Jedan od najproblematičnijih zlonamjernih programa danas je trojanac ili virus koji kriptira datoteke na korisničkom disku. Neke od ovih datoteka se mogu dešifrirati, a neke - još ne. Priručnik sadrži moguće algoritme za akcije u obje situacije, načine za određivanje specifičnog tipa enkripcije na No Ransom i ID Ransomware uslugama, kao i kratak pregled antivirusnog softvera za šifriranje (ransomware).
Postoji nekoliko modifikacija takvih virusa ili Ransomware Trojanaca (a novi se stalno pojavljuju), ali opšta suština rada je da nakon instaliranja datoteka dokumenata, slika i drugih datoteka koje su potencijalno važne, one se šifriraju sa proširenjem i brisanjem originalnih datoteka. nakon čega primite poruku u datoteci readme.txt u kojoj piše da su sve vaše datoteke šifrovane, a da biste ih dešifrirali, morate poslati određeni iznos napadaču. Napomena: Windows 10 Fall Creators Update sada ima ugrađenu zaštitu od virusa enkripcije.
Šta ako su svi važni podaci šifrovani
Za početak, neke opšte informacije za šifriranje važnih datoteka na računaru. Ako su važni podaci na vašem računaru šifrovani, onda pre svega ne treba paničiti.
Ako imate takvu mogućnost, kopirajte uzorak datoteke sa tekstualnim zahtevom od napadača za dešifrovanje, kao i instancu šifrovane datoteke, na eksterni disk (fleš disk) sa kompjuterskog diska na kojem se pojavio virus-encryptor (ransomware). Isključite računar tako da virus ne može nastaviti da šifruje podatke i izvršite preostale radnje na drugom računaru.
Sledeća faza je da saznate koji tip virusa su vaši podaci šifrovani pomoću dostupnih šifrovanih fajlova: za neke od njih postoje dekoderi (neki ću ovde ukazati, neki su bliže kraju članka), za neke - još ne. Ali čak iu ovom slučaju, možete poslati primere šifrovanih datoteka u antivirusne laboratorije (Kaspersky, Dr. Web) za proučavanje.
Kako točno saznati? To možete uraditi pomoću Google-a, pronalaženjem diskusija ili tipom kriptografa po nastavku datoteke. Počeli su se pojavljivati i servisi za određivanje vrste ransomwarea.
No More Ransom
No More Ransom je resurs koji se aktivno razvija i koji je podržan od strane developera sigurnosnih alata i koji je dostupan u ruskoj verziji, a koji ima za cilj borbu protiv virusa kriptografa (Trojanci-iznuđivači).
Sa srećom, No More Ransom može pomoći da se dešifruju vaši dokumenti, baze podataka, fotografije i druge informacije, preuzmu neophodni programi za dešifrovanje i dobiju informacije koje će vam pomoći da izbegnete takve pretnje u budućnosti.
Na No More Ransom, možete pokušati da dešifrujete vaše datoteke i odredite tip virusa enkripcije kako slijedi:
- Kliknite na "Yes" na glavnoj stranici usluge //www.nomoreransom.org/ru/index.html
- Otvorit će se stranica kripto-šerifa, gdje možete preuzeti primjere šifriranih datoteka koje nisu veće od 1 Mb (preporučujem da ne postavljate povjerljive podatke), kao i da navedete adrese e-pošte ili web-lokacije na koje su prevaranti zatražili otkup (ili preuzmite datoteku readme.txt iz zahtjev).
- Kliknite na dugme „Proveri“ i sačekajte da se provera i njen rezultat završi.
Pored toga, sajt ima korisne sekcije:
- Dekriptori - gotovo svi postojeći programi za dešifrovanje datoteka koje su kriptirane virusom.
- Prevencija infekcije - informacije koje su prvenstveno namijenjene početnicima, što može pomoći u izbjegavanju infekcije u budućnosti.
- Pitanja i odgovori - informacije za one koji žele da bolje razumiju rad enkripcijskih virusa i akcija u slučajevima kada se suočite sa činjenicom da su datoteke na vašem računaru šifrovane.
Danas, No More Ransom je verovatno najrelevantniji i najkorisniji resurs povezan sa dešifrovanjem datoteka za ruskog korisnika, preporučujem.
Id ransomware
Još jedna takva usluga je //id-ransomware.malwarehunterteam.com/ (iako ne znam koliko dobro funkcionira za verzije virusa na ruskom jeziku, ali vrijedi pokušati da se poslužite primjerom šifrirane datoteke i tekstualne datoteke sa zahtjevom za otkup).
Nakon određivanja tipa kriptografa, ako uspijete, pokušajte pronaći uslužni program za dešifriranje ove opcije za upite poput: Decryptor Type_Chiler. Takvi uslužni programi su besplatni i proizvode ih antivirusni programeri, na primjer, nekoliko takvih uslužnih programa može se naći na Kaspersky sajtu //support.kaspersky.ru/viruses/utility (drugi alati su bliži kraju članka). I, kao što je već pomenuto, ne ustručavajte se kontaktirati programere antivirusnih programa na svojim forumima ili pošti.
Nažalost, sve ovo ne pomaže uvijek i ne rade uvijek dešifrirajuće datoteke. U ovom slučaju, scenariji su različiti: mnogi plaćaju uljeze, ohrabrujući ih da nastave ovu aktivnost. Nekim korisnicima pomaže program za oporavak podataka na računaru (jer virus, kreirajući šifrovanu datoteku briše regularnu, važnu datoteku koja se teoretski može vratiti).
Datoteke na računaru su šifrovane u xtbl
Jedna od najnovijih varijanti ransomware virusa šifrira datoteke, zamjenjujući ih datotekama s .xtbl ekstenzijom i imenom koje se sastoji od slučajnog skupa znakova.
U isto vreme, tekstualna datoteka readme.txt se nalazi na računaru sa približno sledećim sadržajem: "Vaše datoteke su šifrovane. Da biste ih dešifrovali, morate poslati kôd na adresu e-pošte [email protected], [email protected] ili [email protected]. Dobijate sve potrebne instrukcije. Pokušaji da sami dešifrujete fajlove će dovesti do nepovratnog gubitka informacija “(adresa pošte i tekst mogu se razlikovati).
Nažalost, trenutno ne postoji način da se dešifruje .xtbl (čim se pojavi, instrukcija će biti ažurirana). Neki korisnici koji su na svom kompjuterskom računu imali veoma važne informacije o anti-virusnim forumima da su poslali 5000 rubalja ili drugi potrebni iznos autorima virusa i dobili dekoder, ali to je vrlo rizično: možda nećete dobiti ništa.
Šta ako su datoteke šifrovane u .xtbl? Moje preporuke su sledeće (ali se razlikuju od onih na mnogim drugim tematskim lokacijama, gde, na primer, preporučuju da odmah isključite računar iz napajanja ili da ne uklonite virus. Po mom mišljenju, ovo je nepotrebno, i pod određenim okolnostima može čak biti štetno, kako god odlučite.):
- Ako možete, prekinite proces šifrovanja tako što ćete ukloniti odgovarajuće zadatke u menadžeru zadataka, prekinuti vezu sa računarom na Internetu (to može biti neophodan uslov za šifrovanje)
- Zapamtite ili napišite kod koji napadači trebaju poslati na adresu e-pošte (samo ne u tekstualnoj datoteci na računaru, za svaki slučaj, tako da se i ne ispostavi da je kriptirana).
- Upotreba Malwarebytes Antimalware, probne verzije Kaspersky Internet Security ili Dr.Web Cure It za uklanjanje virusa koji šifruje datoteke (svi gore navedeni alati dobro rade s ovim). Savetujem vam da redom koristite prvi i drugi proizvod sa liste (mada, ako imate instaliran antivirus, instaliranje drugog „na vrhu“ je nepoželjno, jer može dovesti do problema u radu računara.)
- Sačekajte da se pojavi antivirusna kompanija. U prvom planu je Kaspersky Lab.
- Također možete poslati primjer šifrirane datoteke i potrebnog koda [email protected], ako imate kopiju istog fajla u nekodiranom obliku, pošaljite i to. U teoriji, ovo može ubrzati izgled dekodera.
Šta ne treba raditi:
- Preimenujte šifrovane datoteke, promijenite proširenje i izbrišite ih ako su vam važni.
Ovo je verovatno sve što mogu da kažem o šifrovanim datotekama sa .xtbl ekstenzijom u ovom trenutku.
Datoteke su kriptirane better_call_saul
Najnoviji virus enkripcije je Better Call Saul (Trojan-Ransom.Win32.Shade), koji postavlja .better_call_saul ekstenziju za šifrovane datoteke. Kako dešifrovati takve datoteke još nije jasno. Korisnici koji su kontaktirali Kaspersky Lab i Dr.Web dobili su informaciju da se to ne može uraditi u ovom trenutku (ali pokušajte svejedno poslati više uzoraka šifrovanih datoteka od programera = verovatnije da će pronaći način).
Ako se ispostavi da ste pronašli način da dešifrujete (tj. Da je negde postavljen, ali nisam pratio), molimo da podelite informacije u komentarima.
Trojan-Ransom.Win32.Aura i Trojan-Ransom.Win32.Rakhni
Sljedeći trojanac koji šifrira datoteke i instalira proširenja iz ove liste:
- .locked
- .crypto
- .kraken
- .AES256 (ne mora nužno biti i ovaj trojanac, postoje i drugi koji instaliraju iste ekstenzije).
- .codercsu @ gmail_com
- .enc
- .oshit
- I drugi.
Za dešifriranje datoteka nakon rada ovih virusa, Kaspersky web stranica ima besplatan uslužni program, RakhniDecryptor, dostupan na službenoj stranici //support.kaspersky.com/viruses/disinfection/10556.
Tu je i detaljna instrukcija o tome kako koristiti ovaj uslužni program, koji pokazuje kako se oporavljaju šifrovane datoteke, od kojih bih samo u slučaju uklonio stavku "Brisanje šifrovanih datoteka nakon uspješne dešifriranja" (iako mislim da će sve biti u redu s instaliranom opcijom).
Ako imate Dr.Web antivirusnu licencu, možete koristiti besplatnu dešifriranje ove kompanije na adresi //support.drweb.com/new/free_unlocker/
Više varijanti virusa enkripcije
Rijetko, ali postoje i sljedeći Trojanci, šifriranje datoteka i zahtijevaju novac za dešifriranje. Navedeni linkovi nisu samo uslužni programi za vraćanje vaših datoteka, već i opis znakova koji će vam pomoći da utvrdite da li imate određeni virus. Iako uopšteno, najbolji način: uz pomoć Kaspersky Anti-Virusa, skenirajte sistem, saznajte naziv Trojanca prema klasifikaciji ove kompanije, a zatim potražite pomoćni program po tom imenu.
- Trojan-Ransom.Win32.Rector je besplatan RectorDecryptor alat za dešifriranje i korištenje vodiča dostupan ovdje: //support.kaspersky.com/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist je sličan trojanac koji prikazuje prozor sa zahtjevom da pošaljete plaćeni SMS ili kontakt putem e-maila za upute o dekodiranju. Upute za oporavak šifriranih datoteka i uslužnog programa XoristDecryptor za to je na stranici //support.kaspersky.com/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - uslužni program RannohDecryptor //support.kaspersky.com/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 i drugi sa istim imenom (kada pretražuju kroz Dr.Web anti-virus ili Cure It program) i različite brojeve - pokušajte pretraživati internet po imenu Trojan. Za neke od njih postoje i uslužni programi za dešifrovanje Dr.Web-a, ako ne možete pronaći uslužni program, ali postoji Dr.Web licenca, možete koristiti službenu stranicu //support.drweb.com/new/free_unlocker/
- CryptoLocker - za dešifrovanje datoteka nakon pokretanja CryptoLockera, možete koristiti lokaciju //decryptcryptolocker.com - nakon slanja uzorka datoteke, dobit ćete ključ i uslužni program za oporavak datoteka.
- Na licu mjesta//bitbucket.org/jadacyrus/ransomwareremovalkit/ preuzimanja dostupna Ransomware Removal Kit - velika arhiva sa informacijama o različitim tipovima kriptografa i uslužnih programa za dešifriranje (na engleskom)
Pa, iz poslednjih vesti - Kaspersky Lab, zajedno sa policijskim službenicima iz Holandije, razvili su Ransomware Decryptor (//noransom.kaspersky.com) da dešifruju fajlove nakon CoinVault-a, međutim, ovaj iznuđivač još nije pronađen u našim geografskim širinama.
Antivirusni enkripatori ili ransomware
Sa širenjem Ransomware-a, mnogi proizvođači anti-virusnih i anti-malware alata počeli su da izdaju svoja rešenja za sprečavanje šifrovanja na računaru, među kojima su:- Malwarebytes Anti-ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Ali: ovi programi nisu dizajnirani da dešifruju, već samo da spriječe enkripciju važnih datoteka na vašem računalu. I generalno, čini mi se da bi ove funkcije trebale biti implementirane u antivirusne proizvode, inače se dobija čudna situacija: korisnik treba da zadrži antivirus na računaru, sredstvo za borbu protiv AdWare-a i Malware-a, a sada i Anti-ransomware uslužni program, plus za svaki slučaj exploit.
Usput, ako se iznenada ispostavi da imate nešto da dodate (jer ne mogu da pratim šta se dešava sa metodama dešifriranja), izveštavam u komentarima, ova informacija će biti korisna drugim korisnicima koji su naišli na problem.