Recuperarea fișierelor după un virus ransomware. Cum să eliminați ransomware.A1criptați și să recuperați datele

Dacă apare pe computer mesaj text, care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea, deoarece acest program se bazează de obicei pe unele inofensive utilitate gratuită criptare. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suport tehnic pentru Kaspersky Lab, Dr.Web și altele firme celebre, angajată în dezvoltarea de software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa doar cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky Securitate Internetși Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computer, atunci chiar și după acțiunea unui virus ransomware există șansa de a reveni fișierele la normal folosind copii umbră fișiere. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc să o facă din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

1. Deschide Proprietăți computer.
2. Din meniul din stânga, selectați Protecție sistem.
   
3. Selectați unitatea C și faceți clic pe „Configurare”.
4. Selectați restabiliți setările și versiunile anterioare fișiere. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția unui virus de criptare a fișierelor, atunci după curățarea computerului cod rău intenționat veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.

Astăzi, sunt cunoscute multe tipuri de ransomware. Compania de antivirus Doctor Web luptă cu succes cu astfel de ransomware de mult timp: în unele cazuri, fișierele criptate de troian pot fi recuperate. Acest lucru este valabil și pentru codificatorul cunoscut sub numele de CryptXXX - specialiștii Doctor Web pot decripta fișierele deteriorate de acest troian dacă au fost criptate înainte de începutul lunii iunie 2016.

Programul malware Trojan.Encoder.4393, cunoscut și sub numele de CryptXXX, este un reprezentant tipic al unui grup mare de troieni codificatori. Acest ransomware are mai multe versiuni și este distribuit de atacatori din întreaga lume. Pentru a crește profiturile din activitățile lor ilegale, scriitorii de viruși s-au organizat serviciu special pentru decriptarea plătită a fișierelor CryptXXX deteriorate, plătind un anumit procent către distribuitorii troianului. Toate copiile CryptXXX accesează un singur server de control, iar site-urile care oferă decriptare se află în retea anonima TOR. Succes program de afiliere, aparent, explică parțial amploarea geografică a cazurilor cunoscute de infecție, precum și popularitatea ridicată a CryptXXX în rândul infractorilor cibernetici. Fișierele criptate de troian primesc extensia *.crypt, iar fișierele cu cereri de ransomware sunt denumite de_crypt_readme.txt, de_crypt_readme.html și de_crypt_readme.png.

Dacă sunteți victima acestui malware și fișierele de pe computerul dvs. au fost criptate înainte de începutul lunii iunie 2016, este posibil să recuperați informațiile. Succesul acestei operațiuni depinde de o serie de factori și în mare măsură- din acțiunile utilizatorului însuși.

• Nu încercați să eliminați niciun fișier de pe computer sau să reinstalați sistem de operareși, de asemenea, nu utilizați computerul infectat până când nu primiți instrucțiuni de la serviciu suport tehnic Compania Doctor Web.
• Dacă ai început scanare antivirus, nu întreprindeți nicio măsură pentru a trata sau elimina detectat malware- pot fi necesare specialiștilor în procesul de căutare a unei chei pentru decriptarea fișierelor.
• Încercați să vă amintiți cât mai mult posibil mai multe informații despre circumstanțele infecției: aceasta se aplică mesajelor pe care le-ați primit e-mail e-mailuri suspecte, programe descărcate de pe Internet, site-uri pe care le-ați vizitat.
• Dacă mai aveți o scrisoare cu atașament, după deschiderea căreia fișierele de pe computerul dvs. sunt criptate, nu o ștergeți: această scrisoare ar trebui să ajute specialiștii să determine versiunea troianului care a pătruns în computerul dvs.

Pentru a decripta fișierele deteriorate ca urmare a CryptXXX, utilizați pagina de servicii speciale de pe site-ul web al companiei antivirus Doctor Web. Ajutor gratuit decriptarea fișierelor este disponibilă numai pentru deținătorii de licență Dr.Web care aveau instalat Dr.Web în momentul infectării Spațiu de securitate(pentru Windows), Dr.Web Anti-virus pentru OS X sau Linux nu mai mică decât versiunea 10 sau Dr.Web Enterprise Security Suite (versiunea 6+). Alte victime pot beneficia serviciu cu plată Dr.Web Rescue Pack prin

În urmă cu aproximativ o săptămână sau două, a apărut pe Internet un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după virusul ransomware crypted000007 și să restabiliți fișierele criptate. ÎN în acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact ca no_more_ransom. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnici folosite inginerie socială astfel încât utilizatorul să devină cu siguranță interesat de scrisoare și să o deschidă. În cazul meu, scrisoarea vorbea despre un fel de instanță și informatii importante asupra cazului din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras de la Curtea de Arbitraj din Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, atunci copii de rezervă fișiere în umbră copii ale Windows vor fi șterse și recuperarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. ÎN acest ransomware aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să accepte și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere a copiilor umbre fără să mă opresc.

De obicei, după 5-10 oferte s-au oprit.
Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze alertele de Control cont utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant cont administrator de computer, cu excepția cazului în care există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor fi mulți fișiere text cu acelasi continut.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Browser Tor prin link-ul: https://www.torproject.org/download/download-easy.html.en Link adresa Browser Tor introduceți adresa: http://cryptsen7fo43rr6.onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul dvs au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tu încă Doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți faceți-o în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http://cryptsen7fo43rr6 .ceapa/Presă Intră și apoi se va încărca pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. Am dat si peste urmatoarele adrese:

• [email protected]
• [email protected]

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare ca în calculator local, și pe unitățile de rețea. Un virus ransomware poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, criptograful nu a avut timp să cripteze totul unitate de rețea aproximativ 100 gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de cineva care se pricepe sisteme informatice. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiuni incorecte pe în această etapă poate complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia fișierului va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arăta cam așa.

Într-o astfel de situație, va fi dificil să evaluezi amploarea tragediei, deoarece nu îți vei putea aminti pe deplin ce ai avut în viața ta. foldere diferite. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Și dacă ai fi criptat și folderele de rețea si nu copii de rezervă complete, atunci acest lucru poate opri complet munca întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai mare întrebarea principală- cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul dvs., șansele de decriptare a datelor scad. Dacă trebuie să restaurați fișierele cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptare completă fișiere, este și mai profitabil pentru el să se ștergă și să dispară, astfel încât este mai dificil să investigheze incidentul și să decripteze fișierele.

Descrie îndepărtarea manuală virusul este dificil, deși am încercat să fac asta înainte, dar văd că cel mai adesea este inutil. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant într-o săptămână sau două. De obicei, virușii sunt trimiși prin intermediul merge la postaîn valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Ei ajută remedii universale, care verifică executarea automată și detectează activități suspecte în folderele de sistem.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

1. Kaspersky Eliminarea virusului Instrument - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați manual virusul. Am dat metoda de îndepărtare folosind exemplul virusului da Vinci și spora, puteți căuta acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
2. Găsim procesul de virus, deschidem folderul în care se află și îl ștergem.
3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere se pune în primul rând atunci când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina principală faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista un decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptoare pentru descărcare pagină separată- https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care în rețea au apărut decriptoare pentru unele modificări ale criptoarelor. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementare tehnica criptarea nu vă permite să decriptați fișiere fără o cheie sau un decriptor, pe care îl are doar autorul codificatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișierele folosind metode improvizate. Acestea includ:

• Instrument copii umbră ferestre.
• Programe de recuperare a datelor șterse

În primul rând, să verificăm dacă avem copiile umbră activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă nu ați confirmat în timpul infecției Solicitare UAC pentru a șterge fișiere în copii umbre, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai pe larg la începutul poveștii, când am vorbit despre munca virusului.

Pentru recuperare convenabilă fișiere din copii umbră, vă sugerez să utilizați program gratuitîn acest scop - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Se va deschide ultima copie fișierele și rădăcina unității C. În stânga colțul de sus puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verifica exemplare diferite pentru disponibilitate fisierele necesare. Comparați după date, unde mai multe ultima versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am dat clic clic dreapta mouse-ul, a selectat Export și a indicat folderul în care să le restaurați.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi mai multe versiunea veche, decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare fișiere șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansa versiune grafică programul execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau externă hard disk pentru aceasta.

Procesul de căutare va dura mult. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, în această listă puteți găsi câteva fișiere utile. Nu există garanții aici, ceea ce vei găsi este ceea ce vei găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei atunci când trebuie să le refac cantitate maxima fisiere:

• R.saver
• Starus Recuperarea fișierelor
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

Iată rezultatul discuție detaliată ransomware CRYPTED000007 pe forum Antivirus Eset nod32. Există deja o mulțime de solicitări, dar antivirusul nu poate face nimic.

În mod tradițional, antivirusurile ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Se dovedește noua versiune ransomware, antivirusurile nu răspund la acesta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanță tehnică pe acest subiect, care nu vă permite să răspundeți în mod adecvat și să împiedicați criptarea fișiere utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să vă oferiți oprirea procesului.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să eviți daune materiale și morale? Există câteva sfaturi simple și eficiente:

1. Backup! Copiere de rezervă a tuturor datelor importante. Și nu doar o copie de rezervă, ci o rezervă la care nu există acces permanent. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de corespondență noua modificare criptograf
3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
4. Nu deschideți neatenționat link-urile trimise de prietenii dvs. prin social media sau mesageri. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
5. Porniți afişajul ferestrelor extensii de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Videoclip despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.

Nu este cel mai plăcut eveniment când vezi cuvintele „atenție tuturor” pe monitor fișiere importante Toate discurile au fost criptate cu crypted000007.” Toate victimele sunt interesate de ce să facă dacă toate fișierele sunt criptate cu troianul CryptXXXŞi extensia de fișier a devenit crypted000007? Laboratoarele antivirus identifică fișierul ca Trojan.Encoder.20, altele ca Trojan.Encoder.858. Acest troian este cunoscut și sub numele de Shade și XTBL. Când am încercat să analizăm fișierele, s-a constatat că aceasta era criptare GPG.

Dosarul este distribuit sub masca de contracte, facturi, inspecții, audituri contabile - în general, se pune accent pe companiile care, spre deosebire de indivizii au bani.

Ce fișiere sunt criptate

Troianul criptează absolut toate fișierele (de orice extensii/formate), transformându-le în crypted000007, crypted0000078 sau .no_more_ransom, lăsându-l pe desktop și disc de sistem o grămadă de fișiere README, unde în engleză și rusă vă cer să le contactați prin e-mail:

• Si altele

Poșta lor este în continuă schimbare. În continuare, vi se va cere să plătiți o răscumpărare și să primiți un program de decriptare a fișierelor. Nu încurajați infractorii cibernetici și nu plătiți o răscumpărare, apropo, criminalii stoarc taxe destul de importante în Bitcoin, în funcție de țara dvs. de reședință!

Nu plătiți companii de decriptare, sunt doar intermediari, cumpără cheia de la hackeri și ți-o vând, dar la un preț mai mare. Îmi amintesc imediat

„Nu îl cunoști pe Panikovski. Panikovsky vă va vinde pe toți, vă va cumpăra și vă va vinde din nou, dar la un preț mai mare.”

Cum să decriptezi fișierele?

Nu pierdeți timpul recuperând fișiere, așa cum a arătat practica, folosind programele Qphotorec, Recuperarea datelor Pro nu aduce rezultate pozitive, la fel ca și încercarea recuperați fișierele prin copii umbre, poate că virusul le elimină.

Faceți copii de rezervă ale fișierelor dvs. criptate și utilizați următoarele decriptoare preluate de pe site-ul web nomoreransom:

În viitor, încercați să faceți copii de siguranță ale datelor dvs. Dacă nu puteți decripta fișierele folosind aceste decriptoare, trimiteți-le la laboratoare antivirus conform instrucțiunilor noastre.

Rezultatul trist este acesta: antivirus licențiat nu vă va salva de „băieți serioși”, faceți copii de rezervă, lucrați sub drepturi limitate. Chiar am nevoie de ea bun specialist specialist sau specialist în recuperare de date securitatea calculatorului, care cunoaște bine algoritmii de criptare. Mă tem că în ambele cazuri astfel de servicii pot fi foarte scumpe, cel puțin 300 de dolari.

Apărut cu aproximativ 8-10 ani în urmă, criptarea virușilor astăzi au câștigat o popularitate enormă printre diferitele tipuri de escroci de computer.

Experții atribuie acest lucru aspectului în acces gratuit programe de constructor, cu ajutorul cărora chiar și un specialist slab le poate asambla virus informatic cu proprietăți specificate.

Cum funcționează un virus de criptare?

Cel mai adesea, un virus de criptare este introdus în computerul victimei folosind lista de corespondență. Compania primește o scrisoare presupus trimisă de un solicitant de locuri de muncă, potențial partener sau de către cumpărător, dar care conține un implant implantat fisier pdf cu virus.

Când un angajat al companiei deschide un e-mail, virusul este inserat în lista de programe de pornire. După ce reporniți computerul, acesta pornește, redenumește și criptează fișierele, apoi se autodistruge.

Adesea, e-mailurile infectate sunt deghizate în mesaje de la autoritățile fiscale, agențiile de aplicare a legii, bănci etc.

În catalogul cu fișiere deteriorate se descoperă o scrisoare în care se raportează că informația este criptată într-un mod securizat, criptorezistent și nu poate fi decriptată independent fără pierderea permanentă a fișierelor.


Dacă doriți să o restaurați, trebuie să transferați o anumită sumă în perioada specificată pentru a primi cheia de decriptare.

Este posibil să gestionați decriptarea fișierelor pe cont propriu?

Cel mai adesea, ransomware-ul folosește un virus în scopurile lor, pe care Doctor Web l-a numit Troian.Encoder. Convertește fișierele prezente pe computerul victimei dându-le extensia .criptă. Aproape toate formatele comune de fișiere text, imagini, piste audio, fișiere comprimate.

Pentru a restaura fișierele criptate, specialiștii companiei au creat un utilitar te19decrypt. Astăzi ea este în acces gratuit, de unde îl poate descărca orice utilizator de internet. Acest program mic, ocupând doar 233 KB. După descărcare, trebuie să:

- în fereastra care se deschide, faceți clic pe butonul "Continua" ;

- dacă apare un mesaj "Eroare" , completat de intrarea „Nu pot primi fişier cheie[nume de fișier]. Doriți să specificați manual locația acestuia?", apăsați butonul Bine;

- în fereastra care apare "Deschide" specificați calea către fișier criptat.txt;

— apoi va începe procesul de decriptare.


Nu ar trebui să ștergeți niciodată fișierul criptat.txtînainte de a rula utilitarul de decriptare, deoarece pierderea acestuia va face imposibilă restaurarea informațiilor criptate.

Programul de decriptare RectorDecryptor

Pentru a recupera fișiere criptate, mulți oameni folosesc program special RectorDecryptor. Trebuie să lucrați cu el după cum urmează:

- descărcați programul RectorDecryptor, dacă nu vă stă la dispoziție;

- eliminați toate programele din lista de pornire, cu excepția antivirusului;

- reporniți computerul;

— uitați-vă prin lista de fișiere, evidențiați-le pe cele suspecte, în special cele care nu au informații despre producător;

- șterge fișiere suspecte, care poate conține un virus;

- ștergeți memoria cache a browserului și folderele temporare folosind programul CCleaner sau similar;

- lansare RectorDecryptor, indicați fișierul criptat, precum și extensia acestuia, apoi faceți clic pe butonul „Începe verificarea” ;

- V ultimele versiuni program, puteți specifica doar numele fișierului, apoi apăsați "Deschide" ;

— așteptați până când fișierul este decriptat și treceți la următorul.

Următorul program RectorDecryptor El însuși continuă să scaneze toate fișierele aflate pe computer, inclusiv pe cele aflate pe medii amovibile.


Decriptarea poate dura câteva ore, în funcție de numărul de fișiere deteriorate și de performanța computerului. Informațiile recuperate sunt scrise în același director în care se aflau înainte.

Puteți indica necesitatea ștergerii materialului criptat după decriptare bifând caseta de lângă cererea corespunzătoare. Dar utilizatori experimentați Se recomandă să nu faceți acest lucru, deoarece dacă decriptarea nu reușește, veți pierde complet capacitatea de a vă recupera datele.