Hei alle sammen, i dag skal jeg fortelle deg hvordan du dekrypterer filer etter et virus i Windows. En av de mest problematiske skadevare i dag er en trojaner, eller virus, som krypterer filer på en brukers stasjon. Noen av disse filene kan dekrypteres, men andre kan ennå ikke dekrypteres. I artikkelen vil jeg beskrive mulige handlingsalgoritmer i begge situasjoner.

Det er flere modifikasjoner av dette viruset, men den generelle essensen av arbeidet er at etter installasjon på datamaskinen, blir dokumentfilene, bildene og andre potensielt viktige filer kryptert med en endring i utvidelse, hvoretter du mottar en melding om at alle dine filer er kryptert , og for å dekryptere dem må du sende et visst beløp til angriperen.

Filer på datamaskinen er kryptert i xtbl

En av de nyeste variantene av løsepengeviruset krypterer filer, og erstatter dem med filer med filtypen .xtbl og et navn som består av et tilfeldig sett med tegn.

Samtidig legges en tekstfil readme.txt på datamaskinen med omtrent følgende innhold: «Dine filer er kryptert. For å dekryptere dem må du sende koden til e-postadressen [e-postbeskyttet], [e-postbeskyttet] eller [e-postbeskyttet]. Deretter vil du motta alle nødvendige instruksjoner. Forsøk på å dekryptere filer selv vil føre til uopprettelig tap av informasjon” (e-postadresse og tekst kan variere).

Dessverre er det ingen måte å dekryptere .xtbl for øyeblikket (så snart den blir tilgjengelig, vil instruksjonene bli oppdatert). Noen brukere som hadde veldig viktig informasjon på datamaskinen sin, rapporterer på antivirusfora at de sendte forfatterne av viruset 5000 rubler eller et annet nødvendig beløp og mottok en dekryptering, men dette er veldig risikabelt: det kan hende du ikke mottar noe.

Hva skal jeg gjøre hvis filene var kryptert i .xtbl? Mine anbefalinger er som følger (men de skiller seg fra de på mange andre tematiske nettsteder, hvor de for eksempel anbefaler å umiddelbart slå av datamaskinen fra strømforsyningen eller ikke fjerne viruset. Etter min mening er dette unødvendig, og under noen omstendigheter kan det til og med være skadelig, men det er opp til deg å bestemme.):

1. Hvis du vet hvordan, avbryt krypteringsprosessen ved å fjerne de tilsvarende oppgavene i oppgavebehandlingen, koble datamaskinen fra Internett (dette kan være en nødvendig betingelse for kryptering)
2. Husk eller skriv ned koden som angriperne krever skal sendes til en e-postadresse (bare ikke til en tekstfil på datamaskinen, for sikkerhets skyld, slik at den heller ikke er kryptert).
3. Ved å bruke Malwarebytes Antimalware, en prøveversjon av Kaspersky Internet Security eller Dr.Web Cure It, fjern filkrypteringsviruset (alle disse verktøyene gjør en god jobb med dette). Jeg anbefaler deg å bruke de første og andre produktene fra listen etter tur (hvis du har et antivirus installert, er det imidlertid uønsket å installere det andre "ovenfra", da det kan føre til problemer med datamaskinen.)
4. Vent til en dekryptering dukker opp fra et antivirusselskap. Kaspersky Lab er i forkant her.
5. Du kan også sende et eksempel på en kryptert fil og den nødvendige koden til [e-postbeskyttet], hvis du har en ukryptert kopi av den samme filen, send den også. I teorien kan dette fremskynde utseendet til dekryptering.

Hva du ikke skal gjøre:

• Gi nytt navn til krypterte filer, endre filtypen og slett dem hvis de er viktige for deg.

Dette er sannsynligvis alt jeg kan si om krypterte filer med .xtbl-utvidelsen for øyeblikket.

Trojan-Ransom.Win32.Aura og Trojan-Ransom.Win32.Rakhni

Følgende trojan krypterer filer og installerer utvidelser fra denne listen:

• .låst
• .crypto
• .kraken
• .AES256 (ikke nødvendigvis denne trojaneren, det er andre som installerer samme utvidelse).
• .codercsu@gmail_com
• .oshit
• Og andre.

For å dekryptere filer etter operasjonen av disse virusene, har Kaspersky-nettstedet et gratis verktøy kalt RakhniDecryptor, tilgjengelig på den offisielle siden http://support.kaspersky.ru/viruses/disinfection/10556.

Det er også detaljerte instruksjoner for bruk av dette verktøyet, som viser hvordan du gjenoppretter krypterte filer, hvorfra jeg, i tilfelle, ville fjerne elementet "Slett krypterte filer etter vellykket dekryptering" (selv om jeg tror alt vil være bra med alternativet installert) .

Hvis du har en Dr.Web antiviruslisens, kan du bruke gratis dekryptering fra dette selskapet på siden http://support.drweb.com/new/free_unlocker/

Flere ransomware-virusalternativer

Mindre vanlige, men også oppstått, er følgende trojanere som krypterer filer og krever penger for dekryptering. Linkene som tilbys inneholder ikke bare verktøy for å returnere filene dine, men også en beskrivelse av tegnene som vil hjelpe å fastslå at du har dette viruset. Selv om generelt sett er den optimale måten å skanne systemet ved å bruke Kaspersky antivirus, finne ut navnet på trojaneren i henhold til klassifiseringen til dette selskapet, og deretter se etter et verktøy med dette navnet.

• Trojan-Ransom.Win32.Rector - gratis RectorDecryptor dekrypteringsverktøy og instruksjoner for bruk er tilgjengelig her: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist er en lignende trojaner som viser et vindu som ber deg sende en betalt SMS eller kontakte via e-post for å motta dekrypteringsinstruksjoner. Instruksjoner for å gjenopprette krypterte filer og XoristDecryptor-verktøyet for dette er tilgjengelig på siden http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor-verktøyhttp://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 og andre med samme navn (når du søker gjennom Dr.Web antivirus eller Cure It-verktøyet) og forskjellige numre - prøv å søke på Internett etter trojanerens navn. For noen av dem er det dekrypteringsverktøy fra Dr.Web, også hvis du ikke klarte å finne verktøyet, men har en Dr.Web-lisens, kan du bruke den offisielle siden http://support.drweb.com/new/free_unlocker /
• CryptoLocker - for å dekryptere filer etter at CryptoLocker fungerer, kan du bruke nettstedet http://decryptcryptolocker.com - etter å ha sendt prøvefilen, vil du motta en nøkkel og et verktøy for å gjenopprette filene dine.

Vel, fra de siste nyhetene - Kaspersky Lab, sammen med politifolk fra Nederland, utviklet Ransomware Decryptor (http://noransom.kaspersky.com) for å dekryptere filer etter CoinVault, men denne løsepengevaren er ennå ikke funnet på våre breddegrader.

Forresten, hvis det plutselig viser seg at du har noe å legge til (fordi jeg kanskje ikke har tid til å overvåke hva som skjer med dekrypteringsmetodene), gi meg beskjed i kommentarfeltet, denne informasjonen vil være nyttig for andre brukere som er står overfor et problem.

La oss minne deg på: Trojanere fra Trojan.Encoder-familien er ondsinnede programmer som krypterer filer på en datamaskins harddisk og krever penger for å dekryptere dem. Filer kan være *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar og så videre.
Det var ikke mulig å personlig møte hele familien til dette viruset, men som praksis viser, er metoden for infeksjon, behandling og dekoding omtrent den samme for alle:
1. offeret er infisert gjennom en spam-e-post med et vedlegg (sjeldnere med smittsomme midler),
2. viruset gjenkjennes og fjernes (allerede) av nesten alle antivirus med ferske databaser,
3. filer dekrypteres ved å velge passordnøkler for krypteringstypene som brukes.
For eksempel bruker Trojan.Encoder.225 RC4 (modifisert) + DES-kryptering, og Trojan.Encoder.263 bruker BlowFish i CTR-modus. Disse virusene er for tiden 99 % dechiffrerbare basert på personlig erfaring.

Men ikke alt er så glatt. Noen krypteringsvirus krever måneder med kontinuerlig dekryptering (Trojan.Encoder.102), mens andre (Trojan.Encoder.283) ikke kan dekrypteres riktig selv av spesialister fra Doctor Web, som faktisk spiller en nøkkelrolle i denne artikkelen .

Nå, i rekkefølge.

I begynnelsen av august 2013 kontaktet klienter meg med problemet med filer kryptert med Trojan.Encoder.225-viruset. Viruset, på den tiden, var nytt, ingen visste noe, det var 2-3 tematiske Google-koblinger på Internett. Etter et lengre søk på Internett, viser det seg at den eneste (funne) organisasjonen som tar seg av problemet med å dekryptere filer etter dette viruset er Doctor Web-selskapet. Nemlig: gir anbefalinger, hjelper ved kontakt med teknisk support, utvikler egne dekrypteringer, etc.

Negativ retrett.

Og ved å benytte denne muligheten vil jeg peke på to bli fet minus Kaspersky Lab. Som, når de kontakter deres tekniske støtte, børster de av "vi jobber med dette problemet, vi vil varsle deg om resultatene per post." Og likevel er ulempen at jeg aldri fikk svar på forespørselen. Etter 4 måneder. Jammen reaksjonstiden. Og her streber jeg etter standarden "ikke mer enn en time fra å fullføre søknaden."
Skam deg, kamerat Evgeniy Kaspersky, daglig leder for Kaspersky Lab. Men jeg har en god halvparten av alle selskaper "sitt" på det. Vel, ok, lisenser utløper i januar-mars 2014. Er det verdt å snakke om jeg skal fornye lisensen min?;)

Jeg presenterer ansiktene til "spesialister" fra "enklere" selskaper, så å si, IKKE gigantene i antivirusindustrien. De har sannsynligvis bare "klemt seg i et hjørne" og "gråt stille."
Selv om, i tillegg, absolutt alle var fullstendig skrudd. Antiviruset skulle i prinsippet ikke ha tillatt dette viruset å komme inn på datamaskinen. Spesielt med tanke på moderne teknologi. Og «de», GIGANTENE i anti-VIRUS-industrien, har visstnok alt dekket, «heuristisk analyse», «forebyggende system», «proaktiv beskyttelse»...

HVOR VAR ALLE DISSE SUPERSYSTEMENE NÅR HR-AVDELINGSARBEIDEREN ÅPNET ET “HALMONNESS”-BREV MED EMNET “RESUME”???
Hva skulle den ansatte tenke?
Hvis DU ikke kan beskytte oss, hvorfor trenger vi DEG i det hele tatt?

Og alt ville vært bra med Doctor Web, men for å få hjelp må du selvfølgelig ha en lisens for alle programvareproduktene deres. Når du kontakter teknisk støtte (heretter referert til som TS), må du oppgi Dr.Web-serienummeret og ikke glem å velge "request for treatment" i "Request Category:"-linjen eller bare gi dem en kryptert fil til laboratorium. Jeg tar umiddelbart forbehold om at de såkalte "journalnøklene" til Dr.Web, som legges ut i grupper på Internett, ikke er egnet, siden de ikke bekrefter kjøp av noen programvareprodukter, og elimineres av TP-spesialister en eller to ganger. Det er lettere å kjøpe den mest "billige" lisensen. For hvis du tar på deg dekryptering, vil denne lisensen betale deg tilbake en million ganger. Spesielt hvis mappen med bilder "Egypt 2012" var i ett eksemplar...

Forsøk nr. 1

Så, etter å ha kjøpt en "lisens for 2 PCer i et år" for et n-beløp, kontaktet TP og levert noen filer, mottok jeg en lenke til dekrypteringsverktøyet te225decrypt.exe versjon 1.3.0.0. I påvente av suksess starter jeg verktøyet (du må peke det til en av de krypterte *.doc-filene). Verktøyet starter utvalget, og laster nådeløst inn den gamle prosessoren E5300 DualCore, 2600 MHz (overklokket til 3,46 GHz) / 8192 MB DDR2-800, HDD 160 Gb Western Digital til 90-100%.
Her, parallelt med meg, blir en kollega på en PC-kjerne i5 2500k (overklokket til 4,5ghz) / 16 ram 1600 / ssd intel med på arbeidet (dette er for sammenligning av tidsbruken på slutten av artikkelen).
Etter 6 dager rapporterte verktøyet at 7277 filer hadde blitt dekryptert. Men lykken varte ikke lenge. Alle filene ble dekryptert "skjevt". Det vil si at for eksempel Microsoft Office-dokumenter åpnes, men med ulike feil: «Word-applikasjonen oppdaget innhold i *.docx-dokumentet som ikke kunne leses» eller «*.docx-filen kan ikke åpnes på grunn av feil i innholdet. ." *.jpg-filer åpnes også enten med en feil, eller 95 % av bildet viser seg å være en falmet svart eller lysegrønn bakgrunn. For *.rar-filer - "Uventet slutt på arkivet".
Alt i alt en fullstendig fiasko.

Forsøk nr. 2

Vi skriver til TP om resultatene. De ber deg oppgi et par filer. En dag senere gir de igjen en lenke til te225decrypt.exe-verktøyet, men denne gangen versjon 1.3.2.0. Vel, la oss lansere, det var ikke noe alternativ da uansett. Omtrent 6 dager går og verktøyet avsluttes med feilen "Kan ikke velge krypteringsparametere." Totalt 13 dager "ned i avløpet."
Men vi gir oss ikke, vi har viktige dokumenter fra vår *dumme* klient uten grunnleggende sikkerhetskopier.

Forsøk nr. 3

Vi skriver til TP om resultatene. De ber deg oppgi et par filer. Og, som du kanskje har gjettet, en dag senere gir de en lenke til det samme te225decrypt.exe-verktøyet, men versjon 1.4.2.0. Vel, la oss lansere, det var ikke noe alternativ, og det har ikke dukket opp verken fra Kaspersky Lab, eller fra ESET NOD32, eller fra andre produsenter av antivirusløsninger. Og nå, etter 5 dager 3 timer 14 minutter (123,5 timer), rapporterer verktøyet at filene er dekryptert (for en kollega på en core i5 tok dekryptering bare 21 timer og 10 minutter).
Vel, jeg tror det var eller ikke var. Og se og se: full suksess! Alle filer er dekryptert riktig. Alt åpnes, lukkes, ser, redigerer og lagres riktig.

Alle er glade, SLUTEN.

"Hvor er historien om Trojan.Encoder.263-viruset?", spør du. Og på neste PC, under bordet... var det. Alt var enklere der: Vi skriver til Doctor Web TP, henter te263decrypt.exe-verktøyet, start det, vent 6,5 dager, voila! og alt er klart. For å oppsummere kan jeg gi noen råd fra Doctor Web-forumet i min utgave:

Hva du skal gjøre hvis du er infisert med et løsepengevirus:
- send til viruslaboratoriet Dr. Internett eller i «Send mistenkelig fil»-formen en kryptert dokumentfil.
- Vent på svar fra en Dr.Web-ansatt og følg deretter instruksjonene hans.

Hva du IKKE skal gjøre:
- endre utvidelsen av krypterte filer; Ellers, med en vellykket valgt nøkkel, vil ikke verktøyet "se" filene som må dekrypteres.
- bruk uavhengig, uten å konsultere spesialister, eventuelle programmer for dekryptering/gjenoppretting av data.

OBS, å ha en server fri fra andre oppgaver, jeg tilbyr mine gratis tjenester for å dekryptere dataene dine. Serverkjerne i7-3770K med overklokking til *visse frekvenser*, 16 GB RAM og SSD Vertex 4.
For alle aktive brukere av Habr vil bruken av ressursene mine være GRATIS!!!
Skriv til meg i en personlig melding eller via andre kontakter. Jeg har allerede "spist hunden" på dette. Derfor er jeg ikke for lat til å sette serveren på dekryptering over natten.
Dette viruset er vår tids "plage" og å ta "bytte" fra medsoldater er ikke humant. Selv om noen "kaster" et par dollar inn på Yandex.money-kontoen min 410011278501419, har jeg ikke noe imot det. Men dette er slett ikke nødvendig. Kontakt oss. Jeg behandler søknader på fritiden.

Ny informasjon!

Fra 8. desember 2013 begynte et nytt virus fra den samme Trojan.Encoder-serien å spre seg under Doctor Web-klassifiseringen - Trojan.Encoder.263, men med RSA-kryptering. Denne visningen er for i dag (20.12.2013) kan ikke tydes, da den bruker en veldig sterk krypteringsmetode.

Jeg anbefaler til alle som har lidd av dette viruset:
1. Bruk det innebygde Windows-søket, finn alle filene som inneholder filtypen .perfect og kopier dem til eksterne medier.
2. Kopier CONTACT.txt-filen også
3. Plasser dette eksterne mediet "på hyllen".
4. Vent til dekrypteringsverktøyet vises.

Hva du IKKE skal gjøre:
Det er ingen grunn til å rote med kriminelle. Dette er dumt. I mer enn 50% av tilfellene, etter "betaling" på omtrent 5000 rubler, vil du ikke motta INGENTING. Ingen penger, ingen dekryptering.
For å være rettferdig er det verdt å merke seg at det er de "heldige" menneskene på Internett som mottok filene sine tilbake ved dekryptering for "tyvegods". Men du bør ikke stole på disse menneskene. Hvis jeg var en virusskribent, ville det første jeg ville gjort å spre informasjon som "Jeg betalte og de sendte meg en dekoder!!!"
Bak disse "heldige" kan det være de samme angriperne.

Vel... la oss ønske lykke til til andre antivirusselskaper med å lage et verktøy for å dekryptere filer etter Trojan.Encoder-gruppen av virus.

Spesiell takk til kameraten v.martyanov fra Doctor Web-forumet for arbeidet med å lage dekrypteringsverktøy.

Bekjempelse av nye virustrusler - løsepengevare

Vi skrev nylig om det faktum at nye trusler sprer seg på Internett - løsepengevirus eller, mer omfattende, filkrypterende virus; du kan lese mer om dem på nettstedet vårt, på denne lenken.

I dette emnet vil vi fortelle deg hvordan du kan returnere data kryptert av et virus; for dette vil vi bruke to dekrypteringer, fra Kaspersky og Doctor Web antivirus, dette er de mest effektive metodene for å returnere kryptert informasjon.

1. Last ned verktøy for å dekryptere filer fra lenkene: Kaspersky og Dr.WEB

Eller dekrypteringer for en bestemt type krypterte filer som er .

2. Først vil vi prøve å dekryptere filene ved hjelp av et program fra Kaspersky:

2.1. Start Kaspersky-dekrypteringsprogrammet, hvis den ber om noen handlinger, for eksempel tillatelse til å starte, starter vi den, hvis den ber om å oppdatere, oppdaterer vi den, dette vil øke sjansene for å returnere krypterte data

2.2. I programvinduet som vises for dekryptering av filer, ser vi flere knapper. Konfigurer avanserte innstillinger og start skanningen.

2.3. Velg eventuelt flere alternativer og angi hvor du skal søke etter krypterte filer og eventuelt slette etter dekryptering Jeg anbefaler ikke å velge dette alternativet, filer dekrypteres ikke alltid riktig!

2.4. Vi starter skanningen og venter på at våre viruskrypterte data skal dekrypteres.

3. Hvis den første metoden ikke fungerte. La oss prøve å dekryptere filer ved hjelp av et program fra Dr. WEB

3.1. Etter at du har lastet ned dekrypteringsapplikasjonen, legg den for eksempel i roten til "C:"-stasjonen., så filen "te102decrypt.exe" bør være tilgjengelig på "c:\te102decrypt.exe"

3.2. Nå gå til kommandolinjen(Start-søk-Typ "CMD" uten anførselstegn-kjør ved å trykke Enter)

3.3. For å begynne å dekryptere filer skriv kommandoen "c:\te102decrypt.exe -k 86 -e (krypteringskode)". Ransomware-koden er en utvidelse lagt til på slutten av filen, for eksempel " [e-postbeskyttet] _45jhj" - skriv uten anførselstegn og parentes, observer mellomrom. Du bør få noe sånt som c:\te102decrypt.exe -k 86 -e [e-postbeskyttet] _45jhj

3.4. Trykk på Enter og vent på at filene skal dekrypteres som har blitt kryptert, i noen tilfeller opprettes flere kopier av de dekrypterte filene, du prøver å kjøre dem, lagre kopien av den dekrypterte filen som åpnes normalt, resten kan slettes.

Last ned andre fildekrypteringer:

Merk følgende: sørg for å lagre en kopi av de krypterte filene på en ekstern stasjon eller en annen PC. Dekrypteringene som presenteres nedenfor kan ikke dekryptere filer, men bare ødelegge dem!

Det er best å kjøre dekrypteringsprogrammet på en virtuell maskin eller på en spesielt forberedt datamaskin, etter først å ha lastet ned flere filer til dem.

Dekrypteringene som presenteres nedenfor fungerer som følger: For eksempel er filene dine kryptert med amba-krypteringen og filene ser ut som "Agreement.doc.amba" eller "Account.xls.amba", last ned dekryptering for amba-filer og bare kjør den, den vil finne alle filene med denne utvidelsen og dekryptere den, men jeg gjentar, beskytt deg selv og først lage en kopi av de krypterte filene, ellers kan du miste dine feil dekrypterte data for alltid!

Hvis du ikke ønsker å ta risiko, så send flere filer til oss, etter å ha kontaktet oss ved hjelp av tilbakemeldingsskjemaet, vil vi starte dekrypteringsprogrammet på en spesielt forberedt datamaskin, isolert fra Internett.

De presenterte filene ble sjekket med den nyeste versjonen av Kaspersky antivirus og med de siste databaseoppdateringene.

For en uke eller to siden dukket det opp et annet hack fra moderne virusprodusenter på Internett, som krypterer alle brukerens filer. Nok en gang vil jeg vurdere spørsmålet om hvordan å kurere en datamaskin etter et løsepengevirus kryptert000007 og gjenopprette krypterte filer. I dette tilfellet har ingenting nytt eller unikt dukket opp, bare en modifikasjon av den forrige versjonen.

Garantert dekryptering av filer etter et løsepengevirus - dr-shifro.ru. Detaljer om arbeidet og ordningen for samhandling med kunden er nedenfor i artikkelen min eller på nettstedet i delen "Arbeidsprosedyre".

Beskrivelse av CRYPTED000007 løsepengevirus

CRYPTED000007-krypteringen er ikke fundamentalt forskjellig fra forgjengerne. Det fungerer nesten nøyaktig på samme måte. Men det er likevel flere nyanser som skiller det. Jeg skal fortelle deg om alt i orden.

Den kommer, i likhet med sine analoger, via post. Sosiale ingeniørteknikker brukes for å sikre at brukeren blir interessert i brevet og åpner det. I mitt tilfelle snakket brevet om en slags domstol og viktig informasjon om saken i vedlegget. Etter å ha lansert vedlegget, åpner brukeren et Word-dokument med et utdrag fra voldgiftsdomstolen i Moskva.

Parallelt med åpning av dokumentet starter filkryptering. En informasjonsmelding fra Windows User Account Control-systemet begynner stadig å dukke opp.

Hvis du godtar forslaget, vil sikkerhetskopiene av filer i skyggekopier av Windows bli slettet, og det vil være svært vanskelig å gjenopprette informasjon. Det er åpenbart at du ikke under noen omstendigheter kan gå med på forslaget. I denne krypteringen dukker disse forespørslene opp konstant, den ene etter den andre og stopper ikke, noe som tvinger brukeren til å godta og slette sikkerhetskopiene. Dette er hovedforskjellen fra tidligere modifikasjoner av krypteringer. Jeg har aldri møtt forespørsler om å slette skyggekopier uten å stoppe. Vanligvis stoppet de etter 5-10 tilbud.

Jeg vil umiddelbart gi en anbefaling for fremtiden. Det er veldig vanlig at folk deaktiverer advarsler om brukerkontokontroll. Det er ikke nødvendig å gjøre dette. Denne mekanismen kan virkelig hjelpe med å motstå virus. Det andre åpenbare rådet er å ikke hele tiden jobbe under datamaskinens administratorkonto med mindre det er et objektivt behov for det. I dette tilfellet vil ikke viruset ha muligheten til å gjøre mye skade. Du vil ha større sjanse til å motstå ham.

Men selv om du alltid har svart negativt på ransomware-forespørslene, er alle dataene dine allerede kryptert. Etter at krypteringsprosessen er fullført, vil du se et bilde på skrivebordet.

Samtidig vil det være mange tekstfiler med samme innhold på skrivebordet ditt.

Filene dine er kryptert. For å dekryptere ux, må du sende koden: 329D54752553ED978F94|0 til e-postadressen [e-postbeskyttet]. Deretter vil du motta alle nødvendige instruksjoner. Forsøk på å tyde på egenhånd vil ikke føre til annet enn et ugjenkallelig antall opplysninger. Hvis du fortsatt vil prøve, må du først lage sikkerhetskopier av filene, ellers vil dekryptering under noen omstendigheter bli umulig i tilfelle endring. Hvis du ikke har mottatt varsel på adressen ovenfor innen 48 timer (kun i dette tilfellet!), bruk kontaktskjemaet. Dette kan gjøres på to måter: 1) Last ned og installer Tor-nettleseren ved å bruke lenken: https://www.torproject.org/download/download-easy.html.no I Tor-nettleserens adresse, skriv inn adressen: http: //cryptsen7fo43rr6 .onion/ og trykk Enter. Siden med kontaktskjemaet vil lastes. 2) I en hvilken som helst nettleser, gå til en av adressene: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Alle viktige filer på datamaskinen din ble kryptert. For å dekryptere filene må du sende følgende kode: 329D54752553ED978F94|0 til e-postadresse [e-postbeskyttet]. Da vil du motta alle nødvendige instruksjoner. Alle forsøk på dekryptering av deg selv vil kun resultere i ugjenkallelig tap av dataene dine. Hvis du fortsatt vil prøve å dekryptere dem selv, vennligst ta en sikkerhetskopi først fordi dekrypteringen vil bli umulig i tilfelle endringer i filene. Hvis du ikke har mottatt svaret fra den nevnte e-posten på mer enn 48 timer (og bare i dette tilfellet!), bruk tilbakemeldingsskjemaet. Du kan gjøre det på to måter: 1) Last ned Tor-nettleseren herfra: https://www.torproject.org/download/download-easy.html.no Installer den og skriv inn følgende adresse i adressefeltet: http:/ /cryptsen7fo43rr6.onion/ Trykk Enter og deretter lastes siden med tilbakemeldingsskjema. 2) Gå til en av følgende adresser i hvilken som helst nettleser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Postadresse kan endres. Jeg kom også over følgende adresser:

• [e-postbeskyttet]
• [e-postbeskyttet]

Adresser oppdateres kontinuerlig, så de kan være helt forskjellige.

Så snart du oppdager at filene dine er kryptert, slå av datamaskinen umiddelbart. Dette må gjøres for å avbryte krypteringsprosessen både på den lokale datamaskinen og på nettverksstasjoner. Et krypteringsvirus kan kryptere all informasjon det kan nå, inkludert på nettverksstasjoner. Men hvis det er en stor mengde informasjon der, vil det ta ham mye tid. Noen ganger, selv i løpet av et par timer, hadde ikke løsepengevaren tid til å kryptere alt på en nettverksstasjon med en kapasitet på omtrent 100 gigabyte.

Deretter må du tenke nøye gjennom hvordan du skal handle. Hvis du trenger informasjon på datamaskinen din for enhver pris og du ikke har sikkerhetskopier, er det bedre i dette øyeblikk å henvende seg til spesialister. Ikke nødvendigvis for penger til enkelte selskaper. Du trenger bare en person som er godt kjent med informasjonssystemer. Det er nødvendig å vurdere omfanget av katastrofen, fjerne viruset og samle inn all tilgjengelig informasjon om situasjonen for å forstå hvordan du går frem.

Feil handlinger på dette stadiet kan komplisere prosessen med å dekryptere eller gjenopprette filer betydelig. I verste fall kan de gjøre det umulig. Så ta deg god tid, vær forsiktig og konsekvent.

Hvordan CRYPTED000007 løsepengeviruset krypterer filer

Etter at viruset har blitt lansert og har fullført aktiviteten, vil alle nyttige filer krypteres, omdøpt fra extension.crypted000007. Dessuten vil ikke bare filtypen erstattes, men også filnavnet, slik at du ikke vet nøyaktig hva slags filer du hadde hvis du ikke husker det. Det vil se noe slikt ut.

I en slik situasjon vil det være vanskelig å vurdere omfanget av tragedien, siden du ikke helt vil kunne huske hva du hadde i ulike mapper. Dette ble gjort spesielt for å forvirre folk og oppmuntre dem til å betale for fildekryptering.

Og hvis nettverksmappene dine ble kryptert og det ikke er full sikkerhetskopiering, kan dette stoppe hele organisasjonens arbeid fullstendig. Det vil ta deg en stund å finne ut hva som til slutt gikk tapt for å starte restaureringen.

Hvordan behandle datamaskinen din og fjerne CRYPTED000007 løsepengeprogramvare

CRYPTED000007-viruset er allerede på datamaskinen din. Det første og viktigste spørsmålet er hvordan du desinfiserer en datamaskin og hvordan du fjerner et virus fra den for å forhindre ytterligere kryptering hvis den ennå ikke er fullført. Jeg vil umiddelbart trekke oppmerksomheten din til det faktum at etter at du selv begynner å utføre noen handlinger med datamaskinen din, reduseres sjansene for å dekryptere dataene. Hvis du trenger å gjenopprette filer for enhver pris, ikke ta på datamaskinen, men umiddelbart kontakte fagfolk. Nedenfor vil jeg snakke om dem og gi en lenke til nettstedet og beskrive hvordan de fungerer.

I mellomtiden vil vi fortsette å uavhengig behandle datamaskinen og fjerne viruset. Tradisjonelt er løsepengevare lett å fjerne fra en datamaskin, siden viruset ikke har som oppgave å forbli på datamaskinen for enhver pris. Etter å ha fullstendig kryptert filene er det enda mer lønnsomt for ham å slette seg selv og forsvinne, slik at det blir vanskeligere å undersøke hendelsen og dekryptere filene.

Det er vanskelig å beskrive hvordan man fjerner et virus manuelt, selv om jeg har prøvd å gjøre dette før, men jeg ser at det oftest er meningsløst. Filnavn og virusplasseringsbaner er i stadig endring. Det jeg så er ikke lenger aktuelt om en uke eller to. Vanligvis sendes virus med post i bølger, og hver gang er det en ny modifikasjon som ennå ikke er oppdaget av antivirus. Universalverktøy som sjekker oppstart og oppdager mistenkelig aktivitet i systemmapper hjelper.

For å fjerne CRYPTED000007-viruset kan du bruke følgende programmer:

1. Kaspersky Virus Removal Tool - et verktøy fra Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - et lignende produkt fra andre web http://free.drweb.ru/cureit.
3. Hvis de to første verktøyene ikke hjelper, prøv MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Mest sannsynlig vil ett av disse produktene tømme datamaskinen din for CRYPTED000007 løsepengeprogramvare. Hvis det plutselig skjer at de ikke hjelper, prøv å fjerne viruset manuelt. Jeg ga et eksempel på metoden for fjerning, og du kan se det der. Kort fortalt, trinn for trinn, må du handle slik:

1. Vi ser på listen over prosesser, etter å ha lagt til flere kolonner til oppgavebehandlingen.
2. Vi finner virusprosessen, åpner mappen den ligger i og sletter den.
3. Vi fjerner omtalen av virusprosessen etter filnavn i registeret.
4. Vi starter på nytt og sørger for at CRYPTED000007-viruset ikke er på listen over kjørende prosesser.

Hvor kan du laste ned dekrypteringsprogrammet CRYPTED000007

Spørsmålet om en enkel og pålitelig dekryptering kommer opp først når det gjelder et løsepengevirus. Det første jeg anbefaler er å bruke tjenesten https://www.nomoreransom.org. Hva om du er heldig og de har en dekryptering for din versjon av CRYPTED000007-krypteren. Jeg vil si med en gang at du ikke har mange sjanser, men å prøve er ikke tortur. Klikk Ja på hovedsiden:

Last deretter ned et par krypterte filer og klikk på Gå! Finne ut:

I skrivende stund var det ingen dekryptering på siden.

Kanskje du har bedre hell. Du kan også se listen over dekrypteringer for nedlasting på en egen side - https://www.nomoreransom.org/decryption-tools.html. Kanskje det er noe nyttig der. Når viruset er helt ferskt, er det liten sjanse for at dette skjer, men over tid kan det dukke opp noe. Det er eksempler når dekrypteringer for enkelte modifikasjoner av krypteringer dukket opp på Internett. Og disse eksemplene er på den angitte siden.

Jeg vet ikke hvor ellers du kan finne en dekoder. Det er usannsynlig at det faktisk vil eksistere, tatt i betraktning særegenhetene ved arbeidet til moderne krypteringer. Bare forfatterne av viruset kan ha en fullverdig dekryptering.

Hvordan dekryptere og gjenopprette filer etter CRYPTED000007-viruset

Hva skal jeg gjøre når CRYPTED000007-viruset har kryptert filene dine? Den tekniske implementeringen av kryptering tillater ikke dekryptering av filer uten en nøkkel eller en dekryptering, som bare forfatteren av krypteringen har. Kanskje det er en annen måte å få det på, men jeg har ikke den informasjonen. Vi kan bare prøve å gjenopprette filer ved hjelp av improviserte metoder. Disse inkluderer:

• Verktøy skyggekopier vinduer.
• Slettede datagjenopprettingsprogrammer

La oss først sjekke om vi har skyggekopier aktivert. Dette verktøyet fungerer som standard i Windows 7 og høyere, med mindre du deaktiverer det manuelt. For å sjekke, åpne datamaskinens egenskaper og gå til systembeskyttelsesdelen.

Hvis du under infeksjon ikke bekreftet UAC-forespørselen om å slette filer i skyggekopier, bør noen data forbli der. Jeg snakket mer detaljert om denne forespørselen i begynnelsen av historien, da jeg snakket om virusets arbeid.

For å enkelt gjenopprette filer fra skyggekopier, foreslår jeg at du bruker et gratis program for dette - ShadowExplorer. Last ned arkivet, pakk ut programmet og kjør det.

Den siste kopien av filer og roten til stasjon C åpnes. Øverst i venstre hjørne kan du velge en sikkerhetskopi hvis du har flere av dem. Sjekk forskjellige kopier for de nødvendige filene. Sammenlign etter dato for den nyeste versjonen. I eksemplet nedenfor fant jeg 2 filer på skrivebordet mitt fra tre måneder siden da de sist ble redigert.

Jeg var i stand til å gjenopprette disse filene. For å gjøre dette valgte jeg dem, høyreklikket, valgte Eksporter og spesifiserte mappen hvor de skulle gjenopprettes.

Du kan gjenopprette mapper umiddelbart ved å bruke samme prinsipp. Hvis du hadde skyggekopier som virket og ikke slettet dem, har du en god sjanse til å gjenopprette alle, eller nesten alle, filer kryptert av viruset. Kanskje noen av dem vil være en eldre versjon enn vi ønsker, men ikke desto mindre er det bedre enn ingenting.

Hvis du av en eller annen grunn ikke har skyggekopier av filene dine, er din eneste sjanse til å få i det minste noe fra de krypterte filene å gjenopprette dem ved å bruke slettede filgjenopprettingsverktøy. For å gjøre dette foreslår jeg å bruke gratisprogrammet Photorec.

Start programmet og velg disken du vil gjenopprette filer på. Ved å starte den grafiske versjonen av programmet kjøres filen qphotorec_win.exe. Du må velge en mappe der de funnet filene skal plasseres. Det er bedre hvis denne mappen ikke er plassert på samme stasjon der vi søker. Koble til en flash-stasjon eller ekstern harddisk for å gjøre dette.

Søkeprosessen vil ta lang tid. På slutten vil du se statistikk. Nå kan du gå til den tidligere spesifiserte mappen og se hva som finnes der. Det vil mest sannsynlig være mange filer og de fleste av dem vil enten være skadet eller de vil være en slags system og ubrukelige filer. Men likevel kan du finne noen nyttige filer i denne listen. Det er ingen garantier her; det du finner er det du vil finne. Bilder restaureres vanligvis best.

Hvis resultatet ikke tilfredsstiller deg, finnes det også programmer for å gjenopprette slettede filer. Nedenfor er en liste over programmer jeg vanligvis bruker når jeg trenger å gjenopprette maksimalt antall filer:

• R.saver
• Starus filgjenoppretting
• JPEG Recovery Pro
• Active File Recovery Professional

Disse programmene er ikke gratis, så jeg vil ikke gi lenker. Hvis du virkelig vil, kan du finne dem selv på Internett.

Hele filgjenopprettingsprosessen vises i detalj i videoen helt på slutten av artikkelen.

Kaspersky, eset nod32 og andre i kampen mot Filecoder.ED-krypteringen

Populære antivirus oppdager løsepengevaren CRYPTED000007 som Filecoder.ED og så kan det være en annen betegnelse. Jeg så gjennom de store antivirusforaene og så ikke noe nyttig der. Dessverre, som vanlig, viste antivirusprogramvare seg å være uforberedt på invasjonen av en ny bølge av løsepengevare. Her er et innlegg fra Kaspersky-forumet.

Antivirus går tradisjonelt glipp av nye modifikasjoner av løsepenge-trojanere. Likevel anbefaler jeg å bruke dem. Hvis du er heldig og mottar en løsepenge-e-post ikke i den første bølgen av infeksjoner, men litt senere, er det en sjanse for at antiviruset vil hjelpe deg. De jobber alle ett skritt bak angriperne. En ny versjon av løsepengevare er utgitt, men antivirus reagerer ikke på den. Så snart en viss mengde materiale for forskning på et nytt virus samler seg, utgir antivirusprogramvaren en oppdatering og begynner å svare på den.

Jeg forstår ikke hva som hindrer antivirus fra å reagere umiddelbart på noen krypteringsprosess i systemet. Kanskje det er noen tekniske nyanser i dette emnet som ikke lar oss svare tilstrekkelig og forhindre kryptering av brukerfiler. Det virker for meg som om det ville være mulig å i det minste vise en advarsel om det faktum at noen krypterer filene dine, og tilby å stoppe prosessen.

Hvor du skal gå for garantert dekryptering

Jeg møtte tilfeldigvis ett selskap som faktisk dekrypterer data etter arbeidet med forskjellige krypteringsvirus, inkludert CRYPTED000007. Adressen deres er http://www.dr-shifro.ru. Betaling kun etter full dekryptering og din bekreftelse. Her er et omtrentlig arbeidsskjema:

1. En bedriftsspesialist kommer til kontoret eller hjemmet ditt og signerer en avtale med deg som angir kostnadene for arbeidet.
2. Starter dekryptering og dekrypterer alle filer.
3. Du sørger for at alle filer åpnes og signerer leveringsbeviset/aksept av utført arbeid.
4. Betaling skjer kun etter vellykkede dekrypteringsresultater.

Jeg skal være ærlig, jeg vet ikke hvordan de gjør det, men du risikerer ingenting. Betaling kun etter demonstrasjon av dekoderens funksjon. Skriv en anmeldelse om din erfaring med dette selskapet.

Metoder for beskyttelse mot CRYPTED000007-viruset

Hvordan beskytte deg selv mot løsepengevare og unngå materiell og moralsk skade? Det er noen enkle og effektive tips:

1. Sikkerhetskopiering! Sikkerhetskopiering av alle viktige data. Og ikke bare en backup, men en backup som det ikke er konstant tilgang til. Ellers kan viruset infisere både dokumenter og sikkerhetskopier.
2. Lisensiert antivirus. Selv om de ikke gir 100 % garanti, øker de sjansene for å unngå kryptering. De er oftest ikke klare for nye versjoner av krypteringen, men etter 3-4 dager begynner de å svare. Dette øker sjansene dine for å unngå infeksjon hvis du ikke ble inkludert i den første distribusjonsbølgen av en ny modifikasjon av løsepengevaren.
3. Ikke åpne mistenkelige vedlegg i posten. Det er ingenting å kommentere her. All ransomware kjent for meg nådde brukere via e-post. Dessuten, hver gang nye triks oppfinnes for å lure offeret.
4. Ikke åpne lenker som er sendt til deg fra vennene dine via sosiale nettverk eller direktemeldinger. Det er også slik virus noen ganger sprer seg.
5. Aktiver Windows for å vise filutvidelser. Hvordan du gjør dette er lett å finne på Internett. Dette vil tillate deg å legge merke til filtypen på viruset. Oftest vil det være det .exe, .vbs, .src. I det daglige arbeidet med dokumenter vil du neppe støte på slike filtyper.

Jeg prøvde å supplere det jeg allerede har skrevet før i hver artikkel om løsepengeviruset. I mellomtiden sier jeg farvel. Jeg vil gjerne motta nyttige kommentarer om artikkelen og CRYPTED000007 løsepengevirus generelt.

Video om fildekryptering og gjenoppretting

Her er et eksempel på en tidligere modifikasjon av viruset, men videoen er fullstendig relevant for CRYPTED000007.

Nylig har det vært en økning i aktiviteten til en ny generasjon av ondsinnede dataprogrammer. De dukket opp for ganske lenge siden (6 - 8 år siden), men tempoet i implementeringen har nådd sitt maksimum akkurat nå. I økende grad kan du støte på det faktum at et virus har krypterte filer.

Det er allerede kjent at dette ikke bare er primitiv skadelig programvare, for eksempel (som forårsaker en blå skjerm), men seriøse programmer rettet mot å skade, som regel, regnskapsdata. De krypterer alle eksisterende filer innen rekkevidde, inkludert 1C-regnskapsdata, docx, xlsx, jpg, doc, xls, pdf, zip.

Den spesielle faren ved de aktuelle virusene

Det ligger i det faktum at det brukes en RSA-nøkkel, som er knyttet til en spesifikk brukers datamaskin, og det er derfor en universell dekryptering brukes ( dekryptering) fraværende. Virus aktivert på én datamaskin fungerer kanskje ikke på en annen.

Faren ligger også i det faktum at det i mer enn ett år har blitt lagt ut ferdige byggeprogrammer på Internett, som lar til og med hackere (personer som anser seg som hackere, men ikke studere programmering) utvikle denne typen virus.

For tiden har kraftigere modifikasjoner dukket opp.

Metode for å introdusere denne skadelige programvaren

Viruset sendes målrettet, vanligvis til selskapets regnskapsavdeling. Først samles e-poster fra HR-avdelinger og regnskapsavdelinger fra databaser som for eksempel hh.ru. Deretter sendes brev ut. De inneholder oftest en forespørsel om aksept til en bestemt stilling. Til et slikt brev med en CV, inni som er et ekte dokument med et implantert OLE-objekt (pdf-fil med virus).

I situasjoner der regnskapsansatte umiddelbart lanserte dette dokumentet, skjedde følgende etter en omstart: viruset endret navn og krypterte filene, og deretter selvdestruert.

Denne typen brev er som regel tilstrekkelig skrevet og sendt fra en postkasse som ikke er spam (navnet samsvarer med signaturen). Det søkes alltid om ledig stilling basert på selskapets kjerneaktiviteter, og det oppstår derfor ikke mistanker.

Verken det lisensierte Kaspersky (antivirusprogrammet) eller Virus Total (en nettjeneste for å sjekke vedlegg for virus) kan sikre datamaskinen i dette tilfellet. Noen ganger rapporterer noen antivirusprogrammer, når de skanner, at vedlegget inneholder Gen:Variant.Zusy.71505.

Hvordan unngå infeksjon med dette viruset?

Hver mottatt fil bør kontrolleres. Spesiell oppmerksomhet rettes mot Word-dokumenter som har innebygd pdf.

Alternativer for "infiserte" e-poster

Det er ganske mange av dem. De vanligste alternativene for hvordan viruskrypterte filer presenteres nedenfor. I alle tilfeller sendes følgende dokumenter på e-post:

1. Melding om starten på prosessen med å gjennomgå et søksmål mot et spesifikt selskap (brevet ber deg om å sjekke dataene ved å klikke på den angitte lenken).
2. Brev fra den russiske føderasjonens høyeste voldgiftsdomstol om inkasso.
3. Melding fra Sberbank angående økning i eksisterende gjeld.
4. Melding om registrering av trafikkforseelse.
5. Et brev fra Innkrevingssentralen som angir maksimalt mulig betalingsutsettelse.

Merknad om filkryptering

Etter infeksjon vil den vises i rotmappen til stasjon C. Noen ganger blir filer som WHAT_DO_DELA.txt, CONTACT.txt plassert i alle kataloger med skadet tekst. Der blir brukeren informert om krypteringen av filene hans, som utføres ved hjelp av pålitelige kryptografiske algoritmer. Han advares også om upassende bruk av tredjepartsverktøy, da dette kan føre til permanent skade på filene, som igjen vil gjøre det umulig å dekryptere dem senere.

Meldingen anbefaler å la datamaskinen være slik den er. Den angir lagringstiden for den medfølgende nøkkelen (vanligvis 2 dager). En nøyaktig dato er spesifisert etter hvilken enhver form for forespørsler vil bli ignorert.

En e-post kommer på slutten. Den sier også at brukeren må oppgi sin ID og at noen av følgende handlinger kan føre til ødeleggelse av nøkkelen, nemlig:

Hvordan dekryptere filer kryptert av et virus?

Denne typen kryptering er veldig kraftig: filen tildeles en utvidelse som perfect, nochance osv. Det er rett og slett umulig å knekke, men du kan prøve å bruke kryptoanalytikere og finne et smutthull (Dr. WEB vil hjelpe i noen situasjoner) .

Det er en annen måte å gjenopprette filer kryptert av et virus, men det fungerer ikke for alle virus, og du må også fjerne den originale exe-en sammen med dette ondsinnede programmet, som er ganske vanskelig å gjøre etter selvdestruksjon.

Virusets forespørsel om innføring av en spesiell kode er en mindre sjekk, siden filen allerede har en dekryptering på dette tidspunktet (koden fra, så å si, angriperne vil ikke være nødvendig). Essensen av denne metoden er å sette inn tomme kommandoer i det infiltrerte viruset (på samme sted der den angitte koden sammenlignes). Resultatet er at det ondsinnede programmet selv begynner å dekryptere filer og dermed gjenoppretter dem fullstendig.

Hvert enkelt virus har sin egen spesielle krypteringsfunksjon, som er grunnen til at det ikke vil være mulig å dekryptere det med en tredjeparts kjørbar fil (exe-formatfil), eller du kan prøve å velge funksjonen ovenfor, som alle handlinger må utføres for ut ved å bruke WinAPI.

filer: hva skal jeg gjøre?

For å utføre dekrypteringsprosedyren trenger du:

Hvordan unngå tap av data på grunn av den aktuelle skadevare?

Det er verdt å vite at i en situasjon der et virus har krypterte filer, vil dekrypteringsprosessen ta tid. Et viktig poeng er at i ovennevnte skadevare er det en feil som lar deg lagre noen filer hvis du raskt slår av datamaskinen (trekk støpselet ut av stikkontakten, slå av strømfilteret, fjern batteriet i dekselet av en bærbar datamaskin), så snart et stort antall filer med den tidligere spesifiserte utvidelsen vises .

Nok en gang bør det understrekes at det viktigste er å hele tiden lage sikkerhetskopier, men ikke til en annen mappe, ikke til flyttbare medier som er satt inn i datamaskinen, siden denne modifikasjonen av viruset vil nå disse stedene. Det er verdt å lagre sikkerhetskopier på en annen datamaskin, på en harddisk som ikke er permanent koblet til datamaskinen, og i skyen.

Du bør være mistenksom overfor alle dokumenter som kommer via post fra ukjente personer (i form av en CV, faktura, vedtak fra den russiske føderasjonens høyeste voldgiftsdomstol eller skattekontoret, etc.). Det er ikke nødvendig å kjøre dem på datamaskinen din (for disse formålene kan du velge en netbook som ikke inneholder viktige data).

Skadelig program * [e-postbeskyttet]: løsninger

I en situasjon der viruset ovenfor har krypterte filer cbf, doc, jpg, etc., er det bare tre alternativer for utvikling av arrangementet:

1. Den enkleste måten å bli kvitt det på er å slette alle infiserte filer (dette er akseptabelt med mindre dataene er spesielt viktige).
2. Gå til laboratoriet til et antivirusprogram, for eksempel Dr. WEB. Sørg for å sende flere infiserte filer til utviklerne sammen med dekrypteringsnøkkelen, som ligger på datamaskinen som KEY.PRIVATE.
3. Den dyreste måten. Det innebærer å betale beløpet som hackere ber om for å dekryptere infiserte filer. Som regel er kostnaden for denne tjenesten mellom 200 og 500 amerikanske dollar. Dette er akseptabelt i en situasjon der et virus har kryptert filene til et stort selskap der det skjer en betydelig informasjonsflyt hver dag, og dette ondsinnede programmet kan forårsake kolossal skade i løpet av sekunder. I denne forbindelse er betaling det raskeste alternativet for å gjenopprette infiserte filer.

Noen ganger viser det seg at et ekstra alternativ er effektivt. I tilfellet der et virus har krypterte filer (paycrypt@gmail_com eller annen skadelig programvare), kan det hjelpe for noen dager siden.

Dekrypteringsprogrammet RectorDecryptor

Hvis viruset har krypterte jpg-, doc-, cbf-filer osv., kan et spesielt program hjelpe. For å gjøre dette, må du først gå til oppstart og deaktivere alt unntatt antivirus. Deretter må du starte datamaskinen på nytt. Se alle filer, fremhev mistenkelige. Feltet kalt "Kommando" indikerer plasseringen av en bestemt fil (vær oppmerksom på applikasjoner som ikke har en signatur: produsent - ingen data).

Alle mistenkelige filer må slettes, deretter må du tømme nettleserbuffer og midlertidige mapper (CCleaner er egnet for dette).

For å begynne å dekryptere, må du laste ned programmet ovenfor. Kjør den deretter og klikk på "Start skanning"-knappen, som indikerer de endrede filene og deres utvidelse. I moderne versjoner av dette programmet kan du bare spesifisere selve den infiserte filen og klikke på "Åpne" -knappen. Etter dette vil filene bli dekryptert.

Deretter skanner verktøyet automatisk alle datadata, inkludert filer som ligger på den vedlagte nettverksstasjonen, og dekrypterer dem. Denne gjenopprettingsprosessen kan ta flere timer (avhengig av mengden arbeid og hastigheten på datamaskinen).

Som et resultat vil alt bli dekryptert til samme katalog der de opprinnelig var plassert. Til slutt gjenstår det bare å slette alle eksisterende filer med en mistenkelig utvidelse, som du kan merke av for i forespørselen "Slett krypterte filer etter vellykket dekryptering" ved først å klikke på knappen "Endre skanneparametere". Det er imidlertid bedre å ikke installere det, siden hvis dekryptering av filer ikke lykkes, kan de bli slettet, og deretter må du gjenopprette dem først.

Så hvis et virus har krypterte doc, cbf, jpg, etc.-filer, bør du ikke skynde deg å betale for koden. Kanskje blir han ikke nødvendig.

Nyanser ved å slette krypterte filer

Når du prøver å eliminere alle skadede filer gjennom et standardsøk og påfølgende sletting, kan datamaskinen fryse og bremse ned. I denne forbindelse er det verdt å bruke en spesiell for denne prosedyren. Etter å ha startet den, må du skrive inn følgende: del "<диск>:\*.<расширение зараженного файла>"/f/s.

Det er viktig å slette filer som "Read-me.txt", som du i samme kommandolinje skal angi: del "<диск>:\*.<имя файла>"/f/s.

Dermed kan det bemerkes at hvis viruset har omdøpt og kryptert filer, bør du ikke umiddelbart bruke penger på å kjøpe en nøkkel fra angripere; du bør først prøve å finne ut av problemet selv. Det er bedre å investere penger i å kjøpe et spesielt program for dekryptering av skadede filer.

Til slutt er det verdt å huske at denne artikkelen diskuterte spørsmålet om hvordan du dekrypterer filer kryptert av et virus.