Meniu
AcasăMicrosoft

Virusul Encryptor: cum să dezinfectați și să decriptați fișierele? Decriptarea fișierelor după un virus ransomware. Virusul Crusis (Dharma) - cum să decriptați fișierele și să eliminați ransomware

Salutare tuturor, astăzi vă voi spune cum să decriptați fișierele după un virus în Windows. Unul dintre cele mai problematice programe malware din ziua de azi este un troian, sau virus, care criptează fișierele de pe unitatea utilizatorului. Unele dintre aceste fișiere pot fi decriptate, dar altele nu pot fi încă decriptate. În articol voi descrie posibili algoritmi de acțiune în ambele situații.

Există mai multe modificări ale acestui virus, dar esența generală a lucrării este că, după instalare pe computer, fișierele documentelor, imaginile și alte fișiere potențial importante sunt criptate cu o modificare a extensiei, după care primiți un mesaj că toate dvs. fișierele au fost criptate și pentru a le decripta trebuie să trimiteți o anumită sumă atacatorului.

Fișierele de pe computer sunt criptate în xtbl

Una dintre cele mai recente variante ale virusului ransomware criptează fișierele, înlocuindu-le cu fișiere cu extensia .xtbl și un nume format dintr-un set aleatoriu de caractere.

În același timp, pe computer este plasat un fișier text readme.txt cu aproximativ următorul conținut: „Fișierele tale au fost criptate. Pentru a le decripta, trebuie să trimiteți codul la adresa de e-mail [email protected], [email protected] sau [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a decripta fișierele personal vor duce la pierderea irecuperabilă a informațiilor” (adresa de e-mail și textul pot diferi).

Din păcate, nu există nicio modalitate de a decripta .xtbl în acest moment (de îndată ce acesta devine disponibil, instrucțiunile vor fi actualizate). Unii utilizatori care aveau informații cu adevărat importante pe computerul lor raportează pe forumurile antivirus că au trimis autorilor virusului 5.000 de ruble sau altă sumă necesară și au primit un decriptor, dar acest lucru este foarte riscant: este posibil să nu primești nimic.

Ce să faci dacă fișierele au fost criptate în .xtbl? Recomandările mele sunt următoarele (dar diferă de cele de pe multe alte site-uri tematice, unde, de exemplu, recomandă oprirea imediată a computerului de la sursa de alimentare sau nu îndepărtarea virusului. După părerea mea, acest lucru este inutil și sub unele circumstanțe poate fi chiar dăunătoare, dar rămâne la latitudinea dvs. să decideți.):

  1. Dacă știți cum, întrerupeți procesul de criptare ștergând sarcinile corespunzătoare din managerul de activități, deconectând computerul de la Internet (aceasta poate fi o condiție necesară pentru criptare)
  2. Amintiți-vă sau notați codul pe care atacatorii solicită să fie trimis la o adresă de e-mail (doar nu la un fișier text de pe computer, pentru orice eventualitate, ca să nu fie nici criptat).
  3. Folosind Malwarebytes Antimalware, o versiune de încercare a Kaspersky Internet Security sau Dr.Web Cure It, eliminați virusul de criptare a fișierelor (toate aceste instrumente fac o treabă bună în acest sens). Vă sfătuiesc să utilizați pe rând primul și al doilea produs din listă (cu toate acestea, dacă aveți instalat un antivirus, instalarea celui de-al doilea „de sus” este nedorită, deoarece poate duce la probleme cu computerul.)
  4. Așteptați să apară un decriptor de la o companie de antivirus. Kaspersky Lab este în frunte aici.
  5. De asemenea, puteți trimite un exemplu de fișier criptat și codul necesar către [email protected], dacă aveți o copie necriptată a aceluiași fișier, vă rugăm să o trimiteți și pe aceasta. În teorie, acest lucru ar putea accelera apariția decriptorului.

Ce să nu faci:

  • Redenumiți fișierele criptate, schimbați extensia și ștergeți-le dacă sunt importante pentru dvs.

Acesta este probabil tot ce pot spune despre fișierele criptate cu extensia .xtbl în acest moment.

Trojan-Ransom.Win32.Aura și Trojan-Ransom.Win32.Rakhni

Următorul troian criptează fișierele și instalează extensii din această listă:

  • .blocat
  • .cripto
  • .kraken
  • .AES256 (nu neapărat acest troian, sunt și alții care instalează aceeași extensie).
  • .codercsu@gmail_com
  • .oshit
  • Si altele.

Pentru a decripta fișierele după rularea virușilor specificati, site-ul Kaspersky are un utilitar gratuit numit RakhniDecryptor, disponibil pe pagina oficială http://support.kaspersky.ru/viruses/disinfection/10556.

Există, de asemenea, instrucțiuni detaliate pentru utilizarea acestui utilitar, care arată cum să restaurați fișierele criptate, din care, pentru orice eventualitate, aș elimina elementul „Ștergeți fișierele criptate după decriptarea reușită” (deși cred că totul va fi bine cu opțiunea instalată) .

Dacă aveți o licență antivirus Dr.Web, puteți utiliza decriptarea gratuită de la această companie pe pagina http://support.drweb.com/new/free_unlocker/

Mai multe opțiuni de virus ransomware

Mai puțin frecvente, dar și întâlnite, sunt următorii troieni care criptează fișierele și cer bani pentru decriptare. Linkurile furnizate conțin nu numai utilități pentru returnarea fișierelor, ci și o descriere a semnelor care vă vor ajuta să determinați că aveți acest virus anume. Deși, în general, modalitatea optimă este să scanezi sistemul utilizând antivirus Kaspersky, să afli numele troianului în funcție de clasificarea acestei companii și apoi să cauți un utilitar cu acest nume.

  • Trojan-Ransom.Win32.Rector - utilitarul gratuit de decriptare RectorDecryptor și instrucțiunile de utilizare sunt disponibile aici: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist este un troian similar care afișează o fereastră în care vă cere să trimiteți un SMS plătit sau să contactați prin e-mail pentru a primi instrucțiuni de decriptare. Instrucțiuni pentru restaurarea fișierelor criptate și utilitarul XoristDecryptor pentru aceasta sunt disponibile pe pagina http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Utilitar RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 și altele cu același nume (când căutați prin antivirus Dr.Web sau prin utilitarul Cure It) și cu numere diferite - încercați să căutați pe Internet după numele troianului. Pentru unele dintre ele există utilitare de decriptare de la Dr.Web, tot dacă nu ai putut găsi utilitarul, dar ai licență Dr.Web, poți folosi pagina oficială http://support.drweb.com/new/free_unlocker /
  • CryptoLocker - pentru a decripta fișierele după ce CryptoLocker funcționează, puteți folosi site-ul http://decryptcryptolocker.com - după trimiterea fișierului eșantion, veți primi o cheie și un utilitar pentru a vă recupera fișierele.

Ei bine, din ultimele știri - Kaspersky Lab, împreună cu oamenii legii din Țările de Jos, au dezvoltat Ransomware Decryptor (http://noransom.kaspersky.com) pentru a decripta fișierele după CoinVault, dar acest ransomware nu este încă găsit în latitudinile noastre.

Apropo, dacă se dovedește brusc că aveți ceva de adăugat (pentru că s-ar putea să nu am timp să monitorizez ce se întâmplă cu metodele de decriptare), spuneți-mi în comentarii, aceste informații vor fi utile altor utilizatori care sunt confruntat cu o problemă.

„Îmi pare rău că vă deranjez, dar... fișierele dumneavoastră sunt criptate. Pentru a obține cheia de decriptare, transferați urgent o anumită sumă de bani în portofel... În caz contrar, datele dumneavoastră vor fi distruse pentru totdeauna. Ai 3 ore, timpul a trecut.” Și asta nu este o glumă. Un virus de criptare este o amenințare mai mult decât reală.

Astăzi vom vorbi despre ce este malware-ul ransomware care s-a răspândit în ultimii ani, ce să faceți dacă este infectat, cum să vă vindecați computerul și dacă este chiar posibil și cum să vă protejați de ele.


Criptăm totul!

Un virus ransomware (encryptor, cryptor) este un tip special de ransomware rău intenționat a cărui activitate constă în criptarea fișierelor utilizatorului și apoi solicitarea unei răscumpări pentru instrumentul de decriptare. Sumele de răscumpărare încep de la 200 de dolari și ajung la zeci și sute de mii de bucăți de hârtie verzi.

Cu câțiva ani în urmă, numai computerele bazate pe Windows au fost atacate de această clasă de malware. Astăzi, gama lor s-a extins la Linux, Mac și Android aparent bine protejate. În plus, varietatea de criptoare este în continuă creștere - produse noi apar unul după altul, care au ceva să surprindă lumea. Astfel, a apărut din cauza „încrucișării” unui troian clasic de criptare și a unui vierme de rețea (un program rău intenționat care se răspândește în rețele fără participarea activă a utilizatorilor).

După WannaCry, au apărut Petya și Bad Rabbit, nu mai puțin sofisticați. Și din moment ce „afacerea de criptare” aduce venituri bune proprietarilor săi, puteți fi sigur că nu sunt ultimii.

Din ce în ce mai mulți criptografi, în special cei care au fost lansati în ultimii 3-5 ani, folosesc algoritmi criptografici puternici, care nu pot fi sparți nici prin forță brută, nici prin alte mijloace existente. Singura modalitate de a recupera datele este să folosești cheia originală, pe care atacatorii o oferă să o cumpere. Cu toate acestea, chiar și transferul sumei necesare către ei nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă potențiale profituri. Și ce rost are să-și țină promisiunile dacă au deja banii?

Căile de distribuție a virușilor de criptare

Principala modalitate prin care malware-ul ajunge pe computerele utilizatorilor privați și ale organizațiilor este e-mailul sau, mai precis, fișierele și linkurile atașate la e-mailuri.

Un exemplu de astfel de scrisoare destinată „clienților corporativi”:

  • „Rambursează-ți imediat datoria de împrumut.”
  • „Cererea a fost depusă în instanță”.
  • „Plătește amenda/taxa/taxa.”
  • „Taxă suplimentară pentru facturile de utilități.”
  • „Oh, tu ești în fotografie?”
  • „Lena mi-a cerut să-ți dau asta urgent” etc.

De acord, doar un utilizator informat ar trata o astfel de scrisoare cu prudență. Majoritatea oamenilor, fără ezitare, vor deschide atașamentul și vor lansa ei înșiși programul rău intenționat. Apropo, în ciuda strigătelor antivirusului.

Următoarele sunt, de asemenea, utilizate în mod activ pentru a distribui ransomware:

  • Rețelele sociale (e-mailuri din conturile prietenilor și străinilor).
  • Resurse web rău intenționate și infectate.
  • Banner publicitar.
  • Trimitere prin mesagerie din conturi piratate.
  • Site-uri Vareznik și distribuitori de keygen și crack-uri.
  • Site-uri pentru adulți.
  • Magazine de aplicații și conținut.

Virușii de criptare sunt adesea transportați de alte programe rău intenționate, în special, demonstranții de publicitate și troienii backdoor. Acesta din urmă, folosind vulnerabilități din sistem și software, ajută criminalul să obțină acces de la distanță la dispozitivul infectat. Lansarea criptatorului în astfel de cazuri nu coincide întotdeauna în timp cu acțiunile utilizatorului potențial periculoase. Atâta timp cât ușa din spate rămâne în sistem, un atacator poate pătrunde în dispozitiv în orice moment și poate iniția criptarea.

Pentru a infecta computerele organizațiilor (la urma urmei, acestea pot extrage mai mult din ele decât de la utilizatorii casnici), se dezvoltă metode deosebit de sofisticate. De exemplu, troianul Petya a pătruns în dispozitive prin modulul de actualizare al programului de contabilitate fiscală MEDoc.

Criptatorii cu funcții de viermi de rețea, așa cum am menționat deja, se răspândesc în rețele, inclusiv pe Internet, prin vulnerabilități de protocol. Și te poți infecta cu ele fără să faci absolut nimic. Utilizatorii sistemelor de operare Windows care sunt rar actualizate sunt expuși celui mai mare risc, deoarece actualizările închid lacune cunoscute.

Unele programe malware, cum ar fi WannaCry, exploatează vulnerabilități de tip 0-day, adică cele de care dezvoltatorii de sisteme nu sunt încă conștienți. Din păcate, este imposibil să reziste pe deplin infecției în acest fel, dar probabilitatea ca tu să fii printre victime nici măcar nu ajunge la 1%. De ce? Da, deoarece programele malware nu pot infecta toate mașinile vulnerabile simultan. Și în timp ce planifică noi victime, dezvoltatorii de sistem reușesc să lanseze o actualizare care salvează vieți.

Cum se comportă ransomware-ul pe un computer infectat

Procesul de criptare, de regulă, începe neobservat, iar când semnele sale devin evidente, este deja prea târziu pentru a salva datele: până atunci, malware-ul a criptat tot ce poate ajunge. Uneori, un utilizator poate observa că extensia fișierelor dintr-un folder deschis s-a schimbat.

Apariția nerezonabilă a unei noi și uneori a unei a doua extensii pe fișiere, după care nu se mai deschide, indică în mod absolut consecințele unui atac de criptare. Apropo, prin extensia pe care o primesc obiectele deteriorate, de obicei este posibil să se identifice malware-ul.

Un exemplu despre ce pot fi extensiile fișierelor criptate:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn etc.

Există o mulțime de opțiuni, iar altele noi vor apărea mâine, așa că nu are rost să enumerați totul. Pentru a determina tipul de infecție, este suficient să alimentați mai multe extensii motorului de căutare.

Alte simptome care indică indirect începutul criptării:

  • Ferestrele din linia de comandă apar pe ecran pentru o fracțiune de secundă. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor de sistem și program, dar este mai bine să nu îl lăsați nesupravegheat.
  • UAC solicită lansarea unui program pe care nu intenționați să îl deschideți.
  • O repornire bruscă a computerului urmată de simularea funcționării utilitarului de verificare a discului de sistem (sunt posibile alte variante). În timpul „verificării”, are loc procesul de criptare.

După ce operațiunea rău intenționată este finalizată cu succes, pe ecran apare un mesaj cu o cerere de răscumpărare și diverse amenințări.

Ransomware-ul criptează o parte semnificativă a fișierelor utilizatorului: fotografii, muzică, videoclipuri, documente text, arhive, e-mail, baze de date, fișiere cu extensii de program etc. Cu toate acestea, nu ating obiectele sistemului de operare, deoarece atacatorii nu au nevoie de computerul infectat pentru a opri munca. Unii viruși înlocuiesc înregistrările de pornire ale discurilor și partițiilor.

După criptare, toate copiile umbra și punctele de recuperare sunt de obicei șterse din sistem.

Cum să vindeci un computer de ransomware

Eliminarea programelor rău intenționate dintr-un sistem infectat este simplă - aproape toate antivirusurile le pot gestiona pe majoritatea fără dificultate. Dar! Este naiv să credem că a scăpa de vinovat va rezolva problema: fie că eliminați virusul sau nu, fișierele vor rămâne totuși criptate. În plus, în unele cazuri acest lucru va complica decriptarea lor ulterioară, dacă este posibil.

Procedura corectă la pornirea criptării

  • Odată ce observați semne de criptare, Opriți imediat alimentarea computerului apăsând și apăsat butonulPutere timp de 3-4 secunde. Acest lucru va salva cel puțin unele dintre fișiere.
  • Creați un disc de pornire sau o unitate flash cu un program antivirus pe alt computer. De exemplu, , , etc.
  • Porniți mașina infectată de pe acest disc și scanați sistemul. Eliminați orice viruși găsiți și păstrați-i în carantină (în cazul în care sunt necesari pentru decriptare). Abia după aceea puteți porni computerul de pe hard disk.
  • Încercați să recuperați fișierele criptate din copii umbra utilizând instrumente de sistem sau utilizând o terță parte.

Ce trebuie să faceți dacă fișierele sunt deja criptate

  • Nu-ți pierde speranța. Site-urile web ale dezvoltatorilor de produse antivirus conțin utilitare gratuite de decriptare pentru diferite tipuri de malware. În special, utilitățile de la și .
  • După ce ați determinat tipul de codificator, descărcați utilitarul corespunzător, cu siguranță fă-o copii fișiere deteriorateși încearcă să le descifrezi. Dacă reușiți, descifrați restul.

Dacă fișierele nu sunt decriptate

Dacă niciunul dintre utilitare nu ajută, este probabil să fi suferit de un virus pentru care nu există încă un tratament.

Ce poți face în acest caz:

  • Dacă utilizați un produs antivirus plătit, contactați echipa de asistență a acestuia. Trimiteți mai multe copii ale fișierelor deteriorate la laborator și așteptați un răspuns. Dacă este posibil din punct de vedere tehnic, ei vă vor ajuta.
  • Dacă se dovedește că fișierele sunt deteriorate fără speranță, dar sunt de mare valoare pentru dvs., nu puteți decât să sperați și să așteptați că într-o zi va fi găsit un remediu de salvare. Cel mai bun lucru pe care îl puteți face este să lăsați sistemul și fișierele așa cum sunt, adică să închideți complet și să nu utilizați hard diskul. Ștergerea fișierelor malware, reinstalarea sistemului de operare și chiar actualizarea acestuia vă poate priva și această șansă, deoarece la generarea cheilor de criptare/decriptare se folosesc adesea identificatori unici de sistem și copii ale virusului.

Plata răscumpărării nu este o opțiune, deoarece probabilitatea de a primi cheia este aproape de zero. Și nu are rost să finanțezi o afacere criminală.

Cum să te protejezi de acest tip de malware

Nu aș vrea să repet sfaturi pe care fiecare dintre cititori le-a auzit de sute de ori. Da, instalați un antivirus bun, nu faceți clic pe linkuri suspecte și bla bla bla - acest lucru este important. Totuși, așa cum a arătat viața, o pastilă magică care să-ți ofere o garanție de securitate 100% nu există astăzi.

Singura metodă eficientă de protecție împotriva ransomware-ului de acest fel este backup de date către alte medii fizice, inclusiv servicii cloud. Backup, backup, backup...

De asemenea pe site:

Fără o șansă de salvare: ce este un virus de criptare și cum să-i faci față actualizat: 1 septembrie 2018 de: Johnny Mnemonic

este un program rău intenționat care, atunci când este activat, criptează toate fișierele personale, cum ar fi documente, fotografii etc. Numărul de astfel de programe este foarte mare și crește în fiecare zi. Doar recent am întâlnit zeci de variante de ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, etc. toste, fffff, etc. Scopul unor astfel de viruși de criptare este de a forța utilizatorii să cumpere, adesea pentru o sumă mare de bani, programul și cheia necesare pentru a-și decripta propriile fișiere.

Desigur, puteți restaura fișierele criptate pur și simplu urmând instrucțiunile pe care creatorii virusului le lasă pe computerul infectat. Dar cel mai adesea, costul decriptării este foarte semnificativ și, de asemenea, trebuie să știți că unii viruși ransomware criptează fișierele în așa fel încât este pur și simplu imposibil să le decriptați mai târziu. Și, desigur, este doar enervant să plătești pentru a-ți restaura propriile fișiere.

Mai jos vom vorbi mai detaliat despre virușii de criptare, cum pătrund aceștia în computerul victimei, precum și despre cum să eliminați virusul de criptare și să restaurați fișierele criptate de acesta.

Cum pătrunde un virus ransomware într-un computer?

Un virus ransomware este de obicei răspândit prin e-mail. Scrisoarea conține documente infectate. Astfel de scrisori sunt trimise către o bază de date uriașă de adrese de e-mail. Autorii acestui virus folosesc anteturi și conținuturi înșelătoare ale scrisorilor, încercând să păcălească utilizatorul să deschidă un document atașat scrisorii. Unele scrisori informează despre necesitatea plății unei facturi, altele oferă să se uite la cea mai recentă listă de prețuri, altele oferă să deschidă o fotografie amuzantă etc. În orice caz, deschiderea fișierului atașat va duce la infectarea computerului cu un virus de criptare.

Ce este un virus ransomware?

Un virus ransomware este un program rău intenționat care infectează versiunile moderne ale sistemelor de operare Windows, cum ar fi Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Acești viruși încearcă să folosească cele mai puternice moduri de criptare posibile, de exemplu RSA-2048 cu lungimea cheii este de 2048 de biți, ceea ce elimină practic posibilitatea de a selecta o cheie pentru a decripta fișierele în mod independent.

Când infectează un computer, virusul ransomware folosește directorul de sistem %APPDATA% pentru a-și stoca propriile fișiere. Pentru a se lansa automat când computerul este pornit, ransomware-ul creează o intrare în registrul Windows: secțiunile HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Imediat după lansare, virusul scanează toate unitățile disponibile, inclusiv stocarea în rețea și în cloud, pentru a determina fișierele care vor fi criptate. Un virus ransomware folosește o extensie de nume de fișier ca modalitate de a identifica un grup de fișiere care vor fi criptate. Aproape toate tipurile de fișiere sunt criptate, inclusiv cele comune precum:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .meniu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Imediat după ce fișierul este criptat, acesta primește o nouă extensie, care poate fi adesea folosită pentru a identifica numele sau tipul de ransomware. Unele tipuri de aceste programe malware pot schimba, de asemenea, numele fișierelor criptate. Virusul creează apoi un document text cu nume precum HELP_YOUR_FILES, README, care conține instrucțiuni pentru decriptarea fișierelor criptate.

În timpul funcționării sale, virusul de criptare încearcă să blocheze capacitatea de a restaura fișiere folosind sistemul SVC (copie umbră a fișierelor). Pentru a face acest lucru, virusul, în modul de comandă, apelează utilitarul pentru administrarea de copii umbre ale fișierelor cu o cheie care pornește procedura de ștergere completă a acestora. Astfel, este aproape întotdeauna imposibil să restaurați fișierele folosind copiile umbră ale acestora.

Virusul ransomware folosește în mod activ tactici de intimidare, oferind victimei un link către o descriere a algoritmului de criptare și afișând un mesaj de amenințare pe desktop. În acest fel, încearcă să forțeze utilizatorul computerului infectat, fără ezitare, să trimită ID-ul computerului la adresa de e-mail a autorului virusului pentru a încerca să-și recupereze fișierele. Răspunsul la un astfel de mesaj este cel mai adesea suma de răscumpărare și adresa portofelului electronic.

Este computerul meu infectat cu un virus ransomware?

Este destul de ușor să determinați dacă un computer este infectat cu un virus de criptare sau nu. Acordați atenție extensiilor fișierelor personale, cum ar fi documente, fotografii, muzică etc. Dacă extensia s-a schimbat sau fișierele tale personale au dispărut, lăsând în urmă multe fișiere cu nume necunoscute, atunci computerul tău este infectat. În plus, un semn de infecție este prezența unui fișier numit HELP_YOUR_FILES sau README în directoarele dvs. Acest fișier va conține instrucțiuni pentru decriptarea fișierelor.

Dacă bănuiți că ați deschis un e-mail infectat cu un virus ransomware, dar nu există încă simptome de infecție, atunci nu opriți și nu reporniți computerul. Urmați pașii descriși în acest manual, secțiune. Repet încă o dată, este foarte important să nu opriți computerul în unele tipuri de ransomware, procesul de criptare a fișierelor este activat prima dată când porniți computerul după infectare!

Cum să decriptați fișierele criptate cu un virus ransomware?

Dacă se întâmplă acest dezastru, atunci nu trebuie să intrați în panică! Dar trebuie să știți că în cele mai multe cazuri nu există un decriptor gratuit. Acest lucru se datorează algoritmilor puternici de criptare utilizați de astfel de programe malware. Aceasta înseamnă că fără o cheie privată, este aproape imposibil să decriptezi fișierele. Utilizarea metodei de selectare a cheii nu este, de asemenea, o opțiune, din cauza lungimii mari a cheii. Prin urmare, din păcate, achitarea doar autorilor virusului a întregii sume solicitate este singura modalitate de a încerca să obțineți cheia de decriptare.

Desigur, nu există absolut nicio garanție că, după plată, autorii virusului vă vor contacta și vă vor furniza cheia necesară pentru a vă decripta fișierele. În plus, trebuie să înțelegi că, plătind bani dezvoltatorilor de viruși, tu însuți îi încurajezi să creeze noi viruși.

Cum să eliminați un virus ransomware?

Înainte de a începe, trebuie să știți că, începând să eliminați virusul și să încercați să restaurați singur fișierele, blocați capacitatea de a decripta fișierele plătind autorilor virusului suma solicitată de ei.

Instrumentul Kaspersky Virus Removal și Malwarebytes Anti-malware pot detecta diferite tipuri de viruși ransomware activi și îi vor elimina cu ușurință de pe computer, DAR nu pot recupera fișierele criptate.

5.1. Eliminați ransomware folosind Instrumentul de eliminare a virusurilor Kaspersky

În mod implicit, programul este configurat să recupereze toate tipurile de fișiere, dar pentru a accelera munca, se recomandă să lăsați doar tipurile de fișiere pe care trebuie să le recuperați. După ce ați finalizat selecția, faceți clic pe OK.

În partea de jos a ferestrei programului QPhotoRec, găsiți butonul Răsfoire și faceți clic pe el. Trebuie să selectați directorul în care vor fi salvate fișierele recuperate. Este recomandabil să folosiți un disc care nu conține fișiere criptate care necesită recuperare (puteți folosi o unitate flash sau o unitate externă).

Pentru a începe procedura de căutare și restaurare a copiilor originale ale fișierelor criptate, faceți clic pe butonul Căutare. Acest proces durează destul de mult, așa că aveți răbdare.

Când căutarea este completă, faceți clic pe butonul Ieșire. Acum deschideți folderul pe care l-ați ales pentru a salva fișierele recuperate.

Dosarul va conține directoare numite recup_dir.1, recup_dir.2, recup_dir.3 etc. Cu cât programul găsește mai multe fișiere, cu atât vor fi mai multe directoare. Pentru a găsi fișierele de care aveți nevoie, verificați toate directoarele unul câte unul. Pentru a facilita găsirea fișierului de care aveți nevoie într-un număr mare de fișiere recuperate, utilizați sistemul de căutare Windows încorporat (după conținutul fișierului) și, de asemenea, nu uitați de funcția de sortare a fișierelor în directoare. Puteți selecta data la care fișierul a fost modificat ca opțiune de sortare, deoarece QPhotoRec încearcă să restabilească această proprietate la restaurarea unui fișier.

Cum să preveniți un virus ransomware să vă infecteze computerul?

Majoritatea programelor antivirus moderne au deja un sistem de protecție încorporat împotriva pătrunderii și activării virușilor de criptare. Prin urmare, dacă nu aveți un program antivirus pe computer, asigurați-vă că îl instalați. Puteți afla cum să o alegeți citind aceasta.

Mai mult, există programe specializate de protecție. De exemplu, acesta este CryptoPrevent, mai multe detalii.

Câteva cuvinte finale

Urmând aceste instrucțiuni, computerul dvs. va fi șters de virusul ransomware. Dacă aveți întrebări sau aveți nevoie de ajutor, vă rugăm să ne contactați.

De obicei, malware-ul are ca scop obținerea controlului asupra unui computer, conectarea acestuia la o rețea zombie sau furtul datelor personale. Este posibil ca un utilizator neatent să nu observe mult timp că sistemul este infectat. Dar virușii de criptare, în special xtbl, funcționează complet diferit. Ei fac fișierele utilizatorului inutilizabile prin criptarea lor cu un algoritm complex și cerând o sumă mare de la proprietar pentru posibilitatea de a restaura informațiile.

Cauza problemei: virusul xtbl

Virusul ransomware xtbl și-a primit numele deoarece documentele utilizatorului criptate cu acesta primesc extensia .xtbl.

De obicei, codificatoarele lasă o cheie în corpul fișierului, astfel încât un program de decodor universal să poată restaura informațiile în forma sa originală. Totuși, virusul este destinat altor scopuri, așa că în loc de cheie, pe ecran apare o ofertă de a plăti o anumită sumă folosind detalii anonime.

Virusul ajunge pe computer prin e-mailuri trimise cu atașamente infectate, care sunt fișiere de aplicații de birou. După ce utilizatorul a deschis conținutul mesajului, malware-ul începe să caute fotografii, chei, videoclipuri, documente etc., iar apoi, folosind un algoritm complex original (criptare hibridă), le transformă în stocare xtbl.

Virusul folosește folderele de sistem pentru a-și stoca fișierele.

Virusul se adaugă pe lista de pornire. Pentru a face acest lucru, el adaugă intrări în registrul Windows în secțiunile:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Computerul infectat funcționează stabil, sistemul nu se blochează, dar există întotdeauna o aplicație mică (sau două) cu un nume neclar în RAM. Și folderele cu fișierele de lucru ale utilizatorului capătă un aspect ciudat.

Pe desktop apare un mesaj în locul economizorului de ecran:

Fișierele dvs. au fost criptate. Pentru a le decripta, trebuie să trimiteți codul la adresa de e-mail: [email protected](urmează codul). Veți primi apoi instrucțiuni suplimentare. Încercările independente de a decripta fișierele vor duce la distrugerea lor completă.

Același text este conținut în fișierul generat How to decript your files.txt. Adresa de e-mail, codul, suma solicitată se pot modifica.

Destul de des, unii escroci câștigă bani din alții - numărul portofelului electronic ransomware este inserat în corpul virusului și nu au nicio modalitate de a decripta fișierele. Deci, un utilizator credul, după ce a trimis bani, nu primește nimic în schimb.

De ce nu ar trebui să plătiți estorcatori

Este imposibil să fii de acord să cooperezi cu estorcatorii nu numai din cauza principiilor morale. Acest lucru este, de asemenea, nerezonabil din punct de vedere practic.

  1. Fraudă. Nu este un fapt că atacatorii vor putea să vă decripteze fișierele. Una dintre fotografiile presupus decriptate care vi s-au returnat nu servește drept dovezi - poate fi pur și simplu originalul furat înainte de criptare. Banii pe care i-ați plătit vor fi irosiți.
  2. Posibilitate de repetare. Confirmându-ți disponibilitatea de a plăti, vei deveni o pradă mai de dorit pentru un al doilea atac. Poate data viitoare fișierele dvs. vor avea o extensie diferită și un mesaj diferit va apărea pe ecranul de deschidere, dar banii vor merge către aceleași persoane.
  3. Confidențialitate. În timp ce fișierele sunt criptate, acestea se află pe computerul dvs. După ce ai fost de acord cu „răucătorii cinstiți”, vei fi obligat să le trimiți toate informațiile tale personale. Algoritmul nu prevede obținerea unei chei și decriptarea ei singur, ci doar trimiterea fișierelor către decodor.
  4. Infecția computerului. Computerul dvs. este încă infectat, așa că decriptarea fișierelor nu este o soluție completă la problemă.

Cum să vă protejați sistemul de un virus

Regulile universale pentru protejarea împotriva programelor malware și reducerea la minimum a daunelor vor ajuta și în acest caz.

  1. Atenție la conexiunile aleatorii. Evitați deschiderea e-mailurilor de la expeditori necunoscuți, inclusiv reclame și oferte bonus. Ca ultimă soluție, le puteți citi, salvând mai întâi atașamentul pe disc și scanându-l cu un antivirus.
  2. Folosiți protecție. Programele antivirus extind în mod constant biblioteci de coduri rău intenționate, astfel încât versiunea actuală a apărător nu va permite majorității virușilor să intre în computer.
  3. Distribuiți accesul. Virusul va face mult mai rău dacă intră printr-un cont de administrator. Este mai bine să lucrați în numele utilizatorului, reducând astfel drastic posibilitățile de infecție.
  4. Creați copii de rezervă. Informațiile importante trebuie copiate în mod regulat pe medii externe stocate separat de computer. De asemenea, nu uitați să creați puncte de restaurare Windows de rezervă.

Este posibil să recuperați informații criptate?

Vestea bună este că recuperarea datelor este posibilă. De rău: nu vei putea să o faci singur. Motivul pentru aceasta este particularitatea algoritmului de criptare, selectarea unei chei pentru care necesită mult mai multe resurse și cunoștințe acumulate decât are utilizatorul obișnuit. Din fericire, dezvoltatorii de antivirus pun un punct de onoare să se ocupe de fiecare bucată de malware, așa că chiar dacă în prezent nu pot face față ransomware-ului dvs., cu siguranță vor găsi o soluție într-o lună sau două. Va trebui să ai răbdare.

Din cauza necesității de a contacta specialiști, algoritmul de lucru cu un computer infectat se schimbă. Regula generală este: cu cât sunt mai puține modificări, cu atât mai bine. Antivirusurile determină metoda de tratament pe baza „caracteristicilor generice” ale malware-ului, astfel încât fișierele infectate sunt o sursă de informații importante pentru ei. Acestea ar trebui eliminate numai după ce problema principală a fost rezolvată.

A doua regulă: întrerupeți virusul cu orice preț. Poate că încă nu a corupt toate informațiile și există și urme ale ransomware-ului rămas în RAM, cu ajutorul căruia îl puteți identifica. Prin urmare, trebuie să opriți imediat computerul din rețea și să opriți laptopul apăsând lung butonul de rețea. De data aceasta, procedura standard de oprire „blândă”, care permite tuturor proceselor să se termine corect, nu va funcționa, deoarece una dintre ele este codificarea informațiilor dvs.

Recuperarea fișierelor criptate

Dacă ai reușit să închizi computerul

Dacă ați reușit să opriți computerul înainte de finalizarea procesului de criptare, nu trebuie să îl porniți singur. Duceți „pacientul” direct la specialiști; codificarea întreruptă crește semnificativ șansele de salvare a fișierelor personale. Aici puteți verifica mediul de stocare într-un mod sigur și puteți crea copii de rezervă. Este foarte probabil ca virusul în sine să fie cunoscut, așa că tratamentul pentru acesta va avea succes.

Dacă criptarea a fost finalizată

Din păcate, probabilitatea de a întrerupe cu succes procesul de criptare este foarte mică. De obicei, virusul reușește să codifice fișierele și să elimine urmele inutile din computer. Și acum aveți două probleme: Windows este încă infectat, iar fișierele dvs. personale s-au transformat într-o grămadă de caractere. Pentru a rezolva a doua problemă, trebuie să apelați la ajutorul producătorilor de software antivirus.

Dr.Web

Laboratorul Dr.Web oferă serviciile sale de decriptare gratuit doar deținătorilor de licențe comerciale. Cu alte cuvinte, dacă nu sunteți încă clientul lor, dar doriți să vă recuperați fișierele, va trebui să cumpărați programul. Având în vedere situația actuală, aceasta este o investiție necesară.

Următorul pas este să accesați site-ul web al producătorului și să completați formularul de introducere.

Dacă printre fișierele criptate există unele, ale căror copii sunt stocate pe medii externe, transferul lor va facilita foarte mult munca decodoarelor.

Kaspersky

Kaspersky Lab a dezvoltat propriul său utilitar de decriptare numit RectorDecryptor, care poate fi descărcat pe computer de pe site-ul oficial al companiei.

Fiecare versiune a sistemului de operare, inclusiv Windows 7, are propriul său utilitar. După descărcare, faceți clic pe butonul de pe ecran „Începe scanarea”.

Funcționarea serviciilor poate dura ceva timp dacă virusul este relativ nou. În acest caz, compania trimite de obicei o notificare corespunzătoare. Uneori, decriptarea poate dura câteva luni.

Alte servicii

Există tot mai multe servicii cu funcții similare, ceea ce indică cererea de servicii de decriptare. Algoritmul acțiunilor este același: accesați site-ul (de exemplu, https://decryptolocker.com/), înregistrați-vă și trimiteți fișierul criptat.

Programe de decriptare

Există o mulțime de oferte de „decriptoare universale” (plătite, desigur) pe Internet, dar utilitatea lor este discutabilă. Desigur, dacă producătorii de viruși scriu înșiși un decriptor, acesta va funcționa cu succes, dar același program va fi inutil pentru o altă aplicație rău intenționată. În plus, specialiștii care se confruntă în mod regulat cu viruși au, de obicei, un pachet complet de utilități necesare, astfel încât este probabil să aibă toate programele de lucru. Cumpărarea unui astfel de decriptor va fi cel mai probabil o risipă de bani.

Cum să decriptați fișierele folosind Kaspersky Lab - video

Auto-recuperarea informațiilor

Dacă din anumite motive nu puteți contacta specialiști terți, puteți încerca să recuperați singur informațiile. Să ne rezervăm că, în caz de eșec, fișierele se pot pierde definitiv.

Recuperarea fișierelor șterse

După criptare, virusul șterge fișierele originale. Cu toate acestea, Windows 7 stochează toate informațiile șterse de ceva timp sub forma unei așa-numite copie umbre.

ShadowExplorer este un utilitar conceput pentru a recupera fișierele din copiile umbră ale acestora.

PhotoRec

Utilitarul gratuit PhotoRec funcționează pe același principiu, dar în modul lot.

  1. Descărcați arhiva de pe site-ul web al dezvoltatorului și extrageți-o pe disc. Fișierul executabil se numește QPhotoRec_Win.
  2. După lansarea aplicației, o casetă de dialog va afișa o listă cu toate dispozitivele de disc disponibile. Selectați locația în care au fost stocate fișierele criptate și specificați calea pentru a salva copiile recuperate.

    Pentru stocare, este mai bine să folosiți medii externe, de exemplu, o unitate flash USB, deoarece fiecare scriere pe disc este periculoasă prin ștergerea copiilor umbre.

  3. După ce ați selectat directoarele dorite, faceți clic pe butonul Formate de fișiere.
  4. Meniul care se deschide este o listă de tipuri de fișiere pe care aplicația le poate recupera. În mod implicit, lângă fiecare există o bifă, dar pentru a accelera munca, puteți elimina casetele de selectare suplimentare, lăsând doar pe cele corespunzătoare tipurilor de fișiere restaurate. Când ați terminat de făcut selecția, apăsați butonul de ecran „OK”.
  5. Odată ce selecția este completă, tasta soft Căutare devine disponibilă. Faceți clic pe el. Procedura de recuperare este un proces care necesită forță de muncă, așa că aveți răbdare.
  6. După ce așteptați finalizarea procesului, apăsați butonul Ieșire de pe ecran și ieșiți din program.
  7. Fișierele recuperate se află în directorul specificat anterior și sunt împărțite în foldere cu aceleași nume recup_dir.1, recup_dir.2, recup_dir.3 și așa mai departe. Parcurgeți fiecare unul câte unul și întoarceți-le la numele lor anterioare.

Îndepărtarea virusului

De când virusul a intrat pe computer, programele de securitate instalate nu au făcut față sarcinii lor. Puteți încerca să utilizați ajutor extern.

Important! Eliminarea virusului dezinfectează computerul, dar nu restaurează fișierele criptate. În plus, instalarea de software nou poate deteriora sau șterge unele dintre copiile umbră ale fișierelor necesare pentru a le restaura. Prin urmare, este mai bine să instalați aplicații pe alte unități.

Instrumentul de eliminare a virusurilor Kaspersky

Un program gratuit de la un dezvoltator de software antivirus binecunoscut, care poate fi descărcat de pe site-ul web Kaspersky Lab. După lansarea Kaspersky Virus Removal Tool, acesta vă solicită imediat să începeți scanarea.

După ce faceți clic pe butonul mare de pe ecran „Începe scanarea”, programul începe să scaneze computerul.

Tot ce rămâne este să așteptați până când scanarea este finalizată și să eliminați oaspeții neinvitați găsiți.

Malwarebytes Anti-malware

Un alt dezvoltator de software antivirus care oferă o versiune gratuită a scanerului. Algoritmul acțiunilor este același:

  1. Descărcați fișierul de instalare pentru Malwarebytes Anti-malware de pe pagina oficială a producătorului, apoi rulați programul de instalare răspunzând la întrebări și făcând clic pe butonul „Următorul”.
  2. Fereastra principală vă va solicita să actualizați imediat programul (o procedură utilă care reîmprospătează baza de date a virușilor). După aceasta, începeți scanarea făcând clic pe butonul corespunzător.
  3. Malwarebytes Anti-malware scanează sistemul pas cu pas, afișând rezultate intermediare pe ecran.
  4. Virușii găsiți, inclusiv ransomware, sunt afișați în fereastra finală. Scăpați de ele făcând clic pe butonul de pe ecran „Eliminați selecția”.

    Pentru a elimina corect unele aplicații rău intenționate, Malwarebytes Anti-malware vă va sugera să reporniți sistemul, trebuie să fiți de acord cu acest lucru. După reluarea Windows, antivirusul va continua curățarea.

Ce să nu faci

Virusul XTBL, ca și alți viruși de criptare, provoacă daune atât sistemului, cât și informațiilor utilizatorului. Prin urmare, pentru a reduce posibilele daune, ar trebui luate câteva măsuri de precauție:

  1. Nu așteptați ca criptarea să se termine. Dacă criptarea fișierelor a început sub ochii tăi, nu ar trebui să așteptați să se termine sau să încercați să întrerupeți procesul folosind software-ul. Opriți imediat alimentarea computerului și apelați un specialist.
  2. Nu încercați să eliminați singur virusul dacă aveți încredere în profesioniști.
  3. Nu reinstalați sistemul până la finalizarea tratamentului. Virusul va infecta în siguranță noul sistem.
  4. Nu redenumiți fișierele criptate. Acest lucru nu va face decât să complice munca decodorului.
  5. Nu încercați să citiți fișierele infectate de pe alt computer până când virusul nu este îndepărtat. Acest lucru poate duce la răspândirea infecției.
  6. Nu plătiți estorcatorii. Acest lucru este inutil și încurajează creatorii de viruși și escrocii.
  7. Nu uita de prevenire. Instalarea unui antivirus, backup-uri regulate și crearea de puncte de restaurare vor reduce semnificativ posibilele daune cauzate de malware.

Tratarea unui computer infectat cu un virus de criptare este o procedură lungă și nu întotdeauna reușită. Prin urmare, este atât de important să luați măsuri de precauție atunci când obțineți informații din rețea și lucrați cu medii externe neverificate.

Apărând cu aproximativ 8-10 ani în urmă, virușii de criptare au câștigat acum o popularitate enormă printre diferitele tipuri de escroci de computere.

Experții atribuie acest lucru apariției programelor de construcție disponibile gratuit, folosindu-se de care chiar și un specialist slab poate asambla un virus de computer cu proprietăți specificate.

Cum funcționează un virus de criptare?

Cel mai adesea, un virus de criptare este introdus în computerul victimei prin poștă. Compania primește o scrisoare trimisă presupus de către un solicitant de locuri de muncă, potențial partener sau cumpărător, dar care conține un fisier pdf cu virus.

Când un angajat al companiei deschide un e-mail, virusul este inserat în lista de programe de pornire. După ce reporniți computerul, acesta pornește, redenumește și criptează fișierele, apoi se autodistruge.

Adesea, e-mailurile infectate sunt deghizate în mesaje de la autoritățile fiscale, agențiile de aplicare a legii, băncile etc.

Într-un director cu fișiere deteriorate, se găsește o scrisoare care afirmă că informațiile sunt criptate într-un mod sigur, rezistent la criptografie și nu pot fi decriptate independent fără pierderea permanentă a fișierelor.


Dacă doriți să o restaurați, trebuie să transferați o anumită sumă în perioada specificată pentru a primi cheia de decriptare.

Este posibil să gestionați decriptarea fișierelor pe cont propriu?

Cel mai adesea, ransomware-ul folosește un virus în scopurile lor, pe care Doctor Web l-a numit Troian.Encoder. Convertește fișierele prezente pe computerul victimei dându-le extensia .criptă. Aproape toate formatele comune de fișiere text, imagini, piese audio și fișiere comprimate pot fi criptate.

Pentru a restaura fișierele criptate, specialiștii companiei au creat un utilitar te19decrypt. Astăzi este disponibil gratuit, de unde orice utilizator de internet îl poate descărca. Acesta este un program mic, ocupând doar 233 KB. După descărcare, trebuie să:

- în fereastra care se deschide, faceți clic pe butonul "Continua" ;

- dacă apare un mesaj "Eroare" , completat de intrarea „Nu pot obține fișierul cheie [numele fișierului]. Doriți să specificați manual locația acestuia?", apăsați butonul Bine;

- în fereastra care apare "Deschide" specificați calea către fișier criptat.txt;

— apoi va începe procesul de decriptare.


Nu ar trebui să ștergeți niciodată fișierul criptat.txtînainte de a rula utilitarul de decriptare, deoarece pierderea acestuia va face imposibilă restaurarea informațiilor criptate.

Programul de decriptare RectorDecryptor

Pentru a restaura fișierele criptate, mulți oameni folosesc programul special RectorDecryptor. Trebuie să lucrați cu el după cum urmează:

- descărcați programul RectorDecryptor, dacă nu vă stă la dispoziție;

- eliminați toate programele din lista de pornire, cu excepția antivirusului;

- reporniți computerul;

— uitați-vă prin lista de fișiere, evidențiați-le pe cele suspecte, în special cele care nu au informații despre producător;

— ștergeți fișierele suspecte care pot conține un virus;

- ștergeți memoria cache a browserului și folderele temporare folosind programul CCleaner sau similar;

- lansare RectorDecryptor, indicați fișierul criptat, precum și extensia acestuia, apoi faceți clic pe butonul „Începe verificarea” ;

— în cele mai recente versiuni ale programului, puteți specifica doar numele fișierului, apoi faceți clic "Deschide" ;

— așteptați până când fișierul este decriptat și treceți la următorul.

Următorul program RectorDecryptor El însuși continuă să scaneze toate fișierele aflate pe computer, inclusiv pe cele aflate pe medii amovibile.


Decriptarea poate dura câteva ore, în funcție de numărul de fișiere deteriorate și de performanța computerului. Informațiile recuperate sunt scrise în același director în care se aflau înainte.

Puteți indica necesitatea ștergerii materialului criptat după decriptare bifând caseta de lângă cererea corespunzătoare. Dar utilizatorii experimentați sfătuiesc să nu facă acest lucru, deoarece dacă decriptarea nu reușește, veți pierde complet capacitatea de a vă recupera datele.