olnafu.com

Virusul a criptat fișierele și le-a redenumit. Cum să decriptați fișierele criptate cu un virus

Recent, a existat o creștere a activității unei noi generații de programe informatice rău intenționate. Ele au apărut destul de mult (acum 6 - 8 ani), dar ritmul implementării lor a atins maximul acum. Din ce în ce mai mult, puteți vedea că virusul a criptat fișierele.

Este deja cunoscut faptul că acestea nu sunt doar programe malware primitive, de exemplu, blocarea calculatorului (care determină apariția unui ecran albastru) și programe serioase care vizează deteriorarea, de obicei date contabile. Ele criptează toate fișierele disponibile la îndemână, inclusiv datele de contabilitate 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Pericolul special al virușilor avuți în vedere

Aceasta constă în aceea că, în același timp, este utilizată o cheie RSA, care este atașată la computerul unui anumit utilizator, datorită căruia decodorul universal (Decryptor) este absent. Este posibil ca virușii activați în unul dintre computere să nu funcționeze în altul.

Pericolul este, de asemenea, în faptul că mai mult de un an de pe Internet plasat programe gata-constructori (Builder), care să permită să se dezvolte un astfel de virus, chiar kulhatskeram (persoane care se consideră hackeri, dar nu și de a învăța de programare).

În prezent, au apărut modificări mai puternice.virusul a criptat fișierele

Modul de introducere a datelor malware

Virusul este expediat în mod intenționat, de regulă, la departamentul contabil al companiei. În primul rând, se colectează e-mailurile departamentelor de personal, departamentele de contabilitate din astfel de baze de date, ca, de exemplu, hh.ru. Apoi trimitem scrisori. Cele mai multe ori conțin o cerere de admitere într-o anumită poziție. Într-o astfel de scrisoare atașat fișierul cu un CV în interiorul căruia se află un document real cu un obiect OLE implantat (fișier pdf cu un virus).

În situațiile în care contabilii au început imediat acest document, după repornire, au apărut următoarele: virusul a redenumit și a criptat fișierele și apoi sa autodistrugat.

O astfel de scrisoare, de regulă, este scrisă și trimisă în mod corespunzător dintr-o casetă fără casetă (numele corespunde semnăturii). Vacanțele sunt întotdeauna solicitate pe baza activităților de profilare ale companiei, astfel încât să nu apară suspiciuni.

Nici programul licențiat "Kaspersky" (programul antivirus), nici "Virus Total" (un serviciu online pentru testarea atașamentelor pentru viruși) nu pot asigura computerul în acest caz. Ocazional, unele programe antivirus scanează, în timpul scanării, că Gen: Variant.Zusy.71505 este în atașament.virusul a criptat fișierele ce să facă

Cum să evitați infecția cu acest virus?

Ar trebui să verificați fiecare fișier primit. O atenție deosebită se acordă documentelor vordovene, care au încorporat pdf.

Variante de litere "infectate"

Sunt mulți. Cele mai frecvente opțiuni pentru modul în care fișierele criptate cu virus sunt prezentate mai jos. În toate cazurile, următoarele documente sunt trimise la adresa de e-mail:

  1. Notificare privind începerea procesului de examinare a unui proces intentat împotriva unei anumite companii (scrisoarea sugerează verificarea datelor făcând clic pe link).
  2. O scrisoare din partea Curții Supreme de Arbitraj RF pentru colectarea unei datorii.
  3. Un mesaj de la Sberbank privind creșterea datoriei existente.
  4. Notificarea unei încălcări a regulilor de trafic.
  5. O scrisoare din partea Agenției de colectare care indică amânarea maximă posibilă a plății.

Notificarea criptării fișierelor

Acesta va apărea după infecție în dosarul rădăcină al unității C. Uneori, fișierele cu tipul WHAT_DELET.txt, CONTACT.txt sunt plasate în toate directoarele cu text corupt. Utilizatorul este informat despre criptarea fișierelor sale, care se realizează prin intermediul unor algoritmi fiabili de criptoresistență. Și a avertizat cu privire la utilizarea necorespunzătoare a instrumentelor terțe părți, deoarece acest lucru poate duce la deteriorarea fișierelor finale, care, la rândul său, va conduce la imposibilitatea decriptare ulterioare.

În notificare se recomandă părăsirea computerului într-o stare neschimbată. Aceasta indică timpul de stocare al cheii furnizate (de obicei 2 zile). Se prescrie o dată exactă, după care orice fel de tratament va fi ignorat.

La final, este furnizat un e-mail. De asemenea, acesta precizează că utilizatorul trebuie să precizeze ID-ul său și că oricare dintre următoarele acțiuni poate duce la eliminarea cheii, și anume:

  • insulte;
  • solicitați detalii fără plata ulterioară;
  • amenințare.cum să decriptați fișierele criptate cu un virus

Cum pot decripta fișierele criptate cu un virus?

Acest tip de criptare este foarte puternic: fișierul este atribuit o extensie ca nochance etc Crack perfectă, este pur și simplu imposibil, dar puteți încerca să conectați un criptanalist și să caute o portiță (în unele situații pentru a ajuta la Dr. Web) ..

Există 1 modalitate de a restabili virus fișiere criptate, dar nu este potrivit pentru toate virusurile, de asemenea, necesitatea de a elimina exe originale cu acest program rău intenționat, care este destul de dificil să se pună în aplicare de auto-distrugere după.

Vă rugăm să ceea ce privește introducerea virusului unui cod special - un control mic, deoarece fișierul în acest moment are deja un decodor (cod de, ca să spunem așa, atacatorul nu are nevoie să). Esența acestei metode este inscrierea comenzilor goale în virusul pătruns (în locul comparării codului de intrare). Rezultatul este că programul rău intenționat însuși începe decodificarea fișierelor și le restabilește complet.



În fiecare virus are propria caracteristica de criptare specială, motiv pentru care o executabilelor terță parte (format de fișier exe) nu va decripta, sau puteți încerca pentru a alege funcția de mai sus, care impune toate acțiunile efectuate pe WinAPI.virusul criptat fișiere cbf

Virusul a criptat fișierele: ce să fac?

Pentru a efectua procesul de decriptare, veți avea nevoie de:

  1. face o copie de rezervă (Backup fișierele disponibile). La sfârșitul decrippării, totul va dispărea de la sine.
  2. Pe computer (infectat), este necesar să porniți acest program rău intenționat, apoi așteptați să apară fereastra care conține o solicitare de introducere a codului.
  3. Apoi, trebuie să porniți din fișierul de arhivare atașat Patcher.exe.
  4. Următorul pas este să introduceți numărul procesului de virus, după care trebuie să faceți clic pe butonul "Enter".
  5. Se afișează mesajul "patched", ceea ce înseamnă ștergerea comenzilor de comparare.
  6. Apoi, introduceți orice caractere în câmpul de introducere a codului, apoi faceți clic pe butonul "OK".
  7. Virusul începe procesul de decriptare a fișierelor, la sfârșitul căruia se lichidează.cum să recuperați fișierele criptate prin viruși

Cum se poate evita pierderea de date din cauza produsului malware în cauză?

Este demn de știut că într-o situație în care virusul criptează fișiere pentru procesul de decriptare lua timp. Cel mai important punct în favoarea este faptul că malware-ul menționat mai sus există un bug care vă permite să salvați unele fișiere, în cazul în care deconectați rapid computerul (trageți ștecherul din priză, opriți banda de alimentare, scoateți bateria în cazul unui laptop), de îndată ce un număr mare de fișiere de extensie specificate anterior .

Încă o dată, trebuie subliniat că principalul lucru este să creați în mod constant o copie de rezervă, dar nu într-un alt dosar, nu într-un suport amovibil inserat în computer, deoarece această modificare a virusului va ajunge în aceste locuri. Merită să salvați copii de siguranță la un alt computer, la un hard disk care nu este atașat permanent la computer și la nor.

Ar trebui să fie tratate cu suspiciune la toate documentele care vin în e-mail de la persoane necunoscute (sub formă de rezumat, factură, Rezoluția SAC sau fiscale și altele.). Nu le rulați pe computer (în acest scop, puteți selecta un netbook care nu conține date importante).virusul redenumit și fișierele criptate

Program rău intenționat * .paycrypt @ gmail.com: cum se remediază

Într-o situație în care virusul de mai sus criptează fișierele cbf, doc, jpg, etc., există doar trei variante ale dezvoltării evenimentului:

  1. Cea mai ușoară modalitate de a scăpa de aceasta este ștergerea tuturor fișierelor infectate (acest lucru este acceptabil, cu excepția cazului în care datele sunt deosebit de importante).
  2. Du-te la laboratorul programului anti-virus, de exemplu, Dr. WEB. Trimiteți dezvoltatorilor mai multe fișiere infectate, împreună cu cheia de decriptare, care este pe computer ca KEY.PRIVATE.
  3. Cea mai costisitoare cale. Aceasta implică plata pentru suma solicitată de hackeri pentru decriptarea fișierelor infectate. De regulă, costul acestui serviciu este de 200-500 de dolari SUA. Acest lucru este acceptabil într-o situație în care virusul criptează fișiere de o companie mare, în care are loc un flux substanțial de informații pe o bază de zi cu zi, iar acest program rău intenționat poate în câteva secunde provoca daune imens. În acest sens, plata este cea mai rapidă opțiune pentru recuperarea fișierelor infectate.

Uneori, o opțiune suplimentară este de asemenea eficientă. În cazul în care fișierele criptate de virus (paycrypt @ gmail_com sau alt software rău intenționat) vă pot ajuta răsturnarea sistemului acum câteva zile.virusul a criptat fișierele doc

Program pentru decodarea RectorDecryptor

Dacă virusul criptează fișierele jpg, doc, cbf și așa mai departe, atunci un program special vă poate ajuta. Pentru a face acest lucru, trebuie mai întâi să intrați în startup și să dezactivați totul, cu excepția antivirusului. Apoi, trebuie să reporniți computerul. Vizualizați toate fișierele, evidențiați suspiciunile. Câmpul sub denumirea "Comandă" indică locația unui anumit fișier (atenția trebuie acordată aplicațiilor care nu au o semnătură: producător - nu există date).

Toate fișierele suspecte trebuie șterse, după care va fi necesară curățarea cache-urilor de browser, a dosarelor temporare (CCleaner este potrivit pentru acest lucru).

Pentru a începe decriptarea, trebuie să descărcați programul de mai sus. Apoi porniți-l și faceți clic pe butonul "Start Scan", indicând fișierele modificate și extensia acestora. În versiunile moderne ale acestui program, puteți specifica numai fișierul infectat și faceți clic pe butonul "Deschidere". După aceea, fișierele vor fi decriptate.

Ulterior, utilitarul verifică automat toate datele de pe computer, inclusiv fișierele de pe unitatea de rețea atașată, și le decriptează. Acest proces de recuperare poate dura mai multe ore (în funcție de cantitatea de lucru și de viteza calculatorului).

Ca rezultat, toate fișierele deteriorate vor fi decriptate în același director unde au fost inițial localizate. La final va avea numai de a elimina toate fișierele existente cu extensia suspecte, pe care le puteți pune în jos o căpușă în interogare „Ștergeți fișierele criptate după decodificare de succes“, prin apăsarea unui buton de pre-„Modificarea setărilor de scanare“. Cu toate acestea, este mai bine să nu o puneți, deoarece, în caz de decriptare nereușită a fișierelor, acestea pot fi șterse și, ulterior, va trebui să fie restaurate mai întâi.

Deci, în cazul în care virusul criptează fișiere doc, CBF, jpg T. E., nu ar trebui să se grăbească la codul de plată. Poate că nu va fi nevoie.

Nuanțe de eliminare a fișierelor criptate

Dacă încercați să eliminați toate fișierele corupte prin căutare standard și apoi să ștergeți, computerul se poate agăța și încetini. În acest sens, pentru această procedură, merită folosită o metodă specială linie de comandă. După pornire, trebuie să introduceți următoarele: del «: *. / f / s.

Trebuie să ștergeți fișiere precum "Read-me.txt", pentru care ar trebui să specificați în aceeași linie de comandă: del ": *. / f / s.

Astfel, se poate observa că în cazul în care virusul a schimbat numele și fișierele cripta, nu ar trebui să cheltui doar bani pe achiziționarea de cybercriminals-cheie în primul rând este necesar pentru a încerca să înțeleagă problema pe cont propriu. Este mai bine să investească în achiziționarea unui program special pentru a decripta fișierele corupte.

În cele din urmă, este demn de reamintit faptul că, în acest articol întrebarea cu privire la modul de a decripta fișiere criptate virus.

Distribuiți pe rețelele sociale:

înrudit
NO_MORE_RANSOM - cum să decriptați fișierele criptate?NO_MORE_RANSOM - cum să decriptați fișierele criptate?
Virușii și atacurile virușilorVirușii și atacurile virușilor
Primul ajutor pentru computer: tratăm virusul "troian"Primul ajutor pentru computer: tratăm virusul "troian"
Cum să verificați dacă există virusi pe un computer sau să împiedicați o epidemie ciberneticăCum să verificați dacă există virusi pe un computer sau să împiedicați o epidemie cibernetică
Virusul a criptat toate fișierele. Ce să facem în această situație?Virusul a criptat toate fișierele. Ce să facem în această situație?
Cifra Vault (virus): ce să faceți și cum să eliminați?Cifra Vault (virus): ce să faceți și cum să eliminați?
Virus Trafff lab.ru: cum să-l eliminați de pe un PC?Virus Trafff lab.ru: cum să-l eliminați de pe un PC?
XTBL (virus-encryptor): cum să descifrăm? Decryptorul fișierelor după virus cu extensia XTBLXTBL (virus-encryptor): cum să descifrăm? Decryptorul fișierelor după virus cu extensia XTBL
Ce și cum să eliminați: virusul șterge fișierele EXE sau blochează accesul la programeCe și cum să eliminați: virusul șterge fișierele EXE sau blochează accesul la programe
Encryptor paycrypt@gmail.com: cum să decriptațiEncryptor [email protected]: cum să decriptați
» » Virusul a criptat fișierele și le-a redenumit. Cum să decriptați fișierele criptate cu un virus