Meniul
AcasăWindows 10

Cel mai bun program pentru recuperarea fișierelor după criptare. Decriptoare gratuite

Dacă sistemul este infectat cu malware de la familii Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.CryptXXX, apoi toate fișierele de pe computer vor fi criptate după cum urmează:

  • Când este infectat Troian-Ransom.Win32.Rannoh numele și extensiile se vor schimba în funcție de șablon incuiat-<оригинальное_имя>.<4 произвольных буквы> .
  • Când este infectat Trojan-Ransom.Win32.Cryakl o etichetă este adăugată la sfârșitul conținutului fișierului (CRYPTENDBLACKDC) .
  • Când este infectat Trojan-Ransom.Win32.AutoIt extensia se modifică în funcție de șablon <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
    De exemplu, [email protected] _.RZWDTDIC.
  • Când este infectat Trojan-Ransom.Win32.CryptXXX extensia se modifică în funcție de șabloane <оригинальное_имя>.criptă,<оригинальное_имя>. cripzȘi <оригинальное_имя>. cript1.

Utilitarul RannohDecryptor este conceput pentru a decripta fișierele după infectare Troian-Ransom.Win32.Polyglot, Troian-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Troian-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl sau Trojan-Ransom.Win32.CryptXXX versiuni 1 , 2 Și 3 .

Cum să vindeci sistemul

Pentru a vindeca un sistem infectat:

  1. Descărcați fișierul RannohDecryptor.zip.
  2. Rulați RannohDecryptor.exe pe mașina infectată.
  3. În fereastra principală, faceți clic Începeți să verificați.
  1. Specificați calea către fișierul criptat și necriptat.
    Dacă fișierul este criptat Trojan-Ransom.Win32.CryptXXX, specificați cele mai mari fișiere. Decriptarea va fi disponibilă numai pentru fișiere de dimensiune egală sau mai mică.
  2. Așteptați până la sfârșitul căutării și decriptării fișierelor criptate.
  3. Reporniți computerul dacă este necesar.
  4. Pentru a șterge o copie a fișierelor criptate, cum ar fi incuiat-<оригинальное_имя>.<4 произвольных буквы> După decriptarea cu succes, selectați .

Dacă fișierul a fost criptat Trojan-Ransom.Win32.Cryakl, apoi utilitarul va salva fișierul în locația veche cu extensia .decryptedKLR.original_extension. Daca ai ales Ștergeți fișierele criptate după decriptarea cu succes, apoi fișierul decriptat va fi salvat de utilitar cu numele original.

  1. În mod implicit, utilitarul trimite un raport de lucru la rădăcina discului de sistem (discul pe care este instalat sistemul de operare).

    Denumirea raportului este după cum urmează: UtilityName.Version_Date_Time_log.txt

    De exemplu, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Într-un sistem infectat Trojan-Ransom.Win32.CryptXXX, utilitarul scanează un număr limitat de formate de fișiere. Dacă un utilizator selectează un fișier afectat de CryptXXX v2, restaurarea cheii poate dura mult timp. În acest caz, utilitarul afișează un avertisment.

S-a întâmplat vreodată să fi primit un mesaj prin e-mail, Skype sau ICQ de la un expeditor necunoscut cu un link către o fotografie a prietenului tău sau felicitări pentru vacanța viitoare? Se pare că nu vă așteptați la niciun fel de configurare și, brusc, când faceți clic pe link, software rău intenționat este descărcat pe computer. Înainte să știi, virusul a criptat deja toate fișierele tale. Ce să faci într-o astfel de situație? Este posibilă restaurarea documentelor?

Pentru a înțelege cum să tratați malware-ul, trebuie să știți ce este acesta și cum pătrunde în sistemul de operare. În plus, nu contează deloc ce versiune de Windows utilizați - virusul Critroni are ca scop infectarea oricărui sistem de operare.

Virusul informatic de criptare: definiție și algoritm de acțiune

Pe Internet a apărut un nou software de virus, cunoscut de mulți ca CTB (Curve Tor Bitcoin) sau Critroni. Acesta este un ransomware troian îmbunătățit, similar în principiu cu software-ul rău intenționat cunoscut anterior CriptoLocker. Dacă un virus a criptat toate fișierele, ce ar trebui să faceți în acest caz? În primul rând, trebuie să înțelegeți algoritmul funcționării acestuia. Esența virusului este să criptezi toate fișierele tale cu extensiile .ctbl, .ctb2, .vault, .xtbl sau altele. Cu toate acestea, nu le veți putea deschide până când nu plătiți suma de bani solicitată.

Virușii Trojan-Ransom.Win32.Shade și Trojan-Ransom.Win32.Onion sunt obișnuiți. Ele sunt foarte asemănătoare cu STV în acțiunea lor locală. Ele pot fi distinse prin extensia fișierelor criptate. Trojan-Ransom codifică informații în format .xtbl. Când deschideți orice fișier, pe ecran apare un mesaj care spune că documentele dvs. personale, bazele de date, fotografiile și alte fișiere au fost criptate de malware. Pentru a le decripta, trebuie să plătiți pentru o cheie unică, care este stocată pe un server secret și numai în acest caz veți putea efectua operațiuni de decriptare și criptografice cu documentele dvs. Dar nu vă faceți griji, cu atât mai puțin trimiteți bani la numărul specificat; există o altă modalitate de a combate acest tip de criminalitate cibernetică. Dacă doar un astfel de virus a intrat pe computer și a criptat toate fișierele .xtbl, ce ar trebui să faci într-o astfel de situație?

Ce să nu faci dacă un virus de criptare pătrunde în computer

Se întâmplă ca în panică să instalăm un program antivirus și, cu ajutorul acestuia, să eliminăm automat sau manual software-ul viruși, pierzând împreună documentele importante. Acest lucru este neplăcut, în plus, computerul poate conține date la care lucrați de luni de zile. Este păcat să pierzi astfel de documente fără posibilitatea recuperării lor.

Dacă virusul a criptat toate fișierele .xtbl, unii încearcă să-și schimbe extensia, dar nici acest lucru nu duce la rezultate pozitive. Reinstalarea și formatarea hard disk-ului va elimina definitiv programul rău intenționat, dar în același timp veți pierde orice posibilitate de recuperare a documentelor. În această situație, programele de decriptare special create nu vor ajuta, deoarece software-ul ransomware este programat folosind un algoritm non-standard și necesită o abordare specială.

Cât de periculos este un virus ransomware pentru un computer personal?

Este absolut clar că niciun program rău intenționat nu va aduce beneficii computerului dvs. personal. De ce este creat un astfel de software? Destul de ciudat, astfel de programe au fost create nu numai cu scopul de a frauda utilizatorii cu cât mai mulți bani posibil. De fapt, marketingul viral este destul de profitabil pentru mulți inventatori de antivirus. La urma urmei, dacă un virus ar cripta toate fișierele de pe computerul tău, unde te-ai întoarce mai întâi? Desigur, căutați ajutorul profesioniștilor. Ce este criptarea pentru laptop sau computer personal?

Algoritmul lor de funcționare nu este standard, așa că va fi imposibil să vindeci fișierele infectate cu software antivirus convențional. Eliminarea obiectelor rău intenționate va duce la pierderea datelor. Doar trecerea în carantină va face posibilă securizarea altor fișiere pe care virusul rău intenționat nu a reușit încă să le cripteze.

Data de expirare a programelor malware de criptare

Dacă computerul dvs. este infectat cu Critroni (malware) și virusul v-a criptat toate fișierele, ce ar trebui să faceți? Nu puteți decripta singur formatele .vault-, .xtbl-, .rar schimbând manual extensia în .doc, .mp3, .txt și altele. Dacă nu plătiți suma necesară infractorilor cibernetici în termen de 96 de ore, aceștia vă vor trimite prin e-mail o corespondență intimidantă în care să vă anunțați că toate fișierele dvs. vor fi șterse definitiv. În cele mai multe cazuri, oamenii sunt influențați de astfel de amenințări și, fără tragere de inimă, dar ascultător, efectuează acțiunile menționate, temându-se să nu piardă informații prețioase. Păcat că utilizatorii nu înțeleg faptul că infractorii cibernetici nu sunt întotdeauna fideli cuvântului lor. Odată ce primesc banii, adesea nu își mai fac griji cu privire la decriptarea fișierelor blocate.

Când cronometrul expiră, acesta se închide automat. Dar mai aveți șansa de a recupera documente importante. Pe ecran va apărea un mesaj care indică faptul că timpul a expirat și puteți vizualiza informații mai detaliate despre fișierele din folderul documente într-un fișier notepad special creat DecryptAllFiles.txt.

Modul în care malware-ul de criptare pătrunde în sistemul de operare

De obicei, virușii ransomware intră într-un computer prin mesaje de e-mail infectate sau prin descărcări false. Acestea ar putea fi actualizări flash false sau playere video frauduloase. De îndată ce programul este descărcat pe computer folosind oricare dintre aceste metode, acesta criptează imediat datele fără posibilitatea de recuperare. Dacă virusul a criptat toate fișierele .cbf, .ctbl, .ctb2 în alte formate și nu aveți o copie de rezervă a documentului stocată pe un suport amovibil, presupuneți că nu le veți mai putea recupera. Momentan, laboratoarele de antivirus nu știu cum să spargă astfel de viruși de criptare. Fără cheia necesară, puteți doar să blocați fișierele infectate, să le mutați în carantină sau să le ștergeți.

Cum să evitați obținerea unui virus pe computer

Toate fișierele .xtbl de rău augur. Ce să fac? Ați citit deja o mulțime de informații inutile care sunt scrise pe majoritatea site-urilor web și nu puteți găsi răspunsul. Se întâmplă că în cel mai inoportun moment, când trebuie să depuneți urgent un raport la serviciu, o teză la o universitate sau să vă susțineți diploma de profesor, computerul începe să-și trăiască propria viață: se strică, se infectează cu viruși. , și îngheață. Trebuie să fii pregătit pentru astfel de situații și să păstrezi informații pe server și pe medii amovibile. Acest lucru vă va permite să reinstalați sistemul de operare în orice moment și după 20 de minute de lucru la computer ca și cum nimic nu s-ar fi întâmplat. Dar, din păcate, nu suntem întotdeauna atât de întreprinzători.

Pentru a evita infectarea computerului cu un virus, mai întâi trebuie să instalați un program antivirus bun. Trebuie să aveți un paravan de protecție Windows configurat corespunzător, care vă protejează împotriva diferitelor obiecte rău intenționate care trec prin rețea. Și cel mai important lucru: nu descărcați software de pe site-uri neverificate sau de pe dispozitive de urmărire a torrentului. Pentru a evita infectarea computerului cu viruși, aveți grijă pe ce linkuri faceți clic. Dacă primiți un e-mail de la un destinatar necunoscut cu o cerere sau o ofertă pentru a vedea ce se ascunde în spatele linkului, cel mai bine este să mutați mesajul în spam sau să-l ștergeți complet.

Pentru a împiedica virusul să cripteze toate fișierele .xtbl într-o zi, laboratoarele de software antivirus recomandă o modalitate gratuită de a proteja împotriva infecției cu virușii de criptare: o dată pe săptămână, inspectați starea acestora.

Virusul a criptat toate fișierele de pe computer: metode de tratament

Dacă ați devenit victimă a criminalității cibernetice și datele de pe computerul dvs. au fost infectate de unul dintre tipurile de malware de criptare, atunci este timpul să încercați să vă recuperați fișierele.

Există mai multe moduri de a trata documentele infectate gratuit:

  1. Cea mai comună metodă, și probabil cea mai eficientă în acest moment, este salvarea documentelor și apoi restaurarea lor în cazul unei infecții neașteptate.
  2. Algoritmul software al virusului CTB funcționează într-un mod interesant. Odată ajuns pe computer, acesta copiază fișierele, le criptează și șterge documentele originale, eliminând astfel posibilitatea recuperării acestora. Dar cu ajutorul software-ului Photorec sau R-Studio, puteți reuși să salvați câteva fișiere originale neatinse. Trebuie să știți că, cu cât folosiți mai mult computerul după ce a fost infectat, cu atât este mai puțin probabil să puteți recupera toate documentele necesare.
  3. Dacă virusul a criptat toate fișierele .vault, există o altă modalitate bună de a le decripta - folosind volume de copiere umbră. Desigur, virusul va încerca să le șteargă definitiv și irevocabil pe toate, dar se întâmplă și ca unele fișiere să rămână neatinse. În acest caz, veți avea o mică, dar șansă de a le restaura.
  4. Este posibil să stocați date pe servicii de găzduire a fișierelor, cum ar fi DropBox. Poate fi instalat pe computer ca mapare locală a discului. Desigur, virusul de criptare îl va infecta și pe el. Dar, în acest caz, este mult mai realist să restaurați documentele și fișierele importante.

Prevenirea software-ului a infecției cu virusul computerului personal

Dacă ți-e teamă că un software rău intenționat va ajunge pe computer și nu vrei ca un virus insidios să cripteze toate fișierele tale, ar trebui să folosești editorul de politici locale sau editorul de grup Windows. Datorită acestui software integrat, puteți configura o politică de restricționare a programelor - și atunci nu veți fi îngrijorat că computerul dvs. va fi infectat.

Cum să recuperați fișierele infectate

Dacă virusul CTB a criptat toate fișierele, ce ar trebui să faceți în acest caz pentru a restaura documentele necesare? Din păcate, în prezent, nici un singur laborator antivirus nu poate oferi decriptarea fișierelor dvs., dar este posibilă neutralizarea infecției și eliminarea completă de pe un computer personal. Toate metodele eficiente de recuperare a informațiilor sunt enumerate mai sus. Dacă fișierele tale sunt prea valoroase pentru tine și nu te-ai obosit să le faci copii de rezervă pe o unitate amovibilă sau pe o unitate de internet, atunci va trebui să plătești suma de bani solicitată de infractorii cibernetici. Dar nu există nicio șansă ca cheia de decriptare să îți fie trimisă chiar și după plată.

Cum să găsiți fișiere infectate

Pentru a vedea lista fișierelor infectate, puteți accesa această cale: „Documentele mele”\.html sau „C:”\”Utilizatori”\”Toți utilizatorii”\.html. Această foaie html conține date nu numai despre instrucțiuni aleatorii, ci și despre obiectele infectate.

Cum să blocați un virus de criptare

Odată ce un computer a fost infectat cu malware, prima acțiune necesară din partea utilizatorului este pornirea rețelei. Acest lucru se face prin apăsarea tastei F10 de la tastatură.

Dacă virusul Critroni a intrat accidental pe computer și a criptat toate fișierele în .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf sau orice alt format, atunci este deja dificil să le recuperați. Dar dacă virusul nu a făcut încă multe modificări, este probabil să fie blocat folosind o politică de restricție software.

este un program rău intenționat care, atunci când este activat, criptează toate fișierele personale, cum ar fi documente, fotografii etc. Numărul de astfel de programe este foarte mare și crește în fiecare zi. Doar recent am întâlnit zeci de variante de ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, etc. toste, fffff, etc. Scopul unor astfel de viruși de criptare este de a forța utilizatorii să cumpere, adesea pentru o sumă mare de bani, programul și cheia necesare pentru a-și decripta propriile fișiere.

Desigur, puteți restaura fișierele criptate pur și simplu urmând instrucțiunile pe care creatorii virusului le lasă pe computerul infectat. Dar cel mai adesea, costul decriptării este foarte semnificativ și, de asemenea, trebuie să știți că unii viruși ransomware criptează fișierele în așa fel încât este pur și simplu imposibil să le decriptați mai târziu. Și, desigur, este doar enervant să plătești pentru a-ți restaura propriile fișiere.

Mai jos vom vorbi mai detaliat despre virușii de criptare, cum pătrund aceștia în computerul victimei, precum și despre cum să eliminați virusul de criptare și să restaurați fișierele criptate de acesta.

Cum pătrunde un virus ransomware într-un computer?

Un virus ransomware este de obicei răspândit prin e-mail. Scrisoarea conține documente infectate. Astfel de scrisori sunt trimise către o bază de date uriașă de adrese de e-mail. Autorii acestui virus folosesc anteturi și conținuturi înșelătoare ale scrisorilor, încercând să păcălească utilizatorul să deschidă un document atașat scrisorii. Unele scrisori informează despre necesitatea plății unei facturi, altele oferă să se uite la cea mai recentă listă de prețuri, altele oferă să deschidă o fotografie amuzantă etc. În orice caz, deschiderea fișierului atașat va duce la infectarea computerului cu un virus ransomware.

Ce este un virus ransomware?

Un virus ransomware este un program rău intenționat care infectează versiunile moderne ale sistemelor de operare Windows, cum ar fi Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Acești viruși încearcă să folosească cele mai puternice moduri de criptare posibile, de exemplu RSA-2048 cu lungimea cheii este de 2048 de biți, ceea ce elimină practic posibilitatea de a selecta o cheie pentru a decripta fișierele în mod independent.

Când infectează un computer, virusul ransomware folosește directorul de sistem %APPDATA% pentru a-și stoca propriile fișiere. Pentru a se lansa automat când porniți computerul, ransomware-ul creează o intrare în registrul Windows: secțiunile HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Imediat după lansare, virusul scanează toate unitățile disponibile, inclusiv stocarea în rețea și în cloud, pentru a determina fișierele care vor fi criptate. Un virus ransomware folosește o extensie de nume de fișier ca modalitate de a identifica un grup de fișiere care vor fi criptate. Aproape toate tipurile de fișiere sunt criptate, inclusiv cele comune precum:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .meniu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Imediat după ce un fișier este criptat, acesta primește o nouă extensie, care poate fi adesea folosită pentru a identifica numele sau tipul de ransomware. Unele tipuri de aceste programe malware pot schimba, de asemenea, numele fișierelor criptate. Virusul creează apoi un document text cu nume precum HELP_YOUR_FILES, README, care conține instrucțiuni pentru decriptarea fișierelor criptate.

În timpul funcționării sale, virusul de criptare încearcă să blocheze capacitatea de a restaura fișiere folosind sistemul SVC (copie umbră a fișierelor). Pentru a face acest lucru, virusul, în modul de comandă, apelează utilitarul pentru administrarea de copii umbre ale fișierelor cu o cheie care pornește procedura de ștergere completă a acestora. Astfel, este aproape întotdeauna imposibil să restaurați fișierele folosind copiile umbră ale acestora.

Virusul ransomware folosește în mod activ tactici de intimidare, oferind victimei un link către o descriere a algoritmului de criptare și afișând un mesaj de amenințare pe desktop. În acest fel, încearcă să forțeze utilizatorul computerului infectat, fără ezitare, să trimită ID-ul computerului la adresa de e-mail a autorului virusului pentru a încerca să-și recupereze fișierele. Răspunsul la un astfel de mesaj este cel mai adesea suma de răscumpărare și adresa portofelului electronic.

Este computerul meu infectat cu un virus ransomware?

Este destul de ușor să determinați dacă un computer este infectat cu un virus de criptare sau nu. Acordați atenție extensiilor fișierelor personale, cum ar fi documente, fotografii, muzică etc. Dacă extensia s-a schimbat sau fișierele tale personale au dispărut, lăsând în urmă multe fișiere cu nume necunoscute, atunci computerul tău este infectat. În plus, un semn de infecție este prezența unui fișier numit HELP_YOUR_FILES sau README în directoarele dvs. Acest fișier va conține instrucțiuni pentru decriptarea fișierelor.

Dacă bănuiți că ați deschis un e-mail infectat cu un virus ransomware, dar nu există încă simptome de infecție, atunci nu opriți și nu reporniți computerul. Urmați pașii descriși în acest manual, secțiune. Repet încă o dată, este foarte important să nu opriți computerul; în unele tipuri de ransomware, procesul de criptare a fișierelor este activat prima dată când porniți computerul după infectare!

Cum să decriptați fișierele criptate cu un virus ransomware?

Dacă se întâmplă acest dezastru, atunci nu trebuie să intrați în panică! Dar trebuie să știți că în cele mai multe cazuri nu există un decriptor gratuit. Acest lucru se datorează algoritmilor puternici de criptare utilizați de astfel de programe malware. Aceasta înseamnă că fără o cheie privată, este aproape imposibil să decriptezi fișierele. Utilizarea metodei de selectare a cheii nu este, de asemenea, o opțiune, din cauza lungimii mari a cheii. Prin urmare, din păcate, achitarea doar autorilor virusului a întregii sume solicitate este singura modalitate de a încerca să obțineți cheia de decriptare.

Desigur, nu există absolut nicio garanție că, după plată, autorii virusului vă vor contacta și vă vor furniza cheia necesară pentru a vă decripta fișierele. În plus, trebuie să înțelegi că, plătind bani dezvoltatorilor de viruși, tu însuți îi încurajezi să creeze noi viruși.

Cum să eliminați un virus ransomware?

Înainte de a începe, trebuie să știți că, începând să eliminați virusul și să încercați să restaurați singur fișierele, blocați capacitatea de a decripta fișierele plătind autorilor virusului suma solicitată de ei.

Instrumentul Kaspersky Virus Removal și Malwarebytes Anti-malware pot detecta diferite tipuri de viruși ransomware activi și îi vor elimina cu ușurință de pe computer, DAR nu pot recupera fișierele criptate.

5.1. Eliminați ransomware folosind Instrumentul de eliminare a virusurilor Kaspersky

În mod implicit, programul este configurat să recupereze toate tipurile de fișiere, dar pentru a accelera munca, se recomandă să lăsați doar tipurile de fișiere pe care trebuie să le recuperați. După ce ați finalizat selecția, faceți clic pe OK.

În partea de jos a ferestrei programului QPhotoRec, găsiți butonul Răsfoire și faceți clic pe el. Trebuie să selectați directorul în care vor fi salvate fișierele recuperate. Este recomandabil să folosiți un disc care nu conține fișiere criptate care necesită recuperare (puteți folosi o unitate flash sau o unitate externă).

Pentru a începe procedura de căutare și restaurare a copiilor originale ale fișierelor criptate, faceți clic pe butonul Căutare. Acest proces durează destul de mult, așa că aveți răbdare.

Când căutarea este completă, faceți clic pe butonul Ieșire. Acum deschideți folderul pe care l-ați ales pentru a salva fișierele recuperate.

Dosarul va conține directoare numite recup_dir.1, recup_dir.2, recup_dir.3 etc. Cu cât programul găsește mai multe fișiere, cu atât vor fi mai multe directoare. Pentru a găsi fișierele de care aveți nevoie, verificați toate directoarele unul câte unul. Pentru a facilita găsirea fișierului de care aveți nevoie într-un număr mare de fișiere recuperate, utilizați sistemul de căutare Windows încorporat (după conținutul fișierului) și, de asemenea, nu uitați de funcția de sortare a fișierelor în directoare. Puteți selecta data la care fișierul a fost modificat ca opțiune de sortare, deoarece QPhotoRec încearcă să restabilească această proprietate la restaurarea unui fișier.

Cum să preveniți un virus ransomware să vă infecteze computerul?

Majoritatea programelor antivirus moderne au deja un sistem de protecție încorporat împotriva pătrunderii și activării virușilor de criptare. Prin urmare, dacă nu aveți un program antivirus pe computer, asigurați-vă că îl instalați. Puteți afla cum să o alegeți citind aceasta.

Mai mult, există programe specializate de protecție. De exemplu, acesta este CryptoPrevent, mai multe detalii.

Câteva cuvinte finale

Urmând aceste instrucțiuni, computerul dvs. va fi șters de virusul ransomware. Dacă aveți întrebări sau aveți nevoie de ajutor, vă rugăm să ne contactați.

Și în fiecare an apar tot mai multe noi... din ce în ce mai interesante. Cel mai popular virus recent (Trojan-Ransom.Win32.Rector), care criptează toate fișierele tale (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar etc. . .d.). Problema este că decriptarea unor astfel de fișiere este extrem de dificilă și necesită timp; în funcție de tipul de criptare, decriptarea poate dura săptămâni, luni sau chiar ani. În opinia mea, acest virus este în prezent apogeul pericolului printre alți viruși. Este deosebit de periculos pentru computerele/laptopurile de acasă, deoarece majoritatea utilizatorilor nu fac copii de rezervă ale datelor lor și, atunci când criptează fișierele, pierd toate datele. Pentru organizații, acest virus este mai puțin periculos deoarece fac copii de rezervă ale datelor importante și, în caz de infecție, pur și simplu le restaurează, în mod natural, după eliminarea virusului. Am întâlnit acest virus de mai multe ori, voi descrie cum s-a întâmplat și la ce a dus.

Prima dată când am întâlnit un virus care criptează fișierele a fost la începutul anului 2014. Un administrator din alt oraș m-a contactat și mi-a spus cea mai neplăcută veste - Toate fișierele de pe serverul de fișiere sunt criptate! Infecția a avut loc într-un mod elementar - departamentul de contabilitate a primit o scrisoare cu atașamentul „Act of something there.pdf.exe”, după cum înțelegeți, au deschis acest fișier EXE și procesul a început... a criptat toate fișierele personale pe computer și a mers la serverul de fișiere (era conectat printr-o unitate de rețea). Administratorul și cu mine am început să căutăm informații pe internet... la vremea aceea nu exista o soluție... toată lumea scria că există un astfel de virus, nu se știa cum să se trateze, fișierele nu puteau fi decriptate, poate trimiterea fișierelor către Kaspersky, Dr Web sau Nod32 ar fi de ajutor. Le poți trimite doar dacă folosești programele lor antivirus (licențiate). Am trimis fișierele către Dr Web și Nod32, rezultatele au fost 0, nu-mi amintesc ce i-au spus lui Dr Web, iar Nod 32 a fost complet tăcut și nu am primit niciun răspuns de la ei. În general, totul a fost trist și nu am găsit niciodată o soluție; am restaurat unele fișiere din backup.

A doua poveste - chiar zilele trecute (jumătatea lunii octombrie 2014) am primit un apel de la o organizație care îmi cere să rezolv o problemă cu un virus; după cum înțelegeți, toate fișierele de pe computer au fost criptate. Iată un exemplu despre cum arăta.

După cum puteți vedea, la fiecare fișier a fost adăugată extensia *.AES256. În fiecare folder era un fișier „Attention_open-me.txt” care conținea contacte pentru comunicare.

Când încercați să deschideți aceste fișiere, s-a deschis un program cu contacte pentru a contacta autorii virusului pentru a plăti pentru decriptare. Desigur, nu recomand să-i contactați și nici să plătiți codul, deoarece îi veți sprijini doar financiar și nu este un fapt că veți primi cheia de decriptare.

Infecția a avut loc în timpul instalării unui program descărcat de pe Internet. Cel mai surprinzător lucru a fost că atunci când au observat că fișierele s-au schimbat (pictogramele și extensiile de fișiere s-au schimbat), nu au făcut nimic și au continuat să funcționeze, în timp ce ransomware-ul a continuat să cripteze toate fișierele.

Atenţie!!! Dacă observați criptarea fișierelor pe computer (modificare pictograme, modificare extensie), opriți imediat computerul/laptop-ul și căutați o soluție de pe alt dispozitiv (de pe alt computer/laptop, telefon, tabletă) sau contactați specialiștii IT. Cu cât computerul/laptop-ul este pornit mai mult, cu atât va cripta mai multe fișiere.

În general, am vrut deja să refuz să-i ajut, dar am decis să navighez pe internet, poate că a apărut deja o soluție la această problemă. În urma căutării, am citit o mulțime de informații că nu pot fi decriptate, că trebuie să trimiteți fișiere către companii de antivirus (Kaspersky, Dr Web sau Nod32) - mulțumesc pentru experiență.
Am dat peste un utilitar de la Kaspersky - RectorDecryptor. Și iată, fișierele au fost decriptate. Ei bine, primul lucru mai întâi...

Primul pas este oprirea ransomware-ului. Nu veți găsi niciun antivirus, deoarece Dr Web instalat nu a găsit nimic. În primul rând, am trecut la pornire și am dezactivat toate pornirile (cu excepția antivirusului). A repornit computerul. Apoi am început să mă uit la ce fel de fișiere erau la pornire.

După cum puteți vedea în câmpul „Comandă”, este indicat unde se află fișierul, o atenție specială trebuie eliminată pentru aplicațiile fără semnătură (Producător - Fără date). În general, am găsit și șters malware și fișiere care nu mi-au fost încă clare. După aceea, am șters folderele temporare și cache-urile browserului; cel mai bine este să folosiți programul în aceste scopuri CCleaner .

Apoi am început să decriptez fișierele, pentru asta le-am descărcat program de decriptare RectorDecryptor . L-am lansat și am văzut o interfață destul de ascetică a utilitarului.

Am făcut clic pe „Începe scanarea” și am indicat extensia pe care o aveau toate fișierele modificate.

Și a indicat fișierul criptat. În versiunile mai noi de RectorDecryptor puteți specifica pur și simplu fișierul criptat. Faceți clic pe butonul „Deschidere”.

Tada-a-a-am!!! S-a întâmplat un miracol și fișierul a fost decriptat.

După aceasta, utilitarul verifică automat toate fișierele computerului + fișierele de pe unitatea de rețea conectată și le decriptează. Procesul de decriptare poate dura câteva ore (în funcție de numărul de fișiere criptate și de viteza computerului dvs.).

Ca rezultat, toate fișierele criptate au fost decriptate cu succes în același director în care au fost localizate inițial.

Tot ce rămâne este să ștergeți toate fișierele cu extensia .AES256; acest lucru se poate face bifând caseta de selectare „Ștergeți fișierele criptate după decriptarea reușită” dacă faceți clic pe „Modificați parametrii de scanare” în fereastra RectorDecryptor.

Dar rețineți că este mai bine să nu bifați această casetă, deoarece dacă fișierele nu sunt decriptate cu succes, acestea vor fi șterse și pentru a încerca din nou să le decriptați va trebui mai întâi să le decriptați restabili .

Când am încercat să șterg toate fișierele criptate folosind căutarea și ștergerea standard, am întâlnit înghețari și funcționarea extrem de lentă a computerului.

Prin urmare, pentru a-l elimina, cel mai bine este să utilizați linia de comandă, să o rulați și să scrieți del"<диск>:\*.<расширение зашифрованного файла>„/f/s. În cazul meu, del "d:\*.AES256" /f /s.

Nu uitați să ștergeți fișierele „Attention_open-me.txt”, pentru a face acest lucru, utilizați comanda de pe linia de comandă del"<диск>:\*.<имя файла>„/f/s, De exemplu
del "d:\Atenție_deschide-mă.txt" /f /s

Astfel, virusul a fost învins și fișierele au fost restaurate. Vreau să vă avertizez că această metodă nu va ajuta pe toată lumea, ideea este că Kapersky în acest utilitar a colectat toate cheile de decriptare cunoscute (din acele fișiere care au fost trimise de cei infectați cu virusul) și folosește o metodă de forță brută pentru a selectați cheile și decriptați-le. Acestea. dacă fișierele dvs. sunt criptate de un virus cu o cheie necunoscută, atunci această metodă nu va ajuta... va trebui să trimiteți fișierele infectate companiilor de antivirus - Kaspersky, Dr Web sau Nod32 pentru a le decripta.