Skrárnar þínar hafa verið dulkóðaðar - hvað á að gera?

Eitt af því sem mest erfiðasta malware í dag er tróverji eða veira sem dulkóðar skrár á diskur notanda. Sum þessara skráa er hægt að afkóða, og sumir - ekki ennþá. Handbókin inniheldur mögulega reiknirit fyrir aðgerðir í báðum aðstæðum, leiðir til að ákvarða tiltekna tegund dulkóðunar á þjónustu nr. Ransom og ID Ransomware sem og stutt yfirlit yfir andstæðingur-veira dulkóðunarforritið (ransomware).

Það eru nokkrir breytingar á slíkum veirum eða ransomware Tróverji (og nýjar eru stöðugt að birtast) en almennt kjarni verksins er að eftir að setja skrár skjala, myndir og aðrar skrár sem eru hugsanlega mikilvægar eru þau dulkóðuð með framlengingu og eyðingu upprunalegra skráa. þá færðu skilaboð í readme.txt skránni þar sem fram kemur að öll skráin þín hafi verið dulkóðuð og að afkóða þá þarftu að senda ákveðna upphæð til árásarmannsins. Athugaðu: Windows 10 Fall Creators Update hefur nú innbyggða vörn gegn dulkóðunarveirum.

Hvað ef öll mikilvæg gögn eru dulkóðuð

Til að byrja, nokkrar almennar upplýsingar um dulkóðun mikilvægra skráa á tölvunni þinni. Ef mikilvæg gögnin á tölvunni þinni hafa verið dulkóðuð, þá ættir þú fyrst og fremst ekki að örvænta.

Ef þú hefur slíkt tækifæri skaltu afrita sýnishornaskrá með textabeiðni frá árásarmaðurinni um decryption, ásamt dæmi um dulritaðan skrá, til ytri drifsins (flash drive) frá tölvuskjánum sem veira-dulritunarvélin (ransomware) birtist. Slökktu á tölvunni þannig að veiran geti ekki haldið áfram að dulkóða gögnin og framkvæma aðrar aðgerðir á annarri tölvu.

Næsta áfangi er að finna út hvaða tegund af veira gögnin þín eru dulkóðuð með því að nota dulkóðuð skrár: fyrir suma þeirra eru descramblers (sumir sem ég mun benda hér, sumir eru merktar nærri enda greinarinnar), fyrir suma - ekki ennþá. En jafnvel í þessu tilfelli er hægt að senda dæmi um dulritaðar skrár til andstæðingur-veira Labs (Kaspersky, Dr. Web) til rannsóknar.

Hvernig nákvæmlega er að finna út? Þú getur gert þetta með því að nota Google, finna umræður eða tegund dulmáls eftir skráafréttingu. Einnig byrjaði að birtast þjónustu til að ákvarða tegund af ransomware.

Ekkert meira lausnargjalds

No More Ransom er virkan þróunaraðferð sem studd er af verktaki af öryggisverkfærum og eru tiltækar í rússnesku útgáfunni, sem miðar að því að berjast gegn veirum af dulritara (tróverji-extortionists).

Með heppni, ekkert fleira lausnargjald getur hjálpað til að afkóða skjölin þín, gagnagrunna, myndir og aðrar upplýsingar, hlaða niður nauðsynlegum forritum til decryption og fá einnig upplýsingar sem hjálpa til við að koma í veg fyrir slíkar ógnir í framtíðinni.

Á ekkert fleira lausnargjald geturðu reynt að afkóða skrárnar þínar og ákvarða tegund dulkóðunarveirunnar eins og hér segir:

  1. Smelltu á "Já" á heimasíðunni þjónustunnar //www.nomoreransom.org/ru/index.html
  2. The Crypto Sýslumaður síðunni mun opna, þar sem þú getur sótt dæmi um dulritaðar skrár sem eru ekki stærri en 1 Mb að stærð (ég mæli með að senda ekki trúnaðargögn) og einnig tilgreina netföng eða vefsvæði sem fraudsters biðja um lausnargjald (eða hlaða niður readme.txt skránni frá kröfu).
  3. Smelltu á "Athugaðu" hnappinn og bíddu eftir að stöðva og niðurstaðan er lokið.

Að auki hefur vefsíðan gagnlegar köflum:

  • Decryptors - næstum öll núverandi tól til að afkóða veira-dulritaðar skrár.
  • Forvarnir gegn sýkingum - upplýsingar miða fyrst og fremst við nýliði, sem geta hjálpað til við að koma í veg fyrir sýkingu í framtíðinni.
  • Spurningar og svör - Upplýsingar fyrir þá sem vilja skilja betur vírusar og aðgerðir aðgerða í þeim tilvikum þegar þú ert frammi fyrir því að skrárnar á tölvunni þinni hafi verið dulkóðuð.

Í dag er ekkert fleira lausnargjald sennilega mest viðeigandi og gagnlegur úrræði í tengslum við að afkóða skrár fyrir rússneska notanda, mæli ég með.

Id ransomware

Annar slík þjónusta er //id-ransomware.malwarehunterteam.com/ (þó að ég veit ekki hversu vel það virkar af rússnesku afbrigði af veirunni, en það er þess virði að reyna að brjótast í þjónustuna sem dæmi um dulritaðri skrá og textaskrá með lausnargjaldi).

Eftir að ákvarða tegund dulkóða, ef þú ná árangri skaltu reyna að finna gagnsemi til að afkóða þennan möguleika fyrir fyrirspurnir eins og: Decryptor Type_Chiler. Slík tól eru ókeypis og eru framleidd af antivirus verktaki, til dæmis er hægt að finna nokkrar slíkar tólir á Kaspersky síðunni //support.kaspersky.ru/viruses/utility (önnur tól eru nær lok greinarinnar). Og, eins og áður hefur verið nefnt, ekki hika við að hafa samband við forritara antivirus programs á vettvangi þeirra eða póstþjónustu.

Því miður, þetta hjálpar ekki alltaf og það eru ekki alltaf að vinna skráarkóða. Í þessu tilfelli eru atburðarásin mismunandi: margir borga boðflenna, hvetja þá til að halda áfram þessari starfsemi. Sumir notendur eru hjálpaðir með forriti til að endurheimta gögn á tölvu (vegna þess að veira, með því að búa til dulkóðuðu skrá, eyðir venjulegum, mikilvægum skrá sem fræðilega er hægt að endurheimta).

Skrár á tölvunni eru dulkóðuð í xtbl

Eitt af nýjustu afbrigði af ransomware veirunni dulkóðar skrár, skipta þeim með skrám með .xtbl eftirnafninu og nafn sem samanstendur af handahófi stafstafa.

Á sama tíma er textaritill readme.txt settur á tölvuna með um það bil eftirfarandi efni: "Skrárnar þínar voru dulritaðar. Til að afkóða þá þarftu að senda kóðann á netfangið [email protected], [email protected] eða [email protected]. Þú færð allar nauðsynlegar leiðbeiningar. Tilraunir til að afkóða skrárnar þínar munu leiða til óafturkræf taps á upplýsingum "(póstfang og texti geta verið mismunandi).

Því miður er engin leið til að afkóða .xtbl (eins fljótt og auðið er verður kennslan uppfærð). Sumir notendur sem höfðu mjög mikilvægar upplýsingar um tölvu skýrslu sína um andstæðingur-veira ráðstefnur sem þeir sendu 5000 rúblur eða annað krafist magn til höfunda veira og fékk descrambler, en þetta er mjög áhættusamt: þú getur ekki fengið neitt.

Hvað ef skrárnar voru dulkóðuð í .xtbl? Ráðleggingar mínir eru sem hér segir (en þeir eru frábrugðnar þeim sem eru á mörgum öðrum þemuvefum, þar sem þau mæltu til dæmis að slökkva á tölvunni frá aflgjafanum strax eða ekki fjarlægja veiruna. Að mínu mati er þetta óþarft og við vissar aðstæður kann að vera skaðlegt, þó þú ákveður.):

  1. Ef þú getur, trufla dulkóðunarferlið með því að fjarlægja samsvarandi verkefni í verkefnisstjóranum, aftengja tölvuna þína af internetinu (þetta gæti verið nauðsynlegt skilyrði fyrir dulkóðun)
  2. Mundu eða skrifaðu kóðann sem árásarmenn þurfa að senda til netfangs (bara ekki í textaskrá á tölvunni, bara í tilfelli, svo að það virðist ekki vera dulkóðuð).
  3. Notkun Malwarebytes Antimalware, prufuútgáfu af Kaspersky Internet Security eða Dr.Web Cure It til að fjarlægja veiruna sem dulkóðar skrár (öll ofangreind verkfæri gera gott starf við þetta). Ég ráðleggi þér að skipta um að nota fyrstu og aðra vöruna af listanum (þó að ef þú ert með antivirus uppsett þá er það óæskilegt að setja annan "ofan" af því að það getur leitt til vandamála í rekstri tölvunnar.)
  4. Bíddu eftir að andstæðingur-veira fyrirtækið birtist. Í fararbroddi hér er Kaspersky Lab.
  5. Þú getur einnig sent dæmi um dulritaðri skrá og nauðsynlegan kóða til [email protected], ef þú hefur afrit af sömu skrá í ótryggðu formi, sendu það líka. Í orði, þetta getur flýtt fyrir útliti deka.

Hvað ekki að gera:

  • Endurnefna dulkóðaðar skrár, breyttu eftirnafninu og eyða þeim ef þau eru mikilvæg fyrir þig.

Þetta er líklega allt sem ég get sagt um dulritaða skrár með .xtbl eftirnafnið á þessum tímapunkti.

Skrár eru dulkóðuð better_call_saul

Nýjasta dulkóðunarvélin er Better Call Saul (Trojan-Ransom.Win32.Shade), sem setur .better_call_saul eftirnafnið fyrir dulritaðar skrár. Hvernig á að afkóða slíkar skrár er ekki ennþá skýrt. Þeir notendur sem hafa samband við Kaspersky Lab og Dr.Web fengu upplýsingar um að þetta sé ekki hægt að gera í augnablikinu (en reyndu að senda engu að síður - fleiri sýnishorn af dulkóðaðar skrár frá forritara = líklegri til að finna leið).

Ef það kemur í ljós að þú hefur fundið leið til að afkóða (þ.e. það var staða einhvers staðar en ég fylgdi ekki), vinsamlegast taktu upplýsingarnar í athugasemdunum.

Trojan-Ransom.Win32.Aura og Trojan-Ransom.Win32.Rakhni

Eftirfarandi Trojan sem dulkóðar skrár og setur viðbætur úr þessum lista:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (ekki endilega þessi tróverji, það eru aðrir sem setja upp sömu viðbót).
  • .codercsu @ gmail_com
  • .enc
  • .oshit
  • Og aðrir.

Til að afkóða skrár eftir aðgerð þessara vírusa hefur Kaspersky website ókeypis tól, RakhniDecryptor, sem er aðgengileg á opinberu síðunni //support.kaspersky.com/viruses/disinfection/10556.

Það er einnig nákvæmar leiðbeiningar um hvernig á að nota þetta tól, sem sýnir hvernig á að endurheimta dulkóðuðu skrár, en ég myndi bara fjarlægja hlutinn "Eyða dulkóðuðum skrám eftir árangursríkan afkóðun" (þó að ég held að allt sé fínt með uppsettan valkost).

Ef þú ert með DrWeb andstæðingur veira leyfi, getur þú notað ókeypis decryption frá þessu fyrirtæki á //support.drweb.com/new/free_unlocker/

Fleiri afbrigði af dulkóðunarveiru

Meira sjaldan, en það eru einnig eftirfarandi Tróverji, dulkóða skrár og þurfa peninga til decryption. Leiðbeinandi tenglar eru ekki aðeins tól til að skila skrám þínum heldur einnig lýsingu á þeim skilti sem munu hjálpa til við að ákvarða að þú hafir þetta tiltekna veira. Þó almennt, besta leiðin: með hjálp Kaspersky Anti-Virus skanna kerfið skaltu finna út nafnið á Trojan samkvæmt flokkun þessa fyrirtækis og þá leita að gagnsemi með því nafni.

  • Trojan-Ransom.Win32.Rector er ókeypis RectorDecryptor gagnsemi fyrir decryption og notkun handbók boði hér: //support.kaspersky.com/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist er svipuð Trojan sem sýnir glugga sem biður þig um að senda greiddan SMS eða hafðu samband í tölvupósti til að fá leiðbeiningar um umskráningu. Leiðbeiningar um að endurheimta dulkóðuð skrá og XoristDecryptor gagnsemi fyrir þetta er á síðu //support.kaspersky.com/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547 gagnsemi
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 og aðrir með sama nafni (þegar leitað er í gegnum DrWeb andstæðingur-veira eða Cure It gagnsemi) og mismunandi tölur - reyndu að leita á Netinu með nafni Trojan. Fyrir suma þeirra eru Dr.Web afkóðunaraðferðir, ef þú gætir ekki fundið gagnsemi, en það er Dr.Web leyfi, getur þú notað opinbera síðu //support.drweb.com/new/free_unlocker/
  • CryptoLocker - til að afkóða skrár eftir að hafa keyrt CryptoLocker, getur þú notað síðuna //decryptcryptolocker.com - eftir að þú sendir sýnishornaskrána munt þú fá lykil og gagnsemi til að endurheimta skrárnar þínar.
  • Á staðnum//bitbucket.org/jadacyrus/ransomwareremovalkit/niðurhal í boði Ransomware Flutningur Kit - stórt skjalasafn með upplýsingum um mismunandi gerðir af dulritunar- og afkóðunaraðgerðum (á ensku)

Jæja, frá nýjustu fréttir - Kaspersky Lab, ásamt löggæsluþjónar frá Hollandi, þróaði Ransomware Decryptor (//noransom.kaspersky.com) til að afkóða skrár eftir CoinVault, en þessi extortionist hefur ekki enn fundist í breiddargráðum okkar.

Andstæðingur-veira dulkóða eða ransomware

Með útbreiðslu Ransomware, tóku margir framleiðendur af andstæðingur-veira og andstæðingur-malware verkfæri að losa lausnir sínar til að koma í veg fyrir dulkóðun á tölvunni, meðal þeirra eru:
  • Malwarebytes Anti-ransomware
  • BitDefender Anti-Ransomware
  • WinAntiRansom
Fyrstu tveir eru enn í beta, en ókeypis (þau styðja aðeins við skilgreiningu á takmörkuðum fjölda veira af þessu tagi - TeslaCrypt, CTBLocker, Locky, CryptoLocker. WinAntiRansom - greiddur vara sem lofar að koma í veg fyrir dulkóðun með næstum öllum ransomware sýnum, sem veitir vernd fyrir bæði staðbundin og net diska.

En: Þessar áætlanir eru ekki hönnuð til að afkóða en aðeins til að koma í veg fyrir dulkóðun mikilvægra skráa á tölvunni þinni. Og almennt virðist mér að þessar aðgerðir ættu að koma til framkvæmda í andstæðingur-veira vörum, annars er undarlegt ástand er að finna: notandinn þarf að halda antivirus á tölvunni, leið til að berjast gegn AdWare og malware og nú einnig Anti-ransomware gagnsemi, nýta.

Við the vegur, ef skyndilega kemur í ljós að þú hafir eitthvað til að bæta við (vegna þess að þar sem ég hef ekki tíma til að fylgjast með hvað er að gerast með decryption aðferðunum), tilkynna í athugasemdum, þessar upplýsingar munu vera gagnlegar fyrir aðra notendur sem hafa upplifað vandamál.