Viruset krypterer filer og nytt navn. Hvordan å dekryptere filene kryptert virus

Nylig har det vært en bølge av aktivitet på den nye generasjonen av ondsinnede dataprogrammer. De dukket opp i lang tid (6 - 8 år siden), men tempoet i gjennomføringen toppet seg nå. Det er i økende grad overfor det faktum at viruset filen er kryptert.

Vi vet allerede at dette er ikke bare en primitiv skadelig programvare, for eksempel, blokkerer datamaskinen (forårsaker blå skjerm), og seriøse programmer rettet mot skade, som regel, regnskapsdata. De kryptere alle filene som er innenfor rekkevidde, inkludert data 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Spesielle farer som anses virus

Det ligger i det faktum at dette gjelder RSA-nøkkel, som er knyttet til en bestemt brukers datamaskin, som en konsekvens, mangler den universelle dekoder (dekryptering). Virus som er aktive i en av datamaskinene, kan ikke jobbe i et annet.

Faren er også i det faktum at mer enn ett år på Internett plassert ferdige programmer byggere (Builder), slik at å utvikle et slikt virus, selv kulhatskeram (personer som anser seg selv hackere, men ikke for å lære programmering).

For tiden er det mer kraftig modifisering.

Skadelig database gjennomføringen metoden

Nyhetsbrev virus produsert målbevisst, som regel, regnskapsavdelingen i selskapet. Først samler det e-post personell avdelinger, regnskap avdelinger av slike databaser, for eksempel hh.ru. Neste sender ut brev. De inneholder ofte en forespørsel med hensyn til innføringen av en bestemt posisjon. Et slikt brev festet fil med en oppsummering, i hvilken selve dokumentet med en implantert OLE-objekt (pdf-format med et virus).

I situasjoner hvor regnskap personalet umiddelbart lansert dokumentet, etter omstart følgende skjer: et virus og omdøpt den krypterte filen, og deretter ødelegge seg selv.

Denne typen brevet er vanligvis tilstrekkelig skriftlig og sendes til nespamerskogo boksen (navn samsvarer med signatur). Ledigheten er alltid forespurt på grunnlag av profileringsaktiviteter i selskapet, noe som er grunnen til at mistanken ikke oppstår.

Ingen lisens "Kaspersky" (antivirus programvare) eller "Virus Total" (online-tjeneste sjekk vedlegg for virus) kan ikke beskytte datamaskinen i dette tilfellet. Av og til, noen antivirusprogrammer å skanne problemet at vedlegget er Gen: Variant.Zusy.71505.

Hvordan unngå å bli smittet med viruset?

Det er nødvendig å sjekke hver mottatte fil. Spesiell oppmerksomhet er betalt vordovsky dokumenter som har innebygd pdf.

Varianter av "infiserte" -meldinger

Mange av dem. De vanligste variantene av viruset krypterer filene er vist nedenfor. I alle tilfeller, følgende dokumenter kommer på e-post:

1. Meldingen om starten av vurderingsprosessen brukes til et bestemt selskap søksmål (brevet tjener til å kontrollere dataene ved å klikke på linken).
2. Brev fra SAC for gjenvinning av gjeld.
3. Melding fra Sberbank for en økning i eksisterende gjeld.
4. Varsel om feste trafikk brudd.
5. Et brev fra et inkassobyrå med størst mulig betalingsutsettelse.

Innkalling til kryptering

Den vil vises etter smitte i rotmappen på stasjon C. Noen ganger alle kataloger med en skadet teksttype plassert ChTO_DELAT.txt filer, CONTACT.txt. Det er brukeren informert om hvordan å kryptere filene som er gjort av pålitelige kryptografiske algoritmer. Og det advart om upassende bruk av tredjeparts verktøy, da dette kan føre til skade på de endelige filene, noe som igjen vil føre til at det er umulig for senere dekryptering.

Innkallingen anbefales å la datamaskinen i en uendret tilstand. Den angir den lagringsplass som følger med en nøkkel (som regel er det 2 dager). Stavet ut nøyaktig dato, etter som noen form for behandling vil bli ignorert.

På slutten av den gitte e-post. Det sier også at brukeren må oppgi ID og at noen av disse handlingene kan føre til eliminering av nøkkelen, nemlig:

• fornærmelser;
• detaljer av forespørselen uten ytterligere betaling;
• trussel.

Hvordan å dekryptere filene kryptert virus?

Denne typen kryptering er veldig kraftig: filen er tildelt en forlengelse så perfekt, nochance etc. Crack er rett og slett umulig, men du kan prøve å koble en cryptanalyst og ser etter et smutthull (i enkelte situasjoner for å hjelpe Dr. WEB) ..

Det er en måte å gjenopprette krypterte filer virus, men det er ikke egnet for alle virus, trenger også å fjerne den opprinnelige exe med dette ondsinnet program, som er nok vanskelig å gjennomføre ødelegge seg selv etter.

Vennligst hensyn til virus innføring av en spesiell kode - en liten sjekk, fordi filen på dette punktet allerede har en dekoder (code of, så å si, ikke angriperen ikke trenger det). Det vesentlige ved denne fremgangsmåte - oppføring i viruset penetrert (i stedet for sammenligningsinngang koden selv) tomme lag. Resultatet - et skadelig program selv kjører dekryptering av filer, og dermed gjenoppretter dem helt.

I hvert virus har sin egen spesielle kryptering funksjonen, som er grunnen til at en tredjeparts kjørbare filer (filformatet exe) ikke vil dekryptere, eller du kan prøve å velge funksjonen ovenfor, som krever at alle handlinger utført på WinAPI.

Viruset krypterer filene: hva du skal gjøre?

For å utføre dekrypteringsprosedyren kreves:

1. Ta sikkerhetskopier (backup av eksisterende filer). På slutten av dekryptere all fjerner den selv.
2. På datamaskinen (offeret), må du kjøre dette ondsinnet program, og deretter vente, inneholder et krav med hensyn til innføringen av koden når vinduet vises.
3. Deretter må du starte fra den vedlagte arkivfilen Patcher.exe.
4. Det neste trinnet er å innføre en rekke virusprosessen, så er det nødvendig å trykke på "Enter".
5. Vil «lappet» budskap, som betyr å gni sammenligning instruksjoner.
6. Dette etterfølges av innføring av koden i boksen skriver noen av karakterene, og klikk deretter "OK".
7. Viruset begynner prosessen med å dekryptere filen, etter som han eliminerer seg selv.

Hvordan unngå tap av data på grunn av hensynet til malware?

Det er verdt å vite at i en situasjon der viruset krypterer filene for prosessen med dekryptering ta tid. Det viktige poeng i favør er at ovennevnte malware det er en bug som gjør at du kan spare noen filer, hvis raskt koble datamaskinen (trekk ut støpselet fra stikkontakten, slå av strømskinne, ta ut batteriet i tilfelle av en laptop), så snart et stort antall tidligere angitte forlengelse filer .

Igjen bør det understrekes at det viktigste - er å hele tiden skape en backup, men ikke i en annen mappe, ikke på flyttbare medier som er satt inn i datamaskinen, siden endring av viruset og vil nå disse stedene. Det er verdt å holde backup på en annen datamaskin, en harddisk som ikke er permanent festet til datamaskinen, og i skyen.

Bør behandles med mistenksomhet til alle dokumenter som kommer i posten fra ukjente personer (i sammendraget form, faktura, Oppløsning av SAC eller skatt og andre.). De bør ikke kjøres på datamaskinen (for dette formålet netbook, ikke inneholder viktige data kan identifiseres).

*.paycrypt@gmail.com ondsinnet program: Rettsmidler

.. I en situasjon hvor de ovennevnte kryptert virus CBF filer, doc, jpg, etc., er det bare tre scenarier:

1. Den enkleste måten å bli kvitt det - fjerne alle infiserte filer (det er akseptabelt, hvis dataene ikke er veldig viktig).
2. Vis lab antivirusprogram, for eksempel Dr. WEB. E-utviklere flere infiserte filer med nødvendig nøkkelen til å dekryptere, som ligger på datamaskinen som KEY.PRIVATE.
3. Den dyreste måten. Han forutsetter betaling av den forespurte beløpet for hackere dekryptere infiserte filer. Vanligvis kostnaden for denne tjenesten er mellom 200-500 dollar .. Dette er akseptabelt i en situasjon der viruset krypterer filer av et stort selskap, der en betydelig flyt av informasjon skjer på daglig basis, og dette ondsinnet program kan i sekunder forårsake enorm skade. I forbindelse med denne betalingen - den raskeste versjonen av utvinning av infiserte filer.

Noen ganger er det effektivt og et ekstra alternativ. I tilfeller der viruset krypterer filene (paycrypt @ gmail_com eller annen ondsinnet programvare) kan hjelpe systemet ruller tilbake for noen dager siden.

Program for å dekryptere RectorDecryptor

Hvis viruset krypterer filene jpg, doc, CBF og så videre. N., Kan hjelpe et spesielt program. Til dette trenger vi først å gå til oppstart og deaktivere alle, men antivirus. Deretter må du starte datamaskinen på nytt. Vis alle filer, merker mistenkelig. I feltet under navnet "Team" uttalte plasseringen av en bestemt fil (bør ta hensyn til programmer som ikke har en signatur: produsenten - ingen data).

Alle mistenkelige filer som skal slettes, så behovet for å rense cacher lesere midlertidig mappe (CCleaner program er egnet for dette formålet).

For å starte dekryptering, må du laste ned programmet ovenfor. Deretter kjøre den og klikk "Start Scan", angi endrede filer og deres forlengelse. I moderne versjoner av programmet kan bare spesifisere selv den infiserte filen og klikk "Åpne". Etter det, vil filene dekrypteres.

Deretter skanner verktøyet automatisk alle elektroniske data, inkludert filer som er lagret på den tilkoblede nettverksstasjon, og dekrypterer dem. Denne gjenvinningsprosess kan ta flere timer (avhengig av kapasiteten og hastigheten på datamaskin).

Som et resultat, vil alle de korrupte filer dekodes i samme mappe hvor de opprinnelig ble installert. På slutten vil det bare å fjerne alle eksisterende filer med mistenkelige forlengelse, som du kan sette ned en hake i søket "Slett krypterte filer etter vellykket dekoding" ved å trykke på en pre-knappen "Endre skanneinnstillinger". Men det er bedre å ikke sette, som i tilfelle av en mislykket dekryptering av filer de kan pensjonere, og deretter må gjenopprette dem først.

Så, hvis viruset krypterer filer doc, CBF, jpg t. E., bør ikke rush til betaling kode. Kanskje han ikke trenger det.

Nyanser fjerning av krypterte filer

Når du prøver å eliminere alle ødelagte filer ved hjelp av en standard søk og påfølgende fjerning kan starte hengende og bremse maskinen. Derfor, for denne prosedyren bør du bruke en spesiell kommandolinje. Etter lanseringen er det nødvendig å skrive inn følgende: del «: \ *. » / f / s.

Vær sikker på at du vil slette disse filene som "Read-menya.txt", som i samme kommandolinjen må angi: del ": \ * » / f / s..

Dermed kan det bemerkes at dersom viruset endret navnet og kryptere filer, bør du ikke bare bruke penger på kjøp av nettkriminelle viktige først nødvendig å prøve å forstå problemet på egenhånd. Det er bedre å investere i kjøp av et spesielt program for å dekryptere den ødelagte filer.

Til slutt er det verdt å minne om at det i denne artikkelen på spørsmålet om hvordan å dekryptere filene kryptert virus.