Meniul
AcasăFoto și video

Decriptare Kaspersky. Cum să recuperați fișierele criptate (Instrucțiuni). Sau decriptoare pentru un anumit tip de fișiere criptate care sunt localizate

Ai devenit victima unui ransomware? Nu plătiți răscumpărarea!

Decriptoarele noastre gratuite vă vor ajuta să recâștigați accesul la fișierele blocate tipuri variate software descris mai jos care necesită o răscumpărare. Doar selectați un titlu pentru a vedea semnele de infecție și pentru a obține ajutor gratuit.

Doriți să evitați infecțiile cu ransomware în viitor?

Dulapul Alcatraz

Alcatraz Locker este unul dintre programele ransomware care a fost descoperit pentru prima dată la mijlocul lunii noiembrie 2016. Folosește metoda AES 256 în combinație cu codificarea Base64 pentru a cripta fișierele.

Schimbarea numelor fișierelor.

Fișierele criptate primesc extensia .Alcatraz.

Mesaj de răscumpărare.

răscumpărat.html" pe desktop:

Dacă Alcatraz a criptat fișierele dvs., faceți clic aici pentru a descărca decriptor gratuit a debloca.

Apocalipsa

Apocalypse este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Apocalypse adaugă extensii .criptate, .La naiba cu datele tale, .încuiat, .Fișier criptat sau .SecureCrypted Teză.doc.blocat.)

Mesaj de răscumpărare.

La deschiderea unui fișier cu extensia .Cum_Se_decriptează.txt, .README.Txt, .Contactați_Aici_Pentru_Recuperarea_Fișierelor_Dvs..txt, .Cum_se_recuperează_datele.txt sau .Unde_fișierele_mea.txt(De exemplu, Thesis.doc.How_To_Decrypt.txt) va apărea un mesaj similar cu următorul:

BadBlock

BadBlock este un tip de ransomware care a fost descoperit pentru prima dată în mai 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

BadBlock nu redenumește fișierele.

Mesaj de răscumpărare.

După ce v-a criptat fișierele, troianul BadBlock afișează unul dintre următoarele mesaje (folosind fișierul exemplu Ajutor Decrypt.html):

Dacă BadBlock a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Bart

Bart este un tip de ransomware care a fost descoperit pentru prima dată la sfârșitul lunii iunie 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Programul Bart adaugă text .bart.zip la sfârșitul numelor fișierelor (de exemplu, în loc de Thesis.doc fișierul va fi apelat Teză.docx.bart.zip). Această arhivă ZIP criptată conține fișierele sursă.

Mesaj de răscumpărare.

După criptarea fișierelor, Bart schimbă fundalul desktopului, așa cum se arată mai jos. Textul din această imagine poate fi folosit și pentru a recunoaște programul Bart. Textul este stocat pe desktop în fișiere recupera.bmpȘi recupera.txt.

Dacă Bart a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Recunoștință. Dorim să-i mulțumim lui Peter Conrad, autorul programului PkCrack, care ne-a permis să folosim biblioteca sa în decriptorul nostru pentru troianul ransomware Bart.

Cripta888

Crypt888 (cunoscut și ca Mircop) este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Programul Crypt888 adaugă text Lacăt. la începutul numelor de fișiere (de exemplu, în loc de Thesis.doc fișierul va fi apelat Blocare.Teza.doc).

Mesaj de răscumpărare.

După criptarea fișierelor, Crypt888 schimbă fundalul desktopului la una dintre opțiunile de mai jos.

Dacă Crypt888 a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

CryptoMix (versiunea independentă)

CryptoMix (cunoscut și ca CryptFile2 și Zeta) este unul dintre programele ransomware care a fost observat pentru prima dată în martie 2016. La începutul anului 2017 a apărut o nouă varietate de CryptoMix, numită CryptoShield. Ambele versiuni ale programului criptează fișierele folosind algoritmul AES256 cu o cheie de criptare unică, care este descărcată de la server la distanta. Dacă serverul nu este disponibil sau utilizatorul nu are o conexiune la Internet, ransomware-ul criptează fișierele folosind o cheie fixă ​​(„cheie offline”).

Notă. Decriptorul propus este capabil să deblocheze numai fișierele criptate folosind o „cheie offline”. În cazurile în care o cheie offline nu a fost folosită pentru a cripta fișierele, decriptorul nostru nu va putea restabili accesul la fișiere.

Schimbarea numelor fișierelor.

.CRYPTOSHIELD, .rdmk, lesli, .scl, .cod, .rmd sau .rscl.

Mesaj de răscumpărare.

După criptarea fișierelor de pe computer, puteți găsi următoarele fișiere:

Dacă CryptoMix a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

CrySiS

CrySiS (JohnyCryptor, Virus-Encode sau Aura) este unul dintre programele ransomware care a fost observat pentru prima dată în septembrie 2015. Utilizează criptarea AES256 în combinație cu metoda asimetrică Criptare RSA1024.

Schimbarea numelor fișierelor.

Fișierele criptate au una dintre următoarele extensii:
[email protected] ,
[email protected] ,
[email protected] ,
[email protected] ,
.{[email protected]).CrySiS,
.{[email protected]).xtbl,
.{[email protected]).xtbl,
.{[email protected]).xtbl

Mesaj de răscumpărare.

După criptarea fișierelor, programul afișează unul dintre următoarele mesaje. Acest mesaj este conținut într-un fișier numit „ Instructiuni de decriptare.txt», « Instructiuni de decriptare.txt" sau "* README.txt"pe desktop.

Dacă CrySiS a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Glob

Globe este unul dintre programele de tip ransomware care a fost descoperit pentru prima dată în august 2016. Utilizează metoda de criptare RC4 sau Blowfish. Semnele de infecție sunt descrise mai jos.

Schimbarea numelor fișierelor.

Globe adaugă una dintre următoarele extensii la numele fișierului: .ACRIPTA, .GSupport, .blackblock, .dll555, .duhust, .exploata, .îngheţat, .glob, .gsupport, .kyra, .epurat, .raid, [email protected] , .xtbl, .zendrz, .zendr sau .hnan. În plus, unele versiuni ale programului criptează numele fișierului în sine.

Mesaj de răscumpărare.

După criptarea fișierelor, programul afișează următorul mesaj, care se află în fișierul „ Cum să restabiliți fișierele.hta" sau " Citește-mă te rog.hta»):

Dacă Globe a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

HiddenTear

HiddenTear este unul dintre primele programe ransomware cu sursa deschisa, găzduit pe GitHub și cunoscut din august 2015. De atunci, sute de variante ale programului HiddenTear au fost create de escroci folosind cod sursă deschisă. HiddenTear folosește criptarea AES.

Schimbarea numelor fișierelor.

Fișierele criptate primesc una dintre următoarele extensii (dar pot avea altele): .încuiat, .34xxx, .bloccato, .BUGSECCC, .Hollycrypt, .Lacăt, .saeid, .deblocați, .razy, .mecpt, .monstru, .lok, .암호화됨 , .8lock8, .dracu', .zburător, .kratos, .criptate, .CAZZO, .condamnat.

Mesaj de răscumpărare.

Când fișierele sunt criptate, pe ecranul de start al utilizatorului apare un fișier text (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Diverse opțiuni poate afișa și un mesaj de răscumpărare:

Dacă HiddenTear a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Jigsaw

Jigsaw este unul dintre programele ransomware care există din martie 2016. Ea este numită după ticălosul filmului poreclit „Jigsaw Killer”. Unele variante ale acestui program folosesc o imagine a acestui personaj pe ecran cu o cerere de răscumpărare pentru deblocare.

Schimbarea numelor fișierelor.

Fișierele criptate primesc una dintre următoarele extensii: .kkk, .btc, .gws, .J, .criptate, .porno, .răscumpărare, .pornoransom, .epic, .xyz, .versiegelt, .criptate, .payb, .plateste, .plăți, .paymds, .plăți, .plata, .payrms, .plate, .plăți, .paybtcs, .distracţie, .tăcere, [email protected] sau .gefickt.

Mesaj de răscumpărare.

Odată ce fișierele sunt criptate, va fi afișat unul dintre ecranele de mai jos:

Dacă Jigsaw a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Legiune

Legion este un tip de ransomware care a fost descoperit pentru prima dată în iunie 2016. Următoarele sunt simptomele unei infecții.

Schimbarea numelor fișierelor.

Legion adaugă ceva de genul [email protected]$.legiune sau [email protected]$.cbf la sfârșitul numelor fișierelor. (De exemplu, în loc de Thesis.doc fișierul va fi apelat [email protected]$.legiune.)

Mesaj de răscumpărare.

După criptarea fișierelor, Legion vă schimbă fundalul desktopului și afișează o fereastră pop-up similară cu aceasta:

Dacă Legion a criptat fișierele dvs., faceți clic aici pentru a descărca decriptorul nostru gratuit pentru a-l debloca.

Apărut cu aproximativ 8-10 ani în urmă, criptarea virușilor astăzi au câștigat o popularitate enormă printre diferitele tipuri de escroci de computer.

Experții atribuie acest lucru apariției unor programe de constructor disponibile gratuit, folosindu-se chiar și un specialist slab. virus de calculator cu proprietăți specificate.

Cum funcționează un virus de criptare?

Cel mai adesea, un virus de criptare este introdus în computerul victimei folosind listă de email-uri. Compania primește o scrisoare presupus trimisă de un solicitant de locuri de muncă, potențial partener sau de către cumpărător, dar care conține un implant implantat fisier pdf cu virus.

Când un angajat al companiei deschide un e-mail, virusul este inserat în lista de programe de pornire. După ce reporniți computerul, acesta pornește, redenumește și criptează fișierele, apoi se autodistruge.

Adesea, e-mailurile infectate sunt deghizate în mesaje de la autoritățile fiscale, agențiile de aplicare a legii, băncile etc.

În catalogul cu fișiere deteriorate se descoperă o scrisoare în care se raportează că informația este criptată într-un mod securizat, criptorezistent și nu poate fi decriptată independent fără pierderea permanentă a fișierelor.


Dacă doriți să o restaurați, trebuie să transferați o anumită sumă în perioada specificată pentru a primi cheia de decriptare.

Este posibil să gestionați decriptarea fișierelor pe cont propriu?

Cel mai adesea, ransomware-ul folosește un virus în scopurile lor, pe care Doctor Web l-a numit Troian.Encoder. Convertește fișierele prezente pe computerul victimei dându-le extensia .criptă. Aproape toate formatele comune pot fi criptate fișiere text, imagini, piese audio, fișiere comprimate.

Pentru a restaura fișierele criptate, specialiștii companiei au creat un utilitar te19decrypt. Astăzi ea este în acces liber, de unde îl poate descărca orice utilizator de internet. Acest program mic, ocupând doar 233 KB. După descărcare, trebuie să:

- în fereastra care se deschide, faceți clic pe butonul "Continua" ;

- dacă apare un mesaj "Eroare" , completat de intrarea „Nu pot primi fişier cheie[nume de fișier]. Doriți să specificați manual locația acestuia?", apasa butonul Bine;

- în fereastra care apare "Deschis" specificați calea către fișier criptat.txt;

— apoi va începe procesul de decriptare.


Nu ar trebui să ștergeți niciodată fișierul criptat.txtînainte de a rula utilitarul de decriptare, deoarece pierderea acestuia va face imposibilă restaurarea informațiilor criptate.

Programul de decriptare RectorDecryptor

Pentru a recupera fișierele criptate, mulți oameni folosesc program special RectorDecryptor. Trebuie să lucrați cu el după cum urmează:

- descărcați programul RectorDecryptor, dacă nu vă stă la dispoziție;

- eliminați toate programele din lista de pornire, cu excepția antivirusului;

- reporniți computerul;

— uitați-vă prin lista de fișiere, evidențiați-le pe cele suspecte, în special cele care nu au informații despre producător;

- șterge fisiere suspicioase, care poate conține un virus;

- ștergeți memoria cache a browserului și folderele temporare folosind programul CCleaner sau asemănător;

- lansa RectorDecryptor, indicați fișierul criptat, precum și extensia acestuia, apoi faceți clic pe butonul „Începe verificarea” ;

- în cele mai recente versiuni ale programului, puteți specifica doar numele fișierului, apoi faceți clic "Deschis" ;

— așteptați până când fișierul este decriptat și treceți la următorul.

Următorul program RectorDecryptor El însuși continuă să scaneze toate fișierele aflate pe computer, inclusiv pe cele aflate pe medii amovibile.


Decriptarea poate dura câteva ore, în funcție de numărul de fișiere deteriorate și de performanța computerului. Informațiile recuperate sunt scrise în același director în care se aflau înainte.

Puteți indica necesitatea ștergerii materialului criptat după decriptare bifând caseta de lângă cererea corespunzătoare. Dar utilizatori experimentați Se recomandă să nu faceți acest lucru, deoarece dacă decriptarea nu reușește, veți pierde complet capacitatea de a vă recupera datele.

Astăzi, utilizatorii de computere și laptopuri se confruntă din ce în ce mai mult cu programe malware care înlocuiesc fișierele cu copii criptate ale acestora. În esență, aceștia sunt viruși. Ransomware-ul XTBL este considerat unul dintre cele mai periculoase din această serie. Ce este acest dăunător, cum intră în computerul utilizatorului și este posibil să se restabilească informațiile deteriorate?

Ce este ransomware-ul XTBL și cum intră acesta în computer?

Dacă găsiți fișiere pe computer sau laptop cu un nume lung și extensia .xtbl, atunci puteți spune cu încredere că sistemul a fost virus periculos- Encryptor XTBL. Afectează toate versiunile de sistem de operare Windows. Este aproape imposibil să decriptați singur astfel de fișiere, deoarece programul folosește modul hibrid, în care selecția cheii este pur și simplu imposibilă.

Directoarele de sistem sunt pline cu fișiere infectate. În registrul Windows sunt adăugate intrări care lansează automat virusul de fiecare dată când sistemul de operare pornește.

Aproape toate tipurile de fișiere sunt criptate - grafice, text, arhivă, e-mail, video, muzică etc. Devine imposibil să lucrezi în Windows.

Cum functioneazã? Ransomware-ul XTBL care rulează pe Windows scanează mai întâi totul unități logice. Aceasta include cloud și stocare în rețea situat pe computer. Ca rezultat, fișierele sunt grupate după extensie și apoi criptate. Astfel, toate informatie pretioasa, aflat în folderele utilizatorului, devine inaccesibil.


Aceasta este imaginea pe care o va vedea utilizatorul în loc de pictograme cu numele fișierelor familiare

Sub influența ransomware-ului XTBL, extensia fișierului se modifică. Acum utilizatorul vede pictograma foaie albăși un titlu lung care se termină în .xtbl în loc de o imagine sau text în Word. În plus, pe desktop apare un mesaj, un fel de instrucțiune pentru restaurarea informațiilor criptate, prin care îți cere să plătești pentru deblocare. Acesta nu este altceva decât șantaj pentru a cere răscumpărare.


Acest mesaj apare în fereastra de desktop a computerului dvs.

XTBL ransomware este de obicei distribuit prin e-mail. E-mailul conține fișiere atașate sau documente infectate cu un virus. Escrocul atrage utilizatorul cu un titlu colorat. Totul este făcut pentru a se asigura că mesajul, care spune că tu, de exemplu, ai câștigat un milion, este deschis. Nu răspunde la astfel de mesaje, altfel există un risc mare ca virusul să ajungă în sistemul de operare.

Este posibil să recuperați informații?

Puteți încerca să decriptați informațiile folosind utilitare speciale. Cu toate acestea, nu există nicio garanție că veți putea scăpa de virus și veți putea restaura fișierele deteriorate.

În prezent, ransomware-ul XTBL reprezintă o amenințare incontestabilă pentru toate computerele care rulează sistemul de operare Windows. Nici măcar liderii recunoscuți în lupta împotriva virușilor - Dr.Web și Kaspersky Lab - nu au o soluție 100% la această problemă.

Eliminarea unui virus și restaurarea fișierelor criptate

Mânca metode diferiteși programe care vă permit să lucrați cu criptorul XTBL. Unii elimină virusul în sine, alții încearcă să decripteze fișierele blocate sau să restaureze copiile lor anterioare.

Oprirea unei infecții la computer

Dacă aveți norocul să observați că fișierele cu extensia .xtbl încep să apară pe computer, atunci este foarte posibil să întrerupeți procesul de infecție ulterioară.

Instrumentul Kaspersky Virus Removal pentru a elimina XTBL ransomware

Toate programe similare ar trebui să fie deschis într-un sistem de operare lansat anterior în modul sigur, cu opțiunea de a încărca drivere de rețea. În acest caz, este mult mai ușor să eliminați virusul, deoarece numărul minim de procese de sistem necesare pentru a porni Windows este conectat.

Pentru încărcare modul sigurîn Windows XP, 7, în timpul pornirii sistemului, apăsați constant tasta F8 și după ce apare fereastra de meniu, selectați elementul corespunzător. Când utilizați Windows 8, 10, ar trebui să reporniți sistemul de operare în timp ce apăsați tasta Shift. În timpul procesului de pornire, se va deschide o fereastră în care puteți selecta opțiunea de pornire securizată necesară.


Selectarea modului sigur cu încărcarea driverelor de rețea

Program Kaspersky Virus Instrumentul de eliminare recunoaște perfect ransomware-ul XTBL și elimină acest tip de virus. Rulați o scanare a computerului făcând clic pe butonul corespunzător după descărcarea utilitarului. Odată ce scanarea este finalizată, ștergeți toate fișierele rău intenționate găsite.


Rularea unei scanări a computerului pentru prezența ransomware-ului XTBL în sistemul de operare Windows și apoi eliminarea virusului

Dr.Web CureIt!

Algoritmul pentru verificarea și eliminarea unui virus nu este practic diferit de versiunea anterioară. Utilizați utilitarul pentru a scana toate unitățile logice. Pentru a face acest lucru, trebuie doar să urmați comenzile programului după lansarea acestuia. La sfârșitul procesului, scăpați de fișierele infectate făcând clic pe butonul „Decontaminare”.


Neutralizați fișierele rău intenționate după scanarea Windows

Malwarebytes Anti-malware

Programul va efectua o verificare pas cu pas a computerului pentru prezența codurilor rău intenționate și le va distruge.

  1. Instalați și rulați utilitarul Anti-malware.
  2. Selectați „Run scan” în partea de jos a ferestrei care se deschide.
  3. Așteptați finalizarea procesului și bifați casetele cu fișiere infectate.
  4. Ștergeți selecția.


Eliminarea fișierelor ransomware XTBL rău intenționate detectate în timpul scanării

Script de decriptare online de la Dr.Web

Pe site-ul oficial Dr.Web în secțiunea de asistență există o filă cu un script pentru decriptarea fișierelor online. Vă rugăm să rețineți că numai acei utilizatori care au un antivirus de la acest dezvoltator instalat pe computerele lor vor putea folosi decriptorul online.


Citiți instrucțiunile, completați tot ce este necesar și faceți clic pe butonul „Trimite”.

Utilitar de decriptare RectorDecryptor de la Kaspersky Lab

Kaspersky Lab decriptează și fișierele. Pe site-ul oficial puteți descărca utilitarul RectorDecryptor.exe pentru versiuni Windows Vista, 7, 8, urmând linkurile de meniu „Suport - Tratarea și decriptarea fișierelor - RectorDecryptor - Cum se decriptează fișierele.” Rulați programul, efectuați o scanare și apoi ștergeți fișierele criptate selectând opțiunea corespunzătoare.


Scanarea și decriptarea fișierelor infectate cu ransomware XTBL

Restaurarea fișierelor criptate dintr-o copie de rezervă

Incepand cu versiuni Windows 7, puteți încerca să restaurați fișierele din copii de rezervă.


ShadowExplorer pentru a recupera fișiere criptate

Programul este o versiune portabilă, poate fi descărcat de pe orice media.


QPhotoRec

Programul este creat special pentru a recupera fișierele deteriorate și șterse. Folosind algoritmi încorporați, utilitarul găsește și revine la starea originară toate informațiile pierdute.

QPhotoRec este gratuit.

Din păcate, există doar o versiune în limba engleză a QPhotoRec, dar înțelegerea setărilor nu este deloc dificilă, interfața este intuitivă.

  1. Lansa programul.
  2. Marcați unitățile logice cu informații criptate.
  3. Faceți clic pe butonul Formate de fișiere și OK.
  4. Selectați folosind butonul Răsfoire situat în partea de jos deschide fereastra, locația pentru a salva fișierele și a începe procedura de recuperare făcând clic pe Căutare.


QPhotoRec recuperează fișierele șterse de XTBL ransomware și înlocuite cu propriile copii

Cum să decriptați fișierele - video

Ce sa nu faci

  1. Nu faceți niciodată acțiuni de care nu sunteți complet sigur. Mai bine invitați un specialist de la centru de service sau duceți singur computerul acolo.
  2. Nu deschide Mesaje prin e-mail de la expeditori necunoscuți.
  3. În niciun caz nu trebuie să urmați exemplul șantajatorilor acceptând să le transferați bani. Cel mai probabil, acest lucru nu va da niciun rezultat.
  4. Nu redenumiți manual extensiile fișierelor criptate și nu vă grăbiți să reinstalați Windows. Este posibil să găsiți o soluție care să corecteze situația.

Prevenirea

Încercați să instalați protecţie fiabilă de la pătrunderea ransomware-ului XTBL și a virușilor similari ransomware pe computer. Astfel de programe includ:

  • Malwarebytes Anti-Ransomware;
  • BitDefender Anti-Ransomware;
  • WinAntiRansom;
  • CryptoPrevent.

În ciuda faptului că toate sunt în limba engleză, lucrul cu astfel de utilități este destul de simplu. Lansați programul și selectați nivelul de protecție din setări.


Lansarea programului și selectarea nivelului de protecție

Dacă ați întâlnit un virus ransomware care criptează fișierele de pe computer, atunci, desigur, nu ar trebui să disperați imediat. Încercați să utilizați metodele sugerate pentru restaurarea informațiilor deteriorate. Adesea, acest lucru dă un rezultat pozitiv. Nu folosiți pentru a elimina XTBL ransomware programe netestate de la dezvoltatori necunoscuți. La urma urmei, acest lucru nu poate decât să înrăutățească situația. Dacă este posibil, instalați pe computer unul dintre programele care împiedică rularea virusului și efectuați scanări regulate de rutină ale Windows pentru procese rău intenționate.

  1. Nu va fi prea multă demagogie, deoarece articolul va fi deja destul de lung! Să ne dăm seama ce poți face dacă computerul tău este infectat cu un criptator: mai întâi, trebuie să afli ce fel de criptator a făcut acest lucru rău fișierelor tale. Mai jos, la sfârșitul articolului, există link-uri către Servicii care vă vor oferi toate informațiile despre vătămarea diabolică care operează pe computerul dvs. Dacă numele vătămării tale malefice coincide cu numele din acest articol, atunci este jumătate din problema, așa că citim în continuare ce ne oferă Kaspersky în lupta împotriva criptatorilor ransomware. Sincer vorbind, acești viruși sunt destul de puternici și chiar ai probleme. Puteți elimina această porcărie de pe computer, aceasta nu este o problemă, dar recuperarea fișierelor este o întrebare:
  2. Enumerez numele ransomware-ului și la sfârșit postezi numele programului care te poate ajuta:

    3. Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.Fury, Versiunile 1 și XXX2. 2 .

    Ce nume vor avea fișierele tale după criptare?

  3. Când sunt infectate cu Trojan-Ransom.Win32.Rannoh, numele și extensiile sunt blocate - . .
  4. Când este infectat, Trojan-Ransom.Win32.Cryakl este adăugat la sfârșitul fișierelor (CRYPTENDBLACKDC).
  5. Extensia Trojan-Ransom.Win32.AutoIt se modifică în funcție de modelul @_.
  6. De exemplu, _.RZWDTDIC.
  7. Când este infectat, Trojan-Ransom.Win32.CryptXXX este modificat folosind șablonul .crypt.
  8. Verificăm acuratețea utilizând serviciul pe care îl voi posta la sfârșitul articolului și dacă totul se potrivește, descărcați utilitarul:
  9. .de la birou, site-ul Kaspersky
    10. .
  10. .cu cloud verificat de Kaspersky
  11. După ce faceți clic pe butonul de pornire a scanării, se va deschide o fereastră în care trebuie să afișați fișierul criptat.
  12. Apoi programul va face totul singur. Dacă o face!))) Dar să nu vorbim despre rău, totul va fi bine!

    13. XoristDecryptor

  13. Proiectat pentru a combate virușii de criptare: Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev
  14. Puteți recunoaște codificatorul utilizând următorii pași: Afișează o fereastră asemănătoare cu cea de mai jos:
  15. Pe unitatea C:/ face fișiere cu numele „Citiți-mă - cum să decriptați fișierele”. După ce a deschis un astfel de fișier, acesta va conține conținut similar cu cel din imaginea de mai jos.
  16. De asemenea, în folderul Windows există un fișier numit CryptLogFile.txt. Înregistrează tot ce a fost criptat.

  17. Decriptarea fișierelor

  18. de la birou, site-ul Kaspersky
  19. cu cloud verificat de Kaspersky
  20. Lansăm și afișăm fișierul criptat și așteptăm până când utilitarul încearcă să decripteze fișierul.
  21. Dacă utilitarul XoristDecryptor nu detectează fișierul, acesta va oferi să îl trimită prin e-mail. Kaspersky Lab va examina fișierul și va actualiza baza de date antivirus XoristDecryptor. Că atunci când retratați, există o opțiune de a vă returna fișierele.

    Următorul utilitar se numește RectorDecryptor

  22. După cum este descris mai sus, este de la compania Kaspersky și este folosit pentru a decripta fișierele infectate cu ransomware de către criptor: Trojan-Ransom.Win32.Rector
    23. Ce fișiere criptează:
  23. jpg, .doc, .pdf, .rar.
  24. Numele fișierelor după criptare:
  25. vscrypt, .infectat, .bloc, .korrektor
  26. Semnătura autorului sub forma ††KOPPEKTOP†† și contactul cu acesta pot fi păstrate:
  27. ICQ: 557973252 sau 481095
  28. În unele cazuri, atacatorul cere să lase un mesaj în cartea de oaspeți a unuia dintre site-urile sale care nu funcționează sau funcționează la momentul de care are nevoie:
  29. https://trojan....sooot.cn/
  30. https://malware....66ghz.com/
  31. De asemenea, bannerul de pe desktop de mai jos indică faptul că fișierele dvs. sunt criptate cu acest criptator:
  32. Cum să încercați să vă recuperați fișierele:
  33. Descărcați un utilitar de la Kaspersky numit
  34. de la birou, site-ul Kaspersky
  35. cu cloud verificat de Kaspersky
  36. Ca și în toate celelalte utilități de mai sus de la Kaspersky. Rulați utilitarul descărcat și făcând clic pe butonul Start scanare din fereastra care se deschide, specificați fișierul criptat.
  37. Un raport despre munca depusă, ca în exemplele de mai sus cu programe, îl găsiți la: C:\RectorDecryptor.2.3.7.0_10.05.2010_15.45.43_log.txt Ora și data sunt aproximative, o veți avea pe ale dumneavoastră.

    38. Utilitarul RakhniDecryptor

  38. Pentru a combate ransomware-ul de la Kaspersky:
  39. Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.Lamer, Trojan-Ransom.MSIL.Lortok, Trojan-Ransom.Win32.Cryptokluchen, Trojan-Ransom.Win32.Democry, Trojan-Ransom.Win32.Bitman versiunile 3 și 4, Trojan-Ransom.Win32. Libra,Trojan-Ransom.MSIL.Lobzik și Trojan-Ransom.Win32.Chimera

În urmă cu aproximativ o săptămână sau două, a apărut pe Internet un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după un virus ransomware criptat000007și recuperați fișierele criptate. ÎN în acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare.

Decriptare garantată a fișierelor după un virus ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact în același mod. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnici folosite Inginerie sociala astfel încât utilizatorul să devină cu siguranță interesat de scrisoare și să o deschidă. În cazul meu, în scrisoare se vorbea despre un fel de instanță și despre informații importante despre caz din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras de la Curtea de Arbitraj din Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, faceți copii de rezervă ale fișierelor în umbră copii ale Windows vor fi șterse și recuperarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. În acest criptator, aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să fie de acord și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere copii umbră mers fără oprire. De obicei, după 5-10 oferte s-au oprit.

Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze avertismentele de control al contului de utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant sub contul de administrator al computerului decât dacă există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor exista multe fișiere text cu același conținut pe desktop.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Browser Tor prin link-ul: https://www.torproject.org/download/download-easy.html.en Link adresa Browser Tor introduceți adresa: http://cryptsen7fo43rr6.onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul tau au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți face acest lucru în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http:/ /cryptsen7fo43rr6.onion/ Apăsați Enter și apoi va fi încărcată pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. Am dat si peste urmatoarele adrese:

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare ca în calculator local, și pe unitățile de rețea. Un virus de criptare poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, criptograful nu a avut timp să cripteze totul unitate de rețea aproximativ 100 gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de cineva care se pricepe sisteme de informare. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiuni incorecte pe în această etapă poate complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia fișierului va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arăta cam așa.

Într-o astfel de situație, va fi dificil să evaluați amploarea tragediei, deoarece nu vă veți putea aminti pe deplin ce ați avut în diferite dosare. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Și dacă ai fi criptat și folderele de rețea si nu copii de rezervă complete, atunci acest lucru poate opri complet munca întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai importantă întrebare este cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul dvs., șansele de decriptare a datelor scad. Dacă trebuie să recuperați fișiere cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptare completă fișiere, este și mai profitabil pentru el să se ștergă și să dispară, astfel încât este mai dificil să investigheze incidentul și să decripteze fișierele.

Descrie îndepărtarea manuală virusul este dificil, deși am încercat să fac asta înainte, dar văd că cel mai adesea este inutil. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant într-o săptămână sau două. De obicei, virușii sunt trimiși prin intermediul merge la postaîn valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Instrumentele universale care verifică pornirea și detectează activități suspecte în folderele de sistem ajută.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

  1. Kaspersky Virus Removal Tool - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
  3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați virusul manual. Am dat un exemplu de metodă de eliminare și îl puteți vedea acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

  1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
  2. Găsim procesul virusului, deschidem folderul în care se află și îl ștergem.
  3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
  4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere apare pe primul loc când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina principală faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista niciun decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptoare pentru descărcare pagină separată- https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care în rețea au apărut decriptoare pentru unele modificări ale criptoarelor. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementare tehnica criptarea nu vă permite să decriptați fișiere fără o cheie sau un decriptor, pe care îl are doar autorul codificatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișierele folosind metode improvizate. Acestea includ:

  • Instrument copii umbră ferestre.
  • Programe de recuperare a datelor șterse

În primul rând, să verificăm dacă avem copiile umbră activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă nu ați confirmat în timpul infecției Solicitare UAC pentru a șterge fișiere în copii umbre, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai pe larg la începutul poveștii, când am vorbit despre munca virusului.

Pentru recuperare convenabilă fișiere din copii shadow, vă sugerez să utilizați program gratuitîn acest scop - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Se va deschide ultima copie fișierele și rădăcina unității C. În colțul din stânga sus puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verifica copii diferite pentru disponibilitate fisierele necesare. Comparați după dată pentru cea mai recentă versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am dat clic Click dreapta mouse-ul, a selectat Export și a indicat folderul în care să le restaurați.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi mai multe versiune veche, decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare fișiere șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansa versiune grafică programul execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau externă HDD pentru aceasta.

Procesul de căutare va dura mult timp. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, în această listă puteți găsi câteva fișiere utile. Nu există garanții aici; ceea ce vei găsi este ceea ce vei găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei atunci când trebuie să le refac suma maxima fisiere:

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

În mod tradițional, antivirușii ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Este lansată o nouă versiune de ransomware, dar antivirusurile nu răspund la aceasta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanță tehnică pe acest subiect, care nu vă permite să răspundeți în mod adecvat și să împiedicați criptarea fișierelor utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să vă oferiți oprirea procesului.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși de criptare, inclusiv CRYPTED000007. Adresa lor este http://www.dr-shifro.ru. Plata numai dupa transcrierea integralăși verificarea dvs. Iată o schemă aproximativă de lucru:

  1. Un specialist al companiei vine la birou sau acasă și semnează un acord cu tine, care stabilește costul lucrării.
  2. Lansează decriptorul și decriptează toate fișierele.
  3. Vă asigurați că toate fișierele sunt deschise și semnați certificatul de livrare/acceptare a lucrării finalizate.
  4. Plata se face numai pe baza rezultatelor reușite ale decriptării.

Sincer să fiu, nu știu cum fac, dar nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să eviți daune materiale și morale? Există câteva sfaturi simple și eficiente:

  1. Backup! Copie de rezervă toate datele importante. Și nu doar o copie de rezervă, ci o rezervă la care nu există acces permanent. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
  2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de corespondență noua modificare criptograf
  3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
  4. Nu deschideți neatenționat link-urile trimise de prietenii dvs. prin social media sau mesageri. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
  5. Porniți afişajul ferestrelor extensii de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Video despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.