• Obnovte soubory zašifrované pomocí šifrování. Co je to ransomware virus. Odstraňte ransomware pomocí Malwarebytes Anti-malware

    Ahoj všichni, dnes vám řeknu, jak dešifrovat soubory po viru ve Windows. Jedním z nejproblematičtějších malwarů současnosti je trojský kůň nebo virus, který šifruje soubory na disku uživatele. Některé z těchto souborů lze dešifrovat a některé ještě ne. V článku popíšu možné algoritmy akcí v obou situacích.

    Existuje několik modifikací tohoto viru, ale obecnou podstatou práce je, že po instalaci na váš počítač jsou váš dokument, obrázek a další potenciálně důležité soubory zašifrovány se změnou přípony, načež obdržíte zprávu, že všechny vaše soubory byly zašifrovány a abyste je mohli dešifrovat, musíte útočníkovi poslat určitou částku.

    Soubory v počítači jsou šifrovány v xtbl

    Jedna z nejnovějších variant viru ransomware šifruje soubory a nahrazuje je soubory s příponou .xtbl a názvem skládajícím se z náhodné sady znaků.

    Současně počítač hostuje textový soubor readme.txt s následujícím obsahem: „Vaše soubory byly zašifrovány. Chcete-li je dešifrovat, musíte kód odeslat na emailová adresa [e-mail chráněný], [e-mail chráněný] nebo [e-mail chráněný] Dále dostanete vše potřebné pokyny. Pokusy o dešifrování souborů sami povedou k nenapravitelné ztrátě informací “(e-mailová adresa a text se mohou lišit).

    Bohužel v současné době neexistuje způsob, jak dešifrovat .xtbl (jakmile se objeví, instrukce budou aktualizovány). Někteří uživatelé, kteří měli opravdu důležitá informace, hlásí na antivirových fórech, že autorům viru poslali 5 000 rublů nebo jinou požadovanou částku a dostali dešifrovač, ale to je velmi riskantní: nemusíte dostat nic.

    Co když byly soubory zašifrovány v .xtbl? Moje doporučení jsou následující (liší se ale od těch na mnoha jiných tematických stránkách, kde např. doporučují okamžitě vypnout počítač ze sítě nebo virus neodstraňovat. Podle mého názoru je to zbytečné a za určitých okolností může to být dokonce škodlivé, ale je to na vás.):

    1. Pokud víte jak, přerušte proces šifrování odstraněním příslušných úloh ve správci úloh, odpojením počítače od internetu (to může být nezbytná podmínka pro šifrování)
    2. Zapamatujte si nebo si zapište kód, který útočníci požadují zaslání na e-mailovou adresu (ne však do textového souboru v počítači, pro jistotu, aby nebyl zašifrován).
    3. Použití Malwarebytes Antimalware, zkušební verze verze Kaspersky internetová bezpečnost nebo Dr.Web Cure It k odstranění viru, který šifruje soubory (všechny uvedené nástroje to dělají dobře). Doporučuji vám používat postupně první a druhý produkt ze seznamu (pokud však máte nainstalovaný antivirus, instalace druhého „shora“ je nežádoucí, protože to může vést k problémům s vaším počítačem.)
    4. Počkejte, až se objeví decryptor od nějaké antivirové společnosti. Zde je v popředí společnost Kaspersky Lab.
    5. Můžete také odeslat příklad zašifrovaného souboru a požadovaného kódu [e-mail chráněný], pokud máte nezašifrovanou kopii stejného souboru, pošlete ji prosím také. Teoreticky to může urychlit vzhled dekodéru.

    Co nedělat:

    • Přejmenujte zašifrované soubory, změňte příponu a odstraňte je, pokud jsou pro vás důležité.

    To je možná vše, co mohu v tuto chvíli říci o šifrovaných souborech s příponou .xtbl.

    Trojan-Ransom.Win32.Aura a Trojan-Ransom.Win32.Rakhni

    Následující trojský kůň šifruje soubory a instaluje rozšíření z tohoto seznamu:

    • .zamčeno
    • .crypto
    • .kraken
    • .AES256 (ne nutně tento trojan, existují i ​​​​jiné, které instalují stejné rozšíření).
    • [e-mail chráněný] _com
    • .oshit
    • A další.

    Pro dešifrování souborů po působení těchto virů má webová stránka Kaspersky bezplatný nástroj RakhniDecryptor, dostupný na oficiální stránka http://support.kaspersky.ru/viruses/disinfection/10556.

    Tam je také přítomen podrobné pokyny o použití tohoto nástroje, který ukazuje, jak obnovit zašifrované soubory, ze kterých bych pro každý případ odstranil položku „Po úspěšném dešifrování smazat šifrované soubory“ (i když si myslím, že s nainstalovanou možností bude vše v pořádku).

    Pokud máte licenci na antivirus Dr.Web, můžete použít bezplatné dešifrování od této společnosti na adrese http://support.drweb.com/new/free_unlocker/

    Další varianty viru ransomware

    Méně časté, ale existují také následující trojské koně, které šifrují soubory a vyžadují peníze na dešifrování. Uvedené odkazy obsahují nejen nástroje pro vrácení vašich souborů, ale také popis příznaků, které vám pomohou určit, že máte tento konkrétní virus. I když obecně platí, že nejlepším způsobem je prohledat systém pomocí Kaspersky Anti-Virus, zjistit název trojského koně podle klasifikace této společnosti a poté vyhledat nástroj pod tímto názvem.

    • Trojan-Ransom.Win32.Rector – bezplatný nástroj pro dešifrování RectorDecryptor a průvodce používáním dostupný zde: http://support.kaspersky.ru/viruses/disinfection/4264
    • Trojan-Ransom.Win32.Xorist je podobný trojan, který vyskočí okno s žádostí o odeslání placené SMS nebo kontaktování e-mailu pro pokyny k dešifrování. Pokyny pro obnovu zašifrovaných souborů a nástroj XoristDecryptor k tomu naleznete na adrese http://support.kaspersky.ru/viruses/disinfection/2911
    • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – nástroj RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
    • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 a další se stejným názvem (při vyhledávání přes antivirus Dr.Web nebo nástroj Cure It) a různá čísla- zkuste na internetu vyhledat název trojského koně. Pro některé z nich existují nástroje pro dešifrování od Dr.Web, také pokud nemůžete nástroj najít, ale existuje licence Dr.Web, můžete použít oficiální stránku http://support.drweb.com/new/ free_unlocker/
    • CryptoLocker - k dešifrování souborů po zprovoznění CryptoLocker můžete použít stránku http://decryptcryptolocker.com - po odeslání ukázkového souboru obdržíte klíč a nástroj pro obnovu vašich souborů.

    No, z posledních zpráv - Kaspersky Lab společně s policisty z Nizozemska vyvinuli Ransomware Decryptor (http://noransom.kaspersky.com) pro dešifrování souborů po CoinVault, ale tento ransomware se v našich zeměpisných šířkách zatím nenachází.

    Mimochodem, pokud se najednou ukáže, že máte co přidat (protože možná nestihnu sledovat, co se děje s metodami dešifrování), dejte mi vědět v komentářích, tato informace se bude hodit ostatním uživatelům, kteří se setkali problém.

    - Tento malware, který po aktivaci zašifruje všechny osobní soubory, jako jsou dokumenty, fotografie atd. Počet takových programů je velmi velký a každým dnem se zvyšuje. Jedině v Nedávno narazili jsme na desítky možností ransomwaru: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff atd. Účelem takového ransomwaru je donutit uživatele k nákupu, často za velké peníze, programu a klíče nezbytného k dešifrování. vlastní soubory.

    Zašifrované soubory můžete samozřejmě obnovit jednoduše podle pokynů, které tvůrci viru zanechají na infikovaném počítači. Ale nejčastěji jsou náklady na dešifrování velmi významné, musíte také vědět, že některé šifrovací viry šifrují soubory takovým způsobem, že je jednoduše nelze dešifrovat později. A samozřejmě je jen nepříjemné platit za obnovu vlastních souborů.

    Níže si povíme podrobněji o virech ransomwaru, o tom, jak pronikají do počítače oběti, a také o tom, jak odstranit virus ransomware a obnovit jím zašifrované soubory.

    Jak se ransomware virus dostane do počítače

    Virus ransomware se obvykle šíří E-mailem. Dopis obsahuje infikované dokumenty. Tyto e-maily jsou odesílány na obrovskou databázi e-mailových adres. Autoři tohoto viru používají zavádějící záhlaví a obsah e-mailů a snaží se uživatele přimět k otevření dokumentu připojeného k e-mailu. Některé dopisy informují o nutnosti zaplatit účet, jiné nabízejí k nahlédnutí nejnovější ceník, jiné otevírají vtipnou fotku atp. V každém případě bude výsledkem otevření přiloženého souboru napadení počítače virem ransomware.

    Co je to ransomware virus

    Ransomware virus je část malwaru, která infikuje moderní verze operační systémy Rodiny Windows, jako jsou Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Tyto viry se snaží používat co možná nejsilnější režimy šifrování, například RSA-2048 s délkou klíče 2048 bitů, což prakticky vylučuje možnost výběr klíče pro dešifrování souborů samostatně.

    Při infikování počítače používá virus ransomware systémový adresář %APPDATA% k ukládání vlastních souborů. Pro automatické spuštění sám, když zapnete počítač, ransomware vytvoří záznam registru Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

    Ihned po spuštění virus vše prohledá dostupné disky, včetně sítě a cloudové úložiště, k určení souborů, které mají být šifrovány. Virus ransomware používá příponu názvu souboru jako způsob, jak určit skupinu souborů, které budou zašifrovány. Šifrovány jsou téměř všechny typy souborů, včetně těch běžných, jako jsou:

    0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .x , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

    Ihned po zašifrování soubor obdrží novou příponu, kterou lze často použít k identifikaci názvu nebo typu šifrovače. Některé typy těchto malwarů mohou také změnit názvy šifrovaných souborů. Virus pak vytvoří textový dokument s názvy jako HELP_YOUR_FILES, soubor README, který obsahuje pokyny pro dešifrování zašifrovaných souborů.

    Během své činnosti se ransomware snaží zablokovat možnost obnovy souborů pomocí systému SVC ( stínové kopie soubory). K tomu virus příkazový režim volá obslužný program pro správu stínových kopií souborů pomocí klíče, který spouští proceduru stínové kopie úplné odstranění. Proto je téměř vždy nemožné obnovit soubory pomocí jejich stínových kopií.

    Virus ransomware aktivně využívá zastrašovací taktiku tím, že oběti poskytne odkaz na popis šifrovacího algoritmu a na ploše zobrazí výhružnou zprávu. Snaží se tak donutit uživatele infikovaného počítače, aby bez váhání poslal ID počítače na e-mailovou adresu autora viru, aby se pokusil vrátit jeho soubory. Reakcí na takovou zprávu je nejčastěji výše výkupného a adresa elektronické peněženky.

    Je můj počítač napaden virem ransomware?

    Je poměrně snadné určit, zda je počítač napaden virem ransomware nebo ne. Věnujte pozornost příponám vašich osobních souborů, jako jsou dokumenty, fotografie, hudba atd. Pokud se přípona změnila nebo vaše osobní soubory zmizely a zůstalo po nich mnoho souborů s neznámými názvy, je počítač infikován. Kromě toho je známkou infekce přítomnost souboru s názvem HELP_YOUR_FILES nebo README ve vašich adresářích. Tento soubor bude obsahovat pokyny pro dešifrování souborů.

    Pokud máte podezření, že jste otevřeli dopis infikovaný virem ransomware, ale zatím se neobjevily žádné příznaky infekce, nevypínejte ani nerestartujte počítač. Postupujte podle kroků popsaných v části této příručky. Opět je velmi důležité nevypínat počítač, u některých typů ransomwaru se proces šifrování souborů aktivuje při prvním zapnutí počítače po infekci!

    Jak dešifrovat soubory zašifrované virem ransomware?

    Pokud se toto neštěstí stalo, pak není třeba panikařit! Musíte ale vědět, že ve většině případů neexistuje žádný bezplatný dešifrovač. Důvodem jsou silné šifrovací algoritmy používané takovým malwarem. To znamená, že je téměř nemožné dešifrovat soubory bez soukromého klíče. Použití metody výběru klíče také není možné kvůli velké délce klíče. Jediným způsobem, jak se pokusit získat dešifrovací klíč, je tedy bohužel pouze zaplacení celé požadované částky autorům viru.

    Samozřejmě neexistuje absolutně žádná záruka, že po zaplacení se autoři viru spojí a poskytnou klíč potřebný k dešifrování vašich souborů. Kromě toho musíte pochopit, že placením peněz vývojářům virů je vy sami tlačíte k vytváření nových virů.

    Jak odstranit ransomware virus?

    Než budete pokračovat, musíte vědět, že když začnete odstraňovat virus a pokoušíte se obnovit soubory sami, zablokujete možnost dešifrovat soubory tím, že zaplatíte autorům viru částku, kterou požadovali.

    Kaspersky Odstranění virů Nástroj a Malwarebytes Anti-malware dokáže detekovat odlišné typy aktivní ransomware viry a snadno je odstraní z počítače, ALE neumí obnovit zašifrované soubory.

    5.1. Odstraňte ransomware pomocí nástroje Kaspersky Virus Removal Tool

    Ve výchozím nastavení je program nakonfigurován tak, aby obnovoval všechny typy souborů, ale pro urychlení práce se doporučuje ponechat pouze typy souborů, které potřebujete obnovit. Po dokončení výběru stiskněte tlačítko OK.

    V dolní části okna QPhotoRec najděte tlačítko Procházet a klikněte na něj. Musíte vybrat adresář, kam se budou ukládat obnovené soubory. Je vhodné použít disk, který neobsahuje šifrované soubory vyžadující obnovu (můžete použít USB flash disk nebo externí disk).

    Chcete-li zahájit postup pro vyhledávání a obnovu původních kopií zašifrovaných souborů, klepněte na tlačítko Hledat. Tento proces trvá poměrně dlouho, takže buďte trpěliví.

    Po dokončení vyhledávání klikněte na tlačítko Ukončit. Nyní otevřete složku, kterou jste vybrali pro uložení obnovených souborů.

    Složka bude obsahovat adresáře s názvem recup_dir.1, recup_dir.2, recup_dir.3 a tak dále. Jak více souborů najde program, tím více adresářů bude. Chcete-li najít soubory, které potřebujete, zkontrolujte postupně všechny adresáře. Aby bylo snazší najít soubor, který potřebujete, mezi velký počet obnovit, použijte vestavěný vyhledávací systém Windows (podle obsahu souboru) a také nezapomeňte na funkci třídění souborů v adresářích. Jako parametr řazení můžete vybrat datum, kdy byl soubor změněn, protože QPhotoRec se při obnově souboru pokouší tuto vlastnost obnovit.

    Jak zabránit napadení počítače virem ransomware?

    Většina moderních antivirových programů má již zabudovaný ochranný systém proti pronikání a aktivaci ransomwarových virů. Pokud tedy váš počítač nemá antivirový program pak ji určitě nainstalujte. Jak si jej vybrat, zjistíte přečtením tohoto.

    Navíc existují specializované ochranné programy. Jedná se například o CryptoPrevent, další podrobnosti.

    Pár slov na závěr

    Podle těchto pokynů bude váš počítač vyčištěn od viru ransomware. Máte-li dotazy nebo potřebujete pomoc, kontaktujte nás.

    Pokud je systém infikován malwarem rodin Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl nebo Trojan-Ransom.Win32.CryptXXX, pak budou všechny soubory v počítači zašifrovány následovně:

    • Při infekci Trojan-Ransom.Win32.Rannoh názvy a přípony se budou měnit podle vzoru zamčeno-<оригинальное_имя>.<4 произвольных буквы> .
    • Při infekci Trojan-Ransom.Win32.Cryakl na konec obsahu souborů se přidá značka (CRYPTENDBLACKDC) .
    • Při infekci Trojan-Ransom.Win32.AutoIt prodloužení se mění podle vzoru <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
      Například, [e-mail chráněný] _.RZWDTDIC.
    • Při infekci Trojan-Ransom.Win32.CryptXXX rozšíření se mění podle vzorů <оригинальное_имя>.krypta,<оригинальное_имя>. kryptoměna A <оригинальное_имя>. krypt1.

    Nástroj RannohDecryptor je určen k dešifrování souborů po infekci Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl nebo Trojan-Ransom.Win32.CryptXXX verze 1 , 2 A 3 .

    Jak vyléčit systém

    Chcete-li vyléčit infikovaný systém:

    1. Stáhněte si soubor RannohDecryptor.zip.
    2. Spusťte soubor RannohDecryptor.exe na infikovaném počítači.
    3. V hlavním okně klikněte na Spusťte ověřování.
    1. Zadejte cestu k zašifrovanému a nezašifrovanému souboru.
      Pokud je soubor zašifrován Trojan-Ransom.Win32.CryptXXX, zadejte soubory velká velikost. Dešifrování bude dostupné pouze pro soubory stejné nebo menší velikosti.
    2. Počkejte na konec vyhledávání a dešifrování zašifrovaných souborů.
    3. V případě potřeby restartujte počítač.
    4. Chcete-li odstranit kopii zašifrovaných souborů, jako je zamčeno-<оригинальное_имя>.<4 произвольных буквы> po úspěšném dešifrování vyberte .

    Pokud byl soubor zašifrován Trojan-Ransom.Win32.Cryakl, poté nástroj uloží soubor do starého umístění s příponou .decryptedKLR.original_extension. Pokud jste si vybrali Po úspěšném dešifrování smažte zašifrované soubory, pak bude dešifrovaný soubor uložen obslužným programem s původním názvem.

    1. Ve výchozím nastavení nástroj odesílá zprávu o operaci do kořenového adresáře systémový disk(jednotka, na které je nainstalován OS).

      Název přehledu vypadá takto: UtilityName.Version_Date_Time_log.txt

      Například, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    Na infikovaném systému Trojan-Ransom.Win32.CryptXXX, nástroj skenuje omezený počet formátů souborů. Když uživatel vybere soubor ovlivněný CryptXXX v2, obnova klíče může trvat dlouho. V tomto případě nástroj zobrazí varování.

    Odvolání: Trojské koně z rodiny Trojan.Encoder jsou škodlivé programy, které šifrují soubory na pevném disku počítače a požadují za jejich dešifrování peníze. Soubory *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar atd. lze šifrovat.
    Nebylo možné osobně poznat celou rodinu tohoto viru, ale jak ukazuje praxe, způsob infekce, léčby a dešifrování je pro všechny přibližně stejný:
    1. oběť se nakazí prostřednictvím nevyžádaného e-mailu s přílohou (méně často infekcí),
    2. virus je rozpoznán a odstraněn (již) téměř jakýmkoli antivirem s čerstvými databázemi,
    3. soubory jsou dešifrovány výběrem hesel-klíčů pro použité typy šifrování.
    Například Trojan.Encoder.225 používá šifrování RC4 (upravené) + DES, zatímco Trojan.Encoder.263 používá BlowFish v režimu CTR. Tyto viry jsou v současnosti z 99 % dešifrovány na základě osobní praxe.

    Ale ne všechno je tak hladké. Některé ransomwarové viry vyžadují měsíce nepřetržitého dešifrování (Trojan.Encoder.102), zatímco jiné (Trojan.Encoder.283) nemohou být dešifrovány vůbec ani specialisty Doctor Web, což ve skutečnosti hraje v tomto článku klíčovou roli.

    Nyní v pořádku.

    Začátkem srpna 2013 mě klienti kontaktovali s problémem se soubory zašifrovanými virem Trojan.Encoder.225. Virus je v té době nový, nikdo nic neví, na internetu jsou 2-3 tematické odkazy Google. Po dlouhém hledání na internetu se ukazuje, že jedinou (nalezenou) organizací, která se problémem dešifrování souborů po tomto viru zabývá, je Doctor Web. Totiž: dává doporučení, pomáhá při kontaktování technické podpory, vyvíjí vlastní dešifrovače atd.

    Negativní ústup.

    A rád bych využil této příležitosti a upozornil na dva výkrm minus "Kaspersky Lab". Což při kontaktování jejich technické podpory odmítne „na tomto problému pracujeme, o výsledcích vás budeme informovat e-mailem“. A přesto je mínus, že jsem nikdy nedostal odpověď na žádost. Po 4 měsících. Seru na svou reakční dobu. A zde se snažím o standardní „ne více než jednu hodinu od registrace přihlášky“.
    Je to škoda, soudruhu Evgeny Kaspersky, výkonný ředitel Kaspersky Lab. Ale "sedí" mi na tom dobrá polovina všech firem. Dobře, licence končí v lednu až březnu 2014. Má cenu mluvit o tom, jestli si prodloužím licenci? ;)

    Zastupuji tváře „specialistů“ z „jednodušších“ společností, abych tak řekl, NE gigantů antivirového průmyslu. Pravděpodobně obecně „schoulený v koutě“ a „tiše plakal“.
    I když, co tam je, se úplně všichni „nasrali“ na maximum. Antivirus v zásadě neměl umožnit, aby se tento virus dostal do počítače. Zvláště s ohledem moderní technologie. A pro „ni“, OBŘI antivirový průmysl, prý je vše pod kontrolou, „heuristická analýza“, „systém předvídání“, „proaktivní obrana“ ...

    KDE BYLY VŠECHNY TYTO SUPER-SYSTÉMY, KDYŽ HR PRACOVNÍK OTEVŘEL DOPIS "ŠKODLIVÝ" S PŘEDMĚTEM "SHRNUTÍ"???
    Co by si měl zaměstnanec myslet?
    Pokud nás nemůžete ochránit VY, tak proč VÁS vůbec potřebujeme?

    A s Doctor Web by bylo všechno v pořádku, ale abyste získali pomoc, musíte mít samozřejmě licenci na jakýkoli z jejich softwarových produktů. Při kontaktování technické podpory (dále jen TP) musíte poskytnout sériové číslo Dr.Web a nezapomeňte v řádku "Kategorie požadavku:" vybrat "žádost o léčbu" nebo jim jednoduše poskytnout zašifrovaný soubor do laboratoře. Okamžitě udělám rezervaci, že takzvané „log klíče“ Dr.Web, které jsou dávkově rozmístěny na internetu, nejsou vhodné, protože nepotvrzují nákup žádných softwarových produktů a jsou prohlédnuto specialisty TP na jednu nebo dvě. Je snazší koupit licenci nejvíce "deshman". Protože pokud jste se pustili do dešifrování, tato licence se vám milionkrát vyplatí. Zvláště pokud složka s obrázky "Egypt 2012" byla v jedné kopii ...

    Pokus #1

    Po zakoupení „licence pro 2 počítače na rok“ za n-částku peněz, kontaktování TP a poskytnutí některých souborů jsem obdržel odkaz na dešifrovací nástroj te225decrypt.exe verze 1.3.0.0. V očekávání úspěchu spustím nástroj (musíte jej nasměrovat na jeden ze zašifrovaných *. doc soubory). Utilita spustí výběr, nemilosrdně nahraje 90-100 % starého procesoru E5300 DualCore, 2600 MHz (přetaktováno na 3,46 GHz) / 8192 MB DDR2-800, HDD 160Gb Western Digital.
    Zde je paralelně se mnou do práce zařazen kolega na PC core i5 2500k (přetaktování na 4,5ghz) / 16 ram 1600 / ssd intel (to je pro srovnání stráveného času na konci článku).
    Po 6 dnech utilita hlásila dešifrování 7277 souborů. Ale štěstí netrvalo dlouho. Všechny soubory byly dešifrovány "nakřivo". To je např. dokumenty microsoft kancelář otevřená, ale s různými chybami: " Aplikace Word Dokument *.docx nalezl obsah, který nelze přečíst“ nebo „Soubor *.docx nelze otevřít kvůli chybám obsahu“. Soubory *.jpg se také otevírají buď s chybou, nebo se 95 % obrázku ukáže jako vybledlé černé nebo limetkově zelené pozadí. Soubory *.rar mají "Neočekávaný konec archivu".
    Obecně platí, že naprosté selhání.

    Pokus #2

    O výsledcích píšeme do TP. Poskytněte prosím několik souborů. O den později opět dávají odkaz na utilitu te225decrypt.exe, ale již verze 1.3.2.0. No, začněme, tehdy stejně nebyla žádná alternativa. Trvá to asi 6 dní a nástroj ukončí svou práci s chybou "Nelze vybrat parametry šifrování." Celkem 13 dní „dole vodou“.
    My se ale nevzdáváme, na účet důležitých dokumentů našeho *hloupého* klienta bez elementárních záloh.

    Pokus #3

    O výsledcích píšeme do TP. Poskytněte prosím několik souborů. A jak asi tušíte, o den později dávají odkaz na stejnou utilitu te225decrypt.exe, ale již verze 1.4.2.0. No, začněme, protože neexistovala žádná alternativa, ani od Kaspersky Lab, ani od ESET NOD32, ani od jiných výrobců antivirová řešení. A nyní, po 5 dnech 3 hodinách 14 minutách (123,5 hodiny), nástroj hlásí dešifrování souborů (kolegovi na core i5 trvalo dešifrování pouze 21 hodin 10 minut).
    No, myslím, že bylo, nebylo. A ejhle: naprostý úspěch! Všechny soubory jsou správně dešifrovány. Vše se správně otevírá, zavírá, vypadá, upravuje a ukládá.

    Všichni jsou šťastní, KONEC.

    "Kde je příběh o viru Trojan.Encoder.263?", ptáte se. A na dalším PC, pod stolem... bylo. Všechno tam bylo jednodušší: Zapíšeme do TP Doctora Weba, dostaneme utilitu te263decrypt.exe, spustíme ji, počkáme 6,5 dne, voila! a vše je připraveno. Abych to shrnul, mohu vám dát několik tipů z fóra Doctor Web v mém vydání:

    Co dělat v případě infekce virem ransomware:
    - poslat do virové laboratoře Dr. Web nebo ve formuláři „Odeslat podezřelý soubor» zašifrovaný soubor doc.
    - Počkejte na odpověď od zaměstnance Dr.Web a poté postupujte podle jeho pokynů.

    Co NEDĚLAT:
    - změnit příponu šifrovaných souborů; V opačném případě s dobře zvoleným klíčem nástroj jednoduše „neuvidí“ soubory, které je třeba dešifrovat.
    - používejte samostatně bez konzultace s odborníky jakékoli programy pro dešifrování / obnovu dat.

    Pozor, mám server bez dalších úloh, nabízím své bezplatné služby pro dešifrování VAŠICH dat. Serverové jádro i7-3770K s přetaktováním na *určité frekvence*, 16GB RAM a SSD Vertex 4.
    Pro všechny aktivní uživatele Habr bude použití mých zdrojů ZDARMA!!!
    Napište mi do osobních nebo jiných kontaktů. Už jsem na to "sežral psa". Proto nejsem příliš líný dát server pro dešifrování v noci.
    Tento virus je „metla“ modernity a brát „kořist“ od kolegů vojáků není humánní. I když, když mi někdo "přihodí" pár babek na můj účet Yandex.money 410011278501419 - nebude mi to vadit. To ale není vůbec nutné. Kontakt. Žádosti zpracovávám ve svém volném čase.

    Nové stopy!

    Počínaje 12. 8. 2013 se pod klasifikací Doctor Web začal šířit nový virus ze stejné řady Trojan.Encoder - Trojan.Encoder.263, ale s RSA šifrování. Tenhle typ k dnešnímu dni (20.12.2013) nerozluštitelný, protože používá velmi silnou metodu šifrování.

    Každému postiženému tímto virem doporučuji:
    1. Pomocí vestavěných vyhledávání ve windows najít všechny soubory obsahující příponu .perfect, zkopírujte je do externí média.
    2. Zkopírujte stejný soubor CONTACT.txt
    3. Položte toto externí médium na polici.
    4. Počkejte, až se objeví nástroj dekodéru.

    Co NEDĚLAT:
    Nemusíte jednat s podvodníky. To je hloupé. Ve více než 50 % případů po „platbě“ ve výši přibližně 5000 rublů nedostanete NIC. Žádné peníze, žádný dekodér.
    Abychom byli spravedliví, je třeba poznamenat, že na internetu jsou ti „šťastlivci“, kteří za „kořist“ obdrželi své soubory zpět dešifrováním. Ale nevěřte těmto lidem. Kdybych byl autor virů, první věc, kterou bych udělal, je šířit informace typu „Zaplatil jsem a poslali mi dešifrovač!!!“.
    Za těmito „šťastlivci“ mohou stát stále stejní útočníci.

    No... přejme hodně štěstí ostatním antivirovým společnostem při vytváření utility pro dešifrování souborů po virech skupiny Trojan.Encoder.

    Zvláštní poděkování za práci odvedenou na vytvoření utilit dekodéru soudruhu v.martyanovovi z fóra Doctor Web.

    Pokud má počítač textová zpráva, který říká, že vaše soubory jsou šifrované, pak nespěchejte s panice. Jaké jsou příznaky šifrování souborů? Obvyklá přípona se změní na *.vault, *.xtbl, * [e-mail chráněný] _XO101 atd. Soubory nelze otevřít - je vyžadován klíč, který lze zakoupit zasláním dopisu na adresu uvedenou ve zprávě.

    Odkud jsi získal zašifrované soubory?

    Počítač zachytil virus, který blokoval přístup k informacím. Antiviry je často přeskakují, protože tento program je obvykle založen na nějaké neškodné bezplatné šifrovací utilitě. Samotný virus odstraníte dostatečně rychle, ale s dešifrováním informací mohou nastat vážné problémy.

    Technická podpora společností Kaspersky Lab, Dr.Web a dalších známých společností zapojených do vývoje antivirového softwaru v reakci na požadavky uživatelů na dešifrování dat uvádí, že to není možné provést v přiměřené době. Existuje několik programů, které mohou kód zachytit, ale mohou pracovat pouze s dříve studovanými viry. Pokud se potýkáte s nová modifikace, pak je šance na obnovení přístupu k informacím extrémně malá.

    Jak se ransomware virus dostane do počítače?

    V 90 % případů si virus v počítači aktivují sami uživatelé otevíráním neznámých e-mailů. Poté přijde e-mail s provokativním předmětem – „Předvolání k soudu“, „Dluh z půjčky“, „Oznámení daňové inspekce“ atd. Uvnitř falešného emailu je příloha, po jejím stažení se ransomware dostane do počítače a začne postupně blokovat přístup k souborům.

    Šifrování neproběhne okamžitě, takže uživatelé mají čas na odstranění viru dříve, než jsou všechny informace zašifrovány. Škodlivý skript můžete zničit pomocí čistících nástrojů Dr.Web CureIt, Kaspersky Internet Security a Malwarebytes Antimalware.

    Způsoby obnovení souborů

    Pokud byla v počítači povolena ochrana systému, pak i po působení viru ransomware existuje šance na obnovení souborů do normálního stavu pomocí stínových kopií souborů. Ransomware se je obvykle snaží odstranit, ale někdy se jim to nepodaří kvůli nedostatku administrátorských práv.

    Obnovení předchozí verze:

    Chcete-li zachovat předchozí verze, musí být povolena ochrana systému.

    Důležité: Před zobrazením ransomwaru musí být povolena ochrana systému, poté už to nepomůže.

    1. Otevřete vlastnosti "Počítač".
    2. Z nabídky vlevo vyberte „Ochrana systému“.
    3. Zvýrazněte jednotku C a klikněte na „Konfigurovat“.
    4. Vyberte nastavení obnovení a předchozí verze soubory. Proveďte změny kliknutím na OK.

    Pokud jste provedli tato opatření před objevením se viru, který šifruje soubory, pak po vyčištění počítače od škodlivého kódu budete mít velkou šanci na obnovení svých informací.

    Pomocí speciálních nástrojů

    Společnost Kaspersky Lab připravila několik nástrojů, které vám pomohou otevřít šifrované soubory po odstranění viru. První decryptor, který stojí za vyzkoušení, je Kaspersky RectorDecryptor.

    1. Stáhněte si aplikaci z oficiálních stránek společnosti Kaspersky Lab.
    2. Poté spusťte nástroj a klikněte na „Spustit skenování“. Zadejte cestu k libovolnému zašifrovanému souboru.

    Pokud malware nezměnil příponu souborů, pak je k dešifrování musíte shromáždit do samostatné složky. Pokud je nástroj RectorDecryptor, stáhněte si další dva programy z oficiálního webu Kaspersky - XoristDecryptor a RakhniDecryptor.

    Nejnovější nástroj od společnosti Kaspersky Lab se nazývá Ransomware Decryptor. Pomáhá dešifrovat soubory po viru CoinVault, který se v RuNetu zatím příliš nevyskytuje, ale může brzy nahradit ostatní trojské koně.

    Přečtěte si více: