Kā atšifrēt vīrusu šifrētus failus. Jūsu faili ir šifrēti — ko darīt? Kā izspiedējprogrammatūra darbojas inficētā datorā

Un ar katru gadu parādās arvien jauni... interesantāki. Populārākais pēdējā laikā vīruss (Trojan-Ransom.Win32.Rector), kas šifrē visus jūsu failus (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar utt.). Problēma ir tā, ka šādu failu atšifrēšana ir ārkārtīgi sarežģīta un laikietilpīga, atkarībā no šifrēšanas veida, atšifrēšana var ilgt nedēļas, mēnešus vai pat gadus. Manuprāt, šis vīruss ir šobrīd, briesmu apogejs starp citiem vīrusiem. Tas ir īpaši bīstami mājas datoriem/klēpjdatoriem, jo ​​lielākā daļa lietotāju nedublē savus datus un, šifrējot failus, viņi zaudē visus datus. Organizācijām šis vīruss ir mazāk bīstams, jo tas tā ir dublējumkopijas svarīgi dati un infekcijas gadījumā tie tiek vienkārši atjaunoti, dabiski pēc vīrusa izņemšanas. Vairākas reizes saskāros ar šo vīrusu, aprakstīšu kā tas notika un pie kā noveda.

Pirmo reizi es sastapos ar vīrusu, kas šifrē failus, bija 2014. gada sākumā. Ar mani sazinājās administrators no citas pilsētas un pastāstīja visnepatīkamāko ziņu - Visi faili failu serverī ir šifrēti! Inficēšanās notika elementāri - grāmatvedība saņēma vēstuli ar pielikumu “Akts par kaut ko tur.pdf.exe”, kā jūs saprotat, viņi atvēra šo EXE fails un process sākās... viņš visu šifrēja personiskie faili datorā un devās uz failu serveris(tas tika savienots ar tīkla disku). Mēs ar administratoru sākām rakties pēc informācijas internetā... toreiz nebija risinājuma... visi rakstīja, ka ir tāds vīruss, nav zināms, kā to ārstēt, failus nevarēja atšifrēt, iespējams palīdzētu nosūtot failus uz Kaspersky, Dr Web vai Nod32. Jūs varat tos nosūtīt tikai tad, ja izmantojat viņu pretvīrusu programmas (licencētas). Mēs nosūtījām failus Dr Web un Nod32, rezultāti bija 0, es neatceros, ko viņi teica Dr Web, un Nod 32 bija pilnīgi kluss, un es nesaņēmu no viņiem nekādu atbildi. Kopumā viss bija skumji, un mēs nekad neatradām risinājumu, mēs atjaunojām dažus failus no dublējuma.

Otrs stāsts - nupat (2014. gada oktobra vidū) man piezvanīja kāda organizācija ar lūgumu atrisināt problēmu ar vīrusu, kā jūs saprotat, visi datorā esošie faili bija šifrēti. Šeit ir piemērs tam, kā tas izskatījās.

Kā redzat, paplašinājums *.AES256 tika pievienots katram failam. Katrā mapē bija fails “Attention_open-me.txt”, kurā bija kontakti saziņai.

Mēģinot atvērt šos failus, tika atvērta programma ar kontaktiem, lai sazinātos ar vīrusa autoriem, lai samaksātu par atšifrēšanu. Protams, es neiesaku ar viņiem sazināties vai maksāt par kodu, jo jūs viņus atbalstīsit tikai finansiāli, un tas nav fakts, ka jūs saņemsit atšifrēšanas atslēgu.

Infekcija notikusi no interneta lejupielādētas programmas instalēšanas laikā. Pārsteidzošākais bija tas, ka, pamanījuši, ka faili ir mainījušies (ikonas un failu paplašinājumi ir mainījušies), viņi neko nedarīja un turpināja strādāt, kamēr izpirkuma programmatūra turpināja šifrēt visus failus.

Uzmanību!!! Ja datorā pamanāt failu šifrēšanu (ikonu maiņa, paplašinājuma maiņa), nekavējoties izslēdziet datoru/klēpjdatoru un meklējiet risinājumu no citas ierīces (no cita datora/klēpjdatora, telefona, planšetdatora) vai sazinieties ar IT speciālistiem. Jo ilgāk dators/klēpjdators ir ieslēgts, jo vairāk failu tas šifrēs.

Vispār jau gribēju atteikt viņiem palīdzēt, bet nolēmu pasērfot internetā, varbūt jau bija parādījies risinājums šai problēmai. Meklēšanas rezultātā es izlasīju daudz informācijas par lietām, kuras nevar atšifrēt, ka jāsūta faili antivīrusu kompānijām (Kaspersky, Dr Web vai Nod32) - paldies par pieredzi.
Es atklāju Kaspersky utilītu - RectorDecryptor. Un, lūk, faili tika atšifrēti. Nu, vispirms vispirms...

Pirmais solis ir apturēt izspiedējvīrusu. Jūs neatradīsiet nekādus antivīrusus, jo instalētais Dr Web neko neatrada. Pirmkārt, es devos uz palaišanu un atspējoju visus startēšanu (izņemot antivīrusu). Pārstartēja datoru. Tad es sāku skatīties, kādi faili ir startēšanas laikā.

Kā redzams laukā "Komanda" ir norādīts, kur atrodas fails, īpaša uzmanība jāpievērš pieteikumiem bez paraksta (Ražotājs - Nav datu). Kopumā es atradu un izdzēsu ļaunprogrammatūru un failus, kas man vēl nebija skaidri. Pēc tam es notīrīju pagaidu mapes un pārlūkprogrammas kešatmiņu, vislabāk ir izmantot programmu šiem mērķiem CCleaner .

Tad es sāku atšifrēt failus, šim nolūkam es lejupielādēju atšifrēšanas programma RectorDecryptor . Palaidu to un ieraudzīju diezgan askētisku utilīta saskarni.

Es noklikšķināju uz "Sākt skenēšanu" un norādīju paplašinājumu, kas bija visiem mainītajiem failiem.

Un norādīja šifrēto failu. Jaunākajās RectorDecryptor versijās varat vienkārši norādīt šifrēto failu. Noklikšķiniet uz pogas "Atvērt".

Tada-a-a-am!!! Notika brīnums, un fails tika atšifrēts.

Pēc tam utilīta automātiski pārbauda visus datora failus + failus pievienotajā tīkla diskā un tos atšifrē. Atšifrēšanas process var ilgt vairākas stundas (atkarībā no šifrēto failu skaita un datora ātruma).

Rezultātā visi šifrētie faili tika veiksmīgi atšifrēti tajā pašā direktorijā, kur tie sākotnēji atradās.

Atliek tikai izdzēst visus failus ar paplašinājumu .AES256. To var izdarīt, atzīmējot izvēles rūtiņu “Dzēst šifrētos failus pēc veiksmīgas atšifrēšanas”, ja logā RectorDecryptor noklikšķināsiet uz “Mainīt skenēšanas parametrus”.

Bet atcerieties, ka labāk ir neatzīmēt šo izvēles rūtiņu, jo, ja faili netiks veiksmīgi atšifrēti, tie tiks dzēsti un, lai mēģinātu tos vēlreiz atšifrēt, jums vispirms atjaunot .

Mēģinot izdzēst visus šifrētos failus, izmantojot standarta meklēšanu un dzēšanu, es saskāros ar sasalšanu un ļoti lēnu datora darbību.

Tāpēc, lai to noņemtu, vislabāk ir izmantot komandrindu, palaist to un rakstīt del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Manā gadījumā del "d:\*.AES256" /f /s.

Šim nolūkam neaizmirstiet izdzēst failus "Attention_open-me.txt". komandrinda izmantojiet komandu del"<диск>:\*.<имя файла>"/f/s, Piemēram
del "d:\Attention_open-me.txt" /f /s

Tādējādi vīruss tika uzvarēts un faili tika atjaunoti. Es gribu jūs par to brīdināt šī metode Tas nepalīdzēs visiem, būtība ir tāda, ka Kapersky šajā utilītprogrammā ir savācis visas zināmās atšifrēšanas atslēgas (no tiem failiem, kurus sūtījuši ar vīrusu inficētie) un izmanto brutālā spēka metodi, lai atlasītu atslēgas un atšifrētu tās. . Tie. ja jūsu faili ir šifrēti ar vīrusu ar nezināmu atslēgu, tad šī metode nepalīdzēs... jums būs jānosūta inficētie faili antivīrusu kompānijām - Kaspersky, Dr Web vai Nod32, lai tos atšifrētu.

no 180 rubļiem.

Vīrusi rada daudz problēmu gan mums, gan datoram. Pašā datorā vīrusi nevairojas. Taču vīruss var viegli izplatīties, un tas cenšas inficēt pēc iespējas vairāk mapju. Un kādas ir nepatīkamas ziņas, kad saprotat, ka jūsu failus ir šifrējis vīruss.

Diemžēl pretvīrusu programmas nesniedz 100% garantiju, ka jūsu ierīce nākotnē vairs nesaņems datora infekciju. Vīruss var sabojāt ne tikai svarīgus datus, bet arī visu operētājsistēmu, internetu utt. Katru reizi, kad startējat datoru, vīruss sāk darboties automātiski.

Veidi datorvīrusi liela dažādība, lai gan vidusmēra lietotājs zina tikai pāris vai trīs. Bet pat vienam vīrusa veidam ir daudz modifikāciju. Vīrusi atšķiras pēc to kaitīgās ietekmes uz datoru. Piemēram, izspiedējvīruss var ne tikai šifrēt failus, bet arī tos sabojāt, lai datus nevarētu atšifrēt.

Izspiedējvīrusa infekcijas simptomi

Ja vīruss šifrē failus, lietotājs vienkārši nevarēs atvērt šīs mapes un iegūt informāciju. Mēģinot atvērt inficētos failus, ekrānā var parādīties arhīva kļūda.

Tiks šifrēti visi faili, kas darbojas: sistēmas faili, fotoattēli, video, arhīvi, teksti un citi. Mapes, kas netiek lietotas, netiks ietekmētas.

Turklāt nebūs piekļuves ne tikai datiem, kas ierakstīti sistēmas diskdzinī, bet arī visiem datu nesējiem, ar kuriem lietotājs strādāja: zibatmiņas kartei, cietajam diskam, tīkla diskam utt.

Šifrētājs ir īpaši viltīgs ar zibatmiņas disku: šajā diskā vīruss izveido citu nodalījumu teksta fails, kurā ir informācija par citām mapēm tajā pašā arhīvā, un vīruss droši slēpj galvenos datus, tas ir, tos šifrē. Šajā gadījumā zibatmiņas diskā esošā informācija tiks saglabāta, taču to nevarēs atvērt.

Ir daudz veidu izspiedējvīrusu, taču nav jēgas mēģināt noskaidrot, kurš tips “iebrūk” konkrētajā datorā, taču tas rada milzīgus zaudējumus gan datoram, gan lietotājam. Izspiedējvīruss uzvedas kā gudrs dzīvs organisms pēc tam, kad ir šifrējis visu, ko spēj, tas pazūd, lai netiktu atklāts un inficētie faili netiktu atšifrēti. Tātad, vai ir iespējams ar to kaut kā cīnīties, vai arī labāk ir nekavējoties atvadīties no informācijas par inficētajiem plašsaziņas līdzekļiem?

Ko darīt, ja vīruss ir šifrējis jūsu failus

• Īpaša pretvīrusu utilīta var tikt galā ar ļaunprātīgu programmatūru. Diemžēl, vienkārši atbrīvojoties no inficētās mapes, problēma netiks atrisināta un var pat nodarīt kaitējumu. Šeit jums jāaizstāj “slimais” fails ar “veselīgu” vai jārediģē inficētā mape un pēc tam jānoņem kods, kas ir atbildīgs par ļaunprātīgās programmas darbību. Licencēta pretvīrusu utilīta tiek lejupielādēta un palaista no oficiālās vietnes citādi, jūs varat uzņemt virkni citu vīrusu. Lai atvērtu piekļuvi ikvienam sistēmas faili, programma ir instalēta drošajā režīmā.



• Manuāli pārbaudiet pretvīrusu datubāzi un atjauniniet to. Ja tas nav izdarīts, antivīruss nevarēs noņemt vīrusus ar jauniem kodiem.



• Pēc pretvīrusu utilīta lejupielādes un datu bāzu atjaunināšanas atvienojiet datoru no interneta. Atvienojiet interneta kabeli no sistēmas vienības un/vai Wi-Fi. Tādā veidā tiek garantēta jūsu datu drošība, jo vīruss var darboties caur interneta tīklu, novēršot tīkla bloķēšanu. Šajā gadījumā internetu var izslēgt tikai manuāli, tas ir, atvienojot strāvas vadu.
• Tagad jums ir jāpārbauda, ​​​​vai sistēmā nav vīrusu, un ar dziļu analīzi. Ja jūsu diskā ir daudz informācijas, tad analīze aizņem daudz laika, bet nav citas izejas, virspusēja pārbaude neko nedos, jo vīruss var paslēpties jebkurā vietā.
  
  
  Dokumentālo failu un arhīvu skenēšana aizņem daudz laika. Mūzikas faili, video mapes, fotoattēli un tā tālāk tiek skenēti daudz ātrāk.
• Ja esat nepieredzējis lietotājs un nezināt, cik daudz ļaunprātīgas programmatūras ir iekļuvusi jūsu datorā, tad Labāk ir kopēt aizdomīgas mapes uz trešās puses disku (ārējo cieto disku, zibatmiņas disku, kompaktdisku). Un savā datorā atbrīvojieties no inficētajiem failiem un iztukšojiet miskasti. Restartējiet datoru un pārbaudiet, vai faili darbojas. Tagad neatkarīgi no tā, kā viss notiek, informācija ir nokopēta.
• Ja domājat, ka jums nav vīrusu, vēlreiz pārbaudiet operētājsistēmu, izmantojot citu pretvīrusu utilītu. Šim nolūkam noņemiet veco antivīrusu, restartējiet datoru, lejupielādējiet jaunu pretvīrusu programmatūru un palaidiet analīzi.
• Ja jums izdevās atbrīvoties no izspiedējvīrusa, tad tagad galvenais ir novērst tā atkārtotu parādīšanos. Ir īpaša pretvīrusu utilīta, kas nodrošina jūsu interneta savienojuma drošību.
  
  
  Esošās pamata drošības metodes noklusējuma pretvīrusu programmatūrā var stiprināt manuāli. Lai to izdarītu, dodieties uz iestatījumiem un veiciet nepieciešamās izmaiņas programmā.
• Pēc vīrusa noņemšanas no datora neaizmirstiet strādāt ar visiem darba datu nesējiem (CD, zibatmiņas diski, visi cietā diska nodalījumi, ārējais cietais disks).
  

  Ir nepieciešams skenēt katru multividi atsevišķi, neatverot pārlūkprogrammu un faila saturu, lai tajā netiktu palaists ļaunprātīga programmatūra. Atbrīvojoties no vīrusa tikai datorā, problēma nepazudīs.

• Ja vīruss ir šifrējis jūsu failus, vienkārši mēģiniet atkārtoti instalēt sistēmu Windows, tas var palīdzēt atbrīvoties no infekcijas jūsu datorā.

Aizsardzība pret izspiedējvīrusiem

Visbiežāk šifrēšanas vīrusi tiek palaisti datorā, izmantojot pielikumus e-pasts. Atverot vēstulei pievienotu pielikumu (parasti anketu, CV, priekšlikumus un citus), jūs automātiski atļaujat ļaunprātīgu programmatūru iekļūt savā datorā. Lai aizsargātu savus datus, rīkojieties šādi:

• Nekavējoties izdzēsiet vēstules, kuras nāk no nepazīstamiem adresātiem, īpaši tos, kuriem ir pielikumi. Nekādā gadījumā neatveriet pievienotos failus! Nesteidzieties atvērt arī pārējo saraksti; vispirms ļaujiet pretvīrusu programmai tos skenēt.
• Dublikāts svarīga informācija citā neatkarīgā datu nesējā (dublējumā). Kopēšana prasīs dažas minūtes, taču jums nebūs jāuztraucas par dažu svarīgu datu zaudēšanu vīrusu dēļ.

Svarīgi: rūpīgi analizējiet, kā dators uztvēra ļaunprātīgo programmatūru, kādas vietnes apmeklējāt, ko lejupielādējāt. Izvairieties no šādām kļūdām nākotnē, jo inficēties ir daudz vieglāk nekā ārstēties. Labākā aizsardzība pret izspiedējvīrusiem ir jūsu modrība, apziņa, nelielas datorprasmes un elementārs slinkuma trūkums.

Laba diena visiem, mani dārgie draugi un mana emuāra lasītāji. Šodien tēma būs visai bēdīga, jo skars vīrusus. Es jums pastāstīšu par atgadījumu, kas notika manā darbā pirms neilga laika. Darbinieks satrauktā balsī zvanīja manai nodaļai: "Dima, vīruss ir šifrējis failus datorā: ko tagad darīt?" Tad es sapratu, ka smaržo pēc kaut kā cepta, bet beigās aizgāju pie viņas paskatīties.

Jā. Viss izrādījās skumji. Lielākā daļa datorā esošo failu bija inficēti vai drīzāk šifrēti: Office dokumenti, PDF faili, 1C datu bāzes un daudzi citi. Kopumā dupsis ir pilnīgs. Droši vien tas netika ietekmēts tikai arhīviem, lietojumprogrammām un teksta dokumentiem (un daudzām citām lietām). Visi šie dati mainīja paplašinājumu, kā arī mainīja to nosaukumus uz kaut ko līdzīgu sjd7gy2HjdlVnsjds.
Tāpat uz darbvirsmas un mapēs parādījās vairāki identiski README.txt dokumenti. Viņi godīgi saka, ka jūsu dators ir inficēts un jūs neveicat nekādas darbības, nedzēšat neko, neskenē ar antivīrusiem, pretējā gadījumā faili netiks. atgriezās.
Arī failā teikts, ka šie jaukie cilvēki varēs atjaunot visu, kā tas bija. Lai to izdarītu, viņiem ir jānosūta atslēga no dokumenta uz savu e-pastu, pēc kura jūs saņemsit nepieciešamos norādījumus. Viņi neraksta cenu, bet patiesībā izrādās, ka atgriešanas izmaksas ir apmēram 20 000 rubļu.

Vai jūsu dati ir naudas vērti? Vai esat gatavs maksāt, lai noņemtu izspiedējvīrusu? šaubos. Ko tad darīt? Parunāsim par to vēlāk. Pagaidām sāksim ar visu kārtībā.

No kurienes tas nāk

No kurienes nāk šis nepatīkamais šifrēšanas vīruss? Šeit viss ir ļoti vienkārši. Cilvēki to saņem pa e-pastu. Parasti šis vīruss iekļūst organizācijās, uzņēmumu pastkastītēs, lai gan ne tikai. No pirmā acu uzmetiena jūs to nesajauksit ar kaku, jo tas nenāk surogātpasta veidā, bet gan no reālas nopietnas organizācijas, piemēram, mēs saņēmām vēstuli no Rostelecom pakalpojumu sniedzēja no viņu oficiālā pasta.

Vēstule bija pilnīgi parasta, piemēram, “Jauna tarifu plāni Par juridiskām personām" Iekšpusē ir iekļauts PDF fails. Un, atverot šo failu, jūs atverat Pandoras lādi. Visi svarīgie faili tiek šifrēti un konvertēti vienkāršos vārdos"ķieģelī". Turklāt antivīrusi šīs muļķības neuztver uzreiz.

Ko es izdarīju un kas nedarbojās

Protams, neviens nevēlējās par to maksāt 20 tūkstošus, jo informācija nebija tik vērta, un turklāt darīšana ar krāpniekiem vispār nebija iespējama. Un turklāt tas nav fakts, ka par šo summu jums viss tiks atbloķēts.

Palaidu utilītu drweb cureit un tā atrada vīrusu, taču no tā bija maz jēgas, jo pat pēc vīrusa faili palika šifrēti. Vīrusa likvidēšana izrādījās vienkārša, taču tikt galā ar sekām ir daudz grūtāk. Es devos uz Doctor Web un Kaspersky forumiem, un tur atradu vajadzīgo tēmu, kā arī uzzināju, ka ne tur, ne tur vēl nevar palīdzēt ar atšifrēšanu. Viss bija ļoti stipri šifrēts.

Taču meklētājprogrammas sāka rādīt rezultātus, ko daži uzņēmumi atšifrēja, izmantojot failus uz maksas pamata. Nu, tas mani ieinteresēja, jo īpaši tāpēc, ka uzņēmums izrādījās reāls, faktiski pastāvošs. Savā tīmekļa vietnē viņi piedāvāja bez maksas atšifrēt piecus gabalus, lai parādītu savas spējas. Nu es paņēmu un nosūtīju viņiem 5 manuprāt svarīgākos failus.
Pēc kāda laika saņēmu atbildi, ka viņiem izdevās visu atšifrēt un par pilnīgu atkodēšanu no manis prasīs 22 tūkstošus. Turklāt viņi negribēja man dot failus. Es uzreiz pieņēmu, ka viņi, visticamāk, strādā tandēmā ar krāpniekiem. Protams, viņi tika nosūtīti ellē.

• izmantojot programmas "Recuva" un "RStudio"
• Darbojas caur dažādiem komunālajiem pakalpojumiem
• Nu, lai sevi nomierinātu, es nevarēju nemēģināt (lai gan es labi zināju, ka tas nepalīdzēs) tikai iegūt nepieciešamo. Breds, protams)

Nekas no tā man nepalīdzēja. Bet es tomēr atradu izeju.\r\n\r\nProtams, ja pēkšņi jums ir tāda situācija, tad paskatieties, ar kādu paplašinājumu faili tiek šifrēti. Pēc tam dodieties uz http://support.kaspersky.ru/viruses/desinfection/10556 un skatiet, kādi paplašinājumi ir norādīti. Ja jūsu paplašinājums ir sarakstā, izmantojiet šo utilītu.
Taču visos 3 gadījumos, kad redzēju šo izspiedējvīrusu, neviena no šīm utilītprogrammām nepalīdzēja. Precīzāk, es saskāros ar vīrusu "da vinči kods" Un "VAULT". Pirmajā gadījumā mainījās gan nosaukums, gan paplašinājums, bet otrajā – tikai paplašinājums. Vispār šādu šifrētāju ir vesela kaudze. Dzirdu tādus neliešus kā xtbl, vairs nekādas izpirkuma maksas, labāk sauc sauli un daudzus citus.

Kas palīdzēja

Vai esat kādreiz dzirdējuši par ēnu kopijām? Tātad, kad tiek izveidots atkopšanas punkts, tiek automātiski izveidotas jūsu failu ēnu kopijas. Un, ja kaut kas notiek ar jūsu failiem, jūs vienmēr varat tos atgriezt brīdī, kad tika izveidots atjaunošanas punkts. Viena brīnišķīga programma failu atkopšanai no ēnu kopijām mums palīdzēs.

Lai sāktu ar lejupielādēt un instalējiet programmu "Shadow Explorer". Ja jaunākā versija Ja tas neizdodas (tas notiek), tad instalējiet iepriekšējo.

Dodieties uz Shadow Explorer. Kā redzam, programmas galvenā daļa ir līdzīga Explorer, t.i. failus un mapes. Tagad pievērsiet uzmanību augšējam kreisajam stūrim. Tur mēs redzam vietējā diska burtu un datumu. Šis datums nozīmē, ka visi iesniegtie faili diskā C tajā laikā ir aktuāli. Man tas ir 30. novembrī. Tas nozīmē, ka pēdējais atjaunošanas punkts tika izveidots 30. novembrī.
Ja noklikšķināsim uz datumu nolaižamā saraksta, mēs redzēsim, kuriem datumiem mums vēl ir ēnu kopijas. Un, ja jūs noklikšķiniet uz nolaižamā saraksta vietējie diski un atlasiet, piemēram, disku D, tad mēs redzēsim datumu, kurā mums ir pašreizējie faili. Bet par disku D punkti netiek izveidoti automātiski, tāpēc šī lieta ir jānorāda iestatījumos. Šis ļoti viegli izdarāms.
Kā redzat, ja diskam C Man ir diezgan nesens datums, tad diskam D pēdējais punkts tika izveidots gandrīz pirms gada. Tad mēs to darām punktu pa punktam:

Visi. Tagad atliek tikai gaidīt, līdz tiks pabeigta eksportēšana. Un tad mēs pārejam uz pašu atlasīto mapi un pārbaudām visu failu atvēršanu un funkcionalitāti. Viss ir forši).
Zinu, ka internetā ir vēl daži piedāvājumi dažādos veidos, komunālie pakalpojumi un tā tālāk, bet es par tiem nerakstīšu, jo šī ir trešā reize, kad sastopos ar šo problēmu, un ne reizi man palīdzēja nekas cits kā ēnu kopijas. Lai gan varbūt man vienkārši nepaveicās).

Bet diemžēl pēdējo reizi bija iespējams atjaunot tikai tos failus, kas atradās diskā C, jo pēc noklusējuma punkti tika izveidoti tikai diskam C. Attiecīgi diskam D nebija ēnu kopiju. Protams, jums arī jāatceras, ka ir atjaunošanas punkti, kas var novest pie tā, tāpēc pievērsiet uzmanību arī tam.

Un, lai varētu izveidot ēnu kopijas citiem cietajiem diskiem, jums arī tās ir vajadzīgas.

Profilakse

Lai izvairītos no problēmām ar atveseļošanos, jums jāveic profilakse. Lai to izdarītu, jums jāievēro šādi noteikumi.

Starp citu, šis vīruss savulaik šifrēja failus uz zibatmiņas diska, kurā atradās mūsu atslēgu sertifikāti ciparparakstam. Tāpēc esiet ļoti uzmanīgs arī ar zibatmiņas diskiem.

Ar cieņu, Dmitrijs Kostins.

Pirmie Trojan.Encoder saimes izspiedējvīrusa Trojas zirgi parādījās 2006.–2007. gadā. Kopš 2009. gada janvāra to šķirņu skaits ir pieaudzis par aptuveni 1900%! Pašlaik Trojan.Encoder ir viens no bīstamākajiem draudiem lietotājiem, tam ir vairāki tūkstoši modifikāciju. No 2013. gada aprīļa līdz 2015. gada martam Doctor Web vīrusu laboratorija saņēma 8553 pieprasījumus atšifrēt šifrētāja Trojas zirgu ietekmētos failus.
Šifrēšanas vīrusi ir gandrīz ieguvuši pirmo vietu pieprasījumos forumos par informācijas drošība. Ik dienu vidēji 40 atšifrēšanas pieprasījumus saņem tikai Doctor Web vīrusu laboratorijas darbinieki no lietotājiem, kuri ir inficēti ar dažāda veida šifrēšanas Trojas zirgiem ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digitālais seifs, Digital Case lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, glabātuve un tā tālāk). Galvenās šādu infekciju pazīmes ir lietotāju failu paplašinājumu maiņa, piemēram, mūzikas faili, attēlu faili, dokumenti u.c., mēģinot tos atvērt, parādās ziņojums no uzbrucējiem, kas pieprasa samaksu par atšifrētāja iegūšanu. Ir iespējams arī mainīt darbvirsmas fona attēlu, izskatu teksta dokumenti un logi ar atbilstošiem ziņojumiem par šifrēšanu, pārkāpumiem licences līgumi un tā tālāk. Šifrēšanas Trojas zirgi ir īpaši bīstami komercuzņēmumiem, jo ​​pazaudēti dati no datu bāzēm un maksājumu dokumenti var bloķēt uzņēmuma darbu uz nenoteiktu laiku, izraisot peļņas zaudēšanu.

Trojas zirgi no Trojan.Encoder saimes izmanto desmitiem dažādu algoritmu lietotāju failu šifrēšanai. Piemēram, lai atrastu atslēgas failu atšifrēšanai, ko Trojan.Encoder.741 šifrē, izmantojot brutālā spēka metodi, jums būs nepieciešams:
107902838054224993544152335601 gads

Trojas zirga bojāto failu atšifrēšana ir iespējama ne vairāk kā 10% gadījumu. Tas nozīmē, ka lielākā daļa lietotāja datu tiek zaudēti uz visiem laikiem.

Mūsdienās ransomware pieprasa līdz 1500 bitkoinu.

Pat ja jūs maksājat izpirkuma maksu uzbrucējam, tas nedos jums nekādas garantijas par datu atkopšanu.

Runa ir par dīvainībām - fiksēts gadījums, kad, neskatoties uz samaksāto izpirkuma maksu, noziedznieki nespēja atšifrēt pašu izveidotā Trojas zirga kodētāja šifrētos failus, un cietušo lietotāju nosūtīja pēc palīdzības... uz dienestu. tehniskais atbalsts antivīrusu kompānija!

Kā notiek infekcija?

• Izmantojot ieguldījumus e-pasts; Izmantojot sociālo inženieriju, uzbrucēji piespiež lietotāju atvērt pievienoto failu.
• Zbot infekciju izmantošana, kas slēpta kā PDF pielikumi.
• Izmantojot ekspluatācijas komplektus, kas atrodas uzlauztajās vietnēs, kas izmanto datora ievainojamības, lai instalētu infekciju.
• Izmantojot Trojas zirgus, kas piedāvā lejupielādēt atskaņotāju, kas nepieciešams tiešsaistes video skatīšanai. Tas parasti notiek porno vietnēs.
• Izmantojot RDP, izmantojot paroles uzminēšanu un ievainojamības šajā protokolā.
• Inficētu keygens, plaisu un aktivizācijas utilītu izmantošana.

Izmantojot LAP paroles uzminēšanu, uzbrucējs viņš ierodas pats zem uzlauzta konta, pats to izslēdz vai lejupielādē pretvīrusu produktu un palaiž sevišifrēšana.

Kamēr jūs nepārstāsiet baidīties no vēstulēm ar virsrakstiem "Parāds", "Kriminālprocess" utt., Uzbrucēji izmantos jūsu naivumu.

Padomā par to... Mācies pats un iemāci citiem vienkāršākos drošības pamatus!

• Nekad neatveriet pielikumus no e-pasta ziņojumiem, kas saņemti no nezināmiem adresātiem, lai arī cik biedējoša būtu galvene. Ja pielikums tika saņemts kā arhīvs, vienkārši apskatiet arhīva saturu. Un, ja ir izpildāms fails (paplašinājums .exe, .com, .bat, .cmd, .scr), tad tas 99.(9)% jums ir slazds.
• Ja jūs joprojām no kaut kā baidāties, neesiet slinks, lai uzzinātu patiesību e-pasta adrese organizācija, no kuras vārdā jums nosūtīta vēstule. Mūsu informācijas laikmetā to nav nemaz tik grūti noskaidrot.
• Pat ja sūtītāja adrese izrādīsies patiesa, neesiet slinks pa tālruni pārbaudīt, vai šāda vēstule ir nosūtīta. Sūtītāja adresi var viegli viltot, izmantojot anonīmus smtp serverus.
• Ja sūtītājs saka Sberbank vai Krievijas pasts, tas neko nenozīmē. Parastās vēstules ideālā gadījumā būtu jāparaksta ar elektronisko parakstu. Lūdzu, rūpīgi pārbaudiet šiem e-pasta ziņojumiem pievienotos failus pirms to atvēršanas.
• Regulāri izveidojiet informācijas rezerves kopijas atsevišķos datu nesējos.
• Aizmirstiet par lietošanu vienkāršas paroles, kuras ir viegli paņemt un iekāpt lokālais tīkls jūsu datiem. Lai piekļūtu LAP, izmantojiet sertifikātus, VPN piekļuvi vai divu faktoru autentifikāciju.
• Nekad nestrādājiet ar administratora tiesībām, pievērsiet uzmanību ziņojumiem UAC pat ja viņiem ir "zils" parakstītu pieteikumu, neklikšķiniet "Jā", ja neesat palaidis instalācijas vai atjauninājumus.
• Regulāri instalējiet drošības atjauninājumus ne tikai operētājsistēma, bet arī lietojumprogrammas.
• Instalējiet parole pretvīrusu programmas iestatījumiem, kas atšķiras no paroles kontu, iespējojiet pašaizsardzības iespēju

Citējam Dr.Web un Kaspersky Lab ieteikumus:

• nekavējoties izslēdziet datoru, lai apturētu Trojas zirgu, datora poga Reset var saglabāt ievērojamu daļu datu;
• Komentāru vietne: Neskatoties uz to, ka šādu ieteikumu sniedz labi zināmas laboratorijas, dažos gadījumos tā ieviešana sarežģīs atšifrēšanu, jo atslēga var tikt saglabāta RAM un pēc sistēmas pārstartēšanas to nebūs iespējams atjaunot. Lai apturētu turpmāku šifrēšanu, varat iesaldēt izspiedējvīrusa procesa izpildi, izmantojot Process Explorer vai lai saņemtu papildu ieteikumus.

Spoileris: zemsvītras piezīme

Neviens kodētājs nespēj šifrēt visus datus uzreiz, tāpēc, kamēr šifrēšana nav pabeigta, daļa no tiem paliek neskarta. Un jo vairāk laika ir pagājis kopš šifrēšanas sākuma, jo mazāk paliek neskartu datu. Tā kā mūsu uzdevums ir saglabāt pēc iespējas vairāk no tiem, mums ir jāpārtrauc kodētāja darbība. Var principā sākt analizēt procesu sarakstu, meklēt, kur tajos atrodas Trojas zirgs, mēģināt to izbeigt... Bet, ticiet man, strāvas vada atvienošana notiek daudz ātrāk! Regulāra pabeigšana Windows darbība ir laba alternatīva, taču tas var aizņemt kādu laiku, vai arī Trojas zirgs var to traucēt ar savām darbībām. Tāpēc mana izvēle ir vilkt aiz auklas. Neapšaubāmi, šim solim ir savi trūkumi: iespēja sabojāt failu sistēmu un neiespējamība turpināt RAM iztukšošanu. Bojāts failu sistēma Nesagatavotam cilvēkam problēma ir nopietnāka nekā kodētājam. Vismaz faili paliek pēc kodētāja, bet nodalījuma tabulas bojājumi padarīs neiespējamu OS sāknēšanu. No otras puses, kompetents datu atkopšanas speciālists bez problēmām salabo vienu un to pašu nodalījumu tabulu, taču kodētājam var vienkārši nepietikt laika, lai sasniegtu daudzus failus.

Lai uzsāktu kriminālprocesu pret uzbrucējiem, tiesībsargājošajām iestādēm ir nepieciešams procesuāls iemesls – jūsu paziņojums par noziegumu. Pieteikuma paraugs

Esiet gatavs tam, ka jūsu dators kādu laiku tiks konfiscēts pārbaudei.

Ja viņi atsakās pieņemt jūsu pieteikumu, saņemiet rakstisku atteikumu un iesniedziet sūdzību augstākai policijas iestādei (jūsu pilsētas vai reģiona policijas priekšniekam).

• Nekādā gadījumā nemēģiniet pārinstalēt operētājsistēmu;
• neizdzēsiet datorā nevienu failu vai e-pasta ziņojumu;
• nedarbiniet pagaidu failu un reģistra "tīrītājus";
• jums nevajadzētu skenēt un apstrādāt datoru ar antivīrusiem un pretvīrusu utilītas, un jo īpaši pretvīrusu LiveCD, kā pēdējo līdzekli varat pārvietot inficētos failus uz pretvīrusu karantīnu;

Spoileris: zemsvītras piezīme

Atšifrēšanai vislielākā nozīme var būt neuzkrītošam 40 baitu failam pagaidu direktorijā vai nesaprotamai saīsnei uz darbvirsmas. Jūs droši vien nezināt, vai tie būs svarīgi atšifrēšanai vai nē, tāpēc labāk neko neaiztikt. Reģistra tīrīšana parasti ir apšaubāma procedūra, un daži kodētāji atstāj tur darbības pēdas, kas ir svarīgas dekodēšanai. Antivīrusi, protams, var atrast kodētāja Trojas zirgu. Un viņi to var pat izdzēst vienreiz un uz visiem laikiem, bet kas tad paliks analīzei? Kā mēs sapratīsim, kā un ar ko tika šifrēti faili? Tāpēc labāk ir atstāt dzīvnieku uz diska. Cits svarīgs punkts: Es nezinu nevienu sistēmas tīrītāju, kas ņemtu vērā kodētāja darbības spēju un saglabātu visas tā darbības pēdas. Un, visticamāk, šādi līdzekļi neparādīsies. Sistēmas pārinstalēšana noteikti iznīcinās visas Trojas zirga pēdas, izņemot šifrētos failus.

• nemēģiniet atgūt šifrētus failus patstāvīgi;

Spoileris: zemsvītras piezīme

Ja jums ir pāris gadu rakstīšanas programmas, jūs patiešām saprotat, kas ir RC4, AES, RSA un kādas ir to atšķirības, jūs zināt, kas ir Hiew un ko nozīmē 0xDEADC0DE, varat to izmēģināt. Es to neiesaku citiem. Pieņemsim, ka esat atradis kādu brīnumlīdzekli failu atšifrēšanai un jums pat izdevās atšifrēt vienu failu. Tas negarantē, ka tehnika darbosies visos jūsu failos. Turklāt tas negarantē, ka, izmantojot šo metodi, jūs nesabojāsit failus vēl vairāk. Pat mūsu darbā ir nepatīkami brīži, kad tiek atrasti atšifrēšanas kodi nopietnas kļūdas, taču līdz šim tūkstošiem gadījumu kods darbojās tā, kā vajadzētu.

Tagad, kad ir skaidrs, ko darīt un ko nedarīt, varat sākt atšifrēt. Teorētiski atšifrēšana ir gandrīz vienmēr iespējama. Tas ir, ja jums ir zināmi visi tam nepieciešamie dati vai jums ir neierobežots naudas daudzums, laiks un procesora kodoli. Praksē kaut ko var atšifrēt gandrīz uzreiz. Kaut kas gaidīs savu kārtu pāris mēnešus vai pat gadus. Dažos gadījumos jums tas pat nav jārisina: neviens neīrēs superdatoru bez maksas uz 5 gadiem. Slikti ir arī tas, ka šķietami vienkāršs gadījums pēc rūpīgākas izpētes tas izrādās ārkārtīgi sarežģīts. Jūs izlemjat, ar ko sazināties.

• sazinieties ar pretvīrusu laboratoriju uzņēmumā, kurā ir vīrusu analītiķu nodaļa, kas nodarbojas ar šo problēmu;
• Pievienojiet biļetei Trojas zirgu šifrētu failu (un, ja iespējams, nešifrētu tā kopiju);
• gaidiet vīrusu analītiķa atbildi. Lielā pieprasījumu skaita dēļ tas var aizņemt kādu laiku.

Kā atgūt failus?

Adreses ar veidlapām šifrētu failu nosūtīšanai:

• Dr.Web (Pieteikumi bezmaksas atšifrēšanai tiek pieņemti tikai no visaptverošā Drweb antivīrusa lietotājiem)
• Kaspersky Lab (bezmaksas atšifrēšanas pieprasījumi tiek pieņemti tikai no Kaspersky Lab komerciālo produktu lietotājiem)
• ESET, LLC ( Pieteikumus bezmaksas atšifrēšanai pieņem tikai no ESET komerciālo produktu lietotājiem)
• The No More Ransom Project (koda lauzēju izlase)
• Šifrētāji - izspiedēji (atšifrētāju izvēle)
• ID Ransomware (atšifrētāju atlase)

Mēs Mēs absolūti neiesakām pats atjauno failus, jo, ja to darīsi nepareizi, vari zaudēt visu informāciju neko neatjaunojot!!! Turklāt noteikta veida Trojas zirgu šifrēto failu atkopšana tas ir vienkārši neiespējamišifrēšanas mehānisma spēka dēļ.

Izdzēstas failu atkopšanas utilītas:
Dažu veidu izspiedējvīrusa Trojas zirgi izveido šifrētā faila kopiju, šifrē to un oriģinālais fails dzēsts, šajā gadījumā failu atjaunošanai varat izmantot kādu no utilītprogrammām (ieteicams izmantot pārnēsājamas programmu versijas, kas lejupielādētas un ierakstītas cita datora zibatmiņas diskā):

• R.saver
• Recuva
• JPEG kaut kas lielisks - utilīta bojātu attēlu atkopšanai
• JPGscan apraksts)
• PhotoRec - utilīta bojātu attēlu atjaunošanai (apraksts)

Dažu versiju problēmu risināšanas metode Lockdir

Mapes, kas šifrētas ar dažām Lockdir versijām, var atvērt, izmantojot arhivētāju 7-rāvējslēdzējs

Pēc veiksmīgas datu atkopšanas jums jāpārbauda sistēma ļaunprogrammatūra, lai to izdarītu, jums vajadzētu sekot līdzi un sadaļā izveidot tēmu, kurā aprakstīta problēma

Šifrētu failu atkopšana, izmantojot operētājsistēmu.

Lai atjaunotu failus, izmantojot operētājsistēmu, pirms izspiedējvīrusa Trojas zirga nokļūšanas jūsu datorā ir jāiespējo sistēmas aizsardzība. Lielākā daļa izspiedējvīrusu Trojas zirgu mēģinās izdzēst visas ēnu kopijas jūsu datorā, taču dažreiz tas neizdodas (ja jums nav administratora privilēģiju un instalētie atjauninājumi Windows), un varat izmantot ēnu kopijas, lai atgūtu bojātos failus.

Lūdzu, atcerieties, ka komanda, lai izdzēstu ēnu kopijas:

Kods:

Vssadmin dzēst ēnas

darbojas tikai ar administratora tiesībām, tāpēc pēc aizsardzības iespējošanas ir jāstrādā tikai lietotāja ar ierobežotas tiesības un pievērsiet uzmanību visiem UAC brīdinājumiem par mēģinājumu eskalēt privilēģijas.

Spoileris: Kā iespējot sistēmas aizsardzību?

Kā atjaunot iepriekšējās failu versijas pēc tam, kad tās ir bojātas?

Piezīme:

Atjaunošana no faila vai mapes rekvizītiem, izmantojot cilni " Iepriekšējās versijas» pieejams tikai iekšā Windows izdevumi 7 ne zemāks par “profesionāls”. Windows 7 mājas izdevumos un visos jaunāko Windows operētājsistēmu izdevumos ir risinājums (zem spoilera).

Spoileris

Otrais veids -šī ir utilīta izmantošana ShadowExplorer(varat lejupielādēt gan instalēšanas programmu, gan utilīta portatīvo versiju).

Palaidiet programmu
Atlasiet disku un datumu, kuram vēlaties atgūt failus

Atlasiet failu vai mapi, kuru vēlaties atkopt, un noklikšķiniet uz tā ar peles labo pogu noklikšķiniet pelēm
Izvēlieties izvēlnes vienumu Eksportēt un norādiet ceļu uz mapi, kurā vēlaties atjaunot failus no ēnu kopijas.

Veidi, kā pasargāt sevi no izspiedējvīrusa Trojas zirgiem

Diemžēl metodes aizsardzībai pret izspiedējvīrusu Trojas zirgiem parastiem lietotājiem ir diezgan sarežģīti, jo drošības politika vai HIPS iestatījumi ir nepieciešami, lai ļautu piekļūt failiem tikai noteiktām lietojumprogrammām, un tie nenodrošina 100% aizsardzību gadījumos, kad Trojas zirgs tiek ievadīts uzticamas lietojumprogrammas adrešu telpā. Tāpēc vienīgais pieejamā veidā aizsardzība ir dublējums lietotāja failus uz noņemamiem datu nesējiem. Turklāt, ja šāds pārvadātājs ir ārējais ciets disks vai zibatmiņas disks, šie datu nesēji ir jāpievieno datoram tikai uz dublēšanas laiku un jāatvieno pārējā laikā. Lai nodrošinātu lielāku drošību, dublēšanu var veikt, startējot no LiveCD. Dublējumus var veikt arī tā sauktajā " mākoņkrātuve", ko nodrošina daži uzņēmumi.

Iestatījumi pretvīrusu programmas lai samazinātu šifrēšanas Trojas zirgu inficēšanās iespējamību.

Attiecas uz visiem produktiem:

Jāaktivizē pašaizsardzības modulis un jāiestata kompleksa parole antivīrusa iestatījumiem!!!

Inficēšanās ar ransomware vīrusu

Pēdējā laikā arvien biežāki ir inficēšanās gadījumi ar šifrētājiem (šifrētājiem, kriptovīrusiem), izmantojot pasta sūtījumus.
Vēstules it kā nāk no pilnvarotām iestādēm (šķīrējtiesa, nodokļu birojs, pensiju fonds, sociālās apdrošināšanas fonds utt.). Vēstulēs kā pielikums ir fails vai saite uz failu.
Mēģinot atvērt failu, notiek infekcija, kā rezultātā:
1. Informācija datorā ir pilnībā vai daļēji šifrēta cietie diski Jūsu dators un tīkla cietie diski. Parasto failu paplašinājumu vietā jūs redzat: vault, cbr, crypt, crypted, xtbl vai citus;
2. Tiek dzēstas rezerves kopijas un vērtīga informācija;
3. Datori lokālajā tīklā tiek inficēti;
4. Vēstules ar vīrusu jūsu vārdā retāk tiek sūtītas adresātiem no jūsu adrešu grāmatas;
5. Uzbrucējs atstāj ziņojumu par nepieciešamību veikt maksājumu, lai atgūtu datus. Parasti summa ir no 25 000 rubļu. un augstāk.

Kodētāja vīrusa ārstēšana.

Gandrīz visi pretvīrusi ļauj izspiest izspiedējvīrusus. Tas ir saistīts ar faktu, ka katru dienu parādās jauni šifrētāji, kurus pretvīrusu programmatūra neatpazīst, un līdz brīdim, kad tie nonāk pretvīrusu datu bāzēs, simtiem tūkstošu datoru tiek inficēti.

Kā atšifrēt failus pēc inficēšanās ar izspiedējvīrusu?

Failus, kas šifrēti ar moderniem šifrētājiem, nevar atšifrēt, jo vīrusi izmanto spēcīgu šifrēšanas algoritmu. Pat pretvīrusu laboratorijas vairumā gadījumu nevar palīdzēt atšifrēt failus. Protams, nenāktu par ļaunu sazināties ar Kaspersky Lab vai Dr.Web, lai saņemtu palīdzību garantēts rezultāts nav jāgaida.

Vienīgā efektīva metode aizsardzībai pret izspiedējvīrusu ir preventīvie pasākumi.

Mūsu eksperti iesaka veikt virkni iestatījumu, lai aizsargātu pret izspiedējvīrusiem: