• ابزار حذف باج افزار. ویروس رمزگذاری - چیست، چرا خطرناک است

    به خاطر آوردن:تروجان های خانواده Trojan.Encoder برنامه های مخربی هستند که فایل ها را روی هارد دیسک کامپیوتر رمزگذاری می کنند و برای رمزگشایی آنها پول طلب می کنند. فایل های *.mp3، *.doc، *.docx، *.pdf، *.jpg، *.rar و غیره را می توان رمزگذاری کرد.
    امکان ملاقات شخصی با کل خانواده این ویروس وجود نداشت، اما همانطور که تمرین نشان می دهد، روش عفونت، درمان و رمزگشایی تقریباً برای همه یکسان است:
    1. قربانی از طریق یک ایمیل هرزنامه با یک پیوست آلوده می شود (کمتر توسط عفونت)،
    2. ویروس تقریباً توسط هر آنتی ویروسی با پایگاه داده جدید شناسایی و حذف می شود (در حال حاضر).
    3. فایل ها با انتخاب کلیدهای رمز عبور برای انواع رمزگذاری مورد استفاده رمزگشایی می شوند.
    برای مثال، Trojan.Encoder.225 از رمزگذاری RC4 (اصلاح شده) + DES استفاده می کند، در حالی که Trojan.Encoder.263 از BlowFish در حالت CTR استفاده می کند. این ویروس ها در حال حاضر 99 درصد بر اساس تمرین شخصی رمزگشایی می شوند.

    اما همه چیز آنقدر هموار نیست. برخی از ویروس‌های باج‌افزار به ماه‌ها رمزگشایی مداوم نیاز دارند (Trojan.Encoder.102)، در حالی که برخی دیگر (Trojan.Encoder.283) اصلاً توسط متخصصان دکتر وب قابل رمزگشایی نیستند، که در واقع نقش کلیدی در این مقاله دارد.

    حالا به ترتیب

    در ابتدای آگوست 2013، مشتریان با مشکلی در فایل های رمزگذاری شده توسط ویروس Trojan.Encoder.225 با من تماس گرفتند. ویروس در آن زمان جدید است، هیچ کس چیزی نمی داند، 2-3 لینک موضوعی گوگل در اینترنت وجود دارد. پس از جستجوی طولانی در اینترنت، مشخص شد که تنها سازمان (پیدا شده) که با مشکل رمزگشایی فایل ها پس از این ویروس سروکار دارد، Doctor Web است. یعنی: توصیه هایی را ارائه می دهد ، هنگام تماس با پشتیبانی فنی کمک می کند ، رمزگشاهای خود را توسعه می دهد و غیره.

    عقب نشینی منفی

    و من می خواهم از این فرصت استفاده کنم و به دو مورد اشاره کنم چاق کننده منهای "آزمایشگاه کسپرسکی". که هنگام تماس با پشتیبانی فنی خود، "ما در حال کار روی این موضوع هستیم، نتایج را از طریق پست به شما اطلاع خواهیم داد." و با این حال، منفی این است که من هرگز پاسخی به درخواست دریافت نکردم. بعد از 4 ماه. لعنت به زمان واکنشت و در اینجا من برای استاندارد "نه بیش از یک ساعت از ثبت برنامه" تلاش می کنم.
    شرم آور است، رفیق اوگنی کسپرسکی، مدیر عامل آزمایشگاه کسپرسکی. اما من نیمی از تمام شرکت‌ها روی آن نشسته‌اند. خوب، خوب، مجوزها در ژانویه تا مارس 2014 به پایان می رسند. آیا ارزش این را دارد که در مورد تمدید مجوز صحبت کنم؟ ;)

    من چهره "متخصصان" شرکت های "ساده تر" را نمایندگی می کنم، نه غول های صنعت ضد ویروس. احتمالاً به طور کلی "در گوشه ای جمع شده اند" و "بی سر و صدا گریه می کنند."
    اگرچه ، آنچه وجود دارد ، کاملاً همه "لعنتی" کردند. آنتی ویروس در اصل نباید اجازه می داد که این ویروس وارد کامپیوتر شود. به خصوص با توجه به تکنولوژی مدرن. و "آنها"، غول های صنعت ضد ویروس، ظاهراً همه چیز را تحت کنترل دارند، "تحلیل اکتشافی"، "سیستم پیش بینی"، "دفاع پیشگیرانه" ...

    زمانی که کارمند منابع انسانی نامه "مضر" را با موضوع "خلاصه" باز کرد، همه این ابر سیستم ها کجا بودند؟
    کارمند باید به چه چیزی فکر کند؟
    اگر نمی توانید از ما محافظت کنید، پس چرا اصلاً به شما نیاز داریم؟

    و همه چیز با دکتر وب خوب خواهد بود، اما برای دریافت کمک، مطمئناً باید مجوز هر یک از محصولات نرم افزاری آنها را داشته باشید. هنگام تماس با پشتیبانی فنی (از این پس به عنوان TS نامیده می شود)، باید شماره سریال Dr.Web را ارائه دهید و فراموش نکنید که "درخواست درمان" را در خط "رده درخواست:" انتخاب کنید یا به سادگی یک فایل رمزگذاری شده را به آنها ارائه دهید. آزمایشگاه. من فوراً رزرو می کنم که به اصطلاح "کلیدهای ورود" Dr.Web که به صورت دسته ای در اینترنت قرار داده شده اند مناسب نیستند زیرا خرید هیچ نرم افزاری را تأیید نمی کنند و توسط متخصصان TP برای یک یا دو مورد غربالگری می شود. خرید بیشترین "دشمن" مجوز آسانتر است. زیرا اگر رمزگشایی را انجام دهید، این مجوز میلیون ها بار برای شما سود خواهد داشت. به خصوص اگر پوشه با تصاویر "Egypt 2012" در یک کپی بود ...

    تلاش شماره 1

    بنابراین، با خرید "مجوز 2 رایانه شخصی برای یک سال" به مبلغ n پول، تماس با TP و ارائه برخی فایل ها، پیوندی به ابزار رمزگشایی te225decrypt.exe نسخه 1.3.0.0 دریافت کردم. در انتظار موفقیت، من ابزار را اجرا می کنم (شما باید آن را به یکی از فایل های *.doc رمزگذاری شده نشان دهید). ابزار انتخاب را شروع می کند و بی رحمانه 90-100٪ پردازنده قدیمی E5300 DualCore، 2600 مگاهرتز (اورکلاک شده تا 3.46 گیگاهرتز) / 8192 مگابایت DDR2-800، HDD 160 گیگابیت وسترن دیجیتال را بارگیری می کند.
    در اینجا، به موازات من، یک همکار در رایانه شخصی core i5 2500k (اورکلاک تا 4.5 گیگاهرتز) / 16 رم 1600 / ssd اینتل در کار گنجانده شده است (این برای مقایسه زمان صرف شده در پایان مقاله است).
    پس از 6 روز، ابزار در مورد رمزگشایی 7277 فایل گزارش داد. اما شادی زیاد دوام نیاورد. همه فایل‌ها به صورت "کج" رمزگشایی شدند. به عنوان مثال، اسناد آفیس مایکروسافت باز می شوند، اما با خطاهای مختلف: "محتوای کلمه یافت شده در سند *.docx که قابل خواندن نیست" یا "فایل *.docx به دلیل خطا در محتوای آن باز نمی شود." فایل‌های jpg * نیز با خطا باز می‌شوند، یا اینکه ۹۵ درصد تصویر پس‌زمینه سیاه یا سبز مایل به سبز محو شده است. * فایل های rar دارای "پایان غیرمنتظره بایگانی" هستند.
    به طور کلی، یک شکست کامل.

    تلاش شماره 2

    ما در مورد نتایج به TP نامه می نویسیم. لطفا چند تا فایل بزارید یک روز بعد، آنها دوباره پیوندی به ابزار te225decrypt.exe می دهند، اما قبلاً نسخه 1.3.2.0 است. خب، بیایید شروع کنیم، به هر حال هیچ جایگزینی وجود نداشت. حدود 6 روز طول می کشد و ابزار با خطای "عدم انتخاب پارامترهای رمزگذاری" کار خود را به پایان می رساند. مجموع 13 روز "پایین تخلیه."
    اما ما به حساب اسناد مهم مشتری *احمق* خود بدون پشتیبان گیری اولیه تسلیم نمی شویم.

    تلاش شماره 3

    ما در مورد نتایج به TP نامه می نویسیم. لطفا چند تا فایل بزارید و همانطور که ممکن است حدس زده باشید، یک روز بعد پیوندی به همان ابزار te225decrypt.exe می دهند، اما قبلاً نسخه 1.4.2.0 است. خوب، بیایید شروع کنیم، زیرا هیچ جایگزینی وجود نداشت، نه از آزمایشگاه کسپرسکی، نه از ESET NOD32، و نه از دیگر سازندگان راه حل های ضد ویروس. و اکنون، پس از 5 روز 3 ساعت و 14 دقیقه (123.5 ساعت)، این ابزار رمزگشایی فایل ها را گزارش می دهد (برای یکی از همکاران در core i5، رمزگشایی تنها 21 ساعت و 10 دقیقه طول کشید).
    خوب، فکر می کنم اینطور بود، نبود. و اینک: موفقیت کامل! همه فایل ها به درستی رمزگشایی می شوند. همه چیز باز می شود، بسته می شود، به نظر می رسد، ویرایش می شود و به درستی ذخیره می شود.

    همه خوشحال هستند، پایان.

    شما می‌پرسید: داستان ویروس Trojan.Encoder.263 کجاست؟ و در کامپیوتر بعدی، زیر میز ... بود. همه چیز در آنجا ساده تر بود: ما در TP Doctor Web می نویسیم، ابزار te263decrypt.exe را دریافت می کنیم، آن را اجرا می کنیم، 6.5 روز صبر می کنیم، voila! و همه چیز آماده است. به طور خلاصه، می توانم چند نکته از انجمن دکتر وب در نسخه خود به شما ارائه دهم:

    در صورت آلوده شدن به ویروس باج افزار چه باید کرد:
    - ارسال به آزمایشگاه ویروس دکتر. وب یا فرم "ارسال یک فایل مشکوک"، یک فایل سند رمزگذاری شده.
    - منتظر پاسخ کارمند Dr.Web باشید و سپس دستورالعمل های او را دنبال کنید.

    کارهایی که نباید انجام داد:
    - تغییر پسوند فایل های رمزگذاری شده در غیر این صورت، با یک کلید خوب انتخاب شده، ابزار به سادگی فایل هایی را که باید رمزگشایی شوند، "نمی بیند".
    - بدون مشورت با متخصصان از برنامه های رمزگشایی / بازیابی داده ها به تنهایی استفاده کنید.

    توجه، با داشتن یک سرور بدون وظایف دیگر، من خدمات رایگان خود را برای رمزگشایی داده های شما ارائه می دهم. هسته سرور i7-3770K با اورکلاک به *فرکانس های خاص*، 16 گیگابایت رم و SSD Vertex 4.
    برای تمامی کاربران فعال هابر استفاده از منابع من رایگان خواهد بود!!!
    در تماس های شخصی یا دیگر برای من بنویسید. من قبلاً در این مورد "سگ را خوردم". بنابراین، من خیلی تنبل نیستم که یک سرور برای رمزگشایی در شب قرار دهم.
    این ویروس "آفت" مدرنیته است و گرفتن "غارت" از هم رزمان انسانی نیست. اگر چه، اگر کسی چند دلار را به حساب Yandex.money من 410011278501419 "پرتاب" کند - مهم نیست. اما این اصلا ضروری نیست. مخاطب. من درخواست ها را در اوقات فراغت خود پردازش می کنم.

    سرنخ های جدید!

    از 12/08/2013، یک ویروس جدید از همان سری Trojan.Encoder تحت طبقه بندی Doctor Web - Trojan.Encoder.263، اما با رمزگذاری RSA، شروع به انتشار کرد. این دیدگاه از امروز (1392/12/20) غیرقابل کشف، زیرا از یک روش رمزگذاری بسیار قوی استفاده می کند.

    به هر کسی که تحت تأثیر این ویروس قرار گرفته است، توصیه می کنم:
    1. با استفاده از جستجوی داخلی ویندوز، همه فایل‌های حاوی پسوند .perfect را پیدا کنید، آنها را در رسانه خارجی کپی کنید.
    2. همان فایل CONTACT.txt را کپی کنید
    3. این رسانه خارجی را در قفسه قرار دهید.
    4. صبر کنید تا ابزار رمزگشا ظاهر شود.

    کارهایی که نباید انجام داد:
    لازم نیست با کلاهبرداران سر و کار داشته باشید. این احمقانه است. در بیش از 50٪ موارد، پس از "پرداخت" تقریباً 5000 روبل، چیزی دریافت نمی کنید. بدون پول، بدون رمزگشا.
    انصافاً باید به این نکته توجه داشت که «خوش‌شانس‌هایی» در اینترنت هستند که در ازای «غارت» فایل‌های خود را با رمزگشایی پس گرفته‌اند. اما به این افراد اعتماد نکنید. اگر من یک ویروس نویس بودم، اولین کاری که انجام می دادم این بود که اطلاعاتی مانند "من پول دادم و برای من رمزگشا فرستادند!!!" را پخش می کردم.
    پشت این "خوش شانس ها" ممکن است همچنان همان مهاجمان وجود داشته باشند.

    خوب... بیایید برای سایر شرکت های آنتی ویروس در ایجاد ابزاری برای رمزگشایی فایل ها پس از ویروس های گروه Trojan.Encoder آرزوی موفقیت کنیم.

    تشکر ویژه برای کار انجام شده در زمینه ایجاد ابزارهای رمزگشا برای رفیق v.martyanov از انجمن دکتر وب.

    یکی از دلایلی که می تواند بازیابی اطلاعات رمزگذاری شده را در هنگام آلوده شدن به ویروس باج افزار دشوار کند، شناسایی باج افزار است. اگر کاربر بتواند باج‌افزار را شناسایی کند، می‌تواند بررسی کند که آیا راهی رایگان برای رمزگشایی داده‌ها وجود دارد یا خیر.

    بیشتر در مورد موضوع: کار باج افزار در مثال باجگیر

    دریابید که کدام فایل های باج افزار رمزگذاری شده است

    راه های مختلفی برای شناسایی باج افزار وجود دارد. با استفاده از:

    • خود ویروس باج افزار
    • پسوند فایل رمزگذاری شده
    • باج افزار شناسه خدمات آنلاین
    • ابزارهای باج افزار Bitdefender

    با راه اول همه چیز مشخص است. بسیاری از ویروس‌های باج‌افزار، مانند The Dark Encryptor، خود را پنهان نمی‌کنند. و شناسایی بدافزارها کار سختی نیست.

    رمزگذار تاریک

    همچنین می توانید با استفاده از پسوند فایل رمزگذاری شده، باج افزار را شناسایی کنید. فقط در جستجو تایپ کنید و نتایج را ببینید.

    اما موقعیت هایی وجود دارد که تشخیص اینکه کدام رمزگذار فایل های رمزگذاری شده را آسان نمی کند. در این موارد دو روش زیر به ما کمک خواهد کرد.

    باج افزار را با استفاده از Ransomware ID شناسایی کنید

    راهی برای شناسایی باج افزار با استفاده از سرویس آنلاین Ransomware ID.

    با باج افزار Bitdefender باج افزار را شناسایی کنید

    Bitdefender Ransomware Recognition Tool یک برنامه ویندوزی جدید از Bitdefender است که در صورت آلودگی باج افزار به شناسایی باج افزار کمک می کند.

    این یک برنامه کوچک رایگان است که نیازی به نصب ندارد. تنها کاری که لازم است اجرای برنامه، پذیرش مجوز و استفاده از آن برای شناسایی باج افزار است. می توانید ابزار تشخیص باج افزار Bitdefender را از وب سایت رسمی از طریق لینک مستقیم دانلود کنید.

    Bitdefender در مورد سازگاری چیزی نمی نویسد. در مورد من، این برنامه روی یک دستگاه ویندوز 10 پرو در حال اجرا بود. لطفاً توجه داشته باشید که ابزار تشخیص باج افزار Bitdefender به اتصال اینترنت نیاز دارد.

    اصل کار مانند روش قبلی است. در فیلد اول فایل را با متن پیام و در قسمت دوم مسیر فایل های رمزگذاری شده را مشخص کنید.


    تا آنجا که من متوجه شدم، ابزار تشخیص باج افزار Bitdefender خود فایل را به سرور ارسال نمی کند، بلکه فقط نام ها و پسوندها را تجزیه می کند.

    یکی دیگر از ویژگی های جالب ابزار تشخیص باج افزار Bitdefender این است که می توان آن را از خط فرمان اجرا کرد.

    من ابزار تشخیص باج‌افزار Bitdefender را آزمایش نکرده‌ام، بنابراین هرگونه نظر افرادی که آن را امتحان کرده‌اند، استقبال می‌شود.

    همین. امیدوارم به این راهنما نیاز نداشته باشید، اما اگر همچنان با باج افزار مواجه شدید، می دانید که چگونه آن را شناسایی کنید.

    خواندن چگونه از خود در برابر عفونت ویروس باج افزار محافظت کنید و XTBL را حذف کنیداز یک کامپیوتر آیا ارزش پرداخت دیه را دارد و نحوه بازیابی فایل های رمزگذاری شده با باج افزار. ویروس های باج افزار یکی از بدترین عفونت های سایبری هستند که می توانید با آن مواجه شوید. بیهوده نیست که آنها از چنین شهرتی در اینترنت برخوردار هستند، زیرا این ابزار واقعاً ترسناک است.

    همه باج افزارها بر اساس یک اصل طراحی شده اند. با ورود پنهانی به سیستم شما و شناسایی نشده، آنها شروع به رمزگذاری فایل های شما می کنند تا بعداً برای دسترسی به آنها از شما باج بگیرند.

    محتوا:

    ویروس باج افزار

    اگر ناگهان نام یک یا همه فایل های خود را با پسوند XTBL یا پسوند فایل ناشناخته دیگری تغییر نام دادید، شانس ندارید - با یک ویروس باج افزار مواجه شده اید. به زودی پیامی با پیشنهاد پرداخت هزینه باز کردن قفل فایل های خود دریافت خواهید کرد. گاهی اوقات می تواند یک پنجره با متن باشد، گاهی اوقات یک سند متنی Readme روی دسکتاپ، یا حتی در هر پوشه فایل. درخواست تجدید نظر برای کاربر می تواند به چندین زبان غیر از انگلیسی تکرار شود و شامل تمام الزامات سازندگان مخرب ویروس است.

    به نظر می رسد پرداخت هزینه برای خلاص شدن از شر چنین ویروسی آسان تر است، اما اینطور نیست. صرف نظر از الزامات ویروس، با آنها موافقت نکنید - ضربه مضاعفی به شما وارد می کند. فایل های قفل شده شما به احتمال زیاد قابل بازیابی نیستند - این را بپذیرید و برای باز کردن قفل فایل ها پول نفرستید. در غیر این صورت علاوه بر فایل ها ضرر هم می کنید.

    ممکن است پیامی با محتوای زیر دریافت کنید:

    تمام فایل‌های موجود در رایانه شما از جمله فیلم‌ها، عکس‌ها و اسناد رمزگذاری شده‌اند. رمزگذاری با استفاده از یک کلید عمومی منحصر به فرد تولید شده برای این رایانه انجام شد. برای رمزگشایی فایل ها باید از کلید خصوصی استفاده کنید.
    یک کپی از این کلید در یک سرور مخفی در اینترنت ذخیره می شود. پس از 7 روز کلید به طور خودکار از بین می رود و هیچ کس نمی تواند به فایل ها دسترسی داشته باشد."

    چگونه یک کامپیوتر ممکن است به ویروس باج افزار آلوده شود؟

    یک ویروس باج افزار نمی تواند با استفاده از جادو روی رایانه ظاهر شود. از چندین عنصر تشکیل شده است که نصب آنها باید شخصاً توسط شما تأیید شده باشد. البته ویروس این کار را به صورت باز انجام نداده است، این کار با ترفند و فریب انجام شده است.

    به عنوان مثال، یکی از محبوب ترین روش های نفوذ استفاده از برنامه های رایگان، سایت ها یا لینک های خراب است. همچنین، عفونت می تواند به عنوان یک به روز رسانی جاوا یا فلش پلیر پنهان شود. مطمئن خواهید بود که به روز رسانی های برنامه ای را که می شناسید نصب می کنید و به نصب یک عفونت خطرناک و مضر چراغ سبز نشان می دهید.

    برای اینکه در موقعیت ناخوشایندی قرار نگیرید، مراقب باشید و مراقب باشید. اگر در مورد آن مطمئن نیستید، برای انجام هیچ اقدامی عجله نکنید. علت اصلی آلودگی به ویروس، سهل انگاری کاربر است.

    حذف پسوند XTBL یا تغییر نام فایل

    چرا پسوند فایل XTBL اینقدر خطرناک است؟ باج‌افزار تمام فایل‌های شما، از جمله تصاویر، ویدیوها، موسیقی، اسناد را پیدا می‌کند و با آنها یک فرآیند رمزگذاری را انجام می‌دهد. فایل‌ها با هر قالبی رمزگذاری خواهند شد: doc، .docx، .docm، .wps، .xls، .xlsx، .ppt، .pptx، .pptm، .pdd، .pdf، .eps، .ai، .indd، . cdr، .dng، mp3، .lnk، .jpg، .png، .jfif، .jpeg، .gif، .bmp، .exif، .txt. هیچ چیز از آنها محافظت نخواهد کرد. پس از تکمیل رمزگذاری، پسوند تمامی فایل ها به XTBL تغییر می کند و دیگر باز نمی شوند.

    روند تغییر نام فایل یا حذف پسوند XBTL به فایل ها دسترسی نخواهد داشت. برای انجام این کار، آنها باید با استفاده از یک کلید خصوصی رمزگشایی شوند. برای به دست آوردن این کلید، باید تمام شرایط باج افزار را رعایت کنید. اما این سوال را از خود بپرسید: آیا می توانید به مزاحمینی که رایانه شما را آلوده کرده اند اعتماد کنید؟ البته نه، به خاطر داشته باشید که قوانین بازی در ابتدا به نفع شما نیست.

    آیا باید برای کلید رمزگشایی هزینه کنم؟

    بهترین سناریویی که می توانید روی آن حساب کنید چیست؟ شما باج را پرداخت می کنید و فرض کنید یک کلید برای رمزگشایی فایل ها دریافت می کنید، فرض کنید کار می کند و پرونده های شما قفل هستند. اما بعدش چی؟ چه چیزی اطلاعات شما را از رمزگذاری مجدد روز بعد محافظت می کند؟ هیچ چی.

    با پرداخت هزینه دسترسی به فایل ها، نه تنها پول خود را از دست خواهید داد، بلکه دسترسی به اطلاعات شخصی و مالی خود را برای کلاهبردارانی که ویروس را توسعه داده اند، باز می کنید. اجازه ندهید کسی در حریم خصوصی شما دخالت کند. مبلغ درخواستی برای کلید رمزگشایی اغلب بیش از 500 دلار است. این سوال را از خود بپرسید - آیا آماده هستید که داده های شخصی و اطلاعات بانکی خود را در معرض کلاهبرداران قرار دهید و علاوه بر این در ازای یک وعده شبح مانند رمزگشایی فایل ها، 500 دلار از دست بدهید؟ اولویت های خود را درست انجام دهید!

    دستورالعمل حذف ویروس باج افزار

    1. فرآیند مخرب را با استفاده از مدیر فرآیند حذف کنید.
    2. نمایش فایلهای مخفی

    با استفاده از Process Manager یک فرآیند مخرب را حذف کنید


    نمایش فایلهای مخفی

    • به هر پوشه ای بروید
    • فایل را انتخاب کنید - گزینه های پوشه و جستجو را تغییر دهید.
    • به نشانک بروید "چشم انداز".
    • گزینه را روشن کنید "نمایش فایل ها و پوشه های مخفی".
    • گزینه را خاموش کنید "پنهان کردن فایل های سیستم محافظت شده".
    • سپس روی دکمه Apply to folders کلیک کنید درخواست دادنو خوب.

    ویروس را پیدا کنید

    1. بلافاصله پس از بارگذاری سیستم عامل، کلید ترکیبی Windows + R را فشار دهید.
    2. در کادر محاوره ای، Regedit را تایپ کنید. هنگام ویرایش رجیستری ویندوز مراقب باشید، این ممکن است سیستم را از کار بیاندازد.
      بسته به سیستم عامل خود (x86 یا x64) به شعبه بروید
      یا
      یا
      و پارامتر را با نام تولید شده به طور خودکار حذف کنید.

    یا می توانید بدوید msconfigو همچنین نقطه راه اندازی ویروس را دوباره چک کنید. لطفاً توجه داشته باشید که نام‌های فرآیند، پوشه و فایل‌های اجرایی به‌طور خودکار برای رایانه شما تولید می‌شوند و با نمونه‌های نشان‌داده شده متفاوت خواهند بود. بنابراین، اگر به توانایی های خود اطمینان ندارید، ارزش دارد از یک برنامه آنتی ویروس حرفه ای برای شناسایی و حذف ویروس استفاده کنید.

    بازیابی فایل های رمزگذاری شده توسط ویروس XTBL

    اگر هنوز یک نسخه پشتیبان از فایل های مهم دارید - خوش شانس هستید، پس از درمان ویروس، فایل ها را از نسخه پشتیبان بازیابی کنید. پشتیبان گیری می تواند هم با کمک برنامه ای که پیکربندی کرده اید و هم بدون دخالت شما با استفاده از یکی از ابزارهای سیستم عامل ویندوز انجام شود: تاریخچه فایل، نقاط بازیابی، پشتیبان گیری از تصویر سیستم.


    اگر روی رایانه‌ای کار می‌کنید که به شبکه سازمانی متصل است، برای راهنمایی با سرپرست شبکه خود تماس بگیرید. به احتمال زیاد پشتیبان توسط او پیکربندی شده است. اگر جستجوی پشتیبان ناموفق بود، یک برنامه بازیابی اطلاعات را امتحان کنید.

    در حین رمزگذاری، ویروس یک فایل جدید ایجاد می کند و محتوای رمزگذاری شده فایل اصلی را در آن می نویسد. پس از آن، فایل اصلی حذف می شود، بنابراین می توانید سعی کنید آن را بازیابی کنید. دانلود و نصب

    این واقعیت که اینترنت پر از ویروس است، امروز هیچ کس را شگفت زده نمی کند. بسیاری از کاربران موقعیت‌های مربوط به تأثیر آن‌ها بر سیستم‌ها یا داده‌های شخصی را درک می‌کنند، به بیان ملایم، از میان انگشتان خود نگاه می‌کنند، اما فقط تا زمانی که یک ویروس رمزگذاری به طور خاص در سیستم مستقر شود. اکثر کاربران عادی نمی دانند چگونه داده های ذخیره شده روی هارد دیسک را درمان و رمزگشایی کنند. بنابراین، این گروه به خواسته هایی که توسط مزاحمان مطرح می شود، «رهنمون» می شود. اما بیایید ببینیم در صورت شناسایی چنین تهدیدی یا جلوگیری از نفوذ آن به سیستم چه کاری می توان انجام داد.

    ویروس باج افزار چیست؟

    این نوع تهدید از الگوریتم های رمزگذاری فایل های استاندارد و غیر استاندارد استفاده می کند که محتوای آن ها را به طور کامل تغییر می دهد و دسترسی را مسدود می کند. به عنوان مثال، باز کردن یک فایل متنی رمزگذاری شده برای خواندن یا ویرایش، و همچنین پخش محتوای چندرسانه ای (گرافیک، ویدئو یا صدا)، پس از قرار گرفتن در معرض ویروس، کاملا غیرممکن خواهد بود. حتی اقدامات استاندارد برای کپی یا جابجایی اشیا در دسترس نیست.

    همان نرم افزار پر کردن ویروس ابزاری است که داده ها را به گونه ای رمزگذاری می کند که حتی پس از حذف تهدید از سیستم همیشه امکان بازیابی حالت اولیه آنها وجود ندارد. به طور معمول، چنین برنامه های مخرب کپی هایی از خود ایجاد می کنند و در سیستم بسیار عمیق قرار می گیرند، بنابراین حذف ویروس رمزگذار فایل می تواند کاملاً غیرممکن باشد. با حذف برنامه اصلی یا حذف بدنه اصلی ویروس، کاربر از تأثیر تهدید خلاص نمی شود، نه اینکه به بازیابی اطلاعات رمزگذاری شده اشاره کنیم.

    تهدید چگونه وارد سیستم می شود؟

    به عنوان یک قاعده، تهدیدات از این نوع بیشتر ساختارهای تجاری بزرگ را هدف قرار می دهند و زمانی که یک کارمند یک سند پیوست شده را در ایمیل باز می کند، می تواند از طریق برنامه های ایمیل به رایانه ها نفوذ کند، که مثلاً افزوده ای به نوعی توافق نامه همکاری یا به کالا است. طرح عرضه (پیشنهادات تجاری با سرمایه گذاری از منابع مشکوک - اولین مسیر برای ویروس).

    مشکل اینجاست که یک ویروس رمزگذار روی ماشینی که به یک شبکه محلی دسترسی دارد، می‌تواند با آن نیز سازگار شود و در صورتی که ابزارهای حفاظتی لازم را نداشته باشد، نسخه‌های خود را نه تنها در محیط شبکه، بلکه در ترمینال مدیر نیز ایجاد می‌کند. در قالب نرم افزار ضد ویروس، فایروال یا فایروال.

    گاهی اوقات چنین تهدیدهایی می توانند به سیستم های رایانه ای کاربران عادی نیز نفوذ کنند، که به طور کلی، هیچ علاقه ای به مزاحمان ندارند. این در زمان نصب برخی از برنامه های دانلود شده از منابع اینترنتی مشکوک اتفاق می افتد. بسیاری از کاربران در شروع دانلود، هشدارهای سیستم حفاظت از آنتی ویروس را نادیده می گیرند و در طول مراحل نصب، به پیشنهاد نصب نرم افزار، پنل یا افزونه اضافی برای مرورگرها و سپس به قول خودشان توجهی نمی کنند. ، آرنج آنها را گاز بگیرند.

    انواع ویروس ها و کمی تاریخ

    اساساً، تهدیدات از این نوع، به ویژه خطرناک ترین ویروس رمزگذاری No_more_ransom، نه تنها به عنوان ابزارهایی برای رمزگذاری داده ها یا مسدود کردن دسترسی به آن طبقه بندی می شوند. در واقع، تمام این برنامه های مخرب در دسته باج افزارها قرار می گیرند. به عبارت دیگر، مهاجمان برای رمزگشایی اطلاعات، مبلغ مشخصی پول می‌خواهند و معتقدند که انجام این فرآیند بدون برنامه اولیه غیرممکن خواهد بود. تا حدی هم همینطور است.

    اما، اگر به تاریخ بگردید، می‌بینید که یکی از اولین ویروس‌ها از این نوع، اگرچه نیازی به پول نداشت، اپلت بدنام I Love You بود که فایل‌های چندرسانه‌ای (عمدتاً آهنگ‌های موسیقی) را روی سیستم‌های کاربر کاملاً رمزگذاری می‌کرد. رمزگشایی فایل ها پس از ویروس باج افزار در آن زمان غیرممکن بود. اکنون دقیقاً با این تهدید است که می توان به طور ابتدایی مبارزه کرد.

    اما توسعه خود ویروس ها یا الگوریتم های رمزگذاری مورد استفاده ثابت نمی ماند. چه چیزی در بین ویروس ها وجود دارد - در اینجا شما XTBL، و CBF، و Breaking_Bad، و [ایمیل محافظت شده]، و یک سری مزخرفات دیگر.

    روش‌شناسی برای تأثیرگذاری بر فایل‌های کاربر

    و اگر تا همین اواخر اکثر حملات با استفاده از الگوریتم‌های RSA-1024 مبتنی بر رمزگذاری AES با همان عمق بیت انجام می‌شدند، همان ویروس رمزگذار No_more_ransom اکنون در چندین تفسیر با استفاده از کلیدهای رمزگذاری مبتنی بر فناوری‌های RSA-2048 و حتی RSA-3072 ارائه می‌شود.

    مشکلات رمزگشایی الگوریتم های مورد استفاده

    مشکل اینجاست که سیستم های رمزگشایی مدرن در مواجهه با چنین خطری ناتوان بودند. رمزگشایی فایل پس از یک ویروس رمزگذاری مبتنی بر AES256 هنوز به نوعی پشتیبانی می شود و با نرخ بیت کلید بالاتر، تقریباً همه توسعه دهندگان به سادگی شانه خالی می کنند. این، به هر حال، به طور رسمی توسط متخصصان آزمایشگاه کسپرسکی و Eset تایید شد.

    در ابتدایی‌ترین نسخه، از کاربری که با خدمات پشتیبانی تماس گرفته است، دعوت می‌شود تا یک فایل رمزگذاری شده و اصلی آن را برای مقایسه و عملیات بعدی برای تعیین الگوریتم رمزگذاری و روش‌های بازیابی ارسال کند. اما، به عنوان یک قاعده، در بیشتر موارد این کار نمی کند. اما ویروس رمزگذاری می تواند خود فایل ها را رمزگشایی کند، همانطور که اعتقاد بر این است، به شرطی که قربانی با شرایط مهاجمان موافقت کند و مبلغ مشخصی را به صورت پولی بپردازد. با این حال، چنین صورت بندی سؤال، تردیدهای موجهی را ایجاد می کند. و به همین دلیل.

    ویروس رمزگذاری: چگونه فایل ها را درمان و رمزگشایی کنیم و آیا می توان آن را انجام داد؟

    گفته می شود، پس از پرداخت، هکرها رمزگشایی را از طریق دسترسی از راه دور به ویروس خود که در سیستم قرار دارد، یا از طریق یک اپلت اضافی در صورت حذف بدنه ویروس، فعال می کنند. بیش از حد مشکوک به نظر می رسد.

    همچنین می خواهم به این واقعیت توجه کنم که اینترنت پر از پست های جعلی است که می گویند، مبلغ مورد نیاز پرداخت شده است و داده ها با موفقیت بازیابی شده اند. همه اش دروغ است! و حقیقت این است - تضمین اینکه پس از پرداخت، ویروس رمزگذاری در سیستم دوباره فعال نشود، کجاست؟ درک روانشناسی سارقان دشوار نیست: اگر یک بار پرداخت کنید، دوباره پرداخت خواهید کرد. و هنگامی که صحبت از اطلاعات بسیار مهم، مانند پیشرفت‌های خاص تجاری، علمی یا نظامی می‌شود، صاحبان چنین اطلاعاتی آماده هستند تا زمانی که فایل‌ها سالم و سالم باقی می‌مانند، هر چقدر که دوست دارند، پرداخت کنند.

    اولین راه حل برای تهدید

    طبیعت یک ویروس باج افزار چنین است. چگونه فایل ها را پس از قرار گرفتن در معرض تهدید درمان و رمزگشایی کنیم؟ بله، به هیچ وجه، اگر وسایل بداهه ای وجود نداشته باشد، که همچنین همیشه کمک نمی کند. اما می توانید امتحان کنید.

    بیایید فرض کنیم که یک ویروس باج افزار در سیستم ظاهر شده است. چگونه فایل های آلوده را درمان کنیم؟ برای شروع، شما باید یک اسکن عمیق سیستم را بدون استفاده از فناوری S.M.A.R.T انجام دهید، که تنها زمانی که بخش های بوت و فایل های سیستم آسیب دیده اند، تهدیدات را شناسایی می کند.

    توصیه می شود از اسکنر استاندارد موجود که قبلاً تهدید را از دست داده است استفاده نکنید، بلکه از ابزارهای قابل حمل استفاده کنید. بهترین گزینه بوت شدن از دیسک نجات کسپرسکی است که می تواند حتی قبل از شروع به کار سیستم عامل شروع شود.

    اما این تنها نیمی از نبرد است، زیرا از این طریق فقط می توانید از شر خود ویروس خلاص شوید. اما با رمزگشا دشوارتر خواهد بود. اما در ادامه بیشتر در مورد آن.

    دسته دیگری نیز وجود دارد که ویروس های باج افزار در آن قرار می گیرند. نحوه رمزگشایی اطلاعات به طور جداگانه مورد بحث قرار خواهد گرفت، اما در حال حاضر اجازه دهید روی این واقعیت تمرکز کنیم که آنها می توانند به صورت کاملاً آشکار در قالب برنامه ها و برنامه های کاربردی نصب شده رسمی در سیستم وجود داشته باشند (غرور مهاجمان هیچ حد و مرزی نمی شناسد، زیرا تهدید وجود ندارد. حتی سعی کنید خود را پنهان کنید).

    در این حالت باید از قسمت Programs and Features استفاده کنید که در آن حذف نصب استاندارد انجام می شود. با این حال، باید به این نکته توجه کنید که حذف کننده استاندارد سیستم های ویندوز، تمام فایل های برنامه را به طور کامل حذف نمی کند. به ویژه، ویروس رمزگذاری باج می‌تواند پوشه‌های خود را در دایرکتوری‌های ریشه سیستم ایجاد کند (معمولاً این دایرکتوری‌های Csrss هستند که فایل اجرایی csrss.exe با همین نام در آن وجود دارد). دایرکتوری های Windows، System32 یا کاربر (کاربران در درایو سیستم) به عنوان مکان اصلی انتخاب می شوند.

    علاوه بر این، ویروس رمزگذار No_more_ransom کلیدهای خود را در رجیستری به عنوان پیوندی به سرویس رسمی Client Server Runtime Subsystem می‌نویسد، که بسیاری را سردرگم می‌کند، زیرا این سرویس باید مسئول تعامل بین نرم‌افزار مشتری و سرور باشد. خود کلید در پوشه Run قرار دارد که از طریق شاخه HKLM قابل دسترسی است. واضح است که باید چنین کلیدهایی را به صورت دستی حذف کنید.

    برای آسان‌تر کردن کار، می‌توانید از ابزارهایی مانند iObit Uninstaller استفاده کنید که به‌طور خودکار فایل‌های باقیمانده و کلیدهای رجیستری را جستجو می‌کنند (اما فقط در صورتی که ویروس به عنوان یک برنامه نصب‌شده روی سیستم قابل مشاهده باشد). اما این ساده ترین کار است.

    راه حل های ارائه شده توسط توسعه دهندگان نرم افزار آنتی ویروس

    اعتقاد بر این است که رمزگشایی ویروس رمزگذاری را می توان با استفاده از ابزارهای ویژه انجام داد، اگرچه اگر فناوری هایی با کلید 2048 یا 3072 بیتی وجود دارد، نباید به طور خاص به آنها اعتماد کنید (علاوه بر این، بسیاری از آنها پس از رمزگشایی فایل ها را حذف می کنند و سپس بازیابی می شوند. فایل ها به دلیل وجود یک بدن ویروس که هنوز حذف نشده است ناپدید می شوند).

    با این حال، می توانید امتحان کنید. از بین همه برنامه ها، ارزش برجسته کردن RectorDecryptor و ShadowExplorer را دارد. اعتقاد بر این است که هنوز هیچ چیز بهتری ایجاد نشده است. اما مشکل ممکن است در این واقعیت نیز باشد که وقتی می‌خواهید از رمزگشا استفاده کنید، هیچ تضمینی وجود ندارد که فایل‌های درمان شده حذف نشوند. یعنی اگر در ابتدا از شر ویروس خلاص نشوید، هرگونه تلاش برای رمزگشایی محکوم به شکست خواهد بود.

    علاوه بر حذف اطلاعات رمزگذاری شده، ممکن است یک نتیجه کشنده نیز وجود داشته باشد - کل سیستم غیر قابل اجرا خواهد بود. علاوه بر این، یک ویروس باج‌افزار مدرن نه تنها می‌تواند بر روی داده‌های ذخیره‌شده در هارد دیسک رایانه، بلکه بر فایل‌های ذخیره‌سازی ابری نیز تأثیر بگذارد. و هیچ راه حلی برای بازیابی اطلاعات وجود ندارد. علاوه بر این، همانطور که مشخص شد، در بسیاری از سرویس ها اقدامات محافظتی به اندازه کافی انجام نمی شود (همان OneDrive داخلی در ویندوز 10 که مستقیماً از سیستم عامل تحت تأثیر قرار می گیرد).

    یک راه حل ریشه ای برای مشکل

    همانطور که قبلاً مشخص است ، اکثر روشهای مدرن هنگام آلوده شدن به چنین ویروس هایی نتیجه مثبتی نمی دهند. البته در صورت وجود اصل فایل آسیب دیده می توان آن را برای بررسی به آزمایشگاه آنتی ویروس ارسال کرد. درست است، تردیدهای جدی وجود دارد که یک کاربر معمولی نسخه های پشتیبان از داده هایی ایجاد کند که وقتی روی هارد دیسک ذخیره می شوند، می توانند در معرض کدهای مخرب نیز قرار گیرند. و این واقعیت که برای جلوگیری از مشکل، کاربران اطلاعات را در رسانه های قابل جابجایی کپی می کنند، ما اصلاً صحبت نمی کنیم.

    بنابراین، برای یک راه حل اصلی برای مشکل، نتیجه گیری خود را نشان می دهد: قالب بندی کامل هارد دیسک و تمام پارتیشن های منطقی با حذف اطلاعات. خوب چه کار کنیم؟ اگر نمی‌خواهید ویروس یا نسخه ذخیره‌شده آن دوباره در سیستم فعال شود، باید کمک مالی کنید.

    برای انجام این کار، شما نباید از ابزارهای خود سیستم های ویندوز استفاده کنید (منظور قالب بندی پارتیشن های مجازی است، زیرا تلاش برای دسترسی به دیسک سیستم ممنوع خواهد شد). بهتر است از بوت شدن از رسانه های نوری مانند LiveCD یا توزیع های نصبی استفاده کنید، مانند مواردی که با استفاده از ابزار ایجاد رسانه برای ویندوز 10 ایجاد شده اند.

    قبل از شروع قالب بندی، به شرط حذف ویروس از سیستم، می توانید سعی کنید یکپارچگی اجزای سیستم را از طریق خط فرمان (sfc / scannow) بازیابی کنید، اما این از نظر رمزگشایی و باز کردن قفل داده ها کار نخواهد کرد. پس فرمت c: خواه ناخواه تنها راه حل صحیح ممکن است. این تنها راه خلاصی کامل از این نوع تهدیدات است. افسوس که راه دیگری نیست! حتی درمان با ابزارهای استاندارد ارائه شده توسط اکثر بسته های آنتی ویروس بی قدرت است.

    به جای حرف آخر

    با توجه به نتایج واضح، فقط می توان گفت که امروزه هیچ راه حل واحد و جهانی برای از بین بردن عواقب تأثیر چنین تهدیداتی وجود ندارد (غم انگیز، اما واقعی - این توسط اکثر توسعه دهندگان نرم افزار ضد ویروس و کارشناسان رمزنگاری تأیید شده است) .

    هنوز مشخص نیست که چرا ظهور الگوریتم‌های مبتنی بر رمزگذاری 1024، 2048 و 3072 بیتی توسط کسانی که مستقیماً در توسعه و پیاده‌سازی چنین فناوری‌هایی دخیل هستند، عبور کرده است؟ در واقع، امروزه الگوریتم AES256 امیدوارکننده ترین و امن ترین در نظر گرفته می شود. اطلاع! 256! این سیستم، همانطور که مشخص است، برای ویروس های مدرن مناسب نیست. پس در مورد تلاش برای رمزگشایی کلیدهای آنها چه باید گفت؟

    به هر حال، جلوگیری از وارد کردن یک تهدید به سیستم بسیار آسان است. در ساده‌ترین حالت، تمام پیام‌های دریافتی با پیوست‌هایی در Outlook، Thunderbird و سایر کلاینت‌های ایمیل باید بلافاصله پس از دریافت توسط آنتی‌ویروس اسکن شوند و به هیچ وجه نباید فایل‌های پیوست را تا پایان اسکن باز کنید. همچنین باید هنگام نصب برخی از برنامه ها، پیشنهادات نصب نرم افزار اضافی را به دقت بخوانید (معمولاً آنها با حروف کوچک نوشته می شوند یا به عنوان افزونه های استاندارد مانند به روز رسانی فلش پلیر یا چیز دیگری مبدل می شوند). اجزای رسانه بهتر است از طریق سایت های رسمی به روز شوند. این تنها راهی است که می توانید حداقل به نحوی از نفوذ چنین تهدیداتی به سیستم خود جلوگیری کنید. با توجه به اینکه ویروس هایی از این نوع فوراً در شبکه محلی پخش می شوند، عواقب آن می تواند کاملاً غیرقابل پیش بینی باشد. و برای شرکت، چنین چرخشی از رویدادها می تواند به یک فروپاشی واقعی همه تعهدات تبدیل شود.

    در نهایت، مدیر سیستم نباید بیکار بنشیند. حفاظت از نرم افزار در چنین شرایطی بهتر است حذف شود. همان فایروال (دیوار آتش) نباید نرم‌افزاری باشد، بلکه باید «سخت‌افزار» باشد (به‌طور طبیعی، با نرم‌افزارهای مرتبط روی برد). و، ناگفته نماند که صرفه جویی در خرید بسته های آنتی ویروس نیز ارزش آن را ندارد. بهتر است به جای نصب برنامه های بدوی که ظاهراً فقط از قول توسعه دهنده محافظت بلادرنگ را ارائه می دهند ، یک بسته دارای مجوز خریداری کنید.

    و اگر تهدید قبلاً به سیستم نفوذ کرده باشد، دنباله اقدامات باید شامل حذف خود بدن ویروس باشد و تنها پس از آن تلاش می کند تا داده های آسیب دیده را رمزگشایی کند. در حالت ایده‌آل، یک فرمت کامل (توجه داشته باشید، نه یک فرمت سریع با پاک کردن فهرست مطالب، بلکه یک قالب کامل، ترجیحاً با بازیابی یا جایگزینی سیستم فایل موجود، بخش‌های بوت و رکوردها).

    اگر سیستم به بدافزار خانواده ها آلوده شده باشد Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.AutoIt، Trojan-Ransom.Win32.Fury، Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklیا Trojan-Ransom.Win32.CryptXXX، سپس تمام فایل های موجود در رایانه به صورت زیر رمزگذاری می شوند:

    • وقتی آلوده می شود Trojan-Ransom.Win32.Rannohنام ها و پسوندها مطابق الگو تغییر خواهند کرد قفل شده-<оригинальное_имя>.<4 произвольных буквы> .
    • وقتی آلوده می شود Trojan-Ransom.Win32.Cryakl یک علامت به انتهای محتویات فایل ها اضافه می شود (CRYPTENDBLACKDC) .
    • وقتی آلوده می شود Trojan-Ransom.Win32.AutoItپسوند با توجه به الگو تغییر می کند <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
      مثلا، [ایمیل محافظت شده] _.RZWDTDIC.
    • وقتی آلوده می شود Trojan-Ransom.Win32.CryptXXXپسوند بر اساس الگوها تغییر می کند <оригинальное_имя>.دخمه،<оригинальное_имя>. crypzو <оригинальное_имя>. cryp1.

    ابزار RannohDecryptor برای رمزگشایی فایل ها پس از آلوده شدن طراحی شده است Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklیا Trojan-Ransom.Win32.CryptXXXنسخه ها 1 , 2 و 3 .

    چگونه سیستم را درمان کنیم

    برای درمان سیستم آلوده:

    1. فایل RannohDecryptor.zip را دانلود کنید.
    2. فایل RannohDecryptor.exe را روی دستگاه آلوده اجرا کنید.
    3. در پنجره اصلی کلیک کنید تأیید را شروع کنید.
    1. مسیر فایل رمزگذاری شده و رمزگذاری نشده را مشخص کنید.
      اگر فایل رمزگذاری شده باشد Trojan-Ransom.Win32.CryptXXX، بزرگترین فایل ها را مشخص کنید. رمزگشایی فقط برای فایل هایی با اندازه مساوی یا کوچکتر در دسترس خواهد بود.
    2. تا پایان جستجو و رمزگشایی فایل های رمزگذاری شده صبر کنید.
    3. در صورت نیاز کامپیوتر خود را مجددا راه اندازی کنید.
    4. برای حذف یک کپی از فایل های رمزگذاری شده مانند قفل شده-<оригинальное_имя>.<4 произвольных буквы> پس از رمزگشایی موفق، را انتخاب کنید.

    اگر فایل رمزگذاری شده بود Trojan-Ransom.Win32.Cryakl, سپس ابزار، فایل را در مکان قدیمی با پسوند ذخیره می کند .decryptedKLR.original_extension. اگر شما انتخاب کردید پس از رمزگشایی موفق، فایل های رمزگذاری شده را حذف کنید، سپس فایل رمزگشایی شده توسط ابزار با نام اصلی ذخیره می شود.

    1. به طور پیش فرض، ابزار گزارش عملیات را به ریشه درایو سیستم (درایوی که سیستم عامل روی آن نصب شده است) خروجی می دهد.

      نام گزارش به شکل زیر است: UtilityName.Version_Date_Time_log.txt

      مثلا، C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    روی یک سیستم آلوده Trojan-Ransom.Win32.CryptXXX، این ابزار تعداد محدودی از فرمت های فایل را اسکن می کند. هنگامی که کاربر فایلی را انتخاب می کند که تحت تأثیر CryptXXX v2 قرار گرفته است، بازیابی کلید ممکن است مدت زیادی طول بکشد. در این مورد، ابزار یک هشدار نمایش می دهد.

    بیشتر بخوانید: