Thực đơn
trang chủMicrosoft

Tên của virus ransomware. Tệp có phần mở rộng .xtbl - cách giải mã và khôi phục thông tin. Cách giải mã tập tin - video

“Xin lỗi đã làm phiền bạn, nhưng... tập tin của bạn đã được mã hóa. Để có được khóa giải mã, hãy khẩn trương chuyển một số tiền nhất định vào ví của bạn... Nếu không, dữ liệu của bạn sẽ bị tiêu hủy vĩnh viễn. Bạn có 3 giờ, thời gian đã trôi qua.” Và đó không phải là một trò đùa. Một virus mã hóa còn hơn cả một mối đe dọa thực sự.

Hôm nay chúng ta sẽ nói về sự lây lan trong những năm trước phần mềm độc hại- ransomware, phải làm gì nếu bị nhiễm, cách khử trùng máy tính của bạn và liệu điều đó có khả thi hay không, cũng như cách bảo vệ bạn khỏi chúng.


Chúng tôi mã hóa mọi thứ!

Virus ransomware (encryptor, cryptor) là một loại ransomware độc ​​hại đặc biệt có hoạt động bao gồm mã hóa các tệp của người dùng và sau đó yêu cầu tiền chuộc cho công cụ giải mã. Số tiền chuộc bắt đầu từ khoảng 200 đô la và lên tới hàng chục, hàng trăm nghìn mảnh giấy màu xanh lá cây.

Vài năm trước, chỉ có máy tính chạy trên Dựa trên Windows. Ngày nay, phạm vi của họ đã mở rộng sang Linux, Mac và Android dường như được bảo vệ tốt. Ngoài ra, sự đa dạng của các loại máy mã hóa không ngừng phát triển - các sản phẩm mới lần lượt xuất hiện, có điều gì đó khiến cả thế giới phải ngạc nhiên. Do đó, nó phát sinh do sự “vượt qua” của một Trojan mã hóa cổ điển và sâu mạng (một chương trình độc hại lây lan trên các mạng mà không có sự tham gia tích cực của người dùng).

Sau WannaCry, Petya không kém phần phức tạp và Thỏ Xấu. Và vì “kinh doanh mã hóa” mang lại thu nhập tốt cho chủ sở hữu của nó, bạn có thể chắc chắn rằng họ không phải là người cuối cùng.

Ngày càng có nhiều ransomware, đặc biệt là những ransomware được phát hành trong 3-5 năm qua, sử dụng mạnh mẽ thuật toán mật mã, không thể bị bẻ khóa bằng vũ lực hoặc các phương tiện hiện có khác. Cách duy nhất để khôi phục dữ liệu là sử dụng chìa khóa gốc, mà những kẻ tấn công đề nghị mua. Tuy nhiên, ngay cả việc chuyển số tiền cần thiết cho họ cũng không đảm bảo nhận được chìa khóa. Tội phạm không vội tiết lộ bí mật của mình và đánh mất lợi nhuận tiềm năng. Và việc họ giữ lời hứa để làm gì nếu họ đã có tiền?

Con đường phát tán của virus mã hóa

Cách chính mà phần mềm độc hại xâm nhập vào máy tính của người dùng và tổ chức cá nhân là E-mail, chính xác hơn là các tập tin và liên kết đính kèm với các chữ cái.

Một ví dụ về một lá thư như vậy dành cho “khách hàng doanh nghiệp”:

  • “Trả nợ vay ngay lập tức.”
  • “Đơn kiện đã được nộp lên tòa án.”
  • “Trả tiền phạt/phí/thuế.”
  • “Phí bổ sung cho hóa đơn tiện ích.”
  • “Ồ, có phải bạn trong ảnh không?”
  • “Lena yêu cầu tôi khẩn trương đưa cái này cho bạn,” v.v.

Đồng ý, chỉ người dùng hiểu biết sẽ xử lý một lá thư như vậy một cách thận trọng. Hầu hết mọi người, không chút do dự, sẽ mở tệp đính kèm và tự khởi chạy chương trình độc hại. Nhân tiện, bất chấp tiếng kêu của phần mềm chống vi-rút.

Những thứ sau đây cũng được sử dụng tích cực để phân phối ransomware:

  • Mạng xã hội (gửi thư từ tài khoản của bạn bè và người lạ).
  • Tài nguyên web độc hại và bị nhiễm virus.
  • Quảng cáo biểu ngữ.
  • Gửi thư qua tin nhắn từ các tài khoản bị hack.
  • Các trang web Vareznik và nhà phân phối keygen và crack.
  • Các trang web dành cho người lớn.
  • Cửa hàng ứng dụng và nội dung.

Virus mã hóa thường được mang theo bởi các chương trình độc hại khác, đặc biệt là các chương trình trình diễn quảng cáo và Trojan cửa sau. Sau này, sử dụng các lỗ hổng trong hệ thống và phần mềm, giúp tội phạm có được Truy cập từ xa tới thiết bị bị nhiễm. Việc khởi chạy bộ mã hóa trong những trường hợp như vậy không phải lúc nào cũng trùng khớp với các hành động tiềm ẩn nguy hiểm của người dùng. Miễn là cửa sau vẫn còn trong hệ thống, kẻ tấn công có thể xâm nhập vào thiết bị bất cứ lúc nào và bắt đầu mã hóa.

Để lây nhiễm vào máy tính của các tổ chức (xét cho cùng, có thể lấy được nhiều thứ từ chúng hơn là từ người dùng gia đình), đặc biệt là các phương pháp phức tạp đang được phát triển. Ví dụ: Trojan Petya xâm nhập các thiết bị thông qua mô-đun cập nhật của chương trình kế toán thuế MEDoc.

Bộ mã hóa có chức năng sâu mạng, như đã đề cập, lây lan trên các mạng, bao gồm cả Internet, thông qua các lỗ hổng giao thức. Và bạn có thể bị nhiễm chúng mà không cần làm gì cả. Mối nguy hiểm lớn nhất Người dùng hệ điều hành Windows hiếm khi được cập nhật sẽ bị ảnh hưởng do các bản cập nhật sẽ đóng các lỗ hổng đã biết.

Một số phần mềm độc hại, chẳng hạn như WannaCry, khai thác các lỗ hổng 0-day, tức là những lỗ hổng mà các nhà phát triển hệ thống chưa biết đến. Thật không may, không thể chống lại sự lây nhiễm hoàn toàn theo cách này, nhưng khả năng bạn nằm trong số nạn nhân thậm chí không đạt tới 1%. Tại sao? Có, vì phần mềm độc hại không thể lây nhiễm tất cả các máy dễ bị tấn công cùng một lúc. Và trong khi lên kế hoạch cho những nạn nhân mới, các nhà phát triển hệ thống đã cố gắng phát hành một bản cập nhật cứu mạng.

Cách ransomware hoạt động trên máy tính bị nhiễm

Theo quy luật, quá trình mã hóa bắt đầu mà không được chú ý và khi các dấu hiệu của nó trở nên rõ ràng thì đã quá muộn để lưu dữ liệu: vào thời điểm đó, phần mềm độc hại đã mã hóa mọi thứ mà nó có thể tiếp cận. Đôi khi người dùng có thể nhận thấy các tập tin trong một số mở thư mục phần mở rộng đã thay đổi.

Sự xuất hiện không hợp lý của một tiện ích mở rộng mới và đôi khi là tiện ích mở rộng thứ hai trên các tệp, sau đó chúng ngừng mở, hoàn toàn cho thấy hậu quả của một cuộc tấn công mã hóa. Nhân tiện, thông thường có thể xác định phần mềm độc hại bằng tiện ích mở rộng mà các đối tượng bị hỏng nhận được.

Một ví dụ về phần mở rộng của tệp được mã hóa có thể là:. xtbl, .kraken, .cesar, .da_vinci_code, .codecsu@gmail_com, .crypted000007, .no_more_ransom, .decoding GlobeImposter v2, .ukrain, .rn, v.v.

Có rất nhiều lựa chọn và những lựa chọn mới sẽ xuất hiện vào ngày mai, vì vậy không có ích gì khi liệt kê mọi thứ. Để xác định loại lây nhiễm, việc cung cấp một số tiện ích mở rộng cho công cụ tìm kiếm là đủ.

Các triệu chứng khác gián tiếp chỉ ra sự bắt đầu mã hóa:

  • Cửa sổ dòng lệnh xuất hiện trên màn hình trong tích tắc. Thông thường, đây là hiện tượng bình thường khi cài đặt các bản cập nhật hệ thống và chương trình, nhưng tốt hơn hết là bạn không nên bỏ qua.
  • UAC yêu cầu khởi chạy một số chương trình mà bạn không có ý định mở.
  • Máy tính khởi động lại đột ngột sau đó bắt chước hoạt động tiện ích hệ thống kiểm tra đĩa (có thể có các biến thể khác). Trong quá trình “xác minh”, quá trình mã hóa sẽ diễn ra.

Sau khi hoạt động độc hại hoàn tất thành công, một thông báo xuất hiện trên màn hình với yêu cầu tiền chuộc và nhiều mối đe dọa khác nhau.

Ransomware mã hóa một phần đáng kể Tập tin người dùng: ảnh, nhạc, video, tài liệu văn bản, kho lưu trữ, thư, cơ sở dữ liệu, tệp có phần mở rộng chương trình, v.v. Nhưng chúng không chạm vào đồ vật hệ điều hành, bởi vì những kẻ tấn công không cần máy tính bị nhiễm ngừng hoạt động. Một số virus thay thế hồ sơ khởi độngđĩa và phân vùng.

Sau khi mã hóa, tất cả các bản sao ẩn và điểm khôi phục thường bị xóa khỏi hệ thống.

Cách chữa máy tính khỏi ransomware

Việc loại bỏ phần mềm độc hại khỏi hệ thống bị nhiễm thật dễ dàng—hầu hết tất cả các chương trình chống vi-rút đều có thể xử lý hầu hết chúng mà không gặp khó khăn. Nhưng! Thật ngây thơ khi tin rằng việc loại bỏ thủ phạm sẽ giải quyết được vấn đề: dù bạn có loại bỏ vi-rút hay không, các tập tin vẫn sẽ được mã hóa. Ngoài ra, trong một số trường hợp, điều này sẽ làm phức tạp quá trình giải mã tiếp theo của chúng, nếu có thể.

Quy trình đúng khi bắt đầu mã hóa

  • Một khi bạn nhận thấy dấu hiệu mã hóa, Tắt nguồn máy tính ngay lập tức bằng cách nhấn và giữ nútNguồn trong 3-4 giây. Điều này sẽ lưu ít nhất một số tập tin.
  • Tạo trên máy tính khác đĩa khởi động hoặc ổ đĩa flash có chương trình chống vi-rút. Ví dụ, , , vân vân.
  • Khởi động máy bị nhiễm từ đĩa này và quét hệ thống. Loại bỏ mọi vi-rút được tìm thấy và giữ chúng cách ly (trong trường hợp chúng cần thiết để giải mã). Chỉ sau đó bạn có thể khởi động máy tính của mình từ ổ cứng .
  • Cố gắng khôi phục các tập tin được mã hóa từ bản sao bóng tối sử dụng hệ thống hoặc sử dụng bên thứ ba.

Phải làm gì nếu các tập tin đã được mã hóa

  • Đừng mất hy vọng. Trang web của các nhà phát triển sản phẩm chống vi-rút có chứa các tiện ích giải mã miễn phí dành cho các loại khác nhau phần mềm độc hại. Đặc biệt, các tiện ích từ và .
  • Sau khi xác định loại bộ mã hóa, hãy tải xuống tiện ích phù hợp, chắc chắn làm được bản sao tập tin bị hỏng và cố gắng giải mã chúng. Nếu thành công, hãy giải mã phần còn lại.

Nếu các tập tin không được giải mã

Nếu không có tiện ích nào giúp ích được thì rất có thể bạn đã bị nhiễm một loại vi-rút chưa có thuốc chữa.

Bạn có thể làm gì trong trường hợp này:

  • Nếu bạn sử dụng sản phẩm chống vi-rút trả phí, hãy liên hệ với nhóm hỗ trợ của sản phẩm đó. Gửi một số bản sao của tệp bị hỏng đến phòng thí nghiệm và chờ phản hồi. Với sự có mặt của tính khả thi về mặt kỹ thuật họ sẽ giúp bạn.
  • Nếu các tập tin bị hư hỏng một cách vô vọng nhưng chúng có giá trị lớn đối với bạn, bạn chỉ có thể hy vọng và chờ đợi rằng một ngày nào đó sẽ tìm ra phương pháp giải cứu. Điều tốt nhất bạn có thể làm là để nguyên hệ thống và các tập tin, tức là bị vô hiệu hóa hoàn toàn và không được sử dụng ổ cứng. Xóa các tập tin phần mềm độc hại, cài đặt lại hệ điều hành và thậm chí cập nhật nó có thể khiến bạn mất đi và cơ hội này, vì khi tạo khóa mã hóa-giải mã, chúng thường được sử dụng số nhận dạng duy nhất hệ thống và bản sao của virus.

Trả tiền chuộc không phải là một lựa chọn vì khả năng bạn nhận được chìa khóa là gần bằng không. Và không có ích gì khi tài trợ cho một hoạt động kinh doanh tội phạm.

Cách bảo vệ bạn khỏi loại phần mềm độc hại này

Tôi không muốn lặp lại lời khuyên mà mỗi độc giả đã nghe hàng trăm lần. Có, cài đặt một phần mềm chống vi-rút tốt, không nhấp vào các liên kết đáng ngờ và blablabla là điều quan trọng. Tuy nhiên, như cuộc sống đã chỉ ra, ngày nay một viên thuốc thần kỳ mang lại cho bạn sự đảm bảo an toàn 100% không tồn tại.

Thứ duy nhất phương pháp hiệu quả bảo vệ chống lại loại phần mềm tống tiền này - hỗ trợ dữ liệu cho người khác Phương tiện vật lý, kể cả trong dịch vụ điện toán đám mây. Sao lưu, sao lưu, sao lưu...

Ngoài ra trên trang web:

Không có cơ hội cứu rỗi: virus mã hóa là gì và cách xử lý nó cập nhật: ngày 1 tháng 9 năm 2018 bởi: Johnny ghi nhớ

Xin chào các bạn! Thật là một thảm họa, thật là một thảm họa! Hôm qua tôi suýt trở thành nạn nhân virus ransomware. Và tôi viết bài này vì tức giận. Để bạn đọc thân mến biết cách và phải làm gì để tránh “ngày của người viết mật mã”. Tôi đã thoát khỏi nó lần này. Tôi sẽ cho bạn biết làm thế nào. Tôi cũng sẽ chia sẻ một số quan sát và kinh nghiệm của tôi về chủ đề này.

Tất cả chúng ta thỉnh thoảng đều nghe trên TV về các loại virus “petya”, “muốn khóc” và những thứ tương tự. Đây là những người được mệnh danh là “ngôi sao toàn cầu”, đẳng cấp quốc tế. Nếu chúng được nói đến trên TV và mọi thứ đều ổn trên máy tính của bạn, rất có thể bạn không còn nguy cơ gặp phải một “ngôi sao” nữa. Các biện pháp đã được thực hiện. Virus đã được phát hiện và vô hiệu hóa. Chữ ký của nó đã có trong cơ sở dữ liệu của phần mềm chống vi-rút tích hợp sẵn của bạn. Nguy hiểm hơn nhiều là những loại virus mã hóa mà người ta không nhắc đến trên TV. Chúng được viết bởi đồng bào chúng ta, những “nghệ sĩ tự do”, không bị gánh nặng bởi những chuẩn mực đạo đức.

Nó đã dễ dàng hơn trước đây. Virus ransomware đã chặn máy tính để bàn. Có một biểu ngữ không đứng đắn trên màn hình có nội dung: “Anh chính là như vậy đấy”. Bạn bị trừng phạt, nộp phạt. Tất cả điều này đã được xử lý khá nhanh chóng và dễ dàng. Và khá nhanh chóng, các biểu ngữ ransomware đã lỗi thời.


Sau đó, các lập trình viên tương lai từ đường cao tốc quyết định rằng chúng tôi cần phát triển hơn nữa. Những lá thư “vô tội” bắt đầu được gửi đến qua đường bưu điện. Hơn nữa, họ thường đến vào đầu tháng, cũng như vào các ngày hàng quý và hàng năm. Một kế toán trưởng (hoặc không phải vậy) không nghi ngờ gì đã mở một lá thư như vậy. Nội dung không mở. Chẳng có gì xảy ra. Cô đóng lá thư lại. Tuy nhiên, sau một giờ, anh phát hiện ra rằng tất cả các tệp tài liệu, ảnh và cơ sở dữ liệu đều được mã hóa. Và trong mỗi thư mục trên máy tính đều có một tập tin với thông điệp bình tĩnh, ngạo mạn.


Đừng tuyệt vọng! Đọc bài viết! Có nhiều cách giúp bạn tự bảo vệ mình. Bây giờ tôi sẽ cố gắng trình bày chúng càng chi tiết càng tốt.

Vì vậy, chủ đề thư bạn nhận được có thể chứa các từ: “gửi kế toán trưởng”, “gửi bộ phận kế toán”, “biên bản hòa giải”, “trát tòa”, “trọng tài”, từ “phạt”, “Tòa án” thường được tìm thấy.

Tôi nhắc lại một lần nữa - vào đầu tháng và vào các ngày hàng quý và hàng năm, những “chuỗi thư” như vậy thường được gửi đến. Việc tính toán rất đơn giản. Một kế toán viên không may (thường là phụ nữ), người có báo cáo hàng quý đã “cháy”, sẵn sàng làm bất cứ điều gì để lấy lại các báo cáo, cơ sở dữ liệu, bảng biểu, phép tính và số năm làm việc của mình.

Các bạn ơi, đừng đi theo sự dẫn dắt của những kẻ tống tiền. Không có sự đảm bảo về việc giải mã. Tại sao lại nâng cao lòng tự trọng của những “hacker” bất hạnh này và tạo cơ hội để tiếp tục cướp bóc những người lương thiện và chăm chỉ? Đừng chuyển tiền cho họ! Có thể phục hồi miễn là máy tính của bạn được cấu hình đúng và được bảo vệ. Thực hiện theo các khuyến nghị!

Làm cách nào để bảo vệ bạn khỏi virus ransomware trong Windows?

Lần đầu tiên tôi được yêu cầu giúp đỡ cách đây hai hoặc ba năm... Và tôi nhớ khi đó tôi đã bị ấn tượng bởi điều này, người ta có thể nói, sự ranh mãnh. Một virus xâm nhập vào hệ thống hoạt động như chương trình thường xuyên. Cơ sở dữ liệu của phần mềm chống vi-rút được cấp phép (!) Đã cài đặt không chứa chữ ký của chúng, vì vậy lúc đầu, phần mềm chống vi-rút không “coi” những “ứng dụng” như vậy là độc hại.

Cho đến khi những lời kêu gọi hỗ trợ trở nên phổ biến. Chương trình độc hại mã hóa tất cả các tệp trên máy tính thuộc một loại nhất định - văn bản, tài liệu, ảnh, tập tin PDF. Và “vị khách” ngày hôm qua của tôi đã mã hóa ngay cả một số tệp của chương trình 1C. Có sự tiến bộ.

Nhưng chúng tôi không sinh ra sau bếp lò... Tôi sẽ nói ngay rằng không có cách nào để giải mã các tập tin được mã hóa chương trình của bên thứ ba nó sẽ không hoạt động. Tôi nhớ rằng Kaspersky Lab đã đăng các chương trình giải mã trên trang web của mình.

Tuy nhiên, chúng chỉ dành cho một loại virus nhất định. Nó không giúp được gì cho tôi Ngày mai kẻ tấn công sẽ thay đổi mã và chương trình này sẽ không còn hữu ích nữa. Chìa khóa chỉ có “nhà phát triển” mới biết. Và nếu anh ta đã bị bỏ tù, chắc chắn sẽ không có ai gửi cho bạn bộ giải mã. Để làm cho ví tiền của bạn nhẹ đi, mã độc phải vượt qua nhiều tuyến phòng thủ.


Tuyến phòng thủ đầu tiên là sự chú ý và mức độ dễ đọc của bạn. Bạn luôn luôn đi đến cùng một trang web. Nếu bạn nhận được thư thì hầu như tất cả thư bạn nhận được luôn đến từ cùng một người nhận và luôn có cùng nội dung.

Khi nhận được một lá thư có nội dung bất thường, bạn đừng vội mở nó ra. Nếu bạn thấy mình đang ở trên một trang web xa lạ và nhìn thấy một cửa sổ bất thường, đừng vội tiếp tục.

Nếu bạn hoặc tổ chức của bạn có trang web, hãy xóa thông tin về email của bạn khỏi đó. địa chỉ bưu điện. Nếu anh ấy được nhìn thấy, thì anh ấy chắc chắn sẽ có tên trong danh sách gửi thư của những “người lãng mạn trên đường cao tốc” thông minh. Cho mình địa chỉ thôi người đáng tin cậy và riêng tư.


Tuyến phòng thủ thứ hai là phần mềm diệt virus nội địa được cấp phép. Tại sao được cấp phép? Tôi nhận thấy rằng nó đã được trả tiền phần mềm chống vi-rút được cấp phép(đã thông qua chứng nhận của tiểu bang về FSTEC) hoạt động tốt hơn chứng nhận miễn phí.

Một lần nữa, tôi đã kiểm tra lại một số thứ sau phiên bản “dùng thử” của Kaspersky (mặc dù đã lâu rồi). Kết quả là nản lòng. Sau đó tôi đã tìm thấy một loạt virus.. Đó là một quan sát. Để bảo mật thực sự, bạn phải trả tiền, dù nhỏ.

Tại sao phải dùng phần mềm diệt virus trong nước? Bởi vì các sản phẩm chống vi-rút được chứng nhận của chúng tôi duy trì cơ sở dữ liệu về các trang web lừa đảo và không mong muốn. Các “đồng nghiệp” nước ngoài không phải lúc nào cũng tự hào về điều này; phân khúc Internet của họ là khác nhau;

Phóng máy quét virus trên máy tính vào ban đêm

có thể mỗi tháng một lần.

Virus ransomware xâm nhập vào máy tính như thế nào?

Để ngụy trang tệp đính kèm, nó hầu như luôn được gửi trong kho lưu trữ. Do đó, trước tiên chúng tôi sẽ kiểm tra chữ cái bất thường bằng phần mềm chống vi-rút. Bạn cần lưu tệp vào máy tính của mình (phần mềm chống vi-rút sẽ "xem xét" nó). Và sau đó nhấp chuột phải vào tệp được lưu trên đĩa và kiểm tra lại:

Trang web nằm trong cơ sở dữ liệu không được đề xuất. Điều này có nghĩa là đã có “cuộc gọi báo động” từ anh ấy. Hơn, phiên bản trả phí Tốt hơn hết bạn nên kiểm tra các liên kết Internet để tìm vi-rút “được gắn cứng” vào chúng hơn là các liên kết miễn phí. Và khi bạn nhấp vào liên kết như vậy, chúng sẽ vô hiệu hóa vi-rút hoặc thêm vi-rút đó vào danh sách “đáng ngờ” và chặn vi-rút đó.

Vào cuối tháng 3, tôi đã sử dụng những phương pháp đơn giản này để bắt một loại virus mã hóa “hàng quý” khác từ thư. Điều duy nhất anh ấy làm được là viết cho tôi một tin nhắn trên toàn máy tính rằng các tập tin đã được mã hóa, nhưng thực tế không phải vậy. Chúng vẫn còn nguyên, mã chỉ hoạt động để tạo một tin nhắn:

Hãy chú ý đến những gì được chỉ ra ở đây địa chỉ email một Vladimir Shcherbinin nào đó, 1991. Thế hệ của những năm 90... Đây là dấu vết sai, vì địa chỉ thật ở bên dưới. cho phép bạn tránh theo dõi máy tính của mình trên Internet phương tiện tiêu chuẩn. Thông qua trình duyệt như vậy, kẻ tấn công mời bạn liên hệ với hắn. Mọi thứ đều ẩn danh. Không ai muốn ngồi tù cả.

Thật không may, đôi khi virus thường vượt qua hai tuyến phòng thủ đầu tiên của chúng ta. Trong lúc vội vàng, chúng tôi đã quên quét tệp hoặc có thể phần mềm chống vi-rút vẫn chưa nhận được dữ liệu về mối đe dọa mới. Nhưng bạn có thể cấu hình bảo vệ trong hệ điều hành.

Làm cách nào để thiết lập bảo vệ ransomware trong Windows 10?

Chúng tôi tiếp tục xây dựng hệ thống phòng thủ sâu, nhiều lớp chống lại virus ransomware và không chỉ ransomware. Tập tin không thể được giải mã. Nhưng chúng có thể được phục hồi. Đó là tất cả về các cài đặt. Nếu bạn thực hiện chúng trước khi virus xâm nhập vào máy tính thì virus sẽ không thể làm được gì. Và nếu có, thì có thể khôi phục các tập tin.


Tuyến phòng thủ thứ ba là máy tính của chúng tôi. Đã lâu rồi, kể từ năm 2003, Microsoft đã sử dụng công nghệ này “ sao chép bóngđĩa". Đối với bạn và tôi, điều này có nghĩa là mọi thay đổi đối với hệ thống đều có thể được hoàn tác.

Một “ảnh chụp nhanh” ổ cứng của bạn được tạo trước một cách tự động mà bạn không hề hay biết. Và hệ thống lưu trữ nó, chỉ thêm những thay đổi. Công nghệ này được sử dụng để sao lưu dữ liệu. Bạn chỉ cần bật nó lên.

Tùy thuộc vào kích thước và cài đặt ổ đĩa, có thể lưu trữ tối đa 64 “bản sao bóng” trước đó trên ổ đĩa. Nếu tùy chọn này được bật thì các tệp được mã hóa có thể được khôi phục từ bản sao bóng được tạo âm thầm hàng ngày.

Bước đầu tiên - Đi tới Máy tính này - "thuộc tính" nút chuột phải:

Tùy chọn bổ sung

Hãy mở tab “Bảo vệ hệ thống”. Trong ví dụ, tùy chọn bảo vệ bị tắt trên một trong các đĩa. Đứng chuột trên ổ đĩa đã chọn và nhấp vào “Cấu hình”

Dữ liệu có thể được khôi phục từ một bản sao từ cửa sổ này bằng cách nhấp vào nút “Khôi phục”

Thực hiện các cài đặt như trong hình:

Bước tiếp theo là thiết lập Kiểm soát tài khoản người dùng. Bạn có để ý rằng chưa bao giờ có một cuộc nói chuyện nào trên TV về “dịch bệnh” virus trên thiết bị không? Gia đình Linux,Android?

Những kẻ tấn công không nhận thấy chúng? Họ nhận thấy rằng họ đang tích cực viết virus, nhưng virus vẫn chưa hoạt động ở đó. Khi bạn làm việc trên một thiết bị như vậy, bạn không có quyền Quản trị viên trên thiết bị đó. Bạn Người sử dụng thường xuyên, với quyền bình thường, sẽ không ai cho phép bạn thay đổi hệ thống.

Nếu thiết bị của bạn vẫn còn bảo hành và bạn bằng phương tiện đặc biệt Nếu bạn tự gán cho mình quyền quản trị viên (root), nhà sản xuất sẽ làm mất hiệu lực bảo hành của bạn về điều này. Bất kỳ loại virus nào hiện đã được biết đến khi xâm nhập vào môi trường nhà tù “người dùng” hạn chế như vậy đều cố gắng thay đổi điều gì đó nhưng vô ích vì các lệnh thay đổi hệ thống đều bị chặn âm thầm. Đây là một lợi thế rất lớn của Linux.


Microsoft (có nghĩa là “nhỏ và nhẹ nhàng”), như một phần hệ tư tưởng của mình, đã cho phép người dùng thay đổi cài đặt bảo mật trong hệ điều hành của họ một cách dễ dàng và tự do.

Dễ dàng và miễn phí đến mức vi rút, khi ở trong môi trường “quản trị viên”, đã hoạt động với quyền hạn của quản trị viên, không có gì can thiệp vào nó. Do đó xảy ra dịch bệnh lớn và kết luận rằng chỉ người dùng máy tính Windows mới chịu trách nhiệm về sự an toàn của dữ liệu của họ. Ai trong chúng ta chú ý đến các cài đặt? Cho đến khi sấm sét đánh .. :-

Tôi hy vọng tôi đã thuyết phục được bạn. Mọi thứ đều dễ dàng. Đi tới tài khoản người dùng


Chúng tôi di chuyển thanh trượt sao cho thuận tiện cho chúng tôi.


Bây giờ, khi bạn khởi chạy bất kỳ chương trình nào mà bạn biết (hoặc không có thông tin của bạn), hệ thống sẽ yêu cầu bạn cấp phép và thông báo cho bạn. Những người nhỏ bé và tinh tế thích những cửa sổ như vậy...

Và nếu bạn có quyền Quản trị viên thì bạn có thể cho phép thực thi nó. Nhưng nếu bạn là người dùng bình thường thì bạn sẽ không cho phép điều đó. Từ đây một lần nữa kết luận là tốt nhất nên có một tài khoản được bảo vệ bằng mật khẩu tài khoản Quản trị viên và tất cả những người khác phải là người dùng thông thường.

Tất nhiên, cửa sổ này mọi người đã quen từ lâu, ai cũng đã bật, ai cũng đã tắt. Tuy nhiên, nếu Kiểm soát tài khoản người dùng được bật, nó sẽ không cho phép chương trình khởi động ngay cả khi kết nối từ xa trực tiếp vào máy tính. Như thế này. Nhưng trong hai cái ác, bạn phải chọn cái ít hơn. Ai thích cái gì. Đây là một cái khác đoạn video ngắn về chủ đề này

Bước tiếp theo là cấu hình quyền truy cập thư mục. Dành cho đặc biệt thư mục quan trọng Với tài liệu, bạn có thể định cấu hình quyền truy cập cho từng thư mục đó. Trong thuộc tính của bất kỳ thư mục nào (thông qua nút bên phải chuột - “Thuộc tính”) có tab “Bảo mật”.

Ví dụ: chúng ta có Người dùng trên máy tính của mình, giả sử đây là những đứa con nhỏ của chúng ta. Chúng tôi không muốn họ có thể thay đổi nội dung của thư mục này. Vì vậy, hãy nhấp vào “Thay đổi”.

Dấu kiểm màu xám là những gì được đặt theo mặc định. Chúng ta có thể đánh dấu vào các ô và “cấm” mọi thứ. Kể cả việc xem. Bạn có thể cấm một nhóm người dùng (như trong hình). Bạn có thể “Thêm” một số người dùng cá nhân. Virus sẽ không thể làm bất cứ điều gì nếu quyền “thay đổi” hoặc “ghi” bị từ chối trong thư mục này. Hãy thử chặn việc ghi, sau đó sao chép tệp vào một thư mục như vậy.

Ngoài ra, hôm nay chúng ta sẽ xem xét một biện pháp bảo vệ chống lại vi-rút như sao lưu tệp. Để có giải pháp như vậy, bạn cần mua và cài đặt trước vào máy tính của mình một ổ cứng khác có dung lượng không nhỏ hơn ổ cứng mà Windows của bạn được cài đặt. Sau đó, bạn cần thiết lập lưu trữ cho nó.

Thất bại ở đó, chúng tôi thấy mình trong cài đặt:

Hiện tại tôi chỉ có phân vùng “D” của ổ cứng. Điều này là có thể, nhưng chỉ lần đầu tiên. Vậy thì bạn chắc chắn cần phải mua cho mình cứng bên ngoàiđĩa. Khi bạn đã chọn vị trí lưu trữ, hãy nhấp vào “Tiếp theo”.

Nếu bạn không có ổ cứng, chúng tôi làm mọi thứ như trong hình. Trong trường hợp này, chỉ các tập tin trong địa điểm tiêu chuẩn(Tài liệu của tôi, Tải xuống ảnh của tôi, Máy tính để bàn, v.v.). Bấm tiếp".

Thế thôi, các bạn. Quá trình này đã bắt đầu. Đây là video hướng dẫn bạn cách tạo hình ảnh hệ thống và khôi phục tệp từ hình ảnh

Vì vậy đối với bảo vệ hiệu quả chống lại vi-rút ransomware, chỉ cần cẩn thận là đủ, nên có một chương trình chống vi-rút nội địa trả phí và được định cấu hình cho an ninh bình thường hệ điều hành. “Nhưng làm sao bạn lại có được virus mã hóa nếu bạn thông minh đến thế?” - người đọc sẽ hỏi tôi. Tôi ăn năn, thưa các bạn.

Tất cả đều cao hơn cài đặt được liệt kêđã được thực hiện bởi tôi. Tuy nhiên, tôi đã tự tắt mọi thứ trong khoảng vài giờ. Tôi và các đồng nghiệp của tôi đang thiết lập từ xa một kết nối tới cơ sở dữ liệu mà tôi không muốn thiết lập.

BẰNG phiên bản thử nghiệm Nó đã được quyết định sử dụng khẩn cấp máy tính của tôi. Để đảm bảo rằng các gói không bị phần mềm chống vi-rút, cài đặt mạng và tường lửa can thiệp, tôi nhanh chóng gỡ cài đặt phần mềm chống vi-rút một lúc và tắt tính năng kiểm soát tài khoản người dùng. Chỉ là mọi thứ. Đọc dưới đây để xem những gì đã xảy ra.

Khi virus ransomware xâm nhập vào máy tính, bạn nên làm gì?

Mặc dù điều đó không hề dễ dàng nhưng trước hết hãy cố gắng đừng hoảng sợ. Kẻ tấn công không thể biết nội dung của máy tính của bạn. Anh ta đang hành động một cách mù quáng. Không phải mọi thứ đều được mã hóa. Ví dụ, các chương trình và ứng dụng thường không được mã hóa. Các kho lưu trữ *.rar và *.7zip cũng không có sẵn. hãy thử mở kho lưu trữ. Nếu nó mở ra thì tốt.

Khi phát hiện ra “điều bất ngờ”, tôi bắt đầu đoán rằng mình đã “hiểu được”. Tôi biết mình đang làm gì... Đầu tiên, tôi cài đặt lại phần mềm chống vi-rút. Trong tâm trạng chán nản, tôi bật lại User Account Control “full” và bắt đầu quét qua đêm phân vùng hệ thống C:, nơi Windows được cài đặt.

Cần phải giải nén tập tin bị nhiễm. Nếu bạn không làm điều này, sẽ không có ý nghĩa gì. Mọi thứ sẽ được mã hóa lại. Vì vậy, trước tiên chúng ta xử lý máy tính.

Nếu có thể, hãy quét toàn bộ máy tính bằng đĩa cuộc sống miễn phí từ Dr Web hoặc tương tự. tiện ích miễn phí từ Kaspersky Kspersky Resque Disk 10.

Vào buổi sáng, những “con quái vật” sau đây đã được tìm thấy trong vùng cách ly phần mềm chống vi-rút của tôi:

Chỉ có ba, nó có thể tồi tệ hơn. Nhưng ba người này đã mã hóa tất cả hàng hóa của tôi. Chúng ta làm gì tiếp theo? Nếu tính năng lưu trữ đã được định cấu hình, sau khi xử lý, bạn chỉ cần khôi phục các tệp từ kho lưu trữ là xong. Tôi vào kho lưu trữ, nơi tôi đã thiết lập bản sao lưu hàng ngày các tập tin của mình trong vài tháng.

Vừa mở ra, tôi thấy tất cả các kho lưu trữ về tất cả các ngày tháng cũng đã bị giết. Danh sách trống. Tại sao nó lại xảy ra?


Virus ngày càng thông minh hơn. Bản thân tôi đã tắt Kiểm soát tài khoản người dùng sau khi gỡ cài đặt phần mềm chống vi-rút. …….Việc đầu tiên virus làm sau đó là vui mừng và xóa tất cả các tập tin sao lưu. Và từ lúc đó tôi bắt đầu dần rơi vào trạng thái chán nản…

Điều thứ hai cần làm (tôi nghĩ) là khôi phục các tập tin từ bản sao ẩn của ổ C:. Đối với điều này tôi sử dụng chương trình miễn phíđể xem bản sao bóng của đĩa ShadowCopyView_ru_64 hoặc phiên bản 32-bit. Nó cho phép bạn nhanh chóng xem và đánh giá trực quan nội dung của các bản sao ẩn, cũng như khôi phục các thư mục riêng lẻ.

Khi tôi nhìn vào những bức ảnh chụp nhanh cuối cùng, hóa ra chỉ còn lại những bản sao được mã hóa... Điều thứ hai mà virus làm là giết chết các bản sao bóng cũ của tập đĩa được bảo vệ của tôi một lần nữa, để khiến tôi thấy thú vị hơn... Hoặc có thể chúng đã bị ghi đè bởi các bản sao tiếp theo...Cuối cùng...

Có vẻ như vậy đó. Không phải tất cả, bạn bè. Điều chính là không bỏ cuộc.

Virus đã mã hóa file trên máy tính Windows 10, phải làm sao, cách chữa và cách khắc phục?

Đây là điều mà các hacker tương lai của chúng ta vẫn chưa đạt được. Tuyến phòng thủ cuối cùng. Chỉ có trong Windows 10, tôi chưa kiểm tra nhưng tôi nghĩ số “bảy” và “tám” không có tính năng mới tuyệt vời này. Gần đây tôi đã để ý đến cô ấy. Đây thực sự là một tính năng mới và thú vị. TRONG Thanh tìm kiếm hãy nhấn vào từ "phục hồi"

Trong Bảng điều khiển, nhấp vào "Khôi phục tệp bằng lịch sử tệp"

Tôi rất vui và tất nhiên ngay lập tức chuyển sang “Tài liệu” và “Máy tính để bàn”.

Và tôi thấy rằng các tập tin không được mã hóa. Hoan hô! "Cảm ơn Mũi tên xanh! Quá trình này đã bắt đầu. Các tập tin đã được khôi phục. Máy tính đã được chữa khỏi virus. Cài đặt bảo mật được thực hiện. Còn gì nữa để làm?

Bạn cũng cần xóa các tập tin được mã hóa. Bạn không bao giờ biết... Nhưng có rất, rất nhiều người trong số họ. Làm thế nào để nhanh chóng tìm và loại bỏ chúng? Tôi đã sử dụng nó trong một thời gian dài quản lý tập tin Tổng chỉ huy. Đối với khẩu vị của tôi không có gì tốt hơn. Người bắt đầu với Người quản lý xa sẽ hiểu tôi. Tonal có thể nhanh chóng tìm kiếm các tập tin và hơn thế nữa. Chúng tôi sẽ làm sạch từng đĩa một.

Hãy bắt đầu với phân vùng hệ thống, chọn nó bằng cách nhấp chuột hoặc từ danh sách thả xuống ở góc trên bên trái:


Nhấn Alt + F7 trên bàn phím cùng lúc. Chúng tôi đã gọi bảng tìm kiếm tập tin.

Bạn có thể tìm kiếm theo tên. Bạn có thể làm bất cứ điều gì bạn muốn. Nhưng chúng tôi sẽ sử dụng mặt nạ. Nghĩa là, chúng tôi chỉ ra phần mở rộng của tệp được mã hóa *.freefoam thông qua dấu hoa thị và dấu chấm ("tác giả" của bạn có thể khác và phần mở rộng sẽ khác). Bằng cách này, chúng tôi đã chỉ ra rằng TẤT CẢ các tệp có phần mở rộng này cần phải được tìm kiếm. Tìm kiếm vị trí "C:". Bạn cũng có thể chỉ định tất cả các phần trong bảng này, không chỉ “C:”. Nhấp vào “Bắt đầu tìm kiếm”.

Bằng cách nhấn “ngôi sao” trên bàn phím bên cạnh, chúng tôi đánh dấu tất cả các tệp trong bảng điều khiển bằng màu hồng. Để xóa file vào thùng rác nhấn F8 hoặc Del:

Chúng tôi đã dọn sạch tất cả rác được mã hóa còn lại như máy hút bụi. Hãy để nó ngồi trong giỏ bây giờ. Sau đó tôi sẽ xóa nó. Theo cách tương tự, tôi làm sạch từng phần một trong khoảng bốn mươi phút. Tôi có rất nhiều thứ được mã hóa.

Nhưng tôi đã may mắn, vì nó có thể xảy ra tồi tệ hơn. Tính năng mới này thực sự đã cứu tôi. Tôi không biết chắc liệu việc bật bản sao bóng có ảnh hưởng đến điều này hay không tính năng mới. Có vẻ như có, nhưng tôi chưa kiểm tra cụ thể. Bằng cách nào đó tôi không muốn nữa :)

Viết nếu bạn biết. Và có thể rút ra những kết luận sau đây. Với sự có mặt của phần mềm diệt virus tốtcài đặt đúng Phòng phẫu thuật hệ thống cửa sổ 10 bạn có thể lau mũi kẻ tấn công và không để lại gì cho hắn. Tạm biệt các bạn.

Và mỗi năm càng có nhiều cái mới xuất hiện... ngày càng thú vị hơn. Phổ biến nhất Gần đây một loại vi-rút (Trojan-Ransom.Win32.Rector) mã hóa tất cả các tệp của bạn (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, v.v.) . Vấn đề là việc giải mã những tập tin như vậy cực kỳ khó khăn và tốn thời gian; tùy thuộc vào loại mã hóa, việc giải mã có thể mất hàng tuần, hàng tháng hoặc thậm chí hàng năm. Theo ý kiến ​​của tôi, virus này là khoảnh khắc này, đỉnh điểm của sự nguy hiểm so với các loại virus khác. Nó đặc biệt nguy hiểm đối với máy tính/máy tính xách tay tại nhà, vì hầu hết người dùng không sao lưu dữ liệu và khi mã hóa tập tin, họ sẽ mất toàn bộ dữ liệu. Đối với các tổ chức, loại virus này ít nguy hiểm hơn vì chúng có bản sao lưu dữ liệu quan trọng và trong trường hợp bị lây nhiễm, chúng sẽ được khôi phục một cách tự nhiên sau khi loại bỏ vi-rút. Tôi đã gặp loại virus này vài lần, tôi sẽ mô tả nó xảy ra như thế nào và nó dẫn đến hậu quả gì.

Lần đầu tiên tôi gặp phải một loại virus mã hóa tập tin là vào đầu năm 2014. Một quản trị viên từ thành phố khác đã liên hệ với tôi và cho tôi biết một tin khó chịu nhất - Tất cả các tệp trên máy chủ tệp đều được mã hóa! Sự lây nhiễm xảy ra theo cách sơ đẳng - bộ phận kế toán nhận được một lá thư có tệp đính kèm “Act of something There.pdf.exe”, như bạn hiểu, họ đã mở thư này tập tin EXE và quá trình bắt đầu... anh ấy mã hóa tất cả các tập tin cá nhân trên máy tính và chuyển sang máy chủ tập tin(nó được kết nối bằng ổ đĩa mạng). Tôi và quản trị viên bắt đầu tìm kiếm thông tin trên Internet... lúc đó không có giải pháp nào cả... mọi người đều viết rằng có một loại virus như vậy, không biết cách xử lý, các tập tin không thể giải mã được, có lẽ gửi tệp đến Kaspersky, Dr Web hoặc Nod32 sẽ hữu ích. Bạn chỉ có thể gửi chúng nếu bạn sử dụng các chương trình chống vi-rút của họ (được cấp phép). Chúng tôi đã gửi hồ sơ cho Dr Web và Nod32, kết quả là 0, tôi không nhớ họ đã nói gì với Dr Web, còn Nod 32 hoàn toàn im lặng và tôi không nhận được bất kỳ phản hồi nào từ họ. Nói chung, mọi thứ thật đáng buồn và chúng tôi chưa bao giờ tìm ra giải pháp; chúng tôi đã khôi phục một số tệp từ bản sao lưu.

Câu chuyện thứ hai - mới hôm nọ (giữa tháng 10 năm 2014) tôi nhận được cuộc gọi từ một tổ chức yêu cầu tôi giải quyết vấn đề với virus; như bạn hiểu, tất cả các tập tin trên máy tính đều đã được mã hóa. Đây là một ví dụ về những gì nó trông như thế nào.

Như bạn có thể thấy, phần mở rộng *.AES256 đã được thêm vào mỗi tệp. Trong mỗi thư mục có một tệp “Attention_open-me.txt” chứa các liên hệ để liên lạc.

Khi cố gắng mở những tệp này, một chương trình có danh bạ đã mở để liên hệ với tác giả của vi-rút để trả tiền giải mã. Tất nhiên, tôi không khuyên bạn nên liên hệ với họ hoặc trả tiền cho mã, vì bạn sẽ chỉ hỗ trợ họ về mặt tài chính và thực tế không phải là bạn sẽ nhận được khóa giải mã.

Sự lây nhiễm xảy ra trong quá trình cài đặt một chương trình được tải xuống từ Internet. Điều đáng ngạc nhiên nhất là khi họ nhận thấy các tập tin đã thay đổi (biểu tượng và phần mở rộng tập tin đã thay đổi), họ không làm gì và tiếp tục hoạt động, trong khi ransomware tiếp tục mã hóa tất cả các tập tin.

Chú ý!!! Nếu bạn nhận thấy các tập tin trên máy tính của mình bị mã hóa (thay đổi biểu tượng, thay đổi phần mở rộng), hãy tắt máy tính/máy tính xách tay ngay lập tức và tìm giải pháp từ thiết bị khác (từ máy tính/máy tính xách tay, điện thoại, máy tính bảng khác) hoặc liên hệ với chuyên gia CNTT. Máy tính/máy tính xách tay của bạn được bật càng lâu thì nhiều tập tin hơn nó sẽ mã hóa.

Nói chung, tôi đã muốn từ chối giúp đỡ họ, nhưng tôi quyết định lướt Internet, có lẽ giải pháp cho vấn đề này đã xuất hiện. Qua tìm kiếm, tôi đọc được rất nhiều thông tin về những thứ không thể giải mã được, rằng bạn cần gửi file đến các công ty diệt virus (Kaspersky, Dr Web hoặc Nod32) - cảm ơn vì đã trải nghiệm.
Tôi tình cờ thấy một tiện ích của Kaspersky - RectorDecryptor. Và về tập tin phép lạđã giải mã được. Vâng, điều đầu tiên trước tiên...

Bước đầu tiên là ngăn chặn ransomware. Bạn sẽ không tìm thấy bất kỳ phần mềm chống vi-rút nào vì Dr Web đã cài đặt không tìm thấy bất kỳ thứ gì. Trước hết, tôi khởi động và vô hiệu hóa tất cả các phần khởi động (trừ phần mềm chống vi-rút). Đã khởi động lại máy tính. Sau đó, tôi bắt đầu xem loại tập tin nào đang khởi động.

Như bạn có thể thấy trong trường "Lệnh", nó được chỉ định vị trí của tệp, Đặc biệt chú ý Các ứng dụng không có chữ ký cần phải xóa (Nhà sản xuất - Không có dữ liệu). Nói chung, tôi đã tìm thấy và xóa phần mềm độc hại cũng như các tệp mà tôi chưa hiểu rõ. Sau đó, tôi xóa các thư mục tạm thời và bộ nhớ đệm của trình duyệt; CCleaner .

Sau đó, tôi bắt đầu giải mã các tập tin, để làm điều này tôi đã tải xuống chương trình giải mã RectorDecryptor . Tôi khởi chạy nó và thấy một giao diện khá khổ hạnh của tiện ích.

Tôi đã nhấp vào “Bắt đầu quét” và chỉ ra phần mở rộng mà tất cả các tệp đã thay đổi đều có.

Và chỉ ra tập tin được mã hóa. Trong các phiên bản mới hơn của RectorDecryptor, bạn có thể chỉ định tệp được mã hóa một cách đơn giản. Nhấp vào nút "Mở".

Tada-a-a-am!!! Một điều kỳ diệu đã xảy ra và tập tin đã được giải mã.

Sau đó, tiện ích sẽ tự động kiểm tra tất cả các file trên máy tính + các file trên thiết bị được kết nối ổ đĩa mạng và giải mã chúng. Quá trình giải mã có thể mất vài giờ (tùy thuộc vào số lượng tệp được mã hóa và tốc độ máy tính của bạn).

Kết quả là tất cả các tệp được mã hóa đã được giải mã thành công vào cùng thư mục nơi chúng được đặt ban đầu.

Tất cả những gì còn lại là xóa tất cả các tệp có phần mở rộng .AES256; điều này có thể được thực hiện bằng cách chọn hộp kiểm “Xóa các tệp được mã hóa sau khi giải mã thành công” nếu bạn nhấp vào “Thay đổi tham số quét” trong cửa sổ RectorDecryptor.

Nhưng hãy nhớ rằng tốt hơn hết là không nên chọn hộp này, vì nếu các tệp không được giải mã thành công, chúng sẽ bị xóa và để cố gắng giải mã lại chúng, trước tiên bạn phải thực hiện khôi phục .

Khi bạn cố xóa tất cả các tệp được mã hóa bằng cách sử dụng tìm kiếm tiêu chuẩn và gỡ bỏ, tôi gặp tình trạng đóng băng và cực kỳ làm việc chậm máy tính.

Vì vậy, để loại bỏ nó, cách tốt nhất là sử dụng dòng lệnh, chạy nó và viết del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Trong trường hợp của tôi, del "d:\*.AES256" /f /s.

Đừng quên xóa các tập tin "Attention_open-me.txt", vì điều này trong dòng lệnh sử dụng lệnh del"<диск>:\*.<имя файла>"/f/s, Ví dụ
xóa "d:\Chú ý_open-me.txt" /f /s

Như vậy, virus đã bị đánh bại và các tập tin đã được khôi phục. Tôi muốn cảnh báo bạn rằng phương pháp này Nó sẽ không giúp ích gì cho tất cả mọi người, vấn đề là Kapersky trong tiện ích này đã thu thập tất cả các khóa giải mã đã biết (từ các tệp được gửi bởi những người bị nhiễm vi-rút) và sử dụng phương pháp vũ phu để chọn khóa và giải mã chúng . Những thứ kia. nếu các tệp của bạn bị vi-rút mã hóa bằng khóa không xác định thì phương pháp này sẽ không giúp ích gì... bạn sẽ phải gửi các tệp bị nhiễm đến các công ty chống vi-rút - Kaspersky, Dr Web hoặc Nod32 để giải mã chúng.

Nó tiếp tục cuộc hành quân áp bức trên Internet, lây nhiễm vào máy tính và mã hóa dữ liệu quan trọng. Làm thế nào để bảo vệ bạn khỏi ransomware, bảo vệ Windows khỏi ransomware - đã có bản vá nào được phát hành để giải mã và khử trùng tập tin chưa?

Virus ransomware mới 2017 Muốn khóc tiếp tục lây nhiễm vào các PC của công ty và cá nhân. bạn Thiệt hại do virus tấn công lên tới 1 tỷ USD. Trong 2 tuần, ít nhất virus ransomware đã lây nhiễm 300 nghìn máy tính, bất chấp cảnh báo và biện pháp an ninh.

Virus ransomware 2017 là gì?- theo quy định, bạn có thể "chọn" trên các trang web dường như vô hại nhất, chẳng hạn như máy chủ ngân hàng có quyền truy cập của người dùng. Khi đã vào được ổ cứng của nạn nhân, ransomware sẽ “định cư” trong thư mục hệ thống Hệ thống32. Từ đó chương trình sẽ ngay lập tức vô hiệu hóa phần mềm chống vi-rút và đi vào "Tự động chạy"" Sau mỗi lần khởi động lại, ransomware chạy vào sổ đăng ký, bắt đầu công việc bẩn thỉu của mình. Phần mềm ransomware bắt đầu tải xuống các bản sao tương tự của các chương trình như Ransom và Trojan. Nó cũng thường xuyên xảy ra ransomware tự sao chép. Quá trình này có thể diễn ra tạm thời hoặc có thể mất vài tuần cho đến khi nạn nhân nhận thấy có điều gì đó không ổn.

Phần mềm ransomware thường ngụy trang dưới dạng hình ảnh bình thường, tập tin văn bản , nhưng bản chất luôn giống nhau - đây là tệp thực thi có phần mở rộng .exe, .drv, .xvd; Thỉnh thoảng - thư viện.dll. Thông thường, tệp có một tên hoàn toàn vô hại, ví dụ: “ tài liệu. bác sĩ", hoặc " hình ảnh.jpg", trong đó tiện ích mở rộng được viết thủ công và loại tệp thực sự bị ẩn.

Sau khi quá trình mã hóa hoàn tất, người dùng sẽ nhìn thấy, thay vì các tệp quen thuộc, một tập hợp các ký tự "ngẫu nhiên" trong tên và bên trong, đồng thời phần mở rộng thay đổi thành một phần mở rộng chưa được biết đến cho đến nay - .NO_MORE_RANSOM, .xdata và những người khác.

Virus ransomware Wanna Cry 2017 – cách tự bảo vệ mình. Tôi muốn lưu ý ngay rằng Wanna Cry là một thuật ngữ chung cho tất cả các loại virus mã hóa và ransomware, vì gần đây nó lây nhiễm vào máy tính thường xuyên nhất. Vì vậy, chúng ta sẽ nói về Bảo vệ bạn khỏi ransomware Ransom Ware, trong đó có rất nhiều loại: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Cách bảo vệ Windows khỏi ransomware.EternalBlue thông qua giao thức cổng SMB.

Bảo vệ Windows khỏi ransomware 2017 – các quy tắc cơ bản:

  • Cập nhật Windows, chuyển đổi kịp thời sang hệ điều hành được cấp phép (lưu ý: phiên bản XP không được cập nhật)
  • cập nhật cơ sở dữ liệu chống virus và tường lửa theo yêu cầu
  • Hãy hết sức cẩn thận khi tải xuống bất kỳ tập tin nào (các "con dấu" dễ thương có thể dẫn đến mất tất cả dữ liệu)
  • hỗ trợ Thông tin quan trọngđến phương tiện di động.

Virus ransomware 2017: cách khử trùng và giải mã tập tin

Dựa vào phần mềm diệt virus, bạn có thể quên mất bộ giải mã trong một thời gian. Trong phòng thí nghiệm Kaspersky, Tiến sĩ. Web, Avast! và các phần mềm diệt virus khác hiện nay không tìm thấy giải pháp nào để xử lý các tập tin bị nhiễm. Hiện tại, có thể loại bỏ vi-rút bằng phần mềm chống vi-rút, nhưng chưa có thuật toán nào để đưa mọi thứ “trở lại bình thường”.

Một số cố gắng sử dụng bộ giải mã như tiện ích RectorDecryptor, nhưng điều này sẽ không giúp ích gì: một thuật toán giải mã virus mới vẫn chưa được biên soạn. Người ta cũng hoàn toàn không biết virus sẽ hoạt động như thế nào nếu nó không bị loại bỏ sau khi sử dụng các chương trình như vậy. Thông thường, điều này có thể dẫn đến việc xóa tất cả các tệp - như một lời cảnh báo cho những người không muốn trả tiền cho những kẻ tấn công, tác giả của vi-rút.

Hiện tại nhất cách hiệu quả lấy lại dữ liệu bị mất có nghĩa là liên hệ với bộ phận hỗ trợ kỹ thuật. hỗ trợ nhà cung cấp chương trình chống vi rút mà bạn đang sử dụng. Để thực hiện việc này, hãy gửi thư hoặc sử dụng biểu mẫu để nhận xét trên trang web của nhà sản xuất. Đảm bảo thêm tệp được mã hóa vào tệp đính kèm và nếu có, bản sao của bản gốc. Điều này sẽ giúp các lập trình viên soạn thảo thuật toán. Thật không may, đối với nhiều người virus tấn côngđến hoàn toàn bất ngờ và không có bản sao nào được tìm thấy, điều này làm tình hình trở nên phức tạp hơn rất nhiều.

Phương pháp tim mạch Xử lý Windows từ phần mềm tống tiền. Thật không may, đôi khi bạn phải dùng đến định dạng đầy đủổ cứng, đòi hỏi phải thay đổi hoàn toàn hệ điều hành. Nhiều người sẽ nghĩ đến việc khôi phục hệ thống, nhưng đây không phải là một lựa chọn - thậm chí "khôi phục" sẽ loại bỏ vi-rút, nhưng các tệp vẫn sẽ được mã hóa.

Hãy để chúng tôi nhắc nhở bạn: Trojan thuộc họ Trojan.Encoding là các chương trình độc hại mã hóa các tệp trên ổ cứng của máy tính và yêu cầu trả tiền để giải mã chúng. Các tệp *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar, v.v. có thể được mã hóa.
Không thể đích thân gặp toàn bộ họ virus này, nhưng, như thực tế cho thấy, phương pháp lây nhiễm, điều trị và giải mã gần như giống nhau đối với tất cả mọi người:
1. nạn nhân bị lây nhiễm qua email spam có tệp đính kèm (ít thường xuyên hơn bằng các phương tiện lây nhiễm),
2. hầu hết mọi phần mềm chống vi-rút có cơ sở dữ liệu mới đều nhận ra và loại bỏ vi-rút,
3. các tập tin được giải mã bằng cách chọn khóa mật khẩu cho loại mã hóa được sử dụng.
Ví dụ: Trojan.Encode.225 sử dụng mã hóa RC4 (đã sửa đổi) + DES và Trojan.Encode.263 sử dụng BlowFish trong chế độ CTR. Những loại virus này hiện có thể giải mã được 99% dựa trên kinh nghiệm cá nhân.

Nhưng không phải mọi thứ đều suôn sẻ như vậy. Một số vi-rút mã hóa yêu cầu giải mã liên tục trong nhiều tháng (Trojan.Encode.102), trong khi một số vi-rút khác (Trojan.Encode.283) không thể được giải mã chính xác ngay cả bởi các chuyên gia từ công ty Doctor Web, công ty thực sự chơi trò chơi này. vai trò quan trọng trong bài viết này.

Bây giờ, theo thứ tự.

Vào đầu tháng 8 năm 2013, khách hàng đã liên hệ với tôi về vấn đề tệp bị mã hóa bởi vi rút Trojan.Encode.225. Lúc đó virus mới, chưa ai biết gì, trên Internet có 2-3 link Google chuyên đề. Sau một thời gian dài tìm kiếm trên Internet, hóa ra tổ chức (được tìm thấy) duy nhất giải quyết vấn đề giải mã các tập tin sau loại virus này là công ty Doctor Web. Cụ thể: đưa ra khuyến nghị, trợ giúp khi liên hệ với bộ phận hỗ trợ kỹ thuật, phát triển bộ giải mã riêng, v.v.

Rút lui tiêu cực.

Và nhân cơ hội này, tôi muốn chỉ ra hai béo lên điểm trừ của Kaspersky Lab. Khi liên hệ với bộ phận hỗ trợ kỹ thuật của họ, họ phủ nhận “chúng tôi đang giải quyết vấn đề này, chúng tôi sẽ thông báo cho bạn về kết quả qua thư”. Chưa hết, nhược điểm là tôi chưa bao giờ nhận được phản hồi cho yêu cầu. Sau 4 tháng. Chết tiệt thời gian phản ứng. Và ở đây tôi đang phấn đấu đạt tiêu chuẩn “không quá một giờ kể từ khi hoàn thành đơn đăng ký”.
Thật xấu hổ cho đồng chí Evgeniy Kaspersky, CEO Phòng thí nghiệm Kaspersky. Nhưng tôi có một nửa số công ty “ngồi” trên đó. Được rồi, giấy phép hết hạn vào tháng 1 đến tháng 3 năm 2014. Có đáng nói về việc tôi có gia hạn giấy phép của mình không? ;)

Tôi trình bày khuôn mặt của những “chuyên gia” từ các công ty “đơn giản hơn”, có thể nói, KHÔNG phải những gã khổng lồ của ngành chống vi-rút. Có lẽ họ chỉ “ rúc vào một góc” và “khóc thầm”.
Mặc dù, hơn thế nữa, tất cả mọi người đều hoàn toàn thất bại. Về nguyên tắc, phần mềm chống vi-rút không nên cho phép vi-rút này xâm nhập vào máy tính. Đặc biệt xem xét công nghệ hiện đại. Và “họ”, những NGƯỜI KHỔNG LỒ của ngành công nghiệp chống VIRUS, được cho là có mọi thứ, “phân tích kinh nghiệm”, “hệ thống phòng ngừa”, “bảo vệ chủ động”...

TẤT CẢ CÁC SIÊU HỆ THỐNG NÀY Ở ĐÂU KHI NHÂN VIÊN PHÒNG NHÂN SỰ MỞ THƯ “HALMONEST” VỚI CHỦ ĐỀ “CV”???
Nhân viên đó phải nghĩ gì?
Nếu BẠN không thể bảo vệ chúng tôi, thì tại sao chúng tôi lại cần BẠN?

Và mọi thứ sẽ ổn với Doctor Web, nhưng để nhận được trợ giúp, tất nhiên bạn phải có giấy phép cho bất kỳ sản phẩm phần mềm nào của họ. Khi liên hệ với bộ phận hỗ trợ kỹ thuật (sau đây gọi tắt là TS), bạn phải cung cấp số seri Dr.Web và đừng quên chọn “yêu cầu điều trị” trong dòng “Danh mục yêu cầu:” hoặc chỉ cần cung cấp cho họ một tệp được mã hóa cho phòng thí nghiệm. Hãy để tôi đặt chỗ ngay cái gọi là “ chìa khóa tạp chí» Dr.Web, được đăng hàng loạt trên Internet, không phù hợp vì họ không xác nhận việc mua bất kỳ sản phẩm nào sản phẩm phần mềm, và bị chuyên gia TP loại bỏ một hoặc hai lần. Việc mua giấy phép “rẻ” nhất sẽ dễ dàng hơn. Bởi vì nếu bạn thực hiện việc giải mã, giấy phép này sẽ trả lại cho bạn hàng triệu lần. Đặc biệt nếu thư mục chứa ảnh “Ai Cập 2012” nằm trong một bản sao...

Nỗ lực số 1

Vì vậy, sau khi mua “giấy phép cho 2 PC trong một năm” với số tiền n, liên hệ với TP và cung cấp một số tệp, tôi nhận được liên kết đến tiện ích giải mã te225decrypt.exe phiên bản 1.3.0.0. Dự đoán thành công, tôi khởi chạy tiện ích (bạn cần trỏ nó đến một trong các tệp * . tập tin tài liệu). Tiện ích bắt đầu lựa chọn, tải không thương tiếc bộ xử lý cũ E5300 DualCore, 2600 MHz (được ép xung lên 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital lên 90-100%.
Ở đây, song song với tôi, một đồng nghiệp trên PC core i5 2500k (được ép xung lên 4,5ghz) / 16 ram 1600 / ssd intel cũng tham gia vào công việc (đây là so sánh về thời gian sử dụng ở cuối bài viết).
Sau 6 ngày, tiện ích báo cáo rằng 7277 tệp đã được giải mã. Nhưng hạnh phúc chẳng kéo dài được lâu. Tất cả các tập tin đã được giải mã "quanh co". Đó là, ví dụ, tài liệu microsoft văn phòng mở, nhưng với nhiều lỗi khác nhau: « Ứng dụng từ có nội dung trong tài liệu *.docx không thể đọc được" hoặc "Không thể mở được tệp *.docx do có lỗi trong nội dung của nó." Các tệp *.jpg cũng mở được hoặc bị lỗi hoặc 95% hình ảnh có nền màu đen mờ hoặc xanh nhạt. Đối với các tệp *.rar - "Kết thúc lưu trữ không mong đợi".
Nói chung là thất bại hoàn toàn.

Nỗ lực số 2

Chúng tôi viết thư cho TP về kết quả. Họ yêu cầu bạn cung cấp một vài tập tin. Một ngày sau, họ lại cung cấp liên kết đến tiện ích te225decrypt.exe, nhưng phiên bản 1.3.2.0. Được rồi, hãy khởi động thôi, dù sao cũng không còn lựa chọn nào khác. Khoảng 6 ngày trôi qua và tiện ích kết thúc với lỗi “Không thể chọn tham số mã hóa”. Tổng cộng 13 ngày “xuống cống”.
Nhưng chúng tôi không bỏ cuộc, chúng tôi có các tài liệu quan trọng từ ứng dụng khách *ngu ngốc* của mình mà không cần bản sao lưu cơ bản.

Nỗ lực số 3

Chúng tôi viết thư cho TP về kết quả. Họ yêu cầu bạn cung cấp một vài tập tin. Và, như bạn có thể đoán, một ngày sau, họ cung cấp liên kết đến cùng tiện ích te225decrypt.exe, nhưng phiên bản 1.4.2.0. Chà, hãy khởi động thôi, không có giải pháp thay thế nào và nó chưa bao giờ xuất hiện từ Kaspersky Lab, từ ESET NOD32 hoặc từ các nhà sản xuất khác giải pháp chống virus. Và bây giờ, sau 5 ngày 3 giờ 14 phút (123,5 giờ), tiện ích báo cáo rằng các tệp đã được giải mã (đối với một đồng nghiệp sử dụng core i5, quá trình giải mã chỉ mất 21 giờ 10 phút).
Chà, tôi nghĩ là có hoặc không. Và lo và kìa: thành công hoàn toàn! Tất cả các tập tin được giải mã chính xác. Mọi thứ đều mở, đóng, xem, chỉnh sửa và lưu đúng cách.

Mọi người đều vui vẻ, KẾT THÚC.

Bạn hỏi: “Câu chuyện về virus Trojan.Encoding.263 ở đâu?”. Và trên chiếc PC tiếp theo, dưới gầm bàn... có. Mọi thứ ở đó đơn giản hơn: Chúng tôi viết thư cho Doctor Web TP, tải tiện ích te263decrypt.exe, khởi chạy nó, đợi 6,5 ngày, thì đấy! và mọi thứ đã sẵn sàng. Để tóm tắt, tôi có thể đưa ra một số lời khuyên từ diễn đàn Doctor Web trong ấn bản của mình:

Phải làm gì nếu bạn bị nhiễm vi-rút ransomware:
- gửi đến phòng thí nghiệm virus Dr. Web hoặc ở dạng “Gửi” tập tin đáng ngờ» tập tin tài liệu được mã hóa.
- Chờ phản hồi từ nhân viên Dr.Web rồi làm theo hướng dẫn của anh ta.

Những gì không làm:
- thay đổi phần mở rộng của tập tin được mã hóa; Mặt khác, với khóa được chọn thành công, tiện ích sẽ không “nhìn thấy” các tệp cần được giải mã.
- sử dụng độc lập, không cần hỏi ý kiến ​​​​chuyên gia, bất kỳ chương trình giải mã/khôi phục dữ liệu nào.

Xin lưu ý, để có một máy chủ không có các tác vụ khác, tôi cung cấp các dịch vụ miễn phí để giải mã dữ liệu CỦA BẠN. Lõi máy chủ i7-3770K có khả năng ép xung lên * tần số nhất định*, RAM 16GB và SSD Vertex 4.
Cho tất cả người dùng đang hoạt động Việc sử dụng tài nguyên của tôi "habra" sẽ MIỄN PHÍ!!!
Viết thư cho tôi bằng tin nhắn cá nhân hoặc thông qua các địa chỉ liên hệ khác. Tôi đã “ăn thịt chó” rồi. Vì vậy, tôi không quá lười để đặt máy chủ vào chế độ giải mã qua đêm.
Loại virus này là “tai họa” của thời đại chúng ta và việc “cướp bóc” của đồng đội là không nhân đạo. Mặc dù vậy, nếu ai đó “ném” một vài đô la vào tài khoản Yandex.money 410011278501419 của tôi, tôi sẽ không bận tâm. Nhưng điều này hoàn toàn không cần thiết. Liên hệ chúng tôi. Tôi xử lý đơn đăng ký vào thời gian rảnh.

Thông tin mới!

Bắt đầu từ ngày 8 tháng 12 năm 2013, một loại vi-rút mới cùng dòng Trojan.Encoding bắt đầu lây lan dưới phân loại Doctor Web - Trojan.Encode.263, nhưng có mã hóa RSA. Loại này tính đến ngày hôm nay (20/12/2013) không thể giải mã được, vì nó sử dụng phương pháp mã hóa rất mạnh.

Tôi khuyên mọi người đã bị nhiễm vi-rút này:
1. Sử dụng tích hợp tìm kiếm cửa sổ tìm tất cả các tệp chứa phần mở rộng .perfect, sao chép chúng vào phương tiện truyền thông bên ngoài.
2. Sao chép cả tệp CONTACT.txt
3. Đặt phương tiện bên ngoài này “trên kệ”.
4. Đợi tiện ích giải mã xuất hiện.

Những gì không làm:
Không cần phải gây rối với tội phạm. Điều này thật ngốc nghếch. Trong hơn 50% trường hợp, sau khi “thanh toán” khoảng 5000 rúp, bạn sẽ KHÔNG nhận được gì. Không có tiền, không có bộ giải mã.
Công bằng mà nói, điều đáng chú ý là có những người “may mắn” trên Internet đã nhận lại được tập tin của họ bằng cách giải mã để “cướp bóc”. Nhưng bạn không nên tin tưởng những người này. Nếu tôi là người viết virus, điều đầu tiên tôi sẽ làm là lan truyền thông tin như “Tôi đã trả tiền và họ gửi cho tôi bộ giải mã!!!”
Đằng sau những “người may mắn” này có thể cũng có những kẻ tấn công tương tự.

Chà... hãy cùng chúc may mắn cho các công ty chống vi-rút khác trong việc tạo ra tiện ích giải mã các tập tin sau nhóm vi-rút Trojan.Encoding.

Đặc biệt cảm ơn đồng chí v.martyanov từ diễn đàn Doctor Web về công việc tạo ra các tiện ích giải mã.