ev-Video-Virüs tüm dosyaları şifrelerse ne yapmalı. Bir bilgisayardaki dosyalar bir virüs tarafından şifrelendiğinde ne yapmalı? ShadowExplorer yardımcı programını kullanarak verileri kurtarma

Virüs tüm dosyaları şifrelerse ne yapmalı. Bir bilgisayardaki dosyalar bir virüs tarafından şifrelendiğinde ne yapmalı? ShadowExplorer yardımcı programını kullanarak verileri kurtarma

Fidye yazılımı virüsü: dolandırıcılara ödeme yapın ya da ödemeyin

Yani bu yağmurlu gün geldi. Bir fidye yazılımı virüsü, önemli çalışan makinelerden birinde aktif olarak çalışıyordu, ardından tüm ofis, grafik ve diğer birçok dosya, bu yazının yazıldığı sırada şifresinin çözülmesi imkansız olan crypted000007 iznini kabul etti.

Ayrıca, masaüstünde "Dosyalarınız şifrelendi" gibi bir yazı ile ve kökte bir duvar kağıdı belirdi. yerel sürücüler dolandırıcının iletişim bilgilerini içeren beni oku metin belgeleri. Doğal olarak, şifre çözme için bir fidye istiyor.

Şahsen ben bu keçi(ler) ile bu tür faaliyetleri özendirmemek için iletişime geçmedim ama fiyat etiketinin ortalama 300$ ve üzerinde başladığını biliyorum. Ne yapacağını kendin düşün. Ancak, örneğin 1C veritabanları gibi çok önemli dosyaları şifrelediyseniz ve yedek kopya yoksa, bu kariyerinizin çöküşüdür.

Kendimden önce, şifre çözme umudunu beslerseniz, hiçbir durumda para talep eden dosyayı silmeyin ve şifreli dosyalarla hiçbir şey yapmayın (ad, uzantı vb. Değiştirmeyin) diyeceğim. Ama sırayla her şey hakkında konuşalım.

Fidye yazılımı virüsü - nedir

Kötü amaçlıdır (fidye yazılımı) yazılım, çok güçlü bir algoritma kullanarak bir bilgisayardaki verileri şifreler. İşte kaba bir benzetme. Windows girişinde birkaç bin karakterlik bir parola belirlediğinizi ve bunu unuttuğunuzu düşünün. Katılıyorum, hatırlamak imkansız. Manuel arama kaç can alacak?

Aynısı, yasa dışı amaçlar için yasal şifreleme yöntemlerini kullanan bir fidye yazılımı için de geçerlidir. Bu virüsler genellikle asenkron şifreleme kullanır. Bu, bir anahtar çiftinin kullanıldığı anlamına gelir.

Dosyalar bir genel anahtar kullanılarak şifrelenir ve yalnızca bir dolandırıcının sahip olduğu özel bir anahtarla bunların şifresini çözebilirsiniz. Tüm anahtarlar, her bilgisayar için ayrı ayrı oluşturuldukları için benzersizdir.

Bu yüzden bu makalenin başında fidye diskinin kökündeki readme.txt dosyasını silemeyeceğinizi söylemiştim. İçinde ortak anahtarın belirtildiğidir.

Benim durumumdaki şantajcının e-posta adresi Eğer onu aramaya başlarsanız, trajedinin gerçek boyutunu anlayacaksınız. Birçok insan acı çekti.

Bu nedenle tekrar söylüyorum: her durumda, hiçbir şekilde değişmeyin. hasarlı dosyalar... Aksi takdirde, gelecekte iyileşmeleri için en küçük şansı bile kaybedersiniz.

Ayrıca işletim sisteminin yeniden yüklenmesi ve geçici ve sistem dizinlerinin temizlenmesi önerilmez. Kısacası tüm şartlar netleşene kadar hayatımızı zorlaştırmamak için hiçbir şeye dokunmuyoruz. Her ne kadar öyle görünse de, çok daha kötü.

Bu enfeksiyon bilgisayara en sık "Acil, kafa. Bankadan mektup" ve benzeri gibi yanan bir konuyla e-posta yoluyla girer. Zararsız bir pdf gibi görünebilecek bir ekte veya jpg dosyası ve düşman gizlidir.

Başlatma, ilk bakışta korkunç bir şey olmaz. Zayıf bir ofis bilgisayarında, kullanıcı belirli bir "gecikme" fark edebilir. Kendini bir sistem süreci olarak gizleyen bu virüs, zaten kirli işlerini yapıyor.

Windows 7 ve üzeri sürümlerde, haşere başladığında, değişikliklere izin verilip verilmediğini soran Kullanıcı Hesabı Denetimi penceresi sürekli olarak görünür. Tabii ki, deneyimsiz kullanıcı her şeyi kabul etmek, böylece kendi kararını imzalamak.

Evet, aslında, virüs dosyalara erişimi zaten engelliyor ve bittiğinde, masaüstünde "Dosyalarınız şifrelendi" uyarısı içeren bir yazıt görünecektir. Genel olarak, bu bir rahip. Sonra teneke başlar.

Bir fidye yazılımı virüsü nasıl tedavi edilir

Yukarıdakilere dayanarak, masaüstündeki korkunç yazıt henüz görünmediyse ve anlaşılmaz uzun adlara sahip ilk dosyaları kaotik bir dizi karakterden gördüyseniz, bilgisayarı hemen prizden çıkarın.

Bu doğru, kaba ve tavizsiz. Bunu yaparak, kötü amaçlı yazılımın algoritmasını durduracak ve en azından bir şeyler kaydedebileceksiniz. Ne yazık ki, benim durumumda çalışan bunu bilmiyordu ve her şeyini kaybetti. Senin annen ...

Benim için pastadaki kiraz, ortaya çıktığı gerçeğiydi. verilen virüs PC'ye bağlı tüm çıkarılabilir medya ve ağ sürücülerini yazma erişim haklarıyla kolayca şifreler. Oradaydılar yedekler.

Şimdi tedavi hakkında. Anlaşılması gereken ilk şey, virüsün tedavi edilmekte olduğu, ancak dosyaların şifreli kalacağıdır. Belki sonsuza kadar. Tedavi sürecinin kendisi karmaşık bir şeyi temsil etmez.

Bunu yapmak için, sabit sürücüyü başka bir bilgisayara bağlamanız ve veya Kaspersky gibi yardımcı programlarla taramanız gerekir. Virüs Temizleme Alet. Güvenilirlik için iki dönüşümlü olarak mümkündür. Virüslü vidayı başka bir bilgisayara taşımazsanız, Canlı CD'den önyükleme yapın.

Kural olarak, bu tür antivirüs çözümleri fidye yazılımını sorunsuz bir şekilde bulur ve kaldırır. Ancak bazen hiçbir şey tespit etmezler, çünkü işini yapmış olan virüs sistemden kendisi kaldırılabilir. İşte bütün izleri örten ve incelemeyi zorlaştıran sakatatlar böyledir.

Şu soruyu öngörüyorum, antivirüs neden istenmeyen yazılımların bilgisayara girmesini hemen engellemedi? O zaman hiçbir sorun olmazdı. Bana göre, üzerinde şu an antivirüsler fidye yazılımlarıyla savaşı kaybediyor ve bu çok üzücü.

Ayrıca dediğim gibi bu tür kötü niyetli programlar yasal kriptografik yöntemler bazında çalışır. Yani, çalışmalarının teknik açıdan yasadışı olmadığı ortaya çıktı. Bu onları tanımlamanın zorluğudur.

Virüsten koruma veritabanlarına yalnızca enfeksiyondan sonra eklenen yeni değişiklikler sürekli olarak yayınlanmaktadır. Yani, ne yazık ki, bu durumda %100 koruma olamaz. Yalnızca bir PC üzerinde çalışırken dikkatli davranış, ancak daha sonra daha fazlası.

Bir virüsten sonra dosyaların şifresi nasıl çözülür

Her şey özel duruma bağlıdır. Fidye yazılımı virüsünün modifikasyonlarının istediğiniz herhangi bir şey olabileceği yukarıda yazılmıştır. Buna bağlı olarak, şifrelenmiş dosyaların farklı uzantıları vardır.

İyi haber şu ki, enfeksiyonun birçok sürümü için antivirüs şirketleri şifre çözücüler (şifre çözücüler) çoktan bulmuşlardır. Rusça konuşulan pazarın lideri Kaspersky Lab'dir. Bu amaçlar için aşağıdaki kaynak oluşturuldu:

Üzerinde, arama çubuğunda, fidye notundan uzantı veya e-posta hakkında bilgi alıyoruz, "Ara" yı tıklayın ve bizim için bir kaydetme yardımcı programı olup olmadığına bakın.

Şanslıysanız, programı listeden indirin ve çalıştırın. Bazı şifre çözücülerin açıklamasında, bir bilgisayarda çalışırken, çevrimiçi veritabanında gelişmiş anahtar araması için bir İnternet bağlantısının olması gerektiği söylenir.

Gerisi basit. Belirli bir dosya veya diski tamamen seçip taramaya başlıyoruz. "Şifrelenmiş dosyaları sil" öğesini etkinleştirirseniz, şifre çözme işleminden sonra tüm orijinal dosyalar silinecektir. Oh, bu kadar acele etmem, sadece sonuca bakman gerekiyor.

Bazı virüs türleri için program dosyanın iki sürümünü isteyebilir: orijinal ve şifreli. İlki orada değilse, o gitmiştir.

Ayrıca, lisanslı Kaspersky Lab ürünlerinin kullanıcıları, şifre çözme konusunda yardım için resmi forumla iletişim kurma fırsatına sahiptir. Ama uzantımla (crypted000007) ittikten sonra, orada hiçbir şeye yardım edilmeyeceğini anladım. Aynı şey Dr.Web için de söylenebilir.

Benzer bir proje daha var, ancak zaten uluslararası. İnternetten alınan bilgilere göre, önde gelen antivirüs satıcıları tarafından desteklenmektedir. İşte adresi:

Elbette öyle olabilir ama site düzgün çalışmıyor. Açık ana sayfa iki şifreli dosyanın yanı sıra bir fidye dosyasının indirilmesi önerilir, bundan sonra sistem şifre çözücünün mevcut olup olmadığına dair bir cevap verecektir.

Ama bunun yerine dil seçimi ile bölüme geçiş var ve bu kadar. Bu nedenle, bağımsız olarak "Decryptor-Utility" bölümüne gidebilir ve ihtiyacınız olan programı bulmaya çalışabilirsiniz.

Bunu yapmak çok uygun değil, çünkü Kısa Açıklama mevcut yazılım için desteklenen dosya uzantılarının açık bir göstergesi yoktur. Bunu yapmak için, her bir şifre çözücü türü için genişletilmiş talimatı okumanız gerekir.

Yayının yazılması sürecinde, aynı prensibe göre düzgün çalışan benzer bir hizmet bulundu. Tehdidin adını belirlemenize ve varsa bir "sihirli hap" önermenize yardımcı olacaktır. Kullanıcıların rahatlığı için sitenin sağ üst köşesinde çevirmen butonu bulunmaktadır.

Ne yapalım? Ödemek ya da ödememek

Bu başlığı okuduysanız, dosyalarınız hala kararlı bir şekilde şifrelenmiş demektir. Ve sonra soru şu: sonra ne yapmalı? Gerçekten de, şifreleme durumunda, son derece önemli dosyalar küçük işletmeler bir yana, büyük işletmelerin bile çalışmaları felç olabilir.

İlk olarak, dolandırıcının talimatlarını takip edebilir ve fidyeyi ödeyebilirsiniz. Ancak "Kaspersky Lab" istatistikleri, ödeme yapıldıktan sonra her beş şirketten birinin şifre çözücülü bir anahtar almadığını gösteriyor.

Bu çeşitli nedenlerle olabilir. Örneğin, virüs, özel anahtara sahip olan yaratıcıların kendileri tarafından değil, sahte aracılar tarafından kullanılabilir.

Verilerini fidye dosyasında belirterek kötü amaçlı yazılım kodunu değiştirdiler, ancak ikinci bir anahtarları yok. Parayı aldık ve çöpe attık. Ve daha da kukute.

Genel olarak yalan söylemeyecekler, kendim tüm teknik nüansları bilmiyorum. Ama her halükarda, şantajcılara ödeme yaparak onları bu tür faaliyetlere devam etmeleri için motive ediyorsunuz. Sonuçta, işe yaradığı ve para getirdiği için neden olmasın.

Ancak internette, bu soruna yardımcı olmayı ve crypted000007 uzantılı dosyaların bile şifresini çözmeyi vaat eden en az iki ofis buldum. Büyük bir korkuyla bir tanesine döndüm.

Dürüst olmak gerekirse, adamlar bana yardım etmediler, çünkü hemen bir şifre çözücüye sahip olmadıklarını söylediler, ancak virüsün düşük seviyeli bir tarama kullanarak sildiği orijinal dosyaların yaklaşık %30'unu kurtarmaya çalışabilirler.

Düşündüm ve reddettim. Ama onlar sayesinde kulaklarını tıkamadılar, vakit ayırdılar ve her şeyi ayık bir şekilde anlattılar. Eh, bir anahtarı olmadığı için, dolandırıcılarla etkileşime girmemeleri gerektiği anlamına gelir.

Ancak operasyonun başarısı için %100 garanti veren daha "ilginç" bir şirket daha var. Web sitesi şu adreste bulunur:

Özel forumlarda dolaşmaya çalıştım, ancak gerçek müşterilerden gelen yorumları bulamadım. Yani, herkes bunu biliyor, ancak çok az kişi kullandı. Kısır döngü.

Bu adamlar sonuç gerçeği üzerinde çalışıyorlar, ön ödeme yok. Tekrar ediyorum, crypted000007 bile olsa şifre çözme garantisi veriyorlar. Yani bir anahtarları ve şifre çözücüleri var. Dolayısıyla soru şu: Bu iyiliği nereden aldılar? Yoksa bir şey mi kaçırıyorum?

Kötü bir şey söylemek istemiyorum, belki kibar ve kabarıklardır, dürüst çalışırlar ve insanlara yardım ederler. Teknik olarak, bu bir ana anahtar olmadan imkansızdır. Her durumda, onlara karşı uzlaşmacı biri bulundu.

Kendinizi bir fidye yazılımı virüsünden nasıl korursunuz

Kendinizi korumaya yardımcı olacak ve bu tür kötü amaçlı yazılımların nüfuz etmesi durumunda kayıpları en aza indirecek birkaç temel varsayımdan bahsedeceğim. Sonuçta, hepsini kendi tenimde hissettim.

Çıkarılabilir (ağdan izole edilmiş) ortamlarda düzenli yedeklemeler yapın. Abartmadan söyleyebilirim ki bu en önemli şey.

altında çalışmayın hesap enfeksiyon durumunda kayıpları en aza indirmek için yönetici haklarına sahiptir.

Sosyal medyada gelen e-postaların ve atılan bağlantıların muhataplarını yakından izleyin. ağlar. Burada yorum yok.

Anti-virüs programını güncel tutun. Belki kurtarır ama bu doğru değil.

Dosyaları Windows 7/10'a eklediğinizden emin olun. Bundan sonraki konularda detaylı olarak bahsedeceğiz.

Windows 7 ve üzeri sürümlerde Kullanıcı Hesabı Denetimi sistemini kapatmayın.

Ben de virüs tarafından tamamen şifrelenmiş ofis dosyalarıyla kaldım. Bir gün şifre çözücüyü orada görmeyi umarak, makalede belirtilen tüm kaynaklara periyodik olarak bakacağım. Belki şans gülümser bu hayatta, kim bilir.

Bir kullanıcının dosyalarının şifrelenmesi bir şeydir. ev bilgisayarı film, müzik vb. gibi. Oldukça farklı, işletmenin tüm ofis çalışmalarına erişim en az 5-7 yıl boyunca kaybolduğunda. Acıyor, biliyorum zaten.

Bir fidye yazılımı virüsü ile enfeksiyon

Son zamanlarda, şifreleyiciler (şifreleyiciler, kriptovirüsler) tarafından posta listeleri yoluyla bulaşma vakaları daha sık hale geldi.
Mektupların yetkili organlardan (tahkim mahkemesi, vergi incelemesi, emeklilik fonu, FSS vb.) geldiği iddia ediliyor. Harfler, bir dosya veya ekteki bir dosyanın bağlantısını içerir.
Bir dosyayı açmaya çalıştığınızda, bir enfeksiyon oluşur ve bunun sonucunda:
1. Tamamen veya kısmen şifrelenmiş bilgiler sabit sürücüler Bilgisayarınız ve ağ sabit sürücüleriniz. Normal dosya uzantıları yerine şunu görürsünüz: kasa, cbr, crypt, crypted, xtbl veya diğerleri;
2. Yedekler ve değerli bilgiler silinir;
3. Yerel ağdaki bilgisayarlara virüs bulaşmış;
4. Daha seyrek olarak, adres defterinizden muhataplara sizin adınıza virüslü mektuplar gönderilir;
5. Saldırgan, verileri döndürmek için ödeme yapma ihtiyacı hakkında bir mesaj bırakır. Kural olarak, 25.000 ruble miktarı. Ve daha yüksek.

Scrambler virüs tedavisi.

Hemen hemen tüm antivirüsler, fidye yazılımı virüslerinin geçmesine izin verir. Bunun nedeni, her gün virüsten koruma yazılımı tarafından tanınmayan yeni karıştırıcıların ortaya çıkması ve virüsten koruma veritabanlarına girdiklerinde yüz binlerce bilgisayara virüs bulaşmasıdır.

Bir fidye yazılımı virüsü bulaştıktan sonra dosyaların şifresi nasıl çözülür?

Virüsler güçlü bir şifreleme algoritması kullandığından, modern şifreleyicilerle şifrelenen dosyaların şifresi çözülemez. Çoğu durumda virüsten koruma laboratuvarları bile dosyaların şifresinin çözülmesine yardımcı olamaz. Tabii ki, yardım için Kaspersky Lab veya Dr.Web ile iletişime geçmeniz gereksiz olmayacaktır, ancak garantili bir sonuç beklememelisiniz.

Bir fidye yazılımı virüsüne karşı tek etkili koruma yöntemi önleyici tedbirlerdir.

Uzmanlarımız, fidye yazılımı virüslerine karşı koruma sağlamak için bir dizi ayar gerçekleştirmenizi önerir:

    Etkinleştirildiğinde belgeler, fotoğraflar vb. tüm kişisel dosyaları şifreleyen kötü amaçlı bir programdır. Bu tür programların sayısı oldukça fazladır ve her geçen gün artmaktadır. Son zamanlarda düzinelerce şifreleme seçeneğiyle karşılaştık: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, vb. Bu tür fidye yazılımı virüslerinin amacı, kullanıcıları, genellikle büyük miktarda para karşılığında, kendi dosyalarının şifresini çözmek için gereken bir programı ve anahtarı satın almaya zorlamaktır.

    Elbette, şifrelenmiş dosyaları, virüsün yaratıcılarının virüslü bilgisayarda bıraktığı talimatları izleyerek geri yükleyebilirsiniz. Ancak çoğu zaman şifre çözme maliyeti çok önemlidir, ayrıca bazı fidye yazılımı virüslerinin dosyaları daha sonra şifrelerini çözmek imkansız olacak şekilde şifrelediğini de bilmeniz gerekir. Ve elbette, kendi dosyalarınızı kurtarmak için ödeme yapmak sadece sinir bozucu.

    Aşağıda, fidye yazılımı virüsleri, kurbanın bilgisayarına nasıl sızdıkları ve ayrıca fidye yazılımı virüsünün nasıl kaldırılacağı ve onun tarafından şifrelenen dosyaların nasıl geri yükleneceği hakkında daha ayrıntılı bilgi vereceğiz.

    Bir fidye yazılımı virüsü bir bilgisayara nasıl sızar?

    Fidye yazılımı virüsü genellikle E-posta... Mektup virüslü belgeler içeriyor. Bu e-postalar, büyük bir e-posta adresi veritabanına gönderilir. Bu virüsün yazarları, kullanıcıyı mektuba ekli belgeyi açması için kandırmak amacıyla yanıltıcı başlıklar ve mektupların içeriğini kullanır. Bazı mektuplar faturanın ödenmesi gerektiğini bildirir, diğerleri yeni bir fiyat listesi görmeyi teklif eder, diğerleri komik bir fotoğraf açmayı vb. Her durumda, ekli dosyanın açılmasının sonucu, bilgisayara bir şifreleme virüsü bulaşması olacaktır.

    Fidye yazılımı virüsü nedir

    Fidye yazılımı virüsü, virüslere bulaşan kötü amaçlı bir programdır. modern versiyonlar işletim sistemleri Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 gibi Windows aileleri. Bu virüsler en güçlü şifreleme modlarını kullanmaya çalışırlar, örneğin RSA-2048, anahtar uzunluğu 2048 bit olan, bu da pratikte tahmin olasılığını ortadan kaldırır. kendi dosyalarında şifre çözme anahtarı.

    Bir bilgisayara bulaşırken, fidye yazılımı virüsü kendi dosyalarını depolamak için % APPDATA% sistem dizinini kullanır. Bilgisayar açıldığında kendini otomatik olarak başlatmak için, fidye yazılımı Windows kayıt defterinde bir giriş oluşturur: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Çalıştır, HKCU \ Yazılım \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

    Başladıktan hemen sonra virüs, ağ ve ağ dahil tüm kullanılabilir sürücüleri tarar. Bulut depolamaŞifrelenecek dosyaları tanımlamak için. Fidye yazılımı virüsü, şifrelenecek dosya grubunu belirlemenin bir yolu olarak dosya adı uzantısını kullanır. Aşağıdakiler gibi yaygın olanlar da dahil olmak üzere hemen hemen tüm dosya türleri şifrelenir:

    0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

    Dosya şifrelendikten hemen sonra, fidye yazılımının adının veya türünün genellikle tanımlanabileceği yeni bir uzantı alır. Bu kötü amaçlı programların bazı türleri, şifrelenmiş dosyaların adlarını da değiştirebilir. Sonra virüs oluşturur Metin belgesi HELP_YOUR_FILES, README gibi adlarla şifrelenmiş dosyaların şifresini çözmek için talimatlar içerir.

    Çalışması sırasında, fidye yazılımı virüsü, SVC sistemini kullanarak dosyaları kurtarma yeteneğini kapatmaya çalışır ( gölge kopyalar Dosyalar). Bunu yapmak için, komut modundaki virüs, yordamlarını başlatan bir anahtarla dosyaların gölge kopyalarını yönetmek için yardımcı programı çağırır. tam kaldırma... Bu nedenle, gölge kopyalarını kullanarak dosyaları kurtarmak neredeyse her zaman imkansızdır.

    Fidye yazılımı virüsü, kurbana şifreleme algoritmasının açıklamasına bir bağlantı vererek ve masaüstünde tehdit edici bir mesaj görüntüleyerek, gözdağı verme taktiklerini aktif olarak kullanır. Bu şekilde, virüslü bilgisayarın kullanıcısını tereddüt etmeden, dosyalarını geri almaya çalışmak için bilgisayar kimliğini virüsün yazarının e-posta adresine göndermeye zorlamaya çalışır. Böyle bir mesaja verilen yanıt genellikle fidye miktarı ve e-cüzdan adresidir.

    Bilgisayarıma fidye yazılımı virüsü bulaşmış mı?

    Bir bilgisayara fidye yazılımı virüsü bulaşıp bulaşmadığını belirlemek oldukça kolaydır. Belge, fotoğraf, müzik vb. kişisel dosyalarınızın uzantılarına dikkat edin. Uzantı değiştiyse veya kişisel dosyalarınız kaybolduysa ve ardında bilinmeyen adlara sahip birçok dosya bıraktıysa, bilgisayara virüs bulaşmış demektir. Ek olarak, dizinlerinizde HELP_YOUR_FILES veya README adlı bir dosyanın bulunması bir enfeksiyon belirtisidir. Bu dosya, dosyaların şifresini çözmek için talimatlar içerecektir.

    Bir fidye yazılımı tarafından virüs bulaşmış bir mesajı açtığınızdan şüpheleniyorsanız, ancak henüz herhangi bir enfeksiyon belirtisi yoksa, bilgisayarınızı kapatmayın veya yeniden başlatmayın. Bu kılavuz, bölümündeki adımları izleyin. Bir kez daha tekrarlıyorum, bilgisayarı kapatmamak çok önemlidir, bazı şifreleme fidye yazılımlarında, enfeksiyondan sonra bilgisayar ilk kez açıldığında dosya şifreleme işlemi etkinleştirilir!

    Bir fidye yazılımı virüsü tarafından şifrelenmiş dosyaların şifresi nasıl çözülür?

    Bu talihsizlik olduysa, paniğe gerek yok! Ancak çoğu durumda ücretsiz şifre çözücü olmadığını bilmelisiniz. Bunun nedeni, bu tür kötü amaçlı programlar tarafından kullanılan güçlü şifreleme algoritmalarıdır. Bu, özel bir anahtar olmadan dosyaların şifresini çözmenin neredeyse imkansız olduğu anlamına gelir. Büyük tuş uzunluğu nedeniyle tuş seçim yöntemini kullanmak da bir seçenek değildir. Bu nedenle, ne yazık ki, yalnızca virüsün yazarlarına istenen miktarın tamamı için ödeme yapmak, şifre çözme anahtarını almaya çalışmanın tek yoludur.

    Elbette, ödeme yapıldıktan sonra virüsün yazarlarının iletişime geçip dosyalarınızın şifresini çözmek için gerekli anahtarı sağlayacağının kesinlikle garantisi yoktur. Ek olarak, virüs geliştiricilerine para ödeyerek, onları yeni virüsler oluşturmaya zorladığınızı anlamanız gerekir.

    Bir fidye yazılımı virüsü nasıl kaldırılır?

    Bununla devam etmeden önce, virüsü kaldırmaya başlayarak ve dosyaları kendi başınıza kurtarmaya çalışarak, virüsün yazarlarına talep ettikleri tutarı ödeyerek dosyaların şifresini çözme yeteneğini engellediğinizi bilmelisiniz.

    Kaspersky Virus Removal Tool ve Malwarebytes Anti-malware algılayabilir farklı şekiller aktif fidye yazılımı virüsleri ve bunları bilgisayarınızdan kolayca kaldırın, ANCAK şifreli dosyaları kurtaramazlar.

    5.1. Kaspersky Virus Removal Tool'u kullanarak fidye yazılımı virüsünü kaldırın

    Varsayılan olarak, program her tür dosyayı kurtaracak şekilde yapılandırılmıştır, ancak işi hızlandırmak için yalnızca kurtarmanız gereken dosya türlerini bırakmanız önerilir. Seçiminizi tamamladıktan sonra Tamam'a tıklayın.

    QPhotoRec penceresinin altında, Gözat düğmesini bulun ve tıklayın. Kurtarılan dosyaların kaydedileceği dizini seçmeniz gerekir. Kurtarma gerektiren şifreli dosyalar içermeyen bir sürücü kullanmanız önerilir (bir USB flash sürücü veya harici bir sürücü kullanabilirsiniz).

    Şifrelenmiş dosyaların orijinal kopyalarını arama ve geri yükleme prosedürünü başlatmak için Ara düğmesini tıklayın. Bu işlem uzun sürüyor, bu yüzden sabırlı olun.

    Arama bittiğinde, Çık düğmesine tıklayın. Şimdi kurtarılan dosyaları kaydetmek için seçtiğiniz klasörü açın.

    Klasör, recup_dir.1, recup_dir.2, recup_dir.3, vb. adlı dizinleri içerecektir. Nasıl daha fazla dosya program bulursa, daha fazla dizin olacaktır. İhtiyacınız olan dosyaları bulmak için sırayla tüm dizinleri kontrol edin. Çok sayıda kurtarılan dosya arasından ihtiyacınız olan dosyayı bulmayı kolaylaştırmak için yerleşik sistemi kullanın. Windows arama(dosya içeriğine göre) ve ayrıca dizinlerdeki dosyaları sıralama işlevini de unutmayın. QPhotoRec dosyayı geri yüklerken bu özelliği geri yüklemeye çalıştığından, sıralama seçeneği olarak dosyanın değiştirilme tarihini seçebilirsiniz.

    Bir bilgisayar fidye yazılımı virüsünün bulaşmasını nasıl önleyebilirim?

    Çoğu modern anti-virüs programı, fidye yazılımı virüslerinin sızmasına ve etkinleştirilmesine karşı zaten yerleşik bir koruma sistemine sahiptir. Bu nedenle, bilgisayarınızda yoksa antivirüs yazılımı, ardından yüklediğinizden emin olun. Bunu okuyarak nasıl seçeceğinizi öğrenebilirsiniz.

    Ayrıca, uzmanlaşmış koruyucu programlar... Örneğin, bu CryptoPrevent, daha fazla ayrıntı.

    Birkaç son söz

    Bu talimatı izleyerek bilgisayarınız fidye yazılımı virüsünden temizlenecektir. Herhangi bir sorunuz varsa veya yardıma ihtiyacınız varsa, lütfen bizimle iletişime geçin.

    DİKKAT! Şirket ESET son zamanlarda artan aktivite ve enfeksiyon riskinin kaydedildiği konusunda uyarıyor Şirket ağı sonuçları olan kötü amaçlı program:

    1) Veritabanları dahil olmak üzere gizli bilgi ve dosyaların şifrelenmesi 1C, belgeler, resimler. Şifrelenmiş dosyaların türü, şifreleyicinin özel modifikasyonuna bağlıdır. Şifreleme işlemi karmaşık algoritmalara göre gerçekleştirilir ve her durumda belirli bir kalıba göre şifreleme gerçekleşir. Bu nedenle, şifrelenmiş verilerin kurtarılması zordur.

    2) Bazı durumlarda, kötü amaçlı eylemler gerçekleştirdikten sonra, şifreleyici bilgisayardan otomatik olarak kaldırılır ve bu da şifre çözücü seçim prosedürünü karmaşıklaştırır.

    Kötü amaçlı eylemler gerçekleştirdikten sonra, virüslü bilgisayarın ekranında “Bilgileri olan bir pencere belirir. Dosyalarınız şifrelendi", Bir şifre çözücü elde etmek için karşılanması gereken fidye yazılımı gereksinimlerinin yanı sıra.

    2) Yerleşik güvenlik duvarı modülü ile antivirüs çözümleri kullanın ( ESET NOD32 Akıllı Güvenlik ) bir saldırganın bir güvenlik açığından yararlanma olasılığını azaltmak için RDP gerekli işletim sistemi güncellemeleri mevcut olmasa bile. Yürütülebilir dosyaları çalıştırmak için gelişmiş buluşsal yöntemlerin etkinleştirilmesi önerilir (Ek ayarlar(F5) - Bilgisayar - Virüs ve Casus Yazılımdan Koruma Programlar- Koruma gerçek zamanlı olarak - Ek ayarlar. Dışında, lütfen ESET Live Grid'in etkin olup olmadığını kontrol edin(Ek ayarlar (F5) - Yardımcı Programlar - ESET Live Grid).

    3) Posta sunucusunda yürütülebilir dosyaların alınmasını ve iletilmesini yasaklamalısınız. * .exe, ve * .js, şifreleyiciler genellikle siber suçlular tarafından borç tahsilatı hakkında hayali bilgiler içeren bir e-postaya ek olarak gönderildiğinden, bununla ilgili bilgiler ve kullanıcıyı bir saldırgandan gelen bir e-postadan kötü amaçlı bir ek açmaya ve böylece şifreleyici.

    4) Dahil edilen tüm uygulamalarda makroların yürütülmesini önleyin. Microsoft Office , veya benzer üçüncü taraf yazılımı. Makrolar, yüklemek ve yürütmek için komutlar içerebilir zararlı kod belgenin normal görüntülenmesi sırasında başlatılan (örneğin, " adlı bir belgenin açılması) Borç tahsilatı bildirimi.doc"Siber suçlulardan gelen bir mektup, ayarlarda makroların yürütülmesini devre dışı bırakmamış olmanız koşuluyla, sunucu şifreleyicinin yürütülebilir dosyasıyla kötü amaçlı eki kaçırmamış olsa bile sistemin bulaşmasına neden olabilir. ofis programları).

    5) Düzenli egzersiz yapın Destek olmak (destek olmak) önemli bilgi bilgisayarınızda saklanır. OS'den Windows Vista işletim sistemlerinde pencereler tüm disklerde, arşivleme veya sistem geri yükleme noktası oluşturma sırasında dosya ve klasörlerin yedeklerini oluşturan bir sistem koruma hizmeti içerir. Varsayılan olarak, bu hizmet yalnızca sistem bölümü için etkinleştirilmiştir. Bu işlevin tüm bölümler için etkinleştirilmesi önerilir.

    Ya enfeksiyon zaten meydana geldiyse?

    Siber suçluların kurbanı olursanız ve dosyalarınız şifrelenirse, bir şifre çözücü seçmek için hesaplarına para aktarmak için acele etmeyin. Müşterimiz olmanız şartıyla, teknik desteğe başvurun, belki durumunuz için bir kod çözücü seçebiliriz veya böyle bir kod çözücü zaten mevcut. Bunu yapmak için, örnek bir şifreleyici ve diğer şüpheli dosyalar, varsa bu arşivi kullanarak bize gönderin. Ayrıca arşive bazı örnek şifreli dosyalar ekleyin. Yorumlarda, enfeksiyonun meydana geldiği koşulların yanı sıra lisans verilerinizi ve İletişim E-posta için geri bildirim.

    Gölge kopyalardan dosyaların orijinal, şifrelenmemiş sürümünü kurtarmayı deneyebilirsiniz. bu işlev etkinleştirildi ve gölge kopyalar şifreleyici virüs tarafından bozulmadıysa. Bununla ilgili daha fazla bilgi:

    Daha fazla bilgi için iletişim.

    Bilgisayarınızda dosyalarınızın şifrelendiğini belirten bir metin mesajı belirirse, paniğe kapılmayın. Dosya şifrelemenin belirtileri nelerdir? Normal uzantı * .vault, * .xtbl, * olarak değiştirilir [e-posta korumalı] _XO101, vb. Dosyaları açamazsınız - mesajda belirtilen adrese bir mektup göndererek satın alınabilecek bir anahtara ihtiyacınız vardır.

    Şifrelenmiş dosyalarınızı nereden aldınız?

    Bilgisayar, bilgiye erişimi engelleyen bir virüs yakaladı. Antivirüsler genellikle onları atlar, çünkü bu program genellikle bir tür zararsız yazılıma dayanır. ücretsiz yardımcı programşifreleme. Virüsün kendisini yeterince hızlı bir şekilde kaldırabilirsiniz, ancak bilgilerin şifresinin çözülmesiyle ilgili ciddi sorunlar ortaya çıkabilir.

    Kullanıcıların verilerin şifresini çözme isteklerine yanıt olarak, Kaspersky Lab, Dr.Web ve anti-virüs yazılımı geliştiren diğer tanınmış şirketlerin teknik desteği, bunu makul bir süre içinde yapmanın imkansız olduğunu bildirir. Kodu alabilen birkaç program vardır, ancak bunlar yalnızca önceden çalışılmış virüslerle nasıl çalışılacağını bilir. Yeni bir değişiklikle karşı karşıya kalırsanız, bilgiye erişimi geri kazanma şansınız son derece küçüktür.

    Bir fidye yazılımı virüsü bilgisayara nasıl bulaşır?

    Vakaların% 90'ında, kullanıcılar virüsü bilgisayarda kendileri etkinleştirir. bilinmeyen harfleri açma. Bundan sonra, e-postaya kışkırtıcı bir konuyla ilgili bir mesaj gelir - "Mahkemeye çağrı", "Kredi borçları", "Vergi dairesinden bildirim" vb. Sahte e-postanın içinde, indirdikten sonra fidye yazılımının bilgisayara ulaştığı ve yavaş yavaş dosyalara erişimi engellemeye başladığı bir ek vardır.

    Şifreleme anlık değildir, bu nedenle kullanıcıların tüm bilgiler şifrelenmeden önce virüsü kaldırmak için zamanları vardır. Dr.Web CureIt, Kaspersky temizleme yardımcı programlarını kullanarak kötü amaçlı bir komut dosyasını yok edebilirsiniz. internet güvenliği ve Malwarebytes Antimalware.

    Dosya kurtarma yöntemleri

    Bilgisayarda sistem koruması etkinleştirildiyse, fidye yazılımı virüsünün eyleminden sonra bile, dosyaların gölge kopyalarını kullanarak dosyaları normal durumlarına döndürme şansı vardır. Kriptograflar genellikle bunları kaldırmaya çalışırlar, ancak bazen yönetici ayrıcalıklarının olmaması nedeniyle başarısız olurlar.

    Önceki bir sürümü geri yükleyin:

    Önceki sürümleri korumak için sistem korumasını etkinleştirmeniz gerekir.

    Önemli: Fidye yazılımı ortaya çıkmadan önce sistem koruması etkinleştirilmelidir, bundan sonra artık yardımcı olmayacaktır.

    1. "Bilgisayar" özelliklerini açın.
    2. Soldaki menüden "Sistem Koruması"nı seçin.
    3. C sürücüsünü vurgulayın ve Yapılandır'a tıklayın.
    4. Geri yükleme ayarlarını seçin ve önceki sürümler Dosyalar. "Tamam" ı tıklayarak değişiklikleri uygulayın.

    Bu önlemleri, dosyaları şifreleyen bir virüs ortaya çıkmadan önce aldıysanız, bilgisayarınızı kötü amaçlı kodlardan temizledikten sonra, bilgilerinizi kurtarmak için iyi bir şansınız olacaktır.

    Özel yardımcı programları kullanma

    Kaspersky Lab, virüsü kaldırdıktan sonra şifrelenmiş dosyaların açılmasına yardımcı olacak birkaç yardımcı program hazırlamıştır. Denemeye değer ilk şifre çözücü Kaspersky RectorDecryptor.

    1. Uygulamayı resmi Kaspersky Lab web sitesinden indirin.
    2. Ardından yardımcı programı çalıştırın ve "Kontrol başlat" ı tıklayın. Herhangi bir şifrelenmiş dosyanın yolunu belirtin.

    Kötü amaçlı yazılım dosyaların uzantısını değiştirmediyse, şifre çözme için ayrı bir klasörde toplanması gerekir. Yardımcı program RectorDecryptor ise, resmi Kaspersky web sitesinden iki program daha indirin - XoristDecryptor ve RakhniDecryptor.

    Kaspersky Lab'in en son yardımcı programına Ransomware Decryptor adı verilir. Rus İnternetinde henüz çok yaygın olmayan ancak yakında diğer Truva atlarının yerini alabilecek CoinVault virüsünden sonra dosyaların şifresinin çözülmesine yardımcı olur.

Benzer yayınlar: