Meniul
AcasăMicrosoft

Numele virusului ransomware. Fișierele cu extensia .xtbl - cum să decriptați și să restaurați informațiile. Cum să decriptați fișierele - video

„Îmi pare rău că vă deranjez, dar... fișierele dumneavoastră sunt criptate. Pentru a obține cheia de decriptare, transferați urgent o anumită sumă de bani în portofel... În caz contrar, datele dumneavoastră vor fi distruse pentru totdeauna. Ai 3 ore, timpul a trecut.” Și nu este o glumă. Un virus de criptare este o amenințare mai mult decât reală.

Astăzi vom vorbi despre ce s-a răspândit anul trecut malware- ransomware, ce să faceți dacă sunt infectați, cum să vă dezinfectați computerul și dacă este chiar posibil și, de asemenea, cum să vă protejați de ele.


Criptăm totul!

Un virus ransomware (encryptor, cryptor) este un tip special de ransomware rău intenționat a cărui activitate constă în criptarea fișierelor utilizatorului și apoi solicitarea unei răscumpări pentru instrumentul de decriptare. Sumele de răscumpărare încep de la 200 de dolari și ajung la zeci și sute de mii de bucăți de hârtie verzi.

În urmă cu câțiva ani, doar computerele rulau Bazat pe Windows. Astăzi, gama lor s-a extins la Linux, Mac și Android aparent bine protejate. În plus, varietatea de criptoare este în continuă creștere - produse noi apar unul după altul, care au ceva să surprindă lumea. Astfel, a apărut din cauza „încrucișării” unui troian clasic de criptare și a unui vierme de rețea (un program rău intenționat care se răspândește în rețele fără participarea activă a utilizatorilor).

După WannaCry, nu mai puțin sofisticată Petya și Iepure rău. Și din moment ce „afacerea de criptare” aduce venituri bune proprietarilor săi, puteți fi sigur că nu sunt ultimii.

Din ce în ce mai multe ransomware, în special cele lansate în ultimii 3-5 ani, folosesc puternic algoritmi criptografici, care nu poate fi spart nici prin forță brută, nici prin alte mijloace existente. Singura modalitate de a recupera datele este utilizarea cheia originală, pe care atacatorii se oferă să-l cumpere. Cu toate acestea, chiar și transferul sumei necesare către ei nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă potențiale profituri. Și ce rost are să-și țină promisiunile dacă au deja banii?

Căile de distribuție a virușilor de criptare

Principala modalitate prin care malware-ul ajunge pe computerele utilizatorilor privați și ale organizațiilor este E-mail, mai exact, fișiere și link-uri atașate scrisorilor.

Un exemplu de astfel de scrisoare destinată „clienților corporativi”:

  • „Rambursează-ți imediat datoria de împrumut.”
  • „Cererea a fost depusă în instanță”.
  • „Plătește amenda/taxa/taxa.”
  • „Taxă suplimentară pentru facturile de utilități.”
  • „Oh, tu ești în fotografie?”
  • „Lena mi-a cerut să-ți dau asta urgent” etc.

De acord, numai utilizator informat va trata o astfel de scrisoare cu prudență. Majoritatea oamenilor, fără ezitare, vor deschide atașamentul și vor lansa ei înșiși programul rău intenționat. Apropo, în ciuda strigătelor antivirusului.

Următoarele sunt, de asemenea, utilizate în mod activ pentru a distribui ransomware:

  • Rețele sociale (e-mailuri din conturile prietenilor și străinilor).
  • Resurse web rău intenționate și infectate.
  • Banner publicitar.
  • Trimitere prin mesagerie din conturi piratate.
  • Site-uri Vareznik și distribuitori de keygen și crack-uri.
  • Site-uri pentru adulți.
  • Magazine de aplicații și conținut.

Virușii de criptare sunt adesea transportați de alte programe rău intenționate, în special, demonstranții de publicitate și troienii backdoor. Acesta din urmă, folosind vulnerabilitățile din sistem și software, ajută criminalul să ajungă acces de la distanță la dispozitivul infectat. Lansarea criptatorului în astfel de cazuri nu coincide întotdeauna în timp cu acțiunile utilizatorului potențial periculoase. Atâta timp cât ușa din spate rămâne în sistem, un atacator poate pătrunde oricând dispozitivul și poate iniția criptarea.

Pentru a infecta computerele organizațiilor (la urma urmei, din ele se poate extrage mai mult decât de la utilizatorii casnici), se dezvoltă metode deosebit de sofisticate. De exemplu, troianul Petya a pătruns în dispozitive prin modulul de actualizare al programului de contabilitate fiscală MEDoc.

Criptoare cu funcții viermi de rețea, după cum sa menționat deja, răspândit în rețele, inclusiv pe Internet, prin vulnerabilități de protocol. Și te poți infecta cu ele fără să faci absolut nimic. Cel mai mare pericol Utilizatorii sistemelor de operare Windows actualizate rar sunt afectați, deoarece actualizările închid lacune cunoscute.

Unele programe malware, cum ar fi WannaCry, exploatează vulnerabilități de tip 0-day, adică cele de care dezvoltatorii de sisteme nu sunt încă conștienți. Din păcate, este imposibil să reziste pe deplin infecției în acest fel, dar probabilitatea ca tu să fii printre victime nici măcar nu ajunge la 1%. De ce? Da, deoarece programele malware nu pot infecta toate mașinile vulnerabile simultan. Și în timp ce planifică noi victime, dezvoltatorii de sistem reușesc să lanseze o actualizare salvatoare.

Cum se comportă ransomware-ul pe un computer infectat

Procesul de criptare, de regulă, începe neobservat, iar când semnele sale devin evidente, este prea târziu pentru a salva datele: până atunci, malware-ul a criptat tot ce poate ajunge. Uneori, utilizatorul poate observa cum sunt fișierele din unele deschide folderul extensia s-a schimbat.

Apariția nerezonabilă a unei noi și uneori a unei a doua extensii pe fișiere, după care nu se mai deschide, indică în mod absolut consecințele unui atac de criptare. Apropo, prin extensia pe care o primesc obiectele deteriorate, de obicei este posibil să se identifice malware-ul.

Un exemplu despre ce pot fi extensiile fișierelor criptate:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn etc.

Există o mulțime de opțiuni, iar altele noi vor apărea mâine, așa că nu are rost să enumerați totul. Pentru a determina tipul de infecție, este suficient să alimentați mai multe extensii motorului de căutare.

Alte simptome care indică indirect începutul criptării:

  • Ferestrele din linia de comandă apar pe ecran pentru o fracțiune de secundă. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor de sistem și program, dar este mai bine să nu îl lăsați nesupravegheat.
  • UAC solicită lansarea unui program pe care nu intenționați să îl deschideți.
  • Repornire bruscă a computerului urmată de imitarea operațiunii utilitar de sistem verificarea discului (sunt posibile alte variante). În timpul „verificării”, are loc procesul de criptare.

După ce operațiunea rău intenționată este finalizată cu succes, pe ecran apare un mesaj cu o cerere de răscumpărare și diverse amenințări.

Ransomware-ul criptează o parte semnificativă a fișiere utilizator: fotografii, muzică, videoclipuri, documente text, arhive, mail, baze de date, fișiere cu extensii de program etc. Dar nu ating obiecte sistem de operare, deoarece atacatorii nu au nevoie de computerul infectat pentru a nu mai funcționa. Unii viruși se înlocuiesc înregistrările de boot discuri și partiții.

După criptare, toate copiile umbre și punctele de recuperare sunt de obicei șterse din sistem.

Cum să vindeci un computer de ransomware

Eliminarea programelor malware dintr-un sistem infectat este ușoară — aproape toate programele antivirus le pot gestiona fără dificultate pe majoritatea acestora. Dar! Este naiv să credem că a scăpa de vinovat va rezolva problema: fie că eliminați virusul sau nu, fișierele vor rămâne totuși criptate. În plus, în unele cazuri acest lucru va complica decriptarea lor ulterioară, dacă este posibil.

Procedura corectă la pornirea criptării

  • Odată ce observați semne de criptare, Opriți imediat alimentarea computerului apăsând și apăsat butonulPutere timp de 3-4 secunde. Acest lucru va salva cel puțin unele dintre fișiere.
  • Creați pe alt computer disc de pornire sau o unitate flash cu un program antivirus. De exemplu, , , etc.
  • Porniți mașina infectată de pe acest disc și scanați sistemul. Eliminați orice viruși găsiți și păstrați-i în carantină (în cazul în care sunt necesari pentru decriptare). Abia după aceea puteți porni computerul de pe hard disk .
  • Încercați să recuperați fișierele criptate din copii umbră folosind sistemul sau folosind terți.

Ce trebuie să faceți dacă fișierele sunt deja criptate

  • Nu-ți pierde speranța. Site-urile web ale dezvoltatorilor de produse antivirus conțin utilitare gratuite de decriptare pentru tipuri diferite malware. În special, utilitățile de la și .
  • După ce ați determinat tipul de codificator, descărcați utilitate adecvată, cu siguranță fă-o copii fișiere deteriorate și încearcă să le descifrezi. Dacă reușiți, descifrați restul.

Dacă fișierele nu sunt decriptate

Dacă niciunul dintre utilitare nu ajută, este posibil să fi suferit de un virus pentru care nu există încă un tratament.

Ce poți face în acest caz:

  • Dacă utilizați un produs antivirus plătit, contactați echipa de asistență a acestuia. Trimiteți mai multe copii ale fișierelor deteriorate la laborator și așteptați un răspuns. În prezența fezabilitate tehnică te vor ajuta.
  • Dacă se dovedește că fișierele sunt deteriorate fără speranță, dar sunt de mare valoare pentru dvs., nu puteți decât să sperați și să așteptați că într-o zi va fi găsit un remediu de salvare. Cel mai bun lucru pe care îl puteți face este să lăsați sistemul și fișierele așa cum sunt, adică complet dezactivate și neutilizate HDD. Ștergerea fișierelor malware, reinstalarea sistemului de operare și chiar actualizarea acestuia vă poate priva și această șansă, deoarece atunci când generează chei de criptare-decriptare le folosesc adesea identificatori unici sisteme și copii ale virusului.

Plata răscumpărării nu este o opțiune, deoarece probabilitatea de a primi cheia este aproape de zero. Și nu are rost să finanțezi o afacere criminală.

Cum să te protejezi de acest tip de malware

Nu aș vrea să repet sfaturi pe care fiecare dintre cititori le-a auzit de sute de ori. Da, este important să instalați un antivirus bun, să nu faceți clic pe linkuri suspecte și blablabla. Totuși, așa cum a arătat viața, o pastilă magică care să-ți ofere o garanție de securitate 100% nu există astăzi.

Singurul metoda eficienta protecție împotriva acestui tip de ransomware - backup date altora medii fizice, inclusiv în servicii cloud. Backup, backup, backup...

De asemenea pe site:

Fără o șansă de salvare: ce este un virus de criptare și cum să-i faci față actualizat: 1 septembrie 2018 de: Johnny Mnemonic

Bună prieteni! Ce dezastru, ce dezastru! Ieri aproape că am devenit o victimă virus ransomware. Și am scris acest articol din furie. Pentru ca tu, dragă cititor, să știi cum și ce să faci pentru a evita „ziua criptografului”. Am scăpat de asta de data asta. Îți voi spune cum. De asemenea, voi împărtăși câteva dintre observațiile și experiențele mele pe această temă.

Cu toții auzim periodic la televizor despre virușii „petya”, „wanna-cry” și altele asemenea. Acestea sunt așa-numitele „stele globale”, de clasă internațională. Dacă se vorbește despre ele la televizor și totul este în regulă pe computerul tău, cel mai probabil nu mai ești în pericol de a întâlni o „stea”. S-au luat măsuri. Virusul a fost detectat și neutralizat. Semnătura sa se află deja în baza de date a antivirusului dvs. încorporat. Mult mai periculoși sunt virușii de criptare despre care oamenii nu vorbesc la televizor. Sunt scrise de compatrioții noștri, „artişti liberi”, nu împovăraţi de norme morale.

Înainte era mai ușor. Virusul ransomware a blocat desktopul. Pe ecran era un banner indecent pe care scria: „Ești exact așa”. Ești pedepsit, plătești o amendă. Toate acestea au fost tratate destul de repede și ușor. Și destul de repede, bannerele ransomware au demodat.


Apoi, potențialii programatori de pe drumurile mari au decis că trebuie să ne dezvoltăm în continuare. Scrisorile „Inocente” au început să sosească prin poștă. Mai mult, ele ajung adesea la începutul lunii, precum și la date trimestriale și anuale. Un contabil șef nebănuit (sau nu așa) deschide o astfel de scrisoare. Conținutul nu se deschide. Nimic nu se intampla. Ea închide scrisoarea. Dar, după o oră, descoperă că toate fișierele documentelor, fotografiile și bazele de date sunt criptate. Și în fiecare folder de pe computer există un fișier cu un mesaj obscur și calm.


Nu disperați! Citește articolul! Există modalități de a vă ajuta să vă protejați. Voi încerca acum să le acopăr cât mai detaliat posibil.

Deci, subiectul scrisorii pe care o primiți poate conține următoarele cuvinte: „către contabilul-șef”, „către departamentul contabil”, „Raport de reconciliere”, „Somația din instanță”, „Arbitraj”, cuvântul „amenda”, „instanța” este adesea găsită.

Repet încă o dată - la începutul lunii și la datele trimestriale și anuale, astfel de „scrisori în lanț” ajung cel mai adesea. Calculul este simplu. O contabilă nefericită (de obicei o femeie), ale cărei rapoarte trimestriale sunt deja „arde”, este gata să facă orice pentru a-și recupera declarațiile, bazele de date, tabelele, calculele și anii de muncă.

Prieteni, nu urmați exemplul estorcatorilor. Nu există nicio garanție de decriptare. De ce să ridici stima de sine a acestor nefericiți „hackeri” și să dai ocazia de a continua să jefuiască oameni cinstiți și muncitori? Nu le transfera bani! Recuperarea este posibilă cu condiția ca computerul dumneavoastră să fie configurat corect și protejat. Urmați recomandările!

Cum să te protejezi de un virus ransomware în Windows?

Pentru prima dată mi s-a cerut să ajut acum doi-trei ani... Și îmi amintesc atunci că m-a lovit, s-ar putea spune, viclenia asta. Un virus care intră într-un sistem funcționează ca program regulat. Bazele de date ale antivirusului licențiat (!) instalat nu conțineau semnăturile lor, așa că la început antivirusurile nu „considerau” astfel de „aplicații” ca fiind rău intenționate.

Până când apelurile la sprijin s-au răspândit. Programul rău intenționat criptează toate fișierele de pe un computer de un anumit tip - text, documente, fotografii, Fișiere PDF. Și „oaspetele” meu de ieri a criptat deja chiar și unele fișiere ale programului 1C. Există progres.

Dar nu ne-am născut în spatele aragazului... Voi spune imediat că nu există nicio modalitate de a decripta fișierele criptate program terță parte nu va merge. Îmi amintesc că Kaspersky Lab a postat programe de decriptare pe site-ul său.

Dar, sunt doar pentru viruși de un anumit tip. Nu m-a ajutat. Mâine atacatorul va schimba codul, iar acest program nu va mai ajuta. Cheia este cunoscută doar de „dezvoltator”. Și dacă a fost deja închis, nimeni nu vă va trimite cu siguranță un decriptor. Pentru a vă face să vă ușurați portofelul, cod rău intenționat trebuie să depășească mai multe linii de apărare.


Prima linie de apărare este atenția și lizibilitatea ta. Mereu mergi pe aceleași site-uri. Dacă primiți e-mailuri, atunci aproape toate cele pe care le primiți sunt întotdeauna de la aceiași destinatari și întotdeauna cu același conținut.

Când primiți o scrisoare cu conținut neobișnuit, nu vă grăbiți să o deschideți. Dacă vă aflați pe un site necunoscut și vedeți o fereastră neobișnuită, nu vă grăbiți să continuați.

Dacă dvs. sau organizația dvs. aveți un site web, eliminați informațiile despre e-mailul dvs. de acolo. adresa postala. Dacă este vizibil, atunci va ajunge cu siguranță pe lista de corespondență a „romanticilor de pe autostradă” inteligenți. Dă-mi doar adresa persoane de încredere si in privat.


A doua linie de apărare este un antivirus intern licențiat. De ce licentiat? Am observat ca este platit antivirus licențiat(care a trecut certificarea de stat a FSTEC) funcționează mai bine decât cel gratuit.

Încă o dată, am verificat din nou ceva după versiunea „de probă” a Kaspersky (deși cu mult timp în urmă). Rezultatul a fost descurajator. Am găsit o grămadă de viruși atunci.. Asta e o observație. Pentru securitate reală trebuie să plătești, deși mici, bani.

De ce un antivirus intern? Deoarece produsele noastre antivirus certificate mențin baze de date cu site-uri nedorite și frauduloase. „Colegii” străini nu se pot lăuda întotdeauna cu acest lucru; segmentul lor de internet este diferit; nu puteți acoperi totul.

Lansa scaner antivirus totuși pe computer noaptea

poate o dată pe lună.

Cum ajunge un virus ransomware pe un computer?

Pentru a disimula atașamentul, acesta este aproape întotdeauna trimis într-o arhivă. Prin urmare, mai întâi vom verifica litera neobișnuită cu un antivirus. Trebuie să salvați fișierul pe computer (antivirusul se va „uita” deja la el). Și apoi, în plus, faceți clic dreapta pe fișierul salvat pe disc și verificați din nou:

Site-ul se află în baza de date nerecomandată. Aceasta înseamnă că au existat deja „apeluri de alarmă” de la el. Mai mult, versiuni plătite Este mai bine să verificați legăturile de internet pentru viruși „conectați” în ele decât cei gratuiti. Și când dați clic pe un astfel de link, ei neutralizează virusul sau îl adaugă la lista „suspecte” și îl blochează.

La sfârșitul lunii martie, am folosit aceste metode simple pentru a prinde un alt virus de criptare „trimestrial” din e-mail. Singurul lucru pe care a reușit să-mi facă a fost să-mi scrie un mesaj pe tot computerul că fișierele sunt criptate, dar nu a fost cazul. Au rămas intacte, codul a funcționat doar pentru a crea un mesaj:

Vă rugăm să fiți atenți la ceea ce este indicat aici Adresa de e-mail un anume Vladimir Șcerbinin, 1991. Generația anilor 90... Acesta este un traseu fals, pentru că adresa reală este mai jos. vă permite să evitați urmărirea computerului dvs. pe Internet mijloace standard. Prin intermediul unui astfel de browser, atacatorul vă invită să îl contactați. Totul este anonim. Nimeni nu vrea să stea la închisoare.

Din păcate, se întâmplă adesea ca, uneori, virușii să ocolească primele noastre două linii de apărare. În graba noastră, am uitat să scanăm fișierul sau poate că antivirusul nu a primit încă date despre noua amenințare. Dar puteți configura protecția în sistemul de operare.

Cum se configurează protecția împotriva ransomware în Windows 10?

Continuăm să construim o apărare profundă și stratificată împotriva virușilor ransomware și nu numai împotriva ransomware-ului. Fișierele nu pot fi decriptate. Dar ele pot fi restaurate. Totul tine de setari. Dacă le faci înainte ca virusul să ajungă pe computer, virusul nu va putea face nimic. Și dacă o face, atunci va fi posibilă restaurarea fișierelor.


A treia linie de apărare este computerul nostru. De mult timp, din 2003, Microsoft folosește tehnologia „ copiere umbră discuri”. Pentru tine și pentru mine, asta înseamnă că orice modificare a sistemului poate fi anulată.

Un „instantaneu” al hard diskului este creat în avans, automat, fără știrea dvs. Și sistemul îl stochează, adăugând doar modificări. Această tehnologie este folosită pentru a face backup datelor. Trebuie doar să-l porniți.

În funcție de dimensiunea și setările discului, pe volum pot fi stocate până la 64 de „copii umbre” anterioare. Dacă această opțiune este activată, atunci fișierele criptate pot fi restaurate dintr-o copie umbra care este creată în liniște zilnic.

Primul pas - Accesați acest computer - butonul dreapta al mouse-ului „proprietăți”:

Opțiuni suplimentare

Să deschidem fila „Protecția sistemului”. În exemplu, opțiunea de protecție este dezactivată pe unul dintre discuri. Stați cu mouse-ul pe unitatea selectată și faceți clic pe „Configurare”

Datele pot fi restaurate dintr-o copie din această fereastră făcând clic pe butonul „Restaurare”.

Efectuați setările ca în figură:

Următorul pas este configurarea Controlului contului utilizatorului. Ați observat că nu s-a vorbit niciodată la televizor despre „epidemiile” de virus pe dispozitive? Familia Linux,Android?

Atacatorii nu le observă? Ei observă că scriu activ viruși, dar virusul nu funcționează încă acolo. Când lucrați pe un astfel de dispozitiv, nu aveți drepturi de administrator asupra acestuia. Tu utilizator obișnuit, cu drepturi normale, nimeni nu vă va lăsa să schimbați sistemul.

Dacă dispozitivul dvs. este încă în garanție și dvs prin mijloace speciale Dacă vă atribuiți drepturi de administrator (root), producătorul vă va anula garanția pentru aceasta. Orice virus cunoscut în prezent, care intră într-un mediu închis de „utilizator” atât de limitat, încearcă să schimbe ceva, dar fără rezultat, deoarece comenzile de schimbare a sistemului sunt blocate în tăcere. Acesta este un avantaj imens al Linux-ului.


Microsoft (care înseamnă „mic și blând”), ca parte a ideologiei sale, a permis utilizatorilor să schimbe ușor și liber setările de securitate în sistemele lor de operare.

Atât de ușor și gratuit încât virusul, odată ajuns în mediul „administrator”, acționează deja cu puteri de administrator, nimic nu interferează cu el. De aici epidemiile masive și concluzia că numai utilizatorul unui computer Windows este responsabil pentru siguranța datelor lor. Care dintre noi acordă atenție setărilor? Pana cand bate tunetul.. :-

Sper ca te-am convins. Totul este ușor. Accesați conturile de utilizator


Mutăm cursorul cât mai convenabil pentru noi.


Acum, când lansați orice program cu cunoștințele dvs. (sau fără ale dvs.), sistemul vă va cere permisiunea și vă va anunța. Cei mici și delicati iubesc astfel de ferestre...

Și dacă aveți drepturi de Administrator, atunci puteți permite executarea acestuia. Dar dacă ești un utilizator obișnuit, nu o vei permite. De aici din nou concluzia este că cel mai bine este să aveți unul protejat prin parolă pe computer cont Administrator și toți ceilalți ar trebui să fie utilizatori obișnuiți.

Desigur, toată lumea este familiarizată cu această fereastră de mult timp, toată lumea a pus-o deja, toată lumea o stinge. Dar, dacă Controlul contului utilizatorului este activat, nu va permite programului să pornească chiar dacă conexiune la distanță direct la computer. Ca aceasta. Dar, dintre două rele, trebuie să-l alegi pe cel mai mic. Cui îi place ce. Iată altul scurt video despre această temă

Următorul pas este să configurați permisiunile pentru foldere. Pentru special foldere importante Cu documente, puteți configura drepturi de acces pentru fiecare astfel de folder. În proprietățile oricărui folder (via butonul corect mouse - „Proprietăți”) există o filă „Securitate”.

De exemplu, avem utilizatori pe computerul nostru, să presupunem că aceștia sunt copiii noștri mici. Nu dorim ca ei să poată schimba conținutul acestui folder. Prin urmare, faceți clic pe „Modificați”.

Bifele gri sunt cele setate implicit. Putem bifa casetele și „interzice” totul. Chiar și vizionarea. Puteți interzice un grup de utilizatori (ca în figură). Puteți „Adăugați” câteva utilizator individual. Virusul nu va putea face nimic dacă permisiunile de „schimbare” sau „scriere” sunt refuzate în acest folder. Încercați să blocați scrierea și apoi să copiați un fișier într-un astfel de folder.

Și, de asemenea, astăzi vom lua în considerare o astfel de măsură de protecție împotriva virușilor precum backupul fișierelor. Pentru o astfel de soluție, trebuie să achiziționați și să instalați în prealabil pe computer un alt hard disk cu o capacitate nu mai mică decât cea pe care este instalat Windows. Apoi, trebuie să configurați arhivarea pentru aceasta.

Eșuând acolo, ne găsim în setări:

Am doar partiția „D” a hard disk-ului la îndemână acum. Acest lucru este posibil, dar numai pentru prima dată. Atunci cu siguranță trebuie să vă cumpărați dur extern disc. După ce ați ales locația arhivei, faceți clic pe „Următorul”.

Dacă nu aveți un hard disk, facem totul ca în figură. În acest caz, numai fișierele în locații standard(Documentele mele, Descărcări de imagini, Desktop etc.). Faceți clic pe „Următorul”.

Asta e tot, prieteni. Procesul a început. Iată un videoclip care vă spune cum să creați o imagine de sistem și să restaurați un fișier din imagine

Prin urmare protectie eficientaîmpotriva virușilor ransomware, este suficient să aveți grijă, este indicat să aveți un antivirus intern plătit și configurat pt. securitate normală sistem de operare. „Dar cum ai obținut virusul de criptare dacă ești atât de inteligent?” - ma va intreba cititorul. Mă pocăiesc, prieteni.

Toate mai sus setările listate au fost făcute de mine. Dar, am oprit totul singur timp de aproximativ câteva ore. Eu și colegii mei stabilim de la distanță o conexiune la o bază de date care pur și simplu nu dorea să fie stabilită.

La fel de versiune de testare S-a decis să-mi folosesc urgent computerul. Pentru a mă asigura că pachetele nu au fost interferate de antivirus, setările de rețea și firewall, am dezinstalat rapid antivirusul pentru o perioadă și am dezactivat controlul contului de utilizator. Doar totul. Citiți mai jos pentru a vedea ce a rezultat.

Când un virus ransomware ajunge pe computer, ce ar trebui să faci?

Deși nu este ușor, mai întâi încearcă să nu intri în panică. Un atacator nu poate cunoaște conținutul computerului dvs. El se comportă orbește. Nu totul este criptat. De exemplu, programele și aplicațiile nu sunt de obicei criptate. De asemenea, arhivele *.rar și *.7zip nu sunt disponibile. incearca sa deschizi arhiva. Dacă se deschide, e bine.

Când am descoperit „surpriza”, am început să ghicesc că „am primit-o”. Știam ce fac... În primul rând, am instalat antivirusul înapoi. Într-o stare dezamăgită, am activat din nou Controlul contului de utilizator „în întregime” și am început să scanez pentru noapte partiția sistemului C:, pe care este instalat Windows.

A fost necesar să extrageți fișierul infectat. Dacă nu faci asta, nu va avea rost. Totul va fi din nou criptat. Deci mai întâi tratăm computerul.

Dacă este posibil, executați o scanare a întregului computer folosind un disc de viață gratuit de la Dr Web sau similar utilitate gratuită de la Kaspersky Kspersky Resque Disk 10.

Dimineața, următorii „monstri” au fost găsiți în carantina antivirusului meu:

Doar trei, ar fi putut fi mai rău. Dar acești trei au criptat toate bunurile mele. Ce facem mai departe? Dacă arhivarea a fost configurată, după tratament trebuie doar să restaurați fișierele din arhivă și asta este tot. Am intrat în arhivă, unde aveam un backup zilnic al fișierelor mele configurat timp de câteva luni.

După ce l-am deschis, am văzut că toate arhivele pentru toate datele au fost și ele ucise. Lista este goală. De ce s-a întâmplat?


Virușii devin din ce în ce mai inteligenți. Eu însumi am dezactivat Controlul contului utilizator după ce am dezinstalat antivirusul. …….Primul lucru pe care l-a făcut virusul după aceasta a fost să se bucure și să ștergă toate fișierele de rezervă. Și din acel moment am început să cad treptat în deznădejde...

Al doilea lucru de făcut (credeam) este să restaurați fișierele din copia umbră a unității C:. Pentru asta folosesc program gratuit pentru a vizualiza copii umbre ale discului ShadowCopyView_ru_64 sau versiunea pe 32 de biți. Vă permite să vizualizați vizual și să evaluați rapid conținutul copiilor umbre, precum și să restaurați foldere individuale.

Când m-am uitat la ultimele instantanee, sa dovedit că au rămas doar copii criptate... Al doilea lucru pe care l-a făcut virusul a fost să-mi omoare din nou vechile copii umbră ale volumului protejat, pentru a-l face mai interesant pentru mine... Sau poate au fost suprascrise de copiile ulterioare... Final...

S-ar părea că asta este. Nu toți, prieteni. Principalul lucru este să nu renunți.

Virusul are fișiere criptate pe un computer cu Windows 10, ce să faci, cum să-l vindeci și cum să-l remediezi?

La asta nu au reușit încă să ajungă potențialii noștri hackeri. Ultima linie de apărare. Prezent doar în Windows 10, nu l-am verificat încă, dar cred că „șapte” și „opt” nu au această nouă caracteristică minunată. Am observat-o recent. Aceasta este o caracteristică cu adevărat nouă și interesantă. ÎN bara de căutare să lovim cuvântul „recuperare”

În Panoul de control, faceți clic pe „Recuperați fișiere folosind istoricul fișierelor”

Am fost încântat și am trecut imediat, desigur, la „Documente” și „Desktop”.

Și am văzut că fișierele nu erau criptate. Ura! "Mulțumesc Săgeată verde! Procesul a început. Fișierele au fost restaurate. Calculatorul a fost vindecat de viruși. Setările de securitate sunt făcute. Ce mai rămâne de făcut?

De asemenea, trebuie să ștergeți fișierele criptate. Nu se știe niciodată... Dar sunt foarte, foarte mulți dintre ei. Cum să le găsiți și să le eliminați rapid? Il folosesc de mult timp manager de fișiere Comandant total. Pentru gustul meu nu este nimic mai bun. Cel care a început cu Manager îndepărtat mă va înțelege. Tonal poate căuta rapid fișiere și multe altele. Vom curăța discurile unul câte unul.

Să începem cu partiția de sistem, selectați-o făcând clic pe mouse sau din lista derulantă din colțul din stânga sus:


Apăsați simultan Alt + F7 de pe tastatură. Am apelat panoul de căutare de fișiere.

Puteți căuta după nume. Poti face orice doresti. Dar vom folosi o mască, adică indicăm extensia fișierului criptat *.freefoam printr-un asterisc și un punct („autorul” dvs. poate fi diferit, iar extensia va fi diferită). Prin aceasta am indicat că TOATE fișierele cu această extensie trebuie căutate. Căutați locația „C:”. De asemenea, puteți specifica toate secțiunile din acest panou, nu doar „C:”. Faceți clic pe „Începe căutarea”.

Apăsând „stea” de pe tastatura laterală, evidențiem toate fișierele din panou cu roz. Pentru a șterge fișiere în coșul de gunoi, apăsați F8 sau Del:

Am curățat tot gunoiul criptat rămas ca un aspirator. Lasă-l să stea în coș deocamdată. Atunci o voi șterge. La fel, am curățat toate secțiunile una câte una în aproximativ patruzeci de minute. Am multe lucruri criptate.

Dar am avut noroc, pentru că se poate întâmpla și mai rău. Această nouă caracteristică m-a salvat literalmente. Nu știu sigur dacă activarea copiilor umbră afectează acest lucru optiune noua. Se pare că da, dar nu am verificat în mod special. Cumva nu mai vreau :)

Scrie dacă știi. Și se pot trage următoarele concluzii. În prezența antivirus bunȘi setare corectă sala de operatie sisteme de ferestre 10 poți șterge nasul atacatorului și să-l lași fără nimic. La revedere prieteni.

Și în fiecare an apar tot mai multe noi... din ce în ce mai interesante. Cel mai popular În ultima vreme un virus (Trojan-Ransom.Win32.Rector) care criptează toate fișierele dvs. (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, etc.) . Problema este că decriptarea unor astfel de fișiere este extrem de dificilă și necesită timp; în funcție de tipul de criptare, decriptarea poate dura săptămâni, luni sau chiar ani. În opinia mea, acest virus este acest moment, apogeul pericolului printre alți viruși. Este deosebit de periculos pentru computerele/laptopurile de acasă, deoarece majoritatea utilizatorilor nu fac copii de siguranță ale datelor lor și, atunci când criptează fișierele, pierd toate datele. Pentru organizații, acest virus este mai puțin periculos pentru că o fac copii de rezervă date importante și în caz de infecție, acestea sunt pur și simplu restaurate, în mod natural după îndepărtarea virusului. Am întâlnit acest virus de mai multe ori, voi descrie cum s-a întâmplat și la ce a dus.

Prima dată când am întâlnit un virus care criptează fișierele a fost la începutul anului 2014. Un administrator din alt oraș m-a contactat și mi-a spus cea mai neplăcută veste - Toate fișierele de pe serverul de fișiere sunt criptate! Infecția a avut loc într-un mod elementar - departamentul de contabilitate a primit o scrisoare cu atașamentul „Act of something there.pdf.exe”, după cum înțelegeți, au deschis aceasta Fișierul EXE iar procesul a început... a criptat toate fișierele personale de pe computer și a trecut la server de fișiere(a fost conectat printr-o unitate de rețea). Administratorul și cu mine am început să căutăm informații pe internet... la vremea aceea nu exista o soluție... toată lumea scria că există un astfel de virus, nu se știa cum să se trateze, fișierele nu puteau fi decriptate, poate trimiterea fișierelor către Kaspersky, Dr Web sau Nod32 ar fi de ajutor. Le poți trimite doar dacă folosești programele lor antivirus (licențiate). Am trimis fișierele către Dr Web și Nod32, rezultatele au fost 0, nu-mi amintesc ce i-au spus lui Dr Web, iar Nod 32 a fost complet tăcut și nu am primit niciun răspuns de la ei. În general, totul a fost trist și nu am găsit niciodată o soluție; am restaurat unele fișiere din backup.

A doua poveste - chiar zilele trecute (jumătatea lunii octombrie 2014) am primit un apel de la o organizație care îmi cere să rezolv o problemă cu un virus; după cum înțelegeți, toate fișierele de pe computer au fost criptate. Iată un exemplu despre cum arăta.

După cum puteți vedea, la fiecare fișier a fost adăugată extensia *.AES256. În fiecare folder era un fișier „Attention_open-me.txt” care conținea contacte pentru comunicare.

Când încercați să deschideți aceste fișiere, s-a deschis un program cu contacte pentru a contacta autorii virusului pentru a plăti pentru decriptare. Desigur, nu recomand să-i contactați și nici să plătiți codul, deoarece îi veți sprijini doar financiar și nu este un fapt că veți primi cheia de decriptare.

Infecția a avut loc în timpul instalării unui program descărcat de pe Internet. Cel mai surprinzător lucru a fost că atunci când au observat că fișierele s-au schimbat (pictogramele și extensiile de fișiere s-au schimbat), nu au făcut nimic și au continuat să funcționeze, în timp ce ransomware-ul a continuat să cripteze toate fișierele.

Atenţie!!! Dacă observați criptarea fișierelor pe computer (modificare pictograme, modificare extensie), opriți imediat computerul/laptop-ul și căutați o soluție de pe alt dispozitiv (de pe alt computer/laptop, telefon, tabletă) sau contactați specialiștii IT. Cu cât computerul/laptop-ul este pornit mai mult, cu atât mai multe fișiere va cripta.

În general, am vrut deja să refuz să-i ajut, dar am decis să navighez pe internet, poate că a apărut deja o soluție la această problemă. În urma căutării, am citit o mulțime de informații că nu pot fi decriptate, că trebuie să trimiteți fișiere către companii de antivirus (Kaspersky, Dr Web sau Nod32) - mulțumesc pentru experiență.
Am dat peste un utilitar de la Kaspersky - RectorDecryptor. Și despre dosare de minuni a reusit sa descifreze. Ei bine, primul lucru mai întâi...

Primul pas este oprirea ransomware-ului. Nu veți găsi niciun antivirus, deoarece Dr Web instalat nu a găsit nimic. În primul rând, am trecut la pornire și am dezactivat toate pornirile (cu excepția antivirusului). A repornit computerul. Apoi am început să mă uit la ce fel de fișiere erau la pornire.

După cum puteți vedea în câmpul „Comandă”, este indicat unde se află fișierul, Atentie speciala Aplicațiile fără semnătură trebuie eliminate (Producător - Fără date). În general, am găsit și șters malware și fișiere care nu mi-au fost încă clare. După aceea, am șters folderele temporare și cache-urile browserului; cel mai bine este să folosiți programul în aceste scopuri CCleaner .

Apoi am început să decriptez fișierele, pentru asta le-am descărcat program de decriptare RectorDecryptor . L-am lansat și am văzut o interfață destul de ascetică a utilitarului.

Am făcut clic pe „Începe scanarea” și am indicat extensia pe care o aveau toate fișierele modificate.

Și a indicat fișierul criptat. În versiunile mai noi de RectorDecryptor puteți specifica pur și simplu fișierul criptat. Faceți clic pe butonul „Deschidere”.

Tada-a-a-am!!! S-a întâmplat un miracol și fișierul a fost decriptat.

După aceasta, utilitarul verifică automat toate fișierele de pe computer + fișierele de pe conectat unitate de rețeași le decriptează. Procesul de decriptare poate dura câteva ore (în funcție de numărul de fișiere criptate și de viteza computerului dvs.).

Ca rezultat, toate fișierele criptate au fost decriptate cu succes în același director în care au fost localizate inițial.

Tot ce rămâne este să ștergeți toate fișierele cu extensia .AES256; acest lucru se poate face bifând caseta de selectare „Ștergeți fișierele criptate după decriptarea reușită” dacă faceți clic pe „Modificați parametrii de scanare” în fereastra RectorDecryptor.

Dar rețineți că este mai bine să nu bifați această casetă, deoarece dacă fișierele nu sunt decriptate cu succes, acestea vor fi șterse și pentru a încerca din nou să le decriptați va trebui mai întâi să le decriptați restabili .

Când încercați să ștergeți toate fișierele criptate folosind căutare standardși de îndepărtare, am dat peste îngheață și extrem muncă lentă calculator.

Prin urmare, pentru a-l elimina, cel mai bine este să utilizați linia de comandă, să o rulați și să scrieți del"<диск>:\*.<расширение зашифрованного файла>„/f/s. În cazul meu, del "d:\*.AES256" /f /s.

Nu uitați să ștergeți fișierele „Attention_open-me.txt”, pentru aceasta în Linie de comanda utilizați comanda del"<диск>:\*.<имя файла>„/f/s, De exemplu
del "d:\Atenție_deschide-mă.txt" /f /s

Astfel, virusul a fost învins și fișierele au fost restaurate. Vreau să te avertizez că aceasta metoda Nu va ajuta pe toată lumea, ideea este că Kapersky în acest utilitar a colectat toate cheile de decriptare cunoscute (din acele fișiere care au fost trimise de cei infectați cu virusul) și folosește o metodă de forță brută pentru a selecta cheile și a le decripta . Acestea. dacă fișierele dvs. sunt criptate de un virus cu o cheie necunoscută, atunci această metodă nu va ajuta... va trebui să trimiteți fișierele infectate companiilor de antivirus - Kaspersky, Dr Web sau Nod32 pentru a le decripta.

Își continuă marșul opresiv pe internet, infectând computerele și criptând datele importante. Cum să vă protejați de ransomware, protejați Windows de ransomware - au fost lansate corecții pentru decriptarea și dezinfectarea fișierelor?

Virus nou ransomware 2017 Vreau să plâng continuă să infecteze computerele corporative și private. U Pagubele cauzate de atacul virușilor se ridică la un miliard de dolari. În 2 săptămâni, virusul ransomware a infectat cel puțin 300 de mii de calculatoare, în ciuda avertismentelor și măsurilor de securitate.

Virusul ransomware 2017, ce este?- de regulă, puteți „prelua” de pe site-urile aparent cele mai inofensive, de exemplu, serverele bancare cu acces de utilizator. Odată ajuns pe hard disk-ul victimei, ransomware-ul „se instalează”. folderul de sistem Sistem32. De acolo programul dezactivează imediat antivirusul și intră în „Autorun”" După fiecare repornire, ransomware intră în registru, începându-și treaba murdară. Ransomware-ul începe să descarce copii similare ale unor programe precum Ransom și Troian. De asemenea, se întâmplă des auto-replicare ransomware. Acest proces poate fi momentan sau poate dura săptămâni până când victima observă că ceva nu este în regulă.

Ransomware-ul se deghizează adesea ca poze obisnuite, fișiere text , dar esența este întotdeauna aceeași - acesta este un fișier executabil cu extensia .exe, .drv, .xvd; Uneori - biblioteci.dll. Cel mai adesea, fișierul are un nume complet inofensiv, de exemplu „ document. doc", sau " imagine.jpg", unde extensia este scrisă manual, și tipul de fișier adevărat este ascuns.

După finalizarea criptării, utilizatorul vede, în loc de fișiere familiare, un set de caractere „aleatorie” în nume și în interior, iar extensia se schimbă cu una necunoscută anterior - .NO_MORE_RANSOM, .xdata si altii.

Virusul ransomware Wanna Cry 2017 – cum să te protejezi. Aș dori să observ imediat că Wanna Cry este mai degrabă un termen colectiv pentru toți virușii de criptare și ransomware, deoarece recent a infectat computerele cel mai des. Deci, vom vorbi despre Protejați-vă de ransomware-ul Ransom Ware, dintre care există o mulțime: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Cum să protejați Windows de ransomware.EternalBlue prin protocolul portului SMB.

Protejarea Windows de ransomware 2017 – reguli de bază:

  • Actualizare Windows, tranziție în timp util la un sistem de operare licențiat (notă: versiunea XP nu este actualizată)
  • Actualizați baze de date antivirusși firewall-uri la cerere
  • atenție extremă atunci când descărcați orice fișiere („sigiliile” drăguțe pot duce la pierderea tuturor datelor)
  • backup Informații importante la medii amovibile.

Virusul ransomware 2017: cum să dezinfectați și să decriptați fișierele.

Bazându-vă pe software-ul antivirus, puteți uita de decriptor pentru o vreme. În laboratoare Kaspersky, Dr. Web, Avast! si alte antivirusuri deocamdata nu a fost găsită nicio soluție pentru tratarea fișierelor infectate. În acest moment, este posibil să eliminați virusul utilizând un antivirus, dar încă nu există algoritmi care să revină totul „la normal”.

Unii încearcă să folosească decriptoare precum utilitarul RectorDecryptor, dar asta nu va ajuta: un algoritm pentru decriptarea noilor viruși nu a fost încă compilat. De asemenea, este absolut necunoscut cum se va comporta virusul dacă nu este eliminat după utilizarea unor astfel de programe. Adesea, acest lucru poate duce la ștergerea tuturor fișierelor - ca un avertisment pentru cei care nu vor să plătească atacatorii, autorii virusului.

Momentan cel mai mult mod eficient recuperarea datelor pierdute înseamnă să contactați asistența tehnică. suport furnizor program antivirus pe care îl folosiți. Pentru a face acest lucru, trimiteți o scrisoare sau utilizați formularul către părere pe site-ul producătorului. Asigurați-vă că adăugați fișierul criptat în atașament și, dacă este disponibilă, o copie a originalului. Acest lucru îi va ajuta pe programatori să compună algoritmul. Din păcate, pentru mulți atac de virus vine ca o surpriză completă și nu se găsesc copii, ceea ce complică foarte mult situația.

Metode cardiace Tratament ferestre din ransomware. Din păcate, uneori trebuie să recurgi la formatare completă hard disk, ceea ce presupune o schimbare completă a sistemului de operare. Mulți se vor gândi la restaurarea sistemului, dar aceasta nu este o opțiune - chiar și o „retroducere” va scăpa de virus, dar fișierele vor rămâne în continuare criptate.

Să vă reamintim: Troienii din familia Trojan.Encoder sunt programe rău intenționate care criptează fișierele de pe hard diskul unui computer și solicită bani pentru decriptarea acestora. Fișierele *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar și așa mai departe pot fi criptate.
Nu a fost posibil să întâlnim personal întreaga familie a acestui virus, dar, după cum arată practica, metoda de infectare, tratament și decodare este aproximativ aceeași pentru toată lumea:
1. victima este infectată printr-un e-mail spam cu un atașament (mai rar prin mijloace infecțioase),
2. virusul este recunoscut și eliminat (deja) de aproape orice antivirus cu baze de date proaspete,
3. fișierele sunt decriptate prin selectarea cheilor de parolă pentru tipurile de criptare utilizate.
De exemplu, Trojan.Encoder.225 folosește criptarea RC4 (modificat) + DES, iar Trojan.Encoder.263 folosește BlowFish în modul CTR. Acești viruși sunt în prezent descifrabili în proporție de 99% pe baza experienței personale.

Dar nu totul este atât de lin. Unii viruși de criptare necesită luni de decriptare continuă (Trojan.Encoder.102), în timp ce alții (Trojan.Encoder.283) nu pot fi decriptați corect nici măcar de specialiștii de la compania Doctor Web, care chiar joacă Rol cheieîn acest articol.

Acum, în ordine.

La începutul lunii august 2013, clienții m-au contactat cu problema fișierelor criptate de virusul Trojan.Encoder.225. Virusul, la acea vreme, era nou, nimeni nu știa nimic, erau 2-3 link-uri Google tematice pe Internet. După o lungă căutare pe Internet, se dovedește că singura organizație (găsită) care se ocupă de problema decriptării fișierelor după acest virus este compania Doctor Web. Și anume: oferă recomandări, ajută la contactarea suportului tehnic, dezvoltă propriile decriptoare etc.

Retragere negativă.

Și, profitând de această ocazie, aș dori să subliniez două ingrasand minus Kaspersky Lab. Pe care, atunci când își contactează asistența tehnică, ei îl resping „lucrăm la această problemă, vă vom anunța rezultatele prin poștă”. Și totuși, dezavantajul este că nu am primit niciodată un răspuns la cerere. Dupa 4 luni. La naiba cu timpul de reacție. Și aici mă străduiesc pentru standardul „nu mai mult de o oră de la finalizarea cererii”.
Să-ți fie rușine, tovarășe Evgeniy Kaspersky, CEO Kaspersky Lab. Dar am o jumătate bună din toate companiile „stau” pe el. Ei bine, licențele expiră în ianuarie-martie 2014. Merită să discutăm dacă îmi voi reînnoi permisul?;)

Vă prezint chipurile „specialiștilor” de la companii „mai simple”, ca să zic așa, NU giganți ai industriei antivirus. Probabil că doar „s-au înghesuit într-un colț” și „au plâns în liniște”.
Deși, mai mult, absolut toată lumea a fost complet înșurubată. Antivirusul, în principiu, nu ar fi trebuit să permită acestui virus să pătrundă pe computer. Mai ales având în vedere tehnologii moderne. Iar „ei”, GIGANTII industriei anti-VIRUS, se presupune că au totul acoperit, „analiza euristică”, „sistem preventiv”, „protecție proactivă”...

UNDE ERAU TOATE ACESTE SUPER-SISTEME CÂND LUNCITORUL DEPARTAMENTULUI DE HR A DESCHIS O SCRISOARE DE „HAMONNES” CU SUBIECTUL „CURVA”???
Ce trebuia să creadă angajatul?
Dacă TU nu ne poți proteja, atunci de ce avem nevoie de TINE?

Și totul ar fi bine cu Doctor Web, dar pentru a obține ajutor, trebuie, desigur, să aveți o licență pentru oricare dintre produsele lor software. Când contactați asistența tehnică (denumită în continuare TS), trebuie să furnizați număr de serie Dr.Web și nu uitați să selectați „cerere de tratament” în linia „Categorie de solicitare:” sau pur și simplu să le furnizați laboratorului un fișier criptat. Permiteți-mi să fac o rezervare imediat că așa-numitul „ cheile jurnalului» Dr.Web, care sunt postate pe Internet în loturi, nu sunt potrivite, deoarece nu confirmă achiziția niciunui produse software, și sunt eliminate o dată sau de două ori de către specialiștii TP. Este mai ușor să cumpărați cea mai „ieftină” licență. Pentru că, dacă vă ocupați de decriptare, această licență vă va plăti înapoi de un milion de ori. Mai ales dacă folderul cu fotografii „Egypt 2012” era într-o singură copie...

Încercarea nr. 1

Așadar, după ce am cumpărat o „licență pentru 2 PC-uri timp de un an” pentru o sumă n de bani, contactând TP-ul și furnizând câteva fișiere, am primit un link către utilitarul de decriptare te225decrypt.exe versiunea 1.3.0.0. Anticipând succesul, lansez utilitarul (trebuie să îl îndreptați către unul dintre fișierele criptate *. fișiere doc). Utilitarul începe selecția, încărcând fără milă vechiul procesor E5300 DualCore, 2600 MHz (overclockat la 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital la 90-100%.
Iată, în paralel cu mine, un coleg pe un PC core i5 2500k (overclockat la 4.5ghz) / 16 ram 1600 / ssd intel se alătură lucrării (aceasta este pentru compararea timpului petrecut la sfârșitul articolului).
După 6 zile, utilitarul a raportat că au fost decriptate 7277 de fișiere. Dar fericirea nu a durat mult. Toate fișierele au fost decriptate „strâmb”. Adică, de exemplu, documente Microsoft birouri deschise, dar cu diverse erori: « Aplicație Word a existat conținut în documentul *.docx care nu a putut fi citit” sau „Fișierul *.docx nu poate fi deschis din cauza unor erori în conținutul său”. Fișierele *.jpg se deschid, de asemenea, fie cu o eroare, fie 95% din imagine se dovedește a fi un fundal negru decolorat sau verde deschis. Pentru fișierele *.rar - „Sfârșitul neașteptat al arhivei”.
Per total un eșec total.

Încercarea nr. 2

Scriem lui TP despre rezultate. Ei vă cer să furnizați câteva fișiere. O zi mai târziu oferă din nou un link către utilitarul te225decrypt.exe, dar de data aceasta versiunea 1.3.2.0. Ei bine, haideți să lansăm, oricum nu a existat nicio alternativă. Trec aproximativ 6 zile și utilitarul se termină cu eroarea „Nu se pot selecta parametrii de criptare”. Total 13 zile „la scurgere”.
Dar nu renunțăm, avem documente importante de la clientul nostru *prost* fără copii de siguranță de bază.

Încercarea nr. 3

Scriem lui TP despre rezultate. Ei vă cer să furnizați câteva fișiere. Și, după cum probabil ați ghicit, o zi mai târziu oferă un link către același utilitar te225decrypt.exe, dar versiunea 1.4.2.0. Ei bine, hai să lansăm, nu a existat nicio alternativă și nu a apărut niciodată nici de la Kaspersky Lab, nici de la ESET NOD32, nici de la alți producători soluții antivirus. Și acum, după 5 zile 3 ore și 14 minute (123,5 ore), utilitarul raportează că fișierele au fost decriptate (pentru un coleg pe un core i5, decriptarea a durat doar 21 de ore și 10 minute).
Ei bine, cred că a fost sau nu a fost. Și iată: succes total! Toate fișierele sunt decriptate corect. Totul se deschide, se închide, arată, editează și salvează corect.

Toată lumea este fericită, Sfârșitul.

„Unde este povestea despre virusul Trojan.Encoder.263?”, vă întrebați. Și pe următorul computer, sub masă... era. Totul era mai simplu acolo: scriem la Doctor Web TP, luăm utilitarul te263decrypt.exe, îl lansăm, așteptăm 6,5 zile, voila! și totul este gata. Pentru a rezuma, pot da câteva sfaturi de pe forumul Doctor Web în ediția mea:

Ce trebuie să faceți dacă sunteți infectat cu un virus ransomware:
- trimite la laboratorul de virus Dr. Web sau în formularul „Trimite”. dosar suspect» fișier document criptat.
- Așteptați un răspuns de la un angajat Dr.Web și apoi urmați instrucțiunile acestuia.

Ce sa nu faci:
- modificarea extensiei fișierelor criptate; În caz contrar, cu o cheie selectată cu succes, utilitarul pur și simplu nu va „vedea” fișierele care trebuie decriptate.
- utilizați independent, fără consultarea specialiștilor, orice programe de decriptare/recuperare a datelor.

Atentie, avand un server liber de alte sarcini, va ofer serviciile mele gratuite pentru decriptarea datelor DVS. Nucle de server i7-3770K cu overclocking la * anumite frecvente*, 16 GB RAM și SSD Vertex 4.
Pentru toți utilizatori activi Utilizarea „habra” a resurselor mele va fi GRATUITĂ!!!
Scrie-mi într-un mesaj personal sau prin alte contacte. Am „mâncat câinele” deja. Prin urmare, nu sunt prea leneș să pun serverul pe decriptare peste noapte.
Acest virus este „flaga” al timpului nostru și a lua „pradă” de la colegii soldați nu este uman. Deși, dacă cineva „aruncă” câțiva dolari în contul meu Yandex.money 410011278501419, nu mă deranjează. Dar acest lucru nu este deloc necesar. Contactaţi-ne. Procesez aplicațiile în timpul liber.

Informație nouă!

Începând cu 8 decembrie 2013, un nou virus din aceeași serie Trojan.Encoder a început să se răspândească sub clasificarea Doctor Web - Trojan.Encoder.263, dar cu criptare RSA. Acest tip de astăzi (20.12.2013) nu poate fi descifrat, deoarece folosește o metodă de criptare foarte puternică.

Recomand tuturor celor care au suferit de acest virus:
1. Folosind încorporat căutare Windows găsiți toate fișierele care conțin extensia .perfect, copiați-le în medii externe.
2. Copiați și fișierul CONTACT.txt
3. Așezați acest suport extern „pe raft”.
4. Așteptați să apară utilitarul de decriptare.

Ce sa nu faci:
Nu e nevoie să te încurci cu criminalii. Este o prostie. În mai mult de 50% din cazuri, după „plata” a aproximativ 5000 de ruble, nu veți primi NIMIC. Fără bani, fără decriptor.
Pentru a fi corect, merită remarcat faptul că există acei oameni „norocoși” pe Internet care și-au primit fișierele înapoi prin decriptare pentru „pradă”. Dar nu ar trebui să ai încredere în acești oameni. Dacă aș fi scriitor de viruși, primul lucru pe care l-aș face ar fi să răspândesc informații de genul „Am plătit și mi-au trimis un decodor!!!”
În spatele acestor „norocoși” pot fi aceiași atacatori.

Ei bine... să urăm mult succes altor companii de antivirus în crearea unui utilitar pentru decriptarea fișierelor după grupul de viruși Trojan.Encoder.

Mulțumiri speciale tovarășului v.martyanov de la forumul Doctor Web pentru munca depusă la crearea utilităților de decriptare.