Chương trình tốt nhất để khôi phục tập tin sau khi mã hóa. Bộ giải mã miễn phí

Nếu hệ thống bị nhiễm phần mềm độc hại từ gia đình Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl hoặc Trojan-Ransom.Win32.CryptXXX, khi đó tất cả các file trên máy tính sẽ được mã hóa như sau:

• Khi bị nhiễm bệnh Trojan-Ransom.Win32.Rannoh tên và phần mở rộng sẽ thay đổi theo mẫu đã khóa-<оригинальное_имя>.<4 произвольных буквы> .
• Khi bị nhiễm bệnh Trojan-Ransom.Win32.Cryakl một nhãn được thêm vào cuối nội dung tập tin (CRYPTENDBLACKDC) .
• Khi bị nhiễm bệnh Trojan-Ransom.Win32.AutoIt phần mở rộng thay đổi theo mẫu <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Ví dụ, [email được bảo vệ] _.RZWDTDIC.
• Khi bị nhiễm bệnh Trojan-Ransom.Win32.CryptXXX phần mở rộng thay đổi theo mẫu <оригинальное_имя>.crypt,<оригинальное_имя>. mật mã Và <оригинальное_имя>. cry1.

Tiện ích RannohDecryptor được thiết kế để giải mã các tập tin sau khi bị lây nhiễm Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl hoặc Trojan-Ransom.Win32.CryptXXX phiên bản 1 , 2 Và 3 .

Cách chữa trị hệ thống

Để chữa một hệ thống bị nhiễm bệnh:

1. Tải xuống tệp RannohDecryptor.zip.
2. Chạy RannohDecryptor.exe trên máy bị nhiễm.
3. Trong cửa sổ chính, nhấp vào Bắt đầu kiểm tra.

1. Chỉ định đường dẫn đến tệp được mã hóa và không được mã hóa.
   Nếu tập tin được mã hóa Trojan-Ransom.Win32.CryptXXX, chỉ định các tệp lớn nhất. Việc giải mã sẽ chỉ khả dụng đối với các tệp có kích thước bằng hoặc nhỏ hơn.
2. Đợi cho đến khi kết thúc quá trình tìm kiếm và giải mã các tập tin được mã hóa.
3. Khởi động lại máy tính của bạn nếu cần thiết.
4. Để xóa bản sao của các tệp được mã hóa như đã khóa-<оригинальное_имя>.<4 произвольных буквы> Sau khi giải mã thành công, hãy chọn .

Nếu tập tin đã được mã hóa Trojan-Ransom.Win32.Cryakl, khi đó tiện ích sẽ lưu file vào vị trí cũ có đuôi .decryptedKLR.origin_extension. Nếu bạn đã chọn Xóa các tập tin được mã hóa sau khi giải mã thành công, khi đó file giải mã sẽ được tiện ích lưu lại với tên gốc.

1. Theo mặc định, tiện ích xuất báo cáo công việc vào thư mục gốc của đĩa hệ thống (đĩa cài đặt hệ điều hành).

   Tên báo cáo như sau: UtilityName.Version_Date_Time_log.txt

   Ví dụ, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Trong một hệ thống bị nhiễm Trojan-Ransom.Win32.CryptXXX, tiện ích sẽ quét một số định dạng tệp có giới hạn. Nếu người dùng chọn tệp bị ảnh hưởng bởi CryptXXX v2, việc khôi phục khóa có thể mất nhiều thời gian. Trong trường hợp này, tiện ích sẽ hiển thị cảnh báo.

Đã bao giờ bạn nhận được một tin nhắn qua Email, Skype hoặc ICQ từ một người gửi không xác định có liên kết đến ảnh của bạn bè bạn hoặc lời chúc mừng về kỳ nghỉ sắp tới chưa? Bạn dường như không mong đợi bất kỳ loại thiết lập nào và đột nhiên, khi bạn nhấp vào liên kết, phần mềm độc hại nghiêm trọng sẽ được tải xuống máy tính của bạn. Trước khi bạn biết điều đó, virus đã mã hóa tất cả các tệp của bạn. Phải làm gì trong tình huống như vậy? Có thể khôi phục tài liệu?

Để hiểu cách xử lý phần mềm độc hại, bạn cần biết nó là gì và nó xâm nhập vào hệ điều hành như thế nào. Ngoài ra, việc bạn sử dụng phiên bản Windows nào không quan trọng - vi rút Critroni nhằm mục đích lây nhiễm bất kỳ hệ điều hành nào.

Virus máy tính mã hóa: định nghĩa và thuật toán hành động

Một phần mềm diệt virus máy tính mới đã xuất hiện trên Internet, được nhiều người gọi là CTB (Curve Tor Bitcoin) hay Critroni. Đây là một ransomware Trojan được cải tiến, về nguyên tắc tương tự như phần mềm độc hại CriptoLocker đã biết trước đó. Nếu virus đã mã hóa toàn bộ file, bạn nên làm gì trong trường hợp này? Trước hết, bạn cần hiểu thuật toán hoạt động của nó. Bản chất của virus là mã hóa tất cả các tệp của bạn bằng các phần mở rộng .ctbl, .ctb2, .vault, .xtbl hoặc các phần mở rộng khác. Tuy nhiên, bạn sẽ không thể mở chúng cho đến khi bạn trả đủ số tiền được yêu cầu.

Virus Trojan-Ransom.Win32.Shade và Trojan-Ransom.Win32.Onion là phổ biến. Họ rất giống STV trong hành động địa phương của họ. Chúng có thể được phân biệt bằng phần mở rộng của các tệp được mã hóa. Trojan-Ransom mã hóa thông tin ở định dạng .xtbl. Khi bạn mở bất kỳ tệp nào, một thông báo xuất hiện trên màn hình cho biết tài liệu cá nhân, cơ sở dữ liệu, ảnh và các tệp khác của bạn đã bị phần mềm độc hại mã hóa. Để giải mã chúng, bạn cần phải trả tiền cho một khóa duy nhất, được lưu trữ trên một máy chủ bí mật và chỉ trong trường hợp này, bạn mới có thể thực hiện các hoạt động giải mã và mã hóa với tài liệu của mình. Nhưng đừng lo lắng, đừng lo lắng, hãy gửi tiền đến số lượng được chỉ định; có một cách khác để chống lại loại tội phạm mạng này. Nếu một loại virus như vậy xâm nhập vào máy tính của bạn và mã hóa tất cả các tệp .xtbl, bạn nên làm gì trong tình huống như vậy?

Không nên làm gì nếu virus mã hóa xâm nhập vào máy tính của bạn

Điều xảy ra là trong lúc hoảng loạn, chúng tôi cài đặt một chương trình chống vi-rút và với sự trợ giúp của nó, loại bỏ phần mềm vi-rút một cách tự động hoặc thủ công, làm mất các tài liệu quan trọng cùng với nó. Điều này thật khó chịu, ngoài ra, máy tính có thể chứa dữ liệu mà bạn đã làm việc trong nhiều tháng. Thật đáng tiếc khi đánh mất những tài liệu như vậy mà không có khả năng phục hồi được.

Nếu vi-rút đã mã hóa tất cả các tệp .xtbl, một số cố gắng thay đổi phần mở rộng của chúng, nhưng điều này cũng không dẫn đến kết quả khả quan. Cài đặt lại và định dạng ổ cứng sẽ loại bỏ vĩnh viễn chương trình độc hại, nhưng đồng thời bạn sẽ mất mọi khả năng khôi phục tài liệu. Trong tình huống này, các chương trình giải mã được tạo đặc biệt sẽ không giúp ích gì vì phần mềm ransomware được lập trình bằng thuật toán không chuẩn và yêu cầu một cách tiếp cận đặc biệt.

Tại sao ransomware nguy hiểm cho máy tính cá nhân?

Rõ ràng là không một chương trình độc hại nào có lợi cho máy tính cá nhân của bạn. Tại sao phần mềm như vậy được tạo ra? Điều kỳ lạ là những chương trình như vậy được tạo ra không chỉ nhằm mục đích lừa gạt người dùng càng nhiều tiền càng tốt. Trên thực tế, tiếp thị lan truyền mang lại khá nhiều lợi nhuận cho nhiều nhà phát minh phần mềm chống vi-rút. Rốt cuộc, nếu vi-rút mã hóa tất cả các tệp trên máy tính của bạn, bạn sẽ chuyển sang đâu trước tiên? Đương nhiên, hãy tìm kiếm sự giúp đỡ của các chuyên gia. Mã hóa cho máy tính xách tay hoặc máy tính cá nhân của bạn là gì?

Thuật toán hoạt động của họ không chuẩn nên sẽ không thể chữa khỏi các tệp bị nhiễm bằng phần mềm chống vi-rút thông thường. Loại bỏ các đối tượng độc hại sẽ dẫn đến mất dữ liệu. Chỉ chuyển sang cách ly mới có thể bảo mật các tệp khác mà vi-rút độc hại chưa mã hóa được.

Ngày hết hạn của phần mềm độc hại mã hóa

Nếu máy tính của bạn bị nhiễm Critroni (phần mềm độc hại) và virus đã mã hóa tất cả các tập tin của bạn thì bạn phải làm gì? Bạn không thể tự giải mã các định dạng .vault-, .xtbl-, .rar bằng cách thay đổi tiện ích mở rộng thành .doc, .mp3, .txt và các định dạng khác theo cách thủ công. Nếu bạn không trả số tiền cần thiết cho tội phạm mạng trong vòng 96 giờ, họ sẽ gửi cho bạn thư đe dọa qua email thông báo rằng tất cả các tệp của bạn sẽ bị xóa vĩnh viễn. Trong hầu hết các trường hợp, mọi người bị ảnh hưởng bởi những mối đe dọa như vậy và họ miễn cưỡng nhưng ngoan ngoãn thực hiện các hành động nói trên vì sợ mất thông tin quý giá. Thật đáng tiếc khi người dùng không hiểu được một thực tế là tội phạm mạng không phải lúc nào cũng đúng với lời nói của mình. Sau khi nhận được tiền, họ thường không còn lo lắng về việc giải mã các tập tin bị khóa của bạn nữa.

Khi hết giờ, nó sẽ tự động đóng lại. Nhưng bạn vẫn có cơ hội phục hồi các tài liệu quan trọng. Một thông báo sẽ xuất hiện trên màn hình cho biết thời gian đã hết và bạn có thể xem thông tin chi tiết hơn về các tệp trong thư mục tài liệu trong tệp notepad được tạo đặc biệt DecryptAllFiles.txt.

Những cách mã hóa phần mềm độc hại xâm nhập vào hệ điều hành

Thông thường, vi rút ransomware xâm nhập vào máy tính thông qua các email bị nhiễm hoặc thông qua các bản tải xuống giả mạo. Đây có thể là các bản cập nhật flash giả mạo hoặc trình phát video lừa đảo. Ngay sau khi chương trình được tải xuống máy tính của bạn bằng bất kỳ phương pháp nào trong số này, nó sẽ ngay lập tức mã hóa dữ liệu mà không có khả năng phục hồi. Nếu vi-rút đã mã hóa tất cả các tệp .cbf, .ctbl, .ctb2 sang các định dạng khác và bạn không có bản sao lưu của tài liệu được lưu trữ trên phương tiện lưu động, hãy coi như bạn sẽ không thể khôi phục chúng được nữa. Hiện tại, các phòng thí nghiệm chống vi-rút không biết cách bẻ khóa các vi-rút mã hóa như vậy. Nếu không có khóa cần thiết, bạn chỉ có thể chặn các tệp bị nhiễm, di chuyển chúng để cách ly hoặc xóa chúng.

Cách tránh bị nhiễm virus trên máy tính của bạn

Đáng ngại là tất cả các tệp .xtbl. Phải làm gì? Bạn đã đọc rất nhiều thông tin không cần thiết được viết trên hầu hết các trang web và bạn không thể tìm thấy câu trả lời. Điều đó xảy ra là vào thời điểm không thích hợp nhất, khi bạn cần gấp nộp báo cáo tại nơi làm việc, luận án ở trường đại học hoặc bảo vệ bằng giáo sư của mình, máy tính bắt đầu sống cuộc sống của chính nó: nó bị hỏng, bị nhiễm vi-rút , và đóng băng. Bạn phải chuẩn bị cho những tình huống như vậy và lưu giữ thông tin trên máy chủ và phương tiện di động. Điều này sẽ cho phép bạn cài đặt lại hệ điều hành bất cứ lúc nào và sau 20 phút làm việc trên máy tính như không có chuyện gì xảy ra. Nhưng thật không may, không phải lúc nào chúng ta cũng mạnh dạn như vậy.

Để tránh lây nhiễm vi-rút vào máy tính, trước tiên bạn cần cài đặt một chương trình chống vi-rút tốt. Bạn phải có Tường lửa Windows được cấu hình đúng cách để bảo vệ khỏi các đối tượng độc hại khác nhau xâm nhập vào Mạng. Và quan trọng nhất: không tải xuống phần mềm từ các trang web chưa được xác minh hoặc trình theo dõi torrent. Để tránh lây nhiễm vi-rút vào máy tính của bạn, hãy cẩn thận với những liên kết bạn nhấp vào. Nếu bạn nhận được email từ một người nhận không xác định với yêu cầu hoặc đề nghị xem những gì ẩn đằng sau liên kết, tốt nhất bạn nên chuyển thư vào thư rác hoặc xóa nó hoàn toàn.

Để ngăn vi-rút mã hóa tất cả các tệp .xtbl một ngày nào đó, các phòng thí nghiệm phần mềm chống vi-rút đề xuất một cách miễn phí để bảo vệ khỏi bị lây nhiễm bởi vi-rút mã hóa: mỗi tuần một lần, hãy kiểm tra trạng thái của chúng.

Virus đã mã hóa toàn bộ file trên máy tính: phương pháp xử lý

Nếu bạn trở thành nạn nhân của tội phạm mạng và dữ liệu trên máy tính của bạn đã bị nhiễm một trong các loại phần mềm độc hại mã hóa thì đã đến lúc bạn nên cố gắng khôi phục các tệp của mình.

Có một số cách để xử lý miễn phí các tài liệu bị nhiễm virus:

1. Phương pháp phổ biến nhất và có lẽ hiệu quả nhất hiện nay là sao lưu tài liệu và sau đó khôi phục chúng trong trường hợp bị lây nhiễm bất ngờ.
2. Thuật toán phần mềm của virus CTB hoạt động khá thú vị. Khi ở trên máy tính, nó sẽ sao chép các tập tin, mã hóa chúng và xóa các tài liệu gốc, do đó loại bỏ khả năng phục hồi chúng. Nhưng với sự trợ giúp của phần mềm Photorec hoặc R-Studio, bạn có thể quản lý để lưu một số tệp gốc chưa được chỉnh sửa. Bạn nên biết rằng bạn sử dụng máy tính của mình càng lâu sau khi nó bị nhiễm virus thì khả năng khôi phục tất cả các tài liệu cần thiết của bạn càng ít.
3. Nếu vi-rút đã mã hóa tất cả các tệp .vault, có một cách tốt khác để giải mã chúng - sử dụng ổ đĩa bản sao ẩn. Tất nhiên, vi-rút sẽ cố gắng xóa tất cả chúng vĩnh viễn và không thể thu hồi được, nhưng cũng có trường hợp một số tệp vẫn còn nguyên. Trong trường hợp này, bạn sẽ có một cơ hội nhỏ để khôi phục chúng.
4. Có thể lưu trữ dữ liệu trên các dịch vụ lưu trữ tệp như DropBox. Nó có thể được cài đặt trên máy tính của bạn dưới dạng ánh xạ đĩa cục bộ. Đương nhiên, virus mã hóa cũng sẽ lây nhiễm sang anh ta. Nhưng trong trường hợp này, việc khôi phục tài liệu và các tập tin quan trọng sẽ thực tế hơn nhiều.

Phần mềm phòng chống lây nhiễm virus máy tính cá nhân

Nếu bạn sợ phần mềm độc hại xâm nhập vào máy tính của mình và không muốn vi-rút quỷ quyệt mã hóa tất cả các tệp của mình, bạn nên sử dụng trình chỉnh sửa chính sách cục bộ hoặc trình chỉnh sửa nhóm Windows. Nhờ phần mềm tích hợp này, bạn có thể thiết lập chính sách hạn chế chương trình - và khi đó bạn sẽ không lo lắng về việc máy tính của mình bị nhiễm virus.

Cách khôi phục tập tin bị nhiễm

Nếu virus CTB đã mã hóa toàn bộ file, trong trường hợp này bạn phải làm gì để khôi phục lại những tài liệu cần thiết? Thật không may, ở thời điểm hiện tại, không một phòng thí nghiệm chống vi-rút nào có thể cung cấp giải mã các tệp của bạn, nhưng có thể vô hiệu hóa sự lây nhiễm và loại bỏ hoàn toàn nó khỏi máy tính cá nhân. Tất cả các phương pháp phục hồi thông tin hiệu quả được liệt kê ở trên. Nếu các tệp của bạn quá có giá trị đối với bạn và bạn không thèm sao lưu chúng vào ổ đĩa di động hoặc ổ Internet, thì bạn sẽ phải trả số tiền mà tội phạm mạng yêu cầu. Nhưng không có khả năng khóa giải mã sẽ được gửi cho bạn ngay cả sau khi thanh toán.

Cách tìm tập tin bị nhiễm

Để xem danh sách các file bị nhiễm, bạn có thể vào đường dẫn này: “My Documents”\.html hoặc “C:”\”Users”\”All Users”\.html. Trang html này không chỉ chứa dữ liệu về các hướng dẫn ngẫu nhiên mà còn về các đối tượng bị nhiễm.

Cách chặn virus mã hóa

Khi máy tính đã bị nhiễm phần mềm độc hại, hành động cần thiết đầu tiên của người dùng là bật mạng. Điều này được thực hiện bằng cách nhấn phím bàn phím F10.

Nếu vi-rút Critroni vô tình xâm nhập vào máy tính của bạn và mã hóa tất cả các tệp ở định dạng .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf hoặc bất kỳ định dạng nào khác thì việc khôi phục chúng đã rất khó khăn. Nhưng nếu virus chưa thực hiện nhiều thay đổi thì rất có thể nó sẽ bị chặn bằng chính sách hạn chế phần mềm.

là một chương trình độc hại mà khi được kích hoạt sẽ mã hóa tất cả các tệp cá nhân, chẳng hạn như tài liệu, ảnh, v.v. Số lượng các chương trình như vậy rất lớn và đang tăng lên mỗi ngày. Chỉ gần đây chúng tôi mới gặp hàng tá biến thể ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, .da_vinci_code, toste, fff, v.v. Mục tiêu của những virus mã hóa như vậy là buộc người dùng phải mua, thường với số tiền lớn, chương trình và khóa cần thiết để giải mã các tập tin của chính họ.

Tất nhiên, bạn có thể khôi phục các tệp bị mã hóa chỉ bằng cách làm theo hướng dẫn mà kẻ tạo vi-rút để lại trên máy tính bị nhiễm. Nhưng thông thường, chi phí giải mã là rất đáng kể và bạn cũng cần biết rằng một số vi-rút ransomware mã hóa tệp theo cách mà sau này đơn giản là không thể giải mã chúng. Và tất nhiên, việc trả tiền để khôi phục các tập tin của riêng bạn thật khó chịu.

Dưới đây chúng tôi sẽ nói chi tiết hơn về vi-rút mã hóa, cách chúng xâm nhập vào máy tính của nạn nhân, cũng như cách loại bỏ vi-rút mã hóa và khôi phục các tệp bị nó mã hóa.

Virus ransomware xâm nhập vào máy tính như thế nào?

Virus ransomware thường lây lan qua email. Bức thư chứa các tài liệu bị nhiễm bệnh. Những bức thư như vậy được gửi đến một cơ sở dữ liệu khổng lồ về địa chỉ email. Tác giả của loại vi-rút này sử dụng các tiêu đề và nội dung sai lệch của các bức thư, cố gắng lừa người dùng mở một tài liệu đính kèm với bức thư. Một số lá thư thông báo về nhu cầu thanh toán hóa đơn, một số khác đề nghị xem bảng giá mới nhất, một số khác đề nghị mở một bức ảnh vui nhộn, v.v. Trong mọi trường hợp, việc mở file đính kèm sẽ khiến máy tính của bạn bị nhiễm virus ransomware.

Virus ransomware là gì?

Vi-rút ransomware là một chương trình độc hại lây nhiễm vào các phiên bản hiện đại của hệ điều hành Windows, chẳng hạn như Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Những vi-rút này cố gắng sử dụng các chế độ mã hóa mạnh nhất có thể, chẳng hạn như RSA-2048 với độ dài khóa là 2048 bit, điều này thực tế loại bỏ khả năng chọn khóa để giải mã các tệp độc lập.

Khi lây nhiễm vào máy tính, vi-rút ransomware sử dụng thư mục hệ thống %APPDATA% để lưu trữ các tệp của chính nó. Để tự động khởi chạy khi bạn bật máy tính, ransomware tạo một mục trong sổ đăng ký Windows: các phần HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Ngay sau khi khởi chạy, vi-rút sẽ quét tất cả các ổ đĩa có sẵn, bao gồm cả bộ lưu trữ mạng và đám mây, để xác định các tệp sẽ được mã hóa. Virus ransomware sử dụng phần mở rộng tên tệp như một cách để xác định một nhóm tệp sẽ được mã hóa. Hầu hết tất cả các loại tệp đều được mã hóa, bao gồm cả những loại phổ biến như:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Ngay sau khi tệp được mã hóa, nó sẽ nhận được phần mở rộng mới, phần mở rộng này thường có thể được sử dụng để xác định tên hoặc loại phần mềm ransomware. Một số loại phần mềm độc hại này cũng có thể thay đổi tên của tệp được mã hóa. Sau đó, vi-rút tạo một tài liệu văn bản có tên như HELP_YOUR_FILES, README, chứa hướng dẫn giải mã các tệp được mã hóa.

Trong quá trình hoạt động, virus mã hóa cố gắng chặn khả năng khôi phục tệp bằng hệ thống SVC (bản sao bóng của tệp). Để thực hiện điều này, vi-rút, ở chế độ lệnh, gọi tiện ích quản lý các bản sao ẩn của tệp bằng một phím để bắt đầu quy trình xóa chúng hoàn toàn. Vì vậy, hầu như không thể khôi phục tệp bằng cách sử dụng bản sao bóng của chúng.

Virus ransomware tích cực sử dụng các chiến thuật đe dọa bằng cách cung cấp cho nạn nhân một liên kết đến phần mô tả thuật toán mã hóa và hiển thị thông báo đe dọa trên Màn hình nền. Bằng cách này, anh ta cố gắng buộc người dùng máy tính bị nhiễm không do dự gửi ID máy tính đến địa chỉ email của tác giả vi-rút để cố gắng lấy lại các tập tin của mình. Phản hồi cho một tin nhắn như vậy thường là số tiền chuộc và địa chỉ ví điện tử.

Máy tính của tôi có bị nhiễm virus ransomware không?

Khá dễ dàng để xác định xem máy tính có bị nhiễm vi-rút mã hóa hay không. Hãy chú ý đến phần mở rộng của các tệp cá nhân của bạn, chẳng hạn như tài liệu, ảnh, nhạc, v.v. Nếu tiện ích mở rộng đã thay đổi hoặc các tập tin cá nhân của bạn biến mất, để lại nhiều tập tin không rõ tên thì máy tính của bạn đã bị nhiễm virus. Ngoài ra, một dấu hiệu lây nhiễm là sự hiện diện của một tệp có tên HELP_YOUR_FILES hoặc README trong thư mục của bạn. Tệp này sẽ chứa hướng dẫn giải mã các tập tin.

Nếu bạn nghi ngờ rằng mình đã mở một email bị nhiễm vi-rút ransomware nhưng chưa có triệu chứng lây nhiễm thì đừng tắt hoặc khởi động lại máy tính. Thực hiện theo các bước được mô tả trong phần hướng dẫn này. Tôi nhắc lại một lần nữa, điều rất quan trọng là không tắt máy tính; ở một số loại ransomware, quá trình mã hóa tệp được kích hoạt vào lần đầu tiên bạn bật máy tính sau khi bị lây nhiễm!

Làm cách nào để giải mã các tập tin bị mã hóa bằng virus ransomware?

Nếu thảm họa này xảy ra thì không cần phải hoảng sợ! Nhưng bạn cần biết rằng trong hầu hết các trường hợp không có bộ giải mã miễn phí. Điều này là do các thuật toán mã hóa mạnh được sử dụng bởi phần mềm độc hại đó. Điều này có nghĩa là nếu không có khóa riêng thì gần như không thể giải mã được tập tin. Sử dụng phương pháp chọn khóa cũng không phải là một lựa chọn do độ dài của khóa lớn. Do đó, thật không may, chỉ trả cho tác giả của vi-rút toàn bộ số tiền được yêu cầu là cách duy nhất để cố gắng lấy khóa giải mã.

Tất nhiên, hoàn toàn không có gì đảm bảo rằng sau khi thanh toán, tác giả của vi-rút sẽ liên hệ với bạn và cung cấp khóa cần thiết để giải mã các tệp của bạn. Ngoài ra, bạn cần hiểu rằng bằng cách trả tiền cho những kẻ phát triển virus, chính bạn đang khuyến khích họ tạo ra những loại virus mới.

Làm thế nào để loại bỏ virus ransomware?

Trước khi bắt đầu, bạn cần biết rằng bằng cách bắt đầu loại bỏ vi-rút và cố gắng tự khôi phục các tệp, bạn đang chặn khả năng giải mã các tệp bằng cách trả cho tác giả vi-rút số tiền họ yêu cầu.

Kaspersky Virus Removal Tool và Malwarebytes Anti-malware có thể phát hiện các loại vi-rút ransomware đang hoạt động khác nhau và sẽ dễ dàng loại bỏ chúng khỏi máy tính của bạn, NHƯNG chúng không thể khôi phục các tệp được mã hóa.

5.1. Loại bỏ ransomware bằng Kaspersky Virus Removal Tool

Theo mặc định, chương trình được cấu hình để khôi phục tất cả các loại tệp, nhưng để tăng tốc công việc, bạn chỉ nên để lại những loại tệp mà bạn cần khôi phục. Khi bạn đã hoàn thành lựa chọn của mình, hãy nhấp vào OK.

Ở cuối cửa sổ chương trình QPhotoRec, tìm nút Duyệt và nhấp vào nút đó. Bạn cần chọn thư mục lưu các tập tin đã khôi phục. Nên sử dụng đĩa không chứa các tệp được mã hóa cần khôi phục (bạn có thể sử dụng ổ đĩa flash hoặc ổ đĩa ngoài).

Để bắt đầu quy trình tìm kiếm và khôi phục bản gốc của các tệp được mã hóa, hãy nhấp vào nút Tìm kiếm. Quá trình này mất khá nhiều thời gian nên hãy kiên nhẫn.

Khi tìm kiếm hoàn tất, nhấp vào nút Thoát. Bây giờ hãy mở thư mục bạn đã chọn để lưu các tập tin đã khôi phục.

Thư mục sẽ chứa các thư mục có tên recup_dir.1, recup_dir.2, recup_dir.3, v.v. Chương trình càng tìm thấy nhiều tập tin thì càng có nhiều thư mục. Để tìm các tập tin bạn cần, hãy kiểm tra từng thư mục một. Để giúp tìm thấy tệp bạn cần dễ dàng hơn trong số lượng lớn tệp đã được khôi phục, hãy sử dụng hệ thống tìm kiếm tích hợp sẵn của Windows (theo nội dung tệp) và cũng đừng quên chức năng sắp xếp tệp trong thư mục. Bạn có thể chọn ngày tệp được sửa đổi làm tùy chọn sắp xếp vì QPhotoRec cố gắng khôi phục thuộc tính này khi khôi phục tệp.

Làm cách nào để ngăn chặn virus ransomware lây nhiễm vào máy tính của bạn?

Hầu hết các chương trình chống vi-rút hiện đại đều có hệ thống bảo vệ tích hợp chống lại sự xâm nhập và kích hoạt của vi-rút mã hóa. Do đó, nếu máy tính của bạn không có chương trình chống vi-rút, hãy nhớ cài đặt nó. Bạn có thể tìm hiểu cách chọn nó bằng cách đọc phần này.

Hơn nữa, có các chương trình bảo vệ chuyên biệt. Ví dụ: đây là CryptoPrevent, chi tiết hơn.

Một vài lời cuối cùng

Bằng cách làm theo các hướng dẫn này, máy tính của bạn sẽ sạch vi-rút ransomware. Nếu bạn có thắc mắc hoặc cần trợ giúp, vui lòng liên hệ với chúng tôi.

Và mỗi năm càng có nhiều cái mới xuất hiện... ngày càng thú vị hơn. Loại virus phổ biến nhất gần đây (Trojan-Ransom.Win32.Rector), mã hóa tất cả các tệp của bạn (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, v.v. .d.). Vấn đề là việc giải mã những tập tin như vậy cực kỳ khó khăn và tốn thời gian; tùy thuộc vào loại mã hóa, việc giải mã có thể mất hàng tuần, hàng tháng hoặc thậm chí hàng năm. Theo tôi, loại virus này hiện đang ở mức nguy hiểm cao nhất trong số các loại virus khác. Nó đặc biệt nguy hiểm đối với máy tính/máy tính xách tay tại nhà, vì hầu hết người dùng không sao lưu dữ liệu và khi mã hóa tập tin, họ sẽ mất toàn bộ dữ liệu. Đối với các tổ chức, loại vi-rút này ít nguy hiểm hơn vì chúng tạo bản sao lưu các dữ liệu quan trọng và trong trường hợp bị lây nhiễm, chỉ cần khôi phục chúng một cách tự nhiên sau khi loại bỏ vi-rút. Tôi đã gặp loại virus này vài lần, tôi sẽ mô tả nó xảy ra như thế nào và nó dẫn đến hậu quả gì.

Lần đầu tiên tôi gặp phải một loại virus mã hóa tập tin là vào đầu năm 2014. Một quản trị viên từ thành phố khác đã liên hệ với tôi và cho tôi biết một tin khó chịu nhất - Tất cả các tệp trên máy chủ tệp đều được mã hóa! Sự lây nhiễm xảy ra theo cách cơ bản - bộ phận kế toán nhận được một lá thư có tệp đính kèm “Act of something There.pdf.exe”, như bạn hiểu, họ đã mở tệp EXE này và quá trình bắt đầu... nó mã hóa tất cả các tệp cá nhân trên máy tính và đi đến máy chủ tệp (nó được kết nối bằng ổ đĩa mạng). Tôi và quản trị viên bắt đầu tìm kiếm thông tin trên Internet... lúc đó không có giải pháp nào cả... mọi người đều viết rằng có một loại virus như vậy, không biết cách xử lý, các tập tin không thể giải mã được, có lẽ gửi tệp đến Kaspersky, Dr Web hoặc Nod32 sẽ hữu ích. Bạn chỉ có thể gửi chúng nếu bạn sử dụng các chương trình chống vi-rút của họ (được cấp phép). Chúng tôi đã gửi hồ sơ cho Dr Web và Nod32, kết quả là 0, tôi không nhớ họ đã nói gì với Dr Web, còn Nod 32 hoàn toàn im lặng và tôi không nhận được bất kỳ phản hồi nào từ họ. Nói chung, mọi thứ thật đáng buồn và chúng tôi chưa bao giờ tìm ra giải pháp; chúng tôi đã khôi phục một số tệp từ bản sao lưu.

Câu chuyện thứ hai - mới hôm nọ (giữa tháng 10 năm 2014) tôi nhận được cuộc gọi từ một tổ chức yêu cầu tôi giải quyết vấn đề với virus; như bạn hiểu, tất cả các tập tin trên máy tính đều đã được mã hóa. Đây là một ví dụ về những gì nó trông như thế nào.

Như bạn có thể thấy, phần mở rộng *.AES256 đã được thêm vào mỗi tệp. Trong mỗi thư mục có một tệp “Attention_open-me.txt” chứa các liên hệ để liên lạc.

Khi cố gắng mở những tệp này, một chương trình có danh bạ đã mở để liên hệ với tác giả của vi-rút để trả tiền giải mã. Tất nhiên, tôi không khuyên bạn nên liên hệ với họ hoặc trả tiền cho mã, vì bạn sẽ chỉ hỗ trợ họ về mặt tài chính và thực tế không phải là bạn sẽ nhận được khóa giải mã.

Sự lây nhiễm xảy ra trong quá trình cài đặt một chương trình được tải xuống từ Internet. Điều đáng ngạc nhiên nhất là khi họ nhận thấy các tập tin đã thay đổi (biểu tượng và phần mở rộng tập tin đã thay đổi), họ không làm gì và tiếp tục hoạt động, trong khi ransomware tiếp tục mã hóa tất cả các tập tin.

Chú ý!!! Nếu bạn nhận thấy các tập tin trên máy tính của mình bị mã hóa (thay đổi biểu tượng, thay đổi phần mở rộng), hãy tắt máy tính/máy tính xách tay ngay lập tức và tìm giải pháp từ thiết bị khác (từ máy tính/máy tính xách tay, điện thoại, máy tính bảng khác) hoặc liên hệ với chuyên gia CNTT. Máy tính/máy tính xách tay của bạn được bật càng lâu thì càng mã hóa được nhiều tệp.

Nói chung, tôi đã muốn từ chối giúp đỡ họ, nhưng tôi quyết định lướt Internet, có lẽ giải pháp cho vấn đề này đã xuất hiện. Qua tìm kiếm, tôi đọc được rất nhiều thông tin về những thứ không thể giải mã được, rằng bạn cần gửi file đến các công ty diệt virus (Kaspersky, Dr Web hoặc Nod32) - cảm ơn vì đã trải nghiệm.
Tôi tình cờ thấy một tiện ích của Kaspersky - RectorDecryptor. Và lạ thay, các tập tin đã được giải mã. Vâng, điều đầu tiên trước tiên...

Bước đầu tiên là ngăn chặn ransomware. Bạn sẽ không tìm thấy bất kỳ phần mềm chống vi-rút nào vì Dr Web đã cài đặt không tìm thấy bất kỳ thứ gì. Trước hết, tôi khởi động và vô hiệu hóa tất cả các phần khởi động (trừ phần mềm chống vi-rút). Đã khởi động lại máy tính. Sau đó, tôi bắt đầu xem loại tập tin nào đang khởi động.

Như bạn có thể thấy trong trường “Lệnh”, nó được chỉ định vị trí của tệp, cần đặc biệt chú ý đối với các ứng dụng không có chữ ký (Nhà sản xuất - Không có dữ liệu). Nói chung, tôi đã tìm thấy và xóa phần mềm độc hại cũng như các tệp mà tôi chưa hiểu rõ. Sau đó, tôi xóa các thư mục tạm thời và bộ nhớ đệm của trình duyệt; CCleaner .

Sau đó, tôi bắt đầu giải mã các tập tin, để làm điều này tôi đã tải xuống chương trình giải mã RectorDecryptor . Tôi khởi chạy nó và thấy một giao diện khá khổ hạnh của tiện ích.

Tôi đã nhấp vào “Bắt đầu quét” và chỉ ra phần mở rộng mà tất cả các tệp đã thay đổi đều có.

Và chỉ ra tập tin được mã hóa. Trong các phiên bản mới hơn của RectorDecryptor, bạn có thể chỉ định tệp được mã hóa một cách đơn giản. Nhấp vào nút "Mở".

Tada-a-a-am!!! Một điều kỳ diệu đã xảy ra và tập tin đã được giải mã.

Sau đó, tiện ích sẽ tự động kiểm tra tất cả các tệp + tệp máy tính trên ổ đĩa mạng được kết nối và giải mã chúng. Quá trình giải mã có thể mất vài giờ (tùy thuộc vào số lượng tệp được mã hóa và tốc độ máy tính của bạn).

Kết quả là tất cả các tệp được mã hóa đã được giải mã thành công vào cùng thư mục nơi chúng được đặt ban đầu.

Tất cả những gì còn lại là xóa tất cả các tệp có phần mở rộng .AES256; điều này có thể được thực hiện bằng cách chọn hộp kiểm “Xóa các tệp được mã hóa sau khi giải mã thành công” nếu bạn nhấp vào “Thay đổi tham số quét” trong cửa sổ RectorDecryptor.

Nhưng hãy nhớ rằng tốt hơn hết là không nên chọn hộp này, vì nếu các tệp không được giải mã thành công, chúng sẽ bị xóa và để cố gắng giải mã lại chúng, trước tiên bạn phải thực hiện khôi phục .

Khi tôi cố gắng xóa tất cả các tệp được mã hóa bằng tính năng tìm kiếm và xóa tiêu chuẩn, tôi gặp phải tình trạng máy tính bị treo và hoạt động cực kỳ chậm.

Vì vậy, để loại bỏ nó, cách tốt nhất là sử dụng dòng lệnh, chạy nó và viết del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Trong trường hợp của tôi, del "d:\*.AES256" /f /s.

Đừng quên xóa các tập tin "Attention_open-me.txt", để thực hiện việc này, hãy sử dụng lệnh trên dòng lệnh del"<диск>:\*.<имя файла>"/f/s, Ví dụ
xóa "d:\Chú ý_open-me.txt" /f /s

Như vậy, virus đã bị đánh bại và các tập tin đã được khôi phục. Tôi muốn cảnh báo bạn rằng phương pháp này sẽ không giúp ích được cho tất cả mọi người, vấn đề là Kapersky trong tiện ích này đã thu thập tất cả các khóa giải mã đã biết (từ những tệp được gửi bởi những người bị nhiễm vi-rút) và sử dụng phương pháp vũ phu để chọn các khóa và giải mã chúng. Những thứ kia. nếu các tệp của bạn bị vi-rút mã hóa bằng khóa không xác định thì phương pháp này sẽ không giúp ích gì... bạn sẽ phải gửi các tệp bị nhiễm đến các công ty chống vi-rút - Kaspersky, Dr Web hoặc Nod32 để giải mã chúng.