Một chương trình khôi phục các tập tin bị mã hóa bằng vi-rút. Khôi phục dữ liệu bị mã hóa bằng virus ransomware WannaCry: Khả năng và Giải pháp. Khôi phục các tập tin bị hỏng với bản xem trước

Nếu một tin nhắn văn bản xuất hiện trên máy tính của bạn nói rằng các tập tin của bạn đã được mã hóa, thì đừng vội hoảng sợ. Các triệu chứng của mã hóa tập tin là gì? Tiện ích mở rộng thông thường thay đổi thành *.vault, *.xtbl, * [email được bảo vệ] _XO101, v.v. Không thể mở tệp - cần có khóa, có thể mua khóa này bằng cách gửi thư đến địa chỉ được chỉ định trong tin nhắn.

Bạn lấy các tập tin được mã hóa từ đâu?

Máy tính bị nhiễm virus chặn truy cập thông tin. Các chương trình chống vi-rút thường bỏ sót chúng vì chương trình này thường dựa trên một số tiện ích mã hóa miễn phí vô hại. Bạn sẽ tự loại bỏ vi-rút đủ nhanh, nhưng các vấn đề nghiêm trọng có thể phát sinh khi giải mã thông tin.

Hỗ trợ kỹ thuật từ Kaspersky Lab, Dr.Web và các công ty nổi tiếng khác đang phát triển phần mềm chống vi-rút, đáp ứng yêu cầu giải mã dữ liệu của người dùng, báo cáo rằng không thể thực hiện việc này trong thời gian có thể chấp nhận được. Có một số chương trình có thể nhận mã nhưng chúng chỉ có thể hoạt động với các loại virus đã được nghiên cứu trước đó. Nếu bạn gặp phải một sửa đổi mới thì khả năng khôi phục quyền truy cập thông tin là cực kỳ thấp.

Virus ransomware xâm nhập vào máy tính như thế nào?

90% trường hợp người dùng tự kích hoạt virus trên máy tính, mở những chữ cái chưa biết. Sau đó, một tin nhắn được gửi đến e-mail với chủ đề khiêu khích - “Trát hầu tòa”, “Nợ vay”, “Thông báo từ cơ quan thuế”, v.v. Bên trong bức thư giả có một tệp đính kèm, sau khi tải xuống, phần mềm ransomware sẽ xâm nhập vào máy tính và bắt đầu chặn dần quyền truy cập vào các tệp.

Quá trình mã hóa không diễn ra ngay lập tức nên người dùng có thời gian để loại bỏ vi-rút trước khi mọi thông tin được mã hóa. Bạn có thể tiêu diệt tập lệnh độc hại bằng cách sử dụng các tiện ích dọn dẹp Dr.Web CureIt, Kaspersky Internet Security và Malwarebytes Antimalware.

Phương pháp khôi phục tập tin

Nếu tính năng bảo vệ hệ thống đã được bật trên máy tính của bạn thì ngay cả sau khi bị vi rút ransomware tấn công, vẫn có cơ hội đưa các tệp về trạng thái bình thường bằng cách sử dụng các bản sao ẩn của tệp. Ransomware thường cố gắng loại bỏ chúng, nhưng đôi khi chúng không thực hiện được do thiếu quyền quản trị viên.

Khôi phục phiên bản trước:

Để lưu các phiên bản trước, bạn cần kích hoạt tính năng bảo vệ hệ thống.

Quan trọng: tính năng bảo vệ hệ thống phải được bật trước khi ransomware xuất hiện, sau đó nó sẽ không còn tác dụng nữa.

1. Mở thuộc tính máy tính.
2. Từ menu bên trái, chọn Bảo vệ hệ thống.
   
3. Chọn ổ C và nhấp vào "Cấu hình".
4. Chọn khôi phục cài đặt và phiên bản trước của tệp. Áp dụng các thay đổi bằng cách nhấp vào "Ok".

Nếu bạn thực hiện các bước này trước khi vi-rút mã hóa tệp xuất hiện, thì sau khi dọn sạch máy tính khỏi mã độc, bạn sẽ có cơ hội tốt để khôi phục thông tin của mình.

Sử dụng các tiện ích đặc biệt

Kaspersky Lab đã chuẩn bị một số tiện ích giúp mở các tệp bị mã hóa sau khi loại bỏ vi-rút. Bộ giải mã đầu tiên bạn nên thử là Kaspersky RectorDecryptor.

1. Tải xuống chương trình từ trang web chính thức của Kaspersky Lab.
2. Sau đó chạy tiện ích và nhấp vào “Bắt đầu quét”. Chỉ định đường dẫn đến bất kỳ tệp được mã hóa nào.

Nếu chương trình độc hại không thay đổi phần mở rộng của tệp, thì để giải mã chúng, bạn cần thu thập chúng vào một thư mục riêng. Nếu tiện ích là RectorDecryptor, hãy tải xuống thêm hai chương trình từ trang web chính thức của Kaspersky - XoristDecryptor và RakhniDecryptor.

Tiện ích mới nhất của Kaspersky Lab có tên là Ransomware Decryptor. Nó giúp giải mã các tập tin sau virus CoinVault, loại virus này chưa phổ biến lắm trên RuNet, nhưng có thể sớm thay thế các Trojan khác.

Chuyên gia Adrien Guinet của công ty Quarkslab của Pháp báo cáo rằng ông đã tìm ra cách giải mã dữ liệu bị hư hỏng do một cuộc tấn công bằng ransomware. Thật không may, phương pháp này chỉ hoạt động với hệ điều hành Windows XP chứ không phải trong mọi trường hợp, nhưng thà có còn hơn không.

Tôi phải hoàn tất toàn bộ quá trình giải mã nhưng tôi xác nhận rằng, trong trường hợp này, khóa riêng có thể được khôi phục trên hệ thống XP #muốn khóc!! pic.twitter.com/QiB3Q1NYpS

Guinier đã công bố mã nguồn của một công cụ mà anh gọi là WannaKey trên GitHub. Trên thực tế, kỹ thuật của nhà nghiên cứu dựa trên việc khai thác một lỗi khá lạ và ít được biết đến trong Windows XP, mà ngay cả tác giả của phần mềm độc hại ransomware giật gân dường như cũng không biết đến. Thực tế là, trong một số trường hợp nhất định, có thể trích xuất khóa cần thiết để “cứu” các tệp từ bộ nhớ của máy chạy XP.

Nhà nghiên cứu giải thích rằng trong quá trình hoạt động, ransomware sử dụng Windows Crypto API và tạo ra một cặp khóa - một khóa công khai dùng để mã hóa tệp và một khóa riêng tư có thể dùng để giải mã tệp sau khi trả tiền chuộc. Để ngăn nạn nhân lấy khóa riêng và giải mã dữ liệu trước thời hạn, tác giả của WannaCry đã mã hóa chính khóa đó để nó chỉ khả dụng sau khi thanh toán.

Sau khi khóa được mã hóa, phiên bản không được mã hóa của nó sẽ bị xóa bằng chức năng CryptReleaseContext tiêu chuẩn, theo lý thuyết, chức năng này cũng sẽ xóa nó khỏi bộ nhớ của máy bị nhiễm. Tuy nhiên, Guinier lưu ý rằng điều này không xảy ra, chỉ có "điểm đánh dấu" trỏ đến phím bị loại bỏ.

Chuyên gia viết rằng có thể trích xuất khóa riêng từ bộ nhớ. Bản thân Guinier đã tiến hành một loạt thử nghiệm và giải mã thành công các tập tin trên một số máy tính chạy Windows XP bị nhiễm virus. Tuy nhiên, nhà nghiên cứu viết rằng để hoạt động có kết quả thành công, cần phải đáp ứng một số điều kiện. Vì khóa chỉ được lưu trữ trong bộ nhớ dễ thay đổi, bạn không chỉ cần cảnh giác với thực tế là bất kỳ quá trình nào cũng có thể vô tình ghi đè lên dữ liệu trên khóa và bộ nhớ sẽ được phân phối lại, mà bạn cũng không nên tắt và khởi động lại máy tính. sau khi nhiễm trùng.

“Nếu may mắn, bạn sẽ có thể truy cập vào những vùng bộ nhớ này và lấy lại được chìa khóa. Nó có thể vẫn còn ở đó và bạn có thể sử dụng nó để giải mã các tập tin của mình. Nhưng điều này không hiệu quả trong mọi trường hợp”, nhà nghiên cứu viết.

Không rõ có bao nhiêu máy tính chạy Windows XP bị nhiễm WannaCry và bao nhiêu phần trăm người dùng không bao giờ khởi động lại hoặc tắt PC của họ sau khi bị lây nhiễm. Hãy để tôi nhắc bạn rằng tổng cộng hàng trăm nghìn máy đã bị ảnh hưởng bởi các cuộc tấn công bằng ransomware ở hơn một trăm quốc gia trên thế giới. Tuy nhiên, Guinier hy vọng kỹ thuật của mình có thể hữu ích với ít nhất một số người dùng.

Các chuyên gia khác đã xác nhận rằng về mặt lý thuyết, công cụ Guinier sẽ hoạt động. Vì vậy, nhà mật mã học và giáo sư nổi tiếng Matthew Green tại Đại học Johns Hopkins đã viết rằng phương pháp này sẽ hiệu quả, mặc dù trong hoàn cảnh hiện tại, tất cả trông giống xổ số hơn. Một chuyên gia nổi tiếng khác, nhân viên của công ty F-Secure, Mikko Hypponen, đặt câu hỏi “tại sao lại sử dụng chức năng không hủy khóa để hủy khóa?”, tuy nhiên, anh ta đồng ý rằng lỗi này có thể được sử dụng để khôi phục mã hóa. các tập tin.

Khoảng một hoặc hai tuần trước, một vụ hack khác từ các nhà sản xuất virus hiện đại đã xuất hiện trên Internet, mã hóa tất cả các tệp của người dùng. Một lần nữa tôi sẽ xem xét câu hỏi làm thế nào để khắc phục máy tính bị nhiễm virus ransomware được mã hóa000007 và khôi phục các tập tin được mã hóa. Trong trường hợp này, không có gì mới hoặc độc đáo xuất hiện, chỉ là một bản sửa đổi của phiên bản trước.

Đảm bảo giải mã các tập tin sau virus ransomware - dr-shifro.ru. Chi tiết về công việc và kế hoạch tương tác với khách hàng có trong bài viết của tôi hoặc trên trang web trong phần “Quy trình làm việc”.

Mô tả về virus ransomware CRYPTED000007

Bộ mã hóa CRYPTED000007 về cơ bản không khác biệt so với các phiên bản tiền nhiệm. Nó hoạt động gần như chính xác theo cùng một cách. Nhưng vẫn có một số sắc thái để phân biệt nó. Tôi sẽ kể cho bạn nghe về mọi thứ theo thứ tự.

Nó đến, giống như những sản phẩm tương tự, qua đường bưu điện. Các kỹ thuật kỹ thuật xã hội được sử dụng để đảm bảo rằng người dùng quan tâm đến bức thư và mở nó ra. Trong trường hợp của tôi, bức thư nói về một số loại tòa án và thông tin quan trọng về vụ án trong tệp đính kèm. Sau khi khởi chạy tệp đính kèm, người dùng sẽ mở tài liệu Word có trích đoạn từ Tòa án Trọng tài Moscow.

Song song với việc mở tài liệu, quá trình mã hóa tập tin bắt đầu. Một thông báo thông tin từ hệ thống Kiểm soát tài khoản người dùng Windows bắt đầu liên tục bật lên.

Nếu bạn đồng ý với đề xuất thì bản sao lưu của các tệp trong bản sao ẩn của Windows sẽ bị xóa và việc khôi phục thông tin sẽ rất khó khăn. Rõ ràng là bạn không thể đồng ý với đề xuất trong bất kỳ trường hợp nào. Trong bộ mã hóa này, các yêu cầu này xuất hiện liên tục, hết yêu cầu này đến yêu cầu khác và không dừng lại, buộc người dùng phải đồng ý và xóa các bản sao lưu. Đây là điểm khác biệt chính so với các sửa đổi trước đây của bộ mã hóa. Tôi chưa bao giờ gặp phải yêu cầu xóa bản sao bóng mà không dừng lại. Thông thường, sau 5-10 lời đề nghị họ dừng lại.

Tôi sẽ ngay lập tức đưa ra một khuyến nghị cho tương lai. Việc mọi người vô hiệu hóa cảnh báo Kiểm soát tài khoản người dùng là điều rất bình thường. Không cần phải làm điều này. Cơ chế này thực sự có thể giúp chống lại virus. Lời khuyên rõ ràng thứ hai là không nên liên tục làm việc với tài khoản quản trị viên máy tính trừ khi có nhu cầu khách quan. Trong trường hợp này, virus sẽ không có cơ hội gây hại nhiều. Bạn sẽ có cơ hội tốt hơn để chống lại anh ta.

Nhưng ngay cả khi bạn luôn phản hồi tiêu cực với các yêu cầu của ransomware thì tất cả dữ liệu của bạn đều đã được mã hóa. Sau khi quá trình mã hóa hoàn tất, bạn sẽ thấy một hình ảnh trên màn hình của mình.

Đồng thời, trên màn hình của bạn sẽ có nhiều file văn bản có nội dung giống nhau.

Các tập tin của bạn đã được mã hóa. Để giải mã ux, bạn cần gửi mã: 329D54752553ED978F94|0 tới địa chỉ email [email được bảo vệ]. Tiếp theo bạn sẽ nhận được tất cả các hướng dẫn cần thiết. Nỗ lực tự mình giải mã sẽ không dẫn đến điều gì khác ngoài một lượng thông tin không thể thu hồi được. Nếu bạn vẫn muốn thử, trước tiên hãy tạo bản sao lưu của các tệp, nếu không, trong trường hợp có thay đổi, việc giải mã sẽ trở nên không thể thực hiện được trong mọi trường hợp. Nếu bạn chưa nhận được thông báo tại địa chỉ trên trong vòng 48 giờ (chỉ trong trường hợp này!), hãy sử dụng biểu mẫu liên hệ. Việc này có thể được thực hiện theo hai cách: 1) Tải xuống và cài đặt Tor Browser bằng liên kết: https://www.torproject.org/download/download-easy.html.en Trong địa chỉ Tor Browser, nhập địa chỉ: http: //cryptsen7fo43rr6 .onion/ và nhấn Enter. Trang có biểu mẫu liên hệ sẽ được tải. 2) Trong bất kỳ trình duyệt nào, hãy truy cập một trong các địa chỉ: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tất cả các tệp quan trọng trên máy tính của bạn đã được mã hóa. Để giải mã các tập tin, bạn nên gửi mã sau: 329D54752553ED978F94|0 tới địa chỉ e-mail [email được bảo vệ]. Sau đó bạn sẽ nhận được tất cả các hướng dẫn cần thiết. Tất cả các nỗ lực giải mã của chính bạn sẽ chỉ dẫn đến việc mất dữ liệu của bạn không thể thu hồi được. Nếu bạn vẫn muốn tự mình giải mã chúng, vui lòng tạo bản sao lưu trước vì việc giải mã sẽ không thể thực hiện được trong trường hợp có bất kỳ thay đổi nào bên trong tệp. Nếu bạn không nhận được câu trả lời từ email nêu trên trong hơn 48 giờ (và chỉ trong trường hợp này!), hãy sử dụng biểu mẫu phản hồi. Bạn có thể thực hiện bằng hai cách: 1) Tải xuống Tor Browser từ đây: https://www.torproject.org/download/download-easy.html.en Cài đặt nó và nhập địa chỉ sau vào thanh địa chỉ: http:/ /cryptsen7fo43rr6.onion/ Nhấn Enter và sau đó trang có biểu mẫu phản hồi sẽ được tải. 2) Truy cập một trong các địa chỉ sau trong bất kỳ trình duyệt nào: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Địa chỉ gửi thư có thể thay đổi. Tôi cũng đã tìm thấy các địa chỉ sau:

• [email được bảo vệ]
• [email được bảo vệ]

Địa chỉ được cập nhật liên tục, vì vậy chúng có thể hoàn toàn khác nhau.

Ngay khi bạn phát hiện ra các tập tin của mình đã bị mã hóa, hãy tắt máy tính ngay lập tức. Điều này phải được thực hiện để làm gián đoạn quá trình mã hóa cả trên máy tính cục bộ và trên ổ đĩa mạng. Virus mã hóa có thể mã hóa tất cả thông tin mà nó có thể tiếp cận, kể cả trên các ổ đĩa mạng. Nhưng nếu có một lượng lớn thông tin ở đó thì anh ta sẽ mất rất nhiều thời gian. Đôi khi, thậm chí trong vài giờ, ransomware không có thời gian để mã hóa mọi thứ trên ổ đĩa mạng có dung lượng khoảng 100 gigabyte.

Tiếp theo bạn cần suy nghĩ kỹ về cách hành động. Nếu bạn cần thông tin trên máy tính của mình bằng bất cứ giá nào và bạn không có bản sao lưu, thì tốt hơn hết là bạn nên liên hệ với các chuyên gia vào lúc này. Không nhất thiết phải vì tiền đối với một số công ty. Bạn chỉ cần một người thành thạo về hệ thống thông tin. Cần phải đánh giá quy mô của thảm họa, loại bỏ vi-rút và thu thập tất cả thông tin có sẵn về tình hình để hiểu cách tiến hành.

Các hành động không chính xác ở giai đoạn này có thể làm phức tạp đáng kể quá trình giải mã hoặc khôi phục tệp. Trong trường hợp xấu nhất, họ có thể biến điều đó thành không thể. Vì vậy, hãy dành thời gian, cẩn thận và nhất quán.

Virus ransomware CRYPTED000007 mã hóa tập tin như thế nào

Sau khi virus đã được khởi chạy và kết thúc hoạt động, tất cả các tập tin hữu ích sẽ được mã hóa, đổi tên từ tiện ích mở rộng.crypted000007. Hơn nữa, không chỉ phần mở rộng tệp mà cả tên tệp cũng sẽ bị thay thế, vì vậy bạn sẽ không biết chính xác mình có loại tệp nào nếu không nhớ. Nó sẽ trông giống như thế này.

Trong tình huống như vậy, sẽ rất khó để đánh giá quy mô của thảm kịch, vì bạn sẽ không thể nhớ đầy đủ những gì mình có trong các thư mục khác nhau. Điều này được thực hiện đặc biệt để gây nhầm lẫn cho mọi người và khuyến khích họ trả tiền để giải mã tệp.

Và nếu các thư mục mạng của bạn đã được mã hóa và không có bản sao lưu đầy đủ, thì điều này hoàn toàn có thể dừng công việc của toàn bộ tổ chức. Bạn sẽ mất một thời gian để tìm ra những gì cuối cùng đã bị mất để bắt đầu khôi phục.

Cách xử lý máy tính và loại bỏ ransomware CRYPTED000007

Virus CRYPTED000007 đã có trên máy tính của bạn. Câu hỏi đầu tiên và quan trọng nhất là làm thế nào để khử trùng máy tính và cách loại bỏ vi-rút khỏi máy tính để ngăn chặn việc mã hóa thêm nếu nó chưa được hoàn thành. Tôi muốn bạn ngay lập tức thu hút sự chú ý của bạn rằng sau khi chính bạn bắt đầu thực hiện một số hành động với máy tính của mình, cơ hội giải mã dữ liệu sẽ giảm đi. Nếu bạn cần khôi phục tập tin bằng bất cứ giá nào, đừng chạm vào máy tính của bạn mà hãy liên hệ ngay với các chuyên gia. Dưới đây tôi sẽ nói về chúng và cung cấp liên kết đến trang web cũng như mô tả cách chúng hoạt động.

Trong thời gian chờ đợi, chúng tôi sẽ tiếp tục xử lý máy tính và loại bỏ vi-rút một cách độc lập. Theo truyền thống, ransomware có thể dễ dàng bị loại bỏ khỏi máy tính vì vi-rút không có nhiệm vụ tồn tại trên máy tính bằng bất cứ giá nào. Sau khi mã hóa hoàn toàn các tập tin, việc anh ta xóa chính mình và biến mất càng có lợi hơn, do đó việc điều tra vụ việc và giải mã các tập tin càng khó khăn hơn.

Thật khó để mô tả cách loại bỏ vi-rút theo cách thủ công, mặc dù tôi đã thử làm điều này trước đây, nhưng tôi thấy rằng hầu hết nó đều vô nghĩa. Tên tệp và đường dẫn vị trí vi-rút liên tục thay đổi. Những gì tôi thấy không còn phù hợp trong một hoặc hai tuần nữa. Thông thường, vi-rút được gửi qua thư theo từng đợt và mỗi lần có một sửa đổi mới mà phần mềm chống vi-rút vẫn chưa phát hiện được. Trợ giúp các công cụ phổ biến giúp kiểm tra quá trình khởi động và phát hiện hoạt động đáng ngờ trong các thư mục hệ thống.

Để loại bỏ vi-rút CRYPTED000007, bạn có thể sử dụng các chương trình sau:

1. Công cụ diệt virus Kaspersky - một tiện ích của Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - một sản phẩm tương tự từ trang web khác http://free.drweb.ru/cureit.
3. Nếu hai tiện ích đầu tiên không giúp ích được gì, hãy thử MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Rất có thể, một trong những sản phẩm này sẽ xóa phần mềm ransomware CRYPTED000007 trên máy tính của bạn. Nếu đột nhiên chúng không giúp ích được gì, hãy thử loại bỏ vi-rút theo cách thủ công. Tôi đã đưa ra một ví dụ về phương pháp loại bỏ và bạn có thể thấy nó ở đó. Tóm lại, từng bước một, bạn cần hành động như sau:

1. Chúng tôi xem danh sách các quy trình sau khi thêm một số cột bổ sung vào trình quản lý tác vụ.
2. Chúng tôi tìm thấy quá trình vi-rút, mở thư mục chứa nó và xóa nó.
3. Chúng tôi xóa đề cập đến quy trình vi-rút theo tên tệp trong sổ đăng ký.
4. Chúng tôi khởi động lại và đảm bảo rằng vi-rút CRYPTED000007 không có trong danh sách các tiến trình đang chạy.

Tải xuống bộ giải mã CRYPTED000007 ở đâu

Câu hỏi về một bộ giải mã đơn giản và đáng tin cậy được đặt ra đầu tiên khi nói đến virus ransomware. Điều đầu tiên tôi khuyên bạn nên sử dụng dịch vụ https://www.nomoreransom.org. Điều gì sẽ xảy ra nếu bạn may mắn và họ có bộ giải mã cho phiên bản bộ mã hóa CRYPTED000007 của bạn. Tôi sẽ nói ngay rằng bạn không có nhiều cơ hội, nhưng cố gắng không phải là tra tấn. Trên trang chính bấm Có:

Sau đó tải xuống một vài tệp được mã hóa và nhấp vào Bắt đầu! Tìm ra:

Tại thời điểm viết bài, không có bộ giải mã trên trang web.

Có lẽ bạn sẽ gặp may mắn hơn. Bạn cũng có thể xem danh sách các bộ giải mã để tải xuống trên một trang riêng - https://www.nomoreransom.org/decryption-tools.html. Có lẽ có điều gì đó hữu ích ở đó. Khi virus hoàn toàn mới, rất ít khả năng điều này xảy ra, nhưng theo thời gian, điều gì đó có thể xuất hiện. Có những ví dụ khi bộ giải mã cho một số sửa đổi của bộ mã hóa xuất hiện trên Internet. Và những ví dụ này nằm trên trang được chỉ định.

Tôi không biết bạn có thể tìm bộ giải mã ở đâu khác. Khó có khả năng nó thực sự tồn tại, có tính đến đặc thù công việc của các bộ mã hóa hiện đại. Chỉ những tác giả của virus mới có thể có bộ giải mã chính thức.

Cách giải mã và khôi phục file sau virus CRYPTED000007

Phải làm gì khi virus CRYPTED000007 đã mã hóa file của bạn? Việc triển khai kỹ thuật mã hóa không cho phép giải mã các tập tin mà không có khóa hoặc bộ giải mã mà chỉ tác giả của bộ mã hóa mới có. Có thể có cách khác để lấy nó nhưng tôi không có thông tin đó. Chúng tôi chỉ có thể cố gắng khôi phục tệp bằng các phương pháp ngẫu hứng. Bao gồm các:

• Dụng cụ bản sao bóng tối các cửa sổ.
• Các chương trình khôi phục dữ liệu đã xóa

Trước tiên, hãy kiểm tra xem chúng tôi đã bật bản sao bóng chưa. Công cụ này hoạt động theo mặc định trong Windows 7 trở lên, trừ khi bạn tắt nó theo cách thủ công. Để kiểm tra, hãy mở thuộc tính máy tính và vào phần bảo vệ hệ thống.

Nếu trong quá trình lây nhiễm, bạn không xác nhận yêu cầu UAC xóa các tệp trong bản sao ẩn thì một số dữ liệu sẽ vẫn còn ở đó. Tôi đã nói chi tiết hơn về yêu cầu này ở đầu câu chuyện, khi tôi nói về hoạt động của virus.

Để dễ dàng khôi phục các tệp từ bản sao ẩn, tôi khuyên bạn nên sử dụng chương trình miễn phí cho việc này - ShadowExplorer. Tải xuống kho lưu trữ, giải nén chương trình và chạy nó.

Bản sao mới nhất của tệp và thư mục gốc của ổ C sẽ mở ra. Ở góc trên bên trái, bạn có thể chọn một bản sao lưu nếu bạn có một vài bản sao. Kiểm tra các bản sao khác nhau để tìm các tập tin cần thiết. So sánh theo ngày cho phiên bản mới nhất. Trong ví dụ bên dưới, tôi tìm thấy 2 tệp trên máy tính để bàn của mình từ ba tháng trước khi chúng được chỉnh sửa lần cuối.

Tôi đã có thể khôi phục các tập tin này. Để làm điều này, tôi đã chọn chúng, nhấp chuột phải, chọn Xuất và chỉ định thư mục nơi khôi phục chúng.

Bạn có thể khôi phục các thư mục ngay lập tức bằng cách sử dụng nguyên tắc tương tự. Nếu bạn có các bản sao ẩn đang hoạt động và không xóa chúng, bạn có cơ hội tốt để khôi phục tất cả hoặc gần như tất cả các tệp bị vi-rút mã hóa. Có lẽ một số trong số chúng sẽ là phiên bản cũ hơn chúng ta mong muốn, nhưng tuy nhiên, có còn hơn không.

Nếu vì lý do nào đó mà bạn không có bản sao ẩn của các tệp của mình, cơ hội duy nhất để bạn lấy được ít nhất thứ gì đó từ các tệp được mã hóa là khôi phục chúng bằng các công cụ khôi phục tệp đã xóa. Để làm điều này, tôi khuyên bạn nên sử dụng chương trình Photorec miễn phí.

Khởi chạy chương trình và chọn đĩa mà bạn sẽ khôi phục các tập tin. Khởi chạy phiên bản đồ họa của chương trình sẽ thực thi tệp qphotorec_win.exe. Bạn phải chọn một thư mục nơi các tập tin tìm thấy sẽ được đặt. Sẽ tốt hơn nếu thư mục này không nằm trên cùng ổ đĩa mà chúng ta đang tìm kiếm. Kết nối ổ đĩa flash hoặc ổ cứng ngoài để thực hiện việc này.

Quá trình tìm kiếm sẽ mất nhiều thời gian. Cuối cùng bạn sẽ thấy số liệu thống kê. Bây giờ bạn có thể vào thư mục đã chỉ định trước đó và xem những gì được tìm thấy ở đó. Rất có thể sẽ có rất nhiều tệp và hầu hết chúng sẽ bị hỏng hoặc chúng sẽ là một loại tệp hệ thống và vô dụng nào đó. Tuy nhiên, bạn có thể tìm thấy một số tệp hữu ích trong danh sách này. Không có gì đảm bảo ở đây, những gì bạn tìm thấy là những gì bạn sẽ tìm thấy. Hình ảnh thường được khôi phục tốt nhất.

Nếu kết quả không làm bạn hài lòng thì cũng có các chương trình khôi phục các tập tin đã xóa. Dưới đây là danh sách các chương trình tôi thường sử dụng khi cần khôi phục số lượng tệp tối đa:

• R.saver
• Phục hồi tập tin Starus
• Phục hồi JPEG chuyên nghiệp
• Phục hồi tập tin hoạt động chuyên nghiệp

Những chương trình này không miễn phí nên tôi sẽ không cung cấp liên kết. Nếu bạn thực sự muốn, bạn có thể tự tìm thấy chúng trên Internet.

Toàn bộ quá trình khôi phục file được hiển thị chi tiết trong video ở cuối bài viết.

Kaspersky, eset gật32 và những người khác trong cuộc chiến chống lại bộ mã hóa Filecoding.ED

Các phần mềm chống vi-rút phổ biến phát hiện phần mềm ransomware CRYPTED000007 dưới dạng Bộ mã hóa tập tin.ED và sau đó có thể có một số chỉ định khác. Tôi đã xem qua các diễn đàn chống vi-rút lớn và không thấy điều gì hữu ích ở đó. Thật không may, như thường lệ, phần mềm chống vi-rút hóa ra không được chuẩn bị cho sự xâm nhập của một làn sóng ransomware mới. Đây là một bài viết từ diễn đàn Kaspersky.

Theo truyền thống, các phần mềm chống vi-rút bỏ lỡ các sửa đổi mới của Trojan ransomware. Tuy nhiên, tôi khuyên bạn nên sử dụng chúng. Nếu bạn may mắn và nhận được email ransomware không phải trong đợt lây nhiễm đầu tiên mà muộn hơn một chút, rất có thể phần mềm chống vi-rút sẽ giúp bạn. Tất cả đều hoạt động chậm một bước so với những kẻ tấn công. Một phiên bản mới của ransomware được phát hành nhưng phần mềm chống vi-rút không phản hồi. Ngay khi tích lũy được một lượng tài liệu nhất định để nghiên cứu về một loại vi-rút mới, phần mềm chống vi-rút sẽ phát hành bản cập nhật và bắt đầu phản hồi với nó.

Tôi không hiểu điều gì ngăn cản phần mềm chống vi-rút phản hồi ngay lập tức với bất kỳ quy trình mã hóa nào trong hệ thống. Có lẽ có một số sắc thái kỹ thuật về chủ đề này không cho phép chúng tôi phản hồi đầy đủ và ngăn chặn việc mã hóa tệp người dùng. Đối với tôi, có vẻ như ít nhất có thể hiển thị cảnh báo về thực tế là ai đó đang mã hóa các tệp của bạn và đề nghị dừng quá trình này.

Đi đâu để giải mã được đảm bảo

Tôi tình cờ gặp một công ty thực sự giải mã dữ liệu sau hoạt động của nhiều loại virus mã hóa khác nhau, bao gồm cả CRYPTED000007. Địa chỉ của họ là http://www.dr-shifro.ru. Chỉ thanh toán sau khi giải mã đầy đủ và xác minh của bạn. Đây là một sơ đồ công việc gần đúng:

1. Một chuyên gia của công ty đến văn phòng hoặc nhà của bạn và ký một thỏa thuận với bạn, trong đó đưa ra chi phí cho công việc.
2. Khởi chạy bộ giải mã và giải mã tất cả các tập tin.
3. Bạn đảm bảo rằng tất cả các tập tin đã được mở và ký vào giấy chứng nhận bàn giao/ nghiệm thu công việc đã hoàn thành.
4. Thanh toán chỉ được thực hiện khi có kết quả giải mã thành công.

Thành thật mà nói, tôi không biết họ làm điều đó như thế nào, nhưng bạn không gặp rủi ro gì cả. Chỉ thanh toán sau khi trình diễn hoạt động của bộ giải mã. Hãy viết bình luận về trải nghiệm của bạn với công ty này.

Các phương pháp bảo vệ chống lại virus CRYPTED000007

Làm thế nào để bảo vệ bản thân khỏi ransomware và tránh thiệt hại về vật chất và tinh thần? Có một số mẹo đơn giản và hiệu quả:

1. Hỗ trợ! Sao lưu tất cả dữ liệu quan trọng. Và không chỉ là một bản sao lưu mà còn là một bản sao lưu không có quyền truy cập liên tục. Nếu không, vi-rút có thể lây nhiễm vào cả tài liệu và bản sao lưu của bạn.
2. Phần mềm chống virus được cấp phép. Mặc dù chúng không đảm bảo 100% nhưng chúng làm tăng cơ hội tránh được mã hóa. Chúng thường chưa sẵn sàng cho các phiên bản mới của bộ mã hóa, nhưng sau 3-4 ngày chúng bắt đầu phản hồi. Điều này làm tăng cơ hội tránh bị lây nhiễm nếu bạn không được đưa vào làn sóng phân phối đầu tiên của bản sửa đổi mới của ransomware.
3. Không mở các tệp đính kèm đáng ngờ trong thư. Không có gì để bình luận ở đây. Tất cả các ransomware mà tôi biết đều đến tay người dùng qua email. Hơn nữa, mỗi lần thủ đoạn mới được phát minh ra để đánh lừa nạn nhân.
4. Đừng vô tư mở các liên kết được gửi cho bạn từ bạn bè qua mạng xã hội hoặc tin nhắn tức thời. Đây cũng là cách virus đôi khi lây lan.
5. Kích hoạt cửa sổ để hiển thị phần mở rộng tập tin. Cách thực hiện việc này rất dễ tìm thấy trên Internet. Điều này sẽ cho phép bạn nhận thấy phần mở rộng tập tin của virus. Thông thường nó sẽ là .exe, .vbs, .src. Trong công việc hàng ngày với các tài liệu, bạn khó có thể gặp những phần mở rộng tệp như vậy.

Tôi đã cố gắng bổ sung những gì tôi đã viết trước đây trong mỗi bài viết về virus ransomware. Trong lúc chờ đợi, tôi nói lời tạm biệt. Tôi rất vui khi nhận được những bình luận hữu ích về bài viết và virus ransomware CRYPTED000007 nói chung.

Video về giải mã và phục hồi tập tin

Đây là một ví dụ về một sửa đổi trước đó của virus, nhưng video này hoàn toàn có liên quan đến CRYPTED000007.

Trojan ransomware đầu tiên thuộc họ Trojan.Encode xuất hiện vào năm 2006-2007. Kể từ tháng 1 năm 2009, số lượng giống của họ đã tăng khoảng 1900%! Hiện tại, Trojan.Encoding là một trong những mối đe dọa nguy hiểm nhất đối với người dùng, với hàng nghìn bản sửa đổi. Từ tháng 4 năm 2013 đến tháng 3 năm 2015, phòng thí nghiệm virus Doctor Web đã nhận được 8.553 yêu cầu giải mã các tệp bị ảnh hưởng bởi Trojan mã hóa.
Virus mã hóa gần như đã chiếm được vị trí đầu tiên trong các yêu cầu gửi tới các diễn đàn bảo mật thông tin. Trung bình mỗi ngày, chỉ có nhân viên của phòng thí nghiệm virus Doctor Web nhận được 40 yêu cầu giải mã từ những người dùng bị nhiễm nhiều loại Trojan mã hóa khác nhau ( Trojan.Encode, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, vault và như thế). Dấu hiệu chính của sự lây nhiễm như vậy là thay đổi phần mở rộng của tệp người dùng, chẳng hạn như tệp nhạc, tệp hình ảnh, tài liệu, v.v., khi bạn cố mở chúng, một thông báo xuất hiện từ những kẻ tấn công yêu cầu thanh toán để lấy bộ giải mã. Cũng có thể thay đổi hình nền của màn hình, giao diện của tài liệu văn bản và cửa sổ với các thông báo tương ứng về mã hóa, vi phạm thỏa thuận cấp phép, v.v. Trojan mã hóa đặc biệt nguy hiểm đối với các công ty thương mại vì dữ liệu bị mất từ ​​cơ sở dữ liệu và chứng từ thanh toán có thể cản trở hoạt động của công ty trong một khoảng thời gian không xác định, dẫn đến mất lợi nhuận.

Các trojan thuộc họ Trojan.Encoding sử dụng hàng tá thuật toán khác nhau để mã hóa tệp người dùng. Ví dụ: để tìm khóa giải mã các tệp được mã hóa bởi Trojan.Encode.741 bằng phương pháp vũ phu, bạn sẽ cần:
107902838054224993544152335601 năm

Có thể giải mã các tập tin bị Trojan làm hỏng trong không quá 10% trường hợp. Điều này có nghĩa là hầu hết dữ liệu người dùng sẽ bị mất vĩnh viễn.

Ngày nay, ransomware đòi hỏi tới 1.500 bitcoin.

Ngay cả khi bạn trả tiền chuộc cho kẻ tấn công, nó sẽ không đảm bảo cho bạn bất kỳ sự đảm bảo nào về việc phục hồi dữ liệu.

Điều kỳ lạ xảy ra - một trường hợp đã được ghi lại khi mặc dù đã trả tiền chuộc nhưng bọn tội phạm không thể giải mã các tệp được mã hóa bởi Trojan.Encoding mà chúng đã tạo và gửi người dùng bị ảnh hưởng để được trợ giúp... tới dịch vụ hỗ trợ kỹ thuật của phần mềm chống vi-rút công ty!

Nhiễm trùng xảy ra như thế nào?

• Thông qua tệp đính kèm email; Bằng cách sử dụng kỹ thuật xã hội, kẻ tấn công buộc người dùng phải mở tệp đính kèm.
• Sử dụng sự lây nhiễm Zbot được ngụy trang dưới dạng tệp đính kèm PDF.
• Thông qua các bộ công cụ khai thác nằm trên các trang web bị tấn công nhằm khai thác các lỗ hổng trên máy tính để cài đặt phần mềm lây nhiễm.
• Thông qua Trojan cung cấp tải xuống trình phát cần thiết để xem video trực tuyến. Điều này thường xảy ra trên các trang web khiêu dâm.
• Thông qua RDP, sử dụng tính năng đoán mật khẩu và lỗ hổng trong giao thức này.
• Sử dụng keygen, vết nứt và tiện ích kích hoạt bị nhiễm độc.

Trong hơn 90% trường hợp, người dùng tự tay khởi chạy (kích hoạt) ransomware trên máy tính của mình.

Khi sử dụng tính năng đoán mật khẩu RDP, kẻ tấn công anh ấy tự mình đến dưới một tài khoản bị hack, tự mình tắt nó đi hoặc tải xuống một sản phẩm chống vi-rút và tự khởi động mã hóa.

Cho đến khi bạn không còn sợ hãi trước những lá thư có tiêu đề “Nợ”, “Tố tụng hình sự”, v.v., những kẻ tấn công sẽ lợi dụng sự ngây thơ của bạn.

Hãy suy nghĩ về điều đó... Hãy tự học và dạy cho người khác những kiến ​​thức cơ bản đơn giản nhất về an toàn!

• Không bao giờ mở tệp đính kèm từ email nhận được từ những người nhận không xác định, bất kể tiêu đề có thể đáng sợ đến mức nào. Nếu tệp đính kèm xuất hiện dưới dạng kho lưu trữ, hãy chịu khó xem nội dung của kho lưu trữ. Và nếu có một tệp thực thi (phần mở rộng .exe, .com, .bat, .cmd, .scr), thì đây là một cái bẫy 99,(9)% dành cho bạn.
• Nếu bạn vẫn còn lo sợ điều gì đó, đừng lười tìm hiểu địa chỉ email thực sự của tổ chức mà lá thư đã được gửi cho bạn. Điều này không quá khó để tìm ra trong thời đại thông tin của chúng ta.
• Ngay cả khi địa chỉ của người gửi là đúng, đừng lười kiểm tra qua điện thoại xem bức thư đó đã được gửi chưa. Địa chỉ của người gửi có thể dễ dàng bị giả mạo bằng cách sử dụng máy chủ smtp ẩn danh.
• Nếu người gửi nói Sberbank hoặc Bưu điện Nga, thì điều này không có nghĩa gì cả. Những bức thư bình thường lý tưởng nhất nên được ký bằng chữ ký điện tử. Vui lòng kiểm tra cẩn thận các tập tin đính kèm với những email như vậy trước khi mở chúng.
• Thường xuyên sao lưu thông tin trên các phương tiện riêng biệt.
• Hãy quên việc sử dụng các mật khẩu đơn giản, dễ đoán và truy cập vào mạng cục bộ của tổ chức bằng dữ liệu của bạn. Để truy cập RDP, hãy sử dụng chứng chỉ, quyền truy cập VPN hoặc xác thực hai yếu tố.
• Không bao giờ làm việc với quyền Administrator, chú ý tin nhắn UAC ngay cả khi họ có "Màu xanh"đơn đã ký, đừng bấm vào "Đúng", nếu bạn chưa chạy cài đặt hoặc cập nhật.
• Thường xuyên cài đặt các bản cập nhật bảo mật không chỉ cho hệ điều hành mà còn cho các chương trình ứng dụng.
• Cài đặt mật khẩu cài đặt chương trình diệt virus, khác với mật khẩu tài khoản, kích hoạt tùy chọn tự vệ

Phải làm gì trong trường hợp bị nhiễm trùng?

Hãy để chúng tôi trích dẫn các khuyến nghị của Dr.Web và Kaspersky Lab:

• hãy tắt ngay máy tính để ngăn chặn Trojan, nút Reset trên máy tính có thể lưu lại một phần dữ liệu đáng kể;
• Trang bình luận: Mặc dù thực tế là khuyến nghị như vậy được đưa ra bởi các phòng thí nghiệm nổi tiếng, nhưng trong một số trường hợp, việc thực hiện nó sẽ làm phức tạp việc giải mã, vì khóa có thể được lưu trữ trong RAM và sau khi khởi động lại hệ thống, sẽ không thể khôi phục nó. Để ngừng mã hóa thêm, bạn có thể đóng băng quá trình thực thi quy trình ransomware bằng Process Explorer hoặc để có thêm đề xuất.

spoiler: Chú thích cuối trang

Không có bộ mã hóa nào có khả năng mã hóa tất cả dữ liệu ngay lập tức, vì vậy cho đến khi quá trình mã hóa hoàn tất, một phần của dữ liệu vẫn còn nguyên. Và thời gian càng trôi qua kể từ khi bắt đầu mã hóa, dữ liệu càng ít bị ảnh hưởng. Vì nhiệm vụ của chúng ta là lưu càng nhiều chúng càng tốt nên chúng ta cần dừng hoạt động của bộ mã hóa. Về nguyên tắc, bạn có thể bắt đầu phân tích danh sách các quy trình, tìm kiếm Trojan ở đâu trong đó, cố gắng chấm dứt nó... Nhưng, tin tôi đi, việc rút dây nguồn sẽ nhanh hơn nhiều! Tắt Windows thông thường không phải là một giải pháp thay thế tồi, nhưng có thể mất một chút thời gian hoặc Trojan có thể can thiệp vào thông qua các hành động của nó. Vì thế lựa chọn của tôi là kéo dây. Không còn nghi ngờ gì nữa, bước này có nhược điểm: khả năng làm hỏng hệ thống tệp và không thể sử dụng thêm kết xuất RAM. Đối với một người không chuẩn bị trước, hệ thống tệp bị hỏng là một vấn đề nghiêm trọng hơn bộ mã hóa. Ít nhất các tập tin vẫn còn sau bộ mã hóa, nhưng bảng phân vùng bị hỏng sẽ khiến hệ điều hành không thể khởi động được. Mặt khác, một chuyên gia khôi phục dữ liệu có năng lực sẽ sửa chữa cùng một bảng phân vùng mà không gặp vấn đề gì, nhưng bộ mã hóa có thể không có thời gian để tiếp cận nhiều tệp.

Để bắt đầu tố tụng hình sự đối với những kẻ tấn công, các cơ quan thực thi pháp luật cần có lý do mang tính thủ tục - lời khai của bạn về tội phạm. Ứng dụng mẫu

Hãy chuẩn bị cho việc máy tính của bạn sẽ bị tịch thu một thời gian để kiểm tra.

Nếu họ từ chối chấp nhận đơn đăng ký của bạn, hãy nhận văn bản từ chối và nộp đơn khiếu nại lên cơ quan cảnh sát cấp cao hơn (cảnh sát trưởng thành phố hoặc khu vực của bạn).

• Trong mọi trường hợp, đừng cố cài đặt lại hệ điều hành;
• không xóa bất kỳ tập tin hoặc tin nhắn email nào trên máy tính của bạn;
• không chạy bất kỳ "trình dọn dẹp" nào đối với các tệp và sổ đăng ký tạm thời;
• Bạn không nên quét và xử lý máy tính của mình bằng các phần mềm chống vi-rút và tiện ích chống vi-rút, đặc biệt là với LiveCD chống vi-rút, phương án cuối cùng là bạn có thể di chuyển các tệp bị nhiễm sang khu vực cách ly chống vi-rút;

spoiler: Chú thích cuối trang

Để giải mã, một tệp 40 byte khó thấy trong thư mục tạm thời hoặc một lối tắt khó hiểu trên màn hình có thể có tầm quan trọng lớn nhất. Bạn có thể không biết liệu chúng có quan trọng cho việc giải mã hay không, vì vậy tốt hơn hết là đừng chạm vào bất cứ thứ gì. Việc dọn dẹp sổ đăng ký nói chung là một quy trình đáng ngờ và một số bộ mã hóa để lại dấu vết hoạt động ở đó rất quan trọng cho việc giải mã. Tất nhiên, phần mềm chống vi-rút có thể tìm thấy phần thân của Trojan mã hóa. Và họ thậm chí có thể xóa nó một lần và mãi mãi, nhưng sau đó sẽ còn lại gì để phân tích? Làm cách nào để chúng tôi hiểu các tập tin được mã hóa bằng cách nào và bằng gì? Vì vậy, tốt hơn hết bạn nên để con vật trên đĩa. Một điểm quan trọng khác: Tôi không biết bất kỳ sản phẩm làm sạch hệ thống nào có tính đến khả năng hoạt động của bộ mã hóa và lưu giữ mọi dấu vết hoạt động của nó. Và rất có thể, những khoản tiền như vậy sẽ không xuất hiện. Việc cài đặt lại hệ thống chắc chắn sẽ tiêu diệt mọi dấu vết của Trojan, ngoại trừ các file bị mã hóa.

• đừng cố gắng khôi phục các tập tin được mã hóa của riêng mình;

spoiler: Chú thích cuối trang

Nếu bạn đã có vài năm viết chương trình, bạn thực sự hiểu RC4, AES, RSA là gì và sự khác biệt giữa chúng là gì, bạn biết Hiew là gì và 0xDEADC0DE nghĩa là gì, bạn có thể dùng thử. Tôi không giới thiệu nó cho người khác. Giả sử bạn đã tìm ra một phương pháp kỳ diệu nào đó để giải mã các tập tin và thậm chí bạn còn giải mã được một tập tin. Đây không phải là sự đảm bảo rằng kỹ thuật này sẽ hoạt động trên tất cả các tệp của bạn. Hơn nữa, đây không phải là sự đảm bảo rằng việc sử dụng phương pháp này bạn sẽ không làm hỏng các tập tin nhiều hơn. Ngay cả trong công việc của chúng tôi, cũng có những khoảnh khắc khó chịu khi phát hiện ra các lỗi nghiêm trọng trong mã giải mã, nhưng trong hàng nghìn trường hợp cho đến thời điểm này, mã vẫn hoạt động như bình thường.

Bây giờ bạn đã rõ những gì nên làm và không nên làm, bạn có thể bắt đầu giải mã. Về lý thuyết, việc giải mã hầu như luôn có thể thực hiện được. Điều này xảy ra nếu bạn biết tất cả dữ liệu cần thiết cho nó hoặc có số lượng tiền, thời gian và lõi xử lý không giới hạn. Trong thực tế, một cái gì đó có thể được giải mã gần như ngay lập tức. Một cái gì đó sẽ chờ đến lượt nó trong vài tháng hoặc thậm chí nhiều năm. Trong một số trường hợp, bạn thậm chí không cần phải giải quyết vấn đề đó: sẽ không ai thuê siêu máy tính miễn phí trong 5 năm. Thật tệ khi một trường hợp tưởng chừng đơn giản lại trở nên cực kỳ phức tạp khi xem xét chi tiết. Tùy thuộc vào bạn để quyết định liên hệ với ai.

• liên hệ với phòng thí nghiệm chống vi-rút của một công ty có bộ phận phân tích vi-rút giải quyết vấn đề này;
• Đính kèm tệp được mã hóa bằng Trojan vào vé (và nếu có thể, một bản sao không được mã hóa của tệp đó);
• chờ phản hồi của nhà phân tích virus. Do số lượng yêu cầu lớn nên việc này có thể mất một chút thời gian.

Làm thế nào để khôi phục tập tin?

Địa chỉ có biểu mẫu gửi file mã hóa:

• Dr.Web (Đơn đăng ký giải mã miễn phí chỉ được chấp nhận từ người dùng phần mềm chống vi-rút Drweb toàn diện)
• Kaspersky Lab (Yêu cầu giải mã miễn phí chỉ được chấp nhận từ người dùng các sản phẩm thương mại của Kaspersky Lab)
• ESET, LLC ( Đơn đăng ký giải mã miễn phí chỉ được chấp nhận từ người dùng sản phẩm thương mại ESET)
• Dự án No More Ransom (lựa chọn những người giải mã)
• Người mã hóa - kẻ tống tiền (lựa chọn người giải mã)
• ID Ransomware (lựa chọn bộ giải mã)

Chúng tôi Chúng tôi hoàn toàn không khuyến khích tự khôi phục các tập tin, vì nếu bạn thực hiện không đúng cách, bạn có thể mất tất cả thông tin mà không khôi phục được gì!!! Ngoài ra, việc khôi phục các tập tin bị mã hóa bởi một số loại Trojan nó đơn giản là không thể do sức mạnh của cơ chế mã hóa.

Tiện ích phục hồi file đã xóa:
Một số loại mã hóa Trojan tạo bản sao của tệp bị mã hóa, mã hóa và xóa tệp gốc. Trong trường hợp này, bạn có thể sử dụng một trong các tiện ích khôi phục tệp (nên sử dụng phiên bản di động của chương trình, được tải xuống và ghi lại). trên ổ đĩa flash trên máy tính khác):

• R.saver
• Recuva
• JPEG Ripper - Tiện ích phục hồi ảnh bị hỏng
• Mô tả JPGscan)
• PhotoRec - tiện ích khôi phục ảnh bị hỏng (mô tả)

Phương pháp giải quyết vấn đề với một số phiên bản Lockdir

Các thư mục được mã hóa bằng một số phiên bản Lockdir có thể được mở bằng trình lưu trữ 7-zip

Sau khi khôi phục dữ liệu thành công, bạn cần kiểm tra hệ thống xem có phần mềm độc hại không, để thực hiện việc này, bạn nên chạy và tạo một chủ đề mô tả sự cố trong phần

Khôi phục các tập tin được mã hóa bằng hệ điều hành.

Để khôi phục các tệp bằng hệ điều hành, bạn phải kích hoạt tính năng bảo vệ hệ thống trước khi Trojan ransomware xâm nhập vào máy tính của bạn. Hầu hết các Trojan ransomware sẽ cố gắng xóa mọi bản sao ẩn trên máy tính của bạn, nhưng đôi khi việc này sẽ không thành công (nếu bạn không có đặc quyền quản trị và cài đặt các bản cập nhật Windows) và bạn sẽ có thể sử dụng các bản sao ẩn để khôi phục các tệp bị hỏng.

Hãy nhớ rằng lệnh xóa bản sao bóng:

Mã số:

Vssadmin xóa bóng

chỉ hoạt động với quyền quản trị viên, vì vậy sau khi bật tính năng bảo vệ, bạn chỉ phải làm việc với tư cách là người dùng có quyền hạn chế và chú ý cẩn thận đến tất cả các cảnh báo UAC về nỗ lực leo thang quyền.

Tiết lộ nội dung: Làm thế nào để kích hoạt bảo vệ hệ thống?

Làm cách nào để khôi phục các phiên bản trước của tệp sau khi chúng bị hỏng?

Ghi chú:

Khôi phục từ các thuộc tính của tệp hoặc thư mục bằng cách sử dụng tab “Phiên bản trước” có sẵn chỉ trong các phiên bản Windows 7 không thấp hơn “Chuyên nghiệp”. Các phiên bản Home của Windows 7 và tất cả các phiên bản của hệ điều hành Windows mới hơn đều có cách giải quyết (dưới phần spoiler).

tiết lộ nội dung

Cách thứ hai -đây là cách sử dụng tiện ích ShadowExplorer(bạn có thể tải xuống cả trình cài đặt và phiên bản di động của tiện ích).

Chạy chương trình
Chọn ổ đĩa và ngày bạn muốn khôi phục tập tin

Chọn tập tin hoặc thư mục cần khôi phục và nhấp chuột phải vào nó
Chọn mục menu Xuất khẩu và chỉ định đường dẫn đến thư mục mà bạn muốn khôi phục các tệp từ bản sao ẩn.

Các cách để bảo vệ bạn khỏi Trojan ransomware

Thật không may, các phương pháp bảo vệ chống lại Trojan ransomware cho người dùng thông thường khá phức tạp vì chúng yêu cầu chính sách bảo mật hoặc cài đặt HIPS chỉ cho phép truy cập vào các tệp đối với một số ứng dụng nhất định và không cung cấp khả năng bảo vệ 100% trong trường hợp Trojan được nhúng trong không gian địa chỉ. của một ứng dụng đáng tin cậy. Do đó, phương pháp bảo vệ duy nhất hiện có là sao lưu tệp người dùng vào phương tiện di động. Ngoài ra, nếu phương tiện đó là ổ cứng gắn ngoài hoặc ổ đĩa flash thì chỉ nên kết nối những phương tiện này với máy tính trong thời gian sao lưu và ngắt kết nối trong thời gian còn lại. Để bảo mật hơn, việc sao lưu có thể được thực hiện bằng cách khởi động từ LiveCD. Việc sao lưu cũng có thể được thực hiện trên cái gọi là " lưu trữ đám mây" được cung cấp bởi một số công ty.

Thiết lập các chương trình chống vi-rút để giảm khả năng bị lây nhiễm bởi Trojan ransomware.

Áp dụng cho tất cả sản phẩm:

Cần phải kích hoạt mô-đun tự vệ và đặt mật khẩu phức tạp cho cài đặt chống vi-rút!!!

Ngày nay, có lẽ chỉ những người ở rất xa Internet mới không biết về sự lây nhiễm hàng loạt máy tính với Trojan mã hóa WannaCry (“Tôi muốn khóc”) bắt đầu vào ngày 12 tháng 5 năm 2017. Và tôi xin chia phản ứng của những người biết chuyện thành 2 loại đối lập nhau: thờ ơ và hoảng sợ. Điều đó có nghĩa là gì?

Và thực tế là thông tin rời rạc không cung cấp sự hiểu biết đầy đủ về tình hình sẽ dẫn đến suy đoán và để lại nhiều câu hỏi hơn là câu trả lời. Để hiểu điều gì đang thực sự xảy ra, nó đe dọa ai và điều gì, cách bảo vệ bản thân khỏi bị lây nhiễm và cách giải mã các tập tin bị WannaCry làm hỏng, bài viết hôm nay được dành cho nó.

“Ma quỷ” có thực sự đáng sợ đến vậy không?

Tôi không hiểu tất cả những ồn ào đó là gìMuốn khóc? Virus có rất nhiều, virus mới xuất hiện liên tục. Điều gì đặc biệt ở cái này?

WannaCry (tên khác WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) không phải là một phần mềm độc hại mạng thông thường. Lý do khiến anh ta nổi tiếng là số lượng thiệt hại khổng lồ gây ra. Theo Europol, nó đã làm gián đoạn hoạt động của hơn 200.000 máy tính chạy Windows ở 150 quốc gia và thiệt hại mà chủ nhân của chúng phải gánh chịu lên tới hơn 1.000.000.000 USD, chỉ trong 4 ngày đầu tiên được phân phối. Hầu hết nạn nhân đều ở Nga và Ukraine.

Tôi biết rằng virus xâm nhập vào PC thông qua các trang web người lớn. Tôi không truy cập những tài nguyên như vậy nên tôi không gặp nguy hiểm.

Vi-rút? Tôi cũng có một vấn đề. Khi virus xuất hiện trên máy tính của tôi, tôi chạy tiện ích *** và sau nửa giờ thì mọi thứ đều ổn. Và nếu không được, tôi cài đặt lại Windows.

Virus khác với virus. WannaCry là một ransomware Trojan, một loại sâu mạng có thể lây lan qua mạng cục bộ và Internet từ máy tính này sang máy tính khác mà không cần sự can thiệp của con người.

Hầu hết các phần mềm độc hại, bao gồm cả ransomware, chỉ bắt đầu hoạt động sau khi người dùng “nuốt mồi”, tức là nhấp vào liên kết, mở tệp, v.v. Để bị nhiễm WannaCry, bạn không cần phải làm gì cả!

Khi ở trên máy tính Windows, phần mềm độc hại sẽ mã hóa hàng loạt tệp người dùng trong một thời gian ngắn, sau đó nó hiển thị thông báo yêu cầu tiền chuộc 300-600 USD, số tiền này phải được chuyển đến ví được chỉ định trong vòng 3 ngày. Trong trường hợp chậm trễ, anh ta đe dọa sẽ không thể giải mã tập tin trong 7 ngày.

Đồng thời, phần mềm độc hại tìm kiếm sơ hở để xâm nhập vào các máy tính khác và nếu tìm thấy sẽ lây nhiễm vào toàn bộ mạng cục bộ. Điều này có nghĩa là bản sao lưu của các tệp được lưu trữ trên các máy lân cận cũng không thể sử dụng được.

Loại bỏ vi-rút khỏi máy tính không giải mã được tập tin! Cài đặt lại hệ điều hành cũng vậy. Ngược lại, nếu bị nhiễm ransomware, cả hai hành động này đều có thể khiến bạn mất khả năng khôi phục tệp ngay cả khi bạn có khóa hợp lệ.

Vì vậy, “chết tiệt” khá đáng sợ.

WannaCry lây lan như thế nào

Bạn đang nói dối. Virus chỉ có thể xâm nhập vào máy tính của tôi nếu tôi tự tải xuống. Và tôi cảnh giác.

Nhân tiện, nhiều phần mềm độc hại có thể lây nhiễm vào máy tính (và cả thiết bị di động) thông qua các lỗ hổng - lỗi trong mã của các thành phần và chương trình hệ điều hành, tạo cơ hội cho những kẻ tấn công mạng sử dụng máy từ xa cho mục đích riêng của chúng. Đặc biệt, WannaCry lây lan qua lỗ hổng 0 ngày trong giao thức SMB (lỗ hổng zero-day là lỗi chưa được khắc phục tại thời điểm chúng bị phần mềm độc hại/phần mềm gián điệp khai thác).

Nghĩa là, để lây nhiễm sâu ransomware vào máy tính, cần có hai điều kiện:

• Kết nối với mạng nơi có các máy bị nhiễm khác (Internet).
• Sự hiện diện của lỗ hổng được mô tả ở trên trong hệ thống.

Sự lây nhiễm này thậm chí đến từ đâu? Đây có phải là tác phẩm của hacker Nga?

Theo một số báo cáo (tôi không chịu trách nhiệm về tính xác thực), Cơ quan An ninh Quốc gia Hoa Kỳ là cơ quan đầu tiên phát hiện ra lỗ hổng trong giao thức mạng SMB, được sử dụng để truy cập từ xa hợp pháp vào các tệp và máy in trong Windows. Thay vì báo cáo cho Microsoft để họ sửa lỗi, NSA đã quyết định tự mình sử dụng nó và phát triển một cách khai thác lỗ hổng này (một chương trình khai thác lỗ hổng).

Trực quan hóa động thái phát tán WannaCry trên trang web intel.malwaretech.com

Sau đó, khai thác này (có tên mã EternalBlue), trong một thời gian đã giúp NSA xâm nhập vào máy tính mà chủ sở hữu không hề hay biết, đã bị tin tặc đánh cắp và tạo cơ sở cho việc tạo ra ransomware WannaCry. Nghĩa là, nhờ những hành động không hoàn toàn hợp pháp và đạo đức của cơ quan chính phủ Hoa Kỳ, những kẻ viết virus đã biết về lỗ hổng này.

Tôi đã tắt cài đặt bản cập nhậtCác cửa sổ. Cần thiết để làm gì khi mọi thứ vẫn hoạt động mà không có chúng.

Nguyên nhân khiến dịch bệnh lây lan nhanh chóng và lan rộng như vậy là do vào thời điểm đó chưa có “bản vá” - bản cập nhật Windows có thể bịt lỗ hổng Wanna Cry. Rốt cuộc, phải mất thời gian để phát triển nó.

Ngày nay một bản vá như vậy tồn tại. Người dùng cập nhật hệ thống sẽ tự động nhận được nó trong vòng những giờ đầu tiên phát hành. Và những người cho rằng không cần cập nhật vẫn có nguy cơ bị lây nhiễm.

Ai có nguy cơ bị tấn công bởi WannaCry và cách bảo vệ khỏi nó

Theo tôi được biết, hơn 90% máy tính bị nhiễm virusWannaCry, được vận hành bởiWindows 7. Tôi có “mười”, nghĩa là tôi không gặp nguy hiểm.

Tất cả các hệ điều hành sử dụng giao thức mạng SMB v1 đều dễ bị nhiễm WannaCry. Cái này:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v1607
• Máy chủ Windows 2003
• Máy chủ Windows 2008
• Máy chủ Windows 2012
• Máy chủ Windows 2016

Ngày nay, người dùng các hệ thống không có cập nhật bảo mật quan trọng MS17-010(có sẵn để tải xuống miễn phí từ technet.microsoft.com được liên kết tới). Có thể tải xuống các bản vá cho Windows XP, Windows Server 2003, Windows 8 và các hệ điều hành không được hỗ trợ khác từ trang này support.microsoft.com. Nó cũng mô tả các cách để kiểm tra sự hiện diện của bản cập nhật cứu mạng.

Nếu bạn không biết phiên bản hệ điều hành trên máy tính của mình, hãy nhấn tổ hợp phím Win+R và chạy lệnh winver.

Để tăng cường bảo mật và nếu không thể cập nhật hệ thống ngay bây giờ, Microsoft cung cấp hướng dẫn cách vô hiệu hóa tạm thời giao thức SMB phiên bản 1. Chúng được định vị và. Ngoài ra, nhưng không nhất thiết, bạn có thể đóng cổng TCP 445, cổng phục vụ SMB, thông qua tường lửa.

Tôi có phần mềm diệt virus tốt nhất trên thế giới ***, với nó tôi có thể làm bất cứ điều gì và tôi không sợ bất cứ điều gì.

Sự lây lan của WannaCry có thể xảy ra không chỉ bằng phương pháp tự hành được mô tả ở trên mà còn theo những cách thông thường - thông qua mạng xã hội, email, tài nguyên web bị nhiễm và lừa đảo, v.v. Và có những trường hợp như vậy. Nếu bạn tải xuống và chạy một chương trình độc hại theo cách thủ công, cả phần mềm chống vi-rút và bản vá lỗi đóng các lỗ hổng sẽ không giúp bạn khỏi bị lây nhiễm.

Virus hoạt động như thế nào, nó mã hóa cái gì

Vâng, hãy để anh ấy mã hóa những gì anh ấy muốn. Tôi có một người bạn là lập trình viên, anh ấy sẽ giải mã mọi thứ cho tôi. Biện pháp cuối cùng là chúng ta sẽ tìm ra chìa khóa bằng cách sử dụng vũ lực.

Chà, nó mã hóa một vài tập tin, vậy thì sao? Điều này sẽ không ngăn cản tôi làm việc trên máy tính.

Thật không may, nó sẽ không giải mã được vì không có cách nào để bẻ khóa thuật toán mã hóa RSA-2048 mà Wanna Cry sử dụng và sẽ không xuất hiện trong tương lai gần. Và nó sẽ mã hóa không chỉ một vài tập tin mà hầu hết mọi thứ.

Tôi sẽ không đưa ra mô tả chi tiết về cách thức hoạt động của phần mềm độc hại; bất kỳ ai quan tâm đều có thể đọc phân tích của nó, chẳng hạn như trên blog của chuyên gia Microsoft Matt Suiche. Tôi sẽ chỉ lưu ý những khoảnh khắc quan trọng nhất.

Các tệp có phần mở rộng sau được mã hóa: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Như bạn có thể thấy, có các tài liệu, ảnh, video-âm thanh, kho lưu trữ, thư và tệp được tạo trong nhiều chương trình khác nhau... Phần mềm độc hại cố gắng tiếp cận mọi thư mục trong hệ thống.

Các đối tượng được mã hóa nhận được phần mở rộng gấp đôi với phần tái bút WNCRY, ví dụ: "Document1.doc.WNCRY".

Sau khi mã hóa, virus sao chép một file thực thi vào từng thư mục @[email được bảo vệ] – được cho là để giải mã sau khi đòi tiền chuộc, cũng như một tài liệu văn bản @[email được bảo vệ] kèm theo một thông báo cho người dùng.

Tiếp theo, nó cố gắng tiêu diệt các bản sao ẩn và các điểm khôi phục Windows. Nếu hệ thống đang chạy UAC, người dùng phải xác nhận thao tác này. Nếu bạn từ chối yêu cầu, vẫn có cơ hội khôi phục dữ liệu từ các bản sao.

WannaCry truyền các khóa mã hóa của hệ thống bị ảnh hưởng đến các trung tâm chỉ huy nằm trên mạng Tor, sau đó nó sẽ xóa chúng khỏi máy tính. Để tìm kiếm các máy dễ bị tấn công khác, nó quét mạng cục bộ và các dải IP tùy ý trên Internet và sau khi tìm thấy, nó sẽ xâm nhập vào mọi thứ mà nó có thể tiếp cận.

Ngày nay, các nhà phân tích đã biết về một số sửa đổi của WannaCry với các cơ chế phân phối khác nhau và chúng ta có thể mong đợi những sửa đổi mới sẽ xuất hiện trong tương lai gần.

Phải làm gì nếu WannaCry đã lây nhiễm vào máy tính của bạn

Tôi thấy các tập tin đang thay đổi phần mở rộng. Chuyện gì đang xảy ra vậy? Làm thế nào để ngăn chặn điều này?

Mã hóa không phải là quá trình diễn ra một lần, mặc dù nó không mất quá nhiều thời gian. Nếu bạn nhận thấy điều đó trước khi thông báo ransomware xuất hiện trên màn hình, bạn có thể lưu một số tệp bằng cách tắt nguồn máy tính ngay lập tức. Không phải bằng cách tắt hệ thống, mà bằng cách rút phích cắm ra khỏi ổ cắm!

Khi Windows khởi động ở chế độ bình thường, quá trình mã hóa sẽ tiếp tục, vì vậy điều quan trọng là phải ngăn chặn điều đó. Lần khởi động tiếp theo của máy tính phải diễn ra ở chế độ an toàn, trong đó vi-rút không hoạt động hoặc từ một phương tiện có khả năng khởi động khác.

Các tập tin của tôi đã được mã hóa! Virus đòi tiền chuộc cho họ! Phải làm gì, làm thế nào để giải mã?

Việc giải mã các tập tin sau WannaCry chỉ có thể thực hiện được nếu bạn có khóa bí mật mà những kẻ tấn công hứa sẽ cung cấp ngay khi nạn nhân chuyển số tiền chuộc cho chúng. Tuy nhiên, những lời hứa như vậy hầu như không bao giờ được thực hiện: tại sao các nhà phân phối phần mềm độc hại phải bận tâm nếu họ đã có được thứ họ muốn?

Trong một số trường hợp, vấn đề có thể được giải quyết mà không cần tiền chuộc. Đến nay, 2 bộ giải mã WannaCry đã được phát triển: WannaKey(bởi Adrien Guinet) và WanaKiwi(bởi Benjamin Delpy) Cái đầu tiên chỉ hoạt động trong Windows XP và cái thứ hai, được tạo trên cơ sở cái đầu tiên, hoạt động trong Windows XP, Vista và 7 x86, cũng như trong các hệ thống phía bắc 2003, 2008 và 2008R2 x86.

Thuật toán hoạt động của cả hai bộ giải mã đều dựa trên việc tìm kiếm các khóa bí mật trong bộ nhớ của quá trình mã hóa. Điều này có nghĩa là chỉ những người không có thời gian khởi động lại máy tính mới có cơ hội giải mã. Và nếu không quá nhiều thời gian đã trôi qua kể từ khi mã hóa (bộ nhớ chưa bị ghi đè bởi quá trình khác).

Vì vậy, nếu bạn là người dùng Windows XP-7 x86, điều đầu tiên bạn nên làm sau khi thông báo đòi tiền chuộc xuất hiện là ngắt kết nối máy tính của bạn khỏi mạng cục bộ và Internet và chạy bộ giải mã WanaKiwi được tải xuống trên một thiết bị khác. Trước khi tháo key, không thực hiện bất kỳ thao tác nào khác trên máy tính!

Bạn có thể đọc mô tả về công việc của bộ giải mã WanaKiwi trong một blog khác của Matt Suiche.

Sau khi giải mã các tệp, hãy chạy phần mềm chống vi-rút để loại bỏ phần mềm độc hại và cài đặt bản vá để đóng đường dẫn phân phối của nó.

Ngày nay, WannaCry được hầu hết các chương trình chống vi-rút công nhận, ngoại trừ những chương trình không được cập nhật, vì vậy hầu hết mọi chương trình đều được.

Làm thế nào để sống cuộc sống này hơn nữa

Dịch bệnh tự phát này khiến cả thế giới phải kinh ngạc. Đối với tất cả các loại dịch vụ an ninh, điều này hóa ra lại bất ngờ như sự bắt đầu của mùa đông ngày 1 tháng 12 đối với các công nhân tiện ích. Nguyên nhân là do sự bất cẩn và ngẫu nhiên. Hậu quả là mất mát dữ liệu và thiệt hại không thể khắc phục được. Và đối với những người tạo ra phần mềm độc hại, đây là động lực để tiếp tục với tinh thần tương tự.

Theo giới phân tích, WanaCry mang lại cổ tức rất tốt cho các nhà phân phối, đồng nghĩa với việc những cuộc tấn công như thế này sẽ còn lặp lại. Và những người bị cuốn đi bây giờ không nhất thiết sẽ bị cuốn đi sau này. Tất nhiên, nếu bạn không lo lắng về điều đó trước.

Vì vậy, để bạn không bao giờ phải khóc lóc vì các tập tin được mã hóa:

• Đừng từ chối cài đặt các bản cập nhật hệ điều hành và ứng dụng. Điều này sẽ bảo vệ bạn khỏi 99% các mối đe dọa lây lan qua các lỗ hổng chưa được vá.
• Cứ tiếp tục.
• Tạo bản sao lưu của các tệp quan trọng và lưu trữ chúng trên một phương tiện vật lý khác hoặc tốt hơn là trên một số phương tiện. Trong mạng công ty, tối ưu nhất là sử dụng cơ sở dữ liệu lưu trữ dữ liệu phân tán, người dùng gia đình có thể sử dụng các dịch vụ đám mây miễn phí như Yandex Disk, Google Drive, OneDrive, MEGASynk, v.v. Đừng để các ứng dụng này chạy khi bạn không sử dụng.
• Chọn hệ điều hành đáng tin cậy. Windows XP không như vậy.
• Cài đặt chương trình chống vi-rút toàn diện thuộc lớp Bảo mật Internet và bảo vệ bổ sung chống lại phần mềm tống tiền, chẳng hạn như Kaspersky Endpoint Security. Hoặc tương tự từ các nhà phát triển khác.
• Nâng cao trình độ hiểu biết của bạn trong việc chống lại Trojan ransomware. Ví dụ: nhà cung cấp phần mềm chống vi-rút Dr.Web đã chuẩn bị các khóa đào tạo cho người dùng và quản trị viên của nhiều hệ thống khác nhau. Rất nhiều thông tin hữu ích và quan trọng là đáng tin cậy có trong blog của các nhà phát triển A/V khác.

Và quan trọng nhất: dù có gặp nạn cũng không được chuyển tiền cho kẻ tấn công để giải mã. Xác suất bạn bị lừa là 99%. Hơn nữa, nếu không có ai trả tiền thì việc tống tiền sẽ trở nên vô nghĩa. Nếu không, sự lây lan của bệnh nhiễm trùng như vậy sẽ chỉ tăng lên.