Thực đơn
trang chủẢnh và video

Giải mã Kaspersky. Cách khôi phục file bị mã hóa (Hướng dẫn). Hoặc bộ giải mã cho một loại tệp được mã hóa cụ thể được đặt

Bạn đã trở thành nạn nhân của ransomware? Đừng trả tiền chuộc!

Bộ giải mã miễn phí của chúng tôi sẽ giúp bạn lấy lại quyền truy cập vào các tệp bị khóa nhiều loại khác nhau phần mềm được mô tả bên dưới yêu cầu tiền chuộc. Chỉ cần chọn tiêu đề để xem các dấu hiệu lây nhiễm và nhận trợ giúp miễn phí.

Bạn muốn tránh nhiễm ransomware trong tương lai?

Tủ khóa Alcatraz

Alcatraz Locker là một trong những chương trình ransomware được phát hiện lần đầu tiên vào giữa tháng 11 năm 2016. Nó sử dụng phương pháp AES 256 kết hợp với mã hóa Base64 để mã hóa tập tin.

Thay đổi tên tập tin.

Các tập tin được mã hóa nhận được phần mở rộng .Alcatraz.

Tin nhắn đòi tiền chuộc.

tiền chuộc.html» trên máy tính để bàn:

Nếu Alcatraz đã mã hóa các tập tin của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí Mở khóa.

tận thế

Apocalypse là một loại ransomware được phát hiện lần đầu tiên vào tháng 6 năm 2016. Các dấu hiệu lây nhiễm được mô tả dưới đây.

Thay đổi tên tập tin.

Apocalypse thêm tiện ích mở rộng .được mã hóa, .FuckYourData, .đã khóa, .Encryptedfile hoặc .SecureCrypted Luận văn.doc.locked.)

Tin nhắn đòi tiền chuộc.

Khi mở một tập tin có phần mở rộng .How_To_Decrypt.txt, .README.Txt, .contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt hoặc .Where_my_files.txt(Ví dụ, Thesis.doc.How_To_Decrypt.txt) một thông báo tương tự như sau sẽ xuất hiện:

Khối xấu

BadBlock là một loại ransomware được phát hiện lần đầu tiên vào tháng 5 năm 2016. Các dấu hiệu lây nhiễm được mô tả dưới đây.

Thay đổi tên tập tin.

BadBlock không đổi tên tập tin.

Tin nhắn đòi tiền chuộc.

Sau khi mã hóa các tập tin của bạn, Trojan BadBlock hiển thị một trong các thông báo sau (sử dụng tập tin ví dụ Trợ giúp Giải mã.html):

Nếu BadBlock đã mã hóa các tập tin của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

Bart

Bart là một loại ransomware được phát hiện lần đầu tiên vào cuối tháng 6 năm 2016. Các dấu hiệu lây nhiễm được mô tả dưới đây.

Thay đổi tên tập tin.

Chương trình Bart thêm văn bản .bart.zipở cuối tên tệp (ví dụ: thay vì Thesis.doc, tệp sẽ được gọi Luận văn.docx.bart.zip). Kho lưu trữ ZIP được mã hóa này chứa các tệp nguồn.

Tin nhắn đòi tiền chuộc.

Sau khi mã hóa các tập tin, Bart thay đổi hình nền màn hình như bên dưới. Văn bản trong hình ảnh này cũng có thể được sử dụng để nhận dạng chương trình Bart. Văn bản được lưu trữ trên màn hình trong các tập tin phục hồi.bmprecovery.txt.

Nếu Bart đã mã hóa các tệp của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

Lòng biết ơn. Chúng tôi xin cảm ơn Peter Conrad, tác giả của chương trình PkCrack, người đã cho phép chúng tôi sử dụng thư viện của anh ấy trong bộ giải mã Trojan ransomware Bart.

tiền điện tử888

Crypt888 (còn được gọi là Mircop) là một loại ransomware được phát hiện lần đầu tiên vào tháng 6 năm 2016. Các dấu hiệu lây nhiễm được mô tả dưới đây.

Thay đổi tên tập tin.

Chương trình Crypt888 thêm văn bản Khóa. vào đầu tên tệp (ví dụ: thay vì Thesis.doc, tệp sẽ được gọi Lock.Thesis.doc).

Tin nhắn đòi tiền chuộc.

Sau khi mã hóa các tập tin của bạn, Crypt888 thay đổi hình nền màn hình của bạn thành một trong các tùy chọn bên dưới.

Nếu Crypt888 đã mã hóa các tập tin của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

CryptoMix (phiên bản độc lập)

CryptoMix (còn được gọi là CryptFile2 và Zeta) là một trong những chương trình ransomware được chú ý lần đầu tiên vào tháng 3 năm 2016. Vào đầu năm 2017, một loại CryptoMix mới đã xuất hiện, được gọi là CryptoShield. Cả hai phiên bản của chương trình đều mã hóa tệp bằng thuật toán AES256 bằng khóa mã hóa duy nhất, được tải xuống từ máy chủ từ xa. Nếu máy chủ không khả dụng hoặc người dùng không có kết nối Internet, phần mềm ransomware sẽ mã hóa các tệp bằng khóa cố định (“khóa ngoại tuyến”).

Ghi chú. Bộ giải mã được đề xuất chỉ có khả năng mở khóa các tệp được mã hóa bằng “khóa ngoại tuyến”. Trong trường hợp khóa ngoại tuyến không được sử dụng để mã hóa tệp, bộ giải mã của chúng tôi sẽ không thể khôi phục quyền truy cập vào tệp.

Thay đổi tên tập tin.

.CRYPTOSHIELD, .rdmk, lesli, .scl, .mã số, .rmd hoặc .rscl.

Tin nhắn đòi tiền chuộc.

Sau khi mã hóa các tệp trên PC, bạn có thể tìm thấy các tệp sau:

Nếu CryptoMix đã mã hóa các tệp của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

CrySiS

CrySiS (JohnyCryptor, Virus-Encode hay Aura) là một trong những chương trình ransomware được chú ý lần đầu tiên vào tháng 9 năm 2015. Nó sử dụng mã hóa AES256 kết hợp với phương pháp bất đối xứng Mã hóa RSA1024.

Thay đổi tên tập tin.

Các tệp được mã hóa có một trong các phần mở rộng sau:
[email được bảo vệ] ,
[email được bảo vệ] ,
[email được bảo vệ] ,
[email được bảo vệ] ,
.{[email được bảo vệ]).CrySiS,
.{[email được bảo vệ]).xtbl,
.{[email được bảo vệ]).xtbl,
.{[email được bảo vệ]).xtbl

Tin nhắn đòi tiền chuộc.

Sau khi mã hóa các tập tin của bạn, chương trình sẽ hiển thị một trong các thông báo sau. Thông báo này được chứa trong một tập tin có tên " Hướng dẫn giải mã.txt», « Hướng dẫn giải mã.txt" hoặc "* README.txt"trên máy tính để bàn.

Nếu CrySiS đã mã hóa các tập tin của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

Khối cầu

Globe là một trong những ransomware được phát hiện lần đầu tiên vào tháng 8 năm 2016. Nó sử dụng phương pháp mã hóa RC4 hoặc Blowfish. Các dấu hiệu nhiễm trùng được mô tả dưới đây.

Thay đổi tên tập tin.

Globe thêm một trong các phần mở rộng sau vào tên tệp: .ACRYPT, .GHỗ trợ, .khối màu đen, .dll555, .duhust, .khai thác, .Đông cứng, .khối cầu, .ghỗ trợ, .kyra, .purge, .raid, [email được bảo vệ] , .xtbl, .zendrz, .zendr hoặc .hnyear. Hơn nữa, một số phiên bản của chương trình mã hóa chính tên tệp.

Tin nhắn đòi tiền chuộc.

Sau khi mã hóa các tập tin, chương trình hiển thị thông báo sau, nằm trong tập tin “ Cách khôi phục tập tin.hta" hoặc " Hãy đọc cho tôi.hta»):

Nếu Globe đã mã hóa các tập tin của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

ẨnTear

HiddenTear là một trong những chương trình ransomware đầu tiên có mã nguồn mở, được lưu trữ trên GitHub và được biết đến từ tháng 8 năm 2015. Kể từ đó, hàng trăm biến thể của chương trình HiddenTear đã được những kẻ lừa đảo tạo ra bằng mã nguồn mở. HiddenTear sử dụng mã hóa AES.

Thay đổi tên tập tin.

Các tệp được mã hóa sẽ nhận được một trong các phần mở rộng sau (nhưng có thể có các phần mở rộng khác): .đã khóa, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .khóa, .saeid, .mở khóa nó, .razy, .mecpt, .monstro, .lok, .암호화됨 , .8lock8, .chết tiệt, .flyper, .kratos, .crypted, .CAZZO, .doomed.

Tin nhắn đòi tiền chuộc.

Khi tệp được mã hóa, tệp văn bản sẽ xuất hiện trên màn hình chính của người dùng (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Các tùy chọn khác nhau cũng có thể hiển thị thông báo đòi tiền chuộc:

Nếu HiddenTear đã mã hóa các tệp của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi để mở khóa.

ghép hình

Jigsaw là một trong những chương trình ransomware đã xuất hiện từ tháng 3 năm 2016. Cô được đặt theo tên của nhân vật phản diện trong phim có biệt danh là "Jigsaw Killer". Một số biến thể của chương trình này sử dụng hình ảnh của nhân vật này trên màn hình với yêu cầu mở khóa tiền chuộc.

Thay đổi tên tập tin.

Các tệp được mã hóa nhận được một trong các phần mở rộng sau: .kkk, .btc, .gws, .J, .được mã hóa, .porno, .tiền chuộc, .pornoransom, .sử thi, .XYZ, .versiegelt, .được mã hóa, .payb, .thanh toán, .payms, .paymds, .paymt, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .vui vẻ, .im lặng, [email được bảo vệ] hoặc .gefickt.

Tin nhắn đòi tiền chuộc.

Khi các tệp được mã hóa, một trong những màn hình bên dưới sẽ được hiển thị:

Nếu Jigsaw đã mã hóa các tập tin của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

Quân đoàn

Legion là một loại ransomware được phát hiện lần đầu tiên vào tháng 6 năm 2016. Sau đây là các triệu chứng của sự lây nhiễm.

Thay đổi tên tập tin.

Legion thêm một cái gì đó như [email được bảo vệ]$.quân đoàn hoặc [email được bảo vệ]$.cbfở cuối tên tập tin. (Ví dụ: thay vì Thesis.doc, tệp sẽ được gọi [email được bảo vệ]$.quân đoàn.)

Tin nhắn đòi tiền chuộc.

Sau khi mã hóa các tệp của bạn, Legion sẽ thay đổi nền màn hình của bạn và hiển thị một cửa sổ bật lên tương tự như sau:

Nếu Legion đã mã hóa các tệp của bạn, hãy nhấp vào đây để tải xuống bộ giải mã miễn phí của chúng tôi nhằm mở khóa nó.

Xuất hiện khoảng 8-10 năm trước, virus mã hóa Hôm nayđã trở nên phổ biến rộng rãi trong số nhiều loại kẻ lừa đảo máy tính.

Các chuyên gia cho rằng điều này là do sự xuất hiện của các chương trình xây dựng có sẵn miễn phí, mà ngay cả một chuyên gia yếu cũng có thể lắp ráp được. virus máy tính với các thuộc tính được chỉ định.

Virus mã hóa hoạt động như thế nào?

Thông thường, virus mã hóa được đưa vào máy tính của nạn nhân bằng cách sử dụng danh sách gửi thư. Công ty nhận được một lá thư được cho là do người xin việc gửi, đối tác tiềm năng hoặc bởi người mua, nhưng có chứa một thiết bị cấy ghép file PDF với vi-rút.

Khi nhân viên công ty mở email, virus sẽ được đưa vào danh sách các chương trình khởi động. Sau khi bạn khởi động lại máy tính, nó sẽ khởi động, đổi tên và mã hóa các tập tin, sau đó tự hủy.

Các email bị nhiễm thường được ngụy trang dưới dạng tin nhắn từ cơ quan thuế, cơ quan thực thi pháp luật, ngân hàng, v.v.

Trong danh mục có tập tin bị hỏng một lá thư được phát hiện trong đó có thông báo rằng thông tin được mã hóa theo cách an toàn, chống mật mã và không thể giải mã độc lập nếu không bị mất tập tin vĩnh viễn.


Nếu muốn khôi phục nó, bạn cần chuyển một số tiền nhất định trong khoảng thời gian được chỉ định để nhận được khóa giải mã.

Có thể tự mình xử lý việc giải mã tập tin không?

Thông thường, ransomware sử dụng vi-rút cho mục đích của chúng, điều mà Doctor Web gọi là Trojan.Bộ mã hóa. Nó chuyển đổi các tập tin có trên máy tính nạn nhân bằng cách cung cấp cho chúng phần mở rộng .crypt. Hầu như tất cả các định dạng phổ biến đều có thể được mã hóa tập tin văn bản, hình ảnh, bản âm thanh, tập tin nén.

Để khôi phục các tập tin bị mã hóa, các chuyên gia của công ty đã tạo ra một tiện ích giải mã te19. Hôm nay cô ấy ở kết nối miễn phí, nơi bất kỳ người dùng Internet nào cũng có thể tải xuống. Cái này chương trình nhỏ, chỉ chiếm 233 KB. Sau khi tải về bạn cần:

- trong cửa sổ mở ra, nhấp vào nút "Tiếp tục" ;

- nếu có thông báo xuất hiện "Lỗi" , được bổ sung bởi mục “Tôi không thể có được tài liệu quan trọng[tên tệp]. Bạn có muốn chỉ định vị trí của nó theo cách thủ công không?", Nhấn nút ĐƯỢC RỒI;

- trong cửa sổ hiện ra "Mở" chỉ định đường dẫn đến tập tin mã hóa.txt;

— sau đó quá trình giải mã sẽ bắt đầu.


Bạn không bao giờ nên xóa tập tin mã hóa.txt trước khi chạy tiện ích giải mã, vì việc mất nó sẽ khiến thông tin được mã hóa không thể khôi phục được.

Chương trình giải mã RectorDecryptor

Để khôi phục file bị mã hóa, nhiều người sử dụng chương trình đặc biệt RectorDecryptor. Bạn cần phải làm việc với nó như sau:

- tải chương trình Hiệu trưởngBộ giải mã, nếu nó không theo ý của bạn;

- xóa tất cả các chương trình khỏi danh sách khởi động ngoại trừ phần mềm chống vi-rút;

- khởi động lại máy tính;

— xem qua danh sách các tập tin, đánh dấu những tập tin đáng ngờ, đặc biệt là những tập tin không có thông tin về nhà sản xuất;

- xóa bỏ tập tin không tin cậy, có thể chứa vi-rút;

- xóa bộ nhớ cache của trình duyệt và các thư mục tạm thời bằng chương trình CCleaner hoặc tương tự;

- phóng Hiệu trưởngBộ giải mã, cho biết tệp được mã hóa cũng như phần mở rộng của nó, sau đó nhấp vào nút "Bắt đầu kiểm tra" ;

- trong các phiên bản mới nhất của chương trình, bạn chỉ có thể chỉ định tên tệp, sau đó nhấp vào "Mở" ;

— đợi cho đến khi tệp được giải mã và chuyển sang tệp tiếp theo.

Chương trình tiếp theo Hiệu trưởngBộ giải mã Bản thân nó tiếp tục quét tất cả các tệp nằm trên máy tính của bạn, bao gồm cả những tệp nằm trên phương tiện di động.


Quá trình giải mã có thể mất vài giờ, tùy thuộc vào số lượng tệp bị hỏng và hiệu suất máy tính. Thông tin được khôi phục sẽ được ghi vào cùng thư mục trước đó.

Bạn có thể cho biết nhu cầu xóa tài liệu được mã hóa sau khi giải mã bằng cách chọn hộp bên cạnh yêu cầu tương ứng. Nhưng người dùng có kinh nghiệm Bạn không nên làm điều này vì nếu quá trình giải mã không thành công, bạn sẽ hoàn toàn mất khả năng khôi phục dữ liệu của mình.

Ngày nay, người dùng máy tính và máy tính xách tay ngày càng phải đối mặt với phần mềm độc hại thay thế các tệp bằng bản sao được mã hóa của chúng. Về cơ bản, đây là những virus. Phần mềm ransomware XTBL được coi là một trong những phần mềm nguy hiểm nhất trong loạt bài này. Loài vật gây hại này là gì, nó xâm nhập vào máy tính của người dùng như thế nào và có thể khôi phục thông tin bị hỏng không?

Mã độc tống tiền XTBL là gì và nó xâm nhập vào máy tính bằng cách nào?

Nếu bạn tìm thấy các tệp trên máy tính hoặc máy tính xách tay của mình có tên dài và phần mở rộng .xtbl thì bạn có thể tự tin nói rằng hệ thống đã bị tấn công. virus nguy hiểm- Bộ mã hóa XTBL. Nó ảnh hưởng đến tất cả các phiên bản của hệ điều hành Windows. Hầu như không thể tự mình giải mã những tệp như vậy vì chương trình sử dụng chế độ lai, trong đó việc lựa chọn khóa đơn giản là không thể.

Thư mục hệ thống chứa đầy các tập tin bị nhiễm bệnh. Các mục nhập được thêm vào sổ đăng ký Windows sẽ tự động khởi chạy vi-rút mỗi khi hệ điều hành khởi động.

Hầu hết tất cả các loại tệp đều được mã hóa - đồ họa, văn bản, kho lưu trữ, email, video, âm nhạc, v.v. Nó trở nên không thể hoạt động trong Windows.

Làm thế nào nó hoạt động? Mã độc tống tiền XTBL chạy trên Windows trước tiên sẽ quét mọi thứ ổ đĩa logic. Điều này bao gồm đám mây và lưu trữ mạng nằm trên máy tính. Kết quả là các tập tin được nhóm theo phần mở rộng và sau đó được mã hóa. Như vậy, tất cả thông tin có giá trị, nằm trong thư mục của người dùng, sẽ không thể truy cập được.


Đây là hình ảnh người dùng sẽ nhìn thấy thay vì các biểu tượng có tên các file quen thuộc

Dưới ảnh hưởng của ransomware XTBL, phần mở rộng tệp sẽ thay đổi. Bây giờ người dùng nhìn thấy biểu tượng tờ giấy trắng và một tiêu đề dài kết thúc bằng .xtbl thay vì hình ảnh hoặc văn bản trong Word. Ngoài ra, trên màn hình sẽ xuất hiện một thông báo như một loại hướng dẫn khôi phục thông tin đã mã hóa, yêu cầu bạn trả tiền để mở khóa. Đây không gì khác hơn là tống tiền đòi tiền chuộc.


Thông báo này xuất hiện trong cửa sổ màn hình nền của máy tính của bạn.

Phần mềm ransomware XTBL thường được phân phối thông qua e-mail. Email chứa các tập tin đính kèm hoặc tài liệu bị nhiễm vi-rút. Kẻ lừa đảo thu hút người dùng bằng dòng tiêu đề đầy màu sắc. Mọi thứ được thực hiện để đảm bảo rằng thông báo nói rằng chẳng hạn như bạn đã thắng một triệu, được mở. Không trả lời những tin nhắn như vậy, nếu không sẽ có nguy cơ cao vi-rút sẽ xâm nhập vào hệ điều hành của bạn.

Có thể phục hồi thông tin?

Bạn có thể thử giải mã thông tin bằng các tiện ích đặc biệt. Tuy nhiên, không có gì đảm bảo rằng bạn sẽ có thể loại bỏ vi-rút và khôi phục các tệp bị hỏng.

Hiện tại, ransomware XTBL đang là mối đe dọa không thể phủ nhận đối với tất cả các máy tính chạy hệ điều hành Windows. Ngay cả những công ty đi đầu được công nhận trong cuộc chiến chống vi-rút - Dr.Web và Kaspersky Lab - cũng không có giải pháp 100% cho vấn đề này.

Loại bỏ virus và khôi phục các tập tin bị mã hóa

Ăn phương pháp khác nhau và các chương trình cho phép bạn làm việc với bộ mã hóa XTBL. Một số tự loại bỏ vi-rút, một số khác cố gắng giải mã các tệp bị khóa hoặc khôi phục các bản sao trước đó của chúng.

Ngăn chặn sự lây nhiễm máy tính

Nếu bạn may mắn nhận thấy rằng các tệp có phần mở rộng .xtbl bắt đầu xuất hiện trên máy tính của bạn, thì bạn hoàn toàn có thể làm gián đoạn quá trình lây nhiễm thêm.

Kaspersky Virus Removal Tool để loại bỏ ransomware XTBL

Tất cả chương trình tương tự phải được mở trong hệ điều hành đã khởi chạy trước đó ở chế độ an toàn với tùy chọn tải trình điều khiển mạng. Trong trường hợp này, việc loại bỏ vi-rút sẽ dễ dàng hơn nhiều vì số lượng quy trình hệ thống tối thiểu cần thiết để khởi động Windows đã được kết nối.

Để nạp chế độ an toàn trong Window XP, 7, trong khi khởi động hệ thống, nhấn liên tục phím F8 và sau khi cửa sổ menu xuất hiện, hãy chọn mục thích hợp. Khi sử dụng Windows 8, 10, bạn nên khởi động lại hệ điều hành đồng thời giữ phím Shift. Trong quá trình khởi động, một cửa sổ sẽ mở ra nơi bạn có thể chọn tùy chọn khởi động an toàn cần thiết.


Chọn chế độ an toàn khi tải trình điều khiển mạng

Chương trình Virus Kaspersky Công cụ loại bỏ nhận dạng hoàn hảo ransomware XTBL và loại bỏ loại vi-rút này. Chạy quét máy tính bằng cách nhấp vào nút thích hợp sau khi tải xuống tiện ích. Sau khi quá trình quét hoàn tất, hãy xóa mọi tệp độc hại được tìm thấy.


Chạy quét máy tính để tìm sự hiện diện của ransomware XTBL trong hệ điều hành Windows và sau đó loại bỏ vi-rút

Dr.Web CureIt!

Thuật toán kiểm tra và loại bỏ vi-rút thực tế không khác gì phiên bản trước. Sử dụng tiện ích để quét tất cả các ổ đĩa logic. Để làm điều này, bạn chỉ cần làm theo các lệnh của chương trình sau khi khởi chạy nó. Khi kết thúc quá trình, hãy loại bỏ các tệp bị nhiễm bằng cách nhấp vào nút “Khử nhiễm”.


Vô hiệu hóa file độc ​​hại sau khi quét Windows

Malwarebytes Anti-Malware

Chương trình sẽ tiến hành kiểm tra từng bước máy tính của bạn để tìm sự hiện diện của mã độc và tiêu diệt chúng.

  1. Cài đặt và chạy tiện ích Anti-malware.
  2. Chọn “Chạy quét” ở cuối cửa sổ mở ra.
  3. Đợi quá trình hoàn tất và chọn hộp kiểm có tệp bị nhiễm.
  4. Xóa lựa chọn.


Loại bỏ các tệp ransomware XTBL độc hại được phát hiện trong quá trình quét

Tập lệnh giải mã trực tuyến từ Dr.Web

Trên trang web chính thức của Dr.Web trong phần hỗ trợ có một tab chứa tập lệnh giải mã tệp trực tuyến. Xin lưu ý rằng chỉ những người dùng đã cài đặt phần mềm chống vi-rút của nhà phát triển này trên máy tính của họ mới có thể sử dụng bộ giải mã trực tuyến.


Đọc hướng dẫn, điền mọi thứ được yêu cầu và nhấp vào nút “Gửi”

Tiện ích giải mã RectorDecryptor từ Kaspersky Lab

Kaspersky Lab cũng giải mã các tập tin. Trên trang web chính thức bạn có thể tải tiện ích RectorDecryptor.exe cho các phiên bản Windows Vista, 7, 8, bằng cách nhấp vào các liên kết menu “Hỗ trợ - Xử lý và giải mã tập tin - RectorDecryptor - Cách giải mã tập tin.” Chạy chương trình, thực hiện quét và sau đó xóa các tệp được mã hóa bằng cách chọn tùy chọn thích hợp.


Quét và giải mã các tập tin bị nhiễm ransomware XTBL

Khôi phục các tập tin được mã hóa từ bản sao lưu

Bắt đầu bằng Phiên bản Windows 7, bạn có thể thử khôi phục các tập tin từ bản sao lưu.


ShadowExplorer để khôi phục các tập tin được mã hóa

Chương trình này là phiên bản di động, có thể tải xuống từ bất kỳ phương tiện nào.


QPhotoRec

Chương trình được tạo đặc biệt để khôi phục các tập tin bị hỏng và bị xóa. Bằng cách sử dụng các thuật toán tích hợp, tiện ích này sẽ tìm và trả về trạng thái ban đầuđều bị mất thông tin.

QPhotoRec là miễn phí.

Đáng tiếc là QPhotoRec chỉ có phiên bản tiếng Anh nhưng việc hiểu các cài đặt không khó chút nào, giao diện rất trực quan.

  1. Khởi động chương trình.
  2. Đánh dấu các ổ đĩa logic bằng thông tin được mã hóa.
  3. Nhấp vào nút Định dạng tệp và OK.
  4. Chọn bằng nút Duyệt nằm ở phía dưới mở cửa sổ, vị trí lưu tệp và bắt đầu quy trình khôi phục bằng cách nhấp vào Tìm kiếm.


QPhotoRec khôi phục các tệp bị xóa bởi ransomware XTBL và được thay thế bằng các bản sao của chính nó

Cách giải mã tập tin - video

Những gì không làm

  1. Đừng bao giờ thực hiện những hành động mà bạn không hoàn toàn chắc chắn. Tốt hơn nên mời một chuyên gia từ Trung tâm dịch vụ hoặc tự mình mang máy tính đến đó.
  2. Không mở Tin nhắn email từ những người gửi không xác định.
  3. Trong mọi trường hợp, bạn không nên làm theo sự dẫn dắt của những kẻ tống tiền bằng cách đồng ý chuyển tiền cho họ. Điều này rất có thể sẽ không mang lại bất kỳ kết quả nào.
  4. Đừng đổi tên thủ công các phần mở rộng của tệp được mã hóa và đừng vội cài đặt lại Windows. Có thể tìm ra giải pháp khắc phục tình hình.

Phòng ngừa

Hãy thử cài đặt bảo vệ đáng tin cậy khỏi sự xâm nhập của phần mềm tống tiền XTBL và các vi-rút phần mềm tống tiền tương tự vào máy tính của bạn. Các chương trình như vậy bao gồm:

  • Phần mềm chống ransomware Malwarebytes;
  • Phần mềm chống ransomware BitDefender;
  • WinAntiRansom;
  • CryptoPrevent.

Mặc dù thực tế là tất cả chúng đều bằng tiếng Anh nhưng làm việc với các tiện ích như vậy khá đơn giản. Khởi chạy chương trình và chọn mức độ bảo vệ trong cài đặt.


Khởi chạy chương trình và chọn mức độ bảo vệ

Nếu bạn gặp phải một loại virus ransomware mã hóa các tập tin trên máy tính của mình thì tất nhiên, bạn không nên tuyệt vọng ngay lập tức. Hãy thử sử dụng các phương pháp được đề xuất để khôi phục thông tin bị hỏng. Thường thì điều này mang lại một kết quả tích cực. Không sử dụng để loại bỏ Phần mềm tống tiền XTBL các chương trình chưa được kiểm tra từ các nhà phát triển không xác định. Rốt cuộc, điều này chỉ có thể làm tình hình trở nên tồi tệ hơn. Nếu có thể, hãy cài đặt một trong các chương trình trên PC của bạn để ngăn vi-rút chạy và tiến hành quét Windows định kỳ để tìm các quy trình độc hại.

  1. Sẽ không có nhiều sự mị dân vì bài viết đã khá dài rồi! Hãy cùng tìm hiểu xem bạn có thể làm gì nếu máy tính của bạn bị nhiễm bộ mã hóa: Trước tiên, bạn cần tìm hiểu xem loại bộ mã hóa nào đã gây ra điều xấu này đối với các tệp của bạn. Bên dưới ở cuối bài viết có các liên kết đến Dịch vụ sẽ cung cấp tất cả thông tin về tác hại xấu xa đang hoạt động trên máy tính của bạn. Nếu tên tác hại xấu xa của bạn trùng với tên trong bài viết này thì đó là một nửa rắc rối và vì vậy chúng ta sẽ đọc thêm những gì Kaspersky cung cấp cho chúng ta trong cuộc chiến chống lại các kẻ mã hóa ransomware. Thành thật mà nói, những loại virus này khá mạnh và bạn thực sự gặp vấn đề. Bạn có thể xóa thứ rác rưởi này khỏi máy tính của mình, đây không phải là vấn đề, nhưng việc lấy lại các tập tin lại là một câu hỏi:
  2. Tôi liệt kê tên của ransomware và cuối cùng bạn đăng tên chương trình có thể giúp bạn:

    3. Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl hoặc Trojan-Ransom.Win32.CryptXXX phiên bản 1 và 2 .

    Các tập tin của bạn sẽ có tên gì sau khi mã hóa?

  3. Khi bị nhiễm Trojan-Ransom.Win32.Rannoh, tên và tiện ích mở rộng sẽ bị khóa- . .
  4. Khi bị nhiễm, Trojan-Ransom.Win32.Cryakl được thêm vào cuối tệp (CRYPTENDBLACKDC).
  5. Tiện ích mở rộng Trojan-Ransom.Win32.AutoIt thay đổi theo mẫu @_.
  6. Ví dụ: _.RZWDTDIC.
  7. Khi bị nhiễm, Trojan-Ransom.Win32.CryptXXX được sửa đổi bằng mẫu .crypt.
  8. Chúng tôi kiểm tra độ chính xác bằng dịch vụ mà tôi sẽ đăng ở cuối bài viết và nếu mọi thứ đều trùng khớp thì tải tiện ích:
  9. .từ văn phòng, trang web Kaspersky
    10. .
  10. .với đám mây được xác minh bởi Kaspersky
  11. Sau khi nhấp vào nút bắt đầu quét, một cửa sổ sẽ mở ra trong đó bạn cần hiển thị tệp được mã hóa.
  12. Sau đó chương trình sẽ tự làm mọi việc. Nếu anh ấy làm thế!))) Nhưng đừng nói đến điều xấu, mọi chuyện sẽ ổn thôi!

    13. XoristBộ giải mã

  13. Được thiết kế để chống lại virus mã hóa: Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev
  14. Bạn có thể nhận dạng bộ mã hóa bằng các bước sau: Nó hiển thị một cửa sổ giống như cửa sổ bên dưới:
  15. Trên ổ C:/ nó tạo các file có tên "Read Me - cách giải mã file". Sau khi mở một tệp như vậy, nó sẽ chứa nội dung tương tự như trong hình bên dưới.
  16. Cũng trong thư mục Windows có một tệp có tên CryptLogFile.txt. Nó ghi lại mọi thứ đã được mã hóa.

  17. Giải mã tập tin

  18. từ văn phòng, trang web của Kaspersky
  19. với đám mây được xác minh bởi Kaspersky
  20. Chúng tôi khởi chạy và hiển thị tệp được mã hóa và đợi trong khi tiện ích cố gắng giải mã tệp.
  21. Nếu tiện ích XoristDecryptor không phát hiện được tệp, nó sẽ đề nghị gửi tệp đó qua email. Kaspersky Lab sẽ kiểm tra tệp và cập nhật cơ sở dữ liệu chống vi-rút XoristDecryptor. Rằng khi bạn xử lý lại, có một tùy chọn để trả lại các tập tin của bạn.

    Tiện ích tiếp theo có tên là RectorDecryptor

  22. Như đã mô tả ở trên, nó đến từ công ty Kaspersky và được sử dụng để giải mã các tập tin bị nhiễm ransomware bởi bộ mã hóa: Trojan-Ransom.Win32.Rector
    23. Nó mã hóa những tập tin nào:
  23. jpg, .doc, .pdf, .rar.
  24. Tên file sau khi mã hóa:
  25. vscrypt, .infected, .bloc, .korrektor
  26. Chữ ký của tác giả ở dạng ††KOPPEKTOP†† và liên hệ với tác giả có thể được lưu giữ:
  27. ICQ: 557973252 hoặc 481095
  28. Trong một số trường hợp, kẻ tấn công yêu cầu để lại tin nhắn trong sổ khách của một trong những trang web của hắn không hoạt động hoặc hoạt động vào thời điểm hắn cần:
  29. https://trojan....sooot.cn/
  30. https://phần mềm độc hại....66ghz.com/
  31. Ngoài ra, biểu ngữ trên màn hình bên dưới cho biết các tệp của bạn đã được mã hóa bằng bộ mã hóa này:
  32. Cách thử lấy lại các tập tin của bạn:
  33. Tải tiện ích từ Kaspersky có tên
  34. từ văn phòng, trang web của Kaspersky
  35. với đám mây được xác minh bởi Kaspersky
  36. Như trong tất cả các tiện ích trên của Kaspersky. Chạy tiện ích đã tải xuống và bằng cách nhấp vào nút Bắt đầu quét trong cửa sổ mở ra, chỉ định tệp được mã hóa.
  37. Bạn có thể tìm thấy báo cáo về công việc đã hoàn thành, như trong các ví dụ ở trên với các chương trình tại: C:\RectorDecryptor.2.3.7.0_10.05.2010_15.45.43_log.txt Ngày và giờ là gần đúng, bạn sẽ có báo cáo của mình.

    38. Tiện ích RakhniDecryptor

  38. Để chống lại ransomware từ Kaspersky:
  39. Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.Lamer, Trojan-Ransom.MSIL.Lortok, Trojan-Ransom.Win32.Cryptokluchen, Trojan-Ransom.Win32.Democry, Trojan-Ransom.Win32.Bitman phiên bản 3 và 4, Trojan-Ransom.Win32. Libra,Trojan-Ransom.MSIL.Lobzik và Trojan-Ransom.Win32.Chimera

Khoảng một hoặc hai tuần trước, một vụ hack khác từ các nhà sản xuất virus hiện đại đã xuất hiện trên Internet, mã hóa tất cả các tệp của người dùng. Một lần nữa tôi sẽ xem xét câu hỏi làm thế nào để khắc phục máy tính bị nhiễm virus ransomware được mã hóa000007 và khôi phục các tập tin được mã hóa. TRONG trong trường hợp này không có gì mới hoặc độc đáo xuất hiện, chỉ là một bản sửa đổi của phiên bản trước.

Đảm bảo giải mã các tập tin sau virus ransomware - dr-shifro.ru. Chi tiết về công việc và kế hoạch tương tác với khách hàng có trong bài viết của tôi hoặc trên trang web trong phần “Quy trình làm việc”.

Mô tả về virus ransomware CRYPTED000007

Bộ mã hóa CRYPTED000007 về cơ bản không khác biệt so với các phiên bản tiền nhiệm. Nó hoạt động gần như chính xác theo cùng một cách. Nhưng vẫn có một số sắc thái để phân biệt nó. Tôi sẽ kể cho bạn nghe về mọi thứ theo thứ tự.

Nó đến, giống như những sản phẩm tương tự, qua đường bưu điện. Kỹ thuật được sử dụng kỹ thuật xã hộiđể người dùng chắc chắn sẽ quan tâm đến bức thư và mở nó ra. Trong trường hợp của tôi, bức thư nói về một số loại tòa án và thông tin quan trọng về vụ án trong tệp đính kèm. Sau khi khởi chạy tệp đính kèm, người dùng sẽ mở tài liệu Word có trích đoạn từ Tòa án Trọng tài Moscow.

Song song với việc mở tài liệu, quá trình mã hóa tập tin bắt đầu. Một thông báo thông tin từ hệ thống Kiểm soát tài khoản người dùng Windows bắt đầu liên tục bật lên.

Nếu bạn đồng ý với đề xuất thì sao lưu file trong bóng tối bản sao của Windows sẽ bị xóa và việc khôi phục thông tin sẽ rất khó khăn. Rõ ràng là bạn không thể đồng ý với đề xuất trong bất kỳ trường hợp nào. Trong bộ mã hóa này, các yêu cầu này xuất hiện liên tục, hết yêu cầu này đến yêu cầu khác và không dừng lại, buộc người dùng phải đồng ý và xóa các bản sao lưu. Đây là điểm khác biệt chính so với các sửa đổi trước đây của bộ mã hóa. Tôi chưa bao giờ gặp phải yêu cầu xóa bản sao bóng tối bước đi không ngừng nghỉ. Thông thường, sau 5-10 lời đề nghị họ dừng lại.

Tôi sẽ ngay lập tức đưa ra một khuyến nghị cho tương lai. Việc mọi người vô hiệu hóa cảnh báo Kiểm soát tài khoản người dùng là điều rất bình thường. Không cần phải làm điều này. Cơ chế này thực sự có thể giúp chống lại virus. Lời khuyên rõ ràng thứ hai là không nên liên tục làm việc với tài khoản quản trị viên máy tính trừ khi có nhu cầu khách quan. Trong trường hợp này, virus sẽ không có cơ hội gây hại nhiều. Bạn sẽ có cơ hội tốt hơn để chống lại anh ta.

Nhưng ngay cả khi bạn luôn phản hồi tiêu cực với các yêu cầu của ransomware thì tất cả dữ liệu của bạn đều đã được mã hóa. Sau khi quá trình mã hóa hoàn tất, bạn sẽ thấy một hình ảnh trên màn hình của mình.

Đồng thời, trên màn hình của bạn sẽ có nhiều file văn bản có nội dung giống nhau.

Các tập tin của bạn đã được mã hóa. Để giải mã ux, bạn cần gửi mã: 329D54752553ED978F94|0 tới địa chỉ email [email được bảo vệ]. Tiếp theo bạn sẽ nhận được tất cả các hướng dẫn cần thiết. Nỗ lực tự mình giải mã sẽ không dẫn đến điều gì khác ngoài một lượng thông tin không thể thu hồi được. Nếu bạn vẫn muốn thử, trước tiên hãy tạo bản sao lưu của các tệp, nếu không, trong trường hợp có thay đổi, việc giải mã sẽ trở nên không thể thực hiện được trong mọi trường hợp. Nếu bạn chưa nhận được thông báo tại địa chỉ trên trong vòng 48 giờ (chỉ trong trường hợp này!), hãy sử dụng biểu mẫu liên hệ. Điều này có thể được thực hiện theo hai cách: 1) Tải xuống và cài đặt Trình duyệt tor qua liên kết: https://www.torproject.org/download/download-easy.html.en Liên kết địa chỉ Trình duyệt tor nhập địa chỉ: http://cryptsen7fo43rr6.onion/ và nhấn Enter. Trang có biểu mẫu liên hệ sẽ được tải. 2) Trong bất kỳ trình duyệt nào, hãy truy cập một trong các địa chỉ: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tất cả các tệp quan trọng trên máy tính của bạnđã được mã hóa. Để giải mã các tập tin, bạn nên gửi mã sau: 329D54752553ED978F94|0 tới địa chỉ e-mail [email được bảo vệ]. Sau đó bạn sẽ nhận được tất cả các hướng dẫn cần thiết. Tất cả các nỗ lực giải mã của chính bạn sẽ chỉ dẫn đến việc mất dữ liệu của bạn không thể thu hồi được. Nếu bạn vẫn muốn tự mình giải mã chúng, vui lòng tạo bản sao lưu trước vì việc giải mã sẽ không thể thực hiện được trong trường hợp có bất kỳ thay đổi nào bên trong tệp. Nếu bạn không nhận được câu trả lời từ email nêu trên trong hơn 48 giờ (và chỉ trong trường hợp này!), hãy sử dụng biểu mẫu phản hồi. Bạn có thể thực hiện bằng hai cách: 1) Tải xuống Tor Browser từ đây: https://www.torproject.org/download/download-easy.html.en Cài đặt nó và nhập địa chỉ sau vào thanh địa chỉ: http:/ /cryptsen7fo43rr6.onion/ Nhấn Enter và sau đó trang có biểu mẫu phản hồi sẽ được tải. 2) Truy cập một trong các địa chỉ sau trong bất kỳ trình duyệt nào: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Địa chỉ gửi thư có thể thay đổi. Tôi cũng đã tìm thấy các địa chỉ sau:

Địa chỉ được cập nhật liên tục, vì vậy chúng có thể hoàn toàn khác nhau.

Ngay khi bạn phát hiện ra các tập tin của mình đã bị mã hóa, hãy tắt máy tính ngay lập tức. Điều này phải được thực hiện để làm gián đoạn quá trình mã hóa như trong máy tính cục bộ và trên các ổ đĩa mạng. Virus mã hóa có thể mã hóa tất cả thông tin mà nó có thể tiếp cận, kể cả trên các ổ đĩa mạng. Nhưng nếu có một lượng lớn thông tin ở đó thì anh ta sẽ mất rất nhiều thời gian. Đôi khi, ngay cả trong vài giờ, người viết mật mã cũng không có thời gian để mã hóa mọi thứ trên ổ đĩa mạng khoảng 100 gigabyte.

Tiếp theo bạn cần suy nghĩ kỹ về cách hành động. Nếu bạn cần thông tin trên máy tính của mình bằng bất cứ giá nào và bạn không có bản sao lưu, thì tốt hơn hết là bạn nên liên hệ với các chuyên gia vào lúc này. Không nhất thiết phải vì tiền đối với một số công ty. Bạn chỉ cần một người giỏi hệ thông thông tin. Cần phải đánh giá quy mô của thảm họa, loại bỏ vi-rút và thu thập tất cả thông tin có sẵn về tình hình để hiểu cách tiến hành.

Hành động sai trên ở giai đoạn này có thể làm phức tạp đáng kể quá trình giải mã hoặc khôi phục tệp. Trong trường hợp xấu nhất, họ có thể biến điều đó thành không thể. Vì vậy, hãy dành thời gian, cẩn thận và nhất quán.

Virus ransomware CRYPTED000007 mã hóa tập tin như thế nào

Sau khi virus đã được khởi chạy và kết thúc hoạt động, tất cả các tập tin hữu ích sẽ được mã hóa, đổi tên từ tiện ích mở rộng.crypted000007. Hơn nữa, không chỉ phần mở rộng tệp sẽ được thay thế mà cả tên tệp, vì vậy bạn sẽ không biết chính xác mình có loại tệp nào nếu không nhớ. Nó sẽ trông giống như thế này.

Trong tình huống như vậy, sẽ rất khó để đánh giá quy mô của thảm kịch, vì bạn sẽ không thể nhớ đầy đủ những gì mình có trong các thư mục khác nhau. Điều này được thực hiện đặc biệt để gây nhầm lẫn cho mọi người và khuyến khích họ trả tiền để giải mã tệp.

Và nếu bạn đã mã hóa và thư mục mạng và không sao lưu đầy đủ, thì điều này có thể dừng hoàn toàn công việc của toàn bộ tổ chức. Bạn sẽ mất một thời gian để tìm ra những gì cuối cùng đã bị mất để bắt đầu khôi phục.

Cách xử lý máy tính và loại bỏ ransomware CRYPTED000007

Virus CRYPTED000007 đã có trên máy tính của bạn. Câu hỏi đầu tiên và quan trọng nhất là làm thế nào để khử trùng máy tính và cách loại bỏ vi-rút khỏi máy tính để ngăn chặn việc mã hóa thêm nếu nó chưa được hoàn thành. Tôi muốn bạn ngay lập tức thu hút sự chú ý của bạn rằng sau khi chính bạn bắt đầu thực hiện một số hành động với máy tính của mình, cơ hội giải mã dữ liệu sẽ giảm đi. Nếu bạn cần khôi phục tập tin bằng bất cứ giá nào, đừng chạm vào máy tính của bạn mà hãy liên hệ ngay với các chuyên gia. Dưới đây tôi sẽ nói về chúng và cung cấp liên kết đến trang web cũng như mô tả cách chúng hoạt động.

Trong thời gian chờ đợi, chúng tôi sẽ tiếp tục xử lý máy tính và loại bỏ vi-rút một cách độc lập. Theo truyền thống, ransomware có thể dễ dàng bị loại bỏ khỏi máy tính vì vi-rút không có nhiệm vụ tồn tại trên máy tính bằng bất cứ giá nào. Sau đó mã hóa đầy đủ các tập tin, việc anh ta tự xóa và biến mất càng có lợi hơn, do đó việc điều tra vụ việc và giải mã các tập tin càng khó khăn hơn.

Mô tả gỡ bỏ thủ công virus rất khó, mặc dù trước đây tôi đã cố gắng làm điều này nhưng tôi thấy rằng hầu hết nó đều vô nghĩa. Tên tệp và đường dẫn vị trí vi-rút liên tục thay đổi. Những gì tôi thấy không còn phù hợp trong một hoặc hai tuần nữa. Thông thường, virus được gửi qua đi đến thư theo từng đợt và mỗi lần có một sửa đổi mới mà phần mềm chống vi-rút chưa phát hiện được. Trợ giúp các công cụ phổ biến giúp kiểm tra quá trình khởi động và phát hiện hoạt động đáng ngờ trong các thư mục hệ thống.

Để loại bỏ vi-rút CRYPTED000007, bạn có thể sử dụng các chương trình sau:

  1. Công cụ diệt virus Kaspersky - một tiện ích của Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - một sản phẩm tương tự từ trang web khác http://free.drweb.ru/cureit.
  3. Nếu hai tiện ích đầu tiên không giúp ích được gì, hãy thử MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Rất có thể, một trong những sản phẩm này sẽ xóa phần mềm ransomware CRYPTED000007 trên máy tính của bạn. Nếu đột nhiên chúng không giúp ích được gì, hãy thử loại bỏ vi-rút theo cách thủ công. Tôi đã đưa ra một ví dụ về phương pháp loại bỏ và bạn có thể thấy nó ở đó. Tóm lại, từng bước một, bạn cần hành động như sau:

  1. Chúng tôi xem danh sách các quy trình sau khi thêm một số cột bổ sung vào trình quản lý tác vụ.
  2. Chúng tôi tìm thấy quá trình vi-rút, mở thư mục chứa nó và xóa nó.
  3. Chúng tôi xóa đề cập đến quy trình vi-rút theo tên tệp trong sổ đăng ký.
  4. Chúng tôi khởi động lại và đảm bảo rằng vi-rút CRYPTED000007 không có trong danh sách các tiến trình đang chạy.

Tải xuống bộ giải mã CRYPTED000007 ở đâu

Câu hỏi về một bộ giải mã đơn giản và đáng tin cậy được đặt ra đầu tiên khi nói đến virus ransomware. Điều đầu tiên tôi khuyên bạn nên sử dụng dịch vụ https://www.nomoreransom.org. Điều gì sẽ xảy ra nếu bạn may mắn và họ có bộ giải mã cho phiên bản bộ mã hóa CRYPTED000007 của bạn. Tôi sẽ nói ngay rằng bạn không có nhiều cơ hội, nhưng cố gắng không phải là tra tấn. Trên trang chính bấm Có:

Sau đó tải xuống một vài tệp được mã hóa và nhấp vào Bắt đầu! Tìm ra:

Tại thời điểm viết bài, không có bộ giải mã trên trang web.

Có lẽ bạn sẽ gặp may mắn hơn. Bạn cũng có thể xem danh sách các bộ giải mã để tải xuống trên trang riêng- https://www.nomoreransom.org/decryption-tools.html. Có lẽ có điều gì đó hữu ích ở đó. Khi virus hoàn toàn mới, rất ít khả năng điều này xảy ra, nhưng theo thời gian, điều gì đó có thể xuất hiện. Có những ví dụ khi bộ giải mã cho một số sửa đổi của bộ mã hóa xuất hiện trên Internet. Và những ví dụ này nằm trên trang được chỉ định.

Tôi không biết bạn có thể tìm bộ giải mã ở đâu khác. Khó có khả năng nó thực sự tồn tại, có tính đến đặc thù công việc của các bộ mã hóa hiện đại. Chỉ những tác giả của virus mới có thể có bộ giải mã chính thức.

Cách giải mã và khôi phục file sau virus CRYPTED000007

Phải làm gì khi virus CRYPTED000007 đã mã hóa file của bạn? Triển khai kỹ thuật mã hóa không cho phép bạn giải mã các tập tin mà không cần khóa hoặc bộ giải mã, điều mà chỉ tác giả của bộ mã hóa mới có. Có thể có cách khác để lấy nó nhưng tôi không có thông tin đó. Chúng tôi chỉ có thể cố gắng khôi phục tệp bằng các phương pháp ngẫu hứng. Bao gồm các:

  • Dụng cụ bản sao bóng tối các cửa sổ.
  • Các chương trình khôi phục dữ liệu đã xóa

Trước tiên, hãy kiểm tra xem chúng tôi đã bật bản sao bóng chưa. Công cụ này hoạt động theo mặc định trong Windows 7 trở lên, trừ khi bạn tắt nó theo cách thủ công. Để kiểm tra, hãy mở thuộc tính máy tính và vào phần bảo vệ hệ thống.

Nếu bạn không xác nhận trong quá trình lây nhiễm Yêu cầu UACđể xóa các tập tin trong bản sao ẩn thì một số dữ liệu sẽ vẫn còn ở đó. Tôi đã nói chi tiết hơn về yêu cầu này ở đầu câu chuyện, khi tôi nói về hoạt động của virus.

phục hồi thuận tiện các tập tin từ bản sao bóng, tôi khuyên bạn nên sử dụng chương trình miễn phí cho mục đích này - ShadowExplorer. Tải xuống kho lưu trữ, giải nén chương trình và chạy nó.

Sẽ mở bản sao mới nhất các tập tin và thư mục gốc của ổ C. Ở góc trên bên trái, bạn có thể chọn một bản sao lưu nếu bạn có một vài bản sao lưu. Kiểm tra bản sao khác nhauđể sẵn sàng tập tin cần thiết. So sánh theo ngày cho phiên bản mới nhất. Trong ví dụ bên dưới, tôi tìm thấy 2 tệp trên máy tính để bàn của mình từ ba tháng trước khi chúng được chỉnh sửa lần cuối.

Tôi đã có thể khôi phục các tập tin này. Để làm điều này, tôi đã chọn chúng, nhấp vào click chuột phải chuột, chọn Xuất và chỉ ra thư mục nơi khôi phục chúng.

Bạn có thể khôi phục các thư mục ngay lập tức bằng cách sử dụng nguyên tắc tương tự. Nếu bạn có các bản sao ẩn đang hoạt động và không xóa chúng, bạn có cơ hội tốt để khôi phục tất cả hoặc gần như tất cả các tệp bị vi-rút mã hóa. Có lẽ một số trong số họ sẽ nhiều hơn phiên bản cũ, hơn chúng ta mong muốn, tuy nhiên, có còn hơn không.

Nếu vì lý do nào đó mà bạn không có bản sao ẩn của các tệp của mình, cơ hội duy nhất để bạn lấy được ít nhất thứ gì đó từ các tệp được mã hóa là khôi phục chúng bằng các công cụ khôi phục tập tin đã xóa. Để làm điều này, tôi khuyên bạn nên sử dụng chương trình Photorec miễn phí.

Khởi chạy chương trình và chọn đĩa mà bạn sẽ khôi phục các tập tin. Phóng phiên bản đồ họa chương trình thực thi tập tin qphotorec_win.exe. Bạn phải chọn một thư mục nơi các tập tin tìm thấy sẽ được đặt. Sẽ tốt hơn nếu thư mục này không nằm trên cùng ổ đĩa mà chúng ta đang tìm kiếm. Kết nối ổ đĩa flash hoặc ổ đĩa ngoài ổ cứng vì điều này.

Quá trình tìm kiếm sẽ mất nhiều thời gian. Cuối cùng bạn sẽ thấy số liệu thống kê. Bây giờ bạn có thể vào thư mục đã chỉ định trước đó và xem những gì được tìm thấy ở đó. Rất có thể sẽ có rất nhiều tệp và hầu hết chúng sẽ bị hỏng hoặc chúng sẽ là một loại tệp hệ thống và vô dụng nào đó. Tuy nhiên, trong danh sách này bạn có thể tìm thấy một số tập tin hữu ích. Không có gì đảm bảo ở đây, những gì bạn tìm thấy là những gì bạn sẽ tìm thấy. Hình ảnh thường được khôi phục tốt nhất.

Nếu kết quả không làm bạn hài lòng thì cũng có các chương trình khôi phục các tập tin đã xóa. Dưới đây là danh sách các chương trình tôi thường sử dụng khi cần khôi phục số tiền tối đa các tập tin:

  • R.saver
  • ngôi sao Phục hồi tập tin
  • Phục hồi JPEG chuyên nghiệp
  • Phục hồi tập tin hoạt động chuyên nghiệp

Những chương trình này không miễn phí nên tôi sẽ không cung cấp liên kết. Nếu bạn thực sự muốn, bạn có thể tự tìm thấy chúng trên Internet.

Toàn bộ quá trình khôi phục file được hiển thị chi tiết trong video ở cuối bài viết.

Kaspersky, eset gật32 và những người khác trong cuộc chiến chống lại bộ mã hóa Filecoding.ED

Các phần mềm chống vi-rút phổ biến phát hiện phần mềm ransomware CRYPTED000007 dưới dạng Bộ mã hóa tập tin.ED và sau đó có thể có một số chỉ định khác. Tôi đã xem qua các diễn đàn chống vi-rút lớn và không thấy điều gì hữu ích ở đó. Thật không may, như thường lệ, phần mềm chống vi-rút hóa ra không được chuẩn bị cho sự xâm nhập của một làn sóng ransomware mới. Đây là một bài viết từ diễn đàn Kaspersky.

Theo truyền thống, các phần mềm chống vi-rút bỏ lỡ các sửa đổi mới của Trojan ransomware. Tuy nhiên, tôi khuyên bạn nên sử dụng chúng. Nếu bạn may mắn và nhận được email ransomware không phải trong đợt lây nhiễm đầu tiên mà muộn hơn một chút, rất có thể phần mềm chống vi-rút sẽ giúp bạn. Tất cả đều hoạt động chậm một bước so với những kẻ tấn công. Một phiên bản mới của ransomware được phát hành nhưng phần mềm chống vi-rút không phản hồi. Ngay khi tích lũy được một lượng tài liệu nhất định để nghiên cứu về một loại vi-rút mới, phần mềm chống vi-rút sẽ phát hành bản cập nhật và bắt đầu phản hồi với nó.

Tôi không hiểu điều gì ngăn cản phần mềm chống vi-rút phản hồi ngay lập tức với bất kỳ quy trình mã hóa nào trong hệ thống. Có lẽ có một số sắc thái kỹ thuật về chủ đề này, điều này không cho phép bạn phản hồi đầy đủ và ngăn chặn việc mã hóa tệp người dùng. Đối với tôi, có vẻ như ít nhất có thể hiển thị cảnh báo về thực tế là ai đó đang mã hóa các tệp của bạn và đề nghị dừng quá trình này.

Đi đâu để giải mã được đảm bảo

Tôi tình cờ gặp một công ty thực sự giải mã dữ liệu sau hoạt động của nhiều loại virus mã hóa khác nhau, bao gồm cả CRYPTED000007. Địa chỉ của họ là http://www.dr-shifro.ru. Chỉ thanh toán sau bảng điểm đầy đủ và xác minh của bạn. Đây là một sơ đồ công việc gần đúng:

  1. Một chuyên gia của công ty đến văn phòng hoặc nhà của bạn và ký một thỏa thuận với bạn, trong đó đưa ra chi phí cho công việc.
  2. Khởi chạy bộ giải mã và giải mã tất cả các tập tin.
  3. Bạn đảm bảo rằng tất cả các tập tin đã được mở và ký vào giấy chứng nhận bàn giao/ nghiệm thu công việc đã hoàn thành.
  4. Thanh toán chỉ được thực hiện khi có kết quả giải mã thành công.

Thành thật mà nói, tôi không biết họ làm điều đó như thế nào, nhưng bạn không gặp rủi ro gì cả. Chỉ thanh toán sau khi trình diễn hoạt động của bộ giải mã. Hãy viết bình luận về trải nghiệm của bạn với công ty này.

Các phương pháp bảo vệ chống lại virus CRYPTED000007

Làm thế nào để bảo vệ bản thân khỏi ransomware và tránh thiệt hại về vật chất và tinh thần? Có một số mẹo đơn giản và hiệu quả:

  1. Hỗ trợ! Bản sao lưu mọi dữ liệu quan trọng. Và không chỉ là một bản sao lưu, mà còn là một bản sao lưu không có quyền truy cập vĩnh viễn. Nếu không, vi-rút có thể lây nhiễm vào cả tài liệu và bản sao lưu của bạn.
  2. Phần mềm chống virus được cấp phép. Mặc dù chúng không đảm bảo 100% nhưng chúng làm tăng cơ hội tránh được mã hóa. Chúng thường chưa sẵn sàng cho các phiên bản mới của bộ mã hóa, nhưng sau 3-4 ngày chúng bắt đầu phản hồi. Điều này làm tăng cơ hội tránh bị lây nhiễm nếu bạn không nằm trong đợt gửi thư đầu tiên sửa đổi mới người viết mật mã
  3. Không mở các tệp đính kèm đáng ngờ trong thư. Không có gì để bình luận ở đây. Tất cả các ransomware mà tôi biết đều đến tay người dùng qua email. Hơn nữa, mỗi lần thủ đoạn mới được phát minh ra để đánh lừa nạn nhân.
  4. Đừng thiếu suy nghĩ mở các liên kết được gửi cho bạn từ bạn bè của bạn thông qua truyền thông xã hội hoặc người đưa tin. Đây cũng là cách virus đôi khi lây lan.
  5. Bật cửa sổ hiển thị phần mở rộng tập tin. Cách thực hiện việc này rất dễ tìm thấy trên Internet. Điều này sẽ cho phép bạn nhận thấy phần mở rộng tập tin của virus. Thông thường nó sẽ là .exe, .vbs, .src. Trong công việc hàng ngày với các tài liệu, bạn khó có thể gặp những phần mở rộng tệp như vậy.

Tôi đã cố gắng bổ sung những gì tôi đã viết trước đây trong mỗi bài viết về virus ransomware. Trong lúc chờ đợi, tôi nói lời tạm biệt. Tôi rất vui khi nhận được những bình luận hữu ích về bài viết và virus ransomware CRYPTED000007 nói chung.

Video về giải mã và phục hồi tập tin

Đây là một ví dụ về một sửa đổi trước đó của virus, nhưng video này hoàn toàn có liên quan đến CRYPTED000007.