Thực đơn
trang chủInternet

File bị mã hóa sau virus trojan 10355 Cách khôi phục file bị mã hóa (Hướng dẫn)

Hướng dẫn

Gọi menu chính của hệ thống Microsoft Windows bằng cách nhấp vào nút “Bắt đầu” và đi tới “Tất cả các chương trình” để thực hiện thao tác giải mã các tệp đã được mã hóa trước đó.

Gọi menu ngữ cảnh của tệp, thư mục hoặc đĩa cần giải mã bằng cách nhấp chuột phải và chọn “Thuộc tính”.

Chuyển đến tab “Chung” của hộp thoại mở ra và chọn lệnh “Khác”.

Bỏ chọn hộp kiểm Mã hóa nội dung để bảo vệ dữ liệu và nhấp vào OK để áp dụng các thay đổi đã chọn. Hãy nhớ rằng khi bạn giải mã các thư mục được mã hóa các tập tin và các thư mục con vẫn được mã hóa trừ khi có quy định khác, đồng thời các tệp và thư mục con mới được tạo của thư mục được giải mã sẽ không bị mã hóa.

Tải xuống công cụ miễn phí te19decrypt.exe từ trang web chính thức của nhà phát triển ứng dụng chống vi-rút Dr.Web và chạy tệp thực thi tiện ích để thực hiện thao tác giải mã các tệp bị mã hóa bởi vi-rút Trojan.Encoding. (Vi-rút này là một chương trình ransomware mã hóa các tệp của người dùng và sau đó tự xóa. Điều này để lại một tệp văn bản crypted.txt trên ổ đĩa hệ thống chứa yêu cầu chuyển tiền với số lượng khác nhau để giải mã các tệp bị hỏng.)

Nhấp vào nút “Tiếp tục” trong cửa sổ chương trình chính và đồng ý với đề xuất chỉ định vị trí của tệp chính c:crypted.txt theo cách thủ công.

Nhập đường dẫn đầy đủ đến tệp mong muốn trong hộp thoại Mở và nhấp vào OK để xác nhận lệnh.

ghi chú

Đừng cố gắng tự xóa tệp văn bản có:\crypted.txt, vì khi đó việc giải mã các tệp bị vi-rút mã hóa sẽ trở nên bất khả thi!

Nguồn:

  • Giải mã một tập tin hoặc thư mục
  • Làm cách nào để giải mã các tập tin bị virus Trojan.Encode mã hóa?
  • tập tin đã được mã hóa
  • Giải mã tập tin EFS

Một số vi-rút mã hóa tệp người dùng, sau đó quyền truy cập vào chúng bằng các phương tiện thông thường có thể bị hạn chế. Việc khôi phục chế độ bình thường xảy ra thông qua sự can thiệp của phần mềm.

Hướng dẫn

Thực hiện quét thêm máy tính của bạn để tìm vi-rút. Sau đó, tải xuống một trong các chương trình chống Trojan từ Internet. Điều này là cần thiết nếu chương trình độc hại bị ẩn khỏi phần mềm chống vi-rút. Thực hiện kiểm tra và sau đó tìm mã hóa các tập tin.

Tạo một bản sao lưu của chúng để đề phòng và đảm bảo không có mối đe dọa nào trên máy tính của bạn. Viết tên đầy đủ của Trojan được tìm thấy trên máy tính của bạn. Điều này là cần thiết để sau này có được quyền truy cập vào thông tin về các phương pháp mã hóa tệp, vì các tiện ích đa năng khó có thể phù hợp ở đây. Vì lý do tương tự, đừng vội xóa phần mềm độc hại khỏi máy tính của bạn khi bạn quét nó lần đầu.

Tải bất kỳ tiện ích nào để giải mã file sau khi bị nhiễm virus. Những tiện ích như vậy thường có sẵn trên các trang web chính thức của các nhà phát triển hệ thống chống vi-rút. Ngoài ra, khi chọn một chương trình, hãy chú ý đến tên của Trojan đã thực hiện mã hóa, vì nhiều chương trình trong số đó sử dụng các phương pháp khác nhau.

Tốt nhất bạn nên tải xuống từ trang web của các nhà phát triển hệ thống bảo mật mà bạn biết, vì lại có nguy cơ gặp phải phần mềm độc hại. Thông thường, các tiện ích này có thời gian dùng thử trong thời gian đó chúng có thể được sử dụng để điều trị.

Làm theo hướng dẫn của hệ thống, chọn những cái bị mã hóa virus trong tiện ích đã tải xuống chạy trên máy tính của bạn các tập tin và làm theo hướng dẫn của hệ thống, thực hiện các hành động cần thiết. Sau đó, hãy kiểm tra lại vi-rút, đặc biệt đối với các tệp bạn đã giải mã.

Sau đó, hãy cài đặt phần mềm chống vi-rút cập nhật, đáng tin cậy trên máy tính của bạn để ngăn các tình huống tương tự xảy ra trong tương lai.

Video về chủ đề

Lời khuyên hữu ích

Sử dụng phần mềm diệt virus.

số VIN xe chứa hầu hết tất cả các thông tin quan trọng và có giá trị về xe: từ quốc gia nơi xe được lắp ráp cho đến màu sắc, năm sản xuất và trang bị. Để cung cấp tất cả thông tin này cho bạn, số VIN bạn chỉ cần học cách đọc.

Bạn sẽ cần

  • - Mã số VIN của xe

Hướng dẫn

Xác định các thành phần của bạn số VIN MỘT.
số VIN-mã số gồm 17 ký tự, được chia thành ba phần:
- chỉ số nhà sản xuất thế giới hoặc WMI;
- phần mô tả hoặc VDS;
- phần đặc biệt hoặc chỉ số VIS thế giới của nhà sản xuất - đây là ba ký tự đầu tiên số VIN a, phần mô tả gồm sáu ký tự sau, tám ký tự cuối là phần phân biệt. Chúng ta hãy xem xét kỹ hơn những thông tin nào có thể được thu thập bằng cách giải mã từng bộ phận cấu thành số VIN MỘT.

Giải mã chỉ số của nhà sản xuất thế giới sẽ cho bạn biết sản phẩm của bạn được sản xuất ở khu vực nào trên thế giới, ký tự thứ hai - ở quốc gia nào và ký tự thứ ba sẽ cho biết nhà sản xuất cụ thể. Các chữ cái trong bảng chữ cái Latin từ A đến H đều có trong phần này mã số và nếu chiếc xe được lắp ráp ở Châu Phi; từ J đến R - ở một trong các quốc gia Châu Á và từ S đến Z - ở Châu Âu. Cũng trong số ba nhân vật đầu tiên số VIN và bạn cũng có thể tìm thấy những con số. Nếu quê hương bạn là Bắc Mỹ, bạn sẽ tìm thấy các số từ 1 đến 5; nếu nó được sản xuất ở Châu Đại Dương thì chỉ mục của nhà sản xuất sẽ chứa các số 6 hoặc 7 và đối với các nhà sản xuất từ ​​Nam Mỹ, các con số sẽ là 8 hoặc 9.

Giải mã phần mô tả của chỉ mục. Sáu ký hiệu này được sử dụng để mô tả loại phương tiện: trên cơ sở nó được chế tạo, kiểu xe, loại thân xe, v.v. Các ký hiệu này là duy nhất cho mỗi nhà sản xuất, vì vậy để giải mã chi tiết hơn, bạn nên tìm kiếm thông tin liên quan đến cụ thể của mình. Phần mô tả cuối cùng số VIN và hầu hết các nhà sản xuất sau năm 1980 đều sử dụng nó để chỉ loại động cơ. Tuy nhiên, chúng tôi lưu ý rằng điều này chỉ hợp lệ đối với những mẫu được sản xuất mà nhà sản xuất cung cấp để lắp đặt loại và/hoặc khối lượng khác.

Giải mã phần đặc biệt. Điều này chứa thông tin áp dụng riêng cho chiếc xe của bạn. Nhà sản xuất có thể mã hóa tám ký tự cuối cùng số VIN và cấu hình chiếc xe của bạn, màu sắc, loại hộp số. Đôi khi, phần đặc biệt chỉ đơn giản là một chuỗi ký tự tương ứng với từng chiếc xe cụ thể trong cơ sở dữ liệu chung của nhà sản xuất và hoàn toàn không được giải mã. Tuy nhiên, đây là điều chúng tôi có thể tự tin nói: ký tự thứ mười của bất kỳ ký tự nào. số VIN-mã số và chiếc xe là mã cho năm sản xuất của nó. Các chữ cái trong bảng chữ cái Latinh từ A đến Y tương ứng với năm 1980 đến 2000. Nếu chiếc xe được sản xuất từ ​​năm 2001 đến năm 2009 thì số VIN trong số, ký tự thứ mười sẽ là một số từ 1 đến 9. Tất cả các năm tiếp theo, bắt đầu từ năm 2010, lại được ký hiệu theo các chữ cái Latinh, bắt đầu bằng A.

Lời khuyên hữu ích

Để giúp đỡ những người đam mê ô tô, có một số lượng lớn các tổ chức trên Internet cung cấp dịch vụ giải mã thông tin chung trong mã VIN miễn phí.
Ngoài ra, với một khoản phí, các tổ chức quốc tế lớn như Carfax và Autocheck có thể cung cấp thông tin đáng tin cậy về việc chiếc xe có liên quan đến tai nạn giao thông hay không, nơi nó được bảo dưỡng, quãng đường đã đi được và các dữ liệu khác. Nó hoàn toàn hợp pháp và được thiết kế để cho phép những người đam mê xe hơi trên toàn thế giới tìm hiểu lịch sử của một chiếc xe đã qua sử dụng trước khi mua.

Nguồn:

  • xe vin

Mã hóa thư mục là cách đáng tin cậy nhất để bảo vệ thông tin do hệ điều hành Windows cung cấp. Người dùng đã mã hóa tệp có thể làm việc với tệp đó theo cách tương tự như với các thư mục khác, nhưng để đảm bảo quyền truy cập vào dữ liệu được mã hóa, cần có bản sao lưu của chứng chỉ và khóa mã hóa.

Hướng dẫn

Gọi menu ngữ cảnh của thư mục hoặc tập tin cần mã hóa và đi tới “Thuộc tính”.

Chọn tab “Chung” của hộp thoại mở ra và chọn “Nâng cao”.

Chọn hộp kiểm Mã hóa nội dung để bảo vệ dữ liệu và nhấn OK để xác nhận thao tác mã hóa.

Bỏ chọn hộp kiểm Mã hóa nội dung để bảo vệ dữ liệu và nhấn OK để xác nhận thao tác giải mã cho tệp hoặc thư mục đã chọn.

Nhấp vào nút "Bắt đầu" để mở menu chính của hệ thống và nhập giá trị certmgr.msc để khởi chạy công cụ "Trình quản lý" nhằm tạo bản sao lưu chứng chỉ EFS của thư mục được mã hóa.

Nhấn Enter để xác nhận lệnh và mở rộng thư mục“Cá nhân” bằng cách nhấp vào mũi tên bên cạnh nó.

Chỉ định phần Chứng chỉ và chọn chứng chỉ liệt kê Hệ thống tệp EFS trong Đích.

Đảm bảo chứng chỉ đã chọn là chính xác bằng cách cuộn thông tin chi tiết sang bên phải và áp dụng thuật toán này cho tất cả các chứng chỉ EFS hiện có.

Chọn "Tất cả tác vụ" từ menu "Hành động" trên thanh công cụ trên cùng của cửa sổ ứng dụng và chọn lệnh "Xuất".

Xác nhận mật khẩu quản trị viên máy tính bằng cách nhập lại trường xác nhận và nhấp vào “Tiếp theo” để tạo tệp lưu trữ chứng chỉ.

Chỉ định tên của tệp đã chọn và đường dẫn đầy đủ của nó và nhấp vào nút “Hoàn tất”.

Video về chủ đề

ghi chú

Các thư mục và tập tin nén không thể được mã hóa.

Lời khuyên hữu ích

Chỉ các tập tin và thư mục nằm trên ổ đĩa NTFS mới có thể được mã hóa.

Nguồn:

  • Mã hóa và giải mã thư mục, tập tin năm 2019

Hệ điều hành Windows cho phép bạn đặt tùy chọn mã hóa trong thuộc tính. Sau đó, chỉ người dùng đó mới có thể đọc được tệp, người mà họ chỉ định là “tác nhân khôi phục” hoặc người dùng có “khóa chung”. Nếu có nhu cầu hủy trong tương lai mã hóa, bạn cũng có thể thực hiện việc này trong cài đặt tệp hoặc thư mục.

Khởi chạy “Explorer” - nhấn tổ hợp phím Win + E hoặc chọn “Máy tính” trong menu hệ điều hành chính. Sử dụng cây thư mục ở khung bên trái để điều hướng đến thư mục mong muốn.

Có một cách khác để truy cập tệp được mã hóa là sử dụng công cụ tìm kiếm của hệ điều hành. Trong Windows 7 và Vista, việc này rất dễ dàng: nhấn phím Win và bắt đầu nhập tên tệp. Khi liên kết đến đối tượng mong muốn xuất hiện trong danh sách kết quả, hãy nhấp chuột phải vào đối tượng đó và chọn “Vị trí tệp”.

Chọn tệp này và nhấp chuột phải vào tệp hoặc nhấn phím menu ngữ cảnh - nó được đặt trên bàn phím giữa nút Win và Ctrl bên phải. Trong cả hai trường hợp, một menu ngữ cảnh sẽ xuất hiện trên màn hình, trong đó bạn cần dòng cuối cùng - “Thuộc tính”. Chọn nó trong menu và một cửa sổ riêng sẽ mở ra với cài đặt thuộc tính tệp.

Tab General (được mở theo mặc định) được chia thành các phần. Ở phía dưới có một số hộp kiểm liên quan đến thuộc tính tệp và nút “Khác” - nhấp vào nó.

Trong cửa sổ Thuộc tính tệp bổ sung, bỏ chọn hộp “Mã hóa nội dung để bảo vệ dữ liệu”. Sau đó nhấp vào nút OK trong cả hai cửa sổ đang mở và thao tác sẽ hoàn tất.

Hủy nếu cần thiết mã hóa không phải cho một tập tin mà cho tất cả các tập tin Trong thư mục, bạn cần thực hiện gần như tương tự. Sau ba bước đầu tiên, không chọn tệp mà chọn thư mục mong muốn trong khung bên trái của Explorer. Menu ngữ cảnh với mục "Thuộc tính" cho một thư mục, cũng như cho một tệp, được gọi bằng cách nhấp chuột phải và trong cửa sổ thuộc tính đối tượng, bạn cần lặp lại hai bước trước đó.

Việc giải mã dữ liệu được mã hóa bằng phần mềm chuyên nghiệp yêu cầu cùng một gói phần mềm hoặc sức mạnh tính toán khổng lồ và thậm chí cả các chương trình nâng cao hơn. Tuy nhiên, thường xuyên hơn, các phương tiện mã hóa dễ tiếp cận hơn được sử dụng để giải mã dễ dàng hơn nhiều.

Hướng dẫn

Trong xây dựng web, phương pháp mã hóa dữ liệu dễ tiếp cận nhất thường được sử dụng nhất - sử dụng các chức năng tích hợp sẵn của ngôn ngữ lập trình. Trong số các ngôn ngữ phía máy chủ, ngôn ngữ phổ biến nhất hiện nay là PHP, sử dụng hàm base64_encode để mã hóa. Dữ liệu được mã hóa bằng nó có thể được giải mã bằng hàm nghịch đảo - base64_decode. Nếu bạn có khả năng thực thi các tập lệnh PHP trên máy tính hoặc máy chủ web của mình, hãy tạo mã đơn giản này:

Giữa dấu ngoặc kép của hàm base64_decode, đặt chuỗi dữ liệu bạn muốn giải mã. Sau đó lưu mã vào một tệp có phần mở rộng php và mở trang này thông qua trình duyệt - bạn sẽ thấy dữ liệu được giải mã trong một trang trống.

Nếu không thể thực thi các tập lệnh PHP, hãy sử dụng biểu mẫu web trên một trong các trang Internet - liên kết đến trang được yêu cầu được đưa ra bên dưới. Sao chép và dán dữ liệu được mã hóa vào trường phía trên nút Giải mã Base 64. Sau khi nhấp vào nút này, một trường bổ sung có dữ liệu được giải mã sẽ xuất hiện - chúng cũng có thể được sao chép và sử dụng theo ý của bạn.

Nếu không xác định được phương thức mã hóa, hãy thử giải mã dữ liệu bằng một trong các chương trình có thể thử nhiều thuật toán. Một trong những ứng dụng này có tên là “Stirlitz”, không cần cài đặt và khá phổ biến trên Internet nên việc tìm kiếm nó sẽ không khó. Chương trình cố gắng giải mã dữ liệu bằng năm thuật toán mã hóa.

Các phiên bản mới nhất của hệ điều hành Windows cho phép bạn mã hóa tất cả các tệp trên một đĩa nhất định hoặc trên tất cả các phương tiện máy tính. Nếu bạn cần giải mã dữ liệu chỉ từ một tệp như vậy, tốt nhất bạn nên giao phó việc này cho chính hệ điều hành - vô hiệu hóa mã hóa trong cài đặt của nó và Windows sẽ ghi lại tất cả các tệp có dữ liệu này trong các phiên bản không được mã hóa của chúng. Để thực hiện việc này, hãy nhấn nút Win, nhập và chọn “Mã hóa ổ đĩa BitLocker” từ danh sách kết quả tìm kiếm. Sau đó nhấp vào liên kết “Vô hiệu hóa BitLocker” bên cạnh ổ đĩa mong muốn. Khi hệ thống đã hoàn thành lệnh này, bạn có thể mở tệp có dữ liệu được mã hóa trước đó.

Nguồn:

  • Biểu mẫu web cho hàm base64_decode

Khi làm việc với các tài liệu, bạn có thể cần gửi chúng cho ai đó qua Internet (ví dụ: qua email). Tuy nhiên, trong một số trường hợp, tầm quan trọng của thông tin chứa trong đó không cho phép thực hiện việc này ở dạng mở. Tất nhiên, giải pháp là mã hóa, điều mà nhiều người liên tưởng đến một điều gì đó xa vời và phức tạp. Tuy nhiên, vấn đề này có thể được giải quyết dễ dàng bằng cách sử dụng chương trình lưu trữ tệp miễn phí, chẳng hạn như 7-Zip và sử dụng chương trình này để tạo kho lưu trữ được mã hóa.

Bạn sẽ cần

  • - Internet;
  • - Hệ điều hành Microsoft Windows;
  • - Chương trình lưu trữ 7-Zip.

Hướng dẫn

Tải xuống và cài đặt. Để mã hóa tài liệu bằng 7-Zip, trước tiên bạn phải cài đặt nó. Để thực hiện việc này, hãy truy cập trang web http://7-zip.org/ (phần “Tải xuống”), chọn phiên bản chương trình phù hợp với máy tính của bạn (32 hoặc 64 bit) và tải xuống. Sau khi tải xuống, hãy chạy trình cài đặt chương trình và làm theo hướng dẫn của nó - điều này sẽ không gây ra bất kỳ câu hỏi nào cho bạn.

Kiểm tra liên kết tập tin. Sau khi cài đặt, theo quy định, 7-Zip không thay đổi cài đặt hệ điều hành và không thêm phần của nó vào menu ngữ cảnh Explorer. Để thực hiện những thay đổi này, bạn cần mở menu Bắt đầu, Chương trình, 7-Zip và chọn Trình quản lý tệp 7-Zip. Trong menu chính, mở phần “Công cụ” và chọn “Cài đặt…”. Tiếp theo, chuyển đến tab “Hệ thống” và nhấp vào “Chọn tất cả”. Xác nhận các thay đổi bằng cách nhấp vào nút “OK” ở cuối cửa sổ chương trình.

Chọn tập tin tài liệu. Bạn có thể mã hóa bất kỳ tập tin nào, định dạng của nó không thành vấn đề. Để thực hiện việc này, hãy mở Explorer và tìm tệp bạn cần. Tiếp theo, nhấp chuột phải vào nó và chọn “7-Zip”, “Thêm vào kho lưu trữ…” trong menu xuất hiện.

Đặt cài đặt và khởi chạy. Trong cửa sổ mở ra, bạn có thể đặt tên kho lưu trữ, mật khẩu mở, đặt mã hóa tên tệp và các cài đặt khác. Xin lưu ý rằng theo mặc định, mã hóa tên bị tắt và không có mật khẩu nào được chỉ định cho kho lưu trữ. Sau khi chỉ định tất cả các cài đặt mong muốn, bạn có thể bắt đầu tạo kho lưu trữ được mã hóa bằng cách nhấp vào nút “OK” trong cửa sổ hiện tại.

Đợi cho đến khi kết thúc. Thao tác có thể mất một chút thời gian để hoàn thành, tùy thuộc vào kích thước tệp được mã hóa, tỷ lệ nén và các cài đặt khác được định cấu hình. Sau khi hoàn thành, một kho lưu trữ có tên được chỉ định trước đó sẽ xuất hiện bên cạnh các tệp được mã hóa.

Đã bao giờ bạn nhận được một tin nhắn qua Email, Skype hoặc ICQ từ một người gửi không xác định có liên kết đến ảnh của bạn bè bạn hoặc lời chúc mừng về kỳ nghỉ sắp tới chưa? Bạn dường như không mong đợi bất kỳ loại thiết lập nào và đột nhiên, khi bạn nhấp vào liên kết, phần mềm độc hại nghiêm trọng sẽ được tải xuống máy tính của bạn. Trước khi bạn biết điều đó, virus đã mã hóa tất cả các tệp của bạn. Phải làm gì trong tình huống như vậy? Có thể khôi phục tài liệu?

Để hiểu cách xử lý phần mềm độc hại, bạn cần biết nó là gì và nó xâm nhập vào hệ điều hành như thế nào. Ngoài ra, việc bạn sử dụng phiên bản Windows nào không quan trọng - vi rút Critroni nhằm mục đích lây nhiễm bất kỳ hệ điều hành nào.

Virus máy tính mã hóa: định nghĩa và thuật toán hành động

Một phần mềm diệt virus máy tính mới đã xuất hiện trên Internet, được nhiều người gọi là CTB (Curve Tor Bitcoin) hay Critroni. Đây là một ransomware Trojan được cải tiến, về nguyên tắc tương tự như phần mềm độc hại CriptoLocker đã biết trước đó. Nếu virus đã mã hóa toàn bộ file, bạn nên làm gì trong trường hợp này? Trước hết, bạn cần hiểu thuật toán hoạt động của nó. Bản chất của virus là mã hóa tất cả các tệp của bạn bằng các phần mở rộng .ctbl, .ctb2, .vault, .xtbl hoặc các phần mở rộng khác. Tuy nhiên, bạn sẽ không thể mở chúng cho đến khi bạn trả đủ số tiền được yêu cầu.

Virus Trojan-Ransom.Win32.Shade và Trojan-Ransom.Win32.Onion là phổ biến. Họ rất giống STV trong hành động địa phương của họ. Chúng có thể được phân biệt bằng phần mở rộng của các tệp được mã hóa. Trojan-Ransom mã hóa thông tin ở định dạng .xtbl. Khi bạn mở bất kỳ tệp nào, một thông báo xuất hiện trên màn hình cho biết tài liệu cá nhân, cơ sở dữ liệu, ảnh và các tệp khác của bạn đã bị phần mềm độc hại mã hóa. Để giải mã chúng, bạn cần phải trả tiền cho một khóa duy nhất, được lưu trữ trên một máy chủ bí mật và chỉ trong trường hợp này, bạn mới có thể thực hiện các hoạt động giải mã và mã hóa với tài liệu của mình. Nhưng đừng lo lắng, đừng lo lắng, hãy gửi tiền đến số lượng được chỉ định; có một cách khác để chống lại loại tội phạm mạng này. Nếu một loại virus như vậy xâm nhập vào máy tính của bạn và mã hóa tất cả các tệp .xtbl, bạn nên làm gì trong tình huống như vậy?

Không nên làm gì nếu virus mã hóa xâm nhập vào máy tính của bạn

Điều xảy ra là trong lúc hoảng loạn, chúng tôi cài đặt một chương trình chống vi-rút và với sự trợ giúp của nó, loại bỏ phần mềm vi-rút một cách tự động hoặc thủ công, làm mất các tài liệu quan trọng cùng với nó. Điều này thật khó chịu, ngoài ra, máy tính có thể chứa dữ liệu mà bạn đã làm việc trong nhiều tháng. Thật đáng tiếc khi đánh mất những tài liệu như vậy mà không có khả năng phục hồi được.

Nếu vi-rút đã mã hóa tất cả các tệp .xtbl, một số cố gắng thay đổi phần mở rộng của chúng, nhưng điều này cũng không dẫn đến kết quả khả quan. Cài đặt lại và định dạng ổ cứng sẽ loại bỏ vĩnh viễn chương trình độc hại, nhưng đồng thời bạn sẽ mất mọi khả năng khôi phục tài liệu. Trong tình huống này, các chương trình giải mã được tạo đặc biệt sẽ không giúp ích gì vì phần mềm ransomware được lập trình bằng thuật toán không chuẩn và yêu cầu một cách tiếp cận đặc biệt.

Tại sao ransomware lại nguy hiểm cho máy tính cá nhân?

Rõ ràng là không một chương trình độc hại nào có lợi cho máy tính cá nhân của bạn. Tại sao phần mềm như vậy được tạo ra? Điều kỳ lạ là những chương trình như vậy được tạo ra không chỉ nhằm mục đích lừa gạt người dùng càng nhiều tiền càng tốt. Trên thực tế, tiếp thị lan truyền mang lại khá nhiều lợi nhuận cho nhiều nhà phát minh phần mềm chống vi-rút. Rốt cuộc, nếu vi-rút mã hóa tất cả các tệp trên máy tính của bạn, bạn sẽ chuyển sang đâu trước tiên? Đương nhiên, hãy tìm kiếm sự giúp đỡ của các chuyên gia. Mã hóa cho máy tính xách tay hoặc máy tính cá nhân của bạn là gì?

Thuật toán hoạt động của họ không chuẩn nên sẽ không thể chữa khỏi các tệp bị nhiễm bằng phần mềm chống vi-rút thông thường. Loại bỏ các đối tượng độc hại sẽ dẫn đến mất dữ liệu. Chỉ chuyển sang cách ly mới có thể bảo mật các tệp khác mà vi-rút độc hại chưa mã hóa được.

Ngày hết hạn của phần mềm độc hại mã hóa

Nếu máy tính của bạn bị nhiễm Critroni (phần mềm độc hại) và virus đã mã hóa tất cả các tập tin của bạn thì bạn phải làm gì? Bạn không thể tự giải mã các định dạng .vault-, .xtbl-, .rar bằng cách thay đổi tiện ích mở rộng thành .doc, .mp3, .txt và các định dạng khác theo cách thủ công. Nếu bạn không thanh toán số tiền cần thiết cho tội phạm mạng trong vòng 96 giờ, họ sẽ gửi cho bạn thư đe dọa qua email thông báo rằng tất cả các tệp của bạn sẽ bị xóa vĩnh viễn. Trong hầu hết các trường hợp, mọi người bị ảnh hưởng bởi những mối đe dọa như vậy và họ miễn cưỡng nhưng ngoan ngoãn thực hiện các hành động nói trên vì sợ mất thông tin quý giá. Thật đáng tiếc khi người dùng không hiểu được một thực tế là tội phạm mạng không phải lúc nào cũng đúng với lời nói của mình. Sau khi nhận được tiền, họ thường không còn lo lắng về việc giải mã các tập tin bị khóa của bạn nữa.

Khi hết giờ, nó sẽ tự động đóng lại. Nhưng bạn vẫn có cơ hội phục hồi các tài liệu quan trọng. Một thông báo sẽ xuất hiện trên màn hình cho biết thời gian đã hết và bạn có thể xem thông tin chi tiết hơn về các tệp trong thư mục tài liệu trong tệp notepad được tạo đặc biệt DecryptAllFiles.txt.

Những cách mã hóa phần mềm độc hại xâm nhập vào hệ điều hành

Thông thường, vi rút ransomware xâm nhập vào máy tính thông qua các email bị nhiễm hoặc thông qua các bản tải xuống giả mạo. Đây có thể là các bản cập nhật flash giả mạo hoặc trình phát video lừa đảo. Ngay sau khi chương trình được tải xuống máy tính của bạn bằng bất kỳ phương pháp nào trong số này, nó sẽ ngay lập tức mã hóa dữ liệu mà không có khả năng phục hồi. Nếu vi-rút đã mã hóa tất cả các tệp .cbf, .ctbl, .ctb2 sang các định dạng khác và bạn không có bản sao lưu của tài liệu được lưu trữ trên phương tiện lưu động, hãy coi như bạn sẽ không thể khôi phục chúng được nữa. Hiện tại, các phòng thí nghiệm chống vi-rút không biết cách bẻ khóa các vi-rút mã hóa như vậy. Nếu không có khóa cần thiết, bạn chỉ có thể chặn các tệp bị nhiễm, di chuyển chúng để cách ly hoặc xóa chúng.

Cách tránh bị nhiễm virus trên máy tính của bạn

Đáng ngại là tất cả các tệp .xtbl. Phải làm gì? Bạn đã đọc rất nhiều thông tin không cần thiết được viết trên hầu hết các trang web và bạn không thể tìm thấy câu trả lời. Điều đó xảy ra là vào thời điểm không thích hợp nhất, khi bạn cần gấp nộp báo cáo tại nơi làm việc, luận văn ở trường đại học hoặc bảo vệ bằng giáo sư của mình, máy tính bắt đầu sống cuộc sống của chính nó: nó bị hỏng, bị nhiễm vi-rút , và đóng băng. Bạn phải chuẩn bị cho những tình huống như vậy và lưu giữ thông tin trên máy chủ và phương tiện di động. Điều này sẽ cho phép bạn cài đặt lại hệ điều hành bất cứ lúc nào và sau 20 phút làm việc trên máy tính như không có chuyện gì xảy ra. Nhưng thật không may, không phải lúc nào chúng ta cũng mạnh dạn như vậy.

Để tránh lây nhiễm vi-rút vào máy tính, trước tiên bạn cần cài đặt một chương trình chống vi-rút tốt. Bạn phải có Tường lửa Windows được cấu hình đúng cách để bảo vệ khỏi các đối tượng độc hại khác nhau xâm nhập vào Mạng. Và điều quan trọng nhất: không tải xuống phần mềm từ các trang web chưa được xác minh hoặc trình theo dõi torrent. Để tránh lây nhiễm vi-rút vào máy tính của bạn, hãy cẩn thận với những liên kết bạn nhấp vào. Nếu bạn nhận được email từ một người nhận không xác định với yêu cầu hoặc đề nghị xem những gì ẩn đằng sau liên kết, tốt nhất bạn nên chuyển thư vào thư rác hoặc xóa nó hoàn toàn.

Để ngăn vi-rút mã hóa tất cả các tệp .xtbl một ngày nào đó, các phòng thí nghiệm phần mềm chống vi-rút đề xuất một cách miễn phí để bảo vệ khỏi bị lây nhiễm bởi vi-rút mã hóa: mỗi tuần một lần, hãy kiểm tra trạng thái của chúng.

Virus đã mã hóa toàn bộ file trên máy tính: phương pháp xử lý

Nếu bạn trở thành nạn nhân của tội phạm mạng và dữ liệu trên máy tính của bạn đã bị nhiễm một trong các loại phần mềm độc hại mã hóa thì đã đến lúc bạn nên cố gắng khôi phục các tệp của mình.

Có một số cách để xử lý miễn phí các tài liệu bị nhiễm virus:

  1. Phương pháp phổ biến nhất và có lẽ hiệu quả nhất hiện nay là sao lưu tài liệu và sau đó khôi phục chúng trong trường hợp bị lây nhiễm bất ngờ.
  2. Thuật toán phần mềm của virus CTB hoạt động khá thú vị. Khi ở trên máy tính, nó sẽ sao chép các tập tin, mã hóa chúng và xóa các tài liệu gốc, do đó loại bỏ khả năng phục hồi chúng. Nhưng với sự trợ giúp của phần mềm Photorec hoặc R-Studio, bạn có thể quản lý để lưu một số tệp gốc chưa được chỉnh sửa. Bạn nên biết rằng bạn sử dụng máy tính của mình càng lâu sau khi nó bị nhiễm virus thì khả năng khôi phục tất cả các tài liệu cần thiết của bạn càng ít.
  3. Nếu vi-rút đã mã hóa tất cả các tệp .vault, có một cách tốt khác để giải mã chúng - sử dụng ổ đĩa bản sao ẩn. Tất nhiên, vi-rút sẽ cố gắng xóa tất cả chúng vĩnh viễn và không thể thu hồi được, nhưng cũng có trường hợp một số tệp vẫn còn nguyên. Trong trường hợp này, bạn sẽ có một cơ hội nhỏ để khôi phục chúng.
  4. Có thể lưu trữ dữ liệu trên các dịch vụ lưu trữ tệp như DropBox. Nó có thể được cài đặt trên máy tính của bạn dưới dạng ánh xạ đĩa cục bộ. Đương nhiên, virus mã hóa cũng sẽ lây nhiễm sang anh ta. Nhưng trong trường hợp này, việc khôi phục tài liệu và các tập tin quan trọng sẽ thực tế hơn nhiều.

Phần mềm phòng chống lây nhiễm virus máy tính cá nhân

Nếu bạn sợ phần mềm độc hại xâm nhập vào máy tính của mình và không muốn vi-rút quỷ quyệt mã hóa tất cả các tệp của mình, bạn nên sử dụng Trình chỉnh sửa chính sách cục bộ hoặc Trình chỉnh sửa nhóm Windows. Nhờ phần mềm tích hợp này, bạn có thể thiết lập chính sách hạn chế chương trình - và khi đó bạn sẽ không lo lắng về việc máy tính của mình bị nhiễm virus.

Cách khôi phục tập tin bị nhiễm

Nếu virus CTB đã mã hóa toàn bộ file, trong trường hợp này bạn phải làm gì để khôi phục lại những tài liệu cần thiết? Thật không may, ở thời điểm hiện tại, không một phòng thí nghiệm chống vi-rút nào có thể cung cấp giải mã các tệp của bạn, nhưng có thể vô hiệu hóa sự lây nhiễm và loại bỏ hoàn toàn nó khỏi máy tính cá nhân. Tất cả các phương pháp phục hồi thông tin hiệu quả được liệt kê ở trên. Nếu các tệp của bạn quá có giá trị đối với bạn và bạn không thèm sao lưu chúng vào ổ đĩa di động hoặc ổ Internet, thì bạn sẽ phải trả số tiền mà tội phạm mạng yêu cầu. Nhưng không có khả năng khóa giải mã sẽ được gửi cho bạn ngay cả sau khi thanh toán.

Cách tìm tập tin bị nhiễm

Để xem danh sách các file bị nhiễm, bạn có thể vào đường dẫn này: “My Documents”\.html hoặc “C:”\”Users”\”All Users”\.html. Trang html này không chỉ chứa dữ liệu về các hướng dẫn ngẫu nhiên mà còn về các đối tượng bị nhiễm.

Cách chặn virus mã hóa

Khi máy tính đã bị nhiễm phần mềm độc hại, hành động cần thiết đầu tiên của người dùng là bật mạng. Điều này được thực hiện bằng cách nhấn phím bàn phím F10.

Nếu vi-rút Critroni vô tình xâm nhập vào máy tính của bạn và mã hóa tất cả các tệp ở định dạng .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf hoặc bất kỳ định dạng nào khác thì việc khôi phục chúng đã rất khó khăn. Nhưng nếu virus chưa thực hiện nhiều thay đổi thì rất có thể nó sẽ bị chặn bằng chính sách hạn chế phần mềm.

“Xin lỗi đã làm phiền bạn, nhưng... tập tin của bạn đã được mã hóa. Để có được khóa giải mã, hãy khẩn trương chuyển một số tiền nhất định vào ví của bạn... Nếu không, dữ liệu của bạn sẽ bị tiêu hủy vĩnh viễn. Bạn có 3 giờ, thời gian đã trôi qua.” Và đó không phải là một trò đùa. Một virus mã hóa còn hơn cả một mối đe dọa thực sự.

Hôm nay, chúng ta sẽ nói về loại phần mềm độc hại ransomware đã lan truyền trong những năm gần đây, phải làm gì nếu bị nhiễm, cách chữa máy tính của bạn và liệu điều đó có khả thi hay không cũng như cách bảo vệ bạn khỏi chúng.


Chúng tôi mã hóa mọi thứ!

Virus ransomware (encryptor, cryptor) là một loại ransomware độc ​​hại đặc biệt có hoạt động bao gồm mã hóa các tệp của người dùng và sau đó yêu cầu tiền chuộc cho công cụ giải mã. Số tiền chuộc bắt đầu từ khoảng 200 đô la và lên tới hàng chục, hàng trăm nghìn mảnh giấy màu xanh lá cây.

Vài năm trước, chỉ có các máy tính chạy Windows mới bị loại phần mềm độc hại này tấn công. Ngày nay, phạm vi của họ đã mở rộng sang Linux, Mac và Android dường như được bảo vệ tốt. Ngoài ra, sự đa dạng của các loại máy mã hóa không ngừng phát triển - các sản phẩm mới lần lượt xuất hiện, có điều gì đó khiến cả thế giới phải ngạc nhiên. Do đó, nó phát sinh do sự “vượt qua” của một Trojan mã hóa cổ điển và sâu mạng (một chương trình độc hại lây lan trên các mạng mà không có sự tham gia tích cực của người dùng).

Sau WannaCry, Petya và Bad Rabbit không kém phần tinh vi xuất hiện. Và vì “kinh doanh mã hóa” mang lại thu nhập tốt cho chủ sở hữu của nó, bạn có thể chắc chắn rằng họ không phải là người cuối cùng.

Ngày càng có nhiều bộ mã hóa, đặc biệt là những bộ mã hóa được phát hành trong 3-5 năm qua, sử dụng các thuật toán mã hóa mạnh mà không thể bị bẻ khóa bằng vũ lực hoặc các phương tiện hiện có khác. Cách duy nhất để khôi phục dữ liệu là sử dụng khóa gốc mà kẻ tấn công đề nghị mua. Tuy nhiên, ngay cả việc chuyển số tiền cần thiết cho họ cũng không đảm bảo nhận được chìa khóa. Tội phạm không vội tiết lộ bí mật của mình và đánh mất lợi nhuận tiềm năng. Và việc họ giữ lời hứa để làm gì nếu họ đã có tiền?

Con đường phát tán của virus mã hóa

Cách chính mà phần mềm độc hại xâm nhập vào máy tính của người dùng và tổ chức cá nhân là email, hay chính xác hơn là các tệp và liên kết đính kèm trong email.

Một ví dụ về một lá thư như vậy dành cho “khách hàng doanh nghiệp”:

  • “Trả nợ vay ngay lập tức.”
  • “Đơn kiện đã được nộp lên tòa án.”
  • “Trả tiền phạt/phí/thuế.”
  • “Phí bổ sung cho hóa đơn tiện ích.”
  • “Ồ, có phải bạn trong ảnh không?”
  • “Lena yêu cầu tôi khẩn trương đưa cái này cho bạn,” v.v.

Đồng ý, chỉ có người dùng hiểu biết mới xử lý một bức thư như vậy một cách thận trọng. Hầu hết mọi người, không chút do dự, sẽ mở tệp đính kèm và tự khởi chạy chương trình độc hại. Nhân tiện, bất chấp tiếng kêu của phần mềm chống vi-rút.

Những thứ sau đây cũng được sử dụng tích cực để phân phối ransomware:

  • Mạng xã hội (gửi thư từ tài khoản của bạn bè và người lạ).
  • Tài nguyên web độc hại và bị nhiễm virus.
  • Quảng cáo biểu ngữ.
  • Gửi thư qua tin nhắn từ các tài khoản bị hack.
  • Các trang web Vareznik và nhà phân phối keygen và crack.
  • Các trang web dành cho người lớn.
  • Cửa hàng ứng dụng và nội dung.

Virus mã hóa thường được mang theo bởi các chương trình độc hại khác, đặc biệt là các chương trình trình diễn quảng cáo và Trojan cửa sau. Loại thứ hai, sử dụng các lỗ hổng trong hệ thống và phần mềm, giúp tội phạm có quyền truy cập từ xa vào thiết bị bị nhiễm. Việc khởi chạy bộ mã hóa trong những trường hợp như vậy không phải lúc nào cũng trùng khớp với các hành động tiềm ẩn nguy hiểm của người dùng. Miễn là cửa sau vẫn còn trong hệ thống, kẻ tấn công có thể xâm nhập vào thiết bị bất cứ lúc nào và bắt đầu mã hóa.

Để lây nhiễm vào máy tính của các tổ chức (rốt cuộc, họ có thể khai thác nhiều thứ từ chúng hơn là từ người dùng gia đình), đặc biệt là các phương pháp phức tạp đang được phát triển. Ví dụ: Trojan Petya xâm nhập các thiết bị thông qua mô-đun cập nhật của chương trình kế toán thuế MEDoc.

Các bộ mã hóa có chức năng của sâu mạng, như đã đề cập, lây lan trên các mạng, bao gồm cả Internet, thông qua các lỗ hổng giao thức. Và bạn có thể bị nhiễm chúng mà không cần làm gì cả. Người dùng hệ điều hành Windows hiếm khi được cập nhật sẽ gặp rủi ro lớn nhất vì các bản cập nhật sẽ đóng các lỗ hổng đã biết.

Một số phần mềm độc hại, chẳng hạn như WannaCry, khai thác các lỗ hổng 0-day, tức là những lỗ hổng mà các nhà phát triển hệ thống chưa biết đến. Thật không may, không thể chống lại sự lây nhiễm hoàn toàn theo cách này, nhưng khả năng bạn nằm trong số nạn nhân thậm chí không đạt tới 1%. Tại sao? Có, vì phần mềm độc hại không thể lây nhiễm tất cả các máy dễ bị tấn công cùng một lúc. Và trong khi lên kế hoạch cho những nạn nhân mới, các nhà phát triển hệ thống đã cố gắng phát hành một bản cập nhật cứu mạng.

Cách ransomware hoạt động trên máy tính bị nhiễm

Theo quy luật, quá trình mã hóa bắt đầu mà không được chú ý và khi các dấu hiệu của nó trở nên rõ ràng thì đã quá muộn để lưu dữ liệu: vào thời điểm đó, phần mềm độc hại đã mã hóa mọi thứ mà nó có thể tiếp cận. Đôi khi người dùng có thể nhận thấy rằng phần mở rộng của tệp trong thư mục đang mở đã thay đổi.

Sự xuất hiện không hợp lý của một tiện ích mở rộng mới và đôi khi là tiện ích mở rộng thứ hai trên các tệp, sau đó chúng ngừng mở, hoàn toàn cho thấy hậu quả của một cuộc tấn công mã hóa. Nhân tiện, thông thường có thể xác định phần mềm độc hại bằng tiện ích mở rộng mà các đối tượng bị hỏng nhận được.

Một ví dụ về phần mở rộng của tệp được mã hóa có thể là:. xtbl, .kraken, .cesar, .da_vinci_code, .codecsu@gmail_com, .crypted000007, .no_more_ransom, .decoding GlobeImposter v2, .ukrain, .rn, v.v.

Có rất nhiều lựa chọn và những lựa chọn mới sẽ xuất hiện vào ngày mai, vì vậy không có ích gì khi liệt kê mọi thứ. Để xác định loại lây nhiễm, việc cung cấp một số tiện ích mở rộng cho công cụ tìm kiếm là đủ.

Các triệu chứng khác gián tiếp chỉ ra sự bắt đầu mã hóa:

  • Cửa sổ dòng lệnh xuất hiện trên màn hình trong tích tắc. Thông thường, đây là hiện tượng bình thường khi cài đặt các bản cập nhật hệ thống và chương trình, nhưng tốt hơn hết là bạn không nên bỏ qua.
  • UAC yêu cầu khởi chạy một số chương trình mà bạn không có ý định mở.
  • Khởi động lại máy tính đột ngột, sau đó mô phỏng hoạt động của tiện ích kiểm tra đĩa hệ thống (có thể có các biến thể khác). Trong quá trình “xác minh”, quá trình mã hóa sẽ diễn ra.

Sau khi hoạt động độc hại hoàn tất thành công, một thông báo xuất hiện trên màn hình với yêu cầu tiền chuộc và nhiều mối đe dọa khác nhau.

Ransomware mã hóa một phần đáng kể các tệp người dùng: ảnh, nhạc, video, tài liệu văn bản, kho lưu trữ, thư, cơ sở dữ liệu, tệp có phần mở rộng chương trình, v.v. Tuy nhiên, chúng không chạm vào các đối tượng của hệ điều hành, vì kẻ tấn công không cần máy tính bị nhiễm mã độc. dừng làm việc. Một số virus thay thế bản ghi khởi động của đĩa và phân vùng.

Sau khi mã hóa, tất cả các bản sao ẩn và điểm khôi phục thường bị xóa khỏi hệ thống.

Cách chữa máy tính khỏi ransomware

Việc loại bỏ các chương trình độc hại khỏi hệ thống bị nhiễm rất đơn giản - hầu như tất cả các phần mềm chống vi-rút đều có thể xử lý hầu hết chúng mà không gặp khó khăn. Nhưng! Thật ngây thơ khi tin rằng việc loại bỏ thủ phạm sẽ giải quyết được vấn đề: dù bạn có loại bỏ vi-rút hay không, các tập tin vẫn sẽ được mã hóa. Ngoài ra, trong một số trường hợp, điều này sẽ làm phức tạp thêm quá trình giải mã tiếp theo của chúng, nếu có thể.

Quy trình đúng khi bắt đầu mã hóa

  • Một khi bạn nhận thấy dấu hiệu mã hóa, Tắt nguồn máy tính ngay lập tức bằng cách nhấn và giữ nútNguồn trong 3-4 giây. Điều này sẽ lưu ít nhất một số tập tin.
  • Tạo đĩa khởi động hoặc ổ đĩa flash có chương trình chống vi-rút trên máy tính khác. Ví dụ, , , vân vân.
  • Khởi động máy bị nhiễm từ đĩa này và quét hệ thống. Loại bỏ mọi vi-rút được tìm thấy và giữ chúng cách ly (trong trường hợp chúng cần thiết để giải mã). Chỉ sau đó bạn có thể khởi động máy tính từ ổ cứng.
  • Cố gắng khôi phục các tệp được mã hóa từ các bản sao ẩn bằng các công cụ hệ thống hoặc sử dụng tệp .

Phải làm gì nếu các tập tin đã được mã hóa

  • Đừng mất hy vọng. Trang web của các nhà phát triển sản phẩm chống vi-rút chứa các tiện ích giải mã miễn phí cho các loại phần mềm độc hại khác nhau. Đặc biệt, các tiện ích từ và .
  • Sau khi xác định loại bộ mã hóa, hãy tải xuống tiện ích thích hợp, chắc chắn làm được bản sao tập tin bị hỏng và cố gắng giải mã chúng. Nếu thành công, hãy giải mã phần còn lại.

Nếu các tập tin không được giải mã

Nếu không có tiện ích nào giúp ích được thì rất có thể bạn đã bị nhiễm một loại vi-rút chưa có thuốc chữa.

Bạn có thể làm gì trong trường hợp này:

  • Nếu bạn sử dụng sản phẩm chống vi-rút trả phí, hãy liên hệ với nhóm hỗ trợ của sản phẩm đó. Gửi một số bản sao của tệp bị hỏng đến phòng thí nghiệm và chờ phản hồi. Nếu có thể về mặt kỹ thuật, họ sẽ giúp bạn.
  • Nếu các tập tin bị hư hỏng một cách vô vọng nhưng chúng có giá trị lớn đối với bạn, bạn chỉ có thể hy vọng và chờ đợi rằng một ngày nào đó sẽ tìm ra phương pháp giải cứu. Điều tốt nhất bạn có thể làm là để nguyên hệ thống và các tập tin, tức là tắt hoàn toàn và không sử dụng ổ cứng. Xóa các tập tin phần mềm độc hại, cài đặt lại hệ điều hành và thậm chí cập nhật nó có thể khiến bạn mất đi và cơ hội này, vì khi tạo khóa mã hóa/giải mã, các mã định danh hệ thống duy nhất và các bản sao của vi-rút thường được sử dụng.

Trả tiền chuộc không phải là một lựa chọn vì khả năng bạn nhận được chìa khóa là gần bằng không. Và không có ích gì khi tài trợ cho một hoạt động kinh doanh tội phạm.

Cách bảo vệ bạn khỏi loại phần mềm độc hại này

Tôi không muốn lặp lại lời khuyên mà mỗi độc giả đã nghe hàng trăm lần. Có, cài đặt một phần mềm chống vi-rút tốt, không nhấp vào các liên kết đáng ngờ và blablabla là điều quan trọng. Tuy nhiên, như cuộc sống đã chỉ ra, ngày nay một viên thuốc thần kỳ mang lại cho bạn sự đảm bảo an toàn 100% không tồn tại.

Phương pháp bảo vệ hiệu quả duy nhất chống lại loại ransomware này là sao lưu dữ liệuđến các phương tiện vật lý khác, bao gồm cả dịch vụ đám mây. Sao lưu, sao lưu, sao lưu...

Ngoài ra trên trang web:

Không có cơ hội cứu rỗi: virus mã hóa là gì và cách xử lý nó cập nhật: ngày 1 tháng 9 năm 2018 bởi: Johnny ghi nhớ

Khôi phục tập tin bị mã hóa- đây là vấn đề mà một số lượng lớn người dùng máy tính cá nhân đã trở thành nạn nhân của nhiều loại virus mã hóa khác nhau phải đối mặt. Số lượng phần mềm độc hại thuộc nhóm này rất lớn và đang tăng lên mỗi ngày. Chỉ gần đây chúng tôi mới bắt gặp hàng chục biến thể ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, v.v.

Tất nhiên, bạn có thể khôi phục các tệp bị mã hóa chỉ bằng cách làm theo hướng dẫn mà kẻ tạo vi-rút để lại trên máy tính bị nhiễm. Nhưng thông thường, chi phí giải mã là rất đáng kể và bạn cũng cần biết rằng một số vi-rút ransomware mã hóa tệp theo cách mà sau này đơn giản là không thể giải mã chúng. Và tất nhiên, việc trả tiền để khôi phục các tập tin của riêng bạn thật khó chịu.

Các cách khôi phục file bị mã hóa miễn phí

Có một số cách để khôi phục các tệp được mã hóa bằng các chương trình hoàn toàn miễn phí và đã được chứng minh như ShadowExplorer và PhotoRec. Trước và trong quá trình khôi phục, hãy cố gắng sử dụng máy tính bị nhiễm virus ít nhất có thể, bằng cách này, bạn sẽ tăng cơ hội khôi phục tệp thành công.

Các hướng dẫn được mô tả bên dưới phải được thực hiện từng bước một, nếu có điều gì không hiệu quả với bạn, hãy DỪNG LẠI, yêu cầu trợ giúp bằng cách viết nhận xét về bài viết này hoặc tạo chủ đề mới về bài viết của chúng tôi.

1. Loại bỏ virus ransomware

Kaspersky Virus Removal Tool và Malwarebytes Anti-malware có thể phát hiện các loại vi-rút ransomware đang hoạt động khác nhau và sẽ dễ dàng loại bỏ chúng khỏi máy tính của bạn, NHƯNG chúng không thể khôi phục các tệp được mã hóa.

1.1. Loại bỏ ransomware bằng Kaspersky Virus Removal Tool

Nhấn nút Quétđể quét máy tính của bạn để tìm sự hiện diện của vi-rút ransomware.

Đợi quá trình này hoàn tất và xóa mọi phần mềm độc hại được tìm thấy.

1.2. Loại bỏ ransomware bằng Malwarebytes Anti-malware

Tải xuống chương trình. Sau khi tải xuống hoàn tất, hãy chạy tệp đã tải xuống.

Quy trình cập nhật chương trình sẽ tự động bắt đầu. Khi nó kết thúc nhấn nút Chạy quét. Malwarebytes Anti-malware sẽ bắt đầu quét máy tính của bạn.

Ngay sau khi quét máy tính, Malwarebytes Anti-malware sẽ mở ra danh sách các thành phần được tìm thấy của virus ransomware.

Nhấn nút Xóa đã chọnđể làm sạch máy tính của bạn. Trong khi phần mềm độc hại đang bị xóa, Malwarebytes Anti-malware có thể yêu cầu bạn khởi động lại máy tính để tiếp tục quá trình. Xác nhận điều này bằng cách chọn Có.

Sau khi máy tính khởi động lại, Malwarebytes Anti-malware sẽ tự động tiếp tục quá trình dọn dẹp.

2. Khôi phục file bị mã hóa bằng ShadowExplorer

ShadowExplorer là một tiện ích nhỏ cho phép bạn khôi phục bản sao ẩn của các tệp được hệ điều hành Windows tự động tạo (7-10). Điều này sẽ cho phép bạn khôi phục các tệp được mã hóa của mình về trạng thái ban đầu.

Tải xuống chương trình. Chương trình nằm trong kho lưu trữ zip. Do đó, hãy nhấp chuột phải vào file đã tải xuống và chọn Extract all. Sau đó mở thư mục ShadowExplorerPortable.

Khởi chạy ShadowExplorer. Chọn đĩa bạn cần và ngày tạo bản sao ẩn, lần lượt là số 1 và 2 trong hình bên dưới.

Nhấp chuột phải vào thư mục hoặc tập tin bạn muốn khôi phục bản sao. Từ menu xuất hiện, chọn Xuất.

Và cuối cùng, chọn thư mục nơi tệp được khôi phục sẽ được sao chép.

3. Khôi phục file bị mã hóa bằng PhotoRec

PhotoRec là một chương trình miễn phí được thiết kế để khôi phục các tập tin bị xóa và bị mất. Sử dụng nó, bạn có thể khôi phục các tập tin gốc mà virus ransomware đã xóa sau khi tạo các bản sao được mã hóa của chúng.

Tải xuống chương trình. Chương trình này nằm trong kho lưu trữ. Do đó, hãy nhấp chuột phải vào file đã tải xuống và chọn Extract all. Sau đó mở thư mục testdisk.

Tìm QPhotoRec_Win trong danh sách tệp và chạy nó. Một cửa sổ chương trình sẽ mở ra hiển thị tất cả các phân vùng của các đĩa có sẵn.

Trong danh sách các phân vùng, hãy chọn phân vùng chứa các tệp được mã hóa. Sau đó bấm vào nút Định dạng tệp.

Theo mặc định, chương trình được cấu hình để khôi phục tất cả các loại tệp, nhưng để tăng tốc công việc, bạn chỉ nên để lại những loại tệp mà bạn cần khôi phục. Khi bạn đã hoàn thành lựa chọn của mình, hãy nhấp vào OK.

Ở cuối cửa sổ chương trình QPhotoRec, tìm nút Duyệt và nhấp vào nút đó. Bạn cần chọn thư mục lưu các tập tin đã khôi phục. Nên sử dụng đĩa không chứa các tệp được mã hóa cần khôi phục (bạn có thể sử dụng ổ đĩa flash hoặc ổ đĩa ngoài).

Để bắt đầu quy trình tìm kiếm và khôi phục bản gốc của các tệp được mã hóa, hãy nhấp vào nút Tìm kiếm. Quá trình này mất khá nhiều thời gian nên hãy kiên nhẫn.

Khi tìm kiếm hoàn tất, nhấp vào nút Thoát. Bây giờ hãy mở thư mục bạn đã chọn để lưu các tập tin đã khôi phục.

Thư mục sẽ chứa các thư mục có tên recup_dir.1, recup_dir.2, recup_dir.3, v.v. Chương trình càng tìm thấy nhiều tập tin thì càng có nhiều thư mục. Để tìm các tập tin bạn cần, hãy kiểm tra từng thư mục một. Để giúp tìm thấy tệp bạn cần dễ dàng hơn trong số lượng lớn tệp đã được khôi phục, hãy sử dụng hệ thống tìm kiếm tích hợp sẵn của Windows (theo nội dung tệp) và cũng đừng quên chức năng sắp xếp tệp trong thư mục. Bạn có thể chọn ngày tệp được sửa đổi làm tùy chọn sắp xếp vì QPhotoRec cố gắng khôi phục thuộc tính này khi khôi phục tệp.

Công nghệ hiện đại cho phép tin tặc không ngừng cải tiến các phương pháp lừa đảo đối với người dùng thông thường. Theo quy định, phần mềm vi-rút xâm nhập vào máy tính sẽ được sử dụng cho các mục đích này. Virus mã hóa được coi là đặc biệt nguy hiểm. Mối đe dọa là vi-rút lây lan rất nhanh, mã hóa các tập tin (đơn giản là người dùng sẽ không thể mở một tài liệu nào). Và nếu nó khá đơn giản thì việc giải mã dữ liệu sẽ khó khăn hơn nhiều.

Phải làm gì nếu virus có các tập tin được mã hóa trên máy tính của bạn

Bất kỳ ai cũng có thể bị tấn công bởi ransomware; ngay cả những người dùng có phần mềm chống vi-rút mạnh mẽ cũng không thể tránh khỏi. Trojan mã hóa tệp có nhiều loại mã có thể vượt quá khả năng của phần mềm chống vi-rút. Tin tặc thậm chí còn tìm cách tấn công các công ty lớn theo cách tương tự mà không quan tâm đến việc bảo vệ thông tin cần thiết của họ. Vì vậy, sau khi chọn được một chương trình ransomware trực tuyến, bạn cần thực hiện một số biện pháp.

Dấu hiệu lây nhiễm chính là máy tính hoạt động chậm và thay đổi tên tài liệu (có thể nhìn thấy trên màn hình nền).

  1. Khởi động lại máy tính của bạn để ngừng mã hóa. Khi bật, không xác nhận việc khởi chạy các chương trình không xác định.
  2. Chạy phần mềm chống vi-rút của bạn nếu nó chưa bị tấn công bởi ransomware.
  3. Trong một số trường hợp, bản sao bóng sẽ giúp khôi phục thông tin. Để tìm thấy chúng, hãy mở “Thuộc tính” của tài liệu được mã hóa. Phương pháp này hoạt động với dữ liệu được mã hóa từ tiện ích mở rộng Vault, có thông tin trên cổng thông tin.
  4. Tải phiên bản mới nhất của tiện ích chống virus ransomware. Những cái hiệu quả nhất được cung cấp bởi Kaspersky Lab.

Virus ransomware năm 2016: ví dụ

Khi chống lại bất kỳ cuộc tấn công nào của vi-rút, điều quan trọng là phải hiểu rằng mã thay đổi rất thường xuyên, được bổ sung bởi tính năng bảo vệ chống vi-rút mới. Tất nhiên, các chương trình bảo mật cần một thời gian cho đến khi nhà phát triển cập nhật cơ sở dữ liệu. Chúng tôi đã chọn lọc những loại virus mã hóa nguy hiểm nhất trong thời gian gần đây.

Phần mềm tống tiền Ishtar

Ishtar là một ransomware chuyên tống tiền người dùng. Loại virus này được chú ý vào mùa thu năm 2016, lây nhiễm một số lượng lớn máy tính của người dùng từ Nga và một số quốc gia khác. Được phân phối qua email, trong đó có các tài liệu đính kèm (trình cài đặt, tài liệu, v.v.). Dữ liệu bị lây nhiễm bởi bộ mã hóa Ishtar có tiền tố “ISHTAR” trong tên của nó. Quá trình này tạo ra một tài liệu kiểm tra cho biết nơi cần đến để lấy mật khẩu. Những kẻ tấn công yêu cầu từ 3.000 đến 15.000 rúp cho nó.

Sự nguy hiểm của virus Ishtar là ngày nay không có bộ giải mã nào có thể giúp ích cho người dùng. Các công ty phần mềm diệt virus cần thời gian để giải mã toàn bộ mã. Giờ đây, bạn chỉ có thể tách thông tin quan trọng (nếu nó có tầm quan trọng đặc biệt) vào một phương tiện riêng biệt, chờ phát hành tiện ích có khả năng giải mã tài liệu. Nên cài đặt lại hệ điều hành.

neitrino

Bộ mã hóa Neitrino xuất hiện trên Internet vào năm 2015. Nguyên tắc tấn công tương tự như các loại virus khác cùng loại. Thay đổi tên thư mục và tập tin bằng cách thêm "Neitrino" hoặc "Neutrino". Loại virus này rất khó giải mã; không phải tất cả đại diện của các công ty chống vi-rút đều thực hiện việc này vì lý do mã rất phức tạp. Một số người dùng có thể được hưởng lợi từ việc khôi phục bản sao ẩn. Để thực hiện việc này, nhấp chuột phải vào tài liệu được mã hóa, chuyển đến tab “Thuộc tính”, “Phiên bản trước”, nhấp vào “Khôi phục”. Sẽ là một ý tưởng tốt nếu sử dụng tiện ích miễn phí từ Kaspersky Lab.

Ví hoặc .wallet.

Virus mã hóa Wallet xuất hiện vào cuối năm 2016. Trong quá trình lây nhiễm, nó thay đổi tên của dữ liệu thành “Name..wallet” hoặc tên nào đó tương tự. Giống như hầu hết các loại virus ransomware, nó xâm nhập vào hệ thống thông qua các tệp đính kèm trong email do kẻ tấn công gửi. Vì mối đe dọa xuất hiện rất gần đây nên các chương trình chống vi-rút không nhận thấy nó. Sau khi mã hóa, anh ta tạo một tài liệu trong đó kẻ lừa đảo chỉ ra email để liên lạc. Hiện tại, các nhà phát triển phần mềm diệt virus đang nỗ lực giải mã mã của virus ransomware. [email được bảo vệ]. Người dùng đã bị tấn công chỉ có thể chờ đợi. Nếu dữ liệu quan trọng, bạn nên lưu nó vào ổ đĩa ngoài bằng cách xóa hệ thống.

bí ẩn

Virus ransomware Enigma bắt đầu lây nhiễm vào máy tính của người dùng Nga vào cuối tháng 4 năm 2016. Mô hình mã hóa AES-RSA được sử dụng, mô hình này được tìm thấy trong hầu hết các loại virus ransomware hiện nay. Virus xâm nhập vào máy tính bằng cách sử dụng tập lệnh mà người dùng chạy bằng cách mở tệp từ một email đáng ngờ. Vẫn chưa có phương tiện phổ biến nào để chống lại ransomware Enigma. Người dùng có giấy phép chống vi-rút có thể yêu cầu trợ giúp trên trang web chính thức của nhà phát triển. Một “lỗ hổng” nhỏ cũng được tìm thấy - Windows UAC. Nếu người dùng nhấp vào “Không” trong cửa sổ xuất hiện trong quá trình lây nhiễm vi-rút, sau đó anh ta sẽ có thể khôi phục thông tin bằng cách sử dụng bản sao bóng.

đá granit

Một loại virus ransomware mới, Granit, xuất hiện trên Internet vào mùa thu năm 2016. Sự lây nhiễm xảy ra theo kịch bản sau: người dùng khởi chạy trình cài đặt, trình cài đặt này sẽ lây nhiễm và mã hóa tất cả dữ liệu trên PC cũng như các ổ đĩa được kết nối. Việc chống lại virus rất khó khăn. Để xóa nó, bạn có thể sử dụng các tiện ích đặc biệt của Kaspersky, nhưng chúng tôi vẫn chưa thể giải mã được mã. Có lẽ việc khôi phục các phiên bản trước của dữ liệu sẽ giúp ích. Ngoài ra, một chuyên gia có nhiều kinh nghiệm có thể giải mã nhưng dịch vụ này rất đắt tiền.

Tyson

Đã được phát hiện gần đây. Nó là một phần mở rộng của ransomware no_more_ransom đã được biết đến mà bạn có thể tìm hiểu trên trang web của chúng tôi. Nó đến máy tính cá nhân từ email. Nhiều máy tính của công ty đã bị tấn công. Virus tạo ra một tài liệu văn bản có hướng dẫn mở khóa, đề nghị trả “tiền chuộc”. Ransomware Tyson xuất hiện gần đây nên chưa có chìa khóa mở khóa. Cách duy nhất để khôi phục thông tin là trả lại các phiên bản trước nếu chúng không bị vi-rút xóa. Tất nhiên, bạn có thể mạo hiểm bằng cách chuyển tiền vào tài khoản do những kẻ tấn công chỉ định, nhưng không có gì đảm bảo rằng bạn sẽ nhận được mật khẩu.

bào tử

Vào đầu năm 2017, một số người dùng đã trở thành nạn nhân của ransomware Spora mới. Về nguyên tắc hoạt động, nó không khác lắm so với các đối tác của nó, nhưng nó có thiết kế chuyên nghiệp hơn: hướng dẫn lấy mật khẩu được viết tốt hơn và trang web trông đẹp hơn. Virus ransomware Spora được tạo bằng ngôn ngữ C và sử dụng kết hợp RSA và AES để mã hóa dữ liệu của nạn nhân. Theo quy định, các máy tính sử dụng chương trình kế toán 1C tích cực sẽ bị tấn công. Virus ẩn dưới vỏ bọc của một hóa đơn đơn giản ở định dạng .pdf, buộc nhân viên công ty phải khởi chạy nó. Chưa có phương pháp điều trị nào được tìm thấy.

1C.Thả.1

Virus mã hóa 1C này xuất hiện vào mùa hè năm 2016, làm gián đoạn công việc của nhiều bộ phận kế toán. Nó được phát triển đặc biệt cho các máy tính sử dụng phần mềm 1C. Khi ở trên PC thông qua một tệp trong email, nó sẽ nhắc chủ sở hữu cập nhật chương trình. Bất cứ nút nào người dùng nhấn, virus sẽ bắt đầu mã hóa các tập tin. Các chuyên gia Dr.Web đang nghiên cứu các công cụ giải mã nhưng vẫn chưa tìm ra giải pháp. Điều này là do mã phức tạp, có thể có một số sửa đổi. Biện pháp bảo vệ duy nhất chống lại 1C.Drop.1 là sự cảnh giác của người dùng và lưu trữ thường xuyên các tài liệu quan trọng.

Mật mã Da Vinci

Một ransomware mới có tên khác thường. Virus xuất hiện vào mùa xuân năm 2016. Nó khác với những người tiền nhiệm ở mã cải tiến và chế độ mã hóa mạnh mẽ. da_vinci_code lây nhiễm vào máy tính nhờ một ứng dụng thực thi (thường được đính kèm với email) mà người dùng khởi chạy một cách độc lập. Công cụ mã hóa da Vinci sao chép nội dung vào thư mục hệ thống và sổ đăng ký, đảm bảo tự động khởi chạy khi bật Windows. Mỗi máy tính của nạn nhân được gán một ID duy nhất (giúp lấy mật khẩu). Hầu như không thể giải mã được dữ liệu. Bạn có thể trả tiền cho những kẻ tấn công, nhưng không ai đảm bảo rằng bạn sẽ nhận được mật khẩu.

[email được bảo vệ] / [email được bảo vệ]

Hai địa chỉ email thường kèm theo virus ransomware vào năm 2016. Chúng dùng để kết nối nạn nhân với kẻ tấn công. Kèm theo là địa chỉ của nhiều loại vi-rút: da_vinci_code, no_more_ransom, v.v. Chúng tôi khuyên bạn không nên liên hệ hoặc chuyển tiền cho những kẻ lừa đảo. Người dùng không có mật khẩu trong hầu hết các trường hợp. Như vậy, cho thấy phần mềm ransomware của kẻ tấn công hoạt động, tạo ra thu nhập.

phá vỡ xấu

Nó xuất hiện vào đầu năm 2015, nhưng chỉ lan rộng một cách tích cực chỉ một năm sau đó. Nguyên tắc lây nhiễm giống hệt các ransomware khác: cài file từ email, mã hóa dữ liệu. Theo quy luật, các chương trình chống vi-rút thông thường không nhận thấy vi-rút Breaking Bad. Một số mã không thể vượt qua Windows UAC, khiến người dùng có tùy chọn khôi phục các phiên bản tài liệu trước đó. Chưa có công ty phát triển phần mềm chống vi-rút nào trình bày bộ giải mã.

XBL

Một ransomware rất phổ biến đã gây rắc rối cho nhiều người dùng. Khi ở trên PC, vi-rút sẽ thay đổi phần mở rộng tệp thành .xtbl chỉ trong vài phút. Một tài liệu được tạo ra trong đó kẻ tấn công tống tiền. Một số biến thể của virus XTBL không thể phá hủy các tệp khôi phục hệ thống, cho phép bạn lấy lại các tài liệu quan trọng. Bản thân virus có thể được loại bỏ bằng nhiều chương trình nhưng việc giải mã tài liệu là rất khó khăn. Nếu bạn là chủ sở hữu của phần mềm chống vi-rút được cấp phép, hãy sử dụng hỗ trợ kỹ thuật bằng cách đính kèm các mẫu dữ liệu bị nhiễm.

Kukaracha

Phần mềm ransomware Cucaracha được phát hiện vào tháng 12 năm 2016. Loại virus có cái tên thú vị này ẩn giấu các tập tin người dùng bằng thuật toán RSA-2048, có khả năng kháng cự cao. Phần mềm chống vi-rút của Kaspersky đã gắn nhãn nó là Trojan-Ransom.Win32.Scatter.lb. Kukaracha có thể được gỡ bỏ khỏi máy tính để các tài liệu khác không bị lây nhiễm. Tuy nhiên, những cái bị nhiễm hiện gần như không thể giải mã được (một thuật toán rất mạnh).

Virus ransomware hoạt động như thế nào?

Có một số lượng lớn ransomware, nhưng chúng đều hoạt động theo nguyên tắc tương tự nhau.

  1. Đang sử dụng máy tính cá nhân. Thông thường, nhờ một tập tin đính kèm vào email. Quá trình cài đặt được người dùng tự bắt đầu bằng cách mở tài liệu.
  2. Nhiễm tập tin. Hầu hết tất cả các loại tệp đều được mã hóa (tùy thuộc vào loại vi-rút). Một tài liệu văn bản được tạo có chứa các liên hệ để liên lạc với những kẻ tấn công.
  3. Tất cả. Người dùng không thể truy cập bất kỳ tài liệu nào.

Chất kiểm soát từ các phòng thí nghiệm phổ biến

Việc sử dụng rộng rãi ransomware, vốn được coi là mối đe dọa nguy hiểm nhất đối với dữ liệu người dùng, đã trở thành động lực cho nhiều phòng thí nghiệm chống vi-rút. Mọi công ty nổi tiếng đều cung cấp cho người dùng các chương trình giúp họ chống lại ransomware. Ngoài ra, nhiều trong số chúng còn giúp giải mã tài liệu và bảo vệ hệ thống.

Virus Kaspersky và ransomware

Một trong những phòng thí nghiệm chống vi-rút nổi tiếng nhất ở Nga và thế giới ngày nay cung cấp các công cụ hiệu quả nhất để chống lại vi-rút ransomware. Rào cản đầu tiên đối với virus ransomware sẽ là Kaspersky Endpoint Security 10 với các bản cập nhật mới nhất. Đơn giản là phần mềm chống vi-rút sẽ không cho phép mối đe dọa xâm nhập vào máy tính của bạn (mặc dù nó có thể không dừng các phiên bản mới). Để giải mã thông tin, nhà phát triển giới thiệu một số tiện ích miễn phí: XoristDecryptor, RakhniDecryptor và Ransomware Decryptor. Họ giúp tìm virus và chọn mật khẩu.

Tiến sĩ Web và phần mềm tống tiền

Phòng thí nghiệm này khuyến nghị sử dụng chương trình chống vi-rút của họ, tính năng chính là sao lưu tệp. Việc lưu trữ các bản sao tài liệu cũng được bảo vệ khỏi sự truy cập trái phép của những kẻ xâm nhập. Chủ sở hữu sản phẩm được cấp phép Dr. Chức năng web có sẵn để yêu cầu trợ giúp từ bộ phận hỗ trợ kỹ thuật. Đúng, ngay cả những chuyên gia giàu kinh nghiệm cũng không thể luôn chống lại được loại mối đe dọa này.

ESET Nod 32 và phần mềm tống tiền

Công ty này cũng không đứng ngoài cuộc, cung cấp cho người dùng khả năng bảo vệ tốt chống lại vi-rút xâm nhập vào máy tính của họ. Ngoài ra, phòng thí nghiệm gần đây đã phát hành một tiện ích miễn phí với cơ sở dữ liệu cập nhật - Eset Crysis Decryptor. Các nhà phát triển nói rằng nó sẽ giúp ích trong cuộc chiến chống lại cả những loại ransomware mới nhất.