• بازیابی فایل های رمزگذاری شده با crypted. ویروس باج افزار چیست؟ باج افزار را با Malwarebytes Anti-malware حذف کنید

    سلام به همه، امروز به شما خواهم گفت که چگونه فایل ها را پس از ویروس در ویندوز رمزگشایی کنید. یکی از مشکل سازترین بدافزارهای امروزی، تروجان یا ویروسی است که فایل های موجود در درایو کاربر را رمزگذاری می کند. برخی از این فایل ها را می توان رمزگشایی کرد و برخی هنوز قابل رمزگشایی نیستند. در مقاله من الگوریتم های ممکن اقدامات را در هر دو موقعیت شرح خواهم داد.

    چندین تغییر در این ویروس وجود دارد، اما ماهیت کلی کار این است که پس از نصب در رایانه، سند، تصویر و سایر فایل‌های بالقوه مهم شما با تغییر پسوند رمزگذاری می‌شوند و پس از آن پیامی دریافت می‌کنید که همه فایل های شما رمزگذاری شده اند و برای رمزگشایی آنها باید مقدار مشخصی را برای مهاجم ارسال کنید.

    فایل های روی کامپیوتر با xtbl رمزگذاری می شوند

    یکی از جدیدترین گونه‌های ویروس باج‌افزار، فایل‌ها را رمزگذاری می‌کند و آنها را با فایل‌هایی با پسوند xtbl. و نامی متشکل از مجموعه‌ای تصادفی از کاراکترها جایگزین می‌کند.

    در همان زمان، کامپیوتر میزبانی می کند فایل متنی readme.txt با محتوای زیر: «فایل‌های شما رمزگذاری شده‌اند. برای رمزگشایی آنها، باید کد را به آن ارسال کنید آدرس ایمیل [ایمیل محافظت شده]، رمزگشایی کنید [ایمیل محافظت شده]یا [ایمیل محافظت شده]. بعد شما همه چیز را دریافت می کنید دستورالعمل های لازم. تلاش برای رمزگشایی فایل ها به تنهایی منجر به از دست دادن غیرقابل برگشت اطلاعات می شود "(آدرس ایمیل و متن ممکن است متفاوت باشد).

    متأسفانه، در حال حاضر هیچ راهی برای رمزگشایی xtbl. وجود ندارد (به محض ظاهر شدن، دستورالعمل ها به روز می شوند). برخی از کاربرانی که واقعا اطلاعات مهم، در انجمن های آنتی ویروس گزارش دهید که آنها 5000 روبل یا سایر مبلغ مورد نیاز را برای نویسندگان ویروس ارسال کرده اند و رمزگشا دریافت کرده اند، اما این بسیار خطرناک است: ممکن است چیزی دریافت نکنید.

    اگر فایل ها با .xtbl رمزگذاری شده باشند چه می شود؟ توصیه های من به شرح زیر است (اما آنها با بسیاری از سایت های موضوعی دیگر متفاوت هستند ، به عنوان مثال توصیه می کنند بلافاصله رایانه را از برق خاموش کنید یا ویروس را حذف نکنید. به نظر من این غیر ضروری است و تحت برخی شرایط حتی ممکن است مضر باشد، اما این به شما بستگی دارد.):

    1. اگر می دانید چگونه، با حذف وظایف مناسب در مدیر وظیفه، قطع اتصال کامپیوتر از اینترنت (این ممکن است شرط لازم برای رمزگذاری باشد) فرآیند رمزگذاری را قطع کنید.
    2. کدی را که مهاجمان درخواست می‌کنند به آدرس ایمیل ارسال شود، به خاطر بسپارید یا یادداشت کنید (اما نه به یک فایل متنی در رایانه، فقط برای اینکه رمزگذاری نشود).
    3. استفاده از Malwarebytes Antimalware، آزمایشی نسخه های کسپرسکی امنیت اینترنتیا Dr.Web Cure It برای حذف ویروسی که فایل ها را رمزگذاری می کند (همه ابزارهای ذکر شده این کار را به خوبی انجام می دهند). من به شما توصیه می کنم به نوبه خود از محصول اول و دوم از لیست استفاده کنید (اما اگر آنتی ویروس نصب کرده اید، نصب دومی "از بالا" نامطلوب است، زیرا می تواند منجر به مشکلاتی در رایانه شما شود.)
    4. منتظر بمانید تا رمزگشایی از یک شرکت آنتی ویروس ظاهر شود. در خط مقدم اینجا آزمایشگاه کسپرسکی قرار دارد.
    5. همچنین می توانید نمونه ای از یک فایل رمزگذاری شده و کد مورد نیاز را به آن ارسال کنید [ایمیل محافظت شده]، اگر یک نسخه رمزگذاری نشده از همان فایل دارید، لطفاً آن را نیز ارسال کنید. در تئوری، این می تواند ظاهر رمزگشا را سرعت بخشد.

    کارهایی که نباید انجام داد:

    • فایل های رمزگذاری شده را تغییر نام دهید، پسوند را تغییر دهید و اگر برای شما مهم است آنها را حذف کنید.

    این، شاید تنها چیزی است که می توانم در مورد فایل های رمزگذاری شده با پسوند xtbl. در این مقطع زمانی بگویم.

    Trojan-Ransom.Win32.Aura و Trojan-Ransom.Win32.Rakhni

    تروجان زیر فایل ها را رمزگذاری می کند و پسوندها را از این لیست نصب می کند:

    • .قفل شده
    • .crypto
    • .kraken
    • .AES256 (الزاماً این تروجان نیست، سایرین هستند که همین پسوند را نصب می کنند).
    • [ایمیل محافظت شده] _com
    • .oshit
    • و دیگران.

    وب سایت کسپرسکی برای رمزگشایی فایل ها پس از عملیاتی شدن این ویروس ها اقدام کرده است ابزار رایگان RakhniDecryptor، موجود در صفحه رسمی http://support.kaspersky.ru/viruses/disinfection/10556.

    نیز وجود دارد دستورالعمل های دقیقدر مورد استفاده از این ابزار، نحوه بازیابی فایل های رمزگذاری شده را نشان می دهد، که در هر صورت، مورد "حذف فایل های رمزگذاری شده پس از رمزگشایی موفقیت آمیز" را از آن حذف می کنم (اگرچه، فکر می کنم با نصب گزینه همه چیز خوب خواهد بود).

    اگر مجوز آنتی ویروس Dr.Web دارید، می توانید از رمزگشایی رایگان این شرکت در http://support.drweb.com/new/free_unlocker/ استفاده کنید.

    انواع بیشتری از ویروس باج افزار

    کمتر رایج است، اما تروجان های زیر نیز وجود دارند که فایل ها را رمزگذاری می کنند و برای رمزگشایی به پول نیاز دارند. پیوندهای ارائه شده نه تنها شامل ابزارهای کمکی برای بازگرداندن فایل‌های شما هستند، بلکه شرح علائمی را نیز شامل می‌شوند که به تشخیص اینکه شما به این ویروس خاص مبتلا هستید، کمک می‌کند. اگرچه به طور کلی بهترین راه این است که سیستم را با استفاده از آنتی ویروس کسپرسکی اسکن کنید، نام تروجان را با توجه به طبقه بندی این شرکت پیدا کنید و سپس ابزار را با این نام جستجو کنید.

    • Trojan-Ransom.Win32.Rector - ابزار رمزگشایی رایگان RectorDecryptor و راهنمای استفاده در اینجا موجود است: http://support.kaspersky.ru/viruses/disinfection/4264
    • Trojan-Ransom.Win32.Xorist یک تروجان مشابه است که پنجره ای را باز می کند و از شما می خواهد که یک پیام کوتاه پولی ارسال کنید یا با یک ایمیل برای دستورالعمل های رمزگشایی تماس بگیرید. دستورالعمل های بازیابی فایل های رمزگذاری شده و ابزار XoristDecryptor برای این کار را می توانید در http://support.kaspersky.ru/viruses/disinfection/2911 پیدا کنید.
    • Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.Fury - ابزار RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
    • Trojan.Encoder.858 (xtbl)، Trojan.Encoder.741 و دیگران با همین نام (هنگام جستجو از طریق آنتی ویروس Dr.Web یا ابزار Cure It) و اعداد مختلف- سعی کنید نام تروجان را در اینترنت جستجو کنید. برای برخی از آنها ابزارهای رمزگشایی از Dr.Web وجود دارد، همچنین، اگر نتوانستید ابزار را پیدا کنید، اما مجوز Dr.Web وجود دارد، می توانید از صفحه رسمی http://support.drweb.com/new/ استفاده کنید. free_unlocker/
    • CryptoLocker - برای رمزگشایی فایل ها پس از کارکرد CryptoLocker، می توانید از سایت http://decryptolocker.com استفاده کنید - پس از ارسال نمونه فایل، کلید و ابزاری برای بازیابی فایل های خود دریافت خواهید کرد.

    خب، از آخرین اخبار - آزمایشگاه کسپرسکی، همراه با افسران مجری قانون از هلند، رمزگشای باج‌افزار (http://noransom.kaspersky.com) را برای رمزگشایی فایل‌ها پس از CoinVault توسعه دادند، اما این باج‌افزار هنوز در عرض‌های جغرافیایی ما یافت نشده است.

    به هر حال، اگر ناگهان معلوم شد که چیزی برای اضافه کردن دارید (چون ممکن است وقت نظارت بر آنچه در روش های رمزگشایی اتفاق می افتد نداشته باشم)، در نظرات به من اطلاع دهید، این اطلاعات برای سایر کاربرانی که با آن مواجه شده اند مفید خواهد بود. مشکل.

    - این بد افزارکه با فعال شدن، تمامی فایل های شخصی مانند اسناد، عکس ها و غیره را رمزگذاری می کند. تعداد این گونه برنامه ها بسیار زیاد است و هر روز بر آن افزوده می شود. تنها در اخیرابا ده‌ها گزینه باج‌افزار مواجه شدیم: CryptoLocker، Crypt0l0cker، Alpha Crypt، TeslaCrypt، CoinVault، Bit Crypt، CTB-Locker، TorrentLocker، HydraCrypt، better_call_saul، crittt، .da_vinci_code، و غیره. هدف از چنین باج افزاری این است که کاربران را مجبور به خرید برنامه و کلید لازم برای رمزگشایی، اغلب در ازای مقدار زیادی پول، کند. فایل های خود.

    البته، شما می توانید فایل های رمزگذاری شده را به سادگی با پیروی از دستورالعمل هایی که سازندگان ویروس بر روی رایانه آلوده می گذارند، بازیابی کنید. اما اغلب هزینه رمزگشایی بسیار قابل توجه است، همچنین باید بدانید که برخی از ویروس های رمزگذاری فایل ها را به گونه ای رمزگذاری می کنند که رمزگشایی آنها بعداً غیرممکن است. و البته، پرداخت هزینه برای بازیابی فایل های خود ناخوشایند است.

    در زیر با جزئیات بیشتری در مورد ویروس های باج افزار، نحوه نفوذ آنها به رایانه قربانی و همچنین نحوه حذف ویروس باج افزار و بازیابی فایل های رمزگذاری شده توسط آن صحبت خواهیم کرد.

    چگونه یک ویروس باج افزار وارد کامپیوتر می شود

    یک ویروس باج افزار معمولاً از طریق آن پخش می شود پست الکترونیک. نامه حاوی اسناد آلوده است. این ایمیل ها به پایگاه داده عظیمی از آدرس های ایمیل ارسال می شوند. نویسندگان این ویروس از هدرها و محتوای ایمیل های گمراه کننده استفاده می کنند و سعی می کنند کاربر را فریب دهند تا سند پیوست شده به ایمیل را باز کند. برخی نامه ها در مورد نیاز به پرداخت صورتحساب خبر می دهند، برخی دیگر پیشنهاد می کنند آخرین لیست قیمت را مشاهده کنند، برخی دیگر یک عکس خنده دار باز می کنند و غیره. در هر صورت نتیجه باز شدن فایل پیوست آلوده شدن کامپیوتر به ویروس باج افزار خواهد بود.

    ویروس باج افزار چیست؟

    ویروس باج‌افزار بخشی از بدافزار است که آلوده می‌شود نسخه های مدرنسیستم های عامل خانواده های ویندوزمانند ویندوز XP، ویندوز ویستا، ویندوز 7، ویندوز 8، ویندوز 10. این ویروس ها سعی می کنند تا حد امکان از حالت های رمزگذاری قوی استفاده کنند، به عنوان مثال RSA-2048 با طول کلید 2048 بیت که عملاً امکان را از بین می برد. انتخاب یک کلید برای رمزگشایی فایل ها به تنهایی.

    هنگام آلوده کردن رایانه، ویروس باج‌افزار از فهرست سیستم %APPDATA% برای ذخیره فایل‌های خود استفاده می‌کند. برای شروع خودکاروقتی کامپیوتر را روشن می کنید، باج افزار یک ورودی ایجاد می کند رجیستری ویندوز: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\unOnce.

    بلافاصله پس از راه اندازی، ویروس همه چیز را اسکن می کند دیسک های موجوداز جمله شبکه و فضای ذخیره ابری، برای تعیین فایل هایی که باید رمزگذاری شوند. ویروس باج‌افزار از پسوند نام فایل به عنوان راهی برای تعیین گروه فایل‌هایی که رمزگذاری می‌شوند استفاده می‌کند. تقریباً همه انواع فایل ها رمزگذاری شده اند، از جمله موارد رایج مانند:

    0، .1، .1st، .2bp، .3dm، .3ds، .sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mdda , .itl، .itdb، .icxs، .hvpl، .hplg، .hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos، . mov، .vdf، .ztmp، .sis، .sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، iwd، .vpk، .tor، .psk، .rim، .w3x، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta ، .vfs0، .mpqge، .kdb، .db0، .dba، .rofl، .hkx، .bar، .upk، .das، .iwi، .litemod، .asset، .forge، .ltx، .bsa، . apk، .re4، .sav، .lbf، .slm، .bik، .epk، .rgss3a، .pak، .big، کیف پول، .wotreplay، .xxx، .desc، .py، .m3u، .flv، . js، .css، .rb، .png، .jpeg، .txt، .p7c، .p7b، .p12، pfx.، .pem، .crt، .cer، .der، .x3f، .srw، .pef، ptx، .r3d، .rw2، .rwl، خام، .raf، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2 , .srf، .arw، .3fr، .dng، .jpe، .jpg، .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، . rtf، .wpd، .dxg، .xf، .dwg، .pst، .accdb، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm، .odp، .ods، .odt، .wav، .wbc، .wbd، .wbk، .wbm، .wbmp، .wbz، .wcf ، .wdb، .wdp، .webdoc، .webp، .wgz، .wire، .wm، .wma، .wmd، .wmf، .wmv، .wn، .wot، .wp، .wp4، .wp5،. wp6، .wp7، .wpa، .wpb، .wpd، .wpe، .wpg، .wpl، .wps، .wpt، .wpw، .wri، .ws، .wsc، .wsd، .wsh، .x، x3d، .x3f، .xar، .xbdoc، .xbplate، .xdb، .xdl، .xld، .xlgc، .xll، .xls، .xlsm، .xlsx، .xmind، .xml، .xmmap، .x ، .xwp، .xx، .xy3، .xyp، .xyw، .y، .yal، .ybk، .yml، .ysp، .z، .z3d، .zabw، .zdb، .zdc، .zi، . zif، .zip، .zw

    بلافاصله پس از رمزگذاری فایل، پسوند جدیدی دریافت می کند که اغلب می توان از آن برای شناسایی نام یا نوع رمزگذار استفاده کرد. برخی از انواع این بدافزارها می توانند نام فایل های رمزگذاری شده را نیز تغییر دهند. سپس ویروس ایجاد می کند سند متنیبا نام هایی مانند HELP_YOUR_FILES، یک README که حاوی دستورالعمل هایی برای رمزگشایی فایل های رمزگذاری شده است.

    باج افزار در طول عملیات خود سعی می کند امکان بازیابی فایل ها را با استفاده از سیستم SVC مسدود کند ( کپی های سایهفایل ها). برای این، ویروس حالت فرمانابزاری را برای مدیریت کپی های سایه ای از فایل ها با کلیدی که روند کپی سایه را شروع می کند فراخوانی می کند. حذف کامل. بنابراین، تقریباً همیشه بازیابی فایل ها با استفاده از کپی های سایه آنها غیرممکن است.

    ویروس باج‌افزار به طور فعال از تاکتیک‌های ترساندن استفاده می‌کند و به قربانی پیوندی به توضیحات الگوریتم رمزگذاری می‌دهد و پیامی تهدیدآمیز را روی دسک‌تاپ نمایش می‌دهد. از این طریق سعی می کند کاربر رایانه آلوده را مجبور کند که شناسه رایانه را بدون تردید به آدرس ایمیل نویسنده ویروس ارسال کند تا بتواند پرونده های خود را بازگرداند. پاسخ به چنین پیامی اغلب مبلغ باج و آدرس کیف پول الکترونیکی است.

    آیا کامپیوتر من به ویروس باج افزار آلوده شده است؟

    تشخیص اینکه آیا کامپیوتر به ویروس باج افزار آلوده شده است یا خیر، بسیار آسان است. به پسوند فایل های شخصی خود مانند اسناد، عکس، موسیقی و غیره توجه کنید. اگر پسوند تغییر کرده باشد یا فایل های شخصی شما ناپدید شده باشد و فایل های زیادی با نام های ناشناخته باقی بماند، کامپیوتر آلوده شده است. علاوه بر این، نشانه آلودگی وجود فایلی با نام HELP_YOUR_FILES یا README در دایرکتوری های شما است. این فایل حاوی دستورالعمل هایی برای رمزگشایی فایل ها است.

    اگر مشکوک هستید که نامه‌ای را باز کرده‌اید که به ویروس باج‌افزار آلوده شده است، اما هنوز هیچ علامتی از عفونت وجود ندارد، کامپیوتر خود را خاموش یا راه‌اندازی مجدد نکنید. مراحل توضیح داده شده در این بخش راهنما را دنبال کنید. بار دیگر، خاموش نکردن کامپیوتر بسیار مهم است، در برخی از انواع باج افزارها، فرآیند رمزگذاری فایل در اولین بار روشن شدن کامپیوتر پس از آلودگی فعال می شود!

    چگونه فایل های رمزگذاری شده توسط ویروس باج افزار را رمزگشایی کنیم؟

    اگر این بدبختی اتفاق افتاده است، پس نیازی به وحشت نیست! اما باید بدانید که در بیشتر موارد رمزگشای رایگان وجود ندارد. دلیل این امر الگوریتم های رمزگذاری قوی است که توسط چنین بدافزاری استفاده می شود. این بدان معنی است که رمزگشایی فایل ها بدون کلید خصوصی تقریبا غیرممکن است. استفاده از روش انتخاب کلید نیز به دلیل طول زیاد کلید، گزینه ای نیست. بنابراین، متأسفانه، تنها پرداخت کل مبلغ درخواستی به نویسندگان ویروس، تنها راه تلاش برای دریافت کلید رمزگشایی است.

    البته هیچ تضمینی وجود ندارد که پس از پرداخت، نویسندگان ویروس با یکدیگر تماس بگیرند و کلید مورد نیاز برای رمزگشایی فایل های شما را ارائه دهند. علاوه بر این، باید درک کنید که با پرداخت پول به توسعه دهندگان ویروس، شما خودتان آنها را برای ایجاد ویروس های جدید تحت فشار قرار می دهید.

    چگونه ویروس باج افزار را حذف کنیم؟

    قبل از انجام این کار، باید بدانید که وقتی شروع به حذف ویروس می‌کنید و سعی می‌کنید خودتان فایل‌ها را بازیابی کنید، با پرداخت مبلغی که نویسندگان ویروس درخواست کرده‌اند، امکان رمزگشایی فایل‌ها را مسدود می‌کنید.

    کسپرسکی حذف ویروسابزار و ضد بدافزار Malwarebytesمی تواند تشخیص دهد انواع متفاوتویروس های باج افزار فعال هستند و به راحتی آنها را از رایانه حذف می کنند، اما نمی توانند فایل های رمزگذاری شده را بازیابی کنند.

    5.1. باج افزار را با ابزار حذف ویروس کسپرسکی حذف کنید

    به طور پیش فرض، برنامه به گونه ای پیکربندی شده است که انواع فایل ها را بازیابی کند، اما برای سرعت بخشیدن به کار، توصیه می شود فقط انواع فایل هایی را که باید بازیابی کنید، باقی بگذارید. هنگامی که انتخاب خود را کامل کردید، دکمه OK را فشار دهید.

    در پایین پنجره QPhotoRec، دکمه Browse را پیدا کرده و روی آن کلیک کنید. باید دایرکتوری را انتخاب کنید که فایل های بازیابی شده در آن ذخیره شوند. توصیه می شود از دیسکی استفاده کنید که حاوی فایل های رمزگذاری شده ای نباشد که نیاز به بازیابی دارند (می توانید از درایو فلش USB یا درایو خارجی استفاده کنید).

    برای شروع مراحل جستجو و بازیابی نسخه های اصلی فایل های رمزگذاری شده، روی دکمه جستجو کلیک کنید. این پروسه زمان زیادی می برد، پس صبور باشید.

    وقتی جستجو به پایان رسید، روی دکمه Quit کلیک کنید. اکنون پوشه ای را که برای ذخیره فایل های بازیابی انتخاب کرده اید باز کنید.

    پوشه حاوی دایرکتوری هایی با نام های recup_dir.1، recup_dir.2، recup_dir.3 و غیره خواهد بود. چگونه فایل های بیشتربرنامه را پیدا کند، دایرکتوری های بیشتری وجود خواهد داشت. برای یافتن فایل های مورد نیاز خود، همه دایرکتوری ها را یکی یکی بررسی کنید. برای سهولت یافتن فایل مورد نیاز، از جمله تعداد زیادیبازیابی شده، از سیستم جستجوی داخلی ویندوز (بر اساس محتویات فایل) استفاده کنید، و همچنین عملکرد مرتب سازی فایل ها در فهرست ها را فراموش نکنید. شما می توانید تاریخ تغییر فایل را به عنوان پارامتر مرتب سازی انتخاب کنید، زیرا QPhotoRec سعی می کند این ویژگی را هنگام بازیابی یک فایل بازیابی کند.

    چگونه از آلوده شدن کامپیوتر به ویروس باج افزار جلوگیری کنیم؟

    اکثر برنامه های ضد ویروس مدرن در حال حاضر دارای یک سیستم حفاظتی داخلی در برابر نفوذ و فعال سازی ویروس های باج افزار هستند. بنابراین، اگر کامپیوتر شما ندارد برنامه آنتی ویروسپس حتما نصبش کن با خواندن این مطلب می توانید نحوه انتخاب آن را پیدا کنید.

    علاوه بر این، تخصصی وجود دارد برنامه های حفاظتی. به عنوان مثال، این CryptoPrevent است، جزئیات بیشتر.

    چند کلمه پایانی

    با پیروی از این دستورالعمل، رایانه شما از ویروس باج افزار پاک می شود. اگر سوالی دارید یا نیاز به کمک دارید، لطفا با ما تماس بگیرید.

    اگر سیستم به بدافزار خانواده ها آلوده شده باشد Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.AutoIt، Trojan-Ransom.Win32.Fury، Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklیا Trojan-Ransom.Win32.CryptXXX، سپس تمام فایل های موجود در رایانه به صورت زیر رمزگذاری می شوند:

    • وقتی آلوده می شود Trojan-Ransom.Win32.Rannohنام ها و پسوندها مطابق الگو تغییر خواهند کرد قفل شده-<оригинальное_имя>.<4 произвольных буквы> .
    • وقتی آلوده می شود Trojan-Ransom.Win32.Cryakl یک علامت به انتهای محتویات فایل ها اضافه می شود (CRYPTENDBLACKDC) .
    • وقتی آلوده می شود Trojan-Ransom.Win32.AutoItپسوند با توجه به الگو تغییر می کند <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
      مثلا، [ایمیل محافظت شده] _.RZWDTDIC.
    • وقتی آلوده می شود Trojan-Ransom.Win32.CryptXXXپسوند بر اساس الگوها تغییر می کند <оригинальное_имя>.دخمه،<оригинальное_имя>. crypzو <оригинальное_имя>. cryp1.

    ابزار RannohDecryptor برای رمزگشایی فایل ها پس از آلوده شدن طراحی شده است Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklیا Trojan-Ransom.Win32.CryptXXXنسخه ها 1 , 2 و 3 .

    چگونه سیستم را درمان کنیم

    برای درمان سیستم آلوده:

    1. فایل RannohDecryptor.zip را دانلود کنید.
    2. فایل RannohDecryptor.exe را روی دستگاه آلوده اجرا کنید.
    3. در پنجره اصلی کلیک کنید تأیید را شروع کنید.
    1. مسیر فایل رمزگذاری شده و رمزگذاری نشده را مشخص کنید.
      اگر فایل رمزگذاری شده باشد Trojan-Ransom.Win32.CryptXXX، فایل های را مشخص کنید سایز بزرگ. رمزگشایی فقط برای فایل هایی با اندازه مساوی یا کوچکتر در دسترس خواهد بود.
    2. تا پایان جستجو و رمزگشایی فایل های رمزگذاری شده صبر کنید.
    3. در صورت نیاز کامپیوتر خود را مجددا راه اندازی کنید.
    4. برای حذف یک کپی از فایل های رمزگذاری شده مانند قفل شده-<оригинальное_имя>.<4 произвольных буквы> پس از رمزگشایی موفق، را انتخاب کنید.

    اگر فایل رمزگذاری شده بود Trojan-Ransom.Win32.Cryakl, سپس ابزار، فایل را در مکان قدیمی با پسوند ذخیره می کند .decryptedKLR.original_extension. اگر شما انتخاب کردید پس از رمزگشایی موفق، فایل های رمزگذاری شده را حذف کنید، سپس فایل رمزگشایی شده توسط ابزار با نام اصلی ذخیره می شود.

    1. به طور پیش فرض، ابزار گزارش عملیات را به روت خروجی می دهد دیسک سیستم(درایوی که سیستم عامل روی آن نصب شده است).

      نام گزارش به شکل زیر است: UtilityName.Version_Date_Time_log.txt

      مثلا، C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    روی یک سیستم آلوده Trojan-Ransom.Win32.CryptXXX، این ابزار تعداد محدودی از فرمت های فایل را اسکن می کند. هنگامی که کاربر فایلی را انتخاب می کند که تحت تأثیر CryptXXX v2 قرار گرفته است، بازیابی کلید ممکن است مدت زیادی طول بکشد. در این مورد، ابزار یک هشدار نمایش می دهد.

    به خاطر آوردن:تروجان های خانواده Trojan.Encoder برنامه های مخربی هستند که فایل ها را روی هارد دیسک کامپیوتر رمزگذاری می کنند و برای رمزگشایی آنها پول طلب می کنند. فایل های *.mp3، *.doc، *.docx، *.pdf، *.jpg، *.rar و غیره را می توان رمزگذاری کرد.
    امکان ملاقات شخصی با کل خانواده این ویروس وجود نداشت، اما همانطور که تمرین نشان می دهد، روش عفونت، درمان و رمزگشایی تقریباً برای همه یکسان است:
    1. قربانی از طریق یک ایمیل هرزنامه با یک پیوست آلوده می شود (کمتر توسط عفونت)،
    2. ویروس تقریباً توسط هر آنتی ویروسی با پایگاه داده جدید شناسایی و حذف می شود (در حال حاضر).
    3. فایل ها با انتخاب کلیدهای رمز عبور برای انواع رمزگذاری مورد استفاده رمزگشایی می شوند.
    برای مثال، Trojan.Encoder.225 از رمزگذاری RC4 (اصلاح شده) + DES استفاده می کند، در حالی که Trojan.Encoder.263 از BlowFish در حالت CTR استفاده می کند. این ویروس ها در حال حاضر 99 درصد بر اساس تمرین شخصی رمزگشایی می شوند.

    اما همه چیز آنقدر هموار نیست. برخی از ویروس‌های باج‌افزار به ماه‌ها رمزگشایی مداوم نیاز دارند (Trojan.Encoder.102)، در حالی که برخی دیگر (Trojan.Encoder.283) اصلاً توسط متخصصان دکتر وب قابل رمزگشایی نیستند، که در واقع نقش کلیدی در این مقاله دارد.

    حالا به ترتیب

    در ابتدای آگوست 2013، مشتریان با مشکلی در فایل های رمزگذاری شده توسط ویروس Trojan.Encoder.225 با من تماس گرفتند. ویروس در آن زمان جدید است، هیچ کس چیزی نمی داند، 2-3 لینک موضوعی گوگل در اینترنت وجود دارد. پس از جستجوی طولانی در اینترنت، مشخص شد که تنها سازمان (پیدا شده) که با مشکل رمزگشایی فایل ها پس از این ویروس سروکار دارد، Doctor Web است. یعنی: توصیه هایی را ارائه می دهد ، هنگام تماس با پشتیبانی فنی کمک می کند ، رمزگشاهای خود را توسعه می دهد و غیره.

    عقب نشینی منفی

    و من می خواهم از این فرصت استفاده کنم و به دو مورد اشاره کنم چاق کننده منهای "آزمایشگاه کسپرسکی". که هنگام تماس با پشتیبانی فنی خود، "ما در حال کار روی این موضوع هستیم، نتایج را از طریق پست به شما اطلاع خواهیم داد." و با این حال، منفی این است که من هرگز پاسخی به درخواست دریافت نکردم. بعد از 4 ماه. لعنت به زمان واکنشت و در اینجا من برای استاندارد "نه بیش از یک ساعت از ثبت برنامه" تلاش می کنم.
    شرم آور است، رفیق اوگنی کسپرسکی, مدیر عاملآزمایشگاه کسپرسکی اما من نیمی از تمام شرکت‌ها روی آن نشسته‌اند. خوب، خوب، مجوزها در ژانویه تا مارس 2014 به پایان می رسند. آیا ارزش این را دارد که در مورد تمدید مجوز صحبت کنم؟ ;)

    من چهره "متخصصان" شرکت های "ساده تر" را نمایندگی می کنم، نه غول های صنعت ضد ویروس. احتمالاً به طور کلی "در گوشه ای جمع شده اند" و "بی سر و صدا گریه می کنند."
    اگرچه ، آنچه وجود دارد ، کاملاً همه "لعنتی" کردند. آنتی ویروس در اصل نباید اجازه می داد که این ویروس وارد کامپیوتر شود. به خصوص در نظر گرفتن فن آوری های مدرن. و برای "آنها"، غول ها صنعت آنتی ویروس، ظاهراً همه چیز تحت کنترل است ، "تحلیل اکتشافی" ، "سیستم پیش بینی" ، "دفاع پیشگیرانه" ...

    زمانی که کارمند منابع انسانی نامه "مضر" را با موضوع "خلاصه" باز کرد، همه این ابر سیستم ها کجا بودند؟
    کارمند باید به چه چیزی فکر کند؟
    اگر نمی توانید از ما محافظت کنید، پس چرا اصلاً به شما نیاز داریم؟

    و همه چیز با دکتر وب خوب خواهد بود، اما برای دریافت کمک، مطمئناً باید مجوز هر یک از محصولات نرم افزاری آنها را داشته باشید. هنگام تماس با پشتیبانی فنی (از این پس به عنوان TP نامیده می شود)، باید ارائه دهید شماره سریال Dr.Web را فراموش نکنید و در خط "Request category:" گزینه "درمان درخواست" را انتخاب کنید یا به سادگی یک فایل رمزگذاری شده را در اختیار آزمایشگاه قرار دهید. من فوراً رزرو می کنم که به اصطلاح "کلیدهای ورود" Dr.Web که به صورت دسته ای در اینترنت قرار داده شده اند مناسب نیستند زیرا خرید هیچ نرم افزاری را تأیید نمی کنند و توسط متخصصان TP برای یک یا دو مورد غربالگری می شود. خرید بیشترین "دشمن" مجوز آسانتر است. زیرا اگر رمزگشایی را انجام دهید، این مجوز میلیون ها بار برای شما سود خواهد داشت. به خصوص اگر پوشه با تصاویر "Egypt 2012" در یک کپی بود ...

    تلاش شماره 1

    بنابراین، با خرید "مجوز 2 رایانه شخصی برای یک سال" به مبلغ n پول، تماس با TP و ارائه برخی فایل ها، پیوندی به ابزار رمزگشایی te225decrypt.exe نسخه 1.3.0.0 دریافت کردم. در انتظار موفقیت، من ابزار را اجرا می کنم (شما باید آن را به یکی از *های رمزگذاری شده اشاره کنید. فایل های doc). ابزار انتخاب را شروع می کند و بی رحمانه 90-100٪ پردازنده قدیمی E5300 DualCore، 2600 مگاهرتز (اورکلاک شده تا 3.46 گیگاهرتز) / 8192 مگابایت DDR2-800، HDD 160 گیگابیت وسترن دیجیتال را بارگیری می کند.
    در اینجا، به موازات من، یک همکار در رایانه شخصی core i5 2500k (اورکلاک تا 4.5 گیگاهرتز) / 16 رم 1600 / ssd اینتل در کار گنجانده شده است (این برای مقایسه زمان صرف شده در پایان مقاله است).
    پس از 6 روز، ابزار در مورد رمزگشایی 7277 فایل گزارش داد. اما شادی زیاد دوام نیاورد. همه فایل‌ها به صورت "کج" رمزگشایی شدند. یعنی مثلا اسناد مایکروسافتدفتر باز است، اما با خطاهای مختلف: " برنامه وردسند *.docx محتوایی را پیدا کرد که قابل خواندن نبود» یا «فایل *.docx به دلیل خطاهای محتوا باز نمی‌شود». فایل‌های jpg * نیز با خطا باز می‌شوند، یا اینکه ۹۵ درصد تصویر پس‌زمینه سیاه یا سبز مایل به سبز محو شده است. برای فایل های *.rar - "پایان غیرمنتظره بایگانی".
    به طور کلی، یک شکست کامل.

    تلاش شماره 2

    ما در مورد نتایج به TP نامه می نویسیم. لطفا چند تا فایل بزارید یک روز بعد، آنها دوباره پیوندی به ابزار te225decrypt.exe می دهند، اما قبلاً نسخه 1.3.2.0 است. خب، بیایید شروع کنیم، به هر حال هیچ جایگزینی وجود نداشت. حدود 6 روز طول می کشد و ابزار با خطای "عدم انتخاب پارامترهای رمزگذاری" کار خود را به پایان می رساند. مجموع 13 روز "پایین تخلیه."
    اما ما به حساب اسناد مهم مشتری *احمق* خود بدون پشتیبان گیری اولیه تسلیم نمی شویم.

    تلاش شماره 3

    ما در مورد نتایج به TP نامه می نویسیم. لطفا چند تا فایل بزارید و همانطور که ممکن است حدس زده باشید، یک روز بعد پیوندی به همان ابزار te225decrypt.exe می دهند، اما قبلاً نسخه 1.4.2.0 است. خب، بیایید شروع کنیم، زیرا هیچ جایگزینی وجود نداشت، نه از آزمایشگاه کسپرسکی، نه از ESET NOD32، و نه از تولیدکنندگان دیگر. راه حل های آنتی ویروس. و اکنون، پس از 5 روز 3 ساعت و 14 دقیقه (123.5 ساعت)، این ابزار رمزگشایی فایل ها را گزارش می دهد (برای یکی از همکاران در core i5، رمزگشایی تنها 21 ساعت و 10 دقیقه طول کشید).
    خوب، فکر می کنم اینطور بود، نبود. و اینک: موفقیت کامل! همه فایل ها به درستی رمزگشایی می شوند. همه چیز باز می شود، بسته می شود، به نظر می رسد، ویرایش می شود و به درستی ذخیره می شود.

    همه خوشحال هستند، پایان.

    شما می‌پرسید: داستان ویروس Trojan.Encoder.263 کجاست؟ و در کامپیوتر بعدی، زیر میز ... بود. همه چیز در آنجا ساده تر بود: ما در TP Doctor Web می نویسیم، ابزار te263decrypt.exe را دریافت می کنیم، آن را اجرا می کنیم، 6.5 روز صبر می کنیم، voila! و همه چیز آماده است. به طور خلاصه، می توانم چند نکته از انجمن دکتر وب در نسخه خود به شما ارائه دهم:

    در صورت آلوده شدن به ویروس باج افزار چه باید کرد:
    - ارسال به آزمایشگاه ویروس دکتر. وب یا به شکل «ارسال فایل مشکوک» فایل سند رمزگذاری شده
    - منتظر پاسخ کارمند Dr.Web باشید و سپس دستورالعمل های او را دنبال کنید.

    کارهایی که نباید انجام داد:
    - تغییر پسوند فایل های رمزگذاری شده در غیر این صورت، با یک کلید خوب انتخاب شده، ابزار به سادگی فایل هایی را که باید رمزگشایی شوند، "نمی بیند".
    - بدون مشورت با متخصصان از برنامه های رمزگشایی / بازیابی داده ها به تنهایی استفاده کنید.

    توجه، با داشتن یک سرور بدون وظایف دیگر، من خدمات رایگان خود را برای رمزگشایی داده های شما ارائه می دهم. هسته سرور i7-3770K با اورکلاک به *فرکانس های خاص*، 16 گیگابایت رم و SSD Vertex 4.
    برای تمامی کاربران فعال هابر استفاده از منابع من رایگان خواهد بود!!!
    در تماس های شخصی یا دیگر برای من بنویسید. من قبلاً در این مورد "سگ را خوردم". بنابراین، من خیلی تنبل نیستم که یک سرور برای رمزگشایی در شب قرار دهم.
    این ویروس "آفت" مدرنیته است و گرفتن "غارت" از هم رزمان انسانی نیست. اگر چه، اگر کسی چند دلار را به حساب Yandex.money من 410011278501419 "پرتاب" کند - مهم نیست. اما این اصلا ضروری نیست. مخاطب. من درخواست ها را در اوقات فراغت خود پردازش می کنم.

    سرنخ های جدید!

    از 12/08/2013، یک ویروس جدید از همان سری Trojan.Encoder تحت طبقه بندی Doctor Web - Trojan.Encoder.263 شروع به انتشار کرد، اما با رمزگذاری RSA. این نوعاز امروز (12/20/2013) غیرقابل کشف، زیرا از یک روش رمزگذاری بسیار قوی استفاده می کند.

    به هر کسی که تحت تأثیر این ویروس قرار گرفته است، توصیه می کنم:
    1. استفاده از داخلی جستجوی ویندوزهمه فایل های حاوی پسوند .perfect را پیدا کنید، آنها را کپی کنید رسانه خارجی.
    2. همان فایل CONTACT.txt را کپی کنید
    3. این رسانه خارجی را در قفسه قرار دهید.
    4. صبر کنید تا ابزار رمزگشا ظاهر شود.

    کارهایی که نباید انجام داد:
    لازم نیست با کلاهبرداران سر و کار داشته باشید. این احمقانه است. در بیش از 50٪ موارد، پس از "پرداخت" تقریباً 5000 روبل، چیزی دریافت نمی کنید. بدون پول، بدون رمزگشا.
    انصافاً باید به این نکته توجه داشت که «خوش‌بخت‌هایی» در اینترنت هستند که در ازای «غارت»، فایل‌های خود را با رمزگشایی پس گرفته‌اند. اما به این افراد اعتماد نکنید. اگر من یک ویروس نویس بودم، اولین کاری که انجام می دادم این بود که اطلاعاتی مانند "من پول دادم و برای من رمزگشا فرستادند!!!" را پخش می کردم.
    پشت این "خوش شانس ها" ممکن است همچنان همان مهاجمان وجود داشته باشند.

    خوب... بیایید برای سایر شرکت های آنتی ویروس در ایجاد ابزاری برای رمزگشایی فایل ها پس از ویروس های گروه Trojan.Encoder آرزوی موفقیت کنیم.

    تشکر ویژه برای کار انجام شده در زمینه ایجاد ابزارهای رمزگشا برای رفیق v.martyanov از انجمن دکتر وب.

    اگر کامپیوتر داشته باشد پیام متنی، که می گوید فایل های شما رمزگذاری شده اند، پس عجله نکنید و وحشت نکنید. علائم رمزگذاری فایل چیست؟ پسوند معمولی به *.vault، *.xtbl، * تغییر می کند. [ایمیل محافظت شده] _XO101 و غیره فایل ها را نمی توان باز کرد - یک کلید مورد نیاز است که با ارسال نامه ای به آدرس مشخص شده در پیام قابل خریداری است.

    فایل های رمزگذاری شده را از کجا آورده اید؟

    رایانه ویروسی را شناسایی کرد که دسترسی به اطلاعات را مسدود کرد. اغلب آنتی ویروس ها آنها را نادیده می گیرند، زیرا این برنامه معمولاً بر اساس برخی ابزارهای رمزگذاری رایگان بی ضرر است. شما به سرعت خود ویروس را حذف خواهید کرد، اما ممکن است با رمزگشایی اطلاعات مشکلات جدی ایجاد شود.

    پشتیبانی فنی Kaspersky Lab، Dr.Web و دیگر شرکت‌های معروفی که در زمینه توسعه نرم‌افزار ضد ویروس فعال هستند، در پاسخ به درخواست کاربران برای رمزگشایی داده‌ها، گزارش می‌دهد که انجام این کار در زمان معقول غیرممکن است. چندین برنامه وجود دارند که می توانند کد را دریافت کنند، اما آنها فقط می توانند با ویروس هایی که قبلاً مطالعه شده اند کار کنند. اگر با آن مواجه هستید اصلاح جدید، پس شانس بازگرداندن دسترسی به اطلاعات بسیار کم است.

    چگونه یک ویروس باج افزار بر روی کامپیوتر وارد می شود؟

    در 90 درصد موارد، کاربران خودشان ویروس را روی رایانه فعال می کنندبا باز کردن ایمیل های ناشناس پس از آن، یک پیام الکترونیکی با موضوع تحریک آمیز - "احضار به دادگاه"، "بدهی وام"، "اعلامیه از بازرسی مالیاتی" و غیره می رسد. یک پیوست در داخل ایمیل جعلی وجود دارد که پس از دانلود آن باج افزار وارد رایانه می شود و شروع به مسدود کردن تدریجی دسترسی به فایل ها می کند.

    رمزگذاری فوراً انجام نمی‌شود، بنابراین کاربران زمان دارند تا قبل از اینکه همه اطلاعات رمزگذاری شوند، ویروس را حذف کنند. می توانید با استفاده از ابزارهای پاکسازی Dr.Web CureIt، Kaspersky Internet Security و Malwarebytes Antimalware یک اسکریپت مخرب را از بین ببرید.

    راه های بازیابی فایل ها

    اگر محافظت سیستم در رایانه فعال شده باشد، حتی پس از عمل ویروس باج افزار، شانس بازگرداندن فایل ها به حالت عادی با استفاده از کپی های سایه ای از فایل ها وجود دارد. باج افزار معمولا سعی می کند آنها را حذف کند، اما گاهی اوقات به دلیل نداشتن امتیاز مدیر موفق به انجام این کار نمی شوند.

    بازیابی نسخه قبلی:

    برای حفظ نسخه های قبلی، حفاظت سیستم باید فعال باشد.

    مهم: حفاظت از سیستم باید قبل از ظاهر شدن باج افزار فعال شود، پس از آن دیگر کمکی نخواهد کرد.

    1. ویژگی های "رایانه" را باز کنید.
    2. از منوی سمت چپ "System Protection" را انتخاب کنید.
    3. درایو C را برجسته کرده و روی "Configure" کلیک کنید.
    4. تنظیمات بازیابی را انتخاب کنید و نسخه های قبلیفایل ها. با کلیک روی OK تغییرات را اعمال کنید.

    اگر قبل از ظهور ویروسی که فایل‌ها را رمزگذاری می‌کند، این اقدامات را انجام داده‌اید، پس از پاک کردن رایانه خود از کدهای مخرب، شانس خوبی برای بازیابی اطلاعات خود خواهید داشت.

    استفاده از ابزارهای ویژه

    آزمایشگاه کسپرسکی چندین ابزار کمکی برای کمک به باز کردن فایل های رمزگذاری شده پس از حذف ویروس آماده کرده است. اولین رمزگشایی که ارزش امتحان کردن را دارد، Kaspersky RectorDecryptor است.

    1. برنامه را از وب سایت رسمی آزمایشگاه کسپرسکی دانلود کنید.
    2. سپس برنامه را اجرا کنید و روی "شروع اسکن" کلیک کنید. مسیر هر فایل رمزگذاری شده را مشخص کنید.

    اگر بدافزار پسوند فایل ها را تغییر نداد، برای رمزگشایی لازم است آنها را در یک پوشه جداگانه جمع آوری کنید. اگر ابزار RectorDecryptor است، دو برنامه دیگر را از وب سایت رسمی Kaspersky دانلود کنید - XoristDecryptor و RakhniDecryptor.

    جدیدترین ابزار آزمایشگاه کسپرسکی Ransomware Decryptor نام دارد. این به رمزگشایی فایل‌ها پس از ویروس CoinVault کمک می‌کند، که هنوز در RuNet رایج نیست، اما ممکن است به زودی جایگزین تروجان‌های دیگر شود.

    بیشتر بخوانید: