Файлдарыңыз шифрланған - не істеу керек?

Қазіргі кездегі ең проблемалы зиянды бағдарламалардың бірі - троян немесе қолданушының дискідегі файлдарды шифрлайтын вирус. Бұл файлдардың кейбірін шешуге болады, ал кейбіреулері әлі жоқ. Нұсқаулықта екі жағдайдағы әрекеттердің мүмкін алгоритмдері, No More Ransom және ID Ransomware қызметтерінде шифрлаудың белгілі бір түрін анықтау тәсілдері, сонымен қатар ransomware вирусынан қорғану бағдарламаларына қысқаша шолу жасалады.

Мұндай вирустардың немесе ransomware трояндарының бірнеше модификациялары бар (және жаңалары үнемі пайда болады), бірақ жұмыстың жалпы мәні компьютерде орнатқаннан кейін құжат файлдары, суреттер және басқа да маңызды файлдар түпнұсқа файлдарының кеңейтілуімен және жойылуымен өзгертіліп шифрланғанына байланысты болады. осыдан кейін сіз барлық файлдарыңыз шифрланғандығы туралы readme.txt файлына хабарлама аласыз және оларды шифрлау үшін сізге белгілі бір соманы шабуылдаушыға жіберу керек. Ескерту: Windows 10 күзгі жасаушыларды жаңарту бағдарламасы ransomware вирустарынан қорғалған.

Егер барлық маңызды деректер шифрланған болса не істеу керек

Жаңадан бастаушылар үшін маңызды файлдарды компьютерде шифрлаған адамдарға арналған жалпы ақпарат. Егер сіздің компьютеріңіздегі маңызды деректер шифрланған болса, онда, ең алдымен, үрейленбеңіз.

Егер сізде осындай мүмкіндік болса, ransomware вирусы пайда болған компьютердің дискісінен, бір жерге сыртқы дискіге (USB флэш-дискісіне) шабуылдаушының шифрды шешуге арналған мәтіндік сұрауы бар файлдың мысалын және шифрланған файлдың бірнеше көшірмесін көшіріп алыңыз, содан кейін, вирустар деректерді шифрлауды жалғастыра алмайтындай етіп компьютерді өшіріп, қалған әрекеттерді басқа компьютерде орындаңыз.

Келесі қадам - ​​деректеріңізді шифрланған вирустың нақты түрін білу үшін қолданыстағы шифрланған файлдарды пайдалану: олардың кейбіреулерінде декодерлер бар (кейбіреулерін мен осында көрсетемін, кейбіреулері мақаланың аяғында келтірілген), ал кейбіреулер үшін - әлі жоқ. Бірақ тіпті бұл жағдайда да шифрланған файлдардың мысалдарын антивирустық зертханаларға (Касперский, Доктор Веб) сараптамаға жіберуге болады.

Нақты қалай білуге ​​болады? Сіз мұны Google-мен, файл кеңейтімі арқылы криптордың түрін тапқан кезде жасай аласыз. Қызметтер, сонымен қатар, ақы төленетін бағдарламалық жасақтаманың түрін анықтай бастады.

Бұдан артық кун болмайды

No More Ransom - бұл қауіпсіздікті әзірлеушілердің қолдауымен белсенді түрде дамитын ресурс және оны орыс тіліндегі нұсқасы бар, оны вирусқа қарсы бағдарлама (ransomware трояндары).

Егер сәтті болса, ешқандай төлем болмасаңыз, құжаттарыңыздың, мәліметтер базасының, фотосуреттердің және басқа ақпараттардың шифрын шешуге, шифрды шешуге арналған бағдарламаларды жүктеуге және болашақта мұндай қауіп-қатерлердің алдын алуға көмектесетін ақпарат алуға болады.

Қосымша төлем болмай, сіз файлдардың шифрын шешіп, шифрлау вирусының түрін келесідей анықтай аласыз:

1. Қызметтің басты бетіндегі «Иә» түймесін басыңыз //www.nomoreransom.org/kz/index.html
2. Crypto Sheriff парағы ашылады, онда сіз 1 МВ-тан аспайтын шифрланған файлдардың мысалдарын жүктей аласыз (құпия деректердісыз жүктеп алуды ұсынамын), сонымен қатар алаяқтар төлем талап ететін электрондық пошта мекен-жайларын немесе сайттарды көрсетіңіз (немесе readme.txt файлын жүктеп алыңыз) талап).
3. «Тексеру» түймесін басып, тексерудің аяқталғанын және оның нәтижесін күтіңіз.

Сонымен қатар, сайтта пайдалы бөлімдер бар:

• Шифрлаушылар - вирустармен шифрланған файлдардың шифрын шешуге арналған қазіргі уақытта бар утилиталар.
• Инфекцияның алдын-алу - болашақта инфекцияны болдырмауға көмектесетін негізінен жаңа қолданушыларға бағытталған ақпарат.
• Сұрақтар мен жауаптар - компьютердегі файлдардың шифрланған фактісіне тап болған кезде ransomware вирустары мен әрекеттерін жақсы білгісі келетіндерге арналған ақпарат.

Бүгінгі таңда ешқандай артық төлем болмауы, мүмкін, орыс тілді пайдаланушыға арналған файлдардың шифрын шешуге қатысты ең пайдалы және пайдалы ресурс.

Ransomware идентификаторы

Осындай тағы бір қызмет - //id-ransomware.malwarehunterteam.com/ (вирустың орыс тіліндегі нұсқалары үшін қаншалықты жақсы жұмыс істейтінін білмеймін, бірақ оны шифрланған файл мен мысалға төлем сұранысы бар мәтіндік файлға мысал келтіруге тырысу керек).

Шифрлаушы түрін анықтағаннан кейін, егер сіз сәтті болсаңыз, шифрлауды шифрлау_түрі сияқты шифрлау сұрауларының негізінде шифрды шешуге тырысыңыз. Мұндай утилиталар ақысыз және оны антивирустық әзірлеушілер шығарады, мысалы, бірнеше осындай утилитаны Касперский веб-сайтында табуға болады //support.kaspersky.ru/viruses/utility (басқа қызметтік бағдарламалар мақаланың соңына жақын). Жоғарыда айтылғандай, антивирустық жасаушылармен форумдарда немесе қолдау қызметі арқылы почта арқылы байланысудан тартынбаңыз.

Өкінішке орай, мұның бәрі әрқашан көмектеспейді және әрдайым жұмыс істейтін файл декодерлері бола бермейді. Бұл жағдайда сценарийлер әртүрлі: көптеген адамдар шабуылдаушыларға осы әрекетті жалғастыруға шақырып, төлем жасайды. Компьютерде деректерді қалпына келтіруге арналған бағдарламалар кейбір пайдаланушыларға көмектеседі (вирус, өйткені шифрланған файл жасау арқылы қарапайым маңызды файлды жояды, оны теориялық тұрғыдан қалпына келтіруге болады).

Компьютердегі файлдар xtbl шифрланған

Ransomware вирусының соңғы нұсқаларының бірі файлдарды шифрлайды, олардың орнына .xtbl кеңейтімі бар файлдар және таңбалардың кездейсоқ жиынтығынан тұратын атау беріледі.

Сонымен қатар, компьютерде келесі мазмұндағы readme.txt мәтіндік файлы орналастырылған: «Сіздің файлдарыңыз шифрланған. Олардың шифрын шешу үшін кодты [email protected], [email protected] немесе [email protected] электрондық поштасына жіберу керек. Келесі Сіз барлық қажетті нұсқаулықтарды аласыз. Файлдарды өзіңіз шешуге тырыссаңыз, ақпараттың жойылуына алып келеді «(пошта мекенжайы мен мәтін әртүрлі болуы мүмкін).

Өкінішке орай, қазіргі уақытта .xtbl кодын шешудің ешқандай әдісі жоқ (пайда болған кезде нұсқаулық жаңартылады). Компьютерлерінде шынымен маңызды ақпаратқа ие кейбір пайдаланушылар вирусқа қарсы форумдарда вирус авторларын 5000 рубль немесе басқа мөлшерде жіберіп, декодер алғанын айтады, бірақ бұл өте қауіпті: сіз ештеңе ала алмауыңыз мүмкін.

Егер файлдар .xtbl шифрланған болса ше? Менің ұсыныстарым төмендегідей (бірақ олар көптеген басқа тақырыптық сайттардағыдан ерекшеленеді, мысалы, олар дереу компьютерді қуат көзінен өшіруді немесе вирусты алып тастамауды ұсынады) Менің ойымша, бұл қажет емес, кейбір жағдайларда тіпті болуы мүмкін. зиянды, бірақ сіз өзіңіз шешесіз.):

1. Егер мүмкін болса, тапсырмалар менеджеріндегі тиісті тапсырмаларды алып тастап, компьютерді Интернет желісінен ажырату арқылы шифрлау процесін тоқтатыңыз (бұл шифрлаудың қажетті шарты болуы мүмкін).
2. Зиянкестер электрондық пошта мекенжайына жіберуді талап ететін кодты есте сақтаңыз немесе жазып алыңыз (тек компьютердегі мәтіндік файлда ғана емес, егер ол шифрланбаған болса).
3. Malwarebytes Antimalware бағдарламалық жасақтамасын, Kaspersky Internet Security немесе Dr.Web Cure It-тің сынақ нұсқасын қолданып, вирус шифрлайтын файлдарды жойыңыз (тізімде аталған барлық құралдар осылай істей алады). Мен сізге тізімнен бірінші және екінші өнімдерді пайдаланып кезек күтуге кеңес беремін (алайда сізде антивирус орнатылған болса, екінші «жоғарыдан» орнату қажет емес, себебі бұл компьютерде проблемаларға әкелуі мүмкін).
4. Антивирустық компаниядан шифрдың шешілуін күтіңіз. Алдыңғы қатарда - Касперский зертханасы.
5. Сондай-ақ, шифрланған файлдың үлгісін және қажетті кодты жіберуге болады [email protected]егер сізде сол файлдың шифрланбаған түрдегі көшірмесі болса, оны да жіберіңіз. Теорияда бұл декодердің пайда болуын тездетуі мүмкін.

Не істеу керек:

• Шифрланған файлдардың атын өзгертіңіз, кеңейтімді өзгертіңіз және егер олар сіз үшін маңызды болса, оларды жойыңыз.

Қазіргі уақытта .xtbl кеңейтімі бар шифрланған файлдар туралы айта алатыным осы шығар.

Файлдар шифрланған жақсырақ_қоңырау_ақылы

Соңғы ransomware вирустарының ішінен Better Call Saul (Trojan-Ransom.Win32.Shade) шифрланған файлдарға .better_call_saul кеңейтімін орнатады. Мұндай файлдардың шифрын қалай шешуге болатындығы әлі белгісіз. Касперский зертханасына және Dr.Web-қа хабарласқан пайдаланушылар мұны жасау мүмкін емес екендігі туралы ақпарат алды (бірақ оны жіберуге тырысыңыз - әзірлеушілерден шифрланған файлдардың көбірек үлгілері = өз жолдарын табуға болады).

Егер сіз шифрды шешу әдісін тапқаныңыз анықталса (яғни, ол бір жерде жарияланған, бірақ мен оны ұстанбаған болсам), түсініктемелерде ақпаратты бөлісіңіз.

Trojan-Ransom.Win32.Aura және Trojan-Ransom.Win32.Rakhni

Файлдарды шифрлайтын және кеңейтімдерді осы тізімнен орнататын келесі троян:

• . құлыптаулы
• .крипто
• .кракен
• .AES256 (міндетті түрде бұл троян емес, дәл осындай кеңейтімді орнататын басқалар бар).
• .codercsu @ gmail_com
• .enc
• .oshit
• Және басқалар.

Осы вирустармен жұмыс жасағаннан кейін файлдардың шифрын ашу үшін Касперскийдің сайтында RakhniDecryptor ақысыз қызметтік бағдарламасы бар, оны //support.kaspersky.ru/viruses/disinfection/10556 ресми бетінде алуға болады.

Сондай-ақ, осы қызметтік бағдарламаны пайдалану туралы егжей-тегжейлі нұсқаулық бар, шифрланған файлдарды қалай қалпына келтіруге болатындығы туралы нұсқау бар, олардан «Шифрланған файлдарды сәтті шифрланғаннан кейін жою» опциясын алып тастаған жағдайда ғана (орнатылған опциямен бәрі жақсы болады деп ойлаймын).

Егер сізде Dr.Web антивирустық лицензиясы болса, сіз осы компанияның ақысыз шифрын шешуді //support.drweb.com/new/free_unlocker/ мекен-жайы бойынша пайдалана аласыз.

Ransomware вирусының көбірек нұсқалары

Әдетте аз, бірақ сонымен бірге файлдарды шифрлайтын және шифрын шешуге ақша талап ететін трояндар да бар. Бұл сілтемелер тек файлдарды қайтаруға арналған қызметтік бағдарламаларды ғана емес, сонымен қатар сізде осы вирустың бар-жоғын анықтауға көмектесетін белгілер сипаттамасы бар. Жалпы алғанда, оңтайлы әдіс: Касперский антивирусын қолдана отырып, жүйені сканерлеп, осы компанияның жіктемесі бойынша троянның атын анықтаңыз, содан кейін осы атаумен утилита іздеңіз.

• Троян-Ransom.Win32.Rector - шифрды шешуге арналған ақысыз RectorDecryptor утилитасы және пайдалану нұсқаулығы мына жерде қол жетімді: //support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist - ұқсас троян, шифрды шешуге нұсқау алу үшін ақылы SMS немесе электрондық пошта арқылы хабарласуды сұрайды. Шифрланған файлдарды қалпына келтіруге арналған нұсқаулар мен бұл үшін XoristDecryptor утилитасын //support.kaspersky.ru/viruses/disinfection/2911 мекен-жайы бойынша алуға болады.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor қызметтік бағдарламасы //support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 және басқалары бірдей (Dr.Web антивирусы немесе Cure It қызметтік бағдарламасы арқылы іздеу кезінде) және әртүрлі нөмірлермен - Интернетті троянның атауынан іздеп көріңіз. Олардың кейбіреулері үшін Dr.Web шифрін шешуге арналған утилиталар бар, егер сіз бұл утилитаны таба алмасаңыз, бірақ Dr.Web лицензиясы болса, онда сіз //support.drweb.com/new/free_unlocker/ ресми бетін қолдана аласыз.
• CryptoLocker - CryptoLocker жұмыс істегеннен кейін файлдардың шифрын ашу үшін сіз //decryptcryptolocker.com сайтын қолдана аласыз - үлгі файлды жібергеннен кейін сізге файлдарыңызды қалпына келтіруге арналған кілт пен қызметтік көмек аласыз.
• Сайтта//bitbucket.org/jadacyrus/ransomwareremovalkit/Ransomware Removal Kit -ке қол жетімділікті жүктеу - шифрлауыштардың және шифрлаудың түрлі түрлері туралы ақпараты бар үлкен мұрағат (ағылшын тілінде)

Соңғы жаңалықтардан - Касперский зертханасы Нидерландтың құқық қорғау органдарының қызметкерлерімен бірлесіп CoinVault-тен кейін файлдардың шифрын ашу үшін Ransomware Decryptor (//noransom.kaspersky.com) жасады, бірақ бұл ransomware біздің ендіктерімізде әлі көрінбейді.

Ransomware немесе ransomware вирусынан қорғау

Ransomware таралған сайын, антивирустық және антивирустық құралдардың көптеген өндірушілері шифрлаушылардың компьютерде жұмыс істеуіне жол бермеу үшін өз шешімдерін шығара бастады, олардың арасында:

• Ransom-қа қарсы зиянды бағдарлама
• BitDefender-төлемге қарсы бағдарлама
• WinAntiRansom

Алғашқы екеуі әлі де бета-нұсқаларда, бірақ ақысыз (сонымен бірге олар вирустың тек шектеулі жиынтығының анықтамасын қолдайды - TeslaCrypt, CTBLocker, Locky, CryptoLocker. WinAntiRansom - ақы төленетін өнім, кез-келген төлем құралдарының үлгілері арқылы шифрлауды болдырмауға уәде береді, жергілікті және сол сияқты қорғауды қамтамасыз етеді. желілік жетектер.

Бірақ: бұл бағдарламалар шифрды шешуге арналмаған, тек компьютердегі маңызды файлдарды шифрлауды болдырмауға арналған. Қалай болғанда да, менің ойымша, бұл функцияларды антивирустық өнімдерде орындау керек, әйтпесе бұл таңқаларлық жағдай: қолданушыға антивирус, AdWare және зиянды бағдарламалармен күресу құралы, енді антивирус бағдарламалық қамтамасыздандыруы керек, сонымен қатар антивирустық жағдайда. пайдалану.

Айтпақшы, егер сізде кенеттен қосатын нәрсе бар екені анықталса (себебі мен шешуді шешудің әдісімен не болып жатқанын қадағалай алмаймын), түсініктемелерде жазсаңыз, бұл ақпарат проблемаға тап болған басқа пайдаланушылар үшін пайдалы болады.