• Şifrelenmiş ile şifrelenmiş dosyaları kurtarın. Fidye yazılımı virüsü nedir? Malwarebytes Anti-malware ile fidye yazılımını kaldırın

    Herkese merhaba, bugün size Windows'ta virüs sonrası dosyaların şifresini nasıl çözeceğinizi anlatacağım. Günümüzün en sorunlu kötü amaçlı yazılımlarından biri, kullanıcının sürücüsündeki dosyaları şifreleyen bir truva atı veya virüstür. Bu dosyalardan bazılarının şifresi çözülebilir, bazıları ise henüz çözülemez. Makalede her iki durumda da olası eylem algoritmalarını anlatacağım.

    Bu virüsün birkaç modifikasyonu var, ancak işin genel özü, bilgisayarınıza kurulumdan sonra belgenizin, resminizin ve diğer potansiyel olarak önemli dosyalarınızın uzantı değişikliğiyle şifrelenmesi ve ardından tümünün silindiğini belirten bir mesaj almanızdır. dosyalarınız şifrelendi ve bunların şifresini çözmek için saldırgana belirli bir miktar göndermeniz gerekiyor.

    Bilgisayardaki dosyalar xtbl olarak şifrelenmiştir

    Fidye yazılımı virüsünün en yeni türlerinden biri, dosyaları şifreler ve bunların yerine .xtbl uzantılı dosyalar ve rastgele bir dizi karakterden oluşan bir ad koyar.

    Aynı zamanda bilgisayar barındırır Metin dosyası Benioku.txt aşağıdaki içeriğe sahip: “Dosyalarınız şifrelendi. Bunların şifresini çözmek için kodu şu adrese göndermeniz gerekir: e-posta adresi [e-posta korumalı], şifreyi çöz [e-posta korumalı] veya [e-posta korumalı]. Daha sonra her şeyi alırsınız gerekli talimatlar. Dosyaların şifresini kendiniz çözmeye çalışmanız, geri dönüşü olmayan bilgi kaybına yol açacaktır ”(e-posta adresi ve metin farklı olabilir).

    Ne yazık ki şu anda .xtbl dosyasının şifresini çözmenin bir yolu yok (göründüğü anda talimatlar güncellenecektir). Gerçekten sahip olan bazı kullanıcılar önemli bilgi, antivirüs forumlarında virüsün yazarlarına 5.000 ruble veya gerekli miktarda başka bir miktar gönderdiklerini ve bir şifre çözücü aldıklarını bildirin, ancak bu çok riskli: hiçbir şey alamayabilirsiniz.

    Ya dosyalar .xtbl biçiminde şifrelenmişse? Önerilerim şu şekildedir (ancak diğer birçok tematik sitedekilerden farklıdırlar; örneğin bilgisayarın derhal elektrik şebekesinden kapatılmasını veya virüsün kaldırılmamasını tavsiye ederler. Bana göre bu gereksiz ve bazı durumlarda) Zararlı bile olabilir ama karar size kalmış.):

    1. Nasıl yapılacağını biliyorsanız, görev yöneticisindeki uygun görevleri kaldırarak, bilgisayarın İnternet bağlantısını keserek şifreleme işlemini kesintiye uğratın (bu, şifreleme için gerekli bir koşul olabilir)
    2. Saldırganların e-posta adresine gönderilmesini talep ettiği kodu hatırlayın veya bir yere yazın (ancak şifrelenmemesi için bilgisayardaki bir metin dosyasına değil).
    3. Malwarebytes Antimalware'i kullanma, deneme Kaspersky'nin sürümleri internet güvenliği veya dosyaları şifreleyen bir virüsü kaldırmak için Dr.Web Cure It (listelenen araçların tümü bu konuda iyi iş çıkarır). Listedeki birinci ve ikinci ürünü sırayla kullanmanızı tavsiye ederim (ancak, yüklü bir antivirüsünüz varsa, ikinci "yukarıdan" yüklemek, bilgisayarınızda sorunlara yol açabileceği için istenmez.)
    4. Bazı antivirüs şirketlerinin şifre çözücüsünün görünmesini bekleyin. Burada ön planda Kaspersky Lab var.
    5. Ayrıca şifrelenmiş bir dosya örneğini ve gerekli kodu da gönderebilirsiniz. [e-posta korumalı], aynı dosyanın şifrelenmemiş bir kopyası varsa lütfen onu da gönderin. Teorik olarak bu, kod çözücünün görünümünü hızlandırabilir.

    Ne yapılmamalı:

    • Şifrelenmiş dosyaları yeniden adlandırın, uzantıyı değiştirin ve sizin için önemliyse silin.

    Belki de bu noktada .xtbl uzantılı şifrelenmiş dosyalar hakkında söyleyebileceğim tek şey bu.

    Trojan-Ransom.Win32.Aura ve Trojan-Ransom.Win32.Rakhni

    Aşağıdaki Truva Atı, bu listedeki dosyaları şifreler ve uzantıları yükler:

    • .kilitli
    • .kripto
    • .kraken
    • .AES256 (bu truva atı olması şart değil, aynı uzantıyı yükleyen başkaları da var).
    • .codercsu@gmail_com
    • .siktir
    • Ve diğerleri.

    Bu virüslerin işleyişinden sonra dosyaların şifresini çözmek için Kaspersky web sitesi ücretsiz yardımcı program RakhniDecryptor'ı şu adreste bulabilirsiniz: resmi sayfa http://support.kaspersky.ru/viruses/disinfection/10556.

    Ayrıca mevcut detaylı talimatlar bu yardımcı programın kullanımı hakkında, şifrelenmiş dosyaların nasıl kurtarılacağını gösteriyor; her ihtimale karşı, "Başarılı şifre çözme işleminden sonra şifrelenmiş dosyaları sil" öğesini kaldıracağım (ancak, yüklü seçenekle her şeyin yoluna gireceğini düşünüyorum).

    Dr.Web anti-virüs lisansınız varsa, http://support.drweb.com/new/free_unlocker/ adresinde bu şirketin ücretsiz şifre çözme hizmetini kullanabilirsiniz.

    Fidye yazılımı virüsünün daha fazla çeşidi

    Daha az yaygın olmakla birlikte, dosyaları şifreleyen ve şifreyi çözmek için para gerektiren aşağıdaki Truva atları da vardır. Sağlanan bağlantılar yalnızca dosyalarınızı geri döndürmeye yönelik yardımcı programları değil, aynı zamanda bu özel virüsün sizde olduğunu belirlemenize yardımcı olacak işaretlerin açıklamalarını da içerir. Genel olarak en iyi yol, sistemi Kaspersky Anti-Virus kullanarak taramak, bu şirketin sınıflandırmasına göre Truva atının adını bulmak ve ardından yardımcı programı bu isimle aramaktır.

    • Trojan-Ransom.Win32.Rector - ücretsiz RectorDecryptor şifre çözme yardımcı programı ve kullanım kılavuzuna buradan ulaşabilirsiniz: http://support.kaspersky.ru/viruses/disinfection/4264
    • Trojan-Ransom.Win32.Xorist, sizden ücretli bir SMS göndermenizi veya şifre çözme talimatları için bir e-postayla iletişime geçmenizi isteyen bir pencere açan benzer bir Truva atıdır. Şifrelenmiş dosyaları kurtarma talimatlarını ve bunun için XoristDecryptor yardımcı programını http://support.kaspersky.ru/viruses/disinfection/2911 adresinde bulabilirsiniz.
    • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor yardımcı programı http://support.kaspersky.ru/viruses/disinfection/8547
    • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 ve aynı adı taşıyan diğerleri (Dr.Web antivirüs veya Cure It yardımcı programı aracılığıyla arama yaparken) ve farklı sayılar- Truva Atı'nın adını internette aramayı deneyin. Bazıları için Dr.Web'in şifre çözme yardımcı programları vardır, ayrıca yardımcı programı bulamadıysanız ancak bir Dr.Web lisansı varsa, http://support.drweb.com/new/ resmi sayfasını kullanabilirsiniz. free_unlocker/
    • CryptoLocker - CryptoLocker çalıştıktan sonra dosyaların şifresini çözmek için http://decryptlocker.com sitesini kullanabilirsiniz - örnek bir dosya gönderdikten sonra, dosyalarınızı kurtarmak için bir anahtar ve bir yardımcı program alacaksınız.

    En son haberlere göre Kaspersky Lab, Hollandalı kolluk kuvvetleriyle birlikte CoinVault'tan sonra dosyaların şifresini çözmek için Ransomware Decryptor'ı (http://noransom.kaspersky.com) geliştirdi, ancak bu fidye yazılımı henüz enlemlerimizde bulunmuyor.

    Bu arada, aniden ekleyecek bir şeyiniz olduğu ortaya çıkarsa (çünkü şifre çözme yöntemlerinde neler olduğunu izleyecek zamanım olmayabilir), yorumlarda bana bildirin, bu bilgiler karşılaşan diğer kullanıcılar için yararlı olacaktır. bir sorun.

    - Bu kötü amaçlı yazılım Etkinleştirildiğinde belgeler, fotoğraflar vb. gibi tüm kişisel dosyaları şifreler. Bu tür programların sayısı oldukça fazladır ve her geçen gün artmaktadır. Sadece Son zamanlarda düzinelerce fidye yazılımı seçeneğiyle karşılaştık: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, Better_call_saul, crittt, .da_vinci_code, toste, fff, vb. Bu tür fidye yazılımlarının amacı, kullanıcıları genellikle büyük miktarda para karşılığında şifre çözme için gerekli programı ve anahtarı satın almaya zorlamaktır. kendi dosyaları.

    Elbette şifrelenmiş dosyaları, virüs yaratıcılarının virüs bulaşmış bilgisayarda bıraktığı talimatları izleyerek kurtarabilirsiniz. Ancak çoğu zaman şifre çözme maliyeti çok önemlidir; ayrıca bazı şifreleme virüslerinin, dosyaları daha sonra şifresini çözmenin imkansız olacağı şekilde şifrelediğini de bilmeniz gerekir. Ve elbette, kendi dosyalarınızın restorasyonu için ödeme yapmak hiç de hoş değil.

    Aşağıda fidye yazılımı virüsleri, kurbanın bilgisayarına nasıl nüfuz ettikleri, fidye yazılımı virüsünün nasıl kaldırılacağı ve onun tarafından şifrelenen dosyaların nasıl geri yükleneceği hakkında daha ayrıntılı olarak konuşacağız.

    Bir fidye yazılımı virüsü bilgisayara nasıl girer?

    Bir fidye yazılımı virüsü genellikle şu yollarla yayılır: E-posta. Mektup virüslü belgeler içeriyor. Bu e-postalar büyük bir e-posta adresi veritabanına gönderilir. Bu virüsün yazarları, e-postaların yanıltıcı başlıklarını ve içeriğini kullanarak kullanıcıyı e-postaya ekli belgeyi açması için kandırmaya çalışır. Bazı mektuplar faturanın ödenmesi gerektiği hakkında bilgi verir, diğerleri en son fiyat listesini görmeyi teklif eder, diğerleri komik bir fotoğraf açar vb. Her durumda, ekli dosyayı açmanın sonucu, bilgisayara fidye yazılımı virüsünün bulaşması olacaktır.

    Fidye yazılımı virüsü nedir

    Fidye yazılımı virüsü, bilgisayarınıza bulaşan bir kötü amaçlı yazılım parçasıdır. modern versiyonlar işletim sistemleri Windows aileleri, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 gibi. Bu virüsler, örneğin 2048 bit anahtar uzunluğuna sahip RSA-2048 gibi mümkün olduğu kadar güçlü şifreleme modlarını kullanmaya çalışır ve bu da şifrelenme olasılığını neredeyse tamamen ortadan kaldırır. dosyaların şifresini kendi başlarına çözmek için bir anahtar seçme.

    Fidye yazılımı virüsü bir bilgisayara bulaşırken kendi dosyalarını depolamak için %APPDATA% sistem dizinini kullanır. İçin otomatik başlatma Bilgisayarı açtığınızda fidye yazılımı kendi içinde bir giriş oluşturur. Windows kayıt defteri: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

    Virüs lansmandan hemen sonra her şeyi tarar kullanılabilir diskler ağ dahil ve Bulut depolamaŞifrelenecek dosyaları belirtmek için. Fidye yazılımı virüsü, şifrelenecek dosya grubunu belirlemenin bir yolu olarak dosya adı uzantısını kullanır. Aşağıdakiler gibi yaygın olanlar da dahil olmak üzere hemen hemen tüm dosya türleri şifrelenir:

    0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, cüzdan, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

    Dosya şifrelendikten hemen sonra, genellikle kriptolayıcının adını veya türünü tanımlamak için kullanılabilen yeni bir uzantı alır. Bu kötü amaçlı yazılımların bazı türleri şifrelenmiş dosyaların adlarını da değiştirebilir. Virüs daha sonra oluşturur Metin belgesi HELP_YOUR_FILES gibi adlara sahip, şifreli dosyaların şifresini çözmeye yönelik talimatlar içeren bir README.

    Fidye yazılımı, çalışması sırasında SVC sistemini kullanarak dosyaları kurtarma olasılığını engellemeye çalışır ( gölge kopyalar Dosyalar). Bunun için virüs komut modu Gölge kopya prosedürünü başlatan anahtarla dosyaların gölge kopyalarını yönetme yardımcı programını çağırır tamamen kaldırma. Bu nedenle, dosyaları gölge kopyalarını kullanarak kurtarmak neredeyse her zaman imkansızdır.

    Fidye yazılımı virüsü, kurbana şifreleme algoritmasının açıklamasına bir bağlantı vererek ve masaüstünde bir tehdit mesajı görüntüleyerek korkutma taktiklerini aktif olarak kullanıyor. Bu şekilde, virüs bulaşmış bilgisayarın kullanıcısını, dosyalarını geri döndürmeye çalışmak için tereddüt etmeden bilgisayar kimliğini virüs yazarının e-posta adresine göndermeye zorlamaya çalışır. Böyle bir mesaja verilen yanıt çoğunlukla fidye miktarı ve elektronik cüzdanın adresidir.

    Bilgisayarıma fidye yazılımı virüsü bulaştı mı?

    Bir bilgisayara fidye yazılımı virüsü bulaşıp bulaşmadığını belirlemek oldukça kolaydır. Belge, fotoğraf, müzik vb. kişisel dosyalarınızın uzantılarına dikkat edin. Uzantı değiştiyse veya kişisel dosyalarınız kaybolduysa ve arkasında bilinmeyen adlara sahip birçok dosya kaldıysa, bilgisayara virüs bulaşmış demektir. Ayrıca, dizinlerinizde HELP_YOUR_FILES veya README adında bir dosyanın bulunması da enfeksiyon belirtisidir. Bu dosya, dosyaların şifresini çözmek için talimatlar içerecektir.

    Fidye yazılımı virüsü bulaşmış bir mektubu açtığınızdan şüpheleniyorsanız ancak henüz enfeksiyon belirtisi yoksa, bilgisayarınızı kapatmayın veya yeniden başlatmayın. Bu kılavuzun bölümünde açıklanan adımları izleyin. Bir kez daha, bilgisayarı kapatmamak çok önemlidir, bazı fidye yazılımı türlerinde, enfeksiyondan sonra bilgisayar ilk açıldığında dosya şifreleme işlemi etkinleştirilir!

    Fidye yazılımı virüsü tarafından şifrelenen dosyaların şifresi nasıl çözülür?

    Bu talihsizlik yaşandıysa paniğe gerek yok! Ancak çoğu durumda ücretsiz bir şifre çözücünün olmadığını bilmeniz gerekir. Bunun nedeni, bu tür kötü amaçlı yazılımların kullandığı güçlü şifreleme algoritmalarıdır. Bu, özel anahtar olmadan dosyaların şifresini çözmenin neredeyse imkansız olduğu anlamına gelir. Anahtarın uzunluğunun büyük olması nedeniyle anahtar seçme yöntemini kullanmak da bir seçenek değildir. Bu nedenle, ne yazık ki, şifre çözme anahtarını almaya çalışmanın tek yolu yalnızca virüsün yazarlarına istenen tutarın tamamını ödemektir.

    Elbette, ödeme yapıldıktan sonra virüsün yazarlarının sizinle iletişime geçip dosyalarınızın şifresini çözmek için gereken anahtarı sağlayacağına dair hiçbir garanti yoktur. Ayrıca, virüs geliştiricilerine para ödeyerek onları yeni virüsler yaratmaya zorladığınızı da anlamalısınız.

    Fidye yazılımı virüsü nasıl kaldırılır?

    Buna devam etmeden önce, virüsü temizlemeye başladığınızda ve dosyaları kendiniz geri yüklemeye çalıştığınızda, virüsün yazarlarına talep ettikleri tutarı ödeyerek dosyaların şifresini çözme yeteneğini engellediğinizi bilmeniz gerekir.

    Kaspersky Virüs Temizleme Araç ve Malwarebytes Anti-kötü amaçlı yazılım tespit edebilir farklı şekiller etkin fidye yazılımı virüsleridir ve bunları bilgisayardan kolayca kaldırırlar, ANCAK şifrelenmiş dosyaları geri yükleyemezler.

    5.1. Kaspersky Virüs Temizleme Aracı ile fidye yazılımını kaldırın

    Varsayılan olarak program tüm dosya türlerini kurtaracak şekilde yapılandırılmıştır, ancak işi hızlandırmak için yalnızca kurtarmanız gereken dosya türlerini bırakmanız önerilir. Seçiminizi tamamladığınızda OK butonuna basın.

    QPhotoRec penceresinin alt kısmında Gözat düğmesini bulun ve tıklayın. Kurtarılan dosyaların kaydedileceği dizini seçmeniz gerekir. Kurtarma gerektiren şifrelenmiş dosyalar içermeyen bir disk kullanılması tavsiye edilir (bir USB flash sürücü veya harici bir sürücü kullanabilirsiniz).

    Şifrelenmiş dosyaların orijinal kopyalarını arama ve geri yükleme prosedürünü başlatmak için Ara düğmesini tıklayın. Bu süreç oldukça uzun sürüyor, bu yüzden sabırlı olun.

    Arama bittiğinde Quit butonuna tıklayın. Şimdi kurtarılan dosyaları kaydetmek için seçtiğiniz klasörü açın.

    Klasör recup_dir.1, recup_dir.2, recup_dir.3 vb. adlı dizinleri içerecektir. Nasıl daha fazla dosya programı bulursa, o kadar çok dizin olacaktır. İhtiyacınız olan dosyaları bulmak için tüm dizinleri tek tek kontrol edin. İhtiyacınız olan dosyayı bulmayı kolaylaştırmak için Büyük bir sayı geri yüklendiğinde, yerleşik Windows arama sistemini kullanın (dosyanın içeriğine göre) ve ayrıca dizinlerdeki dosyaları sıralama işlevini de unutmayın. QPhotoRec, bir dosyayı geri yüklerken bu özelliği geri yüklemeye çalıştığından, dosyanın değiştirildiği tarihi bir sıralama parametresi olarak seçebilirsiniz.

    Bir bilgisayara fidye yazılımı virüsünün bulaşması nasıl önlenir?

    Çoğu modern anti-virüs programı, fidye yazılımı virüslerinin sızmasına ve etkinleştirilmesine karşı zaten yerleşik bir koruma sistemine sahiptir. Bu nedenle, eğer bilgisayarınızda yoksa antivirüs programı daha sonra yüklediğinizden emin olun. Bunu okuyarak nasıl seçeceğinizi öğrenebilirsiniz.

    Üstelik uzmanlaşmış koruyucu programlar. Örneğin, bu CryptoPrevent, daha fazla ayrıntı.

    Son birkaç söz

    Bu talimatı uyguladığınızda bilgisayarınız fidye yazılımı virüsünden temizlenecektir. Sorularınız varsa veya yardıma ihtiyacınız varsa lütfen bizimle iletişime geçin.

    Sisteme ailelerin kötü amaçlı yazılımları bulaşmışsa Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl veya Trojan-Ransom.Win32.CryptXXX, daha sonra bilgisayardaki tüm dosyalar aşağıdaki gibi şifrelenecektir:

    • Enfekte olduğunda Trojan-Ransom.Win32.Rannoh adlar ve uzantılar şablona göre değişecektir kilitli-<оригинальное_имя>.<4 произвольных буквы> .
    • Enfekte olduğunda Trojan-Ransom.Win32.Cryakl dosyaların içeriğinin sonuna bir işaret eklenir (CRYPTENDBLACKDC) .
    • Enfekte olduğunda Trojan-Ransom.Win32.AutoIt desene göre uzantı değişiklikleri <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
      Örneğin, [e-posta korumalı] _.RZWDTDIC.
    • Enfekte olduğunda Trojan-Ransom.Win32.CryptXXX kalıplara göre uzantı değişiklikleri <оригинальное_имя>.mezar odası,<оригинальное_имя>. kripto Ve <оригинальное_имя>. kripto1.

    RannohDecryptor yardımcı programı, enfeksiyondan sonra dosyaların şifresini çözmek için tasarlanmıştır Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl veya Trojan-Ransom.Win32.CryptXXX versiyonlar 1 , 2 Ve 3 .

    Sistem nasıl tedavi edilir

    Virüslü bir sistemi iyileştirmek için:

    1. RannohDecryptor.zip dosyasını indirin.
    2. Virüslü makinede RannohDecryptor.exe dosyasını çalıştırın.
    3. Ana pencerede, tıklayın Doğrulamayı başlat.
    1. Şifrelenmiş ve şifrelenmemiş dosyanın yolunu belirtin.
      Dosya şifrelenmişse Trojan-Ransom.Win32.CryptXXX, dosyalarını belirtin büyük beden. Şifre çözme yalnızca eşit veya daha küçük boyutlu dosyalar için mümkün olacaktır.
    2. Şifrelenmiş dosyaların aranması ve şifresinin çözülmesinin sonuna kadar bekleyin.
    3. Gerekirse bilgisayarınızı yeniden başlatın.
    4. Gibi şifrelenmiş dosyaların bir kopyasını silmek için kilitli-<оригинальное_имя>.<4 произвольных буквы> Başarılı şifre çözme işleminden sonra öğesini seçin.

    Dosya şifrelenmişse Trojan-Ransom.Win32.Cryakl, daha sonra yardımcı program dosyayı uzantıyla birlikte eski konuma kaydedecektir. .decryptedKLR.original_extension. Eğer seçtiysen Başarılı şifre çözme işleminden sonra şifrelenmiş dosyaları silin, ardından şifresi çözülen dosya yardımcı program tarafından orijinal adıyla kaydedilecektir.

    1. Varsayılan olarak yardımcı program, işlem raporunu kök sunucuya gönderir. sistem diski(işletim sisteminin kurulu olduğu sürücü).

      Raporun adı şuna benzer: UtilityName.Version_Date_Time_log.txt

      Örneğin, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

    Virüs bulaşmış bir sistemde Trojan-Ransom.Win32.CryptXXX yardımcı program sınırlı sayıda dosya biçimini tarar. Kullanıcı CryptXXX v2'den etkilenen bir dosyayı seçtiğinde anahtar kurtarma uzun zaman alabilir. Bu durumda yardımcı program bir uyarı görüntüler.

    Hatırlamak: Trojan.Encoder ailesinin Truva atları, bilgisayarın sabit diskindeki dosyaları şifreleyen ve şifrelerinin çözülmesi için para talep eden kötü amaçlı programlardır. *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar ve benzeri dosyalar şifrelenebilir.
    Bu virüsün tüm ailesiyle şahsen tanışmak mümkün değildi, ancak uygulamanın gösterdiği gibi, enfeksiyon, tedavi ve şifre çözme yöntemi herkes için yaklaşık olarak aynıdır:
    1. kurban, ek içeren bir spam e-posta yoluyla virüse yakalanır (daha az sıklıkla enfeksiyon yoluyla),
    2. Virüs, yeni veritabanlarına sahip hemen hemen tüm antivirüsler tarafından tanınır ve kaldırılır (zaten).
    3. Kullanılan şifreleme türleri için şifreler-anahtarlar seçilerek dosyaların şifresi çözülür.
    Örneğin, Trojan.Encoder.225, RC4 (değiştirilmiş) + DES şifrelemesini kullanırken Trojan.Encoder.263, CTR modunda BlowFish'i kullanır. Bu virüslerin şifresi şu anda kişisel uygulamaya dayalı olarak %99 oranında çözülmektedir.

    Ama her şey o kadar düzgün değil. Bazı fidye yazılımı virüsleri aylarca süren sürekli şifre çözme gerektirirken (Trojan.Encoder.102), diğerlerinin (Trojan.Encoder.283) şifresi Doktor Web uzmanları tarafından bile hiçbir şekilde çözülemez; bu da aslında bu makalede önemli bir rol oynamaktadır.

    Şimdi sırayla.

    Ağustos 2013'ün başında müşterilerim Trojan.Encoder.225 virüsü tarafından şifrelenen dosyalarla ilgili bir sorun nedeniyle benimle iletişime geçti. O zamanlar virüs yeni, kimse bir şey bilmiyor, internette 2-3 tematik Google bağlantısı var. İnternette uzun bir aramanın ardından, bu virüsten sonra dosyaların şifresini çözme sorunuyla uğraşan (bulunan) tek kuruluşun Doctor Web olduğu ortaya çıktı. Yani: önerilerde bulunur, teknik destekle iletişime geçerken yardımcı olur, kendi şifre çözücülerini geliştirir vb.

    Negatif geri çekilme.

    Bu fırsatı değerlendirerek iki tanesine dikkat çekmek istiyorum. besi eksi "Kaspersky Lab". Teknik destekle iletişime geçtiğinizde “Bu konu üzerinde çalışıyoruz, sonuçları size mail yoluyla bildireceğiz” diyorlar. Yine de eksi, talebe hiçbir zaman yanıt alamamış olmamdır. 4 ay sonra. Tepki verme sürenizi sikeyim. Ve burada "başvurunun kaydedilmesinden en fazla bir saat sonra" standardı için çabalıyorum.
    Çok yazık, yoldaş Evgeny Kaspersky, CEO Kaspersky Laboratuvarı. Ama tüm şirketlerin büyük bir kısmı üzerinde "oturuyor". Tamam, lisanslar Ocak-Mart 2014'te sona eriyor. Lisansı yenileyip yenilemeyeceğimi konuşmaya değer mi? ;)

    Anti-virüs endüstrisinin devlerini DEĞİL, tabiri caizse "daha basit" şirketlerin "uzmanlarının" yüzlerini temsil ediyorum. Muhtemelen genel olarak "bir köşeye sıkıştı" ve "sessizce ağladı."
    Her ne kadar orada olsa da, kesinlikle herkes sonuna kadar "berbat". Antivirüs, prensip olarak bu virüsün bilgisayara girmesine izin vermemeliydi. Özellikle dikkate alındığında modern teknolojiler. Ve "onlar" için DEVLER antivirüs endüstrisi, güya her şey kontrol altında, "sezgisel analiz", "öngörme sistemi", "proaktif savunma"...

    İK ÇALIŞAN "ÖZET" KONUSU İLE "ZARARLI" MEKTUBU AÇTIĞINDA BU SÜPER SİSTEMLER NEREDE???
    Çalışan ne düşünmeli?
    Eğer bizi koruyamıyorsanız, neden SİZE ihtiyacımız var?

    Ve Doctor Web'de her şey yoluna girecek, ancak yardım almak için elbette yazılım ürünlerinden herhangi birinin lisansına sahip olmanız gerekir. Teknik destekle (bundan sonra TP olarak anılacaktır) iletişime geçtiğinizde şunları sağlamanız gerekir: seri numarası Dr.Web'e gidin ve "Talep kategorisi:" satırında "tedavi talebi" seçeneğini seçmeyi veya laboratuvara şifrelenmiş bir dosya sağlamayı unutmayın. İnternette toplu olarak yayınlanan Dr.Web'in sözde "günlük anahtarlarının" herhangi bir yazılım ürününün satın alınmasını onaylamadıkları için uygun olmadığına dair hemen bir rezervasyon yapacağım ve TP uzmanları tarafından bir veya iki kez incelendi. En "deshman" lisansını satın almak daha kolaydır. Çünkü şifre çözmeyi üstlenirseniz, bu lisans size milyonlarca kez karşılığını verecektir. Özellikle "Mısır 2012" resimli klasör tek nüsha halindeyse ...

    1 numaralı deneme

    Böylece, n miktarda para karşılığında "bir yıl boyunca 2 bilgisayar için lisans" satın aldıktan, TP ile iletişime geçip bazı dosyalar sağladıktan sonra, te225decrypt.exe şifre çözme yardımcı programının 1.3.0.0 sürümüne bir bağlantı aldım. Başarı beklentisiyle yardımcı programı çalıştırıyorum (onu şifrelenmiş *. belge dosyaları). Yardımcı program, eski işlemci E5300 DualCore, 2600 MHz (3,46 GHz'e hız aşırtılmış) / 8192 MB DDR2-800, HDD 160Gb Western Digital'in% 90-100'ünü acımasızca yükleyerek seçimi başlatır.
    Burada benimle paralel olarak core i5 2500k PC (4.5ghz'e hız aşırtma) / 16 ram 1600 / ssd intel kullanan bir meslektaşım çalışmaya dahil ediliyor (bu, makalenin sonunda harcanan süreyi karşılaştırmak içindir).
    6 gün sonra yardımcı program 7277 dosyanın şifresinin çözüldüğünü bildirdi. Ancak mutluluk uzun sürmedi. Tüm dosyaların şifresi "çarpık bir şekilde" çözüldü. Yani örneğin Microsoft belgeleri ofis açık, ancak farklı hatalarla: " Kelime uygulaması*.docx belgesi okunamayan içerik buldu" veya "İçerik hataları nedeniyle *.docx dosyası açılamıyor". *.jpg dosyaları da hatalı olarak açılıyor veya görüntünün %95'i soluk siyah veya limon yeşili arka plana dönüşüyor. *.rar dosyaları için - "Beklenmeyen arşiv sonu".
    Genel olarak tam bir başarısızlık.

    2. deneme

    Sonuçlar hakkında TP'ye yazıyoruz. Lütfen birkaç dosya sağlayın. Bir gün sonra, te225decrypt.exe yardımcı programına tekrar bir bağlantı veriyorlar, ancak zaten sürüm 1.3.2.0. Hadi başlayalım, o zaman zaten alternatif yoktu. Yaklaşık 6 gün sürer ve yardımcı program "Şifreleme parametreleri seçilemiyor" hatasıyla çalışmasını sonlandırır. Toplam 13 gün "boşa gitti".
    Ancak *aptal* müşterimizin temel yedeklemeleri olmayan önemli belgeleri yüzünden pes etmiyoruz.

    3. deneme

    Sonuçlar hakkında TP'ye yazıyoruz. Lütfen birkaç dosya sağlayın. Ve tahmin edebileceğiniz gibi, bir gün sonra aynı te225decrypt.exe yardımcı programına, ancak zaten 1.4.2.0 sürümüne bir bağlantı veriyorlar. Peki, başlayalım, çünkü ne Kaspersky Lab'den, ne ESET NOD32'den, ne de diğer üreticilerden alternatif yoktu. antivirüs çözümleri. Ve şimdi, 5 gün 3 saat 14 dakika (123,5 saat) sonra, yardımcı program dosyaların şifresinin çözüldüğünü rapor ediyor (core i5 kullanan bir meslektaşım için şifre çözme yalnızca 21 saat 10 dakika sürdü).
    Bence öyleydi, değildi. Ve bakalım: tam başarı! Tüm dosyaların şifresi doğru şekilde çözüldü. Her şey düzgün bir şekilde açılır, kapanır, görünür, düzenlenir ve kaydedilir.

    Herkes mutlu, SON.

    “Trojan.Encoder.263 virüsünün hikayesi nerede?” diye soruyorsunuz. Ve bir sonraki bilgisayarda masanın altındaydı ... Orada her şey daha basitti: Doctor Web'in TP'sine yazıyoruz, te263decrypt.exe yardımcı programını alıyoruz, çalıştırıyoruz, 6,5 gün bekliyoruz, işte! ve her şey hazır.Özetle, benim baskımda Doctor Web forumundan size birkaç ipucu verebilirim:

    Fidye yazılımı virüsü bulaşması durumunda ne yapılmalı:
    - Virüs laboratuvarına Dr. Web'de veya "Gönder" formunda şüpheli dosya»şifrelenmiş belge dosyası.
    - Dr.Web çalışanından yanıt bekleyin ve ardından talimatlarını izleyin.

    Ne yapılmamalı:
    - şifrelenmiş dosyaların uzantısını değiştirin; Aksi takdirde, iyi seçilmiş bir anahtarla yardımcı program, şifresinin çözülmesi gereken dosyaları "görmeyecektir".
    - Verilerin şifresini çözmek / kurtarmak için uzmanlara danışmadan herhangi bir programı kendi başınıza kullanın.

    Dikkat, diğer görevlerden arınmış bir sunucuya sahip olduğumdan, verilerinizin şifresini çözmek için ücretsiz hizmetlerimi sunuyorum. *Belirli frekanslara* hız aşırtmalı sunucu çekirdeği i7-3770K, 16 GB RAM ve SSD Tepe Noktası 4.
    Habr'ın tüm aktif kullanıcıları için kaynaklarımın kullanımı ÜCRETSİZ olacaktır!!!
    Bana kişisel veya diğer kişilerle yazın. Bu konuda zaten "köpeği yedim". Bu nedenle, geceleri şifre çözme için bir sunucu koyamayacak kadar tembel değilim.
    Bu virüs modernitenin “belasıdır” ve askerlerden “ganimet” almak insani değildir. Yine de birisi 410011278501419 numaralı Yandex.money hesabıma birkaç dolar "atarsa" umurumda değil. Ancak bu hiç de gerekli değil. Temas etmek. Boş zamanlarımda istekleri değerlendiriyorum.

    Yeni ipuçları!

    12/08/2013 tarihinden itibaren, aynı Trojan.Encoder serisinden yeni bir virüs Doctor Web'in sınıflandırması olan Trojan.Encoder.263 altında yayılmaya başladı, ancak RSA şifrelemesi. Bu tip bugün itibariyle (20.12.2013) çözülemezÇünkü çok güçlü bir şifreleme yöntemi kullanıyor.

    Bu virüsten etkilenen herkese şunları öneriyorum:
    1. Yerleşik kullanımı Windows araması.perfect uzantılı tüm dosyaları bulun ve bunları şuraya kopyalayın: harici medya.
    2. Aynı CONTACT.txt dosyasını kopyalayın
    3. Bu harici ortamı rafa koyun.
    4. Kod çözücü yardımcı programının görünmesini bekleyin.

    Ne yapılmamalı:
    Dolandırıcılarla uğraşmanıza gerek yok. Bu aptalca. Vakaların% 50'sinden fazlasında, yaklaşık 5000 rublelik bir "ödemeden" sonra HİÇBİR ŞEY alamayacaksınız. Para yok, şifre çözücü yok.
    Adil olmak gerekirse, internette "ganimet" karşılığında dosyalarının şifresini çözerek geri alan "şanslıların" olduğu unutulmamalıdır. Ama bu insanlara güvenmeyin. Eğer bir virüs yazarı olsaydım yapacağım ilk şey “Para ödedim ve bana şifre çözücü gönderdiler!!!” gibi bilgileri yaymak olurdu.
    Bu "şanslıların" arkasında aynı saldırganlar olabilir.

    Peki... Trojan.Encoder grubu virüslerinden sonra dosyaların şifresini çözecek bir yardımcı program oluşturma konusunda diğer antivirüs şirketlerine iyi şanslar dileyelim.

    Doktor Web forumundan yoldaş v.martyanov'a kod çözücü yardımcı programlarının oluşturulması konusunda yapılan çalışmalar için özellikle teşekkür ederiz.

    Bilgisayar varsa SMS, dosyalarınızın şifrelendiğini söylüyor, o zaman paniğe kapılmayın. Dosya şifrelemenin belirtileri nelerdir? Normal uzantı *.vault, *.xtbl, * olarak değişir [e-posta korumalı] _XO101 vb. Dosyalar açılamıyor - mesajda belirtilen adrese mektup gönderilerek satın alınabilecek bir anahtar gereklidir.

    Şifrelenmiş dosyaları nereden aldınız?

    Bilgisayar, bilgiye erişimi engelleyen bir virüs kaptı. Çoğu zaman antivirüsler bunları atlar çünkü bu program genellikle zararsız, ücretsiz bir şifreleme yardımcı programına dayanır. Virüsün kendisini yeterince hızlı bir şekilde kaldıracaksınız, ancak bilgilerin şifresinin çözülmesiyle ciddi sorunlar ortaya çıkabilir.

    Kullanıcıların verilerin şifresini çözme taleplerine yanıt olarak Kaspersky Lab, Dr.Web ve anti-virüs yazılımı geliştirmede yer alan diğer tanınmış şirketlerin teknik desteği, bunu makul bir sürede yapmanın imkansız olduğunu bildiriyor. Kodu alabilen birkaç program var, ancak bunlar yalnızca önceden çalışılmış virüslerle çalışabilir. Eğer karşı karşıya kalırsanız yeni değişiklik, o zaman bilgiye erişimi yeniden sağlama şansı son derece küçüktür.

    Fidye yazılımı virüsü bilgisayara nasıl bulaşır?

    Vakaların %90'ında, kullanıcılar bilgisayarda virüsü kendileri etkinleştirir bilinmeyen e-postaları açarak. Bundan sonra kışkırtıcı bir konu içeren bir e-posta mesajı gelir - “Mahkemeye Davet”, “Kredi Borcu”, “Vergi Müfettişliğinden Tebligat” vb. Sahte e-postanın içinde, fidye yazılımının indirildikten sonra bilgisayara girdiği ve dosyalara erişimi yavaş yavaş engellemeye başladığı bir ek vardır.

    Şifreleme anında gerçekleşmez, bu nedenle kullanıcıların tüm bilgiler şifrelenmeden önce virüsü kaldırmak için zamanları olur. Dr.Web CureIt, Kaspersky Internet Security ve Malwarebytes Antimalware temizleme yardımcı programlarını kullanarak kötü amaçlı bir komut dosyasını yok edebilirsiniz.

    Dosyaları kurtarmanın yolları

    Bilgisayarda sistem koruması etkinleştirildiyse, fidye yazılımı virüsünün eyleminden sonra bile, dosyaların gölge kopyalarını kullanarak dosyaları normal duruma geri yükleme şansı vardır. Fidye yazılımları genellikle bunları kaldırmaya çalışır ancak bazen yönetici ayrıcalıklarının olmaması nedeniyle bunu başaramazlar.

    Önceki bir sürümü geri yükleme:

    Önceki sürümleri korumak için sistem korumasının etkinleştirilmesi gerekir.

    Önemli: Fidye yazılımı ortaya çıkmadan önce sistem korumasının etkinleştirilmesi gerekir, bundan sonra artık yardımcı olmayacaktır.

    1. "Bilgisayar" özelliklerini açın.
    2. Soldaki menüden "Sistem Koruması" seçeneğini seçin.
    3. C sürücüsünü vurgulayın ve "Yapılandır"a tıklayın.
    4. Geri yükleme ayarlarını seçin ve önceki sürümler Dosyalar. Tamam'ı tıklatarak değişiklikleri uygulayın.

    Bu önlemleri, dosyaları şifreleyen bir virüsün ortaya çıkmasından önce aldıysanız, bilgisayarınızı kötü amaçlı kodlardan temizledikten sonra bilgilerinizi kurtarma şansınız yüksektir.

    Özel yardımcı programları kullanma

    Kaspersky Lab, virüs kaldırıldıktan sonra şifrelenmiş dosyaları açmanıza yardımcı olacak çeşitli yardımcı programlar hazırlamıştır. Denemeye değer ilk şifre çözücü Kaspersky RectorDecryptor'dur.

    1. Uygulamayı Kaspersky Lab'in resmi web sitesinden indirin.
    2. Ardından yardımcı programı çalıştırın ve "Taramayı Başlat"a tıklayın. Herhangi bir şifrelenmiş dosyanın yolunu belirtin.

    Kötü amaçlı yazılım dosyaların uzantısını değiştirmediyse, şifreyi çözmek için bunları ayrı bir klasörde toplamak gerekir. Yardımcı program RectorDecryptor ise, resmi Kaspersky web sitesinden iki program daha indirin - XoristDecryptor ve RakhniDecryptor.

    Kaspersky Lab'in en son yardımcı programının adı Ransomware Decryptor'dır. RuNet'te henüz çok yaygın olmayan ancak yakında diğer Truva atlarının yerini alabilecek CoinVault virüsünden sonra dosyaların şifresinin çözülmesine yardımcı olur.

    Devamını oku: