Ransomware-ul a criptat fișierele. Metode de protecție împotriva virușilor ransomware. Virusul informatic de criptare: definiție și algoritm de acțiune

Continui secțiunea notorie de pe site-ul meu cu o altă poveste în care eu însumi am fost o victimă. Voi vorbi despre virusul ransomware Crusis (Dharma), care a criptat toate fișierele unitate de rețeași le-a dat extensia .combo. A lucrat nu numai la fisiere locale, așa cum se întâmplă cel mai adesea, dar și prin cele de rețea.

Decriptare garantată a fișierelor după un virus ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Introducere

Povestea va fi la persoana întâi, deoarece datele și infrastructura pe care le gestionam au fost afectate de criptor. Oricât de trist este să recunosc acest lucru, sunt parțial vinovat pentru ceea ce s-a întâmplat, deși cunosc criptografii de foarte mult timp. În apărarea mea, voi spune că nu s-au pierdut date, totul a fost restaurat rapid și investigat fără întârziere. Dar mai întâi lucrurile.

Dimineața plictisitoare a început cu faptul că la 9:15 administratorul de sistem de la un site la distanță a sunat și a spus că există un criptator în rețea, datele de pe unitățile de rețea au fost deja criptate. Un fior mi-a străbătut pielea :) El a început să verifice singur sursa de infecție, iar eu am început să verific cu a mea. Desigur, m-am dus imediat la server, am deconectat unitățile de rețea și am început să mă uit la jurnalul de acces la date. Unitățile de rețea sunt configurate pentru, trebuie să fie activate. Din jurnal, am văzut imediat sursa infecției, contul în care rula ransomware și ora de începere a criptării.

Descrierea virusului ransomware Crusis (Dharma).

Apoi a început ancheta. Fișierele criptate au primit extensia .combo. Au fost o mulțime. Criptograful a început să lucreze seara târziu, aproximativ la ora 23:00. Am avut noroc - backup-ul discurilor afectate tocmai fusese finalizat până la acest moment. Datele nu s-au pierdut deloc, deoarece au fost făcute copii de rezervă la sfârșitul zilei de lucru. Am început imediat restaurarea din backup, care se află pe un server separat fără acces SMB.

Peste noapte, virusul a reușit să cripteze aproximativ 400 GB de date de pe unitățile de rețea. Ștergerea banală a tuturor fișierelor criptate cu extensia combo a luat perioadă lungă de timp. La început am vrut să le șterg pe toate deodată, dar când doar numărarea acestor fișiere a durat 15 minute, mi-am dat seama că este inutil acest moment timp. În schimb, am început să descarc cele mai recente date și apoi am curățat discurile de fișiere criptate.

Îți spun adevărul simplu imediat. Având backup-uri actualizate și fiabile, orice problemă poate fi rezolvată. Nici nu-mi pot imagina ce să fac dacă nu sunt acolo sau nu sunt relevante. Întotdeauna acord o atenție deosebită copiilor de rezervă. Am grijă de ei, îi prețuiesc și nu dau nimănui acces la ele.

După ce am lansat recuperarea fișierelor criptate, am avut timp să înțeleg cu calm situația și să mă uit mai atent la Virusul ransomware Crusis(Dharma). Surprize și surprize mă așteptau aici. Sursa de infecție a fost o mașină virtuală cu Windows 7 cu abandonat rdp port printr-un canal de rezervă. Portul nu era standard - 33333. Cred că a fost principala greșeală să folosești un astfel de port. Deși nu este standard, este foarte popular. Desigur, este mai bine să nu redirecționați deloc rdp, dar în acest caz, chiar era necesar. Apropo, acum, în locul acestei mașini virtuale, se folosește și o mașină virtuală cu CentOS 7, rulează un container cu xfce și un browser în Docker. Ei bine, această mașină virtuală nu are acces nicăieri, doar acolo unde este nevoie.

Ce este înfricoșător în toată povestea asta? Mașina virtuală a fost actualizată. Criptograful a început să lucreze la sfârșitul lunii august. Este imposibil să se determine exact când a fost infectată mașina. Virusul a șters o mulțime de lucruri din mașina virtuală în sine. Actualizările acestui sistem au fost instalate în mai. Adică, nu ar trebui să existe găuri vechi deschise pe el. Acum nici nu știu cum să plec portul rdp accesibil de pe Internet. Sunt prea multe cazuri în care acest lucru este cu adevărat necesar. De exemplu, un server terminal pe hardware închiriat. De asemenea, nu veți închiria un gateway VPN pentru fiecare server.

Acum să ne apropiem de subiect și de ransomware-ul în sine. Interfața de rețea a mașinii virtuale a fost dezactivată, după care am pornit-o. Am fost întâmpinat de un semn standard, pe care îl văzusem deja de multe ori de la alți criptografi.

Toate fișierele dvs. au fost criptate! Toate fișierele dvs. au fost criptate din cauza unei probleme de securitate cu computerul dvs. Dacă doriți să le restaurați, scrieți-ne pe e-mail [email protected] Scrieți acest ID în titlul mesajului dvs. 501BED27 În cazul în care nu răspundeți în 24 de ore, scrieți-ne la aceste e-mail-uri: [email protected] Trebuie să plătiți pentru decriptare în Bitcoins. Pretul depinde de cat de repede ne scrieti. Dupa plata vom trimite tu cel instrument de decriptare care vă va decripta toate fișierele. Decriptare gratuită ca garanție Înainte de a plăti puteți trimiteți-ne până la 1 fișier pentru decriptare gratuită. Dimensiunea totală a fișierelor trebuie să fie mai mică de 1 Mb (nearhivate), iar fișierele nu trebuie să conțină informații valoroase. (baze de date, copii de rezervă, foi mari Excel etc.) Cum să obțineți Bitcoins Cel mai simplu mod de a cumpăra bitcoins este site-ul LocalBitcoins. Trebuie să vă înregistrați, faceți clic pe „Cumpărați bitcoins”, și selectați vanzatorul prin metoda de plata si pret. https://localbitcoins.com/buy_bitcoins De asemenea, puteți găsi și alte locuri pentru a cumpăra Bitcoin și ghid pentru începători aici: Atenție! Nu redenumiți fișierele criptate. Nu încercați să vă decriptați datele utilizând software terță parte, poate cauza pierderea permanentă a datelor. Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate determina creșterea prețului (aceștia își adaugă taxa la noi) sau puteți deveni victima unei escrocherii.

Au fost 2 fișiere text pe desktop numit FIȘIERE CRIPTATE.TXT urmatorul continut:

Toate datele tale ne-au fost blocate. Doriți să vă întoarceți? scrie email [email protected]

Este interesant că permisiunile directorului s-au schimbat Desktop. Utilizatorul nu avea permisiuni de scriere. Aparent, virusul a făcut acest lucru pentru a împiedica utilizatorul să șteargă accidental informațiile din fișierele text de pe desktop. Era un director acolo pe desktop troia, care conținea virusul în sine - un fișier l20VHC_playload.exe.

Cum virusul ransomware Crusis (Dharma) criptează fișierele

După ce mi-am dat seama calm totul și am citit mesaje similare pe internet pe tema ransomware-ului, am aflat că am prins o versiune a celebrului virus ransomware Crusis (Dharma). Kaspersky îl detectează ca Trojan-Ransom.Win32.Crusis.to. El pune diferite extensii la fișiere, inclusiv .combo. Lista mea de fișiere arăta cam așa:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Vă voi spune mai multe detalii despre cum a funcționat ransomware-ul. Nu am menționat un lucru important. Acest computer era într-un domeniu. Fișierele au fost criptate de la un utilizator de domeniu!!! De aici se pune întrebarea: de unde l-a luat virusul? Nu am văzut informații despre jurnalele controlerului de domeniu și despre selectarea parolei utilizatorului. Nu au existat o mulțime de conectări eșuate. Fie s-a exploatat un fel de vulnerabilitate, fie nu știu ce să cred. A fost folosit un cont care nu s-a conectat niciodată la acest sistem. A existat autorizare prin rdp de la un cont de utilizator de domeniu și apoi criptare. De asemenea, nu au existat urme de atacuri cu forță brută asupra utilizatorilor și parole pe sistemul însuși. Aproape imediat am avut o logare folosind un cont de domeniu rdp. A fost necesar să se aleagă, cel puțin, nu doar o parolă, ci și un nume.

Din păcate, contul avea o parolă de 123456. Acesta a fost singurul cont cu acea parolă care a fost ratat de administratorii locali. Factorul uman. A fost liderul și din anumite motive o serie întreagă de administratorii de sistemștia despre această parolă, dar nu a schimbat-o. Evident, acesta este motivul utilizării acestui cont special. Dar, cu toate acestea, mecanismul pentru obținerea chiar și așa parolă simplăși numele de utilizator.

Am oprit și am șters mașina virtuală infectată cu encryptor, după ce am luat mai întâi imaginea discului. Virusul însuși a scos imaginea din ea pentru a-și privi activitatea. Povestea ulterioară se va baza pe rularea virusului într-o mașină virtuală.

Încă un mic detaliu. Virusul a scanat întreaga rețea locală și, în același timp, a criptat informații de pe acele computere unde existau niște foldere partajate cu acces pentru toată lumea. Este pentru prima dată când văd o astfel de modificare a criptorului. Acesta este cu adevărat un lucru înfricoșător. Un astfel de virus poate paraliza pur și simplu activitatea întregii organizații. Să presupunem că, dintr-un motiv oarecare, ați avut acces la rețea la copiile de rezervă în sine. Sau au folosit un fel de parolă slabă pentru cont. Se poate întâmpla ca totul să fie criptat - atât datele, cât și copiile arhivate. În general, acum mă gândesc la stocarea copiilor de rezervă nu numai într-un mediu de rețea izolat, ci, în general, pe echipamente oprite care sunt pornite doar pentru a face o copie de rezervă.

Cum să vă tratați computerul și să eliminați ransomware-ul Crusis (Dharma).

În cazul meu, virusul ransomware Crusis (Dharma) nu a fost ascuns în mod deosebit și eliminarea acestuia nu ar trebui să pună probleme. După cum am spus, era într-un folder de pe desktop. În plus, el și-a înregistrat un mesaj de informare în autorun.

Corpul virusului în sine a fost duplicat în secțiunea de lansare Lansare pentru toți utilizatorii și windows/system32. Nu m-am uitat mai atent pentru că nu văd rostul în asta. După ce am fost infectat cu ransomware, recomand cu tărie reinstalarea sistemului. Acesta este singurul mod de a fi sigur că eliminați virusul. Nu veți fi niciodată complet sigur că virusul a fost eliminat, deoarece ar fi putut folosi unele vulnerabilități încă nepublicate și necunoscute pentru a lăsa un marcaj pe sistem. După ceva timp, prin această ipotecă poți obține ceva virus nouși totul se va repeta într-un cerc.

Așa că vă recomand ca imediat după detectarea ransomware-ului să nu vă tratați computerul, ci să reinstalați sistemul, salvând datele rămase. Poate că virusul nu a reușit să cripteze totul. Aceste recomandări se aplică celor care nu intenționează să recupereze fișiere. Dacă aveți copii de rezervă curente, atunci pur și simplu reinstalați sistemul și restaurați datele.

Dacă nu aveți copii de rezervă și sunteți gata să restaurați fișierele cu orice preț, atunci încercăm să nu atingem deloc computerul. În primul rând, pur și simplu deconectați cablul de rețea, descărcați câteva fișiere criptate și un fișier text cu informații activate curat unitate flash, apoi închideți computerul. Mai mult computer nu poate fi pornit. Dacă nu înțelegeți deloc problemele computerului, atunci nu veți putea face față singur virusului, cu atât mai puțin să decriptați sau să restaurați fișierele. Contactați pe cineva care știe. Dacă crezi că poți face ceva singur, citește mai departe.

De unde să descărcați decriptorul Crusis (Dharma).

Urmează a mea sfat universal pentru toți virușii ransomware. Există un site web - https://www.nomoreransom.org, teoretic, ar putea conține un decriptor pentru Crusis sau Dharma sau alte informații despre decriptarea fișierelor. În practica mea, acest lucru nu s-a întâmplat niciodată înainte, dar poate vei avea noroc. Merită încercat. Pentru a face asta pe pagina principala de acord făcând clic DA.

Atașați 2 fișiere și inserați conținutul mesajului informativ al ransomware-ului și faceți clic Verifica.

Dacă ai noroc, vei primi câteva informații. In cazul meu nu s-a gasit nimic.

Toate decriptoarele existente pentru ransomware sunt colectate pe pagină separată— https://www.nomoreransom.org/ru/decryption-tools.html Existența acestei liste ne permite să ne așteptăm că există încă un sens în acest site și serviciu. Kaspersky are un serviciu similar - https://noransom.kaspersky.com/ru/ Vă puteți încerca norocul acolo.

Nu cred că merită să cauți decriptoare în altă parte printr-o căutare pe Internet. Este puțin probabil să fie găsite. Cel mai probabil va fi fie o înșelătorie obișnuită cu software nedorit cel mai bun scenariu, sau un virus nou.

Supliment important. Dacă aveți instalată o versiune cu licență a unui antivirus, asigurați-vă că ați creat o solicitare către TP antivirus pentru decriptarea fișierelor. Uneori chiar ajută. Am văzut recenzii despre decriptarea reușită de către suportul antivirus.

Cum să decriptați și să recuperați fișierele după virusul Crusis (Dharma).

Ce să faceți când virusul Crusis (Dharma) v-a criptat fișierele, niciuna dintre metodele descrise anterior nu a ajutat și chiar trebuie să restaurați fișierele? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișiere folosind metode improvizate. Acestea includ:

• Instrument copii umbră ferestre.
• Programe de recuperare a datelor șterse

Înainte de alte manipulări, vă recomand să faceți o imagine de disc sector cu sector. Acest lucru vă va permite să înregistrați starea curentă și dacă nimic nu funcționează, atunci măcar vă puteți întoarce la punctul de plecare și puteți încerca altceva. Apoi, trebuie să eliminați ransomware-ul în sine folosind orice antivirus cu cel mai recent set baze de date antivirus. Se va face Vindecă-l sau Kaspersky Virus Unealtă de înlăturare . Puteți instala orice alt antivirus în modul de probă. Acest lucru este suficient pentru a elimina virusul.

După aceasta, pornim în sistemul infectat și verificăm dacă am activat copii umbră. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă nu ați confirmat în timpul infecției Solicitare UAC pentru a șterge fișiere în copii umbre, atunci unele date ar trebui să rămână acolo. Pentru recuperare convenabilă fișiere din copii umbră, vă sugerez să utilizați program gratuitîn acest scop - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Se va deschide ultima copie fișierele și rădăcina unității C. În stânga colțul de sus puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verifica exemplare diferite pentru disponibilitate fisierele necesare. Comparați după date, unde mai multe ultima versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am făcut clic dreapta, am selectat Export și am specificat folderul în care să le restabilesc.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unii dintre ei vor fi mai mulți versiune veche, decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare a fișierelor șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansa versiune grafică programul execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau dur extern disc pentru asta.

Procesul de căutare va dura mult timp. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, câteva fișiere utile pot fi găsite în această listă. Nu există garanții aici; ceea ce veți găsi este ceea ce veți găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei atunci când trebuie să le refac suma maxima fisiere:

• R.saver
• Starus Recuperarea fisierului
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor folosind programe listate este prezentată în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva ransomware-ului Crusis (Dharma)

Ca de obicei, am trecut prin forumuri antivirusuri populare caută informații despre ransomware-ul care instalează extensia .combo. Există o tendință clară de răspândire a virusului. O mulțime de cereri încep de la jumătatea lunii august. Acum se pare că nu sunt vizibile, dar poate temporar, sau pur și simplu s-a schimbat extensia fișierelor criptate.

Iată un exemplu de solicitare tipică de pe forumul Kaspersky.

Există și un comentariu de la moderator mai jos.

Forumul EsetNod32 este de mult familiarizat cu virusul care instalează extensia .combo. După cum am înțeles, virusul nu este unic și nu este nou, ci o variație a seriei de viruși Crusis (Dharma) de mult cunoscută. Iată o solicitare tipică de decriptare a datelor:

Am observat că sunt multe recenzii pe forumul Eset că virusul a pătruns în server prin rdp. Se pare că aceasta este o amenințare foarte puternică și nu puteți lăsa rdp fără acoperire. Singura întrebare care apare este cum intră virusul prin rdp? Ghicește o parolă, se conectează cu un utilizator și o parolă cunoscute sau cu altceva.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși de criptare, inclusiv Crusis (Dharma). Adresa lor este http://www.dr-shifro.ru. Plata numai dupa decriptare si verificarea dvs. Iată o schemă aproximativă de lucru:

1. Un specialist al companiei vine la biroul dumneavoastră sau acasă și semnează un acord cu dumneavoastră, care stabilește costul lucrării.
2. Lansează decriptorul pe computerul său și decriptează unele fișiere.
3. Vă asigurați că toate fișierele sunt deschise, semnați certificatul de acceptare pentru munca finalizată și primiți un decriptor.
4. Vă decriptați fișierele și completați documentele rămase.

Nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dvs. cu această companie.

Metode de protecție împotriva virusului ransomware

Nu voi enumera lucrurile evidente despre lansare programe necunoscute de pe Internet și deschiderea atașamentelor prin e-mail. Toată lumea știe asta acum. În plus, am scris despre asta de multe ori în articolele mele din secțiunea despre. Voi fi atent la copii de rezervă. Ele nu trebuie doar să existe, ci să fie inaccesibile din exterior. Dacă acesta este un fel de unitate de rețea, atunci un cont separat cu o parolă puternică trebuie să aibă acces la ea.

Dacă faceți copii de rezervă ale fișierelor personale pe o unitate flash sau unitate externă, nu le țineți conectate constant la sistem. După creație copii de arhivă, deconectați dispozitivele de la computer. Văd backup-ul ideal pe un dispozitiv separat, care este pornit doar pentru a face o copie de rezervă și apoi din nou deconectat fizic de la rețea prin deconectare fir de rețea sau pur și simplu închiderea.

Backup-urile trebuie să fie incrementale. Acest lucru este necesar pentru a evita situația în care criptatorul a criptat toate datele fără ca tu să observi. A fost completat backup, care a înlocuit fișierele vechi cu altele noi, dar deja criptate. Ca urmare, aveți o arhivă, dar nu este de niciun folos. Trebuie să aveți o adâncime de arhivă de cel puțin câteva zile. Cred că în viitor vor exista, dacă nu au apărut încă, ransomware care va cripta în liniște o parte din date și va aștepta ceva timp fără să se dezvăluie. Acest lucru se va face în așteptarea ca fișierele criptate să ajungă în arhive și acolo, în timp, să înlocuiască fișierele reale.

Va fi o perioadă grea pentru sectorul corporativ. Am dat deja un exemplu mai sus de pe forumul eset, unde au fost criptate unități de rețea cu 20 TB de date. Acum imaginați-vă că aveți o astfel de unitate de rețea, dar doar 500 G de date sunt criptate în directoare care nu sunt accesate constant. Trec câteva săptămâni, nimeni nu observă fișierele criptate, deoarece acestea sunt stocate în directoare de arhivă și nu se lucrează constant cu acestea. Dar la sfârșitul perioadei de raportare, sunt necesare date. Ei merg acolo și văd că totul este criptat. Se duc la arhivă, iar acolo adâncimea de stocare este, să zicem, de 7 zile. Și asta e tot, datele au dispărut.

Acest lucru necesită o abordare separată și atentă a arhivelor. Aveți nevoie de software și resurse pentru stocarea datelor pe termen lung.

Videoclip despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare similară a virusului, dar videoclipul este complet relevant pentru combo.

Și în fiecare an apar tot mai multe noi... din ce în ce mai interesante. Cel mai popular În ultima vreme un virus (Trojan-Ransom.Win32.Rector) care criptează toate fișierele tale (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, etc.) . Problema este că decriptarea unor astfel de fișiere este extrem de dificilă și necesită timp, în funcție de tipul de criptare, decriptarea poate dura săptămâni, luni sau chiar ani; În opinia mea, acest virus este în prezent apogeul pericolului printre alți viruși. Este deosebit de periculos pentru computerele/laptopurile de acasă, deoarece majoritatea utilizatorilor nu fac copii de siguranță ale datelor lor și, atunci când criptează fișierele, pierd toate datele. Pentru organizații, acest virus este mai puțin periculos pentru că o fac copii de rezervă date importante și în caz de infecție, acestea sunt pur și simplu restaurate, în mod natural după îndepărtarea virusului. Am întâlnit acest virus de mai multe ori, voi descrie cum s-a întâmplat și la ce a dus.

Prima dată când am întâlnit un virus care criptează fișierele a fost la începutul anului 2014. Un administrator din alt oraș m-a contactat și mi-a spus cea mai neplăcută veste - Toate fișierele de pe serverul de fișiere sunt criptate! Infecția a avut loc într-un mod elementar - departamentul de contabilitate a primit o scrisoare cu atașamentul „Act of something there.pdf.exe”, după cum înțelegeți, au deschis aceasta Fișierul EXE iar procesul a început... a criptat toate fișierele personale de pe computer și a trecut la server de fișiere(a fost conectat printr-o unitate de rețea). Administratorul și cu mine am început să căutăm informații pe internet... la vremea aceea nu exista o soluție... toată lumea scria că există un astfel de virus, nu se știa cum să se trateze, fișierele nu puteau fi decriptate, poate trimiterea fișierelor către Kaspersky, Dr Web sau Nod32 ar fi de ajutor. Le poți trimite doar dacă le folosești programe antivirus(există licențe). Am trimis fișierele către Dr Web și Nod32, rezultatele au fost 0, nu-mi amintesc ce i-au spus lui Dr Web, iar Nod 32 a fost complet tăcut și nu am primit niciun răspuns de la ei. În general, totul a fost trist și nu am găsit niciodată o soluție, am restaurat unele fișiere din backup.

A doua poveste - chiar zilele trecute (jumătatea lunii octombrie 2014) am primit un apel de la o organizație care îmi cere să rezolv o problemă cu un virus, după cum înțelegeți, toate fișierele de pe computer erau criptate. Iată un exemplu despre cum arăta.

După cum puteți vedea, la fiecare fișier a fost adăugată extensia *.AES256. În fiecare folder era un fișier „Attention_open-me.txt” care conținea contacte pentru comunicare.

Când încercați să deschideți aceste fișiere, s-a deschis un program cu contacte pentru a contacta autorii virusului pentru a plăti pentru decriptare. Desigur, nu recomand să îi contactați sau să plătiți codul, deoarece îi veți sprijini doar financiar și nu este un fapt că veți primi cheia de decriptare.

Infecția a avut loc în timpul instalării unui program descărcat de pe Internet. Cel mai surprinzător lucru a fost că atunci când au observat că fișierele s-au schimbat (pictogramele și extensiile de fișiere s-au schimbat), nu au făcut nimic și au continuat să funcționeze, în timp ce ransomware-ul a continuat să cripteze toate fișierele.

Atenţie!!! Dacă observați criptarea fișierelor pe computer (modificare pictograme, modificare extensie), opriți imediat computerul/laptop-ul și căutați o soluție de pe alt dispozitiv (de pe alt computer/laptop, telefon, tabletă) sau contactați specialiștii IT. Cu cât computerul/laptop-ul este pornit mai mult, cu atât mai multe fișiere va cripta.

În general, am vrut deja să refuz să-i ajut, dar am decis să navighez pe internet, poate că a apărut deja o soluție la această problemă. În urma căutării, am citit o mulțime de informații că nu pot fi decriptate, că trebuie să trimiteți fișiere către companii de antivirus (Kaspersky, Dr Web sau Nod32) - mulțumesc pentru experiență.
Am dat peste un utilitar de la Kaspersky - RectorDecryptor. Și despre dosare de minuni a reusit sa descifreze. Ei bine, primul lucru mai întâi...

Primul pas este oprirea ransomware-ului. Nu veți găsi niciun antivirus, deoarece Dr Web instalat nu a găsit nimic. În primul rând, am trecut la pornire și am dezactivat toate pornirile (cu excepția antivirusului). A repornit computerul. Apoi am început să mă uit la ce fel de fișiere erau la pornire.

După cum puteți vedea în câmpul „Comandă”, este indicat unde se află fișierul, Atentie speciala Aplicațiile fără semnătură trebuie eliminate (Producător - Fără date). În general, am găsit și am șters malware și fișiere care nu mi-au fost încă clare. După aceea, am șters folderele temporare și cache-urile browserului, cel mai bine este să folosesc programul în aceste scopuri CCleaner .

Apoi am început să decriptez fișierele, pentru asta le-am descărcat program de decriptare RectorDecryptor . L-am lansat și am văzut o interfață destul de ascetică a utilitarului.

Am făcut clic pe „Începe scanarea” și am indicat extensia pe care o aveau toate fișierele modificate.

Și a indicat fișierul criptat. În versiunile mai noi de RectorDecryptor puteți specifica pur și simplu fișierul criptat. Faceți clic pe butonul „Deschidere”.

Tada-a-a-am!!! S-a întâmplat un miracol și fișierul a fost decriptat.

După aceasta, utilitarul verifică automat toate fișierele computerului + fișierele de pe unitatea de rețea conectată și le decriptează. Procesul de decriptare poate dura câteva ore (în funcție de numărul de fișiere criptate și de viteza computerului dvs.).

Ca rezultat, toate fișierele criptate au fost decriptate cu succes în același director în care au fost localizate inițial.

Tot ce rămâne este să ștergeți toate fișierele cu extensia .AES256, acest lucru se poate face bifând caseta de selectare „Ștergeți fișierele criptate după decriptarea cu succes” dacă faceți clic pe „Modificați parametrii de scanare” în fereastra RectorDecryptor;

Dar rețineți că este mai bine să nu bifați această casetă, deoarece dacă fișierele nu sunt decriptate cu succes, acestea vor fi șterse și pentru a încerca din nou să le decriptați va trebui mai întâi să le decriptați restabili .

Când încercați să ștergeți toate fișierele criptate folosind căutare standardși de îndepărtare, am dat peste îngheață și extrem muncă lentă calculator.

Prin urmare, pentru a-l elimina, cel mai bine este să utilizați linia de comandă, să o rulați și să scrieți del"<диск>:\*.<расширение зашифрованного файла>„/f/s. În cazul meu, del "d:\*.AES256" /f /s.

Nu uitați să ștergeți fișierele „Attention_open-me.txt”, pentru a face acest lucru, utilizați comanda de pe linia de comandă del"<диск>:\*.<имя файла>„/f/s, De exemplu
del "d:\Atenție_deschide-mă.txt" /f /s

Astfel, virusul a fost învins și fișierele au fost restaurate. Vreau să te avertizez că aceasta metoda Nu va ajuta pe toată lumea, ideea este că Kapersky în acest utilitar a colectat toate cheile de decriptare cunoscute (din acele fișiere care au fost trimise de cei infectați cu virusul) și folosește o metodă de forță brută pentru a selecta cheile și a le decripta . Acestea. dacă fișierele dvs. sunt criptate de un virus cu o cheie necunoscută, atunci această metodă nu va ajuta... va trebui să trimiteți fișierele infectate companiilor de antivirus - Kaspersky, Dr Web sau Nod32 pentru a le decripta.

Călătorind în diferite orașe și orașe, o persoană, vrând-nevrând, întâlnește surprize care pot fi atât plăcute, cât și provoacă disconfort sporit și durere severă.

Aceleași emoții pot aștepta un utilizator care este interesat să „călătorească” pe Internet. Deși uneori surprize neplacute Ei zboară în e-mail pe cont propriu sub formă de scrisori și documente de amenințare, pe care utilizatorii încearcă să le citească cât mai curând posibil, căzând astfel în rețelele escrocilor.

Pe Internet, puteți întâlni un număr incredibil de viruși programați pentru a efectua mai multe sarcini negative pe computerul dvs., așa că este important să învățați să distingeți între linkurile sigure pentru descărcarea fișierelor și documentelor și să evitați cele care reprezintă un pericol clar pentru computerul dvs.

Dacă ați devenit unul dintre acei oameni nefericiți care au trebuit să experimenteze consecințele negative ale unei intervenții cu virus, nu vă veți îndoi că este util să colectați și ulterior să sistematizați informații despre cum să preveniți infectarea computerului dvs.

Virușii au apărut imediat ce au apărut tehnologia calculatoarelor. În fiecare an există din ce în ce mai multe varietăți de viruși, așa că este ușor pentru utilizator să distrugă doar purtătorul de virus cunoscut de mult timp și a fost găsită o metodă 100% de distrugere a acestuia.

Este mult mai dificil pentru utilizator să „lupte” împotriva purtătorilor de viruși care apar doar în rețea sau sunt însoțiți de acțiuni distructive la scară largă.

Metode de recuperare a fișierelor

Într-o situație în care un virus are fișiere criptate pe un computer, ceea ce trebuie să facă pentru mulți este problema cheie. Dacă acestea sunt fotografii de amatori, a căror pierdere nici nu doriți să o acceptați, puteți căuta modalități de a rezolva problema pe o perioadă lungă de timp. Cu toate acestea, dacă un virus are fișiere criptate care sunt extrem de importante pentru activitățile de afaceri, dorința de a-ți da seama ce trebuie să faci devine incredibil de mare și, de asemenea, vrei să faci măsuri eficiente suficient de repede.

Restaurarea unei versiuni anterioare

Dacă protecția sistemului a fost activată în prealabil pe computerul dvs., atunci chiar și în cazurile în care un „criptor invitat neinvitat” a reușit deja să vă preia, veți putea în continuare să restaurați documentele, știind ce să faceți în acest caz.

Sistemul vă va ajuta să recuperați documentele folosind copiile umbră ale acestora. Desigur, troianul își îndreaptă eforturile pentru a elimina astfel de copii, dar virușii nu sunt întotdeauna capabili să efectueze astfel de manipulări, deoarece nu au drepturi administrative.

Pasul 1

Deci, este ușor să restaurați un document folosind copia anterioară. Pentru a face acest lucru, faceți clic dreapta pe fișierul care se dovedește a fi deteriorat. În meniul care apare, selectați „Proprietăți”. Pe ecranul computerului va apărea o fereastră care conține patru file, trebuie să accesați ultima filă"Versiuni anterioare"

Pasul 2

Toate copiile umbra disponibile ale documentului vor fi listate în fereastra de mai jos, tot ce trebuie să faceți este să selectați opțiunea cea mai potrivită pentru dvs., apoi să faceți clic pe butonul „Restaurare”.

Din păcate, o astfel de „ambulanță” nu poate fi utilizată pe un computer unde protecția sistemului nu a fost activată în prealabil. Din acest motiv, vă recomandăm să-l porniți din timp, pentru a nu vă „mușca din coate” ulterior, reproșându-vă nesupunere vădită.

Pasul 3

De asemenea, este ușor să activați protecția sistemului pe computerul dvs., nu vă va lua mult timp. Prin urmare, alunga-ți lenea și încăpățânarea și ajută-ți computerul să devină mai puțin vulnerabil la troieni.

Faceți clic dreapta pe pictograma „Computer” și selectați „Proprietăți”. În partea stângă a ferestrei care se deschide va fi o listă în care găsiți linia „Protecția sistemului”, faceți clic pe ea.

Acum se va deschide din nou o fereastră în care vi se va cere să selectați un disc. După ce a evidențiat disc local„C”, faceți clic pe butonul „Personalizați”.

Pasul 4

Acum se va deschide o fereastră care oferă opțiuni de recuperare. Trebuie să fiți de acord cu prima opțiune, care implică restaurarea parametrilor sistemului și Versiuni anterioare documente. În cele din urmă, faceți clic pe butonul tradițional „Ok”.

Dacă ați făcut toate aceste manipulări în avans, atunci chiar dacă un troian vă vizitează computerul și vă criptează fișierele, veți avea perspective excelente pentru a recupera informații importante.

Cel puțin nu veți intra în panică când descoperiți că toate fișierele de pe computer sunt criptate, în acest caz, veți ști deja exact ce trebuie să faceți.

Utilizarea Utilităților

Multe companii de antivirus nu lasă utilizatorii în pace cu problema virușilor care criptează documentele. Kaspersky Lab și Doctor Web au dezvoltat utilitare speciale pentru a ajuta la rezolvarea unor astfel de situații problematice.

Deci, dacă găsiți urme teribile ale unei vizite ransomware, încercați să utilizați Utilitar Kaspersky RectorDecryptor.

Rulați utilitarul pe computer, specificați calea către fișierul care a fost criptat. Nu este greu de înțeles ce ar trebui să facă direct utilitatea. Folosind mai multe opțiuni, încearcă să găsească cheia pentru a decripta fișierul. Din păcate, o astfel de operațiune poate fi destul de lungă și nu este în intervalul de timp pentru mulți utilizatori.

În special, se poate întâmpla ca să fie nevoie de aproximativ 120 de zile pentru a selecta cheia corectă. În același timp, trebuie să înțelegeți că nu este recomandat să întrerupeți procesul de decriptare, așa că nu trebuie să opriți computerul.

Kaspersky Lab oferă și alte utilități:

• XoristDecryptor;
• RakhniDecryptor;
• Ransomware Decryptor.

Aceste utilitare vizează rezultatele activităților rău intenționate ale altor troieni ransomware. În special, utilitarul Ransomware Decryptor este încă necunoscut pentru mulți, deoarece are ca scop combaterea CoinVault, care abia acum începe să atace Internetul și să pătrundă în computerele utilizatorilor.

De asemenea, dezvoltatorii Doctor Web nu sunt inactivi, așa că le prezintă utilizatorilor utilitățile lor, cu ajutorul cărora puteți încerca și să recuperați documente criptate de pe computer.

Creați orice folder pe unitatea C și dați-i un nume simplu. Dezarhivați utilitarul descărcat de pe site-ul oficial al companiei în acest folder.

Acum îl poți folosi pentru solutie practica Probleme. Pentru a face acest lucru, alergați Linie de comanda, tastați „cd c:\XXX” în el, unde în loc de XXX scrieți numele folderului în care ați plasat utilitarul.

În loc de „fișierele mele”, trebuie scris numele folderului în care se află documentele deteriorate.

Acum utilitarul se va lansa și procesul de tratament va începe după finalizarea cu succes, veți găsi un raport care indică ceea ce a fost recuperat; Apropo, programul nu șterge fișierele criptate, ci pur și simplu salvează versiunea recuperată lângă ele.

Din păcate, chiar și acest utilitar Doctor Web nu poate fi considerat o baghetă magică;

Mulți oameni s-ar putea să-și fi dat deja seama ce să facă în caz de infecție, dar utilizatori experimentați Este recomandat să obțineți informații despre ceea ce nu este strict recomandat să faceți, pentru a nu provoca consecințe mai grave atunci când șansele de recuperare a documentelor sunt egale cu zero.

Nu poate fi reinstalat pe computer sistem de operare. În acest caz, este posibil să puteți elimina dăunătorul, dar să îl returnați conditii de lucru cu siguranță documentele nu vor funcționa.

Nu puteți rula programe responsabile cu curățarea registrului, ștergerea fișiere temporare pe computer.

Nu se recomandă scanare antivirus, timp în care documentele infectate pot fi pur și simplu șterse. Dacă ai fost puțin prost și ai lansat un antivirus, cedând în panică, atunci măcar asigură-te că toate fișierele infectate nu sunt șterse, ci pur și simplu puse în carantină.

Dacă sunteți un utilizator avansat, puteți întrerupe procesul de criptare pe computer înainte ca acesta să se răspândească la toate fișierele și documentele. Pentru a face acest lucru, trebuie să lansați „Managerul de activități” și să opriți procesul. Utilizator neexperimentat este puțin probabil să reușească să-și dea seama ce proces are legătură cu virusul.

Este util să deconectați computerul de la Internet. Prin întreruperea unei astfel de conexiuni, procesul de criptare a fișierelor și documentelor de pe computer este întrerupt în majoritatea cazurilor.

Deci, cu o înțelegere completă a ceea ce trebuie să faceți atunci când este detectat un troian ransomware, puteți lua măsuri pentru a asigura succesul. În plus, după ce ați primit informații despre cum să decriptați fișierele criptate de un virus, puteți încerca să eliminați singur problema și să preveniți să apară din nou.

Numărul de viruși în sensul lor obișnuit devine din ce în ce mai mic, iar motivul pentru aceasta este antivirusurile gratuite care funcționează bine și protejează computerele utilizatorilor. În același timp, nu tuturor le pasă de securitatea datelor lor și riscă să se infecteze nu numai cu malware, ci și cu viruși standard, printre care cei mai des întâlniți continuă să fie troianul. Se poate arăta căi diferite, dar una dintre cele mai periculoase este criptarea fișierelor. Dacă un virus criptează fișierele de pe computerul dvs., nu este garantat că veți putea recupera datele, dar unele metode eficiente există și vor fi discutate mai jos.

Virus de criptare: ce este și cum funcționează

Pe Internet puteți găsi sute de varietăți de viruși care criptează fișierele. Acțiunile lor duc la o consecință - datele utilizatorului de pe computer sunt format necunoscut care nu poate fi deschis cu programe standard. Iată doar câteva dintre formatele în care datele de pe un computer pot fi criptate ca urmare a virușilor: .locked, .xtbl, .kraken, .cbf, .oshit și multe altele. În unele cazuri, este scris direct în extensia fișierului Adresa de e-mail creatorii virusului.

Printre cei mai obișnuiți viruși care criptează fișierele sunt Trojan-Ransom.Win32.AuraȘi Trojan-Ransom.Win32.Rakhni. Ele vin sub mai multe forme, iar virusul nu poate fi numit nici măcar troian (de exemplu, CryptoLocker), dar acțiunile lor sunt practic aceleași. Noi versiuni de viruși de criptare sunt lansate în mod regulat pentru a face mai dificil pentru creatorii de aplicații antivirus să se ocupe de noile formate.

Dacă un virus de criptare a pătruns într-un computer, cu siguranță se va manifesta nu numai prin blocarea fișierelor, ci și oferind utilizatorului să le deblocheze contra unei taxe bănești. Pe ecran poate apărea un banner care vă spune unde trebuie să transferați bani pentru a debloca fișierele. Când un astfel de banner nu apare, ar trebui să căutați o „scrisoare” de la dezvoltatorii de viruși pe desktop, în majoritatea cazurilor, un astfel de fișier se numește ReadMe.txt.

În funcție de dezvoltatorii virusului, prețurile pentru decriptarea fișierelor pot varia. În același timp, este departe de a fi un fapt că atunci când trimiți bani creatorilor virusului, aceștia vor trimite înapoi o metodă de deblocare. În cele mai multe cazuri, banii nu ajung „nicăieri”, iar utilizatorul computerului nu primește o metodă de decriptare.

După ce virusul este pe computer și vedeți codul pe ecran la care trebuie să îl trimiteți adresa specifica Pentru a obține un decriptor, nu ar trebui să faceți acest lucru. Mai întâi de toate, copiați acest cod pe o bucată de hârtie, deoarece fișierul nou creat poate fi și criptat. După aceasta, puteți ascunde informații de la dezvoltatorii virusului și puteți încerca să găsiți pe Internet o modalitate de a scăpa de criptorul de fișiere în cazul dvs. Mai jos vă prezentăm principalele programe care vă permit să eliminați un virus și să decriptați fișierele, dar nu pot fi numite universale, iar creatorii program antivirus Lista soluțiilor este extinsă în mod regulat.

A scăpa de un virus de criptare a fișierelor este destul de simplă versiuni gratuite antivirusuri. 3 programe gratuite fac față bine virușilor de criptare a fișierelor:

• Malwarebytes Antimalware;
• Dr.Web Cure It;
• Kaspersky Internet Securitate.

Aplicațiile menționate mai sus sunt complet gratuite sau au versiuni de încercare. Vă recomandăm să utilizați o soluție de la Dr.Web sau Kespersky după ce vă scanați sistemul cu Malwarebytes Antimalware. Permiteți-ne să vă reamintim încă o dată că instalarea a 2 sau mai multe antivirusuri pe computer nu este recomandată în același timp, așa că înainte de a instala fiecare nouă soluție, trebuie să o eliminați pe cea anterioară.

După cum am menționat mai sus, solutie ideala Problema în această situație va fi selectarea instrucțiunilor care vă permit să vă ocupați în mod specific de problema dvs. Astfel de instrucțiuni sunt cel mai adesea postate pe site-urile web ale dezvoltatorilor de antivirus. Mai jos vă prezentăm câteva relevante utilitare antivirus care vă permit să faceți față tipuri variate Troieni și alte tipuri de ransomware.

Cele de mai sus sunt doar o mică parte din utilitatile antivirus care vă permit să decriptați fișierele infectate. Este demn de remarcat faptul că, dacă pur și simplu încercați să recuperați datele, acestea vor fi, dimpotrivă, pierdute pentru totdeauna - nu ar trebui să faceți acest lucru.

Salutare tuturor, astăzi vă voi spune cum să decriptați fișierele după un virus în Windows. Una dintre cele mai problematice malware astăzi este un troian sau un virus care criptează fișierele de pe discul utilizatorului. Unele dintre aceste fișiere pot fi decriptate, dar altele nu pot fi încă decriptate. În articol voi descrie posibili algoritmi de acțiune în ambele situații.

Există mai multe modificări ale acestui virus, dar esența generală a lucrării este că, după instalare pe computer, fișierele documentelor, imaginile și alte fișiere potențial importante sunt criptate cu o modificare a extensiei, după care primiți un mesaj că toate dvs. fișierele au fost criptate și pentru a le decripta trebuie să le trimiteți o anumită sumă către atacator.

Fișierele de pe computer sunt criptate în xtbl

Una dintre cele mai recente variante ale virusului ransomware criptează fișierele, înlocuindu-le cu fișiere cu extensia .xtbl și un nume format dintr-un set aleatoriu de caractere.

În același timp, pe computer este plasat un fișier text readme.txt cu aproximativ următorul conținut: „Fișierele tale au fost criptate. Pentru a le decripta, trebuie să trimiteți codul către Adresa de e-mail [email protected], [email protected] sau [email protected]. În continuare vei primi totul instructiunile necesare. Încercările de a decripta fișierele personal vor duce la pierderea irecuperabilă a informațiilor” (adresa de e-mail și textul pot diferi).

Din păcate, nu există nicio modalitate de a decripta .xtbl în acest moment (de îndată ce acesta devine disponibil, instrucțiunile vor fi actualizate). Unii utilizatori care aveau informații cu adevărat importante pe computerul lor raportează pe forumurile antivirus că au trimis autorilor virusului 5.000 de ruble sau altă sumă necesară și au primit un decriptor, dar acest lucru este foarte riscant: este posibil să nu primești nimic.

Ce să faci dacă fișierele au fost criptate în .xtbl? Recomandările mele sunt următoarele (dar diferă de cele de pe multe alte site-uri tematice, unde, de exemplu, recomandă oprirea imediată a computerului de la sursa de alimentare sau nu îndepărtarea virusului. După părerea mea, acest lucru este inutil și sub unele circumstanțe poate fi chiar dăunătoare, dar rămâne la latitudinea dvs. să decideți.):

1. Dacă știți cum, întrerupeți procesul de criptare ștergând sarcinile corespunzătoare din managerul de activități, deconectând computerul de la Internet (acest lucru poate fi o conditie necesara criptare)
2. Amintiți-vă sau notați codul pe care atacatorii solicită să fie trimis la o adresă de e-mail (doar nu la un fișier text de pe computer, pentru orice eventualitate, ca să nu fie nici criptat).
3. CU folosind Malwarebytes Antimalware, probă versiuni Kaspersky Internet Security sau Dr.Web Cure Va elimina un virus care criptează fișierele (toate instrumentele enumerate mai sus fac o treabă bună în acest sens). Vă sfătuiesc să utilizați pe rând primul și al doilea produs din listă (cu toate acestea, dacă aveți instalat un antivirus, instalarea celui de-al doilea „de sus” este nedorită, deoarece poate duce la probleme cu computerul.)
4. Așteptați să apară un decriptor de la o companie de antivirus. Kaspersky Lab este în frunte aici.
5. De asemenea, puteți trimite un exemplu de fișier criptat și codul necesar către [email protected], dacă aveți o copie necriptată a aceluiași fișier, vă rugăm să o trimiteți și pe aceasta. În teorie, acest lucru ar putea accelera apariția decriptorului.

Ce sa nu faci:

• Redenumiți fișierele criptate, schimbați extensia și ștergeți-le dacă sunt importante pentru dvs.

Acesta este probabil tot ce pot spune despre fișierele criptate cu extensia .xtbl în acest moment.

Trojan-Ransom.Win32.Aura și Trojan-Ransom.Win32.Rakhni

Următorul troian criptează fișierele și instalează extensii din această listă:

• .blocat
• .cripto
• .kraken
• .AES256 (nu neapărat acest troian, sunt și alții care instalează aceeași extensie).
• .codercsu@gmail_com
• .oshit
• Si altii.

Pentru a decripta fișierele după operarea acestor viruși, site-ul Kaspersky are un utilitar gratuit numit RakhniDecryptor, disponibil pe Pagina Oficială http://support.kaspersky.ru/viruses/disinfection/10556.

De asemenea este si instrucțiuni detaliate despre utilizarea acestui utilitar, arătând cum să recuperez fișierele criptate, din care, pentru orice eventualitate, aș elimina elementul „Ștergeți fișierele criptate după decriptarea cu succes” (deși, cred, cu opțiunea instalată totul va fi bine).

Dacă aveți o licență antivirus Dr.Web, puteți utiliza decriptarea gratuită de la această companie pe pagina http://support.drweb.com/new/free_unlocker/

Mai multe opțiuni de virus ransomware

Mai puțin frecvente, dar și întâlnite, sunt următorii troieni care criptează fișierele și cer bani pentru decriptare. Linkurile furnizate conțin nu numai utilități pentru returnarea fișierelor, ci și o descriere a semnelor care vă vor ajuta să determinați că aveți acest virus anume. Deși, în general, modalitatea optimă este să scanezi sistemul utilizând antivirus Kaspersky, să afli numele troianului în funcție de clasificarea acestei companii și apoi să cauți un utilitar cu acest nume.

• Trojan-Ransom.Win32.Rector - utilitarul gratuit de decriptare RectorDecryptor și instrucțiunile de utilizare sunt disponibile aici: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist este un troian similar care afișează o fereastră care vă cere să trimiteți SMS plătit sau contactați la e-mail pentru instrucțiuni de decriptare. Instrucțiuni pentru restaurarea fișierelor criptate și utilitarul XoristDecryptor pentru aceasta sunt disponibile pe pagina http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Utilitar RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 și altele cu același nume (când sunt căutate prin antivirus Dr.Web sau prin utilitarul Cure It) și numere diferite- încercați să căutați pe Internet numele troianului. Pentru unele dintre ele există utilitare de decriptare de la Dr.Web, tot dacă nu ai putut găsi utilitarul, dar ai licență Dr.Web, poți folosi pagina oficială http://support.drweb.com/new/free_unlocker /
• CryptoLocker - pentru a decripta fișierele după ce CryptoLocker funcționează, puteți folosi site-ul http://decryptcryptolocker.com - după trimiterea fișierului eșantion, veți primi o cheie și un utilitar pentru a vă recupera fișierele.

Ei bine de la cele mai recente știri- Kaspersky Lab, împreună cu agenții de aplicare a legii din Țările de Jos, au dezvoltat Ransomware Decryptor (http://noransom.kaspersky.com) pentru a decripta fișierele după CoinVault, dar acest ransomware nu este încă găsit în latitudinile noastre.

Apropo, dacă se dovedește brusc că aveți ceva de adăugat (pentru că s-ar putea să nu am timp să monitorizez ce se întâmplă cu metodele de decriptare), spuneți-mi în comentarii, aceste informații vor fi utile altor utilizatori care sunt confruntat cu o problemă.