Mở khóa tập tin sau khi bị virus. Khôi phục phiên bản trước. Cách loại bỏ file mã hóa virus và giải mã file

Xin chào mọi người, hôm nay tôi sẽ hướng dẫn các bạn cách giải mã các tập tin bị nhiễm vi-rút trong Windows. Một trong những phần mềm độc hại có vấn đề nhất hiện nay là Trojan hoặc vi-rút mã hóa các tệp trên ổ đĩa của người dùng. Một số tệp này có thể được giải mã, nhưng những tệp khác vẫn chưa thể giải mã được. Trong bài viết tôi sẽ mô tả các thuật toán hành động có thể có trong cả hai tình huống.

Có một số sửa đổi của loại vi-rút này, nhưng bản chất chung của công việc là sau khi cài đặt trên máy tính của bạn, các tệp tài liệu, hình ảnh và các tệp quan trọng khác của bạn sẽ được mã hóa bằng một thay đổi về phần mở rộng, sau đó bạn nhận được thông báo rằng tất cả các tệp của bạn các tập tin đã được mã hóa và để giải mã chúng, bạn cần gửi một số tiền nhất định cho kẻ tấn công.

Các tập tin trên máy tính được mã hóa bằng xtbl

Một trong những biến thể mới nhất của virus ransomware mã hóa các tệp, thay thế chúng bằng các tệp có phần mở rộng .xtbl và tên bao gồm một bộ ký tự ngẫu nhiên.

Đồng thời, một tệp văn bản readme.txt được đặt trên máy tính với nội dung xấp xỉ sau: “Các tệp của bạn đã được mã hóa. Để giải mã chúng, bạn cần gửi mã đến địa chỉ email [email được bảo vệ], [email được bảo vệ] hoặc [email được bảo vệ]. Tiếp theo bạn sẽ nhận được tất cả các hướng dẫn cần thiết. Việc cố gắng tự mình giải mã các tập tin sẽ dẫn đến việc mất thông tin không thể cứu vãn được” (địa chỉ thư và văn bản có thể khác nhau).

Rất tiếc, hiện tại không có cách nào để giải mã .xtbl (ngay khi có, hướng dẫn sẽ được cập nhật). Một số người dùng có thông tin thực sự quan trọng trên máy tính của họ báo cáo trên các diễn đàn chống vi-rút rằng họ đã gửi cho tác giả của vi-rút 5.000 rúp hoặc số tiền cần thiết khác và nhận được bộ giải mã, nhưng điều này rất rủi ro: bạn có thể không nhận được gì.

Phải làm gì nếu tệp được mã hóa ở dạng .xtbl? Các khuyến nghị của tôi như sau (nhưng chúng khác với các khuyến nghị trên nhiều trang web chuyên đề khác, chẳng hạn như họ khuyên bạn nên tắt máy tính ngay lập tức khỏi nguồn điện hoặc không loại bỏ vi-rút. Theo tôi, điều này là không cần thiết, và theo một số trường hợp nó thậm chí có thể có hại, nhưng tùy bạn quyết định.):

1. Nếu biết cách, hãy làm gián đoạn quá trình mã hóa bằng cách xóa các tác vụ tương ứng trong task manager, ngắt kết nối máy tính khỏi Internet (đây có thể là điều kiện cần để mã hóa)
2. Hãy nhớ hoặc ghi lại mã mà kẻ tấn công yêu cầu gửi đến một địa chỉ email (không gửi đến tệp văn bản trên máy tính, đề phòng trường hợp nó không được mã hóa).
3. Sử dụng Malwarebytes Antimalware, phiên bản dùng thử của Kaspersky Internet Security hoặc Dr.Web Cure It, loại bỏ virus mã hóa tập tin (tất cả các công cụ này đều làm tốt việc này). Tôi khuyên bạn nên sử dụng lần lượt sản phẩm thứ nhất và thứ hai trong danh sách (tuy nhiên, nếu bạn đã cài đặt phần mềm chống vi-rút, việc cài đặt sản phẩm thứ hai “từ trên cao” là điều không mong muốn vì nó có thể dẫn đến sự cố với máy tính.)
4. Đợi bộ giải mã xuất hiện từ một số công ty chống vi-rút. Kaspersky Lab đang dẫn đầu ở đây.
5. Bạn cũng có thể gửi ví dụ về tệp được mã hóa và mã được yêu cầu tới [email được bảo vệ], nếu bạn có bản sao không được mã hóa của cùng một tệp, vui lòng gửi cả bản sao đó. Về lý thuyết, điều này có thể tăng tốc độ xuất hiện của bộ giải mã.

Những gì không làm:

• Đổi tên các tệp được mã hóa, thay đổi phần mở rộng và xóa chúng nếu chúng quan trọng đối với bạn.

Đây có lẽ là tất cả những gì tôi có thể nói về các tệp được mã hóa có phần mở rộng .xtbl vào lúc này.

Trojan-Ransom.Win32.Aura và Trojan-Ransom.Win32.Rakhni

Trojan sau đây mã hóa các tập tin và cài đặt các tiện ích mở rộng từ danh sách này:

• .đã khóa
• .crypto
• .kraken
• .AES256 (không nhất thiết phải là Trojan này, có những Trojan khác cài đặt cùng một tiện ích mở rộng).
• .codecsu@gmail_com
• .oshit
• Và những người khác.

Để giải mã các tập tin sau hoạt động của những loại virus này, trang web Kaspersky có một tiện ích miễn phí có tên RakhniDecryptor, có sẵn trên trang chính thức http://support.kaspersky.ru/viruses/disinfection/10556.

Ngoài ra còn có hướng dẫn chi tiết để sử dụng tiện ích này, chỉ ra cách khôi phục các tệp được mã hóa, từ đó, đề phòng, tôi sẽ xóa mục “Xóa các tệp được mã hóa sau khi giải mã thành công” (mặc dù tôi nghĩ mọi thứ sẽ ổn với tùy chọn được cài đặt) .

Nếu bạn có giấy phép chống vi-rút Dr.Web, bạn có thể sử dụng giải mã miễn phí từ công ty này trên trang http://support.drweb.com/new/free_unlocker/

Nhiều tùy chọn virus ransomware hơn

Ít phổ biến hơn nhưng cũng gặp phải là các Trojan sau mã hóa tệp và yêu cầu tiền để giải mã. Các liên kết được cung cấp không chỉ chứa các tiện ích để trả lại tệp của bạn mà còn mô tả các dấu hiệu sẽ giúp xác định rằng bạn có nhiễm loại vi-rút cụ thể này hay không. Mặc dù nhìn chung, cách tối ưu là quét hệ thống bằng phần mềm chống vi-rút Kaspersky, tìm ra tên của Trojan theo phân loại của công ty này, sau đó tìm kiếm tiện ích có tên này.

• Trojan-Ransom.Win32.Rector - tiện ích giải mã RectorDecryptor miễn phí và hướng dẫn sử dụng có tại đây: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist là một Trojan tương tự hiển thị một cửa sổ yêu cầu bạn gửi SMS trả phí hoặc liên hệ qua email để nhận hướng dẫn giải mã. Hướng dẫn khôi phục các tệp được mã hóa và tiện ích XoristDecryptor cho việc này có sẵn trên trang http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Tiện ích giải mã Rannohhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encode.858 (xtbl), Trojan.Encode.741 và các tên khác có cùng tên (khi tìm kiếm thông qua phần mềm chống vi-rút Dr.Web hoặc tiện ích Cure It) và các số khác nhau - hãy thử tìm kiếm trên Internet theo tên của Trojan. Đối với một số trong số chúng có tiện ích giải mã từ Dr.Web, ngoài ra nếu bạn không thể tìm thấy tiện ích này nhưng có giấy phép Dr.Web, bạn có thể sử dụng trang chính thức http://support.drweb.com/new/free_unlocker /
• CryptoLocker - để giải mã các tệp sau khi CryptoLocker hoạt động, bạn có thể sử dụng trang web http://decryptcryptlocker.com - sau khi gửi tệp mẫu, bạn sẽ nhận được khóa và tiện ích để khôi phục các tệp của mình.

Chà, theo tin tức mới nhất - Kaspersky Lab, cùng với các quan chức thực thi pháp luật từ Hà Lan, đã phát triển Bộ giải mã Ransomware (http://noransom.kaspersky.com) để giải mã các tập tin sau CoinVault, nhưng phần mềm ransomware này vẫn chưa được tìm thấy ở các khu vực của chúng ta.

Nhân tiện, nếu đột nhiên bạn có điều gì đó cần thêm vào (vì tôi có thể không có thời gian để theo dõi những gì đang xảy ra với các phương pháp giải mã), hãy cho tôi biết trong phần nhận xét, thông tin này sẽ hữu ích cho những người dùng khác đang phải đối mặt với một vấn đề.

Gần đây, loại virus nguy hiểm nhất là Trojan mã hóa tập tin, được nhận dạng là Trojan-Ransom.Win32.Rector, mã hóa tất cả các tệp của bạn (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, v.v.). Vấn đề là việc giải mã những tập tin như vậy là vô cùng khó khăn và nếu không có kiến ​​​​thức và kỹ năng nhất định thì điều đó là không thể.

Quá trình lây nhiễm xảy ra một cách xảo quyệt. Một email đến kèm theo một tệp đính kèm thuộc loại “document. pdf .exe " Khi tệp này được mở và trên thực tế là khi nó được khởi chạy, vi-rút bắt đầu hoạt động và mã hóa các tệp. Nếu bạn phát hiện tác dụng của tệp này nhưng vẫn tiếp tục làm việc trên máy tính này thì nó sẽ mã hóa ngày càng nhiều tệp. Tiện ích mở rộng như “Địa chỉ email này đang được bảo vệ khỏi chương trình thư rác, bạn phải bật Javascript để xem nó” được thêm vào các tệp được mã hóa (cách đặt tên có thể khác) và tệp Internet hoặc tệp văn bản như“EXPAND_FILES.html” trong đó những kẻ tấn công mô tả cách lấy tiền từ bạn cho công việc bẩn thỉu của chúng. Đây là nội dung của tệp thực từ máy tính bị nhiễm bệnh của khách hàng của tôi:

Trước đây, cách giải cứu duy nhất khỏi loại vi-rút này là xóa tất cả các tệp bị nhiễm và khôi phục chúng từ bản sao lưu được lưu trữ trên ổ đĩa ngoài hoặc ổ đĩa flash. Tuy nhiên, vì ít người tạo bản sao lưu và cập nhật chúng thường xuyên nên thông tin sẽ bị mất. Phần lớn các tùy chọn trả tiền ransomware để giải mã các tệp của bạn đều dẫn đến việc mất tiền và chỉ đơn giản là một trò lừa đảo.

Hiện các phòng thí nghiệm chống vi-rút đang phát triển các phương pháp và chương trình để loại bỏ loại vi-rút này. Kaspersky Lab đã phát triển một tiện ích, RectorDecryptor, cho phép bạn giải mã các tập tin bị nhiễm. Từ liên kết này, bạn có thể tải xuống chương trình RectorDecryptor. Sau đó, bạn cần khởi chạy nó, nhấp vào nút "Bắt đầu quét", chọn tệp được mã hóa, sau đó chương trình sẽ tự động giải mã tất cả các tệp được mã hóa thuộc loại này. Các tệp được khôi phục trong cùng thư mục chứa các tệp được mã hóa. Sau này, bạn cần xóa các tập tin được mã hóa. Cách dễ nhất để thực hiện việc này là dùng lệnh sau, gõ vào dòng lệnh: del "d:\*.AES256" /f /s (trong đó AES256 phải là phần mở rộng của vi-rút của bạn). Cũng cần phải xóa các tập tin email của kẻ tấn công nằm rải rác trên máy tính. Bạn có thể làm điều này bằng lệnh sau: del"d:\ EXTEND_FILES.html " /f /s gõ vào dòng lệnh.

Trước tiên bạn phải bảo vệ máy tính của mình khỏi khả năng lây lan virus. Để thực hiện việc này, bạn cần xóa các tệp khởi động đáng ngờ khi khởi động, gỡ cài đặt các chương trình đáng ngờ, xóa các thư mục tạm thời và bộ đệm của trình duyệt (bạn có thể sử dụng tiện ích CCleaner cho việc này ).

Tuy nhiên, cần lưu ý rằng phương pháp giải mã này chỉ có thể giúp ích những người có vi-rút đã được Kaspersky Lab xử lý và được đưa vào danh sách trong tiện ích RectorDecryptor. Nếu đây là loại vi-rút mới chưa có trong danh sách vi-rút bị vô hiệu hóa, thì bạn sẽ phải gửi các tệp bị nhiễm của mình đến Kaspersky Labs để giải mã. Tiến sĩ .Web , hoặc gật đầu 32 hoặc khôi phục chúng từ bản sao lưu (dễ dàng hơn nhiều).

Nếu các hành động vô hiệu hóa vi-rút và xử lý máy tính của bạn phức tạp nhất định, thì để không gây hại nhiều hơn hoặc phá hủy hệ điều hành (có thể dẫn đến phải cài đặt lại hoàn toàn). các cửa sổ ), tốt hơn là nên liên hệ với một chuyên gia sẽ thực hiện việc này một cách chuyên nghiệp. Các công cụ hiện đại cho phép tất cả những hành động này được thực hiện từ xa ở bất kỳ đâu trên thế giới có kết nối Internet.

Và mỗi năm càng có nhiều cái mới xuất hiện... ngày càng thú vị hơn. Loại virus phổ biến nhất gần đây (Trojan-Ransom.Win32.Rector), mã hóa tất cả các tệp của bạn (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, v.v. . .d.). Vấn đề là việc giải mã những tập tin như vậy cực kỳ khó khăn và tốn thời gian, tùy thuộc vào loại mã hóa, quá trình giải mã có thể mất hàng tuần, hàng tháng hoặc thậm chí hàng năm. Theo tôi, loại virus này hiện đang ở mức nguy hiểm cao nhất trong số các loại virus khác. Nó đặc biệt nguy hiểm đối với máy tính/máy tính xách tay tại nhà, vì hầu hết người dùng không sao lưu dữ liệu và khi mã hóa tập tin, họ sẽ mất toàn bộ dữ liệu. Đối với các tổ chức, loại vi-rút này ít nguy hiểm hơn vì chúng tạo bản sao lưu các dữ liệu quan trọng và trong trường hợp bị lây nhiễm, chỉ cần khôi phục chúng một cách tự nhiên sau khi loại bỏ vi-rút. Tôi đã gặp loại virus này vài lần, tôi sẽ mô tả nó xảy ra như thế nào và nó dẫn đến hậu quả gì.

Lần đầu tiên tôi gặp phải một loại virus mã hóa tập tin là vào đầu năm 2014. Một quản trị viên từ thành phố khác đã liên hệ với tôi và cho tôi biết một tin khó chịu nhất - Tất cả các tệp trên máy chủ tệp đều được mã hóa! Sự lây nhiễm xảy ra theo cách cơ bản - bộ phận kế toán nhận được một lá thư có tệp đính kèm “Act of something There.pdf.exe”, như bạn hiểu, họ đã mở tệp EXE này và quá trình bắt đầu... nó mã hóa tất cả các tệp cá nhân trên máy tính và đi đến máy chủ tệp (nó được kết nối bằng ổ đĩa mạng). Tôi và quản trị viên bắt đầu tìm kiếm thông tin trên Internet... lúc đó không có giải pháp nào cả... mọi người đều viết rằng có một loại virus như vậy, không biết cách xử lý, các tập tin không thể giải mã được, có lẽ gửi tệp đến Kaspersky, Dr Web hoặc Nod32 sẽ hữu ích. Bạn chỉ có thể gửi chúng nếu bạn sử dụng các chương trình chống vi-rút của họ (được cấp phép). Chúng tôi đã gửi hồ sơ cho Dr Web và Nod32, kết quả là 0, tôi không nhớ họ đã nói gì với Dr Web, còn Nod 32 hoàn toàn im lặng và tôi không nhận được bất kỳ phản hồi nào từ họ. Nói chung, mọi thứ đều đáng buồn và chúng tôi không bao giờ tìm ra giải pháp; chúng tôi đã khôi phục một số tệp từ bản sao lưu.

Câu chuyện thứ hai - mới hôm nọ (giữa tháng 10 năm 2014) tôi nhận được cuộc gọi từ một tổ chức yêu cầu tôi giải quyết vấn đề với virus; như bạn hiểu, tất cả các tập tin trên máy tính đều đã được mã hóa. Đây là một ví dụ về những gì nó trông như thế nào.

Như bạn có thể thấy, phần mở rộng *.AES256 đã được thêm vào mỗi tệp. Trong mỗi thư mục có một tệp “Attention_open-me.txt” chứa các liên hệ để liên lạc.

Khi cố gắng mở những tệp này, một chương trình có danh bạ đã mở để liên hệ với tác giả của vi-rút để trả tiền giải mã. Tất nhiên, tôi không khuyên bạn nên liên hệ với họ hoặc trả tiền cho mã, vì bạn sẽ chỉ hỗ trợ họ về mặt tài chính và thực tế không phải là bạn sẽ nhận được khóa giải mã.

Sự lây nhiễm xảy ra trong quá trình cài đặt một chương trình được tải xuống từ Internet. Điều đáng ngạc nhiên nhất là khi họ nhận thấy các tập tin đã thay đổi (biểu tượng và phần mở rộng tập tin đã thay đổi), họ không làm gì và tiếp tục hoạt động, trong khi ransomware tiếp tục mã hóa tất cả các tập tin.

Chú ý!!! Nếu bạn nhận thấy các tập tin trên máy tính của mình bị mã hóa (thay đổi biểu tượng, thay đổi phần mở rộng), hãy tắt máy tính/máy tính xách tay ngay lập tức và tìm giải pháp từ thiết bị khác (từ máy tính/máy tính xách tay, điện thoại, máy tính bảng khác) hoặc liên hệ với chuyên gia CNTT. Máy tính/máy tính xách tay của bạn được bật càng lâu thì càng mã hóa được nhiều tệp.

Nói chung, tôi đã muốn từ chối giúp đỡ họ, nhưng tôi quyết định lướt Internet, có lẽ giải pháp cho vấn đề này đã xuất hiện. Qua tìm kiếm, tôi đọc được rất nhiều thông tin không thể giải mã được, rằng bạn cần gửi file đến các công ty diệt virus (Kaspersky, Dr Web hoặc Nod32) - cảm ơn vì đã trải nghiệm.
Tôi tình cờ thấy một tiện ích của Kaspersky - RectorDecryptor. Và lạ thay, các tập tin đã được giải mã. Vâng, điều đầu tiên trước tiên ...

Bước đầu tiên là ngăn chặn ransomware. Bạn sẽ không tìm thấy bất kỳ phần mềm chống vi-rút nào vì Dr Web đã cài đặt không tìm thấy bất kỳ thứ gì. Trước hết, tôi khởi động và vô hiệu hóa tất cả các phần khởi động (trừ phần mềm chống vi-rút). Đã khởi động lại máy tính. Sau đó, tôi bắt đầu xem loại tập tin nào đang khởi động.

Như bạn có thể thấy trong trường "Lệnh", nó được chỉ định vị trí của tệp, cần đặc biệt chú ý đối với các ứng dụng không có chữ ký (Nhà sản xuất - Không có dữ liệu). Nói chung, tôi đã tìm thấy và xóa phần mềm độc hại cũng như các tệp mà tôi chưa hiểu rõ. Sau đó, tôi xóa các thư mục tạm thời và bộ đệm của trình duyệt, tốt nhất nên sử dụng chương trình cho những mục đích này CCleaner .

Sau đó, tôi bắt đầu giải mã các tập tin, để làm điều này tôi đã tải xuống chương trình giải mã RectorDecryptor . Tôi khởi chạy nó và thấy một giao diện khá khổ hạnh của tiện ích.

Tôi đã nhấp vào “Bắt đầu quét” và chỉ ra phần mở rộng mà tất cả các tệp đã thay đổi đều có.

Và chỉ ra tập tin được mã hóa. Trong các phiên bản mới hơn của RectorDecryptor, bạn có thể chỉ định tệp được mã hóa một cách đơn giản. Nhấp vào nút "Mở".

Tada-a-a-am!!! Một điều kỳ diệu đã xảy ra và tập tin đã được giải mã.

Sau đó, tiện ích sẽ tự động kiểm tra tất cả các tệp + tệp máy tính trên ổ đĩa mạng được kết nối và giải mã chúng. Quá trình giải mã có thể mất vài giờ (tùy thuộc vào số lượng tệp được mã hóa và tốc độ máy tính của bạn).

Kết quả là tất cả các tệp được mã hóa đã được giải mã thành công vào cùng thư mục nơi chúng được đặt ban đầu.

Tất cả những gì còn lại là xóa tất cả các tệp có phần mở rộng .AES256, điều này có thể được thực hiện bằng cách chọn hộp kiểm “Xóa các tệp được mã hóa sau khi giải mã thành công” nếu bạn nhấp vào “Thay đổi tham số quét” trong cửa sổ RectorDecryptor.

Nhưng hãy nhớ rằng tốt hơn hết là không nên chọn hộp này, vì nếu các tệp không được giải mã thành công, chúng sẽ bị xóa và để cố gắng giải mã lại chúng, trước tiên bạn phải thực hiện khôi phục .

Khi tôi cố gắng xóa tất cả các tệp được mã hóa bằng tính năng tìm kiếm và xóa tiêu chuẩn, tôi gặp phải tình trạng máy tính bị treo và hoạt động cực kỳ chậm.

Vì vậy, để loại bỏ nó, cách tốt nhất là sử dụng dòng lệnh, chạy nó và viết del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Trong trường hợp của tôi, del "d:\*.AES256" /f /s.

Đừng quên xóa các tập tin "Attention_open-me.txt", để thực hiện việc này, hãy sử dụng lệnh trên dòng lệnh del"<диск>:\*.<имя файла>"/f/s, Ví dụ
xóa "d:\Chú ý_open-me.txt" /f /s

Như vậy, virus đã bị đánh bại và các tập tin đã được khôi phục. Tôi muốn cảnh báo bạn rằng phương pháp này sẽ không giúp ích được cho tất cả mọi người, vấn đề là Kapersky trong tiện ích này đã thu thập tất cả các khóa giải mã đã biết (từ những tệp được gửi bởi những người bị nhiễm vi-rút) và sử dụng phương pháp vũ phu để chọn các khóa và giải mã chúng. Những thứ kia. nếu các tệp của bạn bị vi-rút mã hóa bằng khóa không xác định thì phương pháp này sẽ không giúp ích gì... bạn sẽ phải gửi các tệp bị nhiễm đến các công ty chống vi-rút - Kaspersky, Dr Web hoặc Nod32 để giải mã chúng.

Bản thân virus ngày nay hầu như không làm ai ngạc nhiên. Nếu trước đây chúng ảnh hưởng đến toàn bộ hệ thống thì ngày nay có nhiều loại virus khác nhau. Một loại như vậy là virus ransomware. Mối đe dọa xâm nhập ảnh hưởng đến nhiều thông tin người dùng hơn. Tuy nhiên, nó có thể gây ra mối đe dọa lớn hơn các ứng dụng thực thi có tính phá hoại và các applet phần mềm gián điệp. Virus ransomware là gì? Bản thân mã, được viết bằng virus tự sao chép, liên quan đến việc mã hóa tất cả thông tin người dùng bằng các thuật toán mã hóa đặc biệt không ảnh hưởng đến các tệp hệ thống của chính hệ điều hành.

Logic đằng sau tác động của virus có thể không rõ ràng đối với mọi người. Mọi chuyện trở nên rõ ràng khi các hacker phát triển các applet này bắt đầu yêu cầu một số tiền nhất định để khôi phục cấu trúc file gốc. Đồng thời, bộ mã hóa đã xâm nhập vào hệ thống không cho phép giải mã các tập tin. Để làm điều này, bạn sẽ cần một bộ giải mã đặc biệt, hay nói cách khác, một thuật toán đặc biệt mà bạn có thể khôi phục nội dung.

Encryptor: nguyên lý xâm nhập vào hệ thống và hoạt động của virus

Thông thường, việc phát hiện sự lây nhiễm như vậy trên Internet là khá khó khăn. Về cơ bản, loại vi-rút này lây truyền qua email ở cấp độ máy khách được cài đặt trên một thiết bị đầu cuối máy tính, chẳng hạn như Bat, Outlook, Thunderbird. Cần lưu ý ngay rằng điều này không áp dụng cho các máy chủ thư Internet vì chúng có mức độ bảo vệ khá cao. Việc truy cập thông tin người dùng chỉ được thực hiện ở cấp độ lưu trữ thông tin trên đám mây. Một ứng dụng trên một thiết bị đầu cuối máy tính cụ thể lại là một vấn đề hoàn toàn khác.

Lĩnh vực hoạt động phát triển của virus rộng đến mức khó có thể tưởng tượng được. Tuy nhiên, cần có một lưu ý nhỏ ở đây. Trong hầu hết các trường hợp, mục tiêu của virus là các tổ chức và công ty lớn có khả năng trả một số tiền đáng kể để giải mã thông tin cá nhân. Điều này là rõ ràng, bởi vì trên thiết bị đầu cuối máy tính và máy chủ của các công ty máy tính, thông tin và tệp bí mật được lưu trữ trong một bản sao duy nhất, không thể xóa được trong mọi trường hợp. Trong trường hợp này, việc giải mã các tập tin sau hoạt động của vi-rút ransomware có thể khá khó khăn. Tất nhiên, người dùng bình thường cũng có thể bị tấn công như vậy, mặc dù điều này khó xảy ra, đặc biệt nếu người dùng tuân theo các khuyến nghị đơn giản nhất để làm việc với các tệp đính kèm không xác định.

Ngay cả khi ứng dụng email khách phát hiện các tệp đính kèm, chẳng hạn như tệp có phần mở rộng .jpg hoặc phần mở rộng đồ họa khác, thì tốt hơn hết bạn nên quét tệp này bằng phần mềm chống vi-rút tiêu chuẩn được sử dụng trong hệ thống. Nếu bạn không làm điều này thì sau khi mở tệp đính kèm bằng cách nhấp đúp, mã kích hoạt có thể bắt đầu và quá trình mã hóa sẽ bắt đầu. Sau đó, sẽ không thể tự loại bỏ vi-rút ransomware và khôi phục các tệp sau khi mối đe dọa được loại bỏ.

Hậu quả chung của việc tiếp xúc với virus ransomware

Như đã đề cập trước đó, hầu hết vi-rút xâm nhập vào hệ thống thông qua email. Giả sử một tổ chức lớn nhận được một lá thư có nội dung như “Hợp đồng đã được thay đổi, thư được đính kèm bản scan” hoặc “Hóa đơn vận chuyển hàng hóa đã được gửi cho bạn”. Một nhân viên không nghi ngờ của công ty chỉ cần mở tệp đính kèm và sau đó tất cả các tệp của người dùng sẽ được mã hóa ngay lập tức. Đây là tất cả các tập tin, từ tài liệu văn phòng đến kho lưu trữ và đa phương tiện. Tất cả dữ liệu quan trọng đều được mã hóa và nếu thiết bị đầu cuối của máy tính được kết nối với mạng cục bộ, vi-rút có thể được truyền đi xa hơn, mã hóa dữ liệu trên các máy khác.

Việc thực hiện quá trình này có thể được nhận thấy qua hiện tượng các chương trình đang chạy trên thiết bị đầu cuối máy tính bị chậm và bị treo. Khi quá trình mã hóa hoàn tất, vi-rút sẽ gửi một loại báo cáo, sau đó tổ chức sẽ nhận được thông báo cho biết mối đe dọa đã xâm nhập vào hệ thống và để giải mã các tệp, cần phải liên hệ với nhà phát triển vi-rút. Theo quy định, điều này liên quan đến virus [email được bảo vệ]. Tiếp theo sẽ là yêu cầu thanh toán cho các dịch vụ giải mã. Người dùng sẽ được yêu cầu gửi một số tệp được mã hóa tới một email rất có thể là hư cấu.

Thiệt hại do virus

Nếu bạn vẫn chưa hiểu hết bản chất của vấn đề thì cần lưu ý rằng việc giải mã các tập tin sau khi bị virus ransomware tấn công là một quá trình khá tốn nhiều công sức. Nếu người dùng không tuân theo yêu cầu của những kẻ tấn công mà thay vào đó cố gắng lôi kéo các cơ quan chính phủ vào cuộc chiến chống tội phạm máy tính thì điều đó sẽ không có ý nghĩa gì. Nếu bạn cố gắng xóa tất cả dữ liệu khỏi máy tính của mình, sau đó thực hiện khôi phục hệ thống và sao chép thông tin gốc từ phương tiện di động thì tất cả thông tin sẽ vẫn được mã hóa lại. Vì thế bạn không nên tự huyễn hoặc mình quá nhiều về điều này. Ngoài ra, khi cắm ổ flash vào cổng USB, người dùng thậm chí sẽ không nhận thấy virus sẽ mã hóa toàn bộ dữ liệu trên đó. Sau đó sẽ còn có nhiều vấn đề hơn nữa.

Virus ransomware đầu tiên

Chúng ta hãy xem virus ransomware đầu tiên là gì. Vào thời điểm nó xuất hiện, không ai nghĩ đến cách khử trùng hoặc giải mã các tập tin sau khi tiếp xúc với mã thực thi có trong tệp đính kèm email. Chỉ với thời gian, quy mô đầy đủ của thảm họa mới được hiện thực hóa. Virus ransomware đầu tiên có cái tên khá lãng mạn “I Love You”. Người dùng không nghi ngờ chỉ cần mở tệp đính kèm email và kết thúc với các tệp phương tiện hoàn toàn không thể phát được (video, đồ họa và âm thanh). Những hành động như vậy trông có vẻ tàn phá hơn nhưng vào thời điểm đó không ai đòi tiền để giải mã dữ liệu.

Sửa đổi mới nhất

Sự phát triển của công nghệ đã trở thành một ngành kinh doanh có lợi nhuận cao, đặc biệt khi xét đến thực tế là nhiều nhà quản lý của các công ty lớn đang vội vàng trả số tiền cần thiết cho những kẻ tấn công càng sớm càng tốt mà không hề nghĩ đến việc họ có thể không còn tiền. và không có thông tin cần thiết. Bạn không nên tin vào tất cả những bài đăng cánh tả này trên Internet, chẳng hạn như “Tôi đã trả số tiền cần thiết, họ gửi cho tôi bộ giải mã và tất cả thông tin đã được khôi phục”. Tất cả điều này là vô nghĩa. Hầu hết, những đánh giá như vậy được viết bởi chính những người phát triển virus nhằm thu hút nạn nhân tiềm năng. Theo tiêu chuẩn của người dùng thông thường, số lượng mà kẻ tấn công yêu cầu giải mã dữ liệu là khá nghiêm trọng. Nó có thể đạt tới vài nghìn đô la hoặc euro. Bây giờ chúng ta hãy xem các tính năng của loại virus mới nhất này là gì. Tất cả chúng đều tương tự nhau và không chỉ có thể thuộc loại vi-rút mã hóa mà còn thuộc loại được gọi là phần mềm ransomware. Trong một số trường hợp, họ hành động khá chính xác, gửi tin nhắn cho người dùng rằng ai đó muốn đảm bảo an toàn cho thông tin của tổ chức hoặc người dùng. Một loại virus mã hóa như vậy chỉ đơn giản là đánh lừa người dùng bằng các thông điệp của nó. Tuy nhiên, nếu người dùng trả số tiền được yêu cầu, anh ta sẽ bị lừa.

virus XTBL

Virus XTBL, xuất hiện tương đối gần đây, có thể được phân loại là một loại virus ransomware cổ điển. Những đối tượng như vậy thường xâm nhập vào hệ thống thông qua các tin nhắn được gửi qua e-mail. Tin nhắn có thể chứa tệp đính kèm có phần mở rộng .scr. Tiện ích mở rộng này là tiêu chuẩn cho trình bảo vệ màn hình Windows. Người dùng cho rằng mọi thứ đều ổn và kích hoạt xem hoặc lưu tệp đính kèm. Hoạt động này có thể dẫn đến hậu quả khá buồn. Tên tệp được chuyển đổi thành một bộ ký tự đơn giản. Sự kết hợp .xtbl được thêm vào phần mở rộng tệp chính. Sau đó, một tin nhắn sẽ được gửi đến địa chỉ mong muốn về khả năng giải mã sau khi trả một số tiền nhất định.

Loại vi rút này cũng có thể được phân loại là một loại ransomware cổ điển. Nó xuất hiện trong hệ thống sau khi mở tệp đính kèm email. Virus này cũng đổi tên các tập tin của người dùng và thêm một tổ hợp như .perfect và .nonchance vào cuối phần mở rộng. Thật không may, không thể giải mã loại virus ransomware này. Sau khi hoàn thành tất cả các hành động, nó sẽ tự hủy. Ngay cả một công cụ phổ quát như RectorDecryptor cũng không giúp được gì. Người dùng nhận được một lá thư yêu cầu thanh toán. Người dùng có hai ngày để thanh toán.

Breaking_Vi rút xấu

Loại mối đe dọa này hoạt động theo một mô hình quen thuộc. Nó đổi tên các tệp của người dùng bằng cách thêm tổ hợp .break_bad vào phần mở rộng. Nhưng sự việc không dừng lại ở đó. Không giống như các ransomware khác, virus này có thể tạo một phần mở rộng .Heisenberg khác. Vì vậy, việc tìm ra tất cả các file bị nhiễm là khá khó khăn. Cũng cần phải nói rằng virus Breaking_Bad là một mối đe dọa khá nghiêm trọng. Có những trường hợp ngay cả chương trình chống vi-rút được cấp phép Kaspersky_Endpoint Security cũng bỏ sót mối đe dọa như vậy.

Vi-rút [email được bảo vệ]

Vi-rút [email được bảo vệ]đại diện cho một mối đe dọa khá nghiêm trọng khác, chủ yếu nhắm vào các tổ chức thương mại lớn. Thông thường, một số bộ phận của công ty nhận được email chứa tệp .jpg hoặc .js. Làm thế nào bạn có thể giải mã được loại virus này? Đánh giá bằng thực tế là thuật toán RSA-1024 được sử dụng ở đó thì không thể nào. Dựa vào tên của thuật toán, chúng ta có thể giả định rằng nó sử dụng hệ thống mã hóa 1024 bit. Ngày nay, hệ thống 256 bit được coi là tiên tiến nhất.

Virus ransomware: Bạn có thể giải mã tập tin bằng phần mềm chống vi-rút không?

Vẫn chưa tìm ra cách giải mã các tập tin sau khi gặp phải loại mối đe dọa này. Ngay cả những bậc thầy được công nhận trong lĩnh vực bảo vệ chống vi-rút như Dr Web, Kaspersky, Eset cũng không thể tìm ra chìa khóa để giải quyết vấn đề. Làm thế nào để khử trùng các tập tin trong trường hợp này? Theo quy định, người dùng được yêu cầu gửi yêu cầu chính thức đến trang web của nhà phát triển chương trình chống vi-rút. Trong trường hợp này, cần phải đính kèm một số tệp được mã hóa và bản gốc của chúng, nếu có. Ngày nay rất ít người dùng lưu trữ bản sao dữ liệu trên phương tiện di động. Vấn đề vắng mặt của họ chỉ có thể làm trầm trọng thêm tình hình vốn đã khó chịu.

Loại bỏ mối đe dọa theo cách thủ công: các phương pháp khả thi

Trong một số trường hợp, việc quét bằng các chương trình chống vi-rút thông thường sẽ xác định các đối tượng độc hại như vậy và thậm chí loại bỏ các mối đe dọa này. Nhưng phải làm gì với thông tin được mã hóa? Một số người dùng cố gắng sử dụng các chương trình giải mã. Điều đáng lưu ý ngay là những hành động này sẽ không dẫn đến điều gì tốt đẹp. Trong trường hợp virus Breaking_Bad, điều này thậm chí có thể gây hại. Thực tế là những kẻ tấn công tạo ra những loại virus như vậy đang cố gắng tự bảo vệ mình và dạy cho người khác một bài học. Khi sử dụng các tiện ích giải mã, vi-rút có thể phản ứng theo cách khiến toàn bộ hệ điều hành gặp sự cố, đồng thời phá hủy hoàn toàn tất cả thông tin được lưu trữ trên các phân vùng logic và ổ cứng. Hy vọng duy nhất của chúng tôi là ở các phòng thí nghiệm chống vi-rút chính thức.

Những cách triệt để

Nếu mọi thứ thực sự tồi tệ, bạn có thể định dạng ổ cứng, bao gồm cả các phân vùng ảo, sau đó cài đặt lại hệ điều hành. Thật không may, vẫn chưa có lối thoát nào khác. Khôi phục hệ thống về một điểm khôi phục nhất định sẽ không giúp khắc phục tình trạng này. Kết quả là virus có thể biến mất nhưng các tập tin vẫn được mã hóa.

Hãy để chúng tôi nhắc nhở bạn: Trojan thuộc họ Trojan.Encoding là các chương trình độc hại mã hóa các tệp trên ổ cứng máy tính và yêu cầu trả tiền để giải mã chúng. Các tệp *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar, v.v. có thể được mã hóa.
Không thể đích thân gặp toàn bộ họ virus này, nhưng, như thực tế cho thấy, phương pháp lây nhiễm, điều trị và giải mã gần như giống nhau đối với tất cả mọi người:
1. nạn nhân bị lây nhiễm qua email spam có tệp đính kèm (ít thường xuyên hơn bằng các phương tiện lây nhiễm),
2. hầu hết mọi phần mềm chống vi-rút có cơ sở dữ liệu mới đều nhận ra và loại bỏ vi-rút,
3. các tập tin được giải mã bằng cách chọn khóa mật khẩu cho loại mã hóa được sử dụng.
Ví dụ: Trojan.Encode.225 sử dụng mã hóa RC4 (đã sửa đổi) + DES và Trojan.Encode.263 sử dụng BlowFish trong chế độ CTR. Những loại virus này hiện có thể giải mã được 99% dựa trên kinh nghiệm cá nhân.

Nhưng không phải mọi thứ đều suôn sẻ như vậy. Một số vi-rút mã hóa yêu cầu giải mã liên tục trong nhiều tháng (Trojan.Encode.102), trong khi một số vi-rút khác (Trojan.Encode.283) không thể được giải mã chính xác ngay cả bởi các chuyên gia từ Doctor Web, trên thực tế, điều này đóng vai trò quan trọng trong bài viết này.

Bây giờ, theo thứ tự.

Vào đầu tháng 8 năm 2013, khách hàng đã liên hệ với tôi về vấn đề tệp bị mã hóa bởi vi rút Trojan.Encode.225. Lúc đó virus mới, chưa ai biết gì, trên Internet có 2-3 link Google chuyên đề. Sau một thời gian dài tìm kiếm trên Internet, hóa ra tổ chức (được tìm thấy) duy nhất giải quyết vấn đề giải mã các tập tin sau loại virus này là công ty Doctor Web. Cụ thể: đưa ra khuyến nghị, trợ giúp khi liên hệ với bộ phận hỗ trợ kỹ thuật, phát triển bộ giải mã riêng, v.v.

Rút lui tiêu cực.

Và nhân cơ hội này, tôi muốn chỉ ra hai béo lên điểm trừ của Kaspersky Lab. Khi liên hệ với bộ phận hỗ trợ kỹ thuật của họ, họ phủ nhận “chúng tôi đang giải quyết vấn đề này, chúng tôi sẽ thông báo cho bạn về kết quả qua thư”. Chưa hết, nhược điểm là tôi chưa bao giờ nhận được phản hồi cho yêu cầu. Sau 4 tháng. Chết tiệt thời gian phản ứng. Và ở đây tôi đang phấn đấu đạt tiêu chuẩn “không quá một giờ kể từ khi hoàn thành đơn đăng ký”.
Thật xấu hổ cho đồng chí Evgeniy Kaspersky, Tổng Giám đốc Kaspersky Lab. Nhưng tôi có một nửa số công ty “ngồi” trên đó. Được rồi, giấy phép hết hạn vào tháng 1 đến tháng 3 năm 2014. Có đáng nói về việc tôi có gia hạn giấy phép của mình không? ;)

Tôi trình bày khuôn mặt của những “chuyên gia” từ các công ty “đơn giản hơn”, có thể nói, KHÔNG phải những gã khổng lồ của ngành chống vi-rút. Có lẽ họ chỉ “ rúc vào một góc” và “khóc thầm”.
Mặc dù, hơn thế nữa, tất cả mọi người đều hoàn toàn thất bại. Về nguyên tắc, phần mềm chống vi-rút không nên cho phép vi-rút này xâm nhập vào máy tính. Đặc biệt là xem xét công nghệ hiện đại. Và “họ”, những NGƯỜI KHỔNG LỒ của ngành công nghiệp chống VIRUS, được cho là có mọi thứ, “phân tích kinh nghiệm”, “hệ thống phòng ngừa”, “bảo vệ chủ động”...

TẤT CẢ CÁC SIÊU HỆ THỐNG NÀY Ở ĐÂU KHI NHÂN VIÊN PHÒNG NHÂN SỰ MỞ THƯ “HALMONNESS” VỚI CHỦ ĐỀ “CV”???
Nhân viên đó phải nghĩ gì?
Nếu BẠN không thể bảo vệ chúng tôi, thì tại sao chúng tôi lại cần BẠN?

Và mọi thứ sẽ ổn với Doctor Web, nhưng để nhận được trợ giúp, tất nhiên bạn phải có giấy phép cho bất kỳ sản phẩm phần mềm nào của họ. Khi liên hệ bộ phận hỗ trợ kỹ thuật (sau đây gọi tắt là TS), bạn phải cung cấp số seri Dr.Web và đừng quên chọn “yêu cầu điều trị” ở dòng “Danh mục yêu cầu:” hoặc đơn giản là cung cấp cho họ file mã hóa tới bộ phận hỗ trợ kỹ thuật. phòng thí nghiệm. Tôi sẽ ngay lập tức bảo lưu rằng cái gọi là “khóa nhật ký” của Dr.Web, được đăng hàng loạt trên Internet, là không phù hợp, vì chúng không xác nhận việc mua bất kỳ sản phẩm phần mềm nào và bị loại bỏ bởi Chuyên gia TP một hoặc hai lần. Việc mua giấy phép “rẻ” nhất sẽ dễ dàng hơn. Bởi vì nếu bạn thực hiện việc giải mã, giấy phép này sẽ trả lại cho bạn hàng triệu lần. Đặc biệt nếu thư mục chứa ảnh “Ai Cập 2012” nằm trong một bản sao...

Nỗ lực số 1

Vì vậy, sau khi mua “giấy phép cho 2 PC trong một năm” với số tiền n, liên hệ với TP và cung cấp một số tệp, tôi nhận được liên kết đến tiện ích giải mã te225decrypt.exe phiên bản 1.3.0.0. Dự đoán thành công, tôi khởi chạy tiện ích (bạn cần trỏ nó tới một trong các tệp *.doc được mã hóa). Tiện ích bắt đầu lựa chọn, tải không thương tiếc bộ xử lý cũ E5300 DualCore, 2600 MHz (được ép xung lên 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital lên 90-100%.
Ở đây, song song với tôi, một đồng nghiệp trên PC core i5 2500k (được ép xung lên 4,5ghz) / 16 ram 1600 / ssd intel cũng tham gia vào công việc (đây là so sánh về thời gian sử dụng ở cuối bài).
Sau 6 ngày, tiện ích báo cáo rằng 7277 tệp đã được giải mã. Nhưng hạnh phúc chẳng kéo dài được lâu. Tất cả các tập tin đã được giải mã "quanh co". Ví dụ: tài liệu Microsoft Office mở được nhưng có nhiều lỗi khác nhau: “Ứng dụng Word đã phát hiện nội dung trong tài liệu *.docx không thể đọc được” hoặc “Không thể mở được tệp *.docx do có lỗi trong nội dung của nó .” Các tệp *.jpg cũng mở được hoặc bị lỗi hoặc 95% hình ảnh trở thành nền đen mờ hoặc xanh nhạt. Đối với tệp *.rar - "Kết thúc lưu trữ không mong đợi".
Nói chung là thất bại hoàn toàn.

Nỗ lực số 2

Chúng tôi viết thư cho TP về kết quả. Họ yêu cầu bạn cung cấp một vài tập tin. Một ngày sau, họ lại cung cấp liên kết đến tiện ích te225decrypt.exe, nhưng lần này là phiên bản 1.3.2.0. Được rồi, hãy khởi động thôi, dù sao thì cũng không có lựa chọn nào khác. Khoảng 6 ngày trôi qua và tiện ích kết thúc với lỗi “Không thể chọn tham số mã hóa”. Tổng cộng 13 ngày “xuống cống”.
Nhưng chúng tôi không bỏ cuộc, chúng tôi có các tài liệu quan trọng từ ứng dụng khách *ngu ngốc* của mình mà không cần bản sao lưu cơ bản.

Nỗ lực số 3

Chúng tôi viết thư cho TP về kết quả. Họ yêu cầu bạn cung cấp một vài tập tin. Và, như bạn có thể đoán, một ngày sau, họ cung cấp liên kết đến tiện ích te225decrypt.exe tương tự, nhưng phiên bản 1.4.2.0. Chà, hãy khởi động thôi, không có giải pháp thay thế nào và nó cũng không xuất hiện từ Kaspersky Lab, hay từ ESET NOD32, hay từ các nhà sản xuất giải pháp chống vi-rút khác. Và bây giờ, sau 5 ngày 3 giờ 14 phút (123,5 giờ), tiện ích báo cáo rằng các tệp đã được giải mã (đối với một đồng nghiệp sử dụng core i5, quá trình giải mã chỉ mất 21 giờ 10 phút).
Chà, tôi nghĩ là có hoặc không. Và lạ thay: thành công trọn vẹn! Tất cả các tập tin được giải mã chính xác. Mọi thứ đều mở, đóng, xem, chỉnh sửa và lưu đúng cách.

Mọi người đều vui vẻ, KẾT THÚC.

Bạn hỏi: “Câu chuyện về virus Trojan.Encoding.263 ở đâu?”. Và trên chiếc PC tiếp theo, dưới gầm bàn... có. Mọi thứ ở đó đơn giản hơn: Chúng tôi viết thư cho Doctor Web TP, tải tiện ích te263decrypt.exe, khởi chạy nó, đợi 6,5 ngày, thì đấy! và mọi thứ đã sẵn sàng. Tóm lại, tôi có thể đưa ra một số lời khuyên từ diễn đàn Doctor Web trong ấn bản của mình:

Phải làm gì nếu bạn bị nhiễm vi-rút ransomware:
- gửi đến phòng thí nghiệm virus Dr. Web hoặc trong phần “Gửi tệp đáng ngờ” dưới dạng tệp tài liệu được mã hóa.
- Chờ phản hồi từ nhân viên Dr.Web rồi làm theo hướng dẫn của anh ta.

Những gì không làm:
- thay đổi phần mở rộng của tập tin được mã hóa; Mặt khác, với khóa được chọn thành công, tiện ích sẽ không “nhìn thấy” các tệp cần được giải mã.
- sử dụng độc lập, không cần hỏi ý kiến ​​​​chuyên gia, bất kỳ chương trình giải mã/khôi phục dữ liệu nào.

Xin lưu ý, để có một máy chủ không có các tác vụ khác, tôi cung cấp các dịch vụ miễn phí để giải mã dữ liệu CỦA BẠN. Lõi máy chủ i7-3770K với khả năng ép xung đến *tần số nhất định*, 16GB RAM và SSD Vertex 4.
Đối với tất cả người dùng đang hoạt động của Habr, việc sử dụng tài nguyên của tôi sẽ MIỄN PHÍ!!!
Viết thư cho tôi bằng tin nhắn cá nhân hoặc thông qua các địa chỉ liên hệ khác. Tôi đã “ăn thịt chó” rồi. Vì vậy, tôi không quá lười để đặt máy chủ vào chế độ giải mã qua đêm.
Loại virus này là “tai họa” của thời đại chúng ta và việc “cướp bóc” của đồng đội là không nhân đạo. Mặc dù vậy, nếu ai đó “ném” một vài đô la vào tài khoản Yandex.money 410011278501419 của tôi, tôi sẽ không bận tâm. Nhưng điều này hoàn toàn không cần thiết. Liên hệ chúng tôi. Tôi xử lý đơn đăng ký vào thời gian rảnh.

Thông tin mới!

Bắt đầu từ ngày 8 tháng 12 năm 2013, một loại vi-rút mới cùng dòng Trojan.Encoding bắt đầu lây lan dưới phân loại Doctor Web - Trojan.Encode.263, nhưng có mã hóa RSA. Hình ảnh này dành cho ngày hôm nay (20/12/2013) không thể giải mã được, vì nó sử dụng phương pháp mã hóa rất mạnh.

Tôi khuyên mọi người đã bị nhiễm vi-rút này:
1. Sử dụng tính năng tìm kiếm tích hợp sẵn của Windows, tìm tất cả các tệp có phần mở rộng .perfect và sao chép chúng sang phương tiện bên ngoài.
2. Sao chép cả tệp CONTACT.txt
3. Đặt phương tiện bên ngoài này “trên kệ”.
4. Đợi tiện ích giải mã xuất hiện.

Những gì không làm:
Không cần phải gây rối với tội phạm. Điều này thật ngốc nghếch. Trong hơn 50% trường hợp, sau khi “thanh toán” khoảng 5000 rúp, bạn sẽ KHÔNG nhận được gì. Không có tiền, không có bộ giải mã.
Công bằng mà nói, điều đáng chú ý là có những người “may mắn” trên Internet đã nhận lại được tập tin của họ bằng cách giải mã để “cướp bóc”. Nhưng bạn không nên tin tưởng những người này. Nếu tôi là người viết virus, điều đầu tiên tôi sẽ làm là lan truyền thông tin như “Tôi đã trả tiền và họ gửi cho tôi bộ giải mã!!!”
Đằng sau những “người may mắn” này có thể cũng có những kẻ tấn công tương tự.

Chà... hãy cùng chúc may mắn cho các công ty chống vi-rút khác trong việc tạo ra tiện ích giải mã các tập tin sau nhóm vi-rút Trojan.Encoding.

Đặc biệt cảm ơn đồng chí v.martyanov từ diễn đàn Doctor Web về công việc tạo ra các tiện ích giải mã.