Phần mềm ransomware đã mã hóa các tập tin. Các phương pháp bảo vệ chống lại virus ransomware. Virus máy tính mã hóa: định nghĩa và thuật toán hành động

Tôi tiếp tục phần khét tiếng trên trang web của mình bằng một câu chuyện khác mà chính tôi cũng là nạn nhân. Tôi sẽ nói về virus ransomware Crusis (Dharma), loại virus này đã mã hóa tất cả các tập tin trên ổ đĩa mạng và cung cấp cho họ phần mở rộng .combo. Ông ấy làm việc không chỉ trên Tập tin có sẵn, như xảy ra thường xuyên nhất, nhưng cũng xảy ra qua mạng.

Đảm bảo giải mã các tập tin sau virus ransomware - dr-shifro.ru. Chi tiết về công việc và kế hoạch tương tác với khách hàng có trong bài viết của tôi hoặc trên trang web trong phần “Quy trình làm việc”.

Giới thiệu

Câu chuyện sẽ ở ngôi thứ nhất, vì dữ liệu và cơ sở hạ tầng mà tôi quản lý đã bị ảnh hưởng bởi bộ mã hóa. Thật đáng buồn khi phải thừa nhận điều này, nhưng tôi cũng có một phần trách nhiệm về những gì đã xảy ra, mặc dù tôi đã biết các nhà mật mã từ rất lâu. Để bào chữa, tôi sẽ nói rằng không có dữ liệu nào bị mất, mọi thứ nhanh chóng được khôi phục và điều tra không chậm trễ. Nhưng điều đầu tiên trước tiên.

Buổi sáng nhàm chán bắt đầu với việc lúc 9:15, quản trị viên hệ thống từ một địa điểm từ xa đã gọi điện và nói rằng có một bộ mã hóa trên mạng và dữ liệu trên ổ đĩa mạng đã được mã hóa. Một cơn ớn lạnh chạy khắp da tôi :) Anh ấy bắt đầu tự mình kiểm tra nguồn lây nhiễm, còn tôi bắt đầu tự kiểm tra. Tất nhiên, tôi ngay lập tức đến máy chủ, ngắt kết nối ổ đĩa mạng và bắt đầu xem nhật ký truy cập dữ liệu. Ổ đĩa mạng được cấu hình, phải được kích hoạt. Từ nhật ký, tôi thấy ngay nguồn lây nhiễm, tài khoản mà ransomware đang chạy và thời điểm bắt đầu mã hóa.

Mô tả về virus ransomware Crusis (Dharma)

Sau đó cuộc điều tra bắt đầu. Các tập tin được mã hóa đã nhận được phần mở rộng .combo. Có rất nhiều người trong số họ. Người viết mật mã bắt đầu làm việc vào buổi tối muộn, khoảng 11 giờ đêm. Tôi thật may mắn - việc sao lưu các đĩa bị ảnh hưởng vừa được hoàn thành vào thời điểm này. Dữ liệu hoàn toàn không bị mất vì nó được sao lưu vào cuối ngày làm việc. Tôi ngay lập tức bắt đầu khôi phục từ bản sao lưu trên một máy chủ riêng biệt không có quyền truy cập SMB.

Qua một đêm, virus đã mã hóa được khoảng 400 GB dữ liệu trên ổ đĩa mạng. Việc xóa tất cả các tệp được mã hóa bằng phần mở rộng kết hợp đã mất một cách tầm thường thời gian dài. Lúc đầu tôi muốn xóa tất cả chúng cùng một lúc, nhưng khi chỉ đếm những tập tin này kéo dài trong 15 phút, tôi nhận ra rằng nó vô dụng khoảnh khắc này thời gian. Thay vào đó, tôi bắt đầu tải xuống dữ liệu mới nhất và sau đó dọn sạch đĩa chứa các tệp được mã hóa.

Tôi sẽ nói cho bạn biết sự thật đơn giản ngay lập tức. Việc có các bản sao lưu cập nhật, đáng tin cậy sẽ giúp mọi vấn đề đều có thể giải quyết được. Tôi thậm chí không thể tưởng tượng được phải làm gì nếu chúng không có ở đó hoặc chúng không liên quan. Tôi luôn đặc biệt chú ý đến việc sao lưu. Tôi chăm sóc chúng, tôi trân trọng chúng và tôi không cho ai tiếp cận chúng.

Sau khi bắt đầu khôi phục các tập tin bị mã hóa, tôi đã có thời gian để bình tĩnh tìm hiểu tình hình và xem xét kỹ hơn. Virus ransomware Crusis(Pháp). Những điều ngạc nhiên và bất ngờ đang chờ đợi tôi ở đây. Nguồn lây nhiễm là một máy ảo có Windows 7 bị bỏ rơi rdp cổng thông qua một kênh dự phòng. Cổng không đạt tiêu chuẩn - 33333. Tôi nghĩ việc sử dụng cổng như vậy là sai lầm chính. Mặc dù nó không phải là tiêu chuẩn nhưng nó rất phổ biến. Tất nhiên, tốt hơn hết là không nên chuyển tiếp rdp, nhưng trong trường hợp này nó thực sự cần thiết. Nhân tiện, bây giờ, thay vì máy ảo này, một máy ảo có CentOS 7 cũng được sử dụng; nó chạy một container với xfce và một trình duyệt trong Docker. Chà, máy ảo này không có quyền truy cập ở bất cứ đâu, chỉ có ở những nơi cần thiết.

Toàn bộ câu chuyện này có gì đáng sợ? Máy ảo đã được cập nhật. Nhà mật mã học bắt đầu làm việc vào cuối tháng 8. Không thể xác định chính xác thời điểm máy bị nhiễm virus. Virus đã xóa sạch rất nhiều thứ trong chính máy ảo. Các bản cập nhật cho hệ thống này đã được cài đặt vào tháng 5. Tức là không được có bất kỳ lỗ hở cũ nào trên đó. Bây giờ tôi thậm chí không biết làm thế nào để rời đi cổng rdp có thể truy cập từ Internet. Có quá nhiều trường hợp điều này thực sự cần thiết. Ví dụ: một máy chủ đầu cuối trên phần cứng được thuê. Bạn cũng sẽ không thuê cổng VPN cho mỗi máy chủ.

Bây giờ chúng ta hãy tiến gần hơn đến vấn đề chính và phần mềm tống tiền. Giao diện mạng của máy ảo đã bị tắt, sau đó tôi khởi động nó. Tôi được chào đón bởi một dấu hiệu tiêu chuẩn mà tôi đã thấy nhiều lần từ các nhà mật mã khác.

Tất cả các tập tin của bạn đã được mã hóa! Tất cả các tệp của bạn đã được mã hóa do sự cố bảo mật với PC của bạn. Nếu bạn muốn khôi phục chúng, hãy viết thư cho chúng tôi [email được bảo vệ] Viết ID này vào tiêu đề tin nhắn của bạn 501BED27 Trong trường hợp không có câu trả lời sau 24 giờ, hãy viết thư cho chúng tôi theo những e-mail sau: [email được bảo vệ] Bạn phải trả tiền để giải mã bằng Bitcoin. Giá cả phụ thuộc vào tốc độ bạn viết thư cho chúng tôi. Sau khi thanh toán chúng tôi sẽ gửi bạn công cụ giải mã sẽ giải mã tất cả các tập tin của bạn. Giải mã miễn phí dưới dạng đảm bảo Trước khi thanh toán bạn có thể gửi cho chúng tôi tối đa 1 tệp để giải mã miễn phí. Tổng kích thước của tệp phải nhỏ hơn 1Mb (không được lưu trữ) và tệp không được chứa thông tin có giá trị. (cơ sở dữ liệu, bản sao lưu, bảng excel lớn, v.v.) Cách nhận Bitcoin Cách dễ nhất để mua bitcoin là trang web LocalBitcoins. Bạn phải đăng ký, nhấp vào "Mua bitcoin", và chọn người bán hàng theo phương thức thanh toán và giá cả. https://localbitcoins.com/buy_bitcoins Ngoài ra, bạn có thể tìm những nơi khác để mua Bitcoin và hướng dẫn cho người mới bắt đầu tại đây: Chú ý! Không đổi tên các tập tin được mã hóa. Đừng cố giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, việc này có thể gây mất dữ liệu vĩnh viễn. Việc giải mã các tập tin của bạn với sự trợ giúp của bên thứ ba có thể khiến giá tăng lên (họ tính phí của họ vào của chúng tôi) hoặc bạn có thể trở thành nạn nhân của một trò lừa đảo.

Có 2 file văn bản trên desktop có tên TỆP MÃ HÓA.TXT nội dung sau:

Tất cả dữ liệu của bạn đã bị khóa, chúng tôi có muốn quay lại không? viết thư điện tử [email được bảo vệ]

Thật thú vị khi quyền truy cập thư mục đã thay đổi Máy tính để bàn. Người dùng không có quyền ghi. Rõ ràng, vi-rút đã làm điều này để ngăn người dùng vô tình xóa thông tin trong tệp văn bản khỏi màn hình. Có một thư mục trên màn hình nền troy, chứa chính virus - một tệp l20VHC_playload.exe.

Virus ransomware Crusis (Dharma) mã hóa tập tin như thế nào

Sau khi bình tĩnh tìm hiểu mọi chuyện và đọc những tin nhắn tương tự về chủ đề ransomware trên Internet, tôi được biết rằng mình đã mắc phải một phiên bản của virus ransomware Crusis (Dharma) nổi tiếng. Kaspersky phát hiện nó như thế nào Trojan-Ransom.Win32.Crusis.to. Anh ấy đặt phần mở rộng khác nhau vào các tập tin, bao gồm cả .combo. Danh sách các tập tin của tôi trông giống như thế này:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Tôi sẽ cho bạn biết thêm một số chi tiết về cách thức hoạt động của ransomware. Tôi đã không đề cập đến một điều quan trọng. Máy tính này đã ở trong một miền. Các tập tin đã được mã hóa từ một người dùng tên miền!!! Đây là nơi đặt ra câu hỏi: virus lấy nó từ đâu? Tôi không thấy thông tin về nhật ký bộ điều khiển miền và việc chọn mật khẩu của người dùng. Không có nhiều lần đăng nhập thất bại. Hoặc là một loại lỗ hổng nào đó đã bị khai thác hoặc tôi không biết phải nghĩ gì. Một tài khoản đã được sử dụng chưa bao giờ đăng nhập vào hệ thống này. Đã có ủy quyền qua rdp từ tài khoản người dùng miền và sau đó mã hóa. Cũng không có dấu vết của các cuộc tấn công vũ phu đối với người dùng và mật khẩu trên chính hệ thống. Gần như ngay lập tức tôi đã đăng nhập bằng tài khoản miền rdp. Tối thiểu cần phải chọn không chỉ mật khẩu mà còn cả tên.

Thật không may, tài khoản có mật khẩu là 123456. Đây là tài khoản duy nhất có mật khẩu đó bị quản trị viên địa phương bỏ qua. Nhân tố con người. Đó là người lãnh đạo và vì lý do nào đó mà cả một loạt quản trị viên hệ thống biết về mật khẩu này nhưng không thay đổi nó. Rõ ràng đây là lý do để sử dụng tài khoản cụ thể này. Tuy nhiên, cơ chế để có được những điều đó mật khẩu đơn giản và tên người dùng.

Tôi đã tắt và xóa máy ảo bị nhiễm bộ mã hóa, trước tiên tôi đã chụp ảnh đĩa. Bản thân virus đã lấy hình ảnh ra khỏi nó để xem hoạt động của nó. Câu chuyện tiếp theo sẽ dựa trên việc chạy virus trong một máy ảo.

Một chi tiết nhỏ nữa. Virus đã quét toàn bộ mạng cục bộ, đồng thời mã hóa thông tin trên các máy tính có một số thư mục dùng chung có quyền truy cập cho tất cả mọi người. Đây là lần đầu tiên tôi thấy bộ mã hóa được sửa đổi như vậy. Đây thực sự là một điều đáng sợ. Một loại virus như vậy có thể đơn giản làm tê liệt công việc của toàn bộ tổ chức. Giả sử, vì lý do nào đó, bạn có quyền truy cập mạng vào các bản sao lưu. Hoặc họ đã sử dụng một loại mật khẩu yếu nào đó cho tài khoản. Có thể xảy ra trường hợp mọi thứ sẽ được mã hóa - cả dữ liệu và bản sao lưu trữ. Nói chung, bây giờ tôi đang nghĩ đến việc lưu trữ các bản sao lưu không chỉ trong môi trường mạng biệt lập mà nói chung là trên các thiết bị đã tắt chỉ được khởi động để tạo bản sao lưu.

Cách xử lý máy tính và loại bỏ ransomware Crusis (Dharma)

Trong trường hợp của tôi, vi-rút ransomware Crusis (Dharma) không bị ẩn đặc biệt và việc loại bỏ nó sẽ không gây ra bất kỳ vấn đề gì. Như tôi đã nói, nó nằm trong một thư mục trên màn hình của tôi. Ngoài ra, anh ta còn ghi lại chính mình và một tin nhắn thông tin trong tệp autorun.

Bản thân virus đã được nhân đôi trong phần khởi chạy Khởi động cho tất cả người dùng và cửa sổ/hệ thống32. Tôi không nhìn kỹ hơn vì tôi không thấy ý nghĩa trong đó. Sau khi bị nhiễm ransomware, tôi thực sự khuyên bạn nên cài đặt lại hệ thống. Đây là cách duy nhất để chắc chắn loại bỏ virus. Bạn sẽ không bao giờ hoàn toàn chắc chắn rằng vi-rút đã bị loại bỏ vì nó có thể đã sử dụng một số lỗ hổng chưa được công bố và chưa xác định để để lại dấu trang trên hệ thống. Sau một thời gian, thông qua khoản thế chấp này bạn có thể nhận được một số vi-rút mới và mọi thứ sẽ lặp lại theo một vòng tròn.

Vì vậy tôi khuyên ngay sau khi phát hiện ransomware, bạn không nên xử lý máy tính mà hãy cài đặt lại hệ thống, lưu lại những dữ liệu còn lại. Có lẽ virus đã không mã hóa được mọi thứ. Những khuyến nghị này áp dụng cho những người không có ý định khôi phục tệp. Nếu bạn có bản sao lưu hiện tại thì chỉ cần cài đặt lại hệ thống và khôi phục dữ liệu.

Nếu bạn không có bản sao lưu và sẵn sàng khôi phục tệp bằng bất cứ giá nào thì chúng tôi cố gắng không chạm vào máy tính. Trước hết, chỉ cần ngắt kết nối cáp mạng, tải xuống một vài tệp được mã hóa và tệp văn bản có thông tin về lau dọnổ đĩa flash, sau đó tắt máy tính. Thêm máy tính không thể bật được. Nếu bạn hoàn toàn không hiểu các vấn đề về máy tính thì bạn sẽ không thể tự mình xử lý vi-rút, chứ đừng nói đến việc giải mã hoặc khôi phục các tệp. Liên hệ với người biết. Nếu bạn nghĩ rằng bạn có thể tự mình làm điều gì đó thì hãy đọc tiếp.

Tải xuống bộ giải mã Crusis (Dharma) ở đâu

Tiếp theo là của tôi lời khuyên phổ quátđối với tất cả các virus ransomware. Có một trang web - https://www.nomoreransom.org Về mặt lý thuyết, nó có thể chứa bộ giải mã cho Crusis hoặc Dharma hoặc một số thông tin khác về việc giải mã các tệp. Trong thực tế của tôi, điều này chưa bao giờ xảy ra trước đây, nhưng có thể bạn sẽ gặp may mắn. Nó đáng để thử. Với mục đích này trên trang chủđồng ý bằng cách nhấp vào ĐÚNG.

Đính kèm 2 file và dán nội dung thông báo thông tin của ransomware rồi nhấn vào Kiểm tra.

Nếu may mắn, bạn sẽ nhận được một số thông tin. Trong trường hợp của tôi không có gì được tìm thấy.

Tất cả các bộ giải mã hiện có cho ransomware đều được thu thập trên trang riêng— https://www.nomoreransom.org/ru/decryption-tools.html Sự tồn tại của danh sách này cho phép chúng tôi hy vọng rằng trang web và dịch vụ này vẫn có ý nghĩa nào đó. Kaspersky có một dịch vụ tương tự - https://noransom.kaspersky.com/ru/ Bạn có thể thử vận ​​may của mình ở đó.

Tôi không nghĩ rằng việc tìm kiếm bộ giải mã ở bất kỳ nơi nào khác thông qua tìm kiếm trên Internet là đáng giá. Không chắc là họ sẽ được tìm thấy. Rất có thể đó sẽ là một trò lừa đảo thông thường bằng phần mềm rác trong kịch bản hay nhất hoặc một loại virus mới.

Bổ sung quan trọng. Nếu bạn đã cài đặt phiên bản chống vi-rút được cấp phép, hãy nhớ tạo yêu cầu tới TP chống vi-rút để giải mã tệp. Đôi khi nó thực sự có ích. Tôi đã thấy các đánh giá về việc giải mã thành công nhờ hỗ trợ chống vi-rút.

Cách giải mã và phục hồi file sau virus Crusis (Dharma)

Phải làm gì khi virus Crusis (Dharma) đã mã hóa các tệp của bạn, không có phương pháp nào được mô tả trước đây giúp ích được và bạn thực sự cần khôi phục các tệp? Việc triển khai kỹ thuật mã hóa không cho phép giải mã các tập tin mà không có khóa hoặc bộ giải mã mà chỉ tác giả của bộ mã hóa mới có. Có thể có cách khác để lấy nó nhưng tôi không có thông tin đó. Chúng tôi chỉ có thể cố gắng khôi phục tệp bằng các phương pháp ngẫu hứng. Bao gồm các:

• Dụng cụ bản sao bóng tối các cửa sổ.
• Các chương trình khôi phục dữ liệu đã xóa

Trước khi thực hiện các thao tác tiếp theo, tôi khuyên bạn nên tạo ảnh đĩa theo từng khu vực. Điều này sẽ cho phép bạn ghi lại trạng thái hiện tại và nếu không có gì hiệu quả thì ít nhất bạn có thể quay lại điểm xuất phát và thử cách khác. Tiếp theo, bạn cần loại bỏ ransomware bằng cách sử dụng bất kỳ phần mềm diệt virus nào có bộ mới nhất cơ sở dữ liệu chống virus. Sẽ làm chữa bệnh hoặc Virus Kaspersky Công cụ loại bỏ . Bạn có thể cài đặt bất kỳ phần mềm chống vi-rút nào khác ở chế độ dùng thử. Điều này là đủ để loại bỏ virus.

Sau đó, chúng tôi khởi động vào hệ thống bị nhiễm và kiểm tra xem chúng tôi đã kích hoạt chưa bản sao bóng tối. Công cụ này hoạt động theo mặc định trong Windows 7 trở lên, trừ khi bạn tắt nó theo cách thủ công. Để kiểm tra, hãy mở thuộc tính máy tính và vào phần bảo vệ hệ thống.

Nếu bạn không xác nhận trong quá trình lây nhiễm Yêu cầu UACđể xóa các tập tin trong bản sao ẩn thì một số dữ liệu sẽ vẫn còn ở đó. Vì phục hồi thuận tiện các tập tin từ bản sao bóng, tôi khuyên bạn nên sử dụng chương trình miễn phí cho mục đích này - ShadowExplorer. Tải xuống kho lưu trữ, giải nén chương trình và chạy nó.

Sẽ mở bản sao mới nhất các tập tin và thư mục gốc của ổ C. Ở bên trái góc trên cùng bạn có thể chọn một bản sao lưu nếu bạn có một vài bản sao lưu. Kiểm tra bản sao khác nhauđể sẵn sàng tập tin cần thiết. So sánh theo ngày tháng, ở đâu nữa phiên bản mới nhất. Trong ví dụ bên dưới, tôi tìm thấy 2 tệp trên máy tính để bàn của mình từ ba tháng trước khi chúng được chỉnh sửa lần cuối.

Tôi đã có thể khôi phục các tập tin này. Để làm điều này, tôi đã chọn chúng, nhấp chuột phải, chọn Xuất và chỉ định thư mục nơi khôi phục chúng.

Bạn có thể khôi phục các thư mục ngay lập tức bằng cách sử dụng nguyên tắc tương tự. Nếu bạn có các bản sao ẩn đang hoạt động và không xóa chúng, bạn có cơ hội tốt để khôi phục tất cả hoặc gần như tất cả các tệp bị vi-rút mã hóa. Có lẽ một số trong số họ sẽ nhiều hơn phiên bản cũ, hơn chúng ta mong muốn, tuy nhiên, có còn hơn không.

Nếu vì lý do nào đó mà bạn không có bản sao ẩn của các tệp của mình, cơ hội duy nhất để bạn lấy được ít nhất thứ gì đó từ các tệp được mã hóa là khôi phục chúng bằng các công cụ khôi phục tệp đã xóa. Để làm điều này, tôi khuyên bạn nên sử dụng chương trình Photorec miễn phí.

Khởi chạy chương trình và chọn đĩa mà bạn sẽ khôi phục các tập tin. Phóng phiên bản đồ họa chương trình thực thi tập tin qphotorec_win.exe. Bạn phải chọn một thư mục nơi các tập tin tìm thấy sẽ được đặt. Sẽ tốt hơn nếu thư mục này không nằm trên cùng ổ đĩa mà chúng ta đang tìm kiếm. Kết nối ổ đĩa flash hoặc cứng bên ngoàiđĩa cho việc này.

Quá trình tìm kiếm sẽ mất nhiều thời gian. Cuối cùng bạn sẽ thấy số liệu thống kê. Bây giờ bạn có thể vào thư mục đã chỉ định trước đó và xem những gì được tìm thấy ở đó. Rất có thể sẽ có rất nhiều tệp và hầu hết chúng sẽ bị hỏng hoặc chúng sẽ là một loại tệp hệ thống và vô dụng nào đó. Tuy nhiên, bạn có thể tìm thấy một số tệp hữu ích trong danh sách này. Không có gì đảm bảo ở đây; những gì bạn tìm thấy là những gì bạn sẽ tìm thấy. Hình ảnh thường được khôi phục tốt nhất.

Nếu kết quả không làm bạn hài lòng thì cũng có các chương trình khôi phục các tập tin đã xóa. Dưới đây là danh sách các chương trình tôi thường sử dụng khi cần khôi phục số tiền tối đa các tập tin:

• R.saver
• ngôi sao Phục hồi tập tin
• Phục hồi JPEG chuyên nghiệp
• Phục hồi tập tin hoạt động chuyên nghiệp

Những chương trình này không miễn phí nên tôi sẽ không cung cấp liên kết. Nếu bạn thực sự muốn, bạn có thể tự tìm thấy chúng trên Internet.

Toàn bộ quá trình khôi phục tập tin sử dụng chương trình được liệt kêđược thể hiện chi tiết trong video ở cuối bài viết.

Kaspersky, eset nod32 và những người khác trong cuộc chiến chống lại ransomware Crusis (Dharma)

Như thường lệ, tôi lướt qua các diễn đàn phần mềm diệt virus phổ biến tìm kiếm thông tin về ransomware cài đặt phần mở rộng .combo. Có một xu hướng rõ ràng về sự lây lan của virus. Rất nhiều yêu cầu bắt đầu từ giữa tháng 8. Bây giờ có vẻ như chúng không hiển thị, nhưng có lẽ là tạm thời hoặc phần mở rộng của tệp được mã hóa chỉ đơn giản là đã thay đổi.

Dưới đây là ví dụ về một yêu cầu điển hình từ diễn đàn Kaspersky.

Ngoài ra còn có một bình luận từ người điều hành bên dưới.

Diễn đàn EsetNod32 từ lâu đã quen với việc virus cài đuôi .combo. Theo tôi hiểu, loại vi-rút này không phải là duy nhất và không phải là mới, mà là một biến thể của dòng vi-rút Crusis (Dharma) nổi tiếng từ lâu. Đây là một yêu cầu điển hình để giải mã dữ liệu:

Tôi nhận thấy có nhiều đánh giá trên diễn đàn Eset rằng virus đã xâm nhập vào máy chủ thông qua rdp. Có vẻ như đây là một mối đe dọa thực sự mạnh mẽ và bạn không thể rời khỏi rdp mà không che chắn. Câu hỏi duy nhất được đặt ra là virus xâm nhập qua rdp như thế nào? Nó đoán mật khẩu, kết nối với người dùng và mật khẩu đã biết hoặc thứ gì đó khác.

Đi đâu để giải mã được đảm bảo

Tôi tình cờ gặp một công ty thực sự giải mã dữ liệu sau hoạt động của nhiều loại virus mã hóa khác nhau, bao gồm cả Crusis (Dharma). Địa chỉ của họ là http://www.dr-shifro.ru. Chỉ thanh toán sau khi giải mã và xác minh của bạn. Đây là một sơ đồ công việc gần đúng:

1. Một chuyên gia của công ty đến văn phòng hoặc nhà của bạn và ký một thỏa thuận với bạn, trong đó đưa ra chi phí cho công việc.
2. Khởi chạy bộ giải mã trên máy tính của bạn và giải mã một số tệp.
3. Bạn đảm bảo rằng tất cả các tệp đã được mở, ký vào chứng nhận chấp nhận cho tác phẩm đã hoàn thành và nhận bộ giải mã.
4. Bạn giải mã các tập tin của mình và hoàn thành các tài liệu còn lại.

Bạn không mạo hiểm bất cứ điều gì. Chỉ thanh toán sau khi trình diễn hoạt động của bộ giải mã. Hãy viết bình luận về trải nghiệm của bạn với công ty này.

Các phương pháp bảo vệ chống lại virus ransomware

Tôi sẽ không liệt kê những điều hiển nhiên về việc ra mắt chương trình không xác định từ Internet và mở các tệp đính kèm trong thư. Bây giờ mọi người đều biết điều này. Ngoài ra, tôi đã viết về điều này nhiều lần trong các bài viết của mình ở phần giới thiệu. Tôi sẽ chú ý đến việc sao lưu. Chúng không chỉ phải tồn tại mà còn không thể tiếp cận được từ bên ngoài. Nếu đây là một loại ổ đĩa mạng nào đó thì một tài khoản riêng có mật khẩu mạnh phải có quyền truy cập vào nó.

Nếu bạn sao lưu các tập tin cá nhân vào ổ đĩa flash hoặc ổ đĩa ngoài, đừng để họ kết nối liên tục với hệ thống. Sau khi tạo bản sao lưu trữ, ngắt kết nối thiết bị khỏi máy tính. Tôi thấy bản sao lưu lý tưởng trên một thiết bị riêng biệt, thiết bị này chỉ được bật để tạo bản sao lưu, sau đó lại bị ngắt kết nối vật lý khỏi mạng bằng cách ngắt kết nối dây mạng hoặc đơn giản là tắt máy.

Sao lưu phải tăng dần. Điều này là cần thiết để tránh tình huống người mã hóa mã hóa tất cả dữ liệu mà bạn không nhận ra. Xong hỗ trợ, thay thế các tệp cũ bằng tệp mới nhưng đã được mã hóa. Kết quả là bạn có một kho lưu trữ nhưng nó chẳng có tác dụng gì. Bạn cần có độ sâu lưu trữ ít nhất vài ngày. Tôi nghĩ rằng trong tương lai sẽ có, nếu chúng chưa xuất hiện, ransomware sẽ lặng lẽ mã hóa một phần dữ liệu và chờ một thời gian mà không lộ diện. Điều này sẽ được thực hiện với hy vọng rằng các tệp được mã hóa sẽ được đưa vào kho lưu trữ và ở đó, theo thời gian, sẽ thay thế các tệp thực.

Đây sẽ là thời điểm khó khăn đối với khu vực doanh nghiệp. Tôi đã đưa ra một ví dụ ở trên từ diễn đàn eset, nơi các ổ đĩa mạng có 20 TB dữ liệu đã được mã hóa. Bây giờ hãy tưởng tượng rằng bạn có một ổ đĩa mạng như vậy nhưng chỉ có 500G dữ liệu được mã hóa trong các thư mục không được truy cập liên tục. Một vài tuần trôi qua, không ai để ý đến các tập tin được mã hóa vì chúng nằm trong các thư mục lưu trữ và liên tục không được xử lý. Nhưng vào cuối kỳ báo cáo, dữ liệu là cần thiết. Họ đến đó và thấy mọi thứ đều được mã hóa. Họ đi đến kho lưu trữ và ở đó độ sâu lưu trữ là 7 ngày. Và thế là xong, dữ liệu đã biến mất.

Điều này đòi hỏi một cách tiếp cận riêng biệt và cẩn thận đối với các kho lưu trữ. Bạn cần phần mềm và tài nguyên để lưu trữ dữ liệu lâu dài.

Video về giải mã và phục hồi tập tin

Đây là một ví dụ về một sửa đổi tương tự của virus, nhưng video hoàn toàn có liên quan đến combo.

Và mỗi năm càng có nhiều cái mới xuất hiện... ngày càng thú vị hơn. Phổ biến nhất Gần đây một loại vi-rút (Trojan-Ransom.Win32.Rector) mã hóa tất cả các tệp của bạn (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, v.v.) . Vấn đề là việc giải mã những tập tin như vậy cực kỳ khó khăn và tốn thời gian; tùy thuộc vào loại mã hóa, việc giải mã có thể mất hàng tuần, hàng tháng hoặc thậm chí hàng năm. Theo tôi, loại virus này hiện đang ở mức nguy hiểm cao nhất trong số các loại virus khác. Nó đặc biệt nguy hiểm đối với máy tính/máy tính xách tay tại nhà, vì hầu hết người dùng không sao lưu dữ liệu và khi mã hóa tập tin, họ sẽ mất toàn bộ dữ liệu. Đối với các tổ chức, loại virus này ít nguy hiểm hơn vì chúng có bản sao lưu dữ liệu quan trọng và trong trường hợp bị lây nhiễm, chúng sẽ được khôi phục một cách đơn giản, một cách tự nhiên sau khi loại bỏ vi-rút. Tôi đã gặp loại virus này vài lần, tôi sẽ mô tả nó xảy ra như thế nào và nó dẫn đến hậu quả gì.

Lần đầu tiên tôi gặp phải một loại virus mã hóa tập tin là vào đầu năm 2014. Một quản trị viên từ thành phố khác đã liên hệ với tôi và cho tôi biết một tin khó chịu nhất - Tất cả các tệp trên máy chủ tệp đều được mã hóa! Sự lây nhiễm xảy ra theo cách sơ đẳng - bộ phận kế toán nhận được một lá thư có tệp đính kèm “Act of something There.pdf.exe”, như bạn hiểu, họ đã mở thư này tập tin EXE và quá trình bắt đầu... anh ấy mã hóa tất cả các tập tin cá nhân trên máy tính và chuyển sang máy chủ tập tin(nó được kết nối bằng ổ đĩa mạng). Tôi và quản trị viên bắt đầu tìm kiếm thông tin trên Internet... lúc đó không có giải pháp nào cả... mọi người đều viết rằng có một loại virus như vậy, không biết cách xử lý, các tập tin không thể giải mã được, có lẽ gửi tệp đến Kaspersky, Dr Web hoặc Nod32 sẽ hữu ích. Bạn chỉ có thể gửi chúng nếu bạn sử dụng chúng chương trình chống virus(có giấy phép). Chúng tôi đã gửi hồ sơ cho Dr Web và Nod32, kết quả là 0, tôi không nhớ họ đã nói gì với Dr Web, còn Nod 32 hoàn toàn im lặng và tôi không nhận được bất kỳ phản hồi nào từ họ. Nói chung, mọi thứ thật đáng buồn và chúng tôi chưa bao giờ tìm ra giải pháp; chúng tôi đã khôi phục một số tệp từ bản sao lưu.

Câu chuyện thứ hai - mới hôm nọ (giữa tháng 10 năm 2014) tôi nhận được cuộc gọi từ một tổ chức yêu cầu tôi giải quyết vấn đề với virus; như bạn hiểu, tất cả các tập tin trên máy tính đều đã được mã hóa. Đây là một ví dụ về những gì nó trông như thế nào.

Như bạn có thể thấy, phần mở rộng *.AES256 đã được thêm vào mỗi tệp. Trong mỗi thư mục có một tệp “Attention_open-me.txt” chứa các liên hệ để liên lạc.

Khi cố gắng mở những tệp này, một chương trình có danh bạ đã mở để liên hệ với tác giả của vi-rút để trả tiền giải mã. Tất nhiên, tôi không khuyên bạn nên liên hệ với họ hoặc trả tiền cho mã, vì bạn sẽ chỉ hỗ trợ họ về mặt tài chính và thực tế không phải là bạn sẽ nhận được khóa giải mã.

Sự lây nhiễm xảy ra trong quá trình cài đặt một chương trình được tải xuống từ Internet. Điều đáng ngạc nhiên nhất là khi họ nhận thấy các tập tin đã thay đổi (biểu tượng và phần mở rộng tập tin đã thay đổi), họ không làm gì và tiếp tục hoạt động, trong khi ransomware tiếp tục mã hóa tất cả các tập tin.

Chú ý!!! Nếu bạn nhận thấy các tập tin trên máy tính của mình bị mã hóa (thay đổi biểu tượng, thay đổi phần mở rộng), hãy tắt máy tính/máy tính xách tay ngay lập tức và tìm giải pháp từ thiết bị khác (từ máy tính/máy tính xách tay, điện thoại, máy tính bảng khác) hoặc liên hệ với chuyên gia CNTT. Máy tính/máy tính xách tay của bạn được bật càng lâu thì nhiều tập tin hơn nó sẽ mã hóa.

Nói chung, tôi đã muốn từ chối giúp đỡ họ, nhưng tôi quyết định lướt Internet, có lẽ giải pháp cho vấn đề này đã xuất hiện. Qua tìm kiếm, tôi đọc được rất nhiều thông tin không thể giải mã được, rằng bạn cần gửi file đến các công ty diệt virus (Kaspersky, Dr Web hoặc Nod32) - cảm ơn bạn đã trải nghiệm.
Tôi tình cờ thấy một tiện ích của Kaspersky - RectorDecryptor. Và về tập tin phép lạđã giải mã được. Vâng, điều đầu tiên trước tiên...

Bước đầu tiên là ngăn chặn ransomware. Bạn sẽ không tìm thấy bất kỳ phần mềm chống vi-rút nào vì Dr Web đã cài đặt không tìm thấy bất kỳ thứ gì. Trước hết, tôi khởi động và vô hiệu hóa tất cả các phần khởi động (trừ phần mềm chống vi-rút). Đã khởi động lại máy tính. Sau đó, tôi bắt đầu xem loại tập tin nào đang khởi động.

Như bạn có thể thấy trong trường "Lệnh", nó được chỉ định vị trí của tệp, Đặc biệt chú ý Các ứng dụng không có chữ ký cần phải xóa (Nhà sản xuất - Không có dữ liệu). Nói chung, tôi đã tìm thấy và xóa phần mềm độc hại cũng như các tệp mà tôi chưa hiểu rõ. Sau đó, tôi xóa các thư mục tạm thời và bộ nhớ đệm của trình duyệt; CCleaner .

Sau đó, tôi bắt đầu giải mã các tập tin, để làm điều này tôi đã tải xuống chương trình giải mã RectorDecryptor . Tôi khởi chạy nó và thấy một giao diện khá khổ hạnh của tiện ích.

Tôi đã nhấp vào “Bắt đầu quét” và chỉ ra phần mở rộng mà tất cả các tệp đã thay đổi đều có.

Và chỉ ra tập tin được mã hóa. Trong các phiên bản mới hơn của RectorDecryptor, bạn có thể chỉ định tệp được mã hóa một cách đơn giản. Nhấp vào nút "Mở".

Tada-a-a-am!!! Một điều kỳ diệu đã xảy ra và tập tin đã được giải mã.

Sau đó, tiện ích sẽ tự động kiểm tra tất cả các tệp + tệp máy tính trên ổ đĩa mạng được kết nối và giải mã chúng. Quá trình giải mã có thể mất vài giờ (tùy thuộc vào số lượng tệp được mã hóa và tốc độ máy tính của bạn).

Kết quả là tất cả các tệp được mã hóa đã được giải mã thành công vào cùng thư mục nơi chúng được đặt ban đầu.

Tất cả những gì còn lại là xóa tất cả các tệp có phần mở rộng .AES256; điều này có thể được thực hiện bằng cách chọn hộp kiểm “Xóa các tệp được mã hóa sau khi giải mã thành công” nếu bạn nhấp vào “Thay đổi tham số quét” trong cửa sổ RectorDecryptor.

Nhưng hãy nhớ rằng tốt hơn hết là không nên chọn hộp này, vì nếu các tệp không được giải mã thành công, chúng sẽ bị xóa và để cố gắng giải mã lại chúng, trước tiên bạn phải thực hiện khôi phục .

Khi bạn cố xóa tất cả các tệp được mã hóa bằng cách sử dụng tìm kiếm tiêu chuẩn và gỡ bỏ, tôi gặp tình trạng đóng băng và cực kỳ làm việc chậm máy tính.

Vì vậy, để loại bỏ nó, cách tốt nhất là sử dụng dòng lệnh, chạy nó và viết del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Trong trường hợp của tôi, del "d:\*.AES256" /f /s.

Đừng quên xóa các tập tin "Attention_open-me.txt", để thực hiện việc này, hãy sử dụng lệnh trên dòng lệnh del"<диск>:\*.<имя файла>"/f/s, Ví dụ
xóa "d:\Chú ý_open-me.txt" /f /s

Như vậy, virus đã bị đánh bại và các tập tin đã được khôi phục. Tôi muốn cảnh báo bạn rằng phương pháp này Nó sẽ không giúp ích gì cho tất cả mọi người, vấn đề là Kapersky trong tiện ích này đã thu thập tất cả các khóa giải mã đã biết (từ các tệp được gửi bởi những người bị nhiễm vi-rút) và sử dụng phương pháp vũ phu để chọn khóa và giải mã chúng . Những thứ kia. nếu các tệp của bạn bị vi-rút mã hóa bằng khóa không xác định thì phương pháp này sẽ không giúp ích gì... bạn sẽ phải gửi các tệp bị nhiễm đến các công ty chống vi-rút - Kaspersky, Dr Web hoặc Nod32 để giải mã chúng.

Đi du lịch đến các thành phố và thị trấn khác nhau, một người dù muốn hay không cũng gặp phải những điều bất ngờ có thể vừa dễ chịu vừa gây ra sự khó chịu và đau buồn tột độ.

Những cảm xúc tương tự có thể chờ đợi người dùng quan tâm đến việc “du lịch” trên Internet. Mặc dù đôi khi những bất ngờ khó chịu Chúng tự bay vào email dưới dạng thư và tài liệu đe dọa mà người dùng cố gắng đọc càng sớm càng tốt, từ đó rơi vào mạng lưới của những kẻ lừa đảo.

Trên Internet, bạn có thể gặp phải số lượng vi-rút đáng kinh ngạc được lập trình để thực hiện nhiều tác vụ tiêu cực trên máy tính của mình, vì vậy điều quan trọng là phải học cách phân biệt giữa các liên kết an toàn để tải xuống tệp và tài liệu và tránh những liên kết gây nguy hiểm rõ ràng cho máy tính của bạn.

Nếu bạn trở thành một trong những người không may mắn phải gánh chịu hậu quả tiêu cực do sự can thiệp của vi-rút, bạn sẽ không nghi ngờ gì về việc thu thập và sau đó hệ thống hóa thông tin về cách ngăn ngừa lây nhiễm vào máy tính của bạn là rất hữu ích.

Virus xuất hiện ngay khi chúng xuất hiện công nghệ máy tính. Mỗi năm ngày càng có nhiều loại vi-rút nên người dùng chỉ dễ dàng tiêu diệt loại vi-rút đã được biết đến từ lâu và phương pháp tiêu diệt 100% vi-rút đã được tìm ra.

Người dùng sẽ khó khăn hơn nhiều khi “chiến đấu” chống lại những kẻ mang vi-rút mới xuất hiện trên mạng hoặc kèm theo các hành động phá hoại toàn diện.

Phương pháp khôi phục tập tin

Trong tình huống virus có các tập tin bị mã hóa trên máy tính, điều cần làm đối với nhiều người là vấn đề chủ chốt. Nếu đây là những bức ảnh nghiệp dư, việc mất mát mà bạn cũng không muốn chấp nhận, bạn có thể tìm cách giải quyết vấn đề trong một thời gian dài. Tuy nhiên, nếu vi-rút có các tệp được mã hóa cực kỳ quan trọng đối với hoạt động kinh doanh, thì mong muốn tìm ra những việc cần làm sẽ trở nên vô cùng lớn và bạn cũng muốn thực hiện các bước hiệu quả đủ nhanh.

Khôi phục phiên bản trước

Nếu tính năng bảo vệ hệ thống được bật trước trên máy tính của bạn, thì ngay cả trong trường hợp “bộ mã hóa khách không mời” đã chiếm quyền kiểm soát bạn, bạn vẫn có thể khôi phục tài liệu, biết phải làm gì trong trường hợp này.

Hệ thống sẽ giúp bạn khôi phục tài liệu bằng cách sử dụng bản sao ẩn của chúng. Tất nhiên, Trojan cũng nỗ lực loại bỏ những bản sao như vậy, nhưng không phải lúc nào virus cũng có thể thực hiện các thao tác như vậy vì chúng không có quyền quản trị.

Bước 1

Vì vậy, thật dễ dàng để khôi phục tài liệu bằng bản sao trước đó. Để thực hiện việc này, bạn nhấp chuột phải vào tệp bị hỏng. Trong menu xuất hiện, chọn “Thuộc tính”. Một cửa sổ sẽ xuất hiện trên màn hình PC của bạn có bốn tab, bạn cần truy cập tab cuối cùng"Những phiên bản trước"

Bước 2

Tất cả các bản sao bóng có sẵn của tài liệu sẽ được liệt kê trong cửa sổ bên dưới; tất cả những gì bạn phải làm là chọn tùy chọn phù hợp nhất với mình, sau đó nhấp vào nút “Khôi phục”.

Thật không may, "xe cứu thương" như vậy không thể được sử dụng trên máy tính chưa kích hoạt bảo vệ hệ thống trước. Vì lý do này, chúng tôi khuyên bạn nên bật nó lên trước để không bị “cắn cùi chỏ” sau này, tự trách móc bản thân vì sự bất tuân rõ ràng.

Bước 3

Việc kích hoạt tính năng bảo vệ hệ thống trên máy tính của bạn cũng rất dễ dàng; việc này sẽ không làm bạn mất nhiều thời gian. Vì vậy, hãy xua đuổi sự lười biếng, bướng bỉnh của bạn và giúp máy tính của bạn ít bị tấn công bởi Trojan hơn.

Nhấp chuột phải vào biểu tượng “Máy tính” và chọn “Thuộc tính”. Ở phía bên trái của cửa sổ mở ra sẽ có một danh sách trong đó tìm dòng “Bảo vệ hệ thống”, nhấp vào nó.

Bây giờ một cửa sổ sẽ mở lại trong đó bạn sẽ được yêu cầu chọn đĩa. Đã làm nổi bật đĩa cục bộ"C", nhấp vào nút "Tùy chỉnh".

Bước 4

Bây giờ một cửa sổ sẽ mở ra cung cấp các tùy chọn khôi phục. Bạn cần phải đồng ý với tùy chọn đầu tiên, liên quan đến việc khôi phục các tham số hệ thống và những phiên bản trước các tài liệu. Cuối cùng, nhấp vào nút “Ok” truyền thống.

Nếu bạn đã thực hiện trước tất cả các thao tác này thì ngay cả khi Trojan truy cập vào máy tính của bạn và mã hóa các tệp của bạn, bạn vẫn có triển vọng tuyệt vời để khôi phục thông tin quan trọng.

Ít nhất bạn sẽ không hoảng sợ khi phát hiện ra rằng tất cả các tệp trên máy tính của mình đều được mã hóa; trong trường hợp này, bạn sẽ biết chính xác phải làm gì.

Sử dụng tiện ích

Nhiều công ty chống vi-rút không để người dùng yên tâm với vấn đề vi-rút mã hóa tài liệu. Kaspersky Lab và Doctor Web đã phát triển các tiện ích đặc biệt để giúp giải quyết các tình huống có vấn đề như vậy.

Vì vậy, nếu bạn tìm thấy dấu vết khủng khiếp của một cuộc truy cập ransomware, hãy thử sử dụng Tiện ích Kaspersky RectorDecryptor.

Chạy tiện ích trên máy tính của bạn, chỉ định đường dẫn đến tệp đã được mã hóa. Không khó để hiểu trực tiếp tiện ích nên làm gì. Sử dụng nhiều tùy chọn, nó cố gắng tìm chìa khóa để giải mã tập tin. Thật không may, một hoạt động như vậy có thể khá dài và không nằm trong khung thời gian đối với nhiều người dùng.

Đặc biệt, có thể mất khoảng 120 ngày để chọn đúng khóa. Đồng thời, bạn phải hiểu rằng không nên làm gián đoạn quá trình giải mã nên cũng không nên tắt máy tính.

Kaspersky Lab còn cung cấp các tiện ích khác:

• XoristDecryptor;
• Bộ giải mã Rakhni;
• Bộ giải mã ransomware.

Những tiện ích này nhằm vào kết quả hoạt động độc hại của các Trojan ransomware khác. Đặc biệt, tiện ích Ransomware Decryptor vẫn chưa được nhiều người biết đến vì nó nhằm mục đích chống lại CoinVault, tiện ích hiện mới bắt đầu tấn công Internet và xâm nhập vào máy tính của người dùng.

Các nhà phát triển Doctor Web cũng không nhàn rỗi, vì vậy họ cung cấp cho người dùng các tiện ích của họ, nhờ đó bạn cũng có thể thử khôi phục các tài liệu được mã hóa trên máy tính của mình.

Tạo bất kỳ thư mục nào trên ổ C và đặt cho nó một cái tên đơn giản. Giải nén tiện ích được tải xuống từ trang web chính thức của công ty vào thư mục này.

Bây giờ bạn có thể sử dụng nó để giải pháp thiết thực Các vấn đề. Để làm điều này, hãy chạy dòng lệnh, hãy nhập “cd c:\XXX” vào đó, trong đó thay vì XXX hãy viết tên thư mục mà bạn đã đặt tiện ích vào đó.

Thay vì “myfiles”, nên viết tên của thư mục chứa các tài liệu bị hỏng.

Bây giờ tiện ích sẽ khởi chạy và quá trình xử lý sẽ bắt đầu; sau khi hoàn tất thành công, bạn sẽ tìm thấy một báo cáo cho biết những gì đã được phục hồi. Nhân tiện, chương trình không xóa các tệp được mã hóa mà chỉ lưu phiên bản đã khôi phục bên cạnh chúng.

Thật không may, ngay cả tiện ích Doctor Web này cũng không thể được coi là cây đũa thần; nó cũng không thể làm được mọi thứ.

Nhiều người có thể đã biết phải làm gì trong trường hợp bị nhiễm trùng, nhưng người dùng có kinh nghiệm Nên thu thập thông tin về những việc hoàn toàn không được khuyến khích làm để không gây ra hậu quả nghiêm trọng hơn khi cơ hội khôi phục tài liệu bằng 0.

Không thể cài đặt lại trên máy tính của bạn hệ điều hành. Trong trường hợp này, bạn có thể loại bỏ loài gây hại nhưng hãy trả nó lại cho điều kiện làm việc tài liệu chắc chắn sẽ không hoạt động.

Bạn không thể chạy các chương trình chịu trách nhiệm dọn dẹp sổ đăng ký, xóa Hồ sơ tạm thời trên máy tính.

Không được khuyến khích quét virus, trong thời gian đó các tài liệu bị nhiễm có thể bị xóa một cách đơn giản. Nếu bạn hơi ngu ngốc và khởi chạy một phần mềm chống vi-rút, không thể chống chọi nổi, thì ít nhất hãy đảm bảo rằng tất cả các tệp bị nhiễm không bị xóa mà chỉ bị cách ly.

Nếu là người dùng nâng cao, bạn có thể làm gián đoạn quá trình mã hóa trên máy tính của mình trước khi nó lan sang tất cả các tệp và tài liệu. Để thực hiện việc này, bạn cần khởi chạy “Trình quản lý tác vụ” và dừng quá trình. Người dùng thiếu kinh nghiệm khó có thể tìm ra quá trình nào có liên quan đến virus.

Việc ngắt kết nối máy tính của bạn khỏi Internet sẽ rất hữu ích. Khi ngắt kết nối như vậy, quá trình mã hóa tập tin, tài liệu trên máy tính trong hầu hết các trường hợp cũng bị gián đoạn.

Vì vậy, với sự hiểu biết đầy đủ về những việc cần làm khi phát hiện thấy Trojan ransomware, bạn có thể thực hiện các bước để đảm bảo thành công. Ngoài ra, sau khi nhận được thông tin về cách giải mã các tệp bị vi-rút mã hóa, bạn có thể cố gắng tự mình khắc phục sự cố và ngăn sự cố tái diễn.

Số lượng virus theo nghĩa thông thường ngày càng ít đi, nguyên nhân là do các phần mềm diệt virus miễn phí hoạt động tốt và bảo vệ máy tính của người dùng. Đồng thời, không phải ai cũng quan tâm đến tính bảo mật của dữ liệu của mình và họ có nguy cơ bị nhiễm không chỉ phần mềm độc hại mà còn cả các loại vi-rút tiêu chuẩn, trong đó loại vi-rút phổ biến nhất tiếp tục là Trojan. Anh ấy có thể thể hiện mình những cách khác, nhưng một trong những cách nguy hiểm nhất là mã hóa tập tin. Nếu vi-rút mã hóa các tập tin trên máy tính của bạn, không đảm bảo rằng bạn sẽ có thể lấy lại được dữ liệu, nhưng một số phương pháp hiệu quả có, và chúng sẽ được thảo luận dưới đây.

Virus mã hóa: nó là gì và hoạt động như thế nào

Trên Internet, bạn có thể tìm thấy hàng trăm loại virus mã hóa tập tin. Hành động của họ dẫn đến một hậu quả - dữ liệu của người dùng trên máy tính bị định dạng không xác định, không thể mở được bằng chương trình tiêu chuẩn. Đây chỉ là một số định dạng mà dữ liệu trên máy tính có thể được mã hóa do vi-rút: .locked, .xtbl, .kraken, .cbf, .oshit và nhiều định dạng khác. Trong một số trường hợp, nó được ghi trực tiếp vào phần mở rộng của tập tin địa chỉ email người tạo ra virus.

Trong số các loại virus mã hóa tập tin phổ biến nhất là Trojan-Ransom.Win32.Aura Và Trojan-Ransom.Win32.Rakhni. Chúng có nhiều dạng và vi-rút thậm chí có thể không được gọi là Trojan (ví dụ: CryptoLocker), nhưng hành động của chúng thực tế là giống nhau. Các phiên bản mới của vi-rút mã hóa thường xuyên được phát hành khiến những người tạo ra ứng dụng chống vi-rút gặp khó khăn hơn trong việc xử lý các định dạng mới.

Nếu một vi-rút mã hóa đã xâm nhập vào máy tính, nó chắc chắn sẽ biểu hiện không chỉ bằng cách chặn các tệp mà còn bằng cách đề nghị người dùng mở khóa chúng với một khoản phí bằng tiền. Một biểu ngữ có thể xuất hiện trên màn hình cho bạn biết nơi bạn cần chuyển tiền để mở khóa các tập tin. Khi biểu ngữ như vậy không xuất hiện, bạn nên tìm “bức thư” từ những kẻ phát triển vi-rút trên màn hình của mình; trong hầu hết các trường hợp, tệp như vậy được gọi là ReadMe.txt.

Tùy thuộc vào nhà phát triển vi-rút, giá giải mã tệp có thể khác nhau. Đồng thời, không có một thực tế nào là khi bạn gửi tiền cho những kẻ tạo ra virus, họ sẽ gửi lại phương thức mở khóa. Trong hầu hết các trường hợp, tiền sẽ “chẳng đi đến đâu” và người dùng máy tính không nhận được phương thức giải mã.

Sau khi virus xâm nhập vào máy tính của bạn và bạn thấy mã trên màn hình mà bạn cần gửi tới địa chỉ cụ thểĐể có được bộ giải mã, bạn không nên làm điều này. Trước hết, hãy sao chép mã này vào một tờ giấy vì tệp mới tạo cũng có thể được mã hóa. Sau này, bạn có thể ẩn thông tin khỏi những kẻ phát triển vi-rút và cố gắng tìm trên Internet cách loại bỏ bộ mã hóa tệp trong trường hợp cụ thể của bạn. Dưới đây chúng tôi trình bày các chương trình chính cho phép bạn loại bỏ vi-rút và giải mã các tệp, nhưng chúng không thể được gọi là phổ quát và người tạo phần mềm diệt virus Danh sách các giải pháp thường xuyên được mở rộng.

Loại bỏ virus mã hóa tập tin khá đơn giản bằng cách sử dụng phiên bản miễn phí thuốc chống virus. 3 chương trình miễn phí đối phó tốt với virus mã hóa tập tin:

• Malwarebytes Anti-Malware;
• Dr.Web Chữa bệnh ;
• Kaspersky Internet Bảo vệ.

Các ứng dụng nêu trên đều hoàn toàn miễn phí hoặc có phiên bản dùng thử. Chúng tôi khuyên bạn nên sử dụng giải pháp từ Dr.Web hoặc Kespersky sau khi bạn quét hệ thống của mình bằng Malwarebytes Antimalware. Hãy để chúng tôi nhắc bạn một lần nữa rằng không nên cài đặt cùng lúc 2 phần mềm chống vi-rút trở lên trên máy tính của bạn, vì vậy trước khi cài đặt từng giải pháp mới, bạn phải xóa giải pháp trước đó.

Như chúng tôi đã lưu ý ở trên, giải pháp lý tưởng Vấn đề trong tình huống này sẽ là việc lựa chọn các hướng dẫn cho phép bạn giải quyết cụ thể vấn đề của mình. Những hướng dẫn như vậy thường được đăng trên trang web của các nhà phát triển phần mềm chống vi-rút. Dưới đây chúng tôi trình bày một số vấn đề liên quan tiện ích diệt virusđiều đó cho phép bạn đối phó với nhiều loại khác nhau Trojan và các loại ransomware khác.

Trên đây chỉ là một phần nhỏ trong số các tiện ích diệt virus cho phép bạn giải mã các file bị nhiễm virus. Điều cần lưu ý là nếu bạn chỉ cố gắng lấy lại dữ liệu thì ngược lại, dữ liệu sẽ bị mất vĩnh viễn - bạn không nên làm điều này.

Xin chào mọi người, hôm nay tôi sẽ hướng dẫn các bạn cách giải mã các tập tin sau khi có vi-rút trong Windows. Một trong những vấn đề rắc rối nhất phần mềm độc hại ngày nay nó là một Trojan hoặc virus mã hóa các tập tin trên đĩa của người dùng. Một số tệp này có thể được giải mã, nhưng những tệp khác vẫn chưa thể giải mã được. Trong bài viết tôi sẽ mô tả các thuật toán hành động có thể có trong cả hai tình huống.

Có một số sửa đổi của loại vi-rút này, nhưng bản chất chung của công việc là sau khi cài đặt trên máy tính của bạn, các tệp tài liệu, hình ảnh và các tệp quan trọng khác của bạn sẽ được mã hóa bằng một thay đổi về phần mở rộng, sau đó bạn nhận được thông báo rằng tất cả các tệp của bạn các tập tin đã được mã hóa và để giải mã chúng bạn cần gửi một số tiền nhất định tới kẻ tấn công.

Các tập tin trên máy tính được mã hóa bằng xtbl

Một trong những biến thể mới nhất của virus ransomware mã hóa các tệp, thay thế chúng bằng các tệp có phần mở rộng .xtbl và tên bao gồm một bộ ký tự ngẫu nhiên.

Đồng thời, một tệp văn bản readme.txt được đặt trên máy tính với nội dung xấp xỉ sau: “Các tệp của bạn đã được mã hóa. Để giải mã chúng, bạn cần gửi mã tới địa chỉ email [email được bảo vệ], [email được bảo vệ] hoặc [email được bảo vệ]. Tiếp theo bạn sẽ có được mọi thứ hướng dẫn cần thiết. Việc cố gắng tự mình giải mã các tập tin sẽ dẫn đến việc mất thông tin không thể cứu vãn được” (địa chỉ thư và văn bản có thể khác nhau).

Rất tiếc, hiện tại không có cách nào để giải mã .xtbl (ngay khi có, hướng dẫn sẽ được cập nhật). Một số người dùng có thông tin thực sự quan trọng trên máy tính của họ báo cáo trên các diễn đàn chống vi-rút rằng họ đã gửi cho tác giả của vi-rút 5.000 rúp hoặc số tiền cần thiết khác và nhận được bộ giải mã, nhưng điều này rất rủi ro: bạn có thể không nhận được gì.

Phải làm gì nếu tệp được mã hóa ở dạng .xtbl? Các khuyến nghị của tôi như sau (nhưng chúng khác với các khuyến nghị trên nhiều trang web chuyên đề khác, chẳng hạn như họ khuyên bạn nên tắt máy tính ngay lập tức khỏi nguồn điện hoặc không loại bỏ vi-rút. Theo tôi, điều này là không cần thiết, và theo một số trường hợp nó thậm chí có thể có hại, nhưng tùy bạn quyết định.):

1. Nếu bạn biết cách, hãy làm gián đoạn quá trình mã hóa bằng cách xóa các tác vụ tương ứng trong trình quản lý tác vụ, ngắt kết nối máy tính khỏi Internet (điều này có thể một điều kiện cần thiết mã hóa)
2. Hãy nhớ hoặc ghi lại mã mà kẻ tấn công yêu cầu gửi đến một địa chỉ email (không gửi đến tệp văn bản trên máy tính, đề phòng trường hợp nó không được mã hóa).
3. VỚI sử dụng Malwarebytes Chống phần mềm độc hại, dùng thử Phiên bản Kaspersky Internet Security hoặc Dr.Web Cure Nó sẽ loại bỏ vi-rút mã hóa các tập tin (tất cả các công cụ được liệt kê ở trên đều thực hiện tốt công việc này). Tôi khuyên bạn nên sử dụng lần lượt sản phẩm thứ nhất và thứ hai trong danh sách (tuy nhiên, nếu bạn đã cài đặt phần mềm chống vi-rút, việc cài đặt sản phẩm thứ hai “từ trên cao” là điều không mong muốn vì nó có thể dẫn đến sự cố với máy tính.)
4. Đợi bộ giải mã xuất hiện từ một số công ty chống vi-rút. Kaspersky Lab đang dẫn đầu ở đây.
5. Bạn cũng có thể gửi ví dụ về tệp được mã hóa và mã được yêu cầu tới [email được bảo vệ], nếu bạn có bản sao không được mã hóa của cùng một tệp, vui lòng gửi cả bản sao đó. Về lý thuyết, điều này có thể tăng tốc độ xuất hiện của bộ giải mã.

Những gì không làm:

• Đổi tên các tệp được mã hóa, thay đổi phần mở rộng và xóa chúng nếu chúng quan trọng đối với bạn.

Đây có lẽ là tất cả những gì tôi có thể nói về các tệp được mã hóa có phần mở rộng .xtbl vào lúc này.

Trojan-Ransom.Win32.Aura và Trojan-Ransom.Win32.Rakhni

Trojan sau đây mã hóa các tập tin và cài đặt các tiện ích mở rộng từ danh sách này:

• .đã khóa
• .crypto
• .kraken
• .AES256 (không nhất thiết phải là Trojan này, có những Trojan khác cài đặt cùng một tiện ích mở rộng).
• .codecsu@gmail_com
• .oshit
• Và những người khác.

Để giải mã các tập tin sau hoạt động của các loại virus này, trang web của Kaspersky có một tiện ích miễn phí có tên RakhniDecryptor, có sẵn trên Trang chính thức http://support.kaspersky.ru/viruses/disinfection/10556.

Ngoài ra còn có hướng dẫn chi tiết về việc sử dụng tiện ích này, hướng dẫn cách khôi phục các tệp bị mã hóa, từ đó, để đề phòng, tôi sẽ xóa mục “Xóa các tệp được mã hóa sau khi giải mã thành công” (mặc dù, tôi nghĩ với tùy chọn đã cài đặt mọi thứ sẽ ok).

Nếu bạn có giấy phép chống vi-rút Dr.Web, bạn có thể sử dụng giải mã miễn phí từ công ty này trên trang http://support.drweb.com/new/free_unlocker/

Nhiều tùy chọn vi rút ransomware hơn

Ít phổ biến hơn nhưng cũng gặp phải là các Trojan sau đây mã hóa các tập tin và yêu cầu trả tiền để giải mã. Các liên kết được cung cấp không chỉ chứa các tiện ích để trả lại tệp của bạn mà còn mô tả các dấu hiệu sẽ giúp xác định rằng bạn có nhiễm loại vi-rút cụ thể này hay không. Mặc dù nhìn chung, cách tối ưu là quét hệ thống bằng phần mềm chống vi-rút Kaspersky, tìm ra tên của Trojan theo phân loại của công ty này, sau đó tìm kiếm một tiện ích có tên này.

• Trojan-Ransom.Win32.Rector - tiện ích giải mã RectorDecryptor miễn phí và hướng dẫn sử dụng có tại đây: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist là một loại Trojan tương tự hiển thị một cửa sổ yêu cầu bạn gửi SMS trả phí hoặc liên hệ tại e-mailđể biết hướng dẫn giải mã. Hướng dẫn khôi phục các tệp được mã hóa và tiện ích XoristDecryptor cho việc này có sẵn trên trang http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Tiện ích giải mã Rannohhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encode.858 (xtbl), Trojan.Encode.741 và các loại khác có cùng tên (khi được tìm kiếm thông qua chương trình chống vi-rút Dr.Web hoặc tiện ích Cure It) và số khác nhau- thử tìm kiếm trên Internet tên của Trojan. Đối với một số trong số chúng có tiện ích giải mã từ Dr.Web, ngoài ra nếu bạn không thể tìm thấy tiện ích này nhưng có giấy phép Dr.Web, bạn có thể sử dụng trang chính thức http://support.drweb.com/new/free_unlocker /
• CryptoLocker - để giải mã các tệp sau khi CryptoLocker hoạt động, bạn có thể sử dụng trang web http://decryptcryptlocker.com - sau khi gửi tệp mẫu, bạn sẽ nhận được khóa và tiện ích để khôi phục các tệp của mình.

Vâng từ tin mới nhất- Kaspersky Lab, cùng với các quan chức thực thi pháp luật từ Hà Lan, đã phát triển Bộ giải mã Ransomware (http://noransom.kaspersky.com) để giải mã các tệp sau CoinVault, nhưng phần mềm ransomware này vẫn chưa được tìm thấy ở các khu vực của chúng ta.

Nhân tiện, nếu đột nhiên bạn có điều gì đó cần thêm vào (vì tôi có thể không có thời gian để theo dõi những gì đang xảy ra với các phương pháp giải mã), hãy cho tôi biết trong phần nhận xét, thông tin này sẽ hữu ích cho những người dùng khác đang phải đối mặt với một vấn đề.