Deblocarea fișierelor după un virus. Restaurarea versiunii anterioare. Cum să eliminați un virus de criptare a fișierelor și să decriptați fișierele

Salutare tuturor, astăzi vă voi spune cum să decriptați fișierele după un virus în Windows. Unul dintre cele mai problematice programe malware din ziua de azi este un troian, sau virus, care criptează fișierele de pe unitatea utilizatorului. Unele dintre aceste fișiere pot fi decriptate, dar altele nu pot fi încă decriptate. În articol voi descrie posibili algoritmi de acțiune în ambele situații.

Există mai multe modificări ale acestui virus, dar esența generală a lucrării este că, după instalare pe computer, fișierele documentelor, imaginile și alte fișiere potențial importante sunt criptate cu o modificare a extensiei, după care primiți un mesaj că toate dvs. fișierele au fost criptate, iar pentru a le decripta trebuie să trimiteți o anumită sumă atacatorului.

Fișierele de pe computer sunt criptate în xtbl

Una dintre cele mai recente variante ale virusului ransomware criptează fișierele, înlocuindu-le cu fișiere cu extensia .xtbl și un nume format dintr-un set aleatoriu de caractere.

În același timp, pe computer este plasat un fișier text readme.txt cu aproximativ următorul conținut: „Fișierele tale au fost criptate. Pentru a le decripta, trebuie să trimiteți codul la adresa de e-mail [email protected], [email protected] sau [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a decripta fișierele personal vor duce la pierderea irecuperabilă a informațiilor” (adresa de e-mail și textul pot diferi).

Din păcate, nu există nicio modalitate de a decripta .xtbl în acest moment (de îndată ce acesta devine disponibil, instrucțiunile vor fi actualizate). Unii utilizatori care aveau informații cu adevărat importante pe computerul lor raportează pe forumurile antivirus că au trimis autorilor virusului 5.000 de ruble sau altă sumă necesară și au primit un decriptor, dar acest lucru este foarte riscant: este posibil să nu primești nimic.

Ce să faci dacă fișierele au fost criptate în .xtbl? Recomandările mele sunt următoarele (dar diferă de cele de pe multe alte site-uri tematice, unde, de exemplu, recomandă oprirea imediată a computerului de la sursa de alimentare sau nu îndepărtarea virusului. După părerea mea, acest lucru este inutil și sub unele circumstanțe poate fi chiar dăunătoare, dar rămâne la latitudinea dvs. să decideți.):

1. Dacă știți cum, întrerupeți procesul de criptare ștergând sarcinile corespunzătoare din managerul de activități, deconectând computerul de la Internet (aceasta poate fi o condiție necesară pentru criptare)
2. Amintiți-vă sau notați codul pe care atacatorii solicită să fie trimis la o adresă de e-mail (doar nu la un fișier text de pe computer, pentru orice eventualitate, ca să nu fie nici criptat).
3. Folosind Malwarebytes Antimalware, o versiune de încercare a Kaspersky Internet Security sau Dr.Web Cure It, eliminați virusul de criptare a fișierelor (toate aceste instrumente fac o treabă bună în acest sens). Vă sfătuiesc să utilizați pe rând primul și al doilea produs din listă (cu toate acestea, dacă aveți instalat un antivirus, instalarea celui de-al doilea „de sus” este nedorită, deoarece poate duce la probleme cu computerul.)
4. Așteptați să apară un decriptor de la o companie de antivirus. Kaspersky Lab este în frunte aici.
5. De asemenea, puteți trimite un exemplu de fișier criptat și codul necesar către [email protected], dacă aveți o copie necriptată a aceluiași fișier, vă rugăm să o trimiteți și pe aceasta. În teorie, acest lucru ar putea accelera apariția decriptorului.

Ce sa nu faci:

• Redenumiți fișierele criptate, schimbați extensia și ștergeți-le dacă sunt importante pentru dvs.

Acesta este probabil tot ce pot spune despre fișierele criptate cu extensia .xtbl în acest moment.

Trojan-Ransom.Win32.Aura și Trojan-Ransom.Win32.Rakhni

Următorul troian criptează fișierele și instalează extensii din această listă:

• .încuiat
• .cripto
• .kraken
• .AES256 (nu neapărat acest troian, sunt și alții care instalează aceeași extensie).
• .codercsu@gmail_com
• .oshit
• Si altii.

Pentru a decripta fișierele după operarea acestor viruși, site-ul Kaspersky are un utilitar gratuit numit RakhniDecryptor, disponibil pe pagina oficială http://support.kaspersky.ru/viruses/disinfection/10556.

Există, de asemenea, instrucțiuni detaliate pentru utilizarea acestui utilitar, care arată cum să restaurați fișierele criptate, din care, pentru orice eventualitate, aș elimina elementul „Ștergeți fișierele criptate după decriptarea cu succes” (deși cred că totul va fi bine cu opțiunea instalată) .

Dacă aveți o licență antivirus Dr.Web, puteți utiliza decriptarea gratuită de la această companie pe pagina http://support.drweb.com/new/free_unlocker/

Mai multe opțiuni de virus ransomware

Mai puțin frecvente, dar și întâlnite, sunt următorii troieni care criptează fișierele și cer bani pentru decriptare. Linkurile furnizate conțin nu numai utilități pentru returnarea fișierelor, ci și o descriere a semnelor care vă vor ajuta să determinați că aveți acest virus anume. Deși, în general, modalitatea optimă este să scanezi sistemul utilizând antivirus Kaspersky, să afli numele troianului în funcție de clasificarea acestei companii și apoi să cauți un utilitar cu acest nume.

• Trojan-Ransom.Win32.Rector - utilitarul gratuit de decriptare RectorDecryptor și instrucțiunile de utilizare sunt disponibile aici: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist este un troian similar care afișează o fereastră în care vă cere să trimiteți un SMS plătit sau să contactați prin e-mail pentru a primi instrucțiuni de decriptare. Instrucțiuni pentru restaurarea fișierelor criptate și utilitarul XoristDecryptor pentru aceasta sunt disponibile pe pagina http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Utilitar RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 și altele cu același nume (când căutați prin antivirus Dr.Web sau prin utilitarul Cure It) și cu numere diferite - încercați să căutați pe Internet după numele troianului. Pentru unele dintre ele există utilitare de decriptare de la Dr.Web, tot dacă nu ai putut găsi utilitarul, dar ai licență Dr.Web, poți folosi pagina oficială http://support.drweb.com/new/free_unlocker /
• CryptoLocker - pentru a decripta fișierele după ce CryptoLocker funcționează, puteți folosi site-ul http://decryptcryptolocker.com - după trimiterea fișierului eșantion, veți primi o cheie și un utilitar pentru a vă recupera fișierele.

Ei bine, din ultimele știri - Kaspersky Lab, împreună cu oamenii legii din Țările de Jos, au dezvoltat Ransomware Decryptor (http://noransom.kaspersky.com) pentru a decripta fișierele după CoinVault, dar acest ransomware nu este încă găsit în latitudinile noastre.

Apropo, dacă se dovedește brusc că aveți ceva de adăugat (pentru că s-ar putea să nu am timp să monitorizez ce se întâmplă cu metodele de decriptare), spuneți-mi în comentarii, aceste informații vor fi utile altor utilizatori care sunt confruntat cu o problemă.

Recent, cel mai periculos virus este un troian de criptare a fișierelor, recunoscut ca Trojan-Ransom.Win32.Rector, care criptează toate fișierele dvs. (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar etc.). Problema este că decriptarea unor astfel de fișiere este extrem de dificilă, iar fără anumite cunoștințe și abilități este pur și simplu imposibil.

Procesul de infecție are loc într-un mod viclean. Sosește un e-mail cu un fișier atașat de tipul „document. pdf .exe " Când acest fișier este deschis și, de fapt, când este lansat, virusul începe să funcționeze și să cripteze fișierele. Dacă detectați efectul acestui fișier, dar continuați să lucrați pe acest computer, atunci acesta criptează din ce în ce mai multe fișiere. O extensie precum „Această adresă de e-mail este protejată de roboții de spam, trebuie să aveți Javascript activat pentru ao vizualiza” este adăugată fișierelor criptate (numele poate fi diferit) și un fișier de Internet sau text precum„EXPAND_FILES.html” în care atacatorii descriu cum să obțină bani de la tine pentru munca lor murdară. Iată textul fișierului real de pe computerul infectat al clienților mei:

Anterior, singura salvare de la acest virus era ștergerea tuturor fișierelor infectate și restaurarea lor dintr-o copie de rezervă stocată pe o unitate externă sau pe o unitate flash. Cu toate acestea, deoarece puțini oameni fac copii de rezervă, cu atât mai puțin le actualizează în mod regulat, informațiile s-au pierdut pur și simplu. Marea majoritate a opțiunilor de a plăti ransomware pentru a vă decripta fișierele se termină cu pierderi de bani și sunt pur și simplu o înșelătorie.

Acum laboratoarele antivirus dezvoltă metode și programe pentru a scăpa de acest virus. Kaspersky Lab a dezvoltat un utilitar, RectorDecryptor, care vă permite să decriptați fișierele infectate. Din acest link puteți descărca programul RectorDecryptor. Apoi trebuie să-l lansați, faceți clic pe butonul „Începe scanarea”, selectați un fișier criptat, după care programul va decripta automat toate fișierele criptate de acest tip. Fișierele sunt restaurate în aceleași foldere în care au fost fișierele criptate. După aceasta, trebuie să ștergeți fișierele criptate. Cel mai simplu mod de a face acest lucru este cu următoarea comandă, tastata la linia de comandă: del "d:\*.AES256" /f /s (unde AES256 ar trebui să fie extensia virusului dumneavoastră). De asemenea, este necesar să ștergeți fișierele de e-mail ale atacatorului împrăștiate în computer. Puteți face acest lucru cu următoarea comandă: del"d:\ EXTEND_FILES.html " /f /s tastat la linia de comandă.

Mai întâi trebuie să vă protejați computerul de posibilitatea răspândirii unui virus. Pentru a face acest lucru, trebuie să ștergeți fișierele de pornire suspecte de la pornire, să dezinstalați programe suspecte, să ștergeți folderele temporare și cache-urile browserului (puteți folosi utilitarul CCleaner pentru aceasta ).

Totuși, trebuie menționat că această metodă de decriptare îi poate ajuta doar pe cei al căror virus a fost deja procesat de Kaspersky Lab și este inclus în listă în utilitarul RectorDecryptor. Dacă acesta este un virus nou care nu este încă inclus în lista de viruși neutralizați, atunci va trebui să trimiteți fișierele infectate la Kaspersky Labs pentru decriptare. Dr .Web , sau Da din cap 32 sau restaurați-le dintr-o copie de rezervă (ceea ce este mult mai ușor).

Dacă acțiunile de neutralizare a virușilor și de tratare a computerului sunt de o anumită complexitate, atunci pentru a nu provoca și mai mult rău sau distruge sistemul de operare (ceea ce poate duce la o reinstalare completă). Windows ), este mai bine să contactați un specialist care va face acest lucru profesional. Instrumentele moderne permit ca toate aceste acțiuni să fie efectuate de la distanță oriunde în lume unde există o conexiune la Internet.

Și în fiecare an apar tot mai multe noi... din ce în ce mai interesante. Cel mai popular virus recent (Trojan-Ransom.Win32.Rector), care criptează toate fișierele tale (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar etc. . .d.). Problema este că decriptarea unor astfel de fișiere este extrem de dificilă și necesită timp; în funcție de tipul de criptare, decriptarea poate dura săptămâni, luni sau chiar ani. În opinia mea, acest virus este în prezent apogeul pericolului printre alți viruși. Este deosebit de periculos pentru computerele/laptopurile de acasă, deoarece majoritatea utilizatorilor nu fac copii de rezervă ale datelor lor și, atunci când criptează fișierele, pierd toate datele. Pentru organizații, acest virus este mai puțin periculos deoarece fac copii de rezervă ale datelor importante și, în caz de infecție, pur și simplu le restaurează, în mod natural, după eliminarea virusului. Am întâlnit acest virus de mai multe ori, voi descrie cum s-a întâmplat și la ce a dus.

Prima dată când am întâlnit un virus care criptează fișierele a fost la începutul anului 2014. Un administrator din alt oraș m-a contactat și mi-a spus cea mai neplăcută veste - Toate fișierele de pe serverul de fișiere sunt criptate! Infecția a avut loc într-un mod elementar - departamentul de contabilitate a primit o scrisoare cu atașamentul „Act of something there.pdf.exe”, după cum înțelegeți, au deschis acest fișier EXE și procesul a început... a criptat toate fișierele personale pe computer și a mers la serverul de fișiere (era conectat printr-o unitate de rețea). Administratorul și cu mine am început să căutăm informații pe internet... la vremea aceea nu exista o soluție... toată lumea scria că există un astfel de virus, nu se știa cum să se trateze, fișierele nu puteau fi decriptate, poate trimiterea fișierelor către Kaspersky, Dr Web sau Nod32 ar fi de ajutor. Le poți trimite doar dacă folosești programele lor antivirus (licențiate). Am trimis fișierele către Dr Web și Nod32, rezultatele au fost 0, nu-mi amintesc ce i-au spus lui Dr Web, iar Nod 32 a fost complet tăcut și nu am primit niciun răspuns de la ei. În general, totul a fost trist și nu am găsit niciodată o soluție; am restaurat unele fișiere din backup.

A doua poveste - chiar zilele trecute (jumătatea lunii octombrie 2014) am primit un apel de la o organizație care îmi cere să rezolv o problemă cu un virus; după cum înțelegeți, toate fișierele de pe computer au fost criptate. Iată un exemplu despre cum arăta.

După cum puteți vedea, la fiecare fișier a fost adăugată extensia *.AES256. În fiecare folder era un fișier „Attention_open-me.txt” care conținea contacte pentru comunicare.

Când încercați să deschideți aceste fișiere, s-a deschis un program cu contacte pentru a contacta autorii virusului pentru a plăti pentru decriptare. Desigur, nu recomand să-i contactați și nici să plătiți codul, deoarece îi veți sprijini doar financiar și nu este un fapt că veți primi cheia de decriptare.

Infecția a avut loc în timpul instalării unui program descărcat de pe Internet. Cel mai surprinzător lucru a fost că atunci când au observat că fișierele s-au schimbat (pictogramele și extensiile de fișiere s-au schimbat), nu au făcut nimic și au continuat să funcționeze, în timp ce ransomware-ul a continuat să cripteze toate fișierele.

Atenţie!!! Dacă observați criptarea fișierelor pe computer (modificare pictograme, modificare extensie), opriți imediat computerul/laptop-ul și căutați o soluție de pe alt dispozitiv (de pe alt computer/laptop, telefon, tabletă) sau contactați specialiștii IT. Cu cât computerul/laptop-ul este pornit mai mult, cu atât va cripta mai multe fișiere.

În general, am vrut deja să refuz să-i ajut, dar am decis să navighez pe internet, poate că a apărut deja o soluție la această problemă. În urma căutării, am citit o mulțime de informații că nu pot fi decriptate, că trebuie să trimiteți fișiere către companii de antivirus (Kaspersky, Dr Web sau Nod32) - mulțumesc pentru experiență.
Am dat peste un utilitar de la Kaspersky - RectorDecryptor. Și iată, fișierele au fost decriptate. Ei bine, primul lucru mai întâi...

Primul pas este oprirea ransomware-ului. Nu veți găsi niciun antivirus, deoarece Dr Web instalat nu a găsit nimic. În primul rând, am trecut la pornire și am dezactivat toate pornirile (cu excepția antivirusului). A repornit computerul. Apoi am început să mă uit la ce fel de fișiere erau la pornire.

După cum puteți vedea în câmpul „Comandă”, este indicat unde se află fișierul, o atenție specială trebuie eliminată pentru aplicațiile fără semnătură (Producător - Fără date). În general, am găsit și șters malware și fișiere care nu mi-au fost încă clare. După aceea, am șters folderele temporare și cache-urile browserului; cel mai bine este să folosiți programul în aceste scopuri CCleaner .

Apoi am început să decriptez fișierele, pentru asta le-am descărcat program de decriptare RectorDecryptor . L-am lansat și am văzut o interfață destul de ascetică a utilitarului.

Am făcut clic pe „Începe scanarea” și am indicat extensia pe care o aveau toate fișierele modificate.

Și a indicat fișierul criptat. În versiunile mai noi de RectorDecryptor puteți specifica pur și simplu fișierul criptat. Faceți clic pe butonul „Deschidere”.

Tada-a-a-am!!! S-a întâmplat un miracol și fișierul a fost decriptat.

După aceasta, utilitarul verifică automat toate fișierele computerului + fișierele de pe unitatea de rețea conectată și le decriptează. Procesul de decriptare poate dura câteva ore (în funcție de numărul de fișiere criptate și de viteza computerului dvs.).

Ca rezultat, toate fișierele criptate au fost decriptate cu succes în același director în care au fost localizate inițial.

Tot ce rămâne este să ștergeți toate fișierele cu extensia .AES256; acest lucru se poate face bifând caseta de selectare „Ștergeți fișierele criptate după decriptarea reușită” dacă faceți clic pe „Modificați parametrii de scanare” în fereastra RectorDecryptor.

Dar rețineți că este mai bine să nu bifați această casetă, deoarece dacă fișierele nu sunt decriptate cu succes, acestea vor fi șterse și pentru a încerca din nou să le decriptați va trebui mai întâi să le decriptați restabili .

Când am încercat să șterg toate fișierele criptate folosind căutarea și ștergerea standard, am întâlnit înghețari și funcționarea extrem de lentă a computerului.

Prin urmare, pentru a-l elimina, cel mai bine este să utilizați linia de comandă, să o rulați și să scrieți del"<диск>:\*.<расширение зашифрованного файла>„/f/s. În cazul meu, del "d:\*.AES256" /f /s.

Nu uitați să ștergeți fișierele „Attention_open-me.txt”, pentru a face acest lucru, utilizați comanda de pe linia de comandă del"<диск>:\*.<имя файла>„/f/s, De exemplu
del "d:\Atenție_deschide-mă.txt" /f /s

Astfel, virusul a fost învins și fișierele au fost restaurate. Vreau să vă avertizez că această metodă nu va ajuta pe toată lumea, ideea este că Kapersky în acest utilitar a colectat toate cheile de decriptare cunoscute (din acele fișiere care au fost trimise de cei infectați cu virusul) și folosește o metodă de forță brută pentru a selectați cheile și decriptați-le. Acestea. dacă fișierele dvs. sunt criptate de un virus cu o cheie necunoscută, atunci această metodă nu va ajuta... va trebui să trimiteți fișierele infectate companiilor de antivirus - Kaspersky, Dr Web sau Nod32 pentru a le decripta.

Virușii înșiși astăzi cu greu surprind pe nimeni. Dacă anterior afectau întregul sistem, astăzi există diferite tipuri de viruși. Un astfel de tip este un virus ransomware. Amenințarea de penetrare afectează mai multe informații despre utilizator. Cu toate acestea, poate reprezenta o amenințare mai mare decât aplicațiile executabile distructive și aplicațiile spyware. Ce este un virus ransomware? Codul în sine, care este scris într-un virus care se copiază automat, implică criptarea tuturor informațiilor utilizatorului cu algoritmi criptografici speciali care nu afectează fișierele de sistem ale sistemului de operare în sine.

Este posibil ca logica din spatele impactului virusului să nu fie clară pentru toată lumea. Totul a devenit clar când hackerii care au dezvoltat aceste appleturi au început să ceară o anumită sumă de bani pentru a restabili structura originală a fișierelor. În același timp, criptatorul care a pătruns în sistem nu permite decriptarea fișierelor. Pentru a face acest lucru, veți avea nevoie de un decriptor special, sau cu alte cuvinte, de un algoritm special cu care puteți restaura conținutul.

Encryptor: principiul pătrunderii în sisteme și funcționarea virusului

De obicei, este destul de dificil să prindeți o astfel de infecție pe Internet. Practic, acest tip de virus este transmis prin e-mail la nivelul clienților instalați pe un singur terminal de computer, precum Bat, Outlook, Thunderbird. Merită remarcat imediat că acest lucru nu se aplică serverelor de e-mail de pe Internet, deoarece acestea au un grad de protecție destul de ridicat. Accesul la informațiile utilizatorului se realizează numai la nivelul stocării informațiilor în cloud. O aplicație pe un anumit terminal de computer este o chestiune complet diferită.

Domeniul de activitate pentru dezvoltarea virusurilor este atât de larg încât este greu de imaginat. Cu toate acestea, aici trebuie făcută o mică avertizare. În cele mai multe cazuri, ținta virușilor sunt organizații și companii mari care vor putea plăti o sumă semnificativă de bani pentru a decripta informațiile personale. Acest lucru este clar, deoarece pe terminalele de computer și serverele companiilor de calculatoare informațiile confidențiale și fișierele sunt stocate într-o singură copie, care în niciun caz nu poate fi ștearsă. În acest caz, decriptarea fișierelor după acțiunea unui virus ransomware poate fi destul de problematică. Desigur, un utilizator obișnuit poate fi supus unui astfel de atac, deși acest lucru este puțin probabil, mai ales dacă utilizatorul urmează cele mai simple recomandări pentru lucrul cu atașamente de tip necunoscut.

Chiar dacă clientul de e-mail detectează atașamente, de exemplu, ca fișiere cu extensia .jpg sau altă extensie grafică, atunci este mai bine să scanați acest fișier cu antivirusul standard utilizat în sistem. Dacă nu faceți acest lucru, atunci după deschiderea fișierului atașat făcând dublu clic, codul de activare poate începe și procesul de criptare va începe. După aceasta, va fi imposibil să eliminați virusul ransomware în sine și să restaurați fișierele după ce amenințarea este eliminată.

Consecințele generale ale expunerii la un virus ransomware

După cum am menționat mai devreme, majoritatea virușilor intră în sistem prin e-mail. Să presupunem că o organizație mare primește o scrisoare cu conținut precum „Contractul a fost modificat, o scanare este atașată la scrisoare” sau „V-a fost trimisă o factură pentru expedierea mărfurilor”. Un angajat nebănuit al companiei pur și simplu deschide fișierul atașat și după aceea toate fișierele utilizatorului sunt criptate instantaneu. Acestea sunt toate fișiere, de la documente de birou la arhive și multimedia. Toate datele importante sunt criptate, iar dacă terminalul computerului este conectat la o rețea locală, virusul poate fi transmis mai departe, criptând datele pe alte mașini.

Executarea acestui proces poate fi observată prin încetinirea și înghețarea programelor care rulează pe terminalul computerului în acest moment. Când procesul de criptare este finalizat, virusul trimite un fel de raport, după care organizația va primi un mesaj prin care se spune că o amenințare a pătruns în sistem, iar pentru a decripta fișierele este necesar să contactați dezvoltatorul virusului. De regulă, este vorba despre un virus [email protected]. În continuare va fi o cerință de a plăti pentru serviciile de decriptare. Utilizatorului i se va cere să trimită mai multe fișiere criptate la un e-mail care este cel mai probabil fictiv.

Daune cauzate de virus

Dacă nu ați înțeles încă pe deplin esența problemei, atunci trebuie remarcat că decriptarea fișierelor după acțiunea unui virus ransomware este un proces destul de laborios. Dacă utilizatorul nu respectă cerințele atacatorilor, ci încearcă în schimb să implice agențiile guvernamentale în lupta împotriva infracțiunilor informatice, nu va rezulta nimic semnificativ. Dacă încercați să ștergeți toate datele de pe computer, apoi efectuați o restaurare a sistemului și copiați informațiile originale de pe un suport amovibil, atunci toate informațiile vor fi încă re-criptate. Deci nu ar trebui să vă amăgiți prea mult în legătură cu asta. În plus, atunci când introduceți o unitate flash într-un port USB, utilizatorul nici măcar nu va observa că virusul va cripta toate datele de pe ea. Atunci vor fi și mai multe probleme.

Primul virus ransomware

Să vedem care a fost primul virus ransomware. La momentul apariției sale, nimeni nu s-a gândit cum să dezinfecteze sau să decripteze fișierele după ce a fost expus la codul executabil care era conținut într-un atașament de e-mail. Numai cu timpul s-a realizat întreaga amploare a dezastrului. Primul virus ransomware a avut numele destul de romantic „Te iubesc”. Un utilizator nebănuitor ar deschide pur și simplu un atașament de e-mail și ar ajunge cu fișiere media complet neredabile (video, grafică și audio). Astfel de acțiuni păreau mai distructive, dar la acea vreme nimeni nu cerea bani pentru decriptarea datelor.

Ultimele modificări

Evoluția tehnologiei a devenit o afacere destul de profitabilă, mai ales având în vedere faptul că mulți manageri ai marilor companii se grăbesc să plătească cât mai curând posibil atacatorilor suma necesară, fără să se gândească măcar la faptul că aceștia ar putea rămâne fără bani. și fără informațiile necesare. Nu ar trebui să crezi toate aceste postări de stânga de pe Internet, cum ar fi „Am plătit suma necesară, mi-au trimis un decriptor și toate informațiile au fost restaurate”. Toate astea sunt o prostie. În mare parte, astfel de recenzii sunt scrise de către dezvoltatorii de viruși înșiși pentru a atrage potențiale victime. După standardele utilizatorilor obișnuiți, sumele pe care atacatorii le cer pentru decriptarea datelor sunt destul de grave. Poate ajunge la câteva mii de dolari sau de euro. Acum să ne uităm la care sunt caracteristicile celor mai noi viruși de acest tip. Toate sunt similare între ele și pot aparține nu numai categoriei de viruși de criptare, ci și așa-numitei categorii de ransomware. În unele cazuri, aceștia acționează destul de corect, trimițând utilizatorului mesaje că cineva dorește să aibă grijă de siguranța informațiilor organizației sau ale utilizatorului. Un astfel de virus de criptare pur și simplu induce în eroare utilizatorii cu mesajele sale. Cu toate acestea, dacă utilizatorul plătește suma necesară, el va fi pur și simplu înșelat.

Virusul XTBL

Virusul XTBL, care a apărut relativ recent, poate fi clasificat ca un tip clasic de virus ransomware. Astfel de obiecte intră de obicei în sistem prin mesaje trimise prin e-mail. Mesajele pot conține fișiere atașate cu extensia .scr. Această extensie este standard pentru screensaver-ul Windows. Utilizatorul crede că totul este în regulă și activează vizualizarea sau salvează atașamentul. Această operațiune poate duce la consecințe destul de triste. Numele fișierelor sunt convertite într-un set simplu de caractere. Combinația .xtbl este adăugată la extensia principală a fișierului. După aceasta, la adresa dorită este trimis un mesaj despre posibilitatea decriptării după plata unei anumite sume.

Acest tip de virus poate fi, de asemenea, clasificat ca un ransomware clasic. Apare în sistem după deschiderea atașamentelor de e-mail. Acest virus redenumește și fișierele utilizatorului și adaugă o combinație precum .perfect și .nonchance la sfârșitul extensiei. Din păcate, nu este posibilă decriptarea unui virus ransomware de acest tip. După finalizarea tuturor acțiunilor, pur și simplu se autodistruge. Chiar și un astfel de instrument universal precum RectorDecryptor nu ajută. Utilizatorul primește o scrisoare prin care se solicită plata. Utilizatorului i se acordă două zile pentru a plăti.

Virusul Breaking_Bad

Acest tip de amenințare funcționează conform unui model familiar. Redenumește fișierele utilizatorului adăugând combinația .breaking_bad la extensie. Dar chestiunea nu se oprește aici. Spre deosebire de alte ransomware, acest virus poate crea o altă extensie .Heisenberg. Prin urmare, este destul de dificil să găsiți toate fișierele infectate. De asemenea, merită spus că virusul Breaking_Bad este o amenințare destul de serioasă. Există cazuri când chiar și programul antivirus licențiat Kaspersky_Endpoint Security ratează o astfel de amenințare.

Virus [email protected]

Virus [email protected] reprezintă o altă amenințare destul de serioasă, care vizează în principal organizațiile comerciale mari. De obicei, un departament al companiei primește un e-mail care conține un fișier .jpg sau .js. Cum poți descifra un virus de acest tip? Judecând după faptul că algoritmul RSA-1024 este folosit acolo, în niciun caz. Pe baza numelui algoritmului, putem presupune că acesta utilizează un sistem de criptare pe 1024 de biți. Astăzi, sistemul pe 256 de biți este considerat cel mai avansat.

Virus ransomware: puteți decripta fișierele utilizând software antivirus?

O modalitate de a decripta fișierele după ce ați fost expus la acest tip de amenințare nu a fost încă găsită. Chiar și astfel de maeștri recunoscuți în domeniul protecției antivirus precum Dr Web, Kaspersky, Eset nu găsesc cheia pentru rezolvarea problemei. Cum se dezinfectează fișierele în acest caz? De regulă, utilizatorului i se cere să trimită o solicitare oficială către site-ul web al dezvoltatorului programului antivirus. În acest caz, este necesar să atașați mai multe fișiere criptate și originalele acestora, dacă există. Puțini utilizatori stochează astăzi copii ale datelor pe suporturi amovibile. Problema absenței lor nu poate decât să agraveze o situație deja neplăcută.

Eliminarea manuală a amenințării: metode posibile

În unele cazuri, scanarea cu programe antivirus convenționale identifică astfel de obiecte rău intenționate și chiar elimină aceste amenințări. Dar ce să faci cu informațiile criptate? Unii utilizatori încearcă să folosească programe de decriptare. Este demn de remarcat imediat că aceste acțiuni nu vor duce la nimic bun. În cazul virusului Breaking_Bad, acesta poate fi chiar dăunător. Cert este că atacatorii care creează astfel de viruși încearcă să se protejeze și să învețe pe alții o lecție. Când se utilizează utilitare de decriptare, un virus poate reacționa în așa fel încât întregul sistem de operare să se blocheze și, în același timp, să distrugă complet toate informațiile stocate pe partițiile logice și pe hard disk-uri. Singura noastră speranță este în laboratoarele oficiale antivirus.

Căi radicale

Dacă lucrurile stau cu adevărat rău, puteți formata hard disk-ul, inclusiv partițiile virtuale, și apoi reinstalați sistemul de operare. Din păcate, nu există încă o altă cale de ieșire. Revenirea sistemului la un anumit punct de restaurare nu va ajuta la remedierea situației. Ca urmare, virusul poate dispărea, dar fișierele vor rămâne în continuare criptate.

Să vă reamintim: Troienii din familia Trojan.Encoder sunt programe rău intenționate care criptează fișierele de pe hard diskul unui computer și solicită bani pentru decriptarea acestora. Fișierele *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar și așa mai departe pot fi criptate.
Nu a fost posibil să întâlnim personal întreaga familie a acestui virus, dar, după cum arată practica, metoda de infectare, tratament și decodare este aproximativ aceeași pentru toată lumea:
1. victima este infectată printr-un e-mail spam cu un atașament (mai rar prin mijloace infecțioase),
2. virusul este recunoscut și eliminat (deja) de aproape orice antivirus cu baze de date proaspete,
3. fișierele sunt decriptate prin selectarea cheilor de parolă pentru tipurile de criptare utilizate.
De exemplu, Trojan.Encoder.225 folosește criptarea RC4 (modificat) + DES, iar Trojan.Encoder.263 folosește BlowFish în modul CTR. Acești viruși sunt în prezent descifrabili în proporție de 99% pe baza experienței personale.

Dar nu totul este atât de lin. Unii viruși de criptare necesită luni de decriptare continuă (Trojan.Encoder.102), în timp ce alții (Trojan.Encoder.283) nu pot fi decriptați corect nici măcar de specialiștii de la Doctor Web, care, de fapt, joacă un rol cheie în acest articol.

Acum, în ordine.

La începutul lunii august 2013, clienții m-au contactat cu problema fișierelor criptate de virusul Trojan.Encoder.225. Virusul, la acea vreme, era nou, nimeni nu știa nimic, erau 2-3 link-uri Google tematice pe Internet. După o lungă căutare pe Internet, se dovedește că singura organizație (găsită) care se ocupă de problema decriptării fișierelor după acest virus este compania Doctor Web. Și anume: oferă recomandări, ajută la contactarea suportului tehnic, dezvoltă propriile decriptoare etc.

Retragere negativă.

Și, profitând de această ocazie, aș dori să subliniez două ingrasand minus Kaspersky Lab. Pe care, atunci când își contactează asistența tehnică, ei îl resping „lucrăm la această problemă, vă vom anunța rezultatele prin poștă”. Și totuși, dezavantajul este că nu am primit niciodată un răspuns la cerere. Dupa 4 luni. La naiba cu timpul de reacție. Și aici mă străduiesc pentru standardul „nu mai mult de o oră de la finalizarea cererii”.
Să-ți fie rușine, tovarășe Evgeniy Kaspersky, director general al Kaspersky Lab. Dar am o jumătate bună din toate companiile „stau” pe el. Ei bine, licențele expiră în ianuarie-martie 2014. Merită să discutăm dacă îmi voi reînnoi permisul?;)

Vă prezint chipurile „specialiștilor” de la companii „mai simple”, ca să zic așa, NU giganți ai industriei antivirus. Probabil că doar „s-au înghesuit într-un colț” și „au plâns în liniște”.
Deși, mai mult, absolut toată lumea a fost complet înșurubată. Antivirusul, în principiu, nu ar fi trebuit să permită acestui virus să pătrundă pe computer. Mai ales având în vedere tehnologia modernă. Iar „ei”, GIGANTII industriei anti-VIRUS, se presupune că au totul acoperit, „analiza euristică”, „sistem preventiv”, „protecție proactivă”...

UNDE ERAU TOATE ACESTE SUPER-SISTEME CÂND LUNCITORUL DEPARTAMENTULUI DE HR A DESCHIS O SCRISOARE DE „HAMONNES” CU SUBIECTUL „CURVA”???
Ce trebuia să creadă angajatul?
Dacă TU nu ne poți proteja, atunci de ce avem nevoie de TINE?

Și totul ar fi bine cu Doctor Web, dar pentru a obține ajutor, trebuie, desigur, să aveți o licență pentru oricare dintre produsele lor software. Când contactați asistența tehnică (denumită în continuare TS), trebuie să furnizați numărul de serie Dr.Web și nu uitați să selectați „cerere de tratament” în linia „Categorie de solicitare:” sau pur și simplu să le furnizați un fișier criptat către laborator. Voi face imediat o rezervare că așa-numitele „chei de jurnal” ale Dr.Web, care sunt postate în loturi pe Internet, nu sunt potrivite, deoarece nu confirmă achiziția niciunui produs software și sunt eliminate prin Specialiști TP o dată sau de două ori. Este mai ușor să cumpărați cea mai „ieftină” licență. Pentru că, dacă vă ocupați de decriptare, această licență vă va plăti înapoi de un milion de ori. Mai ales dacă folderul cu fotografii „Egypt 2012” era într-o singură copie...

Încercarea nr. 1

Așadar, după ce am cumpărat o „licență pentru 2 PC-uri timp de un an” pentru o sumă n de bani, contactând TP-ul și furnizând câteva fișiere, am primit un link către utilitarul de decriptare te225decrypt.exe versiunea 1.3.0.0. Anticipând succesul, lansez utilitarul (trebuie să îl îndreptați către unul dintre fișierele criptate *.doc). Utilitarul începe selecția, încărcând fără milă vechiul procesor E5300 DualCore, 2600 MHz (overclockat la 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital la 90-100%.
Iată, în paralel cu mine, un coleg pe un PC core i5 2500k (overclockat la 4.5ghz) / 16 ram 1600 / ssd intel se alătură lucrării (aceasta este pentru compararea timpului petrecut la sfârșitul articolului).
După 6 zile, utilitarul a raportat că au fost decriptate 7277 de fișiere. Dar fericirea nu a durat mult. Toate fișierele au fost decriptate „strâmb”. Adică, de exemplu, documentele Microsoft Office se deschid, dar cu diverse erori: „Aplicația Word a detectat conținut în documentul *.docx care nu a putut fi citit” sau „Fișierul *.docx nu poate fi deschis din cauza unor erori în conținutul său. .” Fișierele *.jpg se deschid, de asemenea, fie cu o eroare, fie 95% din imagine se dovedește a fi un fundal negru decolorat sau verde deschis. Pentru fișierele *.rar - „Sfârșitul neașteptat al arhivei”.
Per total un eșec total.

Încercarea nr. 2

Scriem lui TP despre rezultate. Ei vă cer să furnizați câteva fișiere. O zi mai târziu oferă din nou un link către utilitarul te225decrypt.exe, dar de data aceasta versiunea 1.3.2.0. Ei bine, haideți să lansăm, oricum nu a existat nicio alternativă. Trec aproximativ 6 zile și utilitarul se termină cu eroarea „Nu se pot selecta parametrii de criptare”. Total 13 zile „la scurgere”.
Dar nu renunțăm, avem documente importante de la clientul nostru *prost* fără copii de siguranță de bază.

Încercarea nr. 3

Scriem lui TP despre rezultate. Ei vă cer să furnizați câteva fișiere. Și, după cum probabil ați ghicit, o zi mai târziu oferă un link către același utilitar te225decrypt.exe, dar versiunea 1.4.2.0. Ei bine, haideți să lansăm, nu a existat alternativă și nu a apărut nici de la Kaspersky Lab, nici de la ESET NOD32, nici de la alți producători de soluții antivirus. Și acum, după 5 zile 3 ore și 14 minute (123,5 ore), utilitarul raportează că fișierele au fost decriptate (pentru un coleg pe un core i5, decriptarea a durat doar 21 de ore și 10 minute).
Ei bine, cred că a fost sau nu a fost. Și iată: succes total! Toate fișierele sunt decriptate corect. Totul se deschide, se închide, arată, editează și salvează corect.

Toată lumea este fericită, Sfârșitul.

„Unde este povestea despre virusul Trojan.Encoder.263?”, vă întrebați. Și pe următorul computer, sub masă... era. Totul era mai simplu acolo: scriem la Doctor Web TP, luăm utilitarul te263decrypt.exe, îl lansăm, așteptăm 6,5 zile, voila! și totul este gata. Pentru a rezuma, pot da câteva sfaturi de pe forumul Doctor Web în ediția mea:

Ce trebuie să faceți dacă sunteți infectat cu un virus ransomware:
- trimite la laboratorul de virus Dr. Web sau în „Trimite fișierul suspect” formează un fișier document criptat.
- Așteptați un răspuns de la un angajat Dr.Web și apoi urmați instrucțiunile acestuia.

Ce sa nu faci:
- modificarea extensiei fișierelor criptate; În caz contrar, cu o cheie selectată cu succes, utilitarul pur și simplu nu va „vedea” fișierele care trebuie decriptate.
- utilizați independent, fără consultarea specialiștilor, orice programe de decriptare/recuperare a datelor.

Atentie, avand un server liber de alte sarcini, va ofer serviciile mele gratuite pentru decriptarea datelor DVS. Server core i7-3770K cu overclock la *anumite frecvențe*, 16 GB RAM și SSD Vertex 4.
Pentru toți utilizatorii activi ai Habr, utilizarea resurselor mele va fi GRATUITĂ!!!
Scrie-mi într-un mesaj personal sau prin alte contacte. Am „mâncat câinele” deja. Prin urmare, nu sunt prea leneș să pun serverul pe decriptare peste noapte.
Acest virus este „flaga” al timpului nostru și a lua „pradă” de la colegii soldați nu este uman. Deși, dacă cineva „aruncă” câțiva dolari în contul meu Yandex.money 410011278501419, nu mă deranjează. Dar acest lucru nu este deloc necesar. Contactaţi-ne. Procesez aplicațiile în timpul liber.

Informație nouă!

Începând cu 8 decembrie 2013, un nou virus din aceeași serie Trojan.Encoder a început să se răspândească sub clasificarea Doctor Web - Trojan.Encoder.263, dar cu criptare RSA. Această vizualizare este pentru astăzi (20.12.2013) nu poate fi descifrat, deoarece folosește o metodă de criptare foarte puternică.

Recomand tuturor celor care au suferit de acest virus:
1. Folosind căutarea încorporată Windows, găsiți toate fișierele care conțin extensia .perfect și copiați-le pe medii externe.
2. Copiați și fișierul CONTACT.txt
3. Așezați acest suport extern „pe raft”.
4. Așteptați să apară utilitarul de decriptare.

Ce sa nu faci:
Nu e nevoie să te încurci cu criminalii. Asta e o prostie. În mai mult de 50% din cazuri, după „plata” a aproximativ 5000 de ruble, nu veți primi NIMIC. Fără bani, fără decriptor.
Pentru a fi corect, merită remarcat faptul că există acei oameni „norocoși” pe internet care și-au primit fișierele înapoi prin decriptare pentru „pradă”. Dar nu ar trebui să ai încredere în acești oameni. Dacă aș fi scriitor de viruși, primul lucru pe care l-aș face ar fi să răspândesc informații de genul „Am plătit și mi-au trimis un decodor!!!”
În spatele acestor „norocoși” pot fi aceiași atacatori.

Ei bine... să urăm mult succes altor companii de antivirus în crearea unui utilitar pentru decriptarea fișierelor după grupul de viruși Trojan.Encoder.

Mulțumiri speciale tovarășului v.martyanov de la forumul Doctor Web pentru munca depusă la crearea utilităților de decriptare.