviesť sériové číslo Dr.Web a v riadku „Kategória žiadosti:“ nezabudnúť vybrať „žiadosť o ošetrenie“ alebo im jednoducho poskytnúť zašifrovaný súbor na laboratórium. Okamžite urobím výhradu, že takzvané „kľúče denníka“ Dr.Web, ktoré sú hromadne zverejňované na internete, nie sú vhodné, pretože nepotvrdzujú nákup žiadnych softvérových produktov a sú odstránené TP špecialistov raz-dva. Je jednoduchšie kúpiť „najlacnejšiu“ licenciu. Pretože ak sa pustíte do dešifrovania, táto licencia sa vám vráti miliónkrát. Najmä ak zložka s fotografiami „Egypt 2012“ bola v jednej kópii...

Pokus č.1

Po zakúpení „licencie pre 2 počítače na rok“ za n-objem peňazí, kontaktovaní TP a poskytnutí niektorých súborov som dostal odkaz na dešifrovaciu pomôcku te225decrypt.exe verzie 1.3.0.0. V očakávaní úspechu spustím nástroj (musíte ho nasmerovať na jeden zo zašifrovaných súborov *.doc). Utilita začína výber, nemilosrdne zaťažuje starý procesor E5300 DualCore, 2600 MHz (pretaktovaný na 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital na 90-100%.
Tu sa paralelne so mnou pripája k dielu kolega na PC core i5 2500k (pretaktovaný na 4,5ghz) / 16 ram 1600 / ssd intel (to je pre porovnanie stráveného času na konci článku).
Po 6 dňoch nástroj oznámil, že bolo dešifrovaných 7277 súborov. Šťastie však netrvalo dlho. Všetky súbory boli dešifrované „krivo“. Teda napríklad dokumenty Microsoft Office otvorené, ale s rôznymi chybami: „Aplikácia Word zistila obsah v dokumente *.docx, ktorý sa nedá prečítať“ alebo „Súbor *.docx nie je možné otvoriť z dôvodu chýb v obsahu .“ Súbory *.jpg sa tiež otvárajú buď s chybou, alebo sa ukáže, že 95 % obrázka tvorí vyblednuté čierne alebo svetlozelené pozadie. Pre súbory *.rar - „Neočakávaný koniec archívu“.
Celkovo úplné zlyhanie.

Pokus č.2

O výsledkoch píšeme do TP. Požiadajú vás o poskytnutie niekoľkých súborov. O deň neskôr opäť poskytujú odkaz na utilitu te225decrypt.exe, tentokrát však vo verzii 1.3.2.0. No, začnime, vtedy aj tak nebola žiadna alternatíva. Uplynie približne 6 dní a pomôcka sa skončí s chybou „Nie je možné vybrať parametre šifrovania“. Celkovo 13 dní „dole vodou“.
My sa však nevzdávame, dôležité dokumenty od nášho *hlúpeho* klienta máme bez základných záloh.

Pokus č.3

O výsledkoch píšeme do TP. Požiadajú vás o poskytnutie niekoľkých súborov. A ako ste možno uhádli, o deň neskôr poskytujú odkaz na rovnaký nástroj te225decrypt.exe, ale verzie 1.4.2.0. Nuž, poďme na to, alternatíva nebola a neobjavila sa ani od Kaspersky Lab, ani od ESET NOD32, ani od iných výrobcov antivírusových riešení. A teraz, po 5 dňoch 3 hodinách 14 minútach (123,5 hodinách), nástroj hlási, že súbory boli dešifrované (kolegovi na core i5 trvalo dešifrovanie iba 21 hodín 10 minút).
No, myslím, že to bolo alebo nebolo. A hľa: úplný úspech! Všetky súbory sú správne dešifrované. Všetko sa správne otvára, zatvára, vyzerá, upravuje a ukladá.

Všetci sú šťastní, KONIEC.

"Kde je príbeh o víruse Trojan.Encoder.263?", pýtate sa. A na ďalšom PC, pod stolom... bolo. Všetko tam bolo jednoduchšie: Napíšeme na Doctor Web TP, získame utilitu te263decrypt.exe, spustíme ju, počkáme 6,5 dňa, voila! a všetko je pripravené. Aby som to zhrnul, môžem vám dať pár rád z fóra Doctor Web v mojom vydaní:

Čo robiť, ak ste infikovaní vírusom ransomware:
- poslať do vírusového laboratória Dr. Web alebo v časti „Odoslať podozrivý súbor“ vytvorte zašifrovaný súbor doc.
- Počkajte na odpoveď od zamestnanca Dr.Web a potom postupujte podľa jeho pokynov.

Čo NEROBIŤ:
- zmeniť príponu šifrovaných súborov; V opačnom prípade s úspešne vybraným kľúčom obslužný program jednoducho „neuvidí“ súbory, ktoré je potrebné dešifrovať.
- používať nezávisle, bez konzultácie s odborníkmi, akékoľvek programy na dešifrovanie/obnovu údajov.

Pozor, keďže mám server bez iných úloh, ponúkam svoje bezplatné služby na dešifrovanie VAŠICH dát. Serverové jadro i7-3770K s pretaktovaním na *určité frekvencie*, 16GB RAM a SSD Vertex 4.
Pre všetkých aktívnych používateľov Habr bude používanie mojich zdrojov ZADARMO!!!
Napíšte mi do osobnej správy alebo cez iné kontakty. V tomto som už „zožral psa“. Preto nie som príliš lenivý na to, aby som server cez noc dešifroval.
Tento vírus je „metlou“ našej doby a brať „korisť“ od spoluvojakov nie je humánne. Aj keď, ak niekto „hodí“ pár dolárov na môj účet Yandex.money 410011278501419, nebude mi to vadiť. Ale to vôbec nie je potrebné. Kontaktuj nás. Žiadosti spracovávam vo voľnom čase.

Nové informácie!

Od 8. decembra 2013 sa pod klasifikáciou Doctor Web začal šíriť nový vírus z rovnakej série Trojan.Encoder - Trojan.Encoder.263, ale so šifrovaním RSA. Tento pohľad je pre dnešok (20.12.2013) nemožno dešifrovať, pretože používa veľmi silnú metódu šifrovania.

Odporúčam všetkým, ktorí trpeli týmto vírusom:
1. Pomocou vstavaného vyhľadávania systému Windows nájdite všetky súbory obsahujúce príponu .perfect a skopírujte ich na externé médium.
2. Skopírujte aj súbor CONTACT.txt
3. Umiestnite toto externé médium „na policu“.
4. Počkajte, kým sa objaví obslužný program decryptor.

Čo NEROBIŤ:
Nie je potrebné sa zahrávať so zločincami. To je hlúpe. Vo viac ako 50% prípadov po „platbe“ približne 5 000 rubľov nedostanete NIČ. Žiadne peniaze, žiadny dešifrovač.
Aby sme boli spravodliví, stojí za zmienku, že na internete sú tí „šťastní“ ľudia, ktorí dostali svoje súbory späť dešifrovaním za „korisť“. Ale týmto ľuďom by ste nemali veriť. Keby som bol autor vírusov, prvá vec, ktorú by som urobil, by bolo šíriť informácie typu „Zaplatil som a oni mi poslali dekodér!!!“
Za týmito „šťastlivcami“ môžu byť tí istí útočníci.

Nuž... poprajme veľa šťastia ostatným antivírusovým spoločnostiam pri vytváraní utility na dešifrovanie súborov po skupine vírusov Trojan.Encoder.

Špeciálne poďakovanie patrí súdruhovi v.martyanovovi z fóra Doctor Web za prácu vykonanú pri vytváraní dešifrovacích nástrojov.

Ak je systém infikovaný škodlivým softvérom z rodín Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl alebo Trojan-Ransom.Win32.CryptXXX, potom budú všetky súbory v počítači zašifrované takto:

• Pri infikovaní Trojan-Ransom.Win32.Rannoh názvy a prípony sa zmenia podľa šablóny zamknuté-<оригинальное_имя>.<4 произвольных буквы> .
• Pri infikovaní Trojan-Ransom.Win32.Cryakl na koniec obsahu súboru sa pridá štítok (CRYPTENDBLACKDC) .
• Pri infikovaní Trojan-Ransom.Win32.AutoIt rozšírenie sa mení podľa šablóny <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Napríklad, [e-mail chránený] _.RZWDTDIC.
• Pri infikovaní Trojan-Ransom.Win32.CryptXXX rozšírenie sa mení podľa šablón <оригинальное_имя>.crypt,<оригинальное_имя>. kryptomeny A <оригинальное_имя>. krypt1.

Nástroj RannohDecryptor je určený na dešifrovanie súborov po infekcii Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl alebo Trojan-Ransom.Win32.CryptXXX verzií 1 , 2 A 3 .

Ako vyliečiť systém

Na vyliečenie infikovaného systému:

1. Stiahnite si súbor RannohDecryptor.zip.
2. Spustite RannohDecryptor.exe na infikovanom počítači.
3. V hlavnom okne kliknite na Začnite kontrolovať.

1. Zadajte cestu k zašifrovanému a nezašifrovanému súboru.
   Ak je súbor zašifrovaný Trojan-Ransom.Win32.CryptXXX, zadajte najväčšie súbory. Dešifrovanie bude dostupné len pre súbory rovnakej alebo menšej veľkosti.
2. Počkajte na koniec vyhľadávania a dešifrovania zašifrovaných súborov.
3. V prípade potreby reštartujte počítač.
4. Ak chcete odstrániť kópiu zašifrovaných súborov, napr zamknuté-<оригинальное_имя>.<4 произвольных буквы> Po úspešnom dešifrovaní vyberte .

Ak bol súbor zašifrovaný Trojan-Ransom.Win32.Cryakl, potom pomôcka uloží súbor do starého umiestnenia s príponou .decryptedKLR.original_extension. Ak ste si vybrali Po úspešnom dešifrovaní odstráňte zašifrované súbory, potom obslužný program uloží dešifrovaný súbor s pôvodným názvom.

1. V predvolenom nastavení nástroj vygeneruje správu o práci do koreňového adresára systémového disku (disk, na ktorom je nainštalovaný operačný systém).

   Názov prehľadu je nasledujúci: UtilityName.Version_Date_Time_log.txt

   Napríklad, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

V infikovanom systéme Trojan-Ransom.Win32.CryptXXX pomôcka skenuje obmedzený počet formátov súborov. Ak používateľ vyberie súbor ovplyvnený CryptXXX v2, obnovenie kľúča môže trvať dlho. V tomto prípade nástroj zobrazí varovanie.

Ahojte všetci, dnes vám poviem, ako dešifrovať súbory po víruse v systéme Windows. Jedným z najproblematickejších malwarov súčasnosti je trójsky kôň alebo vírus, ktorý šifruje súbory na disku používateľa. Niektoré z týchto súborov je možné dešifrovať, iné však ešte nie je možné dešifrovať. V článku popíšem možné algoritmy činnosti v oboch situáciách.

Existuje niekoľko modifikácií tohto vírusu, ale všeobecnou podstatou práce je, že po inštalácii na váš počítač sú vaše súbory dokumentov, obrázky a iné potenciálne dôležité súbory zašifrované so zmenou prípony, po čom dostanete správu, že všetky vaše súbory boli zašifrované a na ich dešifrovanie je potrebné poslať útočníkovi určitú sumu.

Súbory v počítači sú šifrované v xtbl

Jeden z najnovších variantov vírusu ransomware šifruje súbory a nahrádza ich súbormi s príponou .xtbl a názvom pozostávajúcim z náhodnej sady znakov.

Zároveň je do počítača umiestnený textový súbor readme.txt s približne týmto obsahom: „Vaše súbory boli zašifrované. Na ich dešifrovanie je potrebné poslať kód na e-mailovú adresu [e-mail chránený], [e-mail chránený] alebo [e-mail chránený]. Ďalej dostanete všetky potrebné pokyny. Pokusy o dešifrovanie súborov sami povedú k nenahraditeľnej strate informácií“ (e-mailová adresa a text sa môžu líšiť).

Žiaľ, momentálne neexistuje spôsob, ako dešifrovať .xtbl (hneď ako bude k dispozícii, inštrukcie budú aktualizované). Niektorí používatelia, ktorí mali na svojom počítači skutočne dôležité informácie, hlásia na antivírusových fórach, že autorom vírusu poslali 5 000 rubľov alebo inú požadovanú sumu a dostali dešifrovač, je to však veľmi riskantné: nemusíte dostať nič.

Čo robiť, ak boli súbory zašifrované v .xtbl? Moje odporúčania sú nasledovné (odlišujú sa však od tých na mnohých iných tematických stránkach, kde napr. odporúčajú okamžite vypnúť počítač od napájania alebo neodstraňovať vírus. Podľa mňa je to zbytočné a pod niektorými za okolností to môže byť dokonca škodlivé, ale je na vás, ako sa rozhodnete.):

1. Ak viete ako, prerušte proces šifrovania vymazaním príslušných úloh v správcovi úloh a odpojením počítača od internetu (môže to byť nevyhnutná podmienka pre šifrovanie)
2. Zapamätajte si alebo si zapíšte kód, ktorý útočníci požadujú zaslať na e-mailovú adresu (len nie do textového súboru v počítači, pre každý prípad, aby nebol zašifrovaný).
3. Pomocou Malwarebytes Antimalware, skúšobnej verzie Kaspersky Internet Security alebo Dr.Web Cure It, odstráňte vírus na šifrovanie súborov (všetky tieto nástroje to robia dobre). Odporúčam vám postupne používať prvý a druhý produkt zo zoznamu (ak však máte nainštalovaný antivírus, inštalácia druhého „zhora“ je nežiaduca, pretože to môže viesť k problémom s počítačom.)
4. Počkajte, kým sa objaví decryptor od nejakej antivírusovej spoločnosti. Kaspersky Lab je tu v popredí.
5. Môžete tiež poslať príklad zašifrovaného súboru a požadovaný kód [e-mail chránený], ak máte nezašifrovanú kópiu toho istého súboru, pošlite nám ju tiež. Teoreticky by to mohlo urýchliť objavenie sa dešifrovača.

Čo nerobiť:

• Premenujte šifrované súbory, zmeňte príponu a odstráňte ich, ak sú pre vás dôležité.

To je asi všetko, čo môžem momentálne povedať o šifrovaných súboroch s príponou .xtbl.

Trojan-Ransom.Win32.Aura a Trojan-Ransom.Win32.Rakhni

Nasledujúci trójsky kôň šifruje súbory a inštaluje rozšírenia z tohto zoznamu:

• .zamknuté
• .crypto
• .kraken
• .AES256 (nie nevyhnutne tento trójsky kôň, existujú aj iné, ktoré inštalujú rovnaké rozšírenie).
• .codercsu@gmail_com
• .oshit
• A ďalšie.

Na dešifrovanie súborov po fungovaní týchto vírusov má webová stránka Kaspersky bezplatný nástroj s názvom RakhniDecryptor, ktorý je k dispozícii na oficiálnej stránke http://support.kaspersky.ru/viruses/disinfection/10556.

Existujú aj podrobné pokyny na používanie tohto nástroja, ktoré ukazujú, ako obnoviť šifrované súbory, z ktorých by som pre každý prípad odstránil položku „Po úspešnom dešifrovaní odstrániť šifrované súbory“ (aj keď si myslím, že s nainštalovanou možnosťou bude všetko v poriadku) .

Ak máte licenciu na antivírus Dr.Web, môžete využiť bezplatné dešifrovanie od tejto spoločnosti na stránke http://support.drweb.com/new/free_unlocker/

Ďalšie možnosti vírusu ransomware

Menej časté, ale tiež sa s nimi stretávame, sú nasledujúce trójske kone, ktoré šifrujú súbory a vyžadujú peniaze za dešifrovanie. Poskytnuté odkazy obsahujú nielen nástroje na vrátenie vašich súborov, ale aj popis znakov, ktoré vám pomôžu určiť, že máte tento konkrétny vírus. Aj keď vo všeobecnosti je optimálnym spôsobom skenovanie systému pomocou antivírusu Kaspersky, zistenie názvu trójskeho koňa podľa klasifikácie tejto spoločnosti a následné vyhľadanie nástroja s týmto názvom.

• Trojan-Ransom.Win32.Rector – bezplatný nástroj na dešifrovanie RectorDecryptor a návod na použitie sú k dispozícii tu: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist je podobný trójsky kôň, ktorý zobrazí okno s výzvou na odoslanie platenej SMS alebo kontaktovanie e-mailom, aby ste dostali pokyny na dešifrovanie. Pokyny na obnovenie zašifrovaných súborov a nástroj XoristDecryptor na tento účel sú k dispozícii na stránke http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – nástroj RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 a ďalšie s rovnakým názvom (pri vyhľadávaní cez antivírus Dr.Web alebo utilitu Cure It) a rôznymi číslami – skúste vyhľadať na internete názov trójskeho koňa. Pre niektoré z nich existujú nástroje na dešifrovanie od spoločnosti Dr.Web, ak ste nástroj nenašli, ale máte licenciu Dr.Web, môžete použiť oficiálnu stránku http://support.drweb.com/new/free_unlocker /
• CryptoLocker - na dešifrovanie súborov po fungovaní CryptoLocker môžete použiť stránku http://decryptcryptolocker.com - po odoslaní vzorového súboru dostanete kľúč a nástroj na obnovenie vašich súborov.

No, z najnovších správ – Kaspersky Lab spolu s policajtmi z Holandska vyvinuli Ransomware Decryptor (http://noransom.kaspersky.com) na dešifrovanie súborov po CoinVault, ale tento ransomvér sa v našich zemepisných šírkach zatiaľ nenachádza.

Mimochodom, ak sa zrazu ukáže, že máte čo pridať (pretože možno nemám čas sledovať, čo sa deje s metódami dešifrovania), dajte mi vedieť v komentároch, tieto informácie budú užitočné pre ostatných používateľov, ktorí sú postavený pred problém.

Inštrukcie

Vyvolajte hlavnú ponuku systému Microsoft Windows kliknutím na tlačidlo „Štart“ a prejdite na „Všetky programy“, aby ste vykonali operáciu dešifrovania predtým zašifrovaných súborov.

Vyvolajte kontextovú ponuku súboru, priečinka alebo disku, ktorý chcete dešifrovať, kliknutím pravým tlačidlom myši a výberom položky „Vlastnosti“.

Prejdite na kartu „Všeobecné“ v dialógovom okne, ktoré sa otvorí, a vyberte príkaz „Iné“.

Zrušte začiarknutie políčka Šifrovať obsah na ochranu údajov a kliknutím na tlačidlo OK aplikujte vybraté zmeny. Malo by sa pamätať na to, že keď zrušíte šifrovanie, priečinky, zašifrované súbory a podpriečinky zostanú zašifrované, pokiaľ nie je uvedené inak, a novovytvorené súbory a podpriečinky dešifrovaného priečinka nebudú podliehať postupu šifrovania.

Stiahnite si bezplatný nástroj te19decrypt.exe z oficiálnej stránky vývojára antivírusovej aplikácie Dr.Web a spustite spustiteľný súbor pomôcky na vykonanie operácie dešifrovania súborov zašifrovaných vírusom Trojan.Encoder. (Tento vírus je ransomvérový program, ktorý zašifruje súbory používateľa a potom sa sám odstráni. Na systémovom disku tak zostane textový súbor crypted.txt, ktorý obsahuje žiadosť o prevody peňazí v rôznych sumách na dešifrovanie poškodených súborov.)

Kliknite na tlačidlo „Pokračovať“ v hlavnom okne programu a vyjadrite súhlas s návrhom na manuálne zadanie umiestnenia súboru kľúča c:crypted.txt.

V dialógovom okne Otvoriť zadajte úplnú cestu k požadovanému súboru a potvrďte príkaz kliknutím na tlačidlo OK.

Poznámka

Nepokúšajte sa vymazať textový súbor pomocou:\crypted.txt sami, pretože dešifrovanie súborov zašifrovaných vírusom bude potom nemožné!

Zdroje:

• Dešifrovanie súboru alebo priečinka
• Ako dešifrovať súbory zašifrované vírusom Trojan.Encoder?
• súbor je zašifrovaný
• Dešifrovanie súborov EFS

Súbor môžete dešifrovať pomocou interných programov systému Windows XP, iba ak sú oddiely naformátované vo formáte NTFS a súbory nie sú systémové súbory alebo komprimované. Celý postup sa scvrkáva na zrušenie začiarknutia políčka „Zašifrovať obsah na ochranu údajov“, čo je jeden z prvkov odrážajúcich vlastnosti súborov. Môžete ho zadať cez Prieskumník.

Budete potrebovať

• Interné zdroje šifrovacieho systému Windows XP, Prieskumník

Inštrukcie

Prihláste sa do Prieskumníka Windows. Ak to chcete urobiť, kliknite na „Štart“, prejdite reťazcom „Všetko“, „Štandard“, „Prieskumník“. Ďalšou možnosťou je tlačidlo myši, kurzor je na tlačidle Štart. Potom znova stlačte pravé tlačidlo myši s kurzorom umiestneným nad požadovaným súborom. Otvorte kontextové menu. Vyberte príkaz "Vlastnosti" z prezentovaného zoznamu možností.

Prejdite na kartu „Všeobecné“ a vyberte „Rozšírené“. Zrušte začiarknutie políčka vedľa položky „Šifrovať obsah na ochranu údajov“.

Video k téme

Poznámka

Tento postup je vhodný len pre systém Windows XP a funguje iba s oddielmi naformátovanými v systéme NTFS. V tomto prípade sa aktivujú vnútorné zdroje šifrovacieho systému.

Užitočné rady

Komprimované alebo systémové súbory nie sú šifrované, a preto sú dešifrované. Ak chcete vykonať takýto postup, musíte najprv obnoviť komprimované súbory v normálnom formáte.
Ak je zašifrovaný celý priečinok, zašifrujú sa aj všetky súbory, ktoré sa doň následne pridajú. V tomto prípade dekódovanie súboru znamená odstránenie hesla z celého priečinka.
Šifrovanie a dešifrovanie sa musí vykonávať pod rovnakým účtom správcu.

Zdroje:

• Téma na fóre je venovaná diskusii o procese dešifrovania súboru.

Prípona súboru je množina znakov pridaných na koniec názvu súboru, ktorá určuje, ktorý program by mal súbor otvoriť. Systém Windows predvolene skryje prípony názvov súborov, ale prípony môžete zobraziť.

Inštrukcie

V okne „Možnosti priečinka“, ktoré sa otvorí, prejdite na kartu „Zobraziť“ a zrušte začiarknutie políčka vedľa položky „Skryť rozšírenia pre registrované typy“ súbory».
Kliknite na "OK"

Opačný postup (začiarknite políčko vedľa položky „Skryť prípony pre registrované typy súborov“) skryje prípony súborov. Na obrázku vidíte príklad zobrazenia súborov v Prieskumníkovi so zapnutou a vypnutou možnosťou zobrazenia rozšírení.

Video k téme

Zdroje:

• Ako zmeniť príponu súboru v systéme Windows 10, aby to fungovalo?

V tomto momente moderného sveta informačné technológie umožňujú šifrovanie informácií. Existujú aj programy, ktoré dokážu dáta dekódovať. Dekódovanie údajov vám umožňuje spúšťať hry a programy. Napríklad ExeLab TextCoder poskytuje kódovanie a dekódovanie dokumentov a iných súborov. Bez znalosti hesla nie je možné zistiť tam uložené informácie.

Budete potrebovať

• PC, program ExeLab TextCoder

Inštrukcie

Na dekódovanie alebo kódovanie údajov si stiahnite špeciálny program ExeLab TextCoder. Nainštalujte ho. Spustite ExeLab TextCoder. Zobrazí sa Hlavné okno. Pre kódovanie zadajte "Window 1". Je to na ľavo. Kliknite na „Normálny text“ a v „Okne 2“ sa zobrazia zašifrované informácie.

Ak chcete dekódovať, zadajte text do „Okna“ a kliknite na „Dekódovať z UTF8“. Dostanete pôvodný text.

Na dekódovanie je možné použiť TCODE. Obnovuje text. TCODE je možné získať z internetu. Nainštalujte ho do počítača a spustite ho. Otvorí sa hlavné okno. Zadajte požadovaný text a kliknite na „Prekódovať“. Výsledkom je zobrazenie 100% rozpoznaných informácií.

Údaje rozpoznáva aj program Stirlitz. Stiahnite si ho z internetu a nahrajte do počítača. Keď ho otvoríte, uvidíte okno. Je tam panel s nástrojmi.

Otvorte súbor. Nájdite položku "Otvoriť" a vyberte požadovaný súbor.

V stĺpci „Upraviť“ vyberte „Dekódovať“. Dostanete zašifrovaný text. Typy kódovania sú umiestnené v riadku na paneli nástrojov. Môžete si vybrať ľubovoľnú.

Ak chcete dekódovať údaje, urobte to isté. Kliknite na „Dekódovať“ a odpoveď bude text v ruštine. Z programu Stirlitz môžete okamžite tlačiť informácie. Ak to chcete urobiť, vyberte stĺpec „Tlačiť“ v súbore a je to.

Niektoré vírusy šifrujú používateľské súbory, po ktorých môže byť prístup k nim bežnými prostriedkami obmedzený. Obnovenie normálneho režimu prebieha softvérovým zásahom.

Inštrukcie

Vykonajte dodatočnú kontrolu počítača na prítomnosť vírusov. Potom si stiahnite jeden z anti-trójskych programov z internetu. Je to potrebné, ak bol škodlivý program skrytý pred antivírusom. Vykonajte skenovanie a potom nájdite zašifrované súbory.

Vytvorte si ich záložnú kópiu pre každý prípad a uistite sa, že vo vašom počítači nie sú žiadne hrozby. Zapíšte si celé meno trójskych koní nájdených vo vašom počítači. Je to potrebné na neskoršie získanie prístupu k informáciám o metódach šifrovania súborov, pretože tu pravdepodobne nebudú vhodné univerzálne nástroje. Z rovnakého dôvodu sa neponáhľajte s odstránením škodlivého softvéru z počítača, keď ho na začiatku skenujete.

Stiahnite si akýkoľvek nástroj na dešifrovanie súborov po infikovaní vírusmi. Takéto nástroje sú zvyčajne dostupné na oficiálnych stránkach vývojárov antivírusových systémov. Pri výbere programu sa tiež riaďte názvom trójskeho koňa, ktorý vykonal šifrovanie, pretože mnohé z nich používajú rôzne metódy.

Najlepšie je stiahnuť zo stránok vývojárov bezpečnostných systémov, ktorých poznáte, pretože opäť existuje riziko, že sa stretnete s malvérom. Tieto nástroje majú zvyčajne skúšobné obdobie, počas ktorého sa môžu použiť na liečbu.

Podľa pokynov systému vyberte súbory zašifrované vírusom v stiahnutej utilite spustenej na vašom počítači a podľa pokynov systému vykonajte potrebné akcie. Potom znova skontrolujte vírusy, najmä pokiaľ ide o súbory, ktoré ste dešifrovali.

Potom si do počítača nainštalujte spoľahlivý a aktuálny antivírusový softvér, aby ste predišli podobným situáciám v budúcnosti.

Video k téme

Užitočné rady

Používajte antivírusový softvér.

Na ochranu osobných údajov pred zvedavými očami mnohí používatelia nastavujú heslá pre súbory Microsoft Office alebo PDF. Zároveň to môžete prehnať a ochrániť dokument pred sebou samým tým, že zabudnete kód. V tomto prípade môžu nastať vážne problémy, najmä ak súbor obsahuje cenné informácie.

Budete potrebovať

• - Pokročilý program na obnovenie hesla PDF;
• - Program Accent WORD Password Recovery.

Inštrukcie

Problém je vyriešený pomocou špeciálnych programov. Aplikácia sa musí používať v závislosti od typu súboru, pre ktorý potrebujete nájsť heslo. Ďalej zvážime postup otvárania zakódovaných súborov najbežnejších formátov.

Ak chcete priradiť kód k súborom PDF, musíte si stiahnuť program Advanced PDF Password Recovery a nainštalovať ho do počítača.

Spustite rozšírené obnovenie hesla PDF. Teraz musíte konať v závislosti od situácie. Ak poznáte heslo, prejdite na kartu Dĺžka. Zobrazí sa okno, v ktorom môžete nastaviť počet znakov hesla. V riadku „Minimálny a maximálny počet znakov“ musíte nastaviť rovnaké číslo, ktoré sa rovná počtu znakov v hesle.

Ak nepoznáte počet znakov v hesle, nastavte v riadku „Minimálna hodnota“ 1 a v riadku „Maximálna hodnota“ 10. Viac nemá zmysel nastavovať. Potom kliknite na Otvoriť.

Zobrazí sa okno s prehľadom. Zadajte cestu k súboru. Vyberte ho ľavým kliknutím myši a potom kliknite na „Otvoriť“. Ďalej v hlavnom menu programu kliknite na Štart. Začne sa procedúra výberu kódu pre súbor. Upozorňujeme, že táto operácia môže trvať dlho. Po dokončení sa v okne programu zverejní správa, ktorá bude obsahovať kód.

Ak chcete nájsť heslá pre súbory programu Microsoft Word, použite aplikáciu Accent WORD Password Recovery. Spustite aplikáciu. Vyberte možnosť s názvom Nastavenie aplikácie. Ďalej nastavte riadok Priorita na Vysoká. Kliknite na tlačidlo OK.

Potom v ponuke programu vyberte Súbor a potom Otvoriť. Zadajte cestu k súboru. Vyberte ho a kliknite na „Otvoriť“. Začne sa proces výberu kódu, po dokončení ktorého ho uvidíte v prehľade.

Dešifrovanie dát zakódovaných pomocou profesionálneho softvéru si vyžaduje buď rovnaký softvérový balík, alebo enormný výpočtový výkon a ešte pokročilejšie programy. Častejšie sa však na kódovanie používajú dostupnejšie prostriedky, ktoré sa dekódujú oveľa jednoduchšie.

Inštrukcie

V konštrukcii webu sa najčastejšie používa najdostupnejší spôsob šifrovania dát – pomocou vstavaných funkcií programovacích jazykov. Medzi jazykmi na strane servera je dnes najrozšírenejší PHP, ktorý na šifrovanie používa funkciu base64_encode. Dáta ním zakódované je možné dekódovať pomocou inverznej funkcie – base64_decode. Ak máte možnosť spúšťať PHP skripty na vašom počítači alebo webovom serveri, vytvorte tento jednoduchý kód:

Medzi úvodzovky funkcie base64_decode umiestnite reťazec údajov, ktoré chcete dešifrovať. Potom uložte kód do súboru s príponou php a otvorte túto stránku cez prehliadač - dešifrované údaje uvidíte na prázdnej stránke.

Ak sa pozriete na zoznam súborov v počítači, uvidíte, že názvy súborov pozostávajú z dvoch častí oddelených bodkou. Je zrejmé, že prvá časť je názov súboru, ale druhá - prípona - sa najčastejšie skladá z nezmyselnej, na prvý pohľad, sady písmen.

Prečo sú potrebné rozšírenia

Prípona je rovnaký povinný atribút každého súboru ako jeho názov. Faktom je, že operačný systém nie je schopný intuitívne určiť, či súbor podľa názvu zodpovedá konkrétnemu programu. Prípona názvu súboru má poskytnúť operačnému systému schopnosť „pochopiť“, ktorý program má spracovať tento súbor. Navyše z pohľadu systému je to prípona, ktorá obsahuje informácie o formáte súboru a akciách, ktoré je s ním potrebné vykonať.

Dnes existuje niekoľko tisíc formátov súborov a porovnateľný počet prípon mien. Niektoré rozšírenia sa tradične používajú takmer od samého začiatku šírenia osobných počítačov, napríklad prípona .exe (z angličtiny executable - spustiteľný), ktorá označuje súbory, ktoré spúšťajú konkrétny program, zatiaľ čo iné sa objavili nedávno. Faktom je, že mnoho softvérových produktov vytvára pre svoju prácu pomocné súbory s jedinečnými rozšíreniami, ktoré žiadny iný program nedokáže rozpoznať. A keďže sa na trhu objavuje stále viac programov, počet rozšírení každým dňom rastie. Okrem toho neustále narastá počet formátov súborov rôznych typov: audio, grafika, video a každý z týchto formátov vyžaduje svoje vlastné rozšírenie.

Používateľ si nemusí pamätať všetky prípony názvov súborov a programy s nimi spojené. Väčšina najbežnejších formátov a rozšírení je automaticky identifikovaná operačným systémom, čo umožňuje používateľovi nemyslieť na to, ktorý program otvorí konkrétny súbor.

Dešifrovanie rozšírení

V moderných operačných systémoch s grafickým prostredím sú rozpoznané prípony súborov často skryté a formát súboru a príslušný program sa zobrazujú so špecifickou ikonou. Problém je v tom, že ten istý program môže zodpovedať viacerým typom súborov, takže niekedy je vhodnejšie povoliť zobrazovanie rozšírení. V rodine operačných systémov Windows to možno vykonať výberom položky „Ovládací panel“ z ponuky tlačidla Štart a následným kliknutím na ikonu „Možnosti priečinka“. Na karte „Zobraziť“ musíte nájsť položku „Skryť rozšírenia pre registrované typy súborov“ a zrušiť jej začiarknutie. Teraz uvidíte všetky rozšírenia.

Rozlúštiť význam konkrétnej prípony nemusí byť také jednoduché, najmä ak bola vytvorená pre podporný formát súboru málo známeho programu, no zoznam najpopulárnejších prípon názvov možno nájsť na internete. Existujú špeciálne stránky, ktoré vám nielen povedia, ktorý program vyžaduje súbor s príponou, o ktorú máte záujem, ale tiež vám pomôžu pochopiť, ako sa dešifrujú písmená tvoriace príponu. V drvivej väčšine prípadov je prípona buď skratka (napríklad prípona obľúbeného formátu obrázkových súborov .jpeg je skratka pre Joint Photographic Experts Group, názov spoločnosti, ktorá tento formát vyvinula), alebo skratka . Napríklad prípona .dat, ktorá sa často používa na podporu informačných súborov, je skratkou pre anglické slovo data, čo znamená „údaje“.

Video k téme