Jedan od najproblematičnijih zlonamjernih programa danas je trojanski virus ili virus koji šifrira datoteke na korisnikovom disku. Neke se od ovih datoteka mogu dešifrirati, a neke još ne. Priručnik sadrži moguće algoritme za radnje u obje situacije, načine utvrđivanja specifične vrste šifriranja na uslugama No More Ransom i ID Ransomware, kao i kratak pregled programa za zaštitu od ransomware virusa.
Postoji nekoliko izmjena takvih virusa ili ransomwarea Trojansa (a novi se stalno pojavljuju), ali općenita se suština rada svodi na činjenicu da se nakon instaliranja na vaše računalo datoteke dokumenata, slike i druge potencijalno važne datoteke šifriraju uz promjenu proširenja i brisanja originalnih datoteka, nakon čega u datoteci readme.txt dobijete poruku da su sve vaše datoteke šifrirane i da biste ih dešifrirali, trebate poslati određeni iznos napadaču. Napomena: Ažuriranje Windows 10 Fall Creators Update ima ugrađenu zaštitu protiv ransomware virusa.
Šta učiniti ako se svi važni podaci kriptiraju
Za početak, neke opće informacije za one koji su šifrirali važne datoteke na svom računalu. Ako su važni podaci na vašem računalu šifrirani, prije svega, nemojte paničariti.
Ako imate takvu priliku, s diska računara na kojem se pojavio virus ransomware, kopirajte negdje na vanjski disk (USB fleš uređaj) primjer datoteke s tekstualnim zahtjevom napadača da ga dešifrira, plus neki primjerak šifrirane datoteke, a zatim mogućnosti, isključite računalo tako da virus ne bi mogao nastaviti šifrirati podatke, a preostale radnje izvršite na drugom računalu.
Sljedeći korak je korištenje postojećih šifriranih datoteka kako biste saznali točno koja vrsta virusa je kodirala vaše podatke: za neke od njih postoje dekoderi (neke ću ovdje navesti, neke su navedene na kraju članka), za neke - još ne. Ali čak i u ovom slučaju, možete poslati primere šifriranih datoteka na ispitivanje u antivirusne laboratorije (Kaspersky, Dr. Web).
Kako tačno saznati? To možete učiniti pomoću Googlea, pronađući rasprave ili vrstu kriptora prema ekstenziji datoteke. Službe su se takođe počele pojavljivati kako bi odredile vrstu ransomwarea.
Nema više otkupnine
No More Ransom je resurs koji se aktivno razvija i podržava ruske verzije, a namijenjen je borbi protiv virusa s ransomware-om (ransomware Trojans).
Ako bude uspješno, No More Ransom može vam pomoći kod dešifriranja vaših dokumenata, baza podataka, fotografija i drugih podataka, preuzmite potrebne programe za dešifriranje i također dobiti informacije koje će vam pomoći u izbjegavanju takvih prijetnji u budućnosti.
Na No More Ransom možete pokušati dešifrirati datoteke i odrediti vrstu virusa enkripcije na sljedeći način:
- Kliknite "Da" na glavnoj stranici usluge //www.nomoreransom.org/en/index.html
- Otvara se stranica Crypto Sheriff, gdje možete preuzeti primjere šifriranih datoteka veličine veće od 1 MB (preporučujem preuzimanje bez povjerljivih podataka), kao i odrediti adrese e-pošte ili web lokacije za koje prevaranti traže otkupninu (ili preuzeti datoteku readme.txt sa zahtev).
- Kliknite gumb "Provjeri" i pričekajte da se ček dovrši i da li je rezultat.
Uz to su na web lokaciji dostupni korisni odjeljci:
- Dešifriraju se skoro svi postojeći alati za dešifriranje datoteka šifriranih virusima.
- Prevencija infekcije - informacije usmjerene prvenstveno na početnike, što može pomoći izbjegavanju infekcije u budućnosti.
- Pitanja i odgovori - informacije za one koji žele bolje razumjeti rad ransomware virusa i radnje u slučajevima kada ste suočeni sa činjenicom da su datoteke na računaru šifrirane.
Danas je No More Ransom vjerovatno najrelevantniji i najkorisniji resurs vezan za dešifriranje datoteka za korisnika koji govore ruski, preporučujem.
Ransomware ID
Još jedna takva usluga je //id-ransomware.malwarehunterteam.com/ (iako ne znam koliko dobro funkcionira za verzije virusa na ruskom jeziku, ali vrijedi pokušati, uslugom nahraniti primjer šifrirane datoteke i tekstualne datoteke uz zahtjev za otkupninu).
Nakon što odredite vrstu šifre, ako ste uspjeli, pokušajte pronaći alat za dešifriranje ove opcije na temelju upita poput: Decryptor encryption_type. Takve uslužne programe su besplatne i izdaju ih antivirusni programeri, na primjer, nekoliko takvih uslužnih programa može se naći na web lokaciji Kaspersky //support.kaspersky.ru/viruses/utility (drugi se programi bliže kraju članka). I, kao što je već spomenuto, ne oklijevajte kontaktirati programere antivirusa na njihovim forumima ili službi za podršku putem pošte.
Nažalost, sve to ne pomaže uvijek i ne postoje uvijek dekoderi datoteka koji rade uvijek. U ovom su slučaju scenariji različiti: mnogi plaćaju napadačima, potičući ih da nastave ovu aktivnost. Programi za oporavak podataka na računalu pomažu nekim korisnicima (budući da virus stvaranjem šifrirane datoteke briše običnu važnu datoteku koja se teoretski može vratiti).
Datoteke na računaru šifrirane su u xtbl
Jedna od najnovijih varijanti virusa ransomware šifrira datoteke, zamjenjujući ih datotekama s ekstenzijom .xtbl i nazivom koji se sastoji od nasumičnog skupa znakova.
Istovremeno se na računalo postavlja tekstualna datoteka readme.txt sa sljedećim sadržajem: "Vaše su datoteke šifrirane. Da biste ih dešifrirali, kôd morate poslati na adresu e-pošte [email protected], [email protected] ili [email protected]. Dalje dobit ćete sva potrebna uputstva. Pokušaji da sami dešifrirate datoteke dovest će do nepovratnog gubitka podataka "(adresa e-pošte i tekst mogu varirati).
Nažalost, trenutno ne postoji način za dešifriranje .xtbl (čim se pojavi, upute će biti ažurirane). Neki korisnici koji su imali zaista važne informacije na svojim računalima izvještavaju na antivirusnim forumima da su autorima virusa poslali 5000 rubalja ili neki drugi potreban iznos i dobili dekoder, ali to je vrlo rizično: možda nećete dobiti ništa.
Šta ako su datoteke šifrirane u .xtbl? Moje preporuke su sljedeće (ali se razlikuju od onih na mnogim drugim tematskim mjestima, gdje, na primjer, preporučuju da odmah isključite računalo iz napajanja ili ne uklonite virus. Po mom mišljenju to je nepotrebno, a u nekim okolnostima možda čak postoji i štetno, međutim, odlučite.):
- Ako možete, prekinuti postupak šifriranja uklanjanjem odgovarajućih zadataka u upravitelju zadataka, isključivanjem računala s interneta (ovo je možda neophodan uvjet za šifriranje)
- Sjetite se ili zapišite kôd koji napadači trebaju poslati na adresu e-pošte (samo ne u tekstualnoj datoteci na računalu, samo u slučaju da se ne ispostavi da je šifriran).
- Pomoću Malwarebytes Antimalware-a, probne verzije Kaspersky Internet Security-a ili Dr.Web Cure It, uklonite datoteke za šifriranje virusa (svi navedeni alati to mogu dobro učiniti). Savjetujem vam da se obrnete koristeći prvi i drugi proizvod s liste (međutim, ako imate instaliran antivirus, instaliranje drugog "odozgo" je nepoželjno, jer može dovesti do problema na računaru.)
- Očekujte da se pojavi dešifrator od antivirusne kompanije. U prvom planu ovdje je laboratorija Kaspersky.
- Također možete poslati primjer šifrirane datoteke i potreban kôd [email protected]ako imate kopiju iste datoteke u nešifriranom obliku, pošaljite je i vi. U teoriji, to može ubrzati pojavu dekodera.
Šta se ne smije učiniti:
- Preimenujte šifrirane datoteke, promijenite ekstenziju i izbrišite ih ako su vam bitne.
To je vjerojatno sve što u ovom trenutku mogu reći o šifriranim datotekama s .xtbl ekstenzijom.
Datoteke šifrirane better_call_saul
Najnoviji ransomware virus je Better Call Saul (Trojan-Ransom.Win32.Shade), koji instalira .better_call_saul ekstenziju za šifrirane datoteke. Kako se dešifriraju takve datoteke još uvijek nije jasno. Oni korisnici koji su kontaktirali Kaspersky Lab i Dr.Web dobili su informacije da se to još ne može učiniti (ali pokušajte ih poslati - više uzoraka šifriranih datoteka od programera = vjerovatnije je da će pronaći način).
Ako se ispostavi da ste pronašli metodu dešifriranja (tj. Da je negdje objavljena, ali nisam je slijedio), molimo vas da podijelite informacije u komentarima.
Trojan-Ransom.Win32.Aura i Trojan-Ransom.Win32.Rakhni
Sljedeći trojanski program koji šifrira datoteke i instalira proširenja s ove liste:
- . zaključana
- .crypto
- .kraken
- .AES256 (nije nužno ovaj trojanac, postoje i drugi koji instaliraju isto proširenje).
- .codercsu @ gmail_com
- .enc
- .oshit
- I drugi.
Za dešifriranje datoteka nakon rada ovih virusa, stranica Kasperskog ima besplatni uslužni program RakhniDecryptor, dostupan na službenoj stranici //support.kaspersky.ru/viruses/disinfection/10556.
Tu je i detaljno uputstvo o korištenju ovog uslužnog programa, koje pokazuje kako oporaviti šifrirane datoteke, iz kojih bih za svaki slučaj uklonio opciju "Izbriši šifrirane datoteke nakon uspješnog dešifriranja" (mada mislim da će sve biti u redu s instaliranom opcijom).
Ako imate antivirusnu licencu Dr.Web, možete koristiti besplatnu dešifriranje ove kompanije na //support.drweb.com/new/free_unlocker/
Više varijanti virusa ransomwarea
Rjeđe, ali postoje i sljedeći trojanski programi koji šifriraju datoteke i trebaju novac za dešifriranje. Ove veze sadrže ne samo uslužne programe za vraćanje datoteka, već i opis znakova koji će vam pomoći da utvrdite da imate ovaj određeni virus. Iako je općenito optimalan način: pomoću Kaspersky Anti-Virusa skenirajte sistem, pronađite ime Trojana prema klasifikaciji ove tvrtke i nakon toga potražite uslužni program pod ovim imenom.
- Trojan-Ransom.Win32.Rector - besplatni alat za dešifriranje i upotrebu upotrebe RectorDecryptor dostupan je ovdje: //support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist - sličan trojanski program koji prikazuje prozor sa zahtevom da pošaljete plaćeni SMS ili kontakt e-poštom da biste dobili uputstva za dešifriranje. Upute za oporavak šifriranih datoteka i uslužni program XoristDecryptor za to su dostupni na //support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - uslužni program RannohDecryptor //support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 i drugi s istim imenom (kada pretražujete antivirus Dr.Web ili uslužni program Cure It) i s različitim brojevima - pokušajte putem interneta potražiti ime trojana. Za neke od njih postoje alati za dešifriranje Dr.Web, takođe, ako niste mogli pronaći uslužni program, ali postoji Dr.Web licenca, možete koristiti službenu stranicu //support.drweb.com/new/free_unlocker/
- CryptoLocker - za dešifriranje datoteka nakon što CryptoLocker radi, možete koristiti web lokaciju //decryptcryptolocker.com - nakon slanja ogledne datoteke, dobit ćete ključ i uslužni program za oporavak datoteka.
- Na mjestu//bitbucket.org/jadacyrus/ransomwareremovalkit/preuzima pristup Ransomware Removal Kit - velika arhiva s informacijama o različitim vrstama šifrera i uslužnim programima za dešifriranje (na engleskom)
Pa, iz najnovijih vijesti - Kaspersky Lab je zajedno sa službenicima za provođenje zakona iz Nizozemske razvio Ransomware Decryptor (//noransom.kaspersky.com) za dešifriranje datoteka nakon CoinVaulta, ali ovaj se ransomware još ne pojavljuje na našim geografskim širinama.
Zaštita od ransomwarea ili ransomwarea
Kako se Ransomware širio, mnogi proizvođači antivirusnih i anti-malware alata počeli su objavljivati vlastita rješenja za sprečavanje rada šifrera na računaru, među kojima su:- Malwarebytes Anti-Ransomware
- BitDefender Anti-Ransomware
- WinAntiRansom
Ali: ovi programi nisu predviđeni za dešifriranje, već samo za sprečavanje šifriranja važnih datoteka na računalu. U svakom slučaju, čini mi se da bi te funkcije trebalo implementirati u antivirusnim proizvodima, inače je čudna situacija: korisnik mora imati antivirusni alat, alat za borbu protiv AdWare-a i malwarea, a sada i uslužni program Anti-ransomware, osim u slučaju da anti- iskorištavati.
Usput, ako se odjednom pokaže da imate šta dodati (jer ne mogu pratiti što se događa s metodama dešifriranja), prijavite se u komentarima, te će informacije biti korisne ostalim korisnicima koji su naišli na problem.
